Passwort - der Podcast von heise security

Christopher und Sylvester sind aus dem Urlaub zurück, haben direkt mehr
Themen als in einen Passwort-Podcast passen und teilen deshalb auf: In
dieser Folge geht es um eine großangelegte Studie, der zufolge viele
übliche Anti-Phishing-Maßnahmen kaum oder gar nicht helfen. Außerdem
grübeln die beiden über das Tempo, mit dem Let’s Encrypt seine alten
CT-Logs abschalten will, und verzweifeln an Microsoft. Die Firma aus
Redmond ist mit gleich zwei Geschichten im Podcast vertreten, die nicht
nur von Sicherheitslücken und (zweifelhaften) technischen Lösungen
handeln, sondern auch totale Kommunikationsdesaster skizzieren.

- Phrack Ausgabe 72: https://phrack.org/issues/72/1
- Phising-Studie: https://arianamirian.com/docs/ieee-25.pdf
- Slide-Deck der Phishing-Studie: https://i.blackhat.com/BH-USA-25/Presentations/US-25-Dameff-Pwning-Phishing-Training-Through-Scientific-Lure-Crafting-Wednesday.pdf...

Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es damit...

Das Domain Name System - kurz DNS - ist einer der Grundpfeiler des modernen Internet. Umso wichtiger, dass es zuverlässige und unfälschbare Informationen liefert. Dabei hilft DNSSEC - die DNS Security Extensions. Was das ist, was es kann, wie man es aktiviert und was man davon hat, erklärt den Hosts in dieser Folge ein Gast: DNSSEC-Experte Peter Thomassen arbeitet seit Jahren an vorderster Front bei verschiedenen Gremien mit und entwickelt die Sicherhetismerkmale von DNS weiter. Er kümmert sich besonders um Automatisierung - ein Thema, bei dem DNSSEC anderen großen Ökosystemen wie dem CA-Kosmos noch hinterherhinkt.

- https://desec.io/
- Malware in...

Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben.

- The CRA and what it means for us (Greg Kroah-Hartman):
https://www.youtube.com/watch?v=u44eMQpGlxA
- Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte
auswirkt: https://heise.de/-10450910
- Yealink-Artikel von DNIP:...