Podcaster
Episoden
17.12.2025
1 Stunde 55 Minuten
Jetzt hat's Sylvester erwischt und er ist erkältet - was ihn aber
nicht davon abhält, in der neuen Folge von "Passwort" ausgiebig mit
Christopher zu allerlei Security-Themen zu sprechen. Zunächst
thematisieren die beiden mit etwas Humor ein Kuriosum, nämlich eine
nicht hinlänglich verschlüsselnde Toilettenschüsselkamera zur
Darmkrebs-Früherkennung. Dann erläutert Sylvester, was es mit der
Sicherheitslücke "React2Shell" auf sich hat, die in den vergangenen
Tagen für reichlich Furore sorgte und Hunderttausende Domains
weltweit betrifft. Christopher hat dieses Mal gleich fünf
PKI-Themen im Gepäck, zu denen Sylvester kurzerhand noch ein
sechstes beisteuert und auch den Umbau von Tor mittels
"Counter-Galois Onion" hat der c't-Redakteur sich angeschaut. Der
Podcast verabschiedet sich mit dieser Folge in eine dreiwöchige
Weihnachtspause - wer will, kann die Aufzeichnung der nächsten
Folge live auf dem 39C3 miterleben. - React2Shell PoC:
https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
- XKCD: https://xkcd.com/1172/ - Cloudflare:
https://blog.cloudflare.com/5-december-2025-outage/ -
Logarchivierung für CT-Logs:
https://groups.google.com/a/chromium.org/g/ct-policy/c/Y25hCTrCjDo
- Wo überall Trust-Stores sitzen: https://heise.de/-9568002 - Tor
vs Iran und Russland:
https://blog.torproject.org/staying-ahead-of-censors-2025/ -
Counter Galois Onion: https://blog.torproject.org/introducing-cgo/
- Folgt uns im Fediverse: * @christopherkunz@chaos.social *
@syt@social.heise.de
Mehr
03.12.2025
1 Stunde 38 Minuten
Im Podcast kränkelt's: Bei Cloudflare gab es einen dreistündigen
Schluckauf, der Co-Host hat Hustenanfälle und Würmer befielen mal
wieder NPM. Christopher und Sylvester schauen sich ausgiebig an,
was die zweite Ausgabe der Javascript-Schadsoftware "Sha1-Hulud"
anders macht als die erste und befassen sich auch noch einmal mit
"Glassworm", einem Thema der letzten Folgen. Dort ist im Nachhinein
unklar, ob es sich tatsächlich um einen Wurm handelt oder
vielleicht eher ein Botnet, wie Christopher mutmaßt. Doch auch der
dreistündige Ausfall bei Cloudflare steht auf der Tagesordnung -
mit ungewohnt viel Lob der Hosts! - und ob Whatsapp wirklich das
größte Datenleck der Geschichte hatte, ergründen die beiden
heise-Redakteure ebenfalls. - Cloudflare zum Ausfall am 18.
November: https://blog.cloudflare.com/18-november-2025-outage/ -
Threema zum WhatsApp-Scraping:
https://threema.com/de/blog/whatsapp-datenleck-2025 - Trend Micros
technische Analyse von Shai Hulud 2.0:
https://www.trendmicro.com/en_us/research/25/k/shai-hulud-2-0-targets-cloud-and-developer-systems.html
- Expel zu Cache Smuggling:
https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/
- Folgt uns im Fediverse: - @christopherkunz@chaos.social -
@syt@social.heise.de
Mehr
19.11.2025
2 Stunden 22 Minuten
Christopher und Sylvester knöpfen sich ein lange gewünschtes und
äußerst umfangreiches Thema vor. Es geht um das System, mit dem
China sein nationales Internet abschottet, die sogenannte Große
Chinesische Firewall. Die Hosts erzählen, woher das System kommt,
wie es technisch funktioniert und weiterentwickelt wird – und wie
auch die Gegner ihre Anti-Zensur-Systeme um immer neue Tricks
erweitern. Außerdem geht es im Podcast um die Kommerzialisierung
der Zensur, denn China hat längst damit begonnen, Systeme wie die
der chinesischen Firewall auch an andere Staaten zu verkaufen. -
Chromes XSLT-Abschaltung:
https://developer.chrome.com/docs/web-platform/deprecating-xslt -
Report zum Geedge-Leak:
https://interseclab.org/wp-content/uploads/2025/09/The-Internet-Coup_September2025.pdf
- Analyseprojekte und Testwebseiten für die Firewall - GFWatch:
https://gfwatch.org - GFWeb: https://gfweb.ca - Chinese Firewall
Test: https://viewdns.info/chinesefirewall/ -
Anti-Zensur-Werkzeuge: - Trojan:
https://github.com/trojan-gfw/trojan - Shadowsocks:
https://shadowsocks.org - Project V: https://www.v2fly.org/en_US/ -
Outline: https://getoutline.org - Lantern: https://lantern.io -
Psiphon: https://psiphon.ca - Conjure:
