Passwort - der Podcast von heise security

heise
  • 5.0 (9)
  • TECHNOLOGIE
  • ZWEIWÖCHENTLICH

In diesem Podcast ordnen Dr. Christopher Kunz und Sylvester Tremmel zweiwöchentlich aktuelle Themen aus der IT-Security ein und vertiefen sie. Dabei blicken sie hinter den Hype und arbeiten pragmatisch heraus, ob die heiß gehandelten Themen der letzten Wochen für ihre Hörerschaft - IT-Security-Mitarbeiter in Unternehmen, aber auch interessierte Privatleute - einen akuten Handlungsbedarf begründen.

  1. VOR 5 TAGEN

    News mit Serialisierungsproblemen, AWS-Fail und PKI-Extra

    Es näselt leicht im Podcast - die herbstliche Erkältungswelle macht auch vor "Passwort" nicht halt. Trotzdem haben sich Sylvester und Christopher einiges vorgenommen. Sie sprechen über den AWS- und Azure-Ausfall der letzten Wochen, denn auch Verfügbarkeit ist Teil der IT-Sicherheit. Die kritische Sicherheitslücke im Windows-Updateserver WSUS kommt ebenso zur Sprache wie eine trickreiche Malware, die eine wenig bekannte UTF8-Funktion zu ihrem Vorteil nutzt. Und endlich gibt es wieder ein PKI-Thema: Wie eine kroatische CA widerrechtlich Zertifikate für Cloudflare ausstellte, erzählt Christopher dem Publikum und seinem Co-Host. - Online Themenabend: https://aktionen.heise.de/heise-themenabend - AWS’ Ausfallanalyse: https://aws.amazon.com/de/message/101925/ - Meredith Whittaker von Signal zur Notwendigkeit der Hyperscaler: https://mastodon.world/@Mer__edith/115445701583902092 - SAP spielt CVSS-Würfeln: https://services.nvd.nist.gov/rest/json/cvehistory/2.0?cveId=CVE-2025-30012 - Microsoft warnt Entwickler vor SoapFormatter: https://learn.microsoft.com/en-us/dotnet/standard/serialization/binaryformatter-security-guide - Koi über GlassWorm: https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace - QWAC mit Soße (+): https://www.heise.de/select/ct/2023/29/2332409110101310744 - Diskussion um FINA im Bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=1986968 - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de

    2 Std. 14 Min.

  2. 22. OKT.

    News zu Oracle-Exploit, Post-Quanten-Krypto und Chatkontrolle

    Es gibt wieder einige Neuigkeiten in der Welt der IT-Sicherheit und alte Bekannte rühren erneut ihr hässliches Haupt. Allen voran die als "Chatkontrolle" bezeichnete Iniative zum "Client-Side Scanning" von Nachrichten, die der EU-Rat unter dänischer Präsidentschaft kürzlich erneut aus der Versenkung hervorholte. Fast genau ein Jahr nach dem letzten Scheitern dieser Initiative zur Aufweichung von Verschlüsselung sprechen Sylvester und Christopher erneut darüber. Auch Oracle ist bereits altbekannter "Gast" im Podcast - dieses Mal mit einer kritischen Lücke in ihrer e-Business Suite und einer äußerst unbefriedigenden Kommunikationsstrategie. Sylvester erklärt seinem Co-Host und den Hörern, was es mit Signals neuen "Post Quantum Ratchets" auf sich hat und warum diese kryptografischen Ratschen den Messenger im Quantenzeitalter sicherer machen sollen. Und dann geht es gleich quantensicher weiter, nämlich mit einer Diskussion über die Vorteile hybrider Quantenverschlüsselungssysteme zu rein quantensicheren. - Einsteiger-Themenabend zu IT-Sicherheit in Hannover: https://aktionen.heise.de/heise-themenabend - Oracles gelöschter Blogeintrag: https://nitter.net/pic/orig/media%2FG2T6vnYWEAAHcB6.jpg - Watchtowr Labs zu CVE-2025-61882: https://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/ - "Passwort", Folge 16: Die Technik hinter der Chatkontrolle - https://passwort.podigee.io/16-die-technik-hinter-der-chatkontrolle - Cloudflare-Blog zum Zertifikats-Lapsus: https://blog.cloudflare.com/unauthorized-issuance-of-certificates-for-1-1-1-1/ - SPQR: https://signal.org/blog/spqr/ - "Passwort", Folge 32: Quantencomputer und wie man sich vor ihnen schützt - https://passwort.podigee.io/32-quantencomputer-und-wie-man-sich-vor-ihnen-schutzt - DJB über Hybrid oder nicht: https://blog.cr.yp.to/20240102-hybrid.html - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

    1 Std. 54 Min.

  3. 8. OKT.

