5 episodes

In diesem Podcast ordnen Dr. Christopher Kunz und Sylvester Tremmel zweiwöchentlich aktuelle Themen aus der IT-Security ein und vertiefen sie. Dabei blicken sie hinter den Hype und arbeiten pragmatisch heraus, ob die heiß gehandelten Themen der letzten Wochen für ihre Hörerschaft - IT-Security-Mitarbeiter in Unternehmen, aber auch interessierte Privatleute - einen akuten Handlungsbedarf begründen.

Passwort - der Podcast von heise security heise

    • Technology
    • 5.0 • 2 Ratings

In diesem Podcast ordnen Dr. Christopher Kunz und Sylvester Tremmel zweiwöchentlich aktuelle Themen aus der IT-Security ein und vertiefen sie. Dabei blicken sie hinter den Hype und arbeiten pragmatisch heraus, ob die heiß gehandelten Themen der letzten Wochen für ihre Hörerschaft - IT-Security-Mitarbeiter in Unternehmen, aber auch interessierte Privatleute - einen akuten Handlungsbedarf begründen.

    Common Vulnerabilities and Exposures

    Common Vulnerabilities and Exposures

    In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von
    "Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern,
    mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher
    und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die
    Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft
    von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und
    Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten
    wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln
    ihre Sicht der Dinge mit dem Holzhammer.

    CVE-Datenbanken:
    * CVE-Suche von Mitre: https://www.cve.org
    * CVE-Suche der NVD: https://nvd.nist.gov/vuln/search

    Beispiele für Problem-CVEs
    * Curl:
    https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
    & https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/
    * PostgreSQL:
    https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/
    * KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/
    * Azure: https://heise.de/-9755370

    CVE-Regeln
    * Regelwerk für CNAs:
    https://www.cve.org/ResourcesSupport/AllResources/CNARules
    * Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html
    * Talk von Greg KH zu CVEs:
    https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/

    • 1 hr 11 min
    Spiderbug und andere News

    Spiderbug und andere News

    In Folge 4 sehen sich Christopher und Sylvester eine Reihe von
    aktuellen Meldungen an. Die Hosts diskutieren am Beispiel Proton das
    beliebte Konstrukt, eine kommerzielle Firma unter das Dach einer
    gemeinnützigen Stiftung zu stellen. Außerdem geht es um eine
    vielsagende Parsing-Lücke in wget, eine Anti-Phishing-Lösung, die durch
    das Certificate-Transparency-Projekt funktioniert, und einen Bug in
    Apples visionOS, der im wahrsten Sinne des Wortes gruselig ist. Zum
    Schluss verzweifeln Christopher und Sylvester noch ein bisschen an der
    Updatedisziplin vieler Exchange- und MSSQL-Betreiber – oder besser
    gesagt, an der Abwesenheit dieser Disziplin.

    PS: Leider haben wir am Anfang der Aufnahme zwei ganz kurze Aussetzer.
    Es handelt sich bei den Lücken aber nicht um Sicherheitslücken ;)

    Gemeinnützige Stiftungen:
    * Proton Foundation:
    https://proton.me/blog/proton-non-profit-foundation
    * OpenAI-Umstrukturierung: https://heise.de/-9765565

    wget:
    * Mailthread zum Bug:
    https://lists.gnu.org/archive/html/bug-wget/2024-06/msg00005.html

    BigPhish:
    * BigPhish-Erklärung: https://heise.de/-9774101
    * CT-Livestream: https://certstream.calidog.io
    * CT-Analysetool: https://crt.sh

    visionOS-Spinnenbug:
    * Bugreport: https://www.ryanpickren.com/vision-pro-hack

    Update-Probleme:
    * Angreifbare Exchange-Server: https://heise.de/-9770441
    * Angreifbare MS-SQL-Server: https://heise.de/-9769490

    Outtro:
    * Windows Recall nur für Insider: https://archive.ph/86ekx

    • 57 min
    Denial of Service

    Denial of Service

    In Folge 3 betrachten Christopher und Sylvester im Newsteil den Rausschmiß einer CA aus den Browsern und warum das nicht nur positiv ist. Außerdem erzählen die beiden Security-Podcaster, wie sie Microsofts Recall finden. Im Hauptteil geht es um eine teure und lästige Art der Online-Attacke: Denial of Service. Die Hosts diskutieren, welche Arten von DoS es gibt, wie Angreifer mit wenig Aufwand terabiteweise Daten auf ihre Opfer schleudern und ob man sich gegen DoS-Angriffe schützen kann.

    • 1 hr 30 min
    Geheime Nachrichten

    Geheime Nachrichten

    In der zweiten Folge schauen sich Christopher und Sylvester aktuelle Angriffsszenarios auf VPNs, WLANs sowie DNS-Server an und diskutieren über die Verurteilung eines Entwicklers von Tornado-Cash. Danach geht es um sichere Kommunikation, das Hauptthema der Folge: Was darf man von moderner Verschlüsselung erwarten, warum sind manche Systeme besser als andere und wieso gibt es eigentlich so wenige verschlüsselte E-Mails?

    • 1 hr 35 min
    Die Lockbit-Saga

    Die Lockbit-Saga

    In der ersten Folge schauen sich Christopher und Sylvester die Geschichte einer der bekanntesten und erfolgreichsten Ransomware-Banden an: LockBit. Was steckt hinter der Gruppe, die seit Jahren Unternehmen weltweit angreift - und bedeuten die jüngsten Polizeiaktionen ihr Aus?

    • 1 hr 15 min

Customer Reviews

5.0 out of 5
2 Ratings

2 Ratings

Top Podcasts In Technology

Acquired
Ben Gilbert and David Rosenthal
All-In with Chamath, Jason, Sacks & Friedberg
All-In Podcast, LLC
Lex Fridman Podcast
Lex Fridman
Search Engine
PJ Vogt, Audacy, Jigsaw
Hard Fork
The New York Times
TED Radio Hour
NPR

You Might Also Like

Bit-Rauschen: Der Prozessor-Podcast von c’t
c't Magazin
c’t uplink - der IT-Podcast aus Nerdistan
c’t Magazin
#heiseshow (Audio) - Technik-News und Netzpolitik
heise online
Mac & i - der Apple-Podcast
Mac & i
kurz informiert by heise online
heise online
Chaosradio
Chaos Computer Club Berlin