Passwort - der Podcast von heise security

Jan Mahn, CT-Redakteur mit umfangreicher Erfahrung in Blockchain und Cloud-Technologien, spricht über die Risiken von Smart Contracts. Sie diskutieren einen aktuellen Angriff, der tausende Verträge ins Visier nahm. Jan erläutert, wie Fehler in sichtbarem Code ausgenutzt werden können und die Herausforderungen bei der Verknüpfung von Blockchain mit der realen Welt. Zudem erklären sie die Sicherheitsversprechen von Smart Contracts und die Lehren aus früheren Hacks, während sie die Grenzen der Blockchain-Sicherheit kritisch betrachten.

Peter Thomassen, DNSSEC-Experte und Betreiber von deSEC, beleuchtet die Sicherheitsaspekte des Domain Name Systems. Er erklärt, wie DNSSEC die Integrität von Daten garantiert und welche Herausforderungen bei der Automatisierung bestehen. Themen wie Malware in TXT-Records und die Notwendigkeit von Schlüsselrotation treten deutlich hervor. Außerdem diskutiert er die Post-Quantum-Bedrohung und den Einfluss auf die Kryptoagilität von DNSSEC. Praktische Tipps zur Aktivierung von DNSSEC bieten Hörern einen sofortigen Einstieg.

Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben. The CRA and what it means for us (Greg Kroah-Hartman) Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt Yealink-Artikel von DNIP Ver- und Entschlüsselung der Yealink-Firmware Mastodon-Account mit VNC-Servern Diskussion über ssl.com-Fehler im Mozilla-Bugtracker Betreibt Euer eigenes CT-Log Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferkette so unübersichtlich geworden ist, dass man unmöglich sagen kann, welche Geräte betroffen sind. https://mjg59.dreamwidth.org/71646.html & https://mjg59.dreamwidth.org/71933.html https://blog.cryptographyengineering.com/2025/06/09/a-bit-more-on-twitter-xs-new-encrypted-messaging/ DNSSEC KSK Ceremony Greg Kroah-Hartman zur Kernel-CVE-Praxis https://heise.de/-9777933 XKCD Dependancy Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Meta und Yandex geraten wegen ihrer aggressiven Trackingmethoden in die Kritik. Die Hosts diskutieren, wie diese Techniken den Datenschutz untergraben und Nutzerinformationen heimlich sammeln. Besondere Besorgnis besteht über die Ähnlichkeiten zu Malware-Praktiken. Ein Augenmerk liegt auf den Sicherheitsproblemen der Yandex-App und der unzureichenden Reaktion von Meta auf Datenschutzforderungen. Ethische Herausforderungen bei Tracking-Technologien werden ebenfalls beleuchtet, während persönliche Erfahrungen der Moderatoren einen Einblick in die Praktiken der sozialen Medien geben.

In dieser Diskussion geht es um spannende Veränderungen im WebPKI-Bereich und die Marktmacht großer Browser. Sylvester stellt das hilfreiche Tool Oniux für Tor-Nutzer vor, während er auch die Risiken von .onion-URLs bei DNS-Abfragen thematisiert. Die Zerschlagung der Luma-Bande zeigt, wie Ermittler in der Cyberkriminalität gegen Malware-Loader vorgehen. Außerdem wird die Problematik internationaler Haftbefehle bei der Verfolgung von Cyberkriminellen erörtert, sowie die Herausforderungen rund um Passwortsicherheit und die Bedeutung von Transparenz in der Sicherheitslandschaft.

Quantencomputer bedrohen die ganze Kryptografie… die ganze? Nein! Sylvester lässt sich von seinen Kolleg:innen Dr. Sabrina Patsch und Wilhelm Drehling erklären, welche Algorithmen Quantencomputer tatsächlich bedrohen und wofür sie kein Problem darstellen. Die drei erörtern auch, wie weit real existierende Maschinen von diesen Fähigkeiten noch entfernt sind, warum man sich dennoch bereits Sorgen macht und welche – oft gar nicht so neuen – Verfahren vor Quantencomputern schützen. Übersichtsseite zum PQC-Standardisierungsprojekt des NIST Weiterführender Artikel zum aktuellen Stand der Entwicklung von Quantencomputern Weiterführender Artikel zu Kryptoagilität und Post-Quanten- Kryptografie Cloudflares Zufallsgeneratoren Das AMA wird in diesem Subreddit stattfinden Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Episode dreht sich alles um spannende Sicherheitsfragen. Die Hosts beleuchten riskante USB-Ladestationen und führen das Konzept des 'Choice-Jacking' ein. Ein faszinierendes neues Phänomen, das 'Slopsquatting', wird als Sicherheitsrisiko diskutiert. Zudem gibt es kritische Einblicke in die Sicherheitsprobleme führender Hersteller wie Fortinet. Auch die beschlossene Reduzierung der Zertifikatslaufzeiten zur Verbesserung der Web-PKI findet Beifall. Aktuelle Themen zur Sicherheit von SaaS-Diensten und Datenschutzfeatures bei WhatsApp runden die Diskussion ab.

Die Gesprächspartner analysieren das i-Soon-Leak, das Einblicke in die chinesische Cybercrime-Industrie gibt. Die komplexe Beziehung zwischen Cyberkriminalität und staatlicher Kontrolle wird beleuchtet. Zudem werden die ethischen Grauzonen inzwischen agierenden Sicherheitsprofis thematisiert. Ein Cyberangriff auf Microsoft-Postfächer und die Problematik von Fake-Produkten rahmen die Diskussion. Schließlich wird die geopolitische Dimension der Cyberkriminalität und deren Auswirkungen auf internationale Sicherheitsstrategien betrachtet.

Die Hosts kritisieren laxen Sicherheitspraktiken bei großen Firmen und dessen Krisen-PR. Sie analysieren die Gefahren von Smartphones vor dem Entsperren und diskutieren Passwort-Hashing. Eine prominente Phishing-Attacke wird thematisiert, wobei betroffene Nutzer ermutigt werden, sich nicht für ihre Opferrolle zu schämen. Zudem beleuchten sie Herausforderungen in der Zertifikatsvalidierung und neue Ansätze zur Optimierung der Cybersicherheit.