    Phrack - ein Hackermagazin wird 40

    Das Hackermagazin Phrack wird in diesem Jahr vierzig Jahre alt und hat seine 72. Ausgabe veröffentlicht, die wieder mit einer Vielfalt von Hacking- und Security-Artikeln glänzt. Sylvester und Christopher haben das Jubiläum zum Anlass genommen, die Geschichte von Phrack zu rekapitulieren und einige wegweisende Artikel aufzugreifen. Und dabei steht ihnen ein prominenter Gast zur Seite: Skyper aus dem Phrack-Team gibt Einblicke in die Redaktionsarbeit, thematisiert den Hackerethos und erzählt Anekdoten aus bewegten Zeiten. Er war auch maßgeblich an der Veröffentlichung der "APT Down"-Analyse beteiligt, der Auswertung einer Workstation eines mutmaßlich chinesischen oder nordkoreanischen IT-Kriminellen. Welche internationalen Auswirkungen der Artikel hatte und was Proton-Chef Andy Yen damit schaffen hat, erfahren die Hörer in der neuesten Ausgabe von "Passwort". Erratum: Christopher behauptet in der Folge, Nordkorea nutze die Zeitzone UTC+8:30, das ist allerdings seit 2018 nicht mehr der Fall. Seitdem verwendet das Land genau wie der Süden die Zeitzone UTC+9 - und unterscheidet sich somit um 60 Minuten von der chinesischen Normalzeit UTC+8. - Link to Phrack: https://www.phrack.org - Electronic Frontier Foundation: https://www.eff.org/ - GitHub-Repo mit kleinstmöglichen syntaktisch validen Dateien: https://github.com/mathiasbynens/small - i-Soon, das Leak aus der chinesischen Cybercrime-Industrie: https://www.heise.de/news/Passwort-Folge-30-i-Soon-das-Leak-aus-der-chinesischen-Cybercrime-Industrie-10354478.html - X-Thread zum Rz_Brand in Daejeon: https://x.com/koryodynasty/status/1971772813444035031 - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

    2 Std. 45 Min.

  4. 1. OKT. · BONUS

    Passwort 41a (Bonusfolge)

    Eine Bonusfolge, weil die Themen stärker sprudeln als der Zwei-Wochen- Rhythmus vorsieht. Christopher und Sylvester sehen sich eine fortschrittliche Speicherschutztechnik in Apples neuen iPhones an und erklären, wie es um derartiges im Android-Universum bestellt ist. Außerdem reden die Hosts über einen SalesLoft-Chatbot, der Angreifern Zugriff auf diverse Salesforce-Konten verschafft hat. Und da sage noch einer, diese Bots seien zu nichts nütze. Betroffen waren ausgerechnet Infrastruktur- und Security-Unternehmen – aber die Hosts bezweifeln, dass die nun vom umfassenden Chatbot-Einsatz abrücken. - Apple MIE: https://security.apple.com/blog/memory-integrity-enforcement/ - Salesloft Opferliste: https://www.driftbreach.com/ - Chatbot fail: https://chatbot.fail/ - c’t uplink zu MCP: https://heise.de/-10530901 - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

    1 Std. 7 Min.

  5. 24. SEPT.

    Visionen der CISA, Niedergang von XSLT, Makel von NPM

    In dieser "Passwort"-Folge geht es zunächst um große Pläne, die die US- amerikanische IT-Sicherheitsbehörde CISA für das CVE-System hat. Sylvester ist verhalten hoffnungsvoll, Christopher sieht die Gefahr, dass Macht missbräuchlich zementiert werden könnte. Machtmissbrauch witterten auch viele Kommentatoren beim nächsten Thema: Browserhersteller überlegen, XSLT auszubauen. Die Hosts sehen sich an, was XSLT überhaupt ist und diskutieren, ob es im Browser sinnvoll oder deplatziert scheint. Zum Schluss werfen Christopher und Sylvester einen Blick auf die sich aktuell häufenden Angriffe auf npm und erklären unter anderem, was die Sandwürmer aus Frank Herberts Dune damit zu tun haben. - Darknet Diaries deutsch: https://www.heise.de/news/Darknet-Diaries-heise-online-bringt-deutsche-Version-des-US-Podcasts-10626196.html - Chrome-Sandbox-Exploit: https://googleprojectzero.blogspot.com/2025/08/from-chrome-renderer-code-exec-to-kernel.html - CISA-Positionspapier: https://www.cisa.gov/sites/default/files/2025-09/CISA_Common_Vulnerabilities_and_Exposures_CVE_Program_Vision-v6_CLEAN.pdf - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

    2 Std. 1 Min.

  6. 10. SEPT.

