Passwort - der Podcast von heise security

In Folge 18 geht es um Angriffe auf das Tor-Netzwerk. Dieses System zur Anonymisierung, das oft mit dem Darknet gleichgesetzt wird, stand schon immer unter erheblichen Druck durch alle möglichen Angreifer, einschließlich Ermittlungsbehörden. Die Hosts sehen sich an, wie das Netzwerk funktionieren soll und an welchen Stellen es hapert. Trickreiche und mit ausreichend Ressourcen ausgestattete Angreifer können dort ansetzen und offenbar gezielt Tor-Nutzer enttarnen. Organisationen, die Tor-Relays betreiben: https://torservers.net/partners/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

In der 17. Folge geht's los mit Cybercrime, speziell Razzien gegen Kryptobörsen. Außerdem haben Sylvester und Christopher etwas zu perfctl, einer sehr vielseitigen Linux-Malware mitgebracht, sprechen über löchrige Prozessor-Barrieren und vom Internet erreichbare Druckserver. Und wie so häufig, gibt es auch mal wieder etwas Neues aus der bunten Welt der digitalen Zertifikate. Operation Endgame Videos: https://www.operation-endgame.com/#videos IBPB - Breaking the Barrier: https://comsec.ethz.ch/research/microarch/breaking-the-barrier/ Bitrauschen - der heise Prozessor-Podcast: https://bit-rauschen.podigee.io/ CUPS-Lücken: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

Die Hosts diskutieren die technischen Herausforderungen der Chatkontrolle. Sie erklären den Unterschied zwischen freiwilligem Melden und verpflichtendem Scannen, besonders bei End-to-End-Verschlüsselung. Die Risiken von Hintertüren und die Vorteile von Client-Side-Scanning stehen im Fokus. Zudem wird die Problematik von Hashes und das Konzept der perzeptiven Hashes behandelt. Sie analysieren Fehlerraten und deren Auswirkungen, einschließlich realer Probleme durch falsche Treffer. Abschließend wird deutlich, dass die Technik noch nicht ausgereift genug ist.

In der neuesten Folge von "Passwort" kommen die Hosts an einer kurzen Einordnung der explodierenden Pager nicht vorbei, halten sich aber mit dem Thema nicht lange auf. Schließlich gibt es noch viel anderes zu besprechen, etwa einen nun durch Strafverfolger abgeräumten Messengerdienst für Kriminelle, Details zum Fehler in Yubikeys, Malware mit cleveren Social-Engineering-Tricks und Clipboard-Manipulation und ein "bat-ylonisches" Dateiendungs-Gewirr. Qubes OS - a reasonable secure operating system: https://www.qubes-os.org/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

In Folge 14 haben Sylvester und Christopher erstmals einen Gast dabei, nämlich die c't-Prozessor-Koryphäe Christof Windeck. Und mit dem zusammen tauchen sie ganz tief in ein Thema ein, das oftmals im Verborgenen bleibt: Sicherheitsfunktionen moderner Prozessoren. Speziell geht es diesmal um Intels "Management Engine", die nicht nur wichtige Funktionen rund um die Absicherung des Systems übernimmt, sondern auch ein eigenes Betriebssystem mitbringt und Fernwartung ermöglicht. Wieso das manchmal auch ein Problem sein kann und ob man seinem Intel-PC die Wartungsfunktionen abgewöhnen kann, bespricht Christof mit den Passwort-Hosts. Bit-Rauschen, der Prozessor-Podcast: https://www.heise.de/thema/bit-rauschen Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

Pavel Durov, der Gründer von Telegram, wird diskutiert, insbesondere seine Festnahme und die Sicherheit des Messengers. Die Episode beleuchtet zudem die Probleme von Secure Boot unter Linux und die Diskussion um OpenSSL-Änderungen. Besonders spannend sind die Sicherheitsrisiken bei MLOps sowie die Herausforderungen der KI-Sicherheit. Außerdem werden die Kontroversen um Telegram und seine Ende-zu-Ende-Verschlüsselung sowie deren Einfluss auf politische Kommunikation thematisiert. Ein tiefgehender Einblick in die aktuellen Sicherheitsherausforderungen.

