Bölümler
-
In Folge 18 geht es um Angriffe auf das Tor-Netzwerk. Dieses System zur Anonymisierung, das oft mit dem Darknet gleichgesetzt wird, stand schon immer unter erheblichen Druck durch alle möglichen Angreifer, einschließlich Ermittlungsbehörden. Die Hosts sehen sich an, wie das Netzwerk funktionieren soll und an welchen Stellen es hapert. Trickreiche und mit ausreichend Ressourcen ausgestattete Angreifer können dort ansetzen und offenbar gezielt Tor-Nutzer enttarnen.
- Organisationen, die Tor-Relays betreiben:
https://torservers.net/partners/
Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro -
In der 17. Folge geht's los mit Cybercrime, speziell Razzien gegen Kryptobörsen. Außerdem haben Sylvester und Christopher etwas zu perfctl, einer sehr vielseitigen Linux-Malware mitgebracht, sprechen über löchrige Prozessor-Barrieren und vom Internet erreichbare Druckserver. Und wie so häufig, gibt es auch mal wieder etwas Neues aus der bunten Welt der digitalen Zertifikate.
- Operation Endgame Videos: https://www.operation-endgame.com/#videos
- IBPB - Breaking the Barrier: https://comsec.ethz.ch/research/microarch/breaking-the-barrier/
- Bitrauschen - der heise Prozessor-Podcast: https://bit-rauschen.podigee.io/
- CUPS-Lücken: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro -
Eksik bölüm mü var?
-
Chatkontrolle ist ein heißes politisches Eisen. Aber auch technisch gibt es einigen Gesprächsbedarf darüber. In der aktuellen Folge von "Passwort" sprechen die Hosts darüber, welche technischen Vorgänge und Fragestellungen hinter der Chatkontrolle stecken, wo es hakt und warum das immer wieder von Lobbyisten und Politikern eingebrachte Vorhaben technisch auf tönernen Füßen steht.
- https://www.heise.de/hintergrund/Kindesmissbrauch-stoppen-Mit-Algorithmen-illegale-Bilder-erkennen-6306740.html
- Europol-Report "AI and Policing": https://www.europol.europa.eu/publication-events/main-reports/ai-and-policing
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos:
https://aktionen.heise.de/heise-security-pro -
In der neuesten Folge von "Passwort" kommen die Hosts an einer kurzen Einordnung der explodierenden Pager nicht vorbei, halten sich aber mit dem Thema nicht lange auf. Schließlich gibt es noch viel anderes zu besprechen, etwa einen nun durch Strafverfolger abgeräumten Messengerdienst für Kriminelle, Details zum Fehler in Yubikeys, Malware mit cleveren Social-Engineering-Tricks und Clipboard-Manipulation und ein "bat-ylonisches" Dateiendungs-Gewirr.
- Qubes OS - a reasonable secure operating system: https://www.qubes-os.org/
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos:
https://aktionen.heise.de/heise-security-pro -
In Folge 14 haben Sylvester und Christopher erstmals einen Gast dabei, nämlich die c't-Prozessor-Koryphäe Christof Windeck. Und mit dem zusammen tauchen sie ganz tief in ein Thema ein, das oftmals im Verborgenen bleibt: Sicherheitsfunktionen moderner Prozessoren. Speziell geht es diesmal um Intels "Management Engine", die nicht nur wichtige Funktionen rund um die Absicherung des Systems übernimmt, sondern auch ein eigenes Betriebssystem mitbringt und Fernwartung ermöglicht.
Wieso das manchmal auch ein Problem sein kann und ob man seinem Intel-PC die Wartungsfunktionen abgewöhnen kann, bespricht Christof mit den Passwort-Hosts.
Bit-Rauschen, der Prozessor-Podcast: https://www.heise.de/thema/bit-rauschen
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos:
https://aktionen.heise.de/heise-security-pro -
In der Folge mit der Unglückszahl 13 geht es um diverse Dinge, die unglücklich gelaufen sind, von Linux-Bootloadern, die Microsoft nur teilweise unabsichtlich blockiert hat, bis zur mangelhaften Sicherheit bei "MLOps", also dem KI-Pendant zu DevOps. Zuerst schauen sich Christopher und Sylvester aber eine sehr erfreuliche Diskussion zu OpenSSL an; die Entwickler haben ihre Community um Meinungen zu einer sicherheitsrelevanten Änderung gebeten. Außerdem geht es um die Festnahme von Pavel Durov, den Schöpfer des gar-nicht-so-sicheren Messengers Telegram, und das altehrwürdige Hacker-ezine "Phrack", das in Ausgabe 71 erschienen ist.
