Passwort - der Podcast von heise security

Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben. The CRA and what it means for us (Greg Kroah-Hartman) Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt Yealink-Artikel von DNIP Ver- und Entschlüsselung der Yealink-Firmware Mastodon-Account mit VNC-Servern Diskussion über ssl.com-Fehler im Mozilla-Bugtracker Betreibt Euer eigenes CT-Log Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferkette so unübersichtlich geworden ist, dass man unmöglich sagen kann, welche Geräte betroffen sind. https://mjg59.dreamwidth.org/71646.html & https://mjg59.dreamwidth.org/71933.html https://blog.cryptographyengineering.com/2025/06/09/a-bit-more-on-twitter-xs-new-encrypted-messaging/ DNSSEC KSK Ceremony Greg Kroah-Hartman zur Kernel-CVE-Praxis https://heise.de/-9777933 XKCD Dependancy Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Meta und Yandex geraten wegen ihrer aggressiven Trackingmethoden in die Kritik. Die Hosts diskutieren, wie diese Techniken den Datenschutz untergraben und Nutzerinformationen heimlich sammeln. Besondere Besorgnis besteht über die Ähnlichkeiten zu Malware-Praktiken. Ein Augenmerk liegt auf den Sicherheitsproblemen der Yandex-App und der unzureichenden Reaktion von Meta auf Datenschutzforderungen. Ethische Herausforderungen bei Tracking-Technologien werden ebenfalls beleuchtet, während persönliche Erfahrungen der Moderatoren einen Einblick in die Praktiken der sozialen Medien geben.

In dieser Diskussion geht es um spannende Veränderungen im WebPKI-Bereich und die Marktmacht großer Browser. Sylvester stellt das hilfreiche Tool Oniux für Tor-Nutzer vor, während er auch die Risiken von .onion-URLs bei DNS-Abfragen thematisiert. Die Zerschlagung der Luma-Bande zeigt, wie Ermittler in der Cyberkriminalität gegen Malware-Loader vorgehen. Außerdem wird die Problematik internationaler Haftbefehle bei der Verfolgung von Cyberkriminellen erörtert, sowie die Herausforderungen rund um Passwortsicherheit und die Bedeutung von Transparenz in der Sicherheitslandschaft.

Dr. Sabrina Patsch, Physikerin und Expertin für Quantentechnologie, und Wilhelm Drehling, Redakteur für Post-Quantum-Kryptografie, beleuchten die Bedrohung durch Quantencomputer für die Kryptografie. Sie erklären, welche Algorithmen betroffen sind, insbesondere den Shor-Algorithmus, und warum Grover weniger gefährlich ist. Die Gäste diskutieren auch die Herausforderungen aktueller Quantenmaschinen, die Bedeutung von Post-Quantum-Verfahren und innovative Ansätze zur sicheren Kommunikation. Ein spannender Einblick in die Zukunft der Kryptografie!

In dieser Episode dreht sich alles um spannende Sicherheitsfragen. Die Hosts beleuchten riskante USB-Ladestationen und führen das Konzept des 'Choice-Jacking' ein. Ein faszinierendes neues Phänomen, das 'Slopsquatting', wird als Sicherheitsrisiko diskutiert. Zudem gibt es kritische Einblicke in die Sicherheitsprobleme führender Hersteller wie Fortinet. Auch die beschlossene Reduzierung der Zertifikatslaufzeiten zur Verbesserung der Web-PKI findet Beifall. Aktuelle Themen zur Sicherheit von SaaS-Diensten und Datenschutzfeatures bei WhatsApp runden die Diskussion ab.

Die Gesprächspartner analysieren das i-Soon-Leak, das Einblicke in die chinesische Cybercrime-Industrie gibt. Die komplexe Beziehung zwischen Cyberkriminalität und staatlicher Kontrolle wird beleuchtet. Zudem werden die ethischen Grauzonen inzwischen agierenden Sicherheitsprofis thematisiert. Ein Cyberangriff auf Microsoft-Postfächer und die Problematik von Fake-Produkten rahmen die Diskussion. Schließlich wird die geopolitische Dimension der Cyberkriminalität und deren Auswirkungen auf internationale Sicherheitsstrategien betrachtet.

Die Hosts kritisieren laxen Sicherheitspraktiken bei großen Firmen und dessen Krisen-PR. Sie analysieren die Gefahren von Smartphones vor dem Entsperren und diskutieren Passwort-Hashing. Eine prominente Phishing-Attacke wird thematisiert, wobei betroffene Nutzer ermutigt werden, sich nicht für ihre Opferrolle zu schämen. Zudem beleuchten sie Herausforderungen in der Zertifikatsvalidierung und neue Ansätze zur Optimierung der Cybersicherheit.

Viktor Schlüter, Experte für digitale Sicherheit bei Reporter ohne Grenzen, enthüllt die bedrohlichen Praktiken zur Smartphone-Durchsuchung. Er erklärt, wie Staaten illegitim auf Daten zugreifen, insbesondere bei Journalist*innen. Der Einsatz von speziellen Geräten wird thematisiert, sowie der Kampf gegen digitale Angriffe. Schlüter beleuchtet auch ethische Fragen zur digitalen Forensik und diskutiert Schutzmaßnahmen für gefährdete Personen. Ein erschreckender Einblick in die Schnittstelle von Technik und Bürgerrechten!

Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen. https://blog.thc.org/practical-https-interception CertSpotter: https://github.com/SSLMate/certspotter https://tuta.com/de/blog/france-surveillance-nacrotrafic-law https://support.apple.com/en-us/122234 https://www.cl.cam.ac.uk/~ah793/papers/2025police.pdf https://www.bloomberg.com/opinion/articles/2025-03-03/citi-keeps-hitting-the-wrong-buttons https://www.heise.de/news/BAMF-Skurrile-Testkonten-ermoeglichten-unautorisierten-Datenzugriff-10305691.html https://github.com/jlopp/physical-bitcoin-attacks Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort