Passwort - der Podcast von heise security

Christopher und Sylvester tauchen tief in die Große Chinesische Firewall ein. Sie erläutern ihre Entstehung und technischen Mechanismen und beleuchten, wie auch Gegner kreative Anti-Zensur-Tools entwickeln. Besondere Aufmerksamkeit gilt der Kommerzialisierung von Zensurtechnologien, die China international anbietet. Zudem wird die Funktionsweise verschiedener Filtermechanismen, von DNS-Spoofing bis hin zu VPN-Erkennung, diskutiert. Abschließend werfen sie einen Blick auf die fragmentierte digitale Landschaft und ihre Risiken.

Die Host diskutieren den kürzlichen AWS- und Azure-Ausfall und betonen, wie wichtig Verfügbarkeit für die IT-Sicherheit ist. Sie beleuchten eine gefährliche Sicherheitslücke im Windows Server Update Services und die riskante Ausnutzung durch Malware. Zudem erforschen sie die Problematik von unsicheren Deserialisierern und die Risiken damit verbunden. Ein weiterer spannender Punkt ist der PKI-Fall der kroatischen CA FINA, die ungültige Zertifikate für Cloudflare ausgestellt hat und die damit verbundenen Vertrauensprobleme.

In dieser Folge geht es um die umstrittene Chatkontrolle der EU, die erneut diskutiert wird und verschlüsselte Kommunikation gefährdet. Oracle steht im Fokus wegen einer kritischen Sicherheitslücke und schwacher Kommunikation. Zudem wird die Einführung von Post-Quantum-Krypto bei Signal beleuchtet, um Messenger im Quantenzeitalter sicherer zu machen. Die Vorteile hybrider Quantenverschlüsselungssysteme werden erörtert und diskutiert, warum asymmetrische Verfahren durch Quantencomputer bedroht sind.

Das Hackermagazin Phrack feiert sein 40-jähriges Bestehen. Die Hosts sprechen über die Anfänge und den Einfluss des Magazins auf die Hackerethik. Skyper gibt spannende Einblicke in den Einreichprozess und die Redaktion. Ein zentrales Thema ist die Analyse eines Leaks, das mit nordkoreanischen und chinesischen Akteuren in Verbindung steht. Diskussionen über technische Details, Verantwortlichkeit bei der Veröffentlichung und die Reaktionen in Südkorea runden das Thema ab. Ein mysteriöses Rechenzentrumsfeuer wirft zusätzliche Fragen auf.

In dieser spannenden Bonusfolge wird Apples neue Speicherschutztechnik vorgestellt, die das Sicherheitssystem in iPhones verbessert. Zudem wird ein brisanter Sicherheitsvorfall beleuchtet, bei dem ein Chatbot Zugriff auf Salesforce-Konten ermöglichte, was viele große Unternehmen betraf. Die Hosts diskutieren die Gefahren von Chatbots als Marketinginstrumente und die Risiken von Backend-Zugriffen. Weitere Themen sind die technische Bewertung von Speicher-Integritätsmechanismen und die Herausforderungen bei der Sicherheitsimplementierung in der Entwicklerwelt.

Die US-Behörde CISA hat große Pläne für das CVE-System, doch es gibt Bedenken bezüglich möglichem Machtmissbrauch. Eine spannende Diskussion dreht sich um den möglichen Ausbau von XSLT in Browsern und die Alternativen zu dieser Technologie. Zudem wird die Gefährdung des NPM-Ökosystems thematisiert, mit Berichten über aufeinanderfolgende Angriffe, die durch unsichere GitHub-Aktionen ausgelöst wurden. Die Hosts zeigen auf, welche Maßnahmen Entwickler ergreifen können, um sich vor solchen Bedrohungen zu schützen.

Die Hosts beleuchten merkwürdige Marketing-Mails von DigiCert und kritisieren deren Phishing-Anfälligkeit. Zudem diskutieren sie die Herausforderungen der Microsoft PKI und die Schwierigkeiten bei der Zertifikatswiderrufung. Ein spannendes Thema sind die von Qualys entdeckten Core-Dump-Lücken und deren Auswirkungen auf Linux-Programme. Schließlich analysieren sie die MadeYouReset-Schwachstelle, die Server über HTTP/2 angreift. Praktische Abwehrstrategien und technische Details zu diesen Problemen werden ebenfalls behandelt.

Die Rückkehr aus dem Urlaub bringt spannende Themen mit sich! Eine umfangreiche Studie zeigt, dass viele Anti-Phishing-Maßnahmen ineffektiv sind. Besonders kritisch wird die Fehlerkommunikation bei Microsoft beleuchtet, einschließlich schwerwiegender Sicherheitsvorfälle in SharePoint. Außerdem wird die Problematik der Zertifikatstransparenz bei Let's Encrypt betrachtet, während die Herausforderungen der KI-Integration sowie die Bedeutung von Audit-Logs thematisiert werden. Insgesamt ein informativer Blick auf aktuelle Sicherheitsfragen und Unternehmenskommunikation.

Jan Mahn, CT-Redakteur mit umfangreicher Erfahrung in Blockchain und Cloud-Technologien, spricht über die Risiken von Smart Contracts. Sie diskutieren einen aktuellen Angriff, der tausende Verträge ins Visier nahm. Jan erläutert, wie Fehler in sichtbarem Code ausgenutzt werden können und die Herausforderungen bei der Verknüpfung von Blockchain mit der realen Welt. Zudem erklären sie die Sicherheitsversprechen von Smart Contracts und die Lehren aus früheren Hacks, während sie die Grenzen der Blockchain-Sicherheit kritisch betrachten.

Peter Thomassen, DNSSEC-Experte und Betreiber von deSEC, beleuchtet die Sicherheitsaspekte des Domain Name Systems. Er erklärt, wie DNSSEC die Integrität von Daten garantiert und welche Herausforderungen bei der Automatisierung bestehen. Themen wie Malware in TXT-Records und die Notwendigkeit von Schlüsselrotation treten deutlich hervor. Außerdem diskutiert er die Post-Quantum-Bedrohung und den Einfluss auf die Kryptoagilität von DNSSEC. Praktische Tipps zur Aktivierung von DNSSEC bieten Hörern einen sofortigen Einstieg.