-
Folge 12 von Passwort befasst sich mit "Zero Trust". Dieses
Sicherheitskonzept macht in letzter Zeit immer wieder von sich reden,
aber zu Recht? Oder ist es nur das nächste PR-Buzzword, mit dem
Produkte sich besser verkaufen sollen? Getreu der Beschreibung ihres
Podcasts blicken Christopher und Sylvester hinter den Hype: Zero-Trust
ist durchaus ein ernstzunehmendes Konzept, mit dem man sich
beschäftigen sollte. Wenig überraschend hat es aber auch Schwächen und
kann (so viel sei verraten) seinem marktschreierischen Namen nicht
gerecht werden – ganz ohne Vertrauen kommt nun mal nichts und niemand
aus. -
In der elften Folge von "Passwort" reden Sylvester und Christopher über einige Security-News der vergangenen Tage. Den Anfang macht eine Remote-Code-Execution-Lücke in Windows, die durch manipulierte IPv6-Pakete ausgelöst wird und bis jetzt noch für verdächtig wenig Aufregung sorgt. Ein bekannter Tech-Youtuber ging durch Phishing seines X-Kontos verlustig und Google ließ sich Fake-Werbung für seine eigenen Sicherheitsprodukte unterschieben - das erstaunt die Hosts, die mit mehr Gegenwehr seitens der Opfer gerechnet hätten. Außerdem geht es um einen Cyberkriminellen, der sich einen Datenschatz bei einer Darknet-Überwachungsfirma zusammenkratze und eine in letzter Sekunde verhinderte massive Supply-Chain-Attacke gegen Python. Für Liebhaber CA-bezogener Neuigkeiten gibt's am Ende noch ein Schmankerl, bei dem auch Juristen mitmischten.
- PwnedPasswords Downloader: https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader
- Für hartgesottene, die trotz Sylvesters Warnung einen E-Mail-Server selbst hosten möchten: https://github.com/postalserver/postal -
Zehnte Folge, das ging schnell! Aber statt die Korken zum Mini-Jubiläum knallen zu lassen, machen Christopher und Sylvester mit ihren Hörern einen Ausflug nach Asien, genauer gesagt nach Nordkorea. Dort arbeiten unter der Führung des Militärgeheimdiensts tausende Cybersoldaten für das Kim-Regime. Sie spionieren, infiltrieren, sabotieren - und erbeuten hunderte Millionen Dollar fürs nordkoreanische Rüstungsprogramm. Wer die Gruppen mit Namen wie Andariel, Lazarus oder BlueNorOff sind und was sie mit einer mittelmäßigen Filmsatire zu tun haben, erfahrt Ihr im Podcast.
* Die Killswitch-Domain von WannaCry sieht aus wie auf dem Keyboard ausgerutscht: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
* Knowbe4 von nordkoreanischem Fake-Mitarbeiter infiltriert: https://www.heise.de/news/l-f-IT-Sicherheitsunternehmen-stellt-unbeabsichtigt-Cyberkriminellen-ein-9814563.html
* Advisory internationaler Sicherheitsbehörden zu gefährdeten Branchen: https://www.ic3.gov/Media/News/2024/240725.pdf -
In Folge 9 von Passwort reden Christopher und Sylvester über eine Reihe
von Security-News der letzten Tage: Die weltgrößte
Zertifizierungsstelle Let’s Encrypt will das Open Certificate Status
Protocol (OCSP) loswerden und Secure Boot kämpft, mal wieder, mit
Problemen und Schlampereien. Außerdem reden die Hosts über einen neuen
Passwort-Check bei GMX und Web.de und die Security von Blockchain-
Projekten – anlässlich eines aktuellen besonders teuren Malheurs. Das
Urgestein GhostScript macht mit einen Sicherheitsproblem auf sich
selbst und vor allem auf den interessanten Charakter des Formats
PostScript aufmerksam.
* c’t-Artikel über Zertifikatswiderrufe: https://heise.de/-9642194
* Folge der c’t Auslegungssache zum Thema „Datenlecks verhindern“:
https://heise.de/-9762321
* c’t-Artikel zu Mailpasswörtern im neuen Outlook:
https://www.heise.de/select/ct/2023/28/2331715395648017635
* https://www.web3isgoinggreat.com -
In der achten Folge von Passwort geht es um den aktuellen CrowdStrike-
Vorfall. Christopher und Sylvester erklären, was genau eigentlich
passiert ist, und diskutieren eine erste Analyse der Firma. Die
offenbart gravierende Mängel und lässt die Hosts an mehreren Stellen
etwas ratlos zurück. Die beiden überlegen außerdem, wie CrowdStrike,
Windows und die IT-Security-Community insgesamt solche Vorfälle in
Zukunft verhindern könnten.
Vorläufige Analyse von CrowdStrike ("Preliminary Post Incident Review"): https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
Recovery-Anleitungen von Microsoft: https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959
Gegen Ende erwähnter Blogpost von modzero: https://modzero.com/modlog/archives/2022/08/22/ridiculous_vulnerability_disclosure_process_with_crowdstrike_falcon_sensor/index.html -
In der siebten Folge von Passwort geht es um "Prompt Injections":
Angriffe auf Software, deren Basis eine Sprach-KI ist. Solche Systeme
sprießen in letzter Zeit allenthalben, aber ihre Sicherheit findet
mitunter wenig Beachtung. Die Hosts Christopher und Sylvester erklären,
was Prompt Injections eigentlich sind und welche Gefahren von ihnen
ausgehen. Außerdem erörtern die beiden, wie man sich als Nutzer, als
Softwareanbieter und auch als KI-Hersteller schützen kann – wenn auch
nur bedingt – und warum das Problem so hartnäckig ist.
