Passwort - der Podcast von heise security

In Folge 14 haben Sylvester und Christopher erstmals einen Gast dabei, nämlich die c't-Prozessor-Koryphäe Christof Windeck. Und mit dem zusammen tauchen sie ganz tief in ein Thema ein, das oftmals im Verborgenen bleibt: Sicherheitsfunktionen moderner Prozessoren. Speziell geht es diesmal um Intels "Management Engine", die nicht nur wichtige Funktionen rund um die Absicherung des Systems übernimmt, sondern auch ein eigenes Betriebssystem mitbringt und Fernwartung ermöglicht. Wieso das manchmal auch ein Problem sein kann und ob man seinem Intel-PC die Wartungsfunktionen abgewöhnen kann, bespricht Christof mit den Passwort-Hosts. Bit-Rauschen, der Prozessor-Podcast: https://www.heise.de/thema/bit-rauschen Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

Pavel Durov, der Gründer von Telegram, wird diskutiert, insbesondere seine Festnahme und die Sicherheit des Messengers. Die Episode beleuchtet zudem die Probleme von Secure Boot unter Linux und die Diskussion um OpenSSL-Änderungen. Besonders spannend sind die Sicherheitsrisiken bei MLOps sowie die Herausforderungen der KI-Sicherheit. Außerdem werden die Kontroversen um Telegram und seine Ende-zu-Ende-Verschlüsselung sowie deren Einfluss auf politische Kommunikation thematisiert. Ein tiefgehender Einblick in die aktuellen Sicherheitsherausforderungen.

Das Konzept des Zero Trust gewinnt in der IT-Sicherheit an Bedeutung. Praktische Anwendungen und weit verbreitete Missverständnisse werden erläutert. Der Fokus liegt auf der kontinuierlichen Überprüfung des Zugriffs und den Herausforderungen der Implementierung. Sicherheitsvorfälle verdeutlichen die Notwendigkeit von Zero Trust Modellen. Auch Risiken im Identity Management und die Verschlüsselung von DNS-Anfragen werden behandelt. Schließlich wird die Bedeutung der Nutzerintegration für robuste Berechtigungsmodelle hervorgehoben.

In der elften Folge von "Passwort" reden Sylvester und Christopher über einige Security-News der vergangenen Tage. Den Anfang macht eine Remote-Code-Execution-Lücke in Windows, die durch manipulierte IPv6-Pakete ausgelöst wird und bis jetzt noch für verdächtig wenig Aufregung sorgt. Ein bekannter Tech-Youtuber ging durch Phishing seines X-Kontos verlustig und Google ließ sich Fake-Werbung für seine eigenen Sicherheitsprodukte unterschieben - das erstaunt die Hosts, die mit mehr Gegenwehr seitens der Opfer gerechnet hätten. Außerdem geht es um einen Cyberkriminellen, der sich einen Datenschatz bei einer Darknet-Überwachungsfirma zusammenkratze und eine in letzter Sekunde verhinderte massive Supply-Chain-Attacke gegen Python. Für Liebhaber CA-bezogener Neuigkeiten gibt's am Ende noch ein Schmankerl, bei dem auch Juristen mitmischten. PwnedPasswords Downloader: https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader Für hartgesottene, die trotz Sylvesters Warnung einen E-Mail-Server selbst hosten möchten: https://github.com/postalserver/postal

Die Moderatoren begeistern mit einem Blick auf die geheimen Cybersoldaten Nordkoreas, die für das Regime spionieren und Erpressungsgelder erbeuten. Sie erläutern die gefährlichen Aktivitäten der Lazarus-Gruppe und beleuchten die verheerenden Auswirkungen von Cyberangriffen wie WannaCry. Zudem wird die Ausnutzung von Kryptowährungen zur Finanzierung illegaler Programme diskutiert. Überraschende Betrugsfälle in der Sicherheitsbranche zeigen, wie angreifbar Unternehmen sind. Eine spannende Mischung aus Cyber-Kriminalität und geopolitischen Themen!

In Folge 9 von Passwort reden Christopher und Sylvester über eine Reihe von Security-News der letzten Tage: Die weltgrößte Zertifizierungsstelle Let’s Encrypt will das Online Certificate Status Protocol (OCSP) loswerden und Secure Boot kämpft, mal wieder, mit Problemen und Schlampereien. Außerdem reden die Hosts über einen neuen Passwort-Check bei GMX und Web.de und die Security von Blockchain- Projekten – anlässlich eines aktuellen besonders teuren Malheurs. Das Urgestein GhostScript macht mit einen Sicherheitsproblem auf sich selbst und vor allem auf den interessanten Charakter des Formats PostScript aufmerksam. Korrekturen: Sylvester nennt das Protokoll fälschlicherweise "Open Certificate Status Protocol", richtig ist "Online Certificate Status Protocol". Und bei etwa 18:55 erzählt Sylvester, die CRLs großer CAs würden Gigebytes messen. Das stimmt so nicht, sondern ist der Worst-Case, wenn eine CA viele (oder sogar alle) ihrer Zertifikate zurückrufen müsste. Für diesen Worst-Case muss die Infrastruktur allerdings ausgelegt sein. c’t-Artikel über Zertifikatswiderrufe: https://heise.de/-9642194 Folge der c’t Auslegungssache zum Thema „Datenlecks verhindern“: https://heise.de/-9762321 c’t-Artikel zu Mailpasswörtern im neuen Outlook: https://www.heise.de/select/ct/2023/28/2331715395648017635 https://www.web3isgoinggreat.com

In dieser Diskussion geht es um den aktuellen Vorfall bei CrowdStrike und die damit verbundenen Sicherheitsprobleme. Die Hosts beleuchten die Herausforderung eines fehlerhaften Updates, das zu weitreichenden Systemausfällen führte. Zudem wird die Bedeutung vollständiger Image-Backups und die Möglichkeit erörtert, treiberseitig Rust für Windows Kernel zu nutzen. Microsofts Reaktion auf die Krise und die kritische Analyse von Cyberversicherungen und Haftungsfragen in der IT ergänzen die spannenden Themen. Ein aufschlussreicher Blick in die Sicherheitslage!

In der siebten Folge von Passwort geht es um "Prompt Injections": Angriffe auf Software, deren Basis eine Sprach-KI ist. Solche Systeme sprießen in letzter Zeit allenthalben, aber ihre Sicherheit findet mitunter wenig Beachtung. Die Hosts Christopher und Sylvester erklären, was Prompt Injections eigentlich sind und welche Gefahren von ihnen ausgehen. Außerdem erörtern die beiden, wie man sich als Nutzer, als Softwareanbieter und auch als KI-Hersteller schützen kann – wenn auch nur bedingt – und warum das Problem so hartnäckig ist. Unser Schwesterpodcast zu KI-Themen: https://www.heise.de/thema/KI-Update

Die Moderatoren diskutieren das Vertriebsverbot von Kaspersky in den USA, Reputation Farming im Linux-Kernel, Malware auf Domain für Javascript-Bibliothek, Probleme bei Zertifizierungsstelle Entrust und Bedenken gegen Telegram.

In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von "Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern, mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln ihre Sicht der Dinge mit dem Holzhammer. CVE-Datenbanken: CVE-Suche von Mitre: https://www.cve.org CVE-Suche der NVD: https://nvd.nist.gov/vuln/search Beispiele für Problem-CVEs Curl: https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/ & https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/ PostgreSQL: https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/ KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/ Azure: https://heise.de/-9755370 CVE-Regeln Regelwerk für CNAs: https://www.cve.org/ResourcesSupport/AllResources/CNARules Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html Talk von Greg KH zu CVEs: https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/