    Probleme mit Widerrufen, Verbindungsabbrüchen und anderem

    Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset. - Merklemap-Kritik an Static CT: https://www.merklemap.com/documentation/static-ct - Bugreports zu Microsofts Zertifikatsnichtwiderrufen: https://bugzilla.mozilla.org/show_bug.cgi?id=1962829 und https://bugzilla.mozilla.org/show_bug.cgi?id=1965612 - Technische Details zu coredump-Lücken von Qualys: https://www.qualys.com/2025/05/29/apport-coredump/apport-coredump.txt - Erklärung von Oracle zur systemd-coredump-Lücke: https://blogs.oracle.com/linux/post/analysis-of-cve-2025-4598 - PoC zur systemd-coredump-Lücke von CIQ https://ciq.com/blog/the-real-danger-of-systemd-coredump-cve-2025-4598/ - "Made you Reset"-Blogposts: https://galbarnahum.com/posts/made-you-reset-intro und https://galbarnahum.com/posts/made-you-reset-technical-details - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

    2 Std. 17 Min.

  7. 27. AUG.

    Vielfältiges Versagen in Redmond und andere News

    Christopher und Sylvester sind aus dem Urlaub zurück, haben direkt mehr Themen als in einen Passwort-Podcast passen und teilen deshalb auf: In dieser Folge geht es um eine großangelegte Studie, der zufolge viele übliche Anti-Phishing-Maßnahmen kaum oder gar nicht helfen. Außerdem grübeln die beiden über das Tempo, mit dem Let’s Encrypt seine alten CT-Logs abschalten will, und verzweifeln an Microsoft. Die Firma aus Redmond ist mit gleich zwei Geschichten im Podcast vertreten, die nicht nur von Sicherheitslücken und (zweifelhaften) technischen Lösungen handeln, sondern auch totale Kommunikationsdesaster skizzieren. - Phrack Ausgabe 72: https://phrack.org/issues/72/1 - Phising-Studie: https://arianamirian.com/docs/ieee-25.pdf - Slide-Deck der Phishing-Studie: https://i.blackhat.com/BH-USA-25/Presentations/US-25-Dameff-Pwning-Phishing-Training-Through-Scientific-Lure-Crafting-Wednesday.pdf - Blogpost von Microsoft Threat Intelligence zu den Sharepoint- Angriffen: https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities - Jürgen Schmidts Kommentar zu Microsofts Secure Future Initiative: https://heise.de/-10505985 - Video des Vortrags „Living off Microsoft Copilot“: https://www.youtube.com/watch?v=FH6P288i2PE - Windows’ Kopieren-Dialog: https://xkcd.com/612/ - Copilot broke your audit log: https://pistachioapp.com/blog/copilot-broke-your-audit-log - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de

    2 Std. 1 Min.

  8. 13. AUG.

    Schlaue Hacks von schlauen Verträgen

    Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es damit in der Praxis aussieht. - Der einzig sichere Weg zu programmieren: https://github.com/kelseyhightower/nocode - Folgt uns im Fediverse: - christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

    1 Std. 18 Min.
Alle anzeigen (45)

Bewertungen und Rezensionen

5
von 5
9 Bewertungen

Info

In diesem Podcast ordnen Dr. Christopher Kunz und Sylvester Tremmel zweiwöchentlich aktuelle Themen aus der IT-Security ein und vertiefen sie. Dabei blicken sie hinter den Hype und arbeiten pragmatisch heraus, ob die heiß gehandelten Themen der letzten Wochen für ihre Hörerschaft - IT-Security-Mitarbeiter in Unternehmen, aber auch interessierte Privatleute - einen akuten Handlungsbedarf begründen.

Informationen

Mehr von heise

Das gefällt dir vielleicht auch