https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/conjure
- Folgt uns im Fediverse: - @christopherkunz@chaos.social -
@syt@social.heise.de
Mehr
05.11.2025
2 Stunden 13 Minuten
Es näselt leicht im Podcast - die herbstliche Erkältungswelle macht
auch vor "Passwort" nicht halt. Trotzdem haben sich Sylvester und
Christopher einiges vorgenommen. Sie sprechen über den AWS- und
Azure-Ausfall der letzten Wochen, denn auch Verfügbarkeit ist Teil
der IT-Sicherheit. Die kritische Sicherheitslücke im
Windows-Updateserver WSUS kommt ebenso zur Sprache wie eine
trickreiche Malware, die eine wenig bekannte UTF8-Funktion zu ihrem
Vorteil nutzt. Und endlich gibt es wieder ein PKI-Thema: Wie eine
kroatische CA widerrechtlich Zertifikate für Cloudflare ausstellte,
erzählt Christopher dem Publikum und seinem Co-Host. - Online
Themenabend: https://aktionen.heise.de/heise-themenabend - AWS’
Ausfallanalyse: https://aws.amazon.com/de/message/101925/ -
Meredith Whittaker von Signal zur Notwendigkeit der Hyperscaler:
https://mastodon.world/@Mer__edith/115445701583902092 - SAP spielt
CVSS-Würfeln:
https://services.nvd.nist.gov/rest/json/cvehistory/2.0?cveId=CVE-2025-30012
- Microsoft warnt Entwickler vor SoapFormatter:
https://learn.microsoft.com/en-us/dotnet/standard/serialization/binaryformatter-security-guide
- Koi über GlassWorm:
https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace
- QWAC mit Soße (+):
https://www.heise.de/select/ct/2023/29/2332409110101310744 -
Diskussion um FINA im Bugzilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=1986968 - Folgt uns im
Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de
Mehr
22.10.2025
1 Stunde 53 Minuten
Es gibt wieder einige Neuigkeiten in der Welt der IT-Sicherheit und
alte Bekannte rühren erneut ihr hässliches Haupt. Allen voran die
als "Chatkontrolle" bezeichnete Iniative zum "Client-Side Scanning"
von Nachrichten, die der EU-Rat unter dänischer Präsidentschaft
kürzlich erneut aus der Versenkung hervorholte. Fast genau ein Jahr
nach dem letzten Scheitern dieser Initiative zur Aufweichung von
Verschlüsselung sprechen Sylvester und Christopher erneut darüber.
Auch Oracle ist bereits altbekannter "Gast" im Podcast - dieses Mal
mit einer kritischen Lücke in ihrer e-Business Suite und einer
äußerst unbefriedigenden Kommunikationsstrategie. Sylvester erklärt
seinem Co-Host und den Hörern, was es mit Signals neuen "Post
Quantum Ratchets" auf sich hat und warum diese kryptografischen
Ratschen den Messenger im Quantenzeitalter sicherer machen sollen.
Und dann geht es gleich quantensicher weiter, nämlich mit einer
Diskussion über die Vorteile hybrider
Quantenverschlüsselungssysteme zu rein quantensicheren. -
Einsteiger-Themenabend zu IT-Sicherheit in Hannover:
https://aktionen.heise.de/heise-themenabend - Oracles gelöschter
Blogeintrag:
https://nitter.net/pic/orig/media%2FG2T6vnYWEAAHcB6.jpg - Watchtowr
Labs zu CVE-2025-61882:
https://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/
- "Passwort", Folge 16: Die Technik hinter der Chatkontrolle -
https://passwort.podigee.io/16-die-technik-hinter-der-chatkontrolle
- Cloudflare-Blog zum Zertifikats-Lapsus:
https://blog.cloudflare.com/unauthorized-issuance-of-certificates-for-1-1-1-1/
- SPQR: https://signal.org/blog/spqr/ - "Passwort", Folge 32:
Quantencomputer und wie man sich vor ihnen schützt -
https://passwort.podigee.io/32-quantencomputer-und-wie-man-sich-vor-ihnen-schutzt
- DJB über Hybrid oder nicht:
https://blog.cr.yp.to/20240102-hybrid.html - Folgt uns im
Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de
Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos:
https://pro.heise.de/passwort
Mehr
Über diesen Podcast
In diesem Podcast ordnen Dr. Christopher Kunz und Sylvester Tremmel
zweiwöchentlich aktuelle Themen aus der IT-Security ein und
vertiefen sie. Dabei blicken sie hinter den Hype und arbeiten
pragmatisch heraus, ob die heiß gehandelten Themen der letzten
Wochen für ihre Hörerschaft - IT-Security-Mitarbeiter in
Unternehmen, aber auch interessierte Privatleute - einen akuten
Handlungsbedarf begründen.
Kommentare (0)