Passwort - der Podcast von heise security – Détails, épisodes et analyse

Folge 12 von Passwort befasst sich mit "Zero Trust". Dieses Sicherheitskonzept macht in letzter Zeit immer wieder von sich reden, aber zu Recht? Oder ist es nur das nächste PR-Buzzword, mit dem Produkte sich besser verkaufen sollen? Getreu der Beschreibung ihres Podcasts blicken Christopher und Sylvester hinter den Hype: Zero-Trust ist durchaus ein ernstzunehmendes Konzept, mit dem man sich beschäftigen sollte. Wenig überraschend hat es aber auch Schwächen und kann (so viel sei verraten) seinem marktschreierischen Namen nicht gerecht werden – ganz ohne Vertrauen kommt nun mal nichts und niemand aus.

In der elften Folge von "Passwort" reden Sylvester und Christopher über einige Security-News der vergangenen Tage. Den Anfang macht eine Remote-Code-Execution-Lücke in Windows, die durch manipulierte IPv6-Pakete ausgelöst wird und bis jetzt noch für verdächtig wenig Aufregung sorgt. Ein bekannter Tech-Youtuber ging durch Phishing seines X-Kontos verlustig und Google ließ sich Fake-Werbung für seine eigenen Sicherheitsprodukte unterschieben - das erstaunt die Hosts, die mit mehr Gegenwehr seitens der Opfer gerechnet hätten. Außerdem geht es um einen Cyberkriminellen, der sich einen Datenschatz bei einer Darknet-Überwachungsfirma zusammenkratze und eine in letzter Sekunde verhinderte massive Supply-Chain-Attacke gegen Python. Für Liebhaber CA-bezogener Neuigkeiten gibt's am Ende noch ein Schmankerl, bei dem auch Juristen mitmischten. - PwnedPasswords Downloader: https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader - Für hartgesottene, die trotz Sylvesters Warnung einen E-Mail-Server selbst hosten möchten: https://github.com/postalserver/postal

In der zweiten Folge schauen sich Christopher und Sylvester aktuelle Angriffsszenarios auf VPNs, WLANs sowie DNS-Server an und diskutieren über die Verurteilung eines Entwicklers von Tornado-Cash. Danach geht es um sichere Kommunikation, das Hauptthema der Folge: Was darf man von moderner Verschlüsselung erwarten, warum sind manche Systeme besser als andere und wieso gibt es eigentlich so wenige verschlüsselte E-Mails?

In der ersten Folge schauen sich Christopher und Sylvester die Geschichte einer der bekanntesten und erfolgreichsten Ransomware-Banden an: LockBit. Was steckt hinter der Gruppe, die seit Jahren Unternehmen weltweit angreift - und bedeuten die jüngsten Polizeiaktionen ihr Aus?

Zehnte Folge, das ging schnell! Aber statt die Korken zum Mini-Jubiläum knallen zu lassen, machen Christopher und Sylvester mit ihren Hörern einen Ausflug nach Asien, genauer gesagt nach Nordkorea. Dort arbeiten unter der Führung des Militärgeheimdiensts tausende Cybersoldaten für das Kim-Regime. Sie spionieren, infiltrieren, sabotieren - und erbeuten hunderte Millionen Dollar fürs nordkoreanische Rüstungsprogramm. Wer die Gruppen mit Namen wie Andariel, Lazarus oder BlueNorOff sind und was sie mit einer mittelmäßigen Filmsatire zu tun haben, erfahrt Ihr im Podcast. * Die Killswitch-Domain von WannaCry sieht aus wie auf dem Keyboard ausgerutscht: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com * Knowbe4 von nordkoreanischem Fake-Mitarbeiter infiltriert: https://www.heise.de/news/l-f-IT-Sicherheitsunternehmen-stellt-unbeabsichtigt-Cyberkriminellen-ein-9814563.html * Advisory internationaler Sicherheitsbehörden zu gefährdeten Branchen: https://www.ic3.gov/Media/News/2024/240725.pdf