Das Konzept des Zero Trust gewinnt in der IT-Sicherheit an Bedeutung. Praktische Anwendungen und weit verbreitete Missverständnisse werden erläutert. Der Fokus liegt auf der kontinuierlichen Überprüfung des Zugriffs und den Herausforderungen der Implementierung. Sicherheitsvorfälle verdeutlichen die Notwendigkeit von Zero Trust Modellen. Auch Risiken im Identity Management und die Verschlüsselung von DNS-Anfragen werden behandelt. Schließlich wird die Bedeutung der Nutzerintegration für robuste Berechtigungsmodelle hervorgehoben.

In der elften Folge von "Passwort" reden Sylvester und Christopher über einige Security-News der vergangenen Tage. Den Anfang macht eine Remote-Code-Execution-Lücke in Windows, die durch manipulierte IPv6-Pakete ausgelöst wird und bis jetzt noch für verdächtig wenig Aufregung sorgt. Ein bekannter Tech-Youtuber ging durch Phishing seines X-Kontos verlustig und Google ließ sich Fake-Werbung für seine eigenen Sicherheitsprodukte unterschieben - das erstaunt die Hosts, die mit mehr Gegenwehr seitens der Opfer gerechnet hätten. Außerdem geht es um einen Cyberkriminellen, der sich einen Datenschatz bei einer Darknet-Überwachungsfirma zusammenkratze und eine in letzter Sekunde verhinderte massive Supply-Chain-Attacke gegen Python. Für Liebhaber CA-bezogener Neuigkeiten gibt's am Ende noch ein Schmankerl, bei dem auch Juristen mitmischten. PwnedPasswords Downloader: https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader Für hartgesottene, die trotz Sylvesters Warnung einen E-Mail-Server selbst hosten möchten: https://github.com/postalserver/postal

Die Moderatoren begeistern mit einem Blick auf die geheimen Cybersoldaten Nordkoreas, die für das Regime spionieren und Erpressungsgelder erbeuten. Sie erläutern die gefährlichen Aktivitäten der Lazarus-Gruppe und beleuchten die verheerenden Auswirkungen von Cyberangriffen wie WannaCry. Zudem wird die Ausnutzung von Kryptowährungen zur Finanzierung illegaler Programme diskutiert. Überraschende Betrugsfälle in der Sicherheitsbranche zeigen, wie angreifbar Unternehmen sind. Eine spannende Mischung aus Cyber-Kriminalität und geopolitischen Themen!

In Folge 9 von Passwort reden Christopher und Sylvester über eine Reihe von Security-News der letzten Tage: Die weltgrößte Zertifizierungsstelle Let’s Encrypt will das Online Certificate Status Protocol (OCSP) loswerden und Secure Boot kämpft, mal wieder, mit Problemen und Schlampereien. Außerdem reden die Hosts über einen neuen Passwort-Check bei GMX und Web.de und die Security von Blockchain- Projekten – anlässlich eines aktuellen besonders teuren Malheurs. Das Urgestein GhostScript macht mit einen Sicherheitsproblem auf sich selbst und vor allem auf den interessanten Charakter des Formats PostScript aufmerksam. Korrekturen: Sylvester nennt das Protokoll fälschlicherweise "Open Certificate Status Protocol", richtig ist "Online Certificate Status Protocol". Und bei etwa 18:55 erzählt Sylvester, die CRLs großer CAs würden Gigebytes messen. Das stimmt so nicht, sondern ist der Worst-Case, wenn eine CA viele (oder sogar alle) ihrer Zertifikate zurückrufen müsste. Für diesen Worst-Case muss die Infrastruktur allerdings ausgelegt sein. c’t-Artikel über Zertifikatswiderrufe: https://heise.de/-9642194 Folge der c’t Auslegungssache zum Thema „Datenlecks verhindern“: https://heise.de/-9762321 c’t-Artikel zu Mailpasswörtern im neuen Outlook: https://www.heise.de/select/ct/2023/28/2331715395648017635 https://www.web3isgoinggreat.com