Alle Episoden

Christopher und Sylvester erfüllen den Wunsch diverser Hörer:innen und reden über GrapheneOS, ein besonders sicheres Betriebssystem für Smartphones. Dazu haben sie ihren Kollegen Stefan Porteck eingeladen, der sich mit mobilen Betriebssystemen beschäftigt und auch GrapheneOS schon genauer unter die Lupe genommen hat. Die drei diskutieren, wer hinter dem Android-Derivat steht, was das System so besonders macht und welche Stolperfallen es für Nutzer:innen gibt – oder erstaunlicherweise nicht gibt.

Sylvester ist im Urlaub, daher springt kurzerhand Jan Mahn von der c't ein. Und der hat eine brisante Geschichte mitgebracht, in der es um "Bulletproof Hoster" geht. Also um Anbieter, die auf die guten Sitten im Internet pfeifen - manchmal gar auf Recht und Gesetz - solange ihre oft zwielichtige Kundschaft ihnen monatlich Geld überweist. Doch vorher gibt es einen längeren Rant über einen Security-Appliance-Hersteller, den Christopher sich nicht selber ausgedacht hat, sondern den der Finanz-Nachrichtendienst Bloomberg veröffentlichte. Und es gibt einige PKI-Neuigkeiten, die fast alle etwas mit IP-Adressen zu tun haben.

Nach den ausschweifenden Jubiläumsfeiern finden Sylvester und Christopher zurück zum gewohnten Rhythmus. Zunächst schauen sie auf ein System zur Geräteverwaltung (MDM), das in den letzten Wochen bei verschiedenen europäischen Regierungen angegriffen wurde - der Hersteller war bereits mehrfach Thema im Podcast. Dann geht's allerdings weiter mit einem kurzen Abriß zu OpenClaw, dem gehypten KI-Assistenten, und seinen vielen Unsicherheiten. Sylvester kann dem Helferlein eine gewisse Faszination abgewinnen, warnt jedoch vor seinem unreflektierten Einsatz. Und Christopher erzählt, wie das Bundesamt für Sicherheit in der Informationstechnik die Verschlüsselung in Deutschland quantensicher machen will und dazu seine Richtlinien modernisiert. Betrachtungen zu unabsichtlichen Kommandos bei...

In der Bonusfolge zum fünfzigsten Jubiläum geht es zunächst um Certificate Transparency. Die ist mittlerweile ein wichtiger Bestandteil der weltweiten PKI und jede Änderung kann unerwartete Folgen haben. Christopher erzählt dann kurz, was Cyberkriminelle jetzt tun, um resilienter gegen Strafverfolger zu werden: Blockchain ist das Stichwort der Stunde für ALPHV und Co. Und Sylvester berichtet, wie KI-generierte Sicherheitsmeldungen das Ende der "Bug-Bounty"-Programme bei cURL und womöglich anderen Opensource-Projekten einläuten. Um die einstündige Zusatzfolge abzurunden, gibt es auch noch eine Meinung zur neuen Sicherheitslücke in einem uralten Protokoll.

Rundes Jubiläum beim Podcast! Anlässlich der fünfzigsten regulären Folge besprechen Sylvester und Christopher viel Hörerfeedback, über das sie sich besonders freuen. Sie haben auch viele Themen für die Newsfolge mitgebracht - so viele, dass Sylvester nach zwei Stunden die Reißleine zieht und eine Bonusfolge einläutet. Neben einer neuen RCE-Lücke in n8n gibt es eine Einschätzung zu Bitlocker-Wiederherstellschlüsseln in der Cloud, ungläubiges Kopfschütteln angesichts eines vibecoded PR-Stunts von Cloudflare, eine neue Bluetooth-Lücke und einen witzigen Weg, Anthropics LLMs aus dem Tritt zu bringen.