In Folge 9 von Passwort reden Christopher und Sylvester über eine Reihe von Security-News der letzten Tage: Die weltgrößte Zertifizierungsstelle Let’s Encrypt will das Open Certificate Status Protocol (OCSP) loswerden und Secure Boot kämpft, mal wieder, mit Problemen und Schlampereien. Außerdem reden die Hosts über einen neuen Passwort-Check bei GMX und Web.de und die Security von Blockchain- Projekten – anlässlich eines aktuellen besonders teuren Malheurs. Das Urgestein GhostScript macht mit einen Sicherheitsproblem auf sich selbst und vor allem auf den interessanten Charakter des Formats PostScript aufmerksam. * c’t-Artikel über Zertifikatswiderrufe: https://heise.de/-9642194 * Folge der c’t Auslegungssache zum Thema „Datenlecks verhindern“: https://heise.de/-9762321 * c’t-Artikel zu Mailpasswörtern im neuen Outlook: https://www.heise.de/select/ct/2023/28/2331715395648017635 * https://www.web3isgoinggreat.com

In der achten Folge von Passwort geht es um den aktuellen CrowdStrike- Vorfall. Christopher und Sylvester erklären, was genau eigentlich passiert ist, und diskutieren eine erste Analyse der Firma. Die offenbart gravierende Mängel und lässt die Hosts an mehreren Stellen etwas ratlos zurück. Die beiden überlegen außerdem, wie CrowdStrike, Windows und die IT-Security-Community insgesamt solche Vorfälle in Zukunft verhindern könnten. Vorläufige Analyse von CrowdStrike ("Preliminary Post Incident Review"): https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/ Recovery-Anleitungen von Microsoft: https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959 Gegen Ende erwähnter Blogpost von modzero: https://modzero.com/modlog/archives/2022/08/22/ridiculous_vulnerability_disclosure_process_with_crowdstrike_falcon_sensor/index.html

In der siebten Folge von Passwort geht es um "Prompt Injections": Angriffe auf Software, deren Basis eine Sprach-KI ist. Solche Systeme sprießen in letzter Zeit allenthalben, aber ihre Sicherheit findet mitunter wenig Beachtung. Die Hosts Christopher und Sylvester erklären, was Prompt Injections eigentlich sind und welche Gefahren von ihnen ausgehen. Außerdem erörtern die beiden, wie man sich als Nutzer, als Softwareanbieter und auch als KI-Hersteller schützen kann – wenn auch nur bedingt – und warum das Problem so hartnäckig ist. Unser Schwesterpodcast zu KI-Themen: https://www.heise.de/thema/KI-Update

In Folge 6 von "Passwort" befassen Sylvester und Christopher sich mit aktuellen Geschehnissen der vergangenen Wochen. So verteilte die Domain für eine Javascript-Bibliothek plötzlich Malware, Kaspersky sieht sich mit einem umfassenden Vertriebsverbot in den USA konfrontiert und auch für die Zertifizierungsstelle Entrust läuft es nicht gut. Dass Unbekannte auf der Suche nach Internet-Ruhm mittlerweile den Linux-Kernel mißbrauchen, um Reputation zu farmen, besprechen die Hosts ebenso wie neue Bedenken gegen Telegram. Der im Podcast erwähnte International Obfuscated C Contest ist hier zu finden. https://www.ioccc.org/

In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von "Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern, mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln ihre Sicht der Dinge mit dem Holzhammer. CVE-Datenbanken: * CVE-Suche von Mitre: https://www.cve.org * CVE-Suche der NVD: https://nvd.nist.gov/vuln/search Beispiele für Problem-CVEs * Curl: https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/ & https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/ * PostgreSQL: https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/ * KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/ * Azure: https://heise.de/-9755370 CVE-Regeln * Regelwerk für CNAs: https://www.cve.org/ResourcesSupport/AllResources/CNARules * Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html * Talk von Greg KH zu CVEs: https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/