Passwort - der Podcast von heise security

• Security-News mit extra viel WebPKI, Cybercrime und Onion-URLs

  In dieser Folge gibt es ein längeres Gespräch zu einer eigentlich recht marginalen Neuerung im WebPKI-Ökosystem. Auf Drängen von Chrome bauen CAs ein Feature aus TLS-Zertifikaten aus, das einige wenige Serverbetreiber nutzten. Ist es statthaft, die Marktmacht derart zu nutzen - und ist die Begründung sinnvoll? Das diskutieren Sylvester und Christopher ausgiebig. Außerdem hat Sylvester ein kleines, nützliches Werkzeug für Tor-Nutzer namens Oniux gefunden und erzählt anhand eines kleinen Fehlers im Ankündigungsartikel des Tor Project, welche Auswirkungen es haben kann, wenn eine .onion-URL irrtümlich bei einem DNS-Server landet. Außerdem befassen die Hosts sich mit den "Busts" gegen Cybercrime-Strukturen, die Malware-Loader und Infostealer vertrieben. Im großen Stil haben Ermittler und IT-Unternehmen diese kriminellen Banden hochgenommen. Und zu guter Letzt gibt es noch ein Eis mit einem falsch kodierten &-Zeichen... - Reddit-AmA mit Sylvester und Christopher: https://www.reddit.com/r/de_EDV/comments/1ksksrb/ama_mit_christopher_kunz_und_sylvester_tremmel_am/ - Digicert zu X9-CA: https://www.digicert.com/blog/how-the-clientauth-crackdown-is-pushing-finance-toward-x9-pki - Oniux: https://blog.torproject.org/introducing-oniux-tor-isolation-using-linux-namespaces/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  1:58:04
• Quantencomputer und wie man sich vor ihnen schützt

  Quantencomputer bedrohen die ganze Kryptografie… die ganze? Nein! Sylvester lässt sich von seinen Kolleg:innen Dr. Sabrina Patsch und Wilhelm Drehling erklären, welche Algorithmen Quantencomputer tatsächlich bedrohen und wofür sie kein Problem darstellen. Die drei erörtern auch, wie weit real existierende Maschinen von diesen Fähigkeiten noch entfernt sind, warum man sich dennoch bereits Sorgen macht und welche – oft gar nicht so neuen – Verfahren vor Quantencomputern schützen. - Übersichtsseite zum PQC-Standardisierungsprojekt des NIST https://www.nist.gov/pqcrypto - Weiterführender Artikel zum aktuellen Stand der Entwicklung von Quantencomputern https://heise.de/-10349382 - Weiterführender Artikel zu Kryptoagilität und Post-Quanten- Kryptografie https://heise.de/-10337485 - Cloudflares Zufallsgeneratoren https://blog.cloudflare.com/chaos-in-cloudflare-lisbon-office-securing-the-internet-with-wave-motion/ - Das AMA wird in diesem Subreddit stattfinden https://www.reddit.com/r/de_EDV/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  1:06:25
• Security-News von ChoiceJacking bis Slopsquatting

  "Zumindest wird es nicht langweilig", könnte das April-Fazit aus IT-Security-Sicht lauten. Und den beiden "Passwort"-Hosts fällt es erneut leicht, spannende Sicherheitsgeschichten zu erzählen. Unter anderem geht es um eine neue Form der Supply-Chain-Attacke, die KI-Halluzinationen von Softwarebibliotheken ausnutzt. Aber auch eine trickreiche Umgehung der USB-Sperre von Mobilgeräten stellt Co-Host Christopher vor - und Sylvester ärgert sich über unvollständige Sicherheitsflicken beim Security-Appliance-Hersteller Fortinet. Einig sind sich beide allerdings wieder bei ihrem Dauerbrenner: Eine nun beschlossene Änderung in der WebPKI findet beider Beifall. - ChoiceJacking-Vortrag auf der BlackHat: https://i.blackhat.com/Asia-25/Asia-25-Draschbacher-Watch-Your-Phone.pdf - Offener Brief der EFF in der Causa Krebs: https://www.eff.org/press/releases/eff-leads-prominent-security-experts-urging-trump-administration-leave-chris-krebs - ckus (In-)Security Appliance Bingo: cku.gt/appbingo25 - Slopsquatting-Paper „We Have a Package for You“: https://arxiv.org/abs/2406.10279 - OpenCVE-Installationsanleitung: https://docs.opencve.io/deployment/ - Folgt uns im Fediverse: @[email protected] @[email protected] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  1:58:25
• i-Soon: Leak aus der chinesischen Cybercrime-Industrie

  Christopher und Sylvester werfen einen Blick auf das i- Soon-Leak. Im Februar 2024 tauchte auf GitHub ein Datensatz auf, der Vertriebs- und Dokumentationsmaterial der chinesischen Firma i-Soon enthielt und auch Chatprotokolle von Mitarbeitern des Unternehmens. Wer mit welchem Motiv den Datensatz veröffentlicht hat, ist nach wie vor unklar und entsprechend skeptisch sollte man ihn bewerten. Um eine reine Fälschung handelt es sich jedoch höchstwahrscheinlich nicht und die Daten offenbarten einen seltenen Einblick in die chinesische Cybercrime-Industrie, die sehr offiziell und mit dem Staat als regelmäßigem Kunden agiert. - Analyse der XZ-Hintertür: https://heise.de/-9788145 - Analysen des i-Soon-Leaks: - https://harfanglab.io/insidethelab/isoon-leak-analysis/ - https://unit42.paloaltonetworks.com/i-soon-data-leaks/ - https://www.verfassungsschutz.niedersachsen.de/startseite/aktuelles_service/aktuelle_meldungen/die-i-soon-leaks-industrialisierung-von-cyberspionage-235699.html - Report zum chinesischen Schwachstellenmanagement-Ökosystem: https://www.atlanticcouncil.org/in-depth-research-reports/report/sleight-of-hand-how-china-weaponizes-software-vulnerability/ - Aktuelle US-Anklage gegen i-Soon-Mitarbeiter: https://www.justice.gov/usao-sdny/pr/10-chinese-nationals-charged-large-scale-hacking-us-and-international-victims-behalf Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  2:02:50
• Security-News und Feedback von Oracle bis Web-PKI

  Achtung, die Blutdruckpillen werden ausgepackt! Christopher und Sylvester ärgern sich über laxe Sicherheitspraktiken bei Konzernen und deren undurchsichtige Krisen-PR. Sie freuen sich hingegen über reichlich Hörer-Feedback zu vergangenen Folgen und diskutieren über Neuerungen im Zertifikats-Ökosystem. Und auch eine sehr prominente, aber vorbildlich gemeisterte Phishing-Attacke wird zum Thema - die Hosts erklären, warum sich wirklich niemand schämen sollte, Opfer geworden zu sein. - https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN - https://github.com/wesaphzt/privatelock - https://eylenburg.github.io/android_comparison.htm - https://samwho.dev/bloom-filters/ - https://github.com/mozilla/clubcard Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

  --------  

  1:56:51

Weitere Technologie Podcasts

Trending Technologie Podcasts

Über Passwort - der Podcast von heise security