Die erste Folge, die Christopher und Sylvester im neuen Jahr aufzeichnen. Seit der letzten regulären Podcast-Episode hat sich einiges an aktuellen Problemen und Lücken angesammelt. Befreit von den harten Zeitvorgaben eines externen Sendezentrums schlagen die Hosts etwas über die Stränge und reden gute 2,5 Stunden: Es geht um ein seltsam unbenutzbares Portal des BSI, schwierig abzuwehrende Angriffe auf Signal & Co, den wenig erbaulichen Zustand von PKIs zum Code- Signing, diverse Lücken und Probleme in GnuPG und dem PGP- Kryptografiesystem insgesamt, einen geschickten Angriff auf das Automatisierungstool n8n – sowie einige kleinere Themen, auf die Christopher und Sylvester spontan eingehen....

Der Podcast gastiert auf dem 39. Chaos Communication Congress und hat drei illustre Gäste geladen. Linus Neumann, CCC-Sprecher, erzählt vom Digital Independence Day und wie es (hoffentlich) Mode werden könnte, sich Stück für Stück aus den Klauen der Internetgiganten zu lösen. Bianca Kastl berichtet von alten und neuen Sicherheitsproblemen der elektronischen Patientenakte ePA, wie es so weit kommen konnte und ob wenigstens Besserung in Sicht ist. Florian Adamsky erklärt die Sicherheitslücke Rowhammer und wie praktikabel Angriffe über diese Lücke sind – denn dazu hat er mit Kollegen im vergangenen Jahr das Experiment FlippyR.AM gestartet.

- Video vom Podcast: https://media.ccc.de/v/ec0a3724-5021-59d5-b32e-f5005b2cff99
-...

Jetzt hat's Sylvester erwischt und er ist erkältet - was ihn aber nicht davon abhält, in der neuen Folge von "Passwort" ausgiebig mit Christopher zu allerlei Security-Themen zu sprechen. Zunächst thematisieren die beiden mit etwas Humor ein Kuriosum, nämlich eine nicht hinlänglich verschlüsselnde Toilettenschüsselkamera zur Darmkrebs-Früherkennung. Dann erläutert Sylvester, was es mit der Sicherheitslücke "React2Shell" auf sich hat, die in den vergangenen Tagen für reichlich Furore sorgte und Hunderttausende Domains weltweit betrifft. Christopher hat dieses Mal gleich fünf PKI-Themen im Gepäck, zu denen Sylvester kurzerhand noch ein sechstes beisteuert und auch den Umbau von Tor mittels "Counter-Galois Onion" hat der...

Im Podcast kränkelt's: Bei Cloudflare gab es einen dreistündigen Schluckauf, der Co-Host hat Hustenanfälle und Würmer befielen mal wieder NPM. Christopher und Sylvester schauen sich ausgiebig an, was die zweite Ausgabe der Javascript-Schadsoftware "Sha1-Hulud" anders macht als die erste und befassen sich auch noch einmal mit "Glassworm", einem Thema der letzten Folgen. Dort ist im Nachhinein unklar, ob es sich tatsächlich um einen Wurm handelt oder vielleicht eher ein Botnet, wie Christopher mutmaßt. Doch auch der dreistündige Ausfall bei Cloudflare steht auf der Tagesordnung - mit ungewohnt viel Lob der Hosts! - und ob Whatsapp wirklich das größte Datenleck der...

Christopher und Sylvester knöpfen sich ein lange gewünschtes und äußerst umfangreiches Thema vor. Es geht um das System, mit dem China sein nationales Internet abschottet, die sogenannte Große Chinesische Firewall. Die Hosts erzählen, woher das System kommt, wie es technisch funktioniert und weiterentwickelt wird – und wie auch die Gegner ihre Anti-Zensur-Systeme um immer neue Tricks erweitern. Außerdem geht es im Podcast um die Kommerzialisierung der Zensur, denn China hat längst damit begonnen, Systeme wie die der chinesischen Firewall auch an andere Staaten zu verkaufen.

- Chromes XSLT-Abschaltung:
https://developer.chrome.com/docs/web-platform/deprecating-xslt
- Report zum Geedge-Leak:
https://interseclab.org/wp-content/uploads/2025/09/The-Internet-Coup_September2025.pdf

- Analyseprojekte und Testwebseiten für die...