Unser Schwesterpodcast zu KI-Themen:
https://www.heise.de/thema/KI-Update -
In Folge 6 von "Passwort" befassen Sylvester und Christopher sich mit aktuellen Geschehnissen der vergangenen Wochen. So verteilte die Domain für eine Javascript-Bibliothek plötzlich Malware, Kaspersky sieht sich mit einem umfassenden Vertriebsverbot in den USA konfrontiert und auch für die Zertifizierungsstelle Entrust läuft es nicht gut. Dass Unbekannte auf der Suche nach Internet-Ruhm mittlerweile den Linux-Kernel mißbrauchen, um Reputation zu farmen, besprechen die Hosts ebenso wie neue Bedenken gegen Telegram.
Der im Podcast erwähnte International Obfuscated C Contest ist hier zu finden. https://www.ioccc.org/ -
In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von
"Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern,
mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher
und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die
Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft
von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und
Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten
wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln
ihre Sicht der Dinge mit dem Holzhammer.
CVE-Datenbanken:
* CVE-Suche von Mitre: https://www.cve.org
* CVE-Suche der NVD: https://nvd.nist.gov/vuln/search
Beispiele für Problem-CVEs
* Curl:
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
& https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/
* PostgreSQL:
https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/
* KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/
* Azure: https://heise.de/-9755370
CVE-Regeln
* Regelwerk für CNAs:
https://www.cve.org/ResourcesSupport/AllResources/CNARules
* Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html
* Talk von Greg KH zu CVEs:
https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/ -
In Folge 4 sehen sich Christopher und Sylvester eine Reihe von
aktuellen Meldungen an. Die Hosts diskutieren am Beispiel Proton das
beliebte Konstrukt, eine kommerzielle Firma unter das Dach einer
gemeinnützigen Stiftung zu stellen. Außerdem geht es um eine
vielsagende Parsing-Lücke in wget, eine Anti-Phishing-Lösung, die durch
das Certificate-Transparency-Projekt funktioniert, und einen Bug in
Apples visionOS, der im wahrsten Sinne des Wortes gruselig ist. Zum
Schluss verzweifeln Christopher und Sylvester noch ein bisschen an der
Updatedisziplin vieler Exchange- und MSSQL-Betreiber – oder besser
gesagt, an der Abwesenheit dieser Disziplin.
PS: Leider haben wir am Anfang der Aufnahme zwei ganz kurze Aussetzer.
Es handelt sich bei den Lücken aber nicht um Sicherheitslücken ;)
Gemeinnützige Stiftungen:
* Proton Foundation:
https://proton.me/blog/proton-non-profit-foundation
* OpenAI-Umstrukturierung: https://heise.de/-9765565
wget:
* Mailthread zum Bug:
https://lists.gnu.org/archive/html/bug-wget/2024-06/msg00005.html
BigPhish:
* BigPhish-Erklärung: https://heise.de/-9774101
* CT-Livestream: https://certstream.calidog.io
* CT-Analysetool: https://crt.sh
visionOS-Spinnenbug:
* Bugreport: https://www.ryanpickren.com/vision-pro-hack
Update-Probleme:
* Angreifbare Exchange-Server: https://heise.de/-9770441
* Angreifbare MS-SQL-Server: https://heise.de/-9769490
Outtro:
* Windows Recall nur für Insider: https://archive.ph/86ekx -
In Folge 3 betrachten Christopher und Sylvester im Newsteil den Rausschmiß einer CA aus den Browsern und warum das nicht nur positiv ist. Außerdem erzählen die beiden Security-Podcaster, wie sie Microsofts Recall finden. Im Hauptteil geht es um eine teure und lästige Art der Online-Attacke: Denial of Service. Die Hosts diskutieren, welche Arten von DoS es gibt, wie Angreifer mit wenig Aufwand terabiteweise Daten auf ihre Opfer schleudern und ob man sich gegen DoS-Angriffe schützen kann.
-
In der zweiten Folge schauen sich Christopher und Sylvester aktuelle Angriffsszenarios auf VPNs, WLANs sowie DNS-Server an und diskutieren über die Verurteilung eines Entwicklers von Tornado-Cash. Danach geht es um sichere Kommunikation, das Hauptthema der Folge: Was darf man von moderner Verschlüsselung erwarten, warum sind manche Systeme besser als andere und wieso gibt es eigentlich so wenige verschlüsselte E-Mails?
-
In der ersten Folge schauen sich Christopher und Sylvester die Geschichte einer der bekanntesten und erfolgreichsten Ransomware-Banden an: LockBit. Was steckt hinter der Gruppe, die seit Jahren Unternehmen weltweit angreift - und bedeuten die jüngsten Polizeiaktionen ihr Aus?