Alle Episoden

Als sich das DENIC kürzlich bei einem Schlüsselwechsel ein Bein stellte, gingen im deutschen Internet für kurze Zeit die Lichter aus. Sylvester und Christopher haben den DNS-Experten Carsten Strotmann eingeladen, der ihnen und den Hörern im ersten Teil der Folge die Gründe und Auswirkungen dieses Ausfalls erläutert. Im zweiten Teil geht es dann zunächst um einen digitalen Raubzug mithilfe eines Domainklaus. Er betraf ein Unternehmen aus dem Krypto-Universum (as in Kursschwankung, nicht as in quantensicher) und dessen Kunden. Dann klären die beden Hosts die Frage, ob YellowKey den Beinamen "Bitlocker-Bypass" verdient hat und - ganz neu - probieren ein neues...

Die Security-Welt überschlägt sich und täglich werden neue, schwere Sicherheitslücken im Linuxkernel bekannt. Christopher und Sylvester versuchen, Schritt zu halten und erzählen von Dirty Frag und Copy Fail 2. Auch in der PKI-Welt brennt's allerorten: Bei D-Trust schon wieder (oder immer noch) und DigiCert hatte Ärger mit Malware-Angriffen. Außerdem geht Sylvester auf den nur teilweise erfolgreichen Wechsel der Linux-Coreutils zur Programmiersprache Rust ein und erzählt über Ransomwarezahlungen. Die sind nämlich nicht nur ethisch, sondern auch rechtlich ein zweischneidiges Schwert - und eine Garantie für das Ende der Erpressung bieten sie auch nicht.

Copy Fail zieht weite Kreise und geht auch am Podcast nicht vorüber: Die Sicherheitslücke in Linux ist technisch interessant, was Christopher und Sylvester allerdings an die Grenze ihres Wissens um Kernel-Innereien bringt. Darüber hinaus wirft Copy Fail diverse grundsätzliche Fragen zur Sicherheit von Linux und zur Handhabung von Sicherheitslücken auf, die die Hosts diskutieren. Außerdem geht in dieser Episode um eine löschwütige KI und natürlich um PKI, zumindest ein bisschen.

In dieser, dem Newsüberschuss geschuldeten Bonusfolge erzählt Sylvester von den Tricks der Malware Keenadu und wie Internetprovider helfen, sie in den Heimnetzen ihrer Kunden zu entdecken. Danach erklärt Christopher, was es mit Bluehammer, UnDefend und Redsun auf sich hat und wie sehr Microsofts Security Response Center manche Leute auf die Palme bringt.

Die Hörer und Hörerinnen haben Christopher und Sylvester mit viel Feedback zu, Hinweisen auf und auch Kritik an einigen Themen beschenkt. Deshalb startet die Folge mit einem bunten Strauß an Security-Aspekten der letzten Wochen und Folgen. Im weiteren Verlauf berichten die Hosts dann unter anderem von Zertifikaten, die zwar technisch korrekt aber trotzdem formal ungültig sind; von Beweisen, die funktionstüchtig und dennoch wertlos sind; und von CVEs, die sich so schnell ansammeln, dass das NIST nicht mit dem Anreichern hinter herkommt.

Christopher war im Urlaub - also ist einiges aufzuarbeiten. In Abwesenheit des Co-Hosts hat die AI große und unerwartete Fortschritte bei der Suche nach Sicherheitslücken gemacht, was Sylvester an einem Beispiel im populären Editor vim nacherzählt. Der KI-Firma Anthropic ist Quellcode für Claude Code, der durch Claude Code gecoded wurde, entfleucht und offenbart allerlei humorige Details. Weniger humorig waren die Osterfeiertage für Kunden der CA D-Trust, die wegen einer fatalen Formalität ihre TLS-Zertifikate austauschen mussten. Und für dreißig Routerbesitzer in Deutschland, die durch die Behörden, allen voran Verfassungsschutz und BSI, auf die Sicherheitslücken in ihren Geräten angesprochen wurden. Und dann...

Christopher und Sylvester haben viel Feedback zur Podcastfolge über GrapheneOS bekommen und eröffnen diese Episode mit den diversen Kommentaren und Tipps ihrer Hörer und Hörerinnen. Anschließend geht es unter anderem um Bugs in aktuellen Mailclients, Bugs in sehr alten Betriebssystemen, Bugs, bei denen die Polizei kommt, und solche, bei denen sie es nicht tut. Die Hosts sehen sich außerdem Post-Quantum- Pläne von Google an (dort drängt offenbar die Zeit) und gleich zwei Exploit-Kits gegen recht aktuelle iPhones, die kürzlich bekannt wurden.

Christopher und Sylvester erfüllen den Wunsch diverser Hörer:innen und reden über GrapheneOS, ein besonders sicheres Betriebssystem für Smartphones. Dazu haben sie ihren Kollegen Stefan Porteck eingeladen, der sich mit mobilen Betriebssystemen beschäftigt und auch GrapheneOS schon genauer unter die Lupe genommen hat. Die drei diskutieren, wer hinter dem Android-Derivat steht, was das System so besonders macht und welche Stolperfallen es für Nutzer:innen gibt – oder erstaunlicherweise nicht gibt.

Sylvester ist im Urlaub, daher springt kurzerhand Jan Mahn von der c't ein. Und der hat eine brisante Geschichte mitgebracht, in der es um "Bulletproof Hoster" geht. Also um Anbieter, die auf die guten Sitten im Internet pfeifen - manchmal gar auf Recht und Gesetz - solange ihre oft zwielichtige Kundschaft ihnen monatlich Geld überweist. Doch vorher gibt es einen längeren Rant über einen Security-Appliance-Hersteller, den Christopher sich nicht selber ausgedacht hat, sondern den der Finanz-Nachrichtendienst Bloomberg veröffentlichte. Und es gibt einige PKI-Neuigkeiten, die fast alle etwas mit IP-Adressen zu tun haben.

Nach den ausschweifenden Jubiläumsfeiern finden Sylvester und Christopher zurück zum gewohnten Rhythmus. Zunächst schauen sie auf ein System zur Geräteverwaltung (MDM), das in den letzten Wochen bei verschiedenen europäischen Regierungen angegriffen wurde - der Hersteller war bereits mehrfach Thema im Podcast. Dann geht's allerdings weiter mit einem kurzen Abriß zu OpenClaw, dem gehypten KI-Assistenten, und seinen vielen Unsicherheiten. Sylvester kann dem Helferlein eine gewisse Faszination abgewinnen, warnt jedoch vor seinem unreflektierten Einsatz. Und Christopher erzählt, wie das Bundesamt für Sicherheit in der Informationstechnik die Verschlüsselung in Deutschland quantensicher machen will und dazu seine Richtlinien modernisiert. Betrachtungen zu unabsichtlichen Kommandos bei...