Passwort - der Podcast von heise security

In dieser Diskussion geht es um den aktuellen Vorfall bei CrowdStrike und die damit verbundenen Sicherheitsprobleme. Die Hosts beleuchten die Herausforderung eines fehlerhaften Updates, das zu weitreichenden Systemausfällen führte. Zudem wird die Bedeutung vollständiger Image-Backups und die Möglichkeit erörtert, treiberseitig Rust für Windows Kernel zu nutzen. Microsofts Reaktion auf die Krise und die kritische Analyse von Cyberversicherungen und Haftungsfragen in der IT ergänzen die spannenden Themen. Ein aufschlussreicher Blick in die Sicherheitslage!

In der siebten Folge von Passwort geht es um "Prompt Injections": Angriffe auf Software, deren Basis eine Sprach-KI ist. Solche Systeme sprießen in letzter Zeit allenthalben, aber ihre Sicherheit findet mitunter wenig Beachtung. Die Hosts Christopher und Sylvester erklären, was Prompt Injections eigentlich sind und welche Gefahren von ihnen ausgehen. Außerdem erörtern die beiden, wie man sich als Nutzer, als Softwareanbieter und auch als KI-Hersteller schützen kann – wenn auch nur bedingt – und warum das Problem so hartnäckig ist. Unser Schwesterpodcast zu KI-Themen: https://www.heise.de/thema/KI-Update

Die Moderatoren diskutieren das Vertriebsverbot von Kaspersky in den USA, Reputation Farming im Linux-Kernel, Malware auf Domain für Javascript-Bibliothek, Probleme bei Zertifizierungsstelle Entrust und Bedenken gegen Telegram.

In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von "Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern, mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln ihre Sicht der Dinge mit dem Holzhammer. CVE-Datenbanken: CVE-Suche von Mitre: https://www.cve.org CVE-Suche der NVD: https://nvd.nist.gov/vuln/search Beispiele für Problem-CVEs Curl: https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/ & https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/ PostgreSQL: https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/ KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/ Azure: https://heise.de/-9755370 CVE-Regeln Regelwerk für CNAs: https://www.cve.org/ResourcesSupport/AllResources/CNARules Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html Talk von Greg KH zu CVEs: https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/

In Folge 4 sehen sich Christopher und Sylvester eine Reihe von aktuellen Meldungen an. Die Hosts diskutieren am Beispiel Proton das beliebte Konstrukt, eine kommerzielle Firma unter das Dach einer gemeinnützigen Stiftung zu stellen. Außerdem geht es um eine vielsagende Parsing-Lücke in wget, eine Anti-Phishing-Lösung, die durch das Certificate-Transparency-Projekt funktioniert, und einen Bug in Apples visionOS, der im wahrsten Sinne des Wortes gruselig ist. Zum Schluss verzweifeln Christopher und Sylvester noch ein bisschen an der Updatedisziplin vieler Exchange- und MSSQL-Betreiber – oder besser gesagt, an der Abwesenheit dieser Disziplin. PS: Leider haben wir am Anfang der Aufnahme zwei ganz kurze Aussetzer. Es handelt sich bei den Lücken aber nicht um Sicherheitslücken ;) Gemeinnützige Stiftungen: Proton Foundation: https://proton.me/blog/proton-non-profit-foundation OpenAI-Umstrukturierung: https://heise.de/-9765565 wget: Mailthread zum Bug: https://lists.gnu.org/archive/html/bug-wget/2024-06/msg00005.html BigPhish: BigPhish-Erklärung: https://heise.de/-9774101 CT-Livestream: https://certstream.calidog.io CT-Analysetool: https://crt.sh visionOS-Spinnenbug: Bugreport: https://www.ryanpickren.com/vision-pro-hack Update-Probleme: Angreifbare Exchange-Server: https://heise.de/-9770441 Angreifbare MS-SQL-Server: https://heise.de/-9769490 Outtro: Windows Recall nur für Insider: https://archive.ph/86ekx

In Folge 3 betrachten Christopher und Sylvester im Newsteil den Rausschmiss einer CA aus den Browsern und warum das nicht nur positiv ist. Außerdem erzählen die beiden Security-Podcaster, wie sie Microsofts Recall finden. Im Hauptteil geht es um eine teure und lästige Art der Online-Attacke: Denial of Service. Die Hosts diskutieren, welche Arten von DoS es gibt, wie Angreifer mit wenig Aufwand terabiteweise Daten auf ihre Opfer schleudern und ob man sich gegen DoS-Angriffe schützen kann. News-Teil: Lockbit: https://cabforum.org/working-groups/server/baseline-requirements/ GlobalTrust: https://heise.de/-9746473, CA/B Baseline Requirements für CAs: https://cabforum.org/working-groups/server/baseline-requirements/requirements Hauptteil: Rekord-dDoS: https://blog.cloudflare.com/de-de/cloudflare-mitigates-record-breaking-71-million-request-per-second-ddos-attack-de-de/ dDoS auf die Bundesregierung: https://www.tagesschau.de/inland/cyberattacke-bundesregierung-ddos-101.html FastNetMon als Selbstbau-Lösung für Netzwerk-Admins: https://github.com/pavel-odintsov/fastnetmon

Diskussion über VPN-Angriffe, WLAN-Sicherheit und sichere Kommunikation. Analyse von Tornado-Cash-Entwicklerurteil und Verschlüsselungstechnologien. Vergleich zwischen Signal und Telegram in Bezug auf Kommunikationssicherheit. Auswirkungen von 'Trust on First Use' auf Datenschutz. Bedrohung durch Spyware und rechtliche Herausforderungen bei der Verwendung von Screenshots in Gerichtsverfahren. Quantensicherheit von Messenger-Diensten und Risiken von nicht-Open-Source-Software.

In der ersten Folge schauen sich Christopher und Sylvester die Geschichte einer der bekanntesten und erfolgreichsten Ransomware-Banden an: LockBit. Was steckt hinter der Gruppe, die seit Jahren Unternehmen weltweit angreift - und bedeuten die jüngsten Polizeiaktionen ihr Aus?