![](/assets/artwork/1x1-42817eea7ade52607a760cbee00d1495.gif)
7 Folgen
![](/assets/artwork/1x1-42817eea7ade52607a760cbee00d1495.gif)
Passwort - der Podcast von heise security heise
-
- Technologie
-
-
3,7 • 3 Bewertungen
-
In diesem Podcast ordnen Dr. Christopher Kunz und Sylvester Tremmel zweiwöchentlich aktuelle Themen aus der IT-Security ein und vertiefen sie. Dabei blicken sie hinter den Hype und arbeiten pragmatisch heraus, ob die heiß gehandelten Themen der letzten Wochen für ihre Hörerschaft - IT-Security-Mitarbeiter in Unternehmen, aber auch interessierte Privatleute - einen akuten Handlungsbedarf begründen.
-
Prompt Injections
In der siebten Folge von Passwort geht es um "Prompt Injections":
Angriffe auf Software, deren Basis eine Sprach-KI ist. Solche Systeme
sprießen in letzter Zeit allenthalben, aber ihre Sicherheit findet
mitunter wenig Beachtung. Die Hosts Christopher und Sylvester erklären,
was Prompt Injections eigentlich sind und welche Gefahren von ihnen
ausgehen. Außerdem erörtern die beiden, wie man sich als Nutzer, als
Softwareanbieter und auch als KI-Hersteller schützen kann – wenn auch
nur bedingt – und warum das Problem so hartnäckig ist.
Unser Schwesterpodcast zu KI-Themen:
https://www.heise.de/thema/KI-Update -
Security-News
In Folge 6 von "Passwort" befassen Sylvester und Christopher sich mit aktuellen Geschehnissen der vergangenen Wochen. So verteilte die Domain für eine Javascript-Bibliothek plötzlich Malware, Kaspersky sieht sich mit einem umfassenden Vertriebsverbot in den USA konfrontiert und auch für die Zertifizierungsstelle Entrust läuft es nicht gut. Dass Unbekannte auf der Suche nach Internet-Ruhm mittlerweile den Linux-Kernel mißbrauchen, um Reputation zu farmen, besprechen die Hosts ebenso wie neue Bedenken gegen Telegram.
Der im Podcast erwähnte International Obfuscated C Contest ist hier zu finden. https://www.ioccc.org/ -
Common Vulnerabilities and Exposures
In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von
"Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern,
mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher
und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die
Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft
von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und
Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten
wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln
ihre Sicht der Dinge mit dem Holzhammer.
CVE-Datenbanken:
* CVE-Suche von Mitre: https://www.cve.org
* CVE-Suche der NVD: https://nvd.nist.gov/vuln/search
Beispiele für Problem-CVEs
* Curl:
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
& https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/
* PostgreSQL:
https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/
* KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/
* Azure: https://heise.de/-9755370
CVE-Regeln
* Regelwerk für CNAs:
https://www.cve.org/ResourcesSupport/AllResources/CNARules
* Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html
* Talk von Greg KH zu CVEs:
https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/ -
Spiderbug und andere News
In Folge 4 sehen sich Christopher und Sylvester eine Reihe von
aktuellen Meldungen an. Die Hosts diskutieren am Beispiel Proton das
beliebte Konstrukt, eine kommerzielle Firma unter das Dach einer
gemeinnützigen Stiftung zu stellen. Außerdem geht es um eine
vielsagende Parsing-Lücke in wget, eine Anti-Phishing-Lösung, die durch
das Certificate-Transparency-Projekt funktioniert, und einen Bug in
Apples visionOS, der im wahrsten Sinne des Wortes gruselig ist. Zum
Schluss verzweifeln Christopher und Sylvester noch ein bisschen an der
Updatedisziplin vieler Exchange- und MSSQL-Betreiber – oder besser
gesagt, an der Abwesenheit dieser Disziplin.
PS: Leider haben wir am Anfang der Aufnahme zwei ganz kurze Aussetzer.
Es handelt sich bei den Lücken aber nicht um Sicherheitslücken ;)
Gemeinnützige Stiftungen:
* Proton Foundation:
https://proton.me/blog/proton-non-profit-foundation
* OpenAI-Umstrukturierung: https://heise.de/-9765565
wget:
* Mailthread zum Bug:
https://lists.gnu.org/archive/html/bug-wget/2024-06/msg00005.html
BigPhish:
* BigPhish-Erklärung: https://heise.de/-9774101
* CT-Livestream: https://certstream.calidog.io
* CT-Analysetool: https://crt.sh
visionOS-Spinnenbug:
* Bugreport: https://www.ryanpickren.com/vision-pro-hack
Update-Probleme:
* Angreifbare Exchange-Server: https://heise.de/-9770441
* Angreifbare MS-SQL-Server: https://heise.de/-9769490
Outtro:
* Windows Recall nur für Insider: https://archive.ph/86ekx -
Denial of Service
In Folge 3 betrachten Christopher und Sylvester im Newsteil den Rausschmiß einer CA aus den Browsern und warum das nicht nur positiv ist. Außerdem erzählen die beiden Security-Podcaster, wie sie Microsofts Recall finden. Im Hauptteil geht es um eine teure und lästige Art der Online-Attacke: Denial of Service. Die Hosts diskutieren, welche Arten von DoS es gibt, wie Angreifer mit wenig Aufwand terabiteweise Daten auf ihre Opfer schleudern und ob man sich gegen DoS-Angriffe schützen kann.
-
Geheime Nachrichten
In der zweiten Folge schauen sich Christopher und Sylvester aktuelle Angriffsszenarios auf VPNs, WLANs sowie DNS-Server an und diskutieren über die Verurteilung eines Entwicklers von Tornado-Cash. Danach geht es um sichere Kommunikation, das Hauptthema der Folge: Was darf man von moderner Verschlüsselung erwarten, warum sind manche Systeme besser als andere und wieso gibt es eigentlich so wenige verschlüsselte E-Mails?