Alle Episoden

"Zumindest wird es nicht langweilig", könnte das April-Fazit aus IT-Security-Sicht lauten. Und den beiden "Passwort"-Hosts fällt es erneut leicht, spannende Sicherheitsgeschichten zu erzählen. Unter anderem geht es um eine neue Form der Supply-Chain-Attacke, die KI-Halluzinationen von Softwarebibliotheken ausnutzt. Aber auch eine trickreiche Umgehung der USB-Sperre von Mobilgeräten stellt Co-Host Christopher vor - und Sylvester ärgert sich über unvollständige Sicherheitsflicken beim Security-Appliance-Hersteller Fortinet. Einig sind sich beide allerdings wieder bei ihrem Dauerbrenner: Eine nun beschlossene Änderung in der WebPKI findet beider Beifall.

- ChoiceJacking-Vortrag auf der BlackHat:
https://i.blackhat.com/Asia-25/Asia-25-Draschbacher-Watch-Your-Phone.pdf

- Offener Brief der EFF in der Causa Krebs: https://www.eff.org/press/releases/eff-leads-prominent-security-experts-urging-trump-administration-leave-chris-krebs

- ckus (In-)Security...

Christopher und Sylvester werfen einen Blick auf das i- Soon-Leak. Im Februar 2024 tauchte auf GitHub ein Datensatz auf, der Vertriebs- und Dokumentationsmaterial der chinesischen Firma i-Soon enthielt und auch Chatprotokolle von Mitarbeitern des Unternehmens. Wer mit welchem Motiv den Datensatz veröffentlicht hat, ist nach wie vor unklar und entsprechend skeptisch sollte man ihn bewerten. Um eine reine Fälschung handelt es sich jedoch höchstwahrscheinlich nicht und die Daten offenbarten einen seltenen Einblick in die chinesische Cybercrime-Industrie, die sehr offiziell und mit dem Staat als regelmäßigem Kunden agiert.

- Analyse der XZ-Hintertür: https://heise.de/-9788145
- Analysen des i-Soon-Leaks:
- https://harfanglab.io/insidethelab/isoon-leak-analysis/
- https://unit42.paloaltonetworks.com/i-soon-data-leaks/...

Achtung, die Blutdruckpillen werden ausgepackt! Christopher und Sylvester ärgern sich über laxe Sicherheitspraktiken bei Konzernen und deren undurchsichtige Krisen-PR. Sie freuen sich hingegen über reichlich Hörer-Feedback zu vergangenen Folgen und diskutieren über Neuerungen im Zertifikats-Ökosystem. Und auch eine sehr prominente, aber vorbildlich gemeisterte Phishing-Attacke wird zum Thema - die Hosts erklären, warum sich wirklich niemand schämen sollte, Opfer geworden zu sein.

- https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN
- https://github.com/wesaphzt/privatelock
- https://eylenburg.github.io/android_comparison.htm
- https://samwho.dev/bloom-filters/
- https://github.com/mozilla/clubcard

Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge geht es wieder um Staaten, die ihre Bürger bespitzeln. Diesmal allerdings nicht durch Spyware (siehe Folge 25) sondern mittels spezieller Geräte, die möglichst viele Daten auch von gesperrten Telefonen extrahieren. Im Podcast ist Viktor Schlüter zu Gast, der bei Reporter ohne Grenzen das Digital Security Lab leitet. Er kennt sich bestens mit solchen Smartphone-Durchsuchungen aus, die immer wieder auch illegitim eingesetzt werden und sich beispielsweise gegen Journalisten richten. Zusammen mit Viktor sehen sich Christopher und Sylvester an, wie solche Durchsuchungen funktionieren, wer solche Geräte herstellt, wer sie einsetzt und wie man sich davor schützen kann.

- Digital...

Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen.

- https://blog.thc.org/practical-https-interception
- CertSpotter: https://github.com/SSLMate/certspotter
- https://tuta.com/de/blog/france-surveillance-nacrotrafic-law
- https://support.apple.com/en-us/122234
- https://www.cl.cam.ac.uk/~ah793/papers/2025police.pdf
- https://www.bloomberg.com/opinion/articles/2025-03-03/citi-keeps-hitting-the-wrong-buttons
- https://www.heise.de/news/BAMF-Skurrile-Testkonten-ermoeglichten-unautorisierten-Datenzugriff-10305691.html

- https://github.com/jlopp/physical-bitcoin-attacks

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären. Nicht nur graue Theorie, auch apfelbunte Praxis kommt nicht zu kurz: Eine Anwendung in Apples Cloud zeigt, wie nützlich homomorphe Verschlüsselung ist.

- Craig Gentry's Paper zu FHE mit ideal lattices: https://www.cs.cmu.edu/~odonnell/hits09/gentry-homomorphic-encryption.pdf
- Craig Gentry's Dissertation zu FHE: https://crypto.stanford.edu/craig/craig-thesis.pdf
- MS "Kryptonets" Paper von 2016: https://www.microsoft.com/en-us/research/wp-content/uploads/2016/04/CryptonetsTechReport.pdf
- https://fhe.org/resources/
- https://homomorphicencryption.org
- Michaels Artikel über die...

