Passwort - der Podcast von heise security

Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären. Nicht nur graue Theorie, auch apfelbunte Praxis kommt nicht zu kurz: Eine Anwendung in Apples Cloud zeigt, wie nützlich homomorphe Verschlüsselung ist. Craig Gentry's Paper zu FHE mit ideal lattices Craig Gentry's Dissertation zu FHE MS "Kryptonets" Paper von 2016 https://fhe.org/resources/ https://homomorphicencryption.org Michaels Artikel über die Apple-Usecases (+) Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge geht es um die bedrohliche Welt staatlich sanktionierter Spyware, die gezielt gegen Bürger eingesetzt wird. Die Hosts analysieren die berühmten Anbieter Pegasus und Predator sowie deren dubiose Geschäftsmodelle. Spannend sind die Methoden, wie Spyware auf Smartphones gelangt, etwa durch physische Installation oder Zero-Day-Angriffe. Es wird diskutiert, wem diese Technologien nützen und wie sie politisch missbraucht werden können. Zudem gibt es Tipps zur Geräteabsicherung und zu präventiven Maßnahmen gegen Überwachung.

Christopher und Sylvester kämpfen sich mal wieder durch einige Ankündigungen für Zertifikate und Vorfälle mit denselben. Außerdem werfen sie einen Blick auf eine Malwaregruppe, die auf andere Cyberkriminelle und Sicherheitsforscher abzielt, und besprechen, warum diese Gruppen oft so viele komische Namen haben. Zuletzt geht es noch um neue Tricks, wie Nutzer über ihre Browserengine nachverfolgt werden können – und wie man sich dagegen wehrt. Let's Encrypt-Ankündigung Bericht zu MUT-1244 Threat-Actor-Naming-RFC CSS-Fingerprinting c’t-Mailclient-Übersicht Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Ein neu entdecktes Linux-Bootkit sorgt für Aufregung, da es über UEFI Linux-Systeme infizieren kann. Die Sprecher analysieren die Funktionsweise von Bootkits und deren Gefahren für die Computersicherheit. Sie beleuchten auch Sicherheitsanfälligkeiten im UEFI-Boot-Prozess und diskutieren nostalgische Erinnerungen an frühere Technologien. Zudem wird die Bedeutung von Sicherheitsupdates und Firmware-Patches hervorgehoben. Eine spannende Mischung aus technischer Analyse und persönlichen Anekdoten macht diese Diskussion besonders unterhaltsam.

In der ersten Folge des Jahres meldet sich Christopher aus dem Hamburger Außenstudio. Mit zwei Gästen, nämlich Linus Neumann vom CCC und Prof. Florian Adamsky von der Hochschule Hof, spricht er über vier aktuelle Themen, die auch Gegenstand von 38C3-Vorträgen sind: Die Rowhammer-Sicherheitslücke in DRAM, das Datenleck bei VW, unsichere Wahlsoftware und aus China gesteuerte Fake-Shops. 38C3-Talk zu FlippyRAM: https://media.ccc.de/v/38c3-ten-years-of-rowhammer-a-retrospect-and-path-to-the-future FlippyRAM: https://flippyr.am/ 38C3-Talk zu Volkswagen-Leck: https://media.ccc.de/v/38c3-wir-wissen-wo-dein-auto-steht-volksdaten-von-volkswagen SRLabs zu BogusBazaar: https://www.srlabs.de/blog-post/bogusbazaar Fakeshop-Finder der Verbraucherzentrale: https://www.verbraucherzentrale.de/fakeshopfinder-71560 38C3-Talk zu BogusBazaar: https://media.ccc.de/v/38c3-fake-shops-von-der-stange-bogusbazaar 38C3-Talk zum Thüring-Test: https://media.ccc.de/v/38c3-der-thring-test-fr-wahlsoftware Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge wird der ZUGFeRD-Standard für E-Rechnungen beleuchtet. Die Hosts diskutieren die Risiken von Inkonsistenzen zwischen PDF und XML in der Buchhaltung. Zudem werfen sie einen Blick auf die technische Infrastruktur von Darknet-Marktplätzen und die aktuelle Verhaftung des Cyberkriminellen Wazawaka. Es gibt spannende Einblicke in Passwort-Policies und deren fragwürdige Auswirkungen, sowie einen Ausblick auf die Änderungen bei OCSP-URLs durch Let's Encrypt. Interessante technische Lösungen gegen Bot-Angriffe werden ebenfalls präsentiert.

Immer wieder berichten wir im heise Newsticker über APT-Angriffe gegen Firewalls und Security Appliances und deren teilweise haarsträubende Sicherheitslücken. Ein großer Hersteller solcher Geräte hat nun kurzerhand den Spieß umgedreht und seine Geräte in einigigen Fällen zu Lausch-Stationen umfunktioniert. Und zwar in China, wo sie offenbar von Exploit-Herstellern als Testgeräte für deren Malware genutzt wurden. Welches jahrelange Katz-und-Maus-Spiel der Hackback-Aktion vorausging und warum sie dieses Vorgehen für nicht ganz unproblematisch halten, diskutieren Sylvester und Christopher in der zwanzigsten "Passwort"-Folge. Diamond Model of Intrusion Analysis Timeline Pacific Rim Sophos-CISO Ross McKerchaw im Interview Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Zu den letzten Episoden gab es viel inhaltliches Feedback, auf das Christopher und Sylvester in Folge 19 gerne eingehen. Außerdem reden die beiden noch einmal über das Tor-Projekt, denn eine aktuelle und interessante Angriffswelle auf das System hat es gerade so nicht in die vergangene Folge geschafft. Anschließend schauen sich die Hosts einige in letzter Zeit bekannt gewordene Security-Fails an. Die sind teilweise wirklich erschreckend und fanden sich ausgerechnet in Produkten von IT-Sicherheitsfirmen. So mancher Hersteller muss sich offenbar nochmal die Basics hinter die Ohren schreiben. Um Zertifikate geht es natürlich auch wieder, denn was wäre das Internet, ohne Geknarze in seiner Public-Key-Infrastruktur? Frontal-Bericht BCP-38 Passwort-Hashing-Funktionen Géant vs. Sectigo Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In Folge 18 geht es um Angriffe auf das Tor-Netzwerk. Dieses System zur Anonymisierung, das oft mit dem Darknet gleichgesetzt wird, stand schon immer unter erheblichen Druck durch alle möglichen Angreifer, einschließlich Ermittlungsbehörden. Die Hosts sehen sich an, wie das Netzwerk funktionieren soll und an welchen Stellen es hapert. Trickreiche und mit ausreichend Ressourcen ausgestattete Angreifer können dort ansetzen und offenbar gezielt Tor-Nutzer enttarnen. Organisationen, die Tor-Relays betreiben: https://torservers.net/partners/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

In der 17. Folge geht's los mit Cybercrime, speziell Razzien gegen Kryptobörsen. Außerdem haben Sylvester und Christopher etwas zu perfctl, einer sehr vielseitigen Linux-Malware mitgebracht, sprechen über löchrige Prozessor-Barrieren und vom Internet erreichbare Druckserver. Und wie so häufig, gibt es auch mal wieder etwas Neues aus der bunten Welt der digitalen Zertifikate. Operation Endgame Videos: https://www.operation-endgame.com/#videos IBPB - Breaking the Barrier: https://comsec.ethz.ch/research/microarch/breaking-the-barrier/ Bitrauschen - der heise Prozessor-Podcast: https://bit-rauschen.podigee.io/ CUPS-Lücken: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro