Passwort - der Podcast von heise security

Meta und Yandex geraten wegen ihrer aggressiven Trackingmethoden in die Kritik. Die Hosts diskutieren, wie diese Techniken den Datenschutz untergraben und Nutzerinformationen heimlich sammeln. Besondere Besorgnis besteht über die Ähnlichkeiten zu Malware-Praktiken. Ein Augenmerk liegt auf den Sicherheitsproblemen der Yandex-App und der unzureichenden Reaktion von Meta auf Datenschutzforderungen. Ethische Herausforderungen bei Tracking-Technologien werden ebenfalls beleuchtet, während persönliche Erfahrungen der Moderatoren einen Einblick in die Praktiken der sozialen Medien geben.

In dieser Diskussion geht es um spannende Veränderungen im WebPKI-Bereich und die Marktmacht großer Browser. Sylvester stellt das hilfreiche Tool Oniux für Tor-Nutzer vor, während er auch die Risiken von .onion-URLs bei DNS-Abfragen thematisiert. Die Zerschlagung der Luma-Bande zeigt, wie Ermittler in der Cyberkriminalität gegen Malware-Loader vorgehen. Außerdem wird die Problematik internationaler Haftbefehle bei der Verfolgung von Cyberkriminellen erörtert, sowie die Herausforderungen rund um Passwortsicherheit und die Bedeutung von Transparenz in der Sicherheitslandschaft.

Quantencomputer bedrohen die ganze Kryptografie… die ganze? Nein! Sylvester lässt sich von seinen Kolleg:innen Dr. Sabrina Patsch und Wilhelm Drehling erklären, welche Algorithmen Quantencomputer tatsächlich bedrohen und wofür sie kein Problem darstellen. Die drei erörtern auch, wie weit real existierende Maschinen von diesen Fähigkeiten noch entfernt sind, warum man sich dennoch bereits Sorgen macht und welche – oft gar nicht so neuen – Verfahren vor Quantencomputern schützen. Übersichtsseite zum PQC-Standardisierungsprojekt des NIST Weiterführender Artikel zum aktuellen Stand der Entwicklung von Quantencomputern Weiterführender Artikel zu Kryptoagilität und Post-Quanten- Kryptografie Cloudflares Zufallsgeneratoren Das AMA wird in diesem Subreddit stattfinden Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Episode dreht sich alles um spannende Sicherheitsfragen. Die Hosts beleuchten riskante USB-Ladestationen und führen das Konzept des 'Choice-Jacking' ein. Ein faszinierendes neues Phänomen, das 'Slopsquatting', wird als Sicherheitsrisiko diskutiert. Zudem gibt es kritische Einblicke in die Sicherheitsprobleme führender Hersteller wie Fortinet. Auch die beschlossene Reduzierung der Zertifikatslaufzeiten zur Verbesserung der Web-PKI findet Beifall. Aktuelle Themen zur Sicherheit von SaaS-Diensten und Datenschutzfeatures bei WhatsApp runden die Diskussion ab.

Die Gesprächspartner analysieren das i-Soon-Leak, das Einblicke in die chinesische Cybercrime-Industrie gibt. Die komplexe Beziehung zwischen Cyberkriminalität und staatlicher Kontrolle wird beleuchtet. Zudem werden die ethischen Grauzonen inzwischen agierenden Sicherheitsprofis thematisiert. Ein Cyberangriff auf Microsoft-Postfächer und die Problematik von Fake-Produkten rahmen die Diskussion. Schließlich wird die geopolitische Dimension der Cyberkriminalität und deren Auswirkungen auf internationale Sicherheitsstrategien betrachtet.

Die Hosts kritisieren laxen Sicherheitspraktiken bei großen Firmen und dessen Krisen-PR. Sie analysieren die Gefahren von Smartphones vor dem Entsperren und diskutieren Passwort-Hashing. Eine prominente Phishing-Attacke wird thematisiert, wobei betroffene Nutzer ermutigt werden, sich nicht für ihre Opferrolle zu schämen. Zudem beleuchten sie Herausforderungen in der Zertifikatsvalidierung und neue Ansätze zur Optimierung der Cybersicherheit.

Viktor Schlüter, Experte für digitale Sicherheit bei Reporter ohne Grenzen, enthüllt die bedrohlichen Praktiken zur Smartphone-Durchsuchung. Er erklärt, wie Staaten illegitim auf Daten zugreifen, insbesondere bei Journalist*innen. Der Einsatz von speziellen Geräten wird thematisiert, sowie der Kampf gegen digitale Angriffe. Schlüter beleuchtet auch ethische Fragen zur digitalen Forensik und diskutiert Schutzmaßnahmen für gefährdete Personen. Ein erschreckender Einblick in die Schnittstelle von Technik und Bürgerrechten!

Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen. https://blog.thc.org/practical-https-interception CertSpotter: https://github.com/SSLMate/certspotter https://tuta.com/de/blog/france-surveillance-nacrotrafic-law https://support.apple.com/en-us/122234 https://www.cl.cam.ac.uk/~ah793/papers/2025police.pdf https://www.bloomberg.com/opinion/articles/2025-03-03/citi-keeps-hitting-the-wrong-buttons https://www.heise.de/news/BAMF-Skurrile-Testkonten-ermoeglichten-unautorisierten-Datenzugriff-10305691.html https://github.com/jlopp/physical-bitcoin-attacks Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären. Nicht nur graue Theorie, auch apfelbunte Praxis kommt nicht zu kurz: Eine Anwendung in Apples Cloud zeigt, wie nützlich homomorphe Verschlüsselung ist. Craig Gentry's Paper zu FHE mit ideal lattices Craig Gentry's Dissertation zu FHE MS "Kryptonets" Paper von 2016 https://fhe.org/resources/ https://homomorphicencryption.org Michaels Artikel über die Apple-Usecases (+) Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge geht es um Methoden, mit denen Staaten - und zwar längst nicht nur autoritäre - ihre Bürger bespitzeln. Dissidenten, Journalisten, Politiker und andere Bevölkerungsgruppen waren bereits Opfer von Smartphone-Malware, die im staatlichen Auftrag installiert wurde. Die Hersteller dieser Spionagesoftware sind geheimnistuerische Unternehmen, die viel Geld für ihre Dienste nehmen. Sylvester und Christopher nehmen alle Beteiligten unter die Lupe und klären auch die Frage, ob Whatsapp die NSA verklagt hat. Predator-Analyse von Cisco Talos Google Project Zero zu FORCEDENTRY https://media.ccc.de/v/38c3-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios https://securitylab.amnesty.org/latest/2024/12/serbia-a-digital-prison-spyware-and-cellebrite-used-on-journalists-and-activists/ Details zum iOS Lockdown Mode https://securitylab.amnesty.org/get-help/ https://securitylab.amnesty.org/partners-and-support/ Mobile Verification Toolkit (MVT)