In dieser Folge geht es um Methoden, mit denen Staaten - und zwar längst nicht nur autoritäre - ihre Bürger bespitzeln. Dissidenten, Journalisten, Politiker und andere Bevölkerungsgruppen waren bereits Opfer von Smartphone-Malware, die im staatlichen Auftrag installiert wurde. Die Hersteller dieser Spionagesoftware sind geheimnistuerische Unternehmen, die viel Geld für ihre Dienste nehmen. Sylvester und Christopher nehmen alle Beteiligten unter die Lupe und klären auch die Frage, ob Whatsapp die NSA verklagt hat.

- [Predator-Analyse von Cisco Talos](https://blog.talosintelligence.com/mercenary-intellexa-predator/)
- [Google Project Zero zu FORCEDENTRY](https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html)
- https://media.ccc.de/v/38c3-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios
- https://securitylab.amnesty.org/latest/2024/12/serbia-a-digital-prison-spyware-and-cellebrite-used-on-journalists-and-activists/
- [Details zum iOS Lockdown Mode](https://support.apple.com/de-de/105120)
- https://securitylab.amnesty.org/get-help/
- https://securitylab.amnesty.org/partners-and-support/
- [Mobile Verification...

Christopher und Sylvester kämpfen sich mal wieder durch einige Ankündigungen für Zertifikate und Vorfälle mit denselben. Außerdem werfen sie einen Blick auf eine Malwaregruppe, die auf andere Cyberkriminelle und Sicherheitsforscher abzielt, und besprechen, warum diese Gruppen oft so viele komische Namen haben. Zuletzt geht es noch um neue Tricks, wie Nutzer über ihre Browserengine nachverfolgt werden können – und wie man sich dagegen wehrt.

* [Let's Encrypt-Ankündigung](https://letsencrypt.org/2024/12/11/eoy-letter-2024/)
* [Bericht zu MUT-1244](https://securitylabs.datadoghq.com/articles/mut-1244-targeting-offensive-actors/)
* [Threat-Actor-Naming-RFC](https://www.misp-standard.org/rfc/threat-actor-naming.html)
* [CSS-Fingerprinting](https://doi.org/10.60882/cispa.27194472.v3)
* [c’t-Mailclient-Übersicht](https://heise.de/-10241634)

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Ein neues Linux-Rootkit taucht plötzlich auf und wird gleich dreimal analysiert. Seine Besonderheit: Es kann über das UEFI Linuxsysteme infizieren - bis jetzt ging das nur unter Windows. Aber wer steckt dahinter und warum haben die Unbekannten das Bootkit gebastelt? Sylvester und Christopher gehen auf Spurensuche.

Dieses Mal litten Christopher und Sylvester unter ausgeprägtem Hallo-Effekt, was zwischendurch zu unfreiwillig komischen Reinrede-Aktionen führte.

- [Ken Thompson: Reflections on Trusting Trust](https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrustingTrust.pdf)
- [BlackHat-Präsentation zu LogoFAIL](https://i.blackhat.com/EU-23/Presentations/EU-23-Pagani-LogoFAIL-Security-Implications-of-Image_REV2.pdf?\_gl=1*18vnefe*\_gcl_au*MTM5NTEwMjYzLjE3MzM4OTc5OTc.*\_ga*MTY4Njg2MTc1MC4xNzMzODk3OTk3*\_ga_K4JK67TFYV*MTczMzg5Nzk5Ny4xLjEuMTczMzg5ODAxNy4wLjAuMA..&\_ga=2.47355111.1773935767.1733897998-1686861750.1733897997)
- [ESET-Analyse](https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/)
- [Humzak711' Analyse](https://humzak711.github.io/analyzing_IranuKit.html)
- [Binarly-Analyse](https://www.binarly.io/blog/logofail-exploited-to-deploy-bootkitty-the-first-uefi-bootkit-for-linux)

In der ersten Folge des Jahres meldet sich Christopher aus dem Hamburger Außenstudio. Mit zwei Gästen, nämlich Linus Neumann vom CCC und Prof. Florian Adamsky von der Hochschule Hof, spricht er über vier aktuelle Themen, die auch Gegenstand von 38C3-Vorträgen sind: Die Rowhammer-Sicherheitslücke in DRAM, das Datenleck bei VW, unsichere Wahlsoftware und aus China gesteuerte Fake-Shops.

- 38C3-Talk zu FlippyRAM: https://media.ccc.de/v/38c3-ten-years-of-rowhammer-a-retrospect-and-path-to-the-future
- FlippyRAM: https://flippyr.am/
- 38C3-Talk zu Volkswagen-Leck: https://media.ccc.de/v/38c3-wir-wissen-wo-dein-auto-steht-volksdaten-von-volkswagen
- SRLabs zu BogusBazaar: https://www.srlabs.de/blog-post/bogusbazaar
- Fakeshop-Finder der Verbraucherzentrale: https://www.verbraucherzentrale.de/fakeshopfinder-71560
- 38C3-Talk zu BogusBazaar: https://media.ccc.de/v/38c3-fake-shops-von-der-stange-bogusbazaar
- 38C3-Talk zum Thüring-Test: https://media.ccc.de/v/38c3-der-thring-test-fr-wahlsoftware

Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen...