Passwort – der Podcast von heise security

In dieser Folge geht es wieder um Staaten, die ihre Bürger bespitzeln. Diesmal allerdings nicht durch Spyware (siehe Folge 25) sondern mittels spezieller Geräte, die möglichst viele Daten auch von gesperrten Telefonen extrahieren. Im Podcast ist Viktor Schlüter zu Gast, der bei Reporter ohne Grenzen das Digital Security Lab leitet. Er kennt sich bestens mit solchen Smartphone-Durchsuchungen aus, die immer wieder auch illegitim eingesetzt werden und sich beispielsweise gegen Journalisten richten. Zusammen mit Viktor sehen sich Christopher und Sylvester an, wie solche Durchsuchungen funktionieren, wer solche Geräte herstellt, wer sie einsetzt und wie man sich davor schützen kann.

• Digital Security Lab von Reporter ohne Grenzen: https://www.reporter-ohne-grenzen.de/hilfe/digital-security-lab
• Aktuelle Fallanalyse von Amnesty International: https://securitylab.amnesty.org/latest/2025/02/cellebrite-zero-day-exploit-used-to-target-phone-of-serbian-student-activist/
• Cellebrite UFEDs auf eBay: https://www.ebay.de/itm/305957265144 https://www.ebay.com/itm/204207137842

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen.

• https://blog.thc.org/practical-https-interception
• CertSpotter: https://github.com/SSLMate/certspotter
• https://tuta.com/de/blog/france-surveillance-nacrotrafic-law
• https://support.apple.com/en-us/122234
• https://www.cl.cam.ac.uk/~ah793/papers/2025police.pdf
• https://www.bloomberg.com/opinion/articles/2025-03-03/citi-keeps-hitting-the-wrong-buttons
• https://www.heise.de/news/BAMF-Skurrile-Testkonten-ermoeglichten-unautorisierten-Datenzugriff-10305691.html
• https://github.com/jlopp/physical-bitcoin-attacks

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären. Nicht nur graue Theorie, auch apfelbunte Praxis kommt nicht zu kurz: Eine Anwendung in Apples Cloud zeigt, wie nützlich homomorphe Verschlüsselung ist.

• Craig Gentry's Paper zu FHE mit ideal lattices
• Craig Gentry's Dissertation zu FHE
• MS "Kryptonets" Paper von 2016
• https://fhe.org/resources/
• https://homomorphicencryption.org
• Michaels Artikel über die Apple-Usecases (+)

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge geht es um Methoden, mit denen Staaten - und zwar längst nicht nur autoritäre - ihre Bürger bespitzeln. Dissidenten, Journalisten, Politiker und andere Bevölkerungsgruppen waren bereits Opfer von Smartphone-Malware, die im staatlichen Auftrag installiert wurde. Die Hersteller dieser Spionagesoftware sind geheimnistuerische Unternehmen, die viel Geld für ihre Dienste nehmen. Sylvester und Christopher nehmen alle Beteiligten unter die Lupe und klären auch die Frage, ob Whatsapp die NSA verklagt hat.

• Predator-Analyse von Cisco Talos
• Google Project Zero zu FORCEDENTRY
• https://media.ccc.de/v/38c3-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios
• https://securitylab.amnesty.org/latest/2024/12/serbia-a-digital-prison-spyware-and-cellebrite-used-on-journalists-and-activists/
• Details zum iOS Lockdown Mode
• https://securitylab.amnesty.org/get-help/
• https://securitylab.amnesty.org/partners-and-support/
• Mobile Verification Toolkit (MVT)

Christopher und Sylvester kämpfen sich mal wieder durch einige Ankündigungen für Zertifikate und Vorfälle mit denselben. Außerdem werfen sie einen Blick auf eine Malwaregruppe, die auf andere Cyberkriminelle und Sicherheitsforscher abzielt, und besprechen, warum diese Gruppen oft so viele komische Namen haben. Zuletzt geht es noch um neue Tricks, wie Nutzer über ihre Browserengine nachverfolgt werden können – und wie man sich dagegen wehrt.

• Let's Encrypt-Ankündigung
• Bericht zu MUT-1244
• Threat-Actor-Naming-RFC
• CSS-Fingerprinting
• c’t-Mailclient-Übersicht

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Ein neues Linux-Rootkit taucht plötzlich auf und wird gleich dreimal analysiert. Seine Besonderheit: Es kann über das UEFI Linuxsysteme infizieren - bis jetzt ging das nur unter Windows. Aber wer steckt dahinter und warum haben die Unbekannten das Bootkit gebastelt? Sylvester und Christopher gehen auf Spurensuche.

Dieses Mal litten Christopher und Sylvester unter ausgeprägtem Hallo-Effekt, was zwischendurch zu unfreiwillig komischen Reinrede-Aktionen führte.

• Ken Thompson: Reflections on Trusting Trust
• BlackHat-Präsentation zu LogoFAIL
• ESET-Analyse
• Humzak711' Analyse
• Binarly-Analyse

In der ersten Folge des Jahres meldet sich Christopher aus dem Hamburger Außenstudio. Mit zwei Gästen, nämlich Linus Neumann vom CCC und Prof. Florian Adamsky von der Hochschule Hof, spricht er über vier aktuelle Themen, die auch Gegenstand von 38C3-Vorträgen sind: Die Rowhammer-Sicherheitslücke in DRAM, das Datenleck bei VW, unsichere Wahlsoftware und aus China gesteuerte Fake-Shops.

• 38C3-Talk zu FlippyRAM: https://media.ccc.de/v/38c3-ten-years-of-rowhammer-a-retrospect-and-path-to-the-future
• FlippyRAM: https://flippyr.am/
• 38C3-Talk zu Volkswagen-Leck: https://media.ccc.de/v/38c3-wir-wissen-wo-dein-auto-steht-volksdaten-von-volkswagen
• SRLabs zu BogusBazaar: https://www.srlabs.de/blog-post/bogusbazaar
• Fakeshop-Finder der Verbraucherzentrale: https://www.verbraucherzentrale.de/fakeshopfinder-71560
• 38C3-Talk zu BogusBazaar: https://media.ccc.de/v/38c3-fake-shops-von-der-stange-bogusbazaar
• 38C3-Talk zum Thüring-Test: https://media.ccc.de/v/38c3-der-thring-test-fr-wahlsoftware

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Episode geht es um ZUGFeRD, einen Standard für die E-Rechnung, um die technischen Tricks von Darknet-Marktplätzen sowie um die Verurteilungen der Betreiber solcher Marktplätze und anderer Krimineller. Außerdem diskutieren die Hosts einen Essay zur Geschichte und den fragwürdigen Effekten von Passwort-Policies und natürlich kommen Zertifikate – beziehungsweise deren Widerrufe – zur Sprache.

• Schwerpunkt zu E-Rechnungen in der c’t
• Blogpost zur Security von Darknet-Marktplätzen
• Wazawakas Steckbrief auf dem T-Shirt
• Let’s Encrypts Termine für das OSCP-Ende, Passwort-Folge 9 mit Details dazu und ein c’t-Artikel zur Problematik von Zertifikatswiderrufen
• Essay zu Password-Policies

Bitte seht uns kleine akustische Fehler in der Aufnahme nach, offenbar war die Hardware im Vorweihnachtsstress.

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Immer wieder berichten wir im heise Newsticker über APT-Angriffe gegen Firewalls und Security Appliances und deren teilweise haarsträubende Sicherheitslücken. Ein großer Hersteller solcher Geräte hat nun kurzerhand den Spieß umgedreht und seine Geräte in einigigen Fällen zu Lausch-Stationen umfunktioniert. Und zwar in China, wo sie offenbar von Exploit-Herstellern als Testgeräte für deren Malware genutzt wurden. Welches jahrelange Katz-und-Maus-Spiel der Hackback-Aktion vorausging und warum sie dieses Vorgehen für nicht ganz unproblematisch halten, diskutieren Sylvester und Christopher in der zwanzigsten "Passwort"-Folge.

• Diamond Model of Intrusion Analysis
• Timeline Pacific Rim
• Sophos-CISO Ross McKerchaw im Interview

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Zu den letzten Episoden gab es viel inhaltliches Feedback, auf das Christopher und Sylvester in Folge 19 gerne eingehen. Außerdem reden die beiden noch einmal über das Tor-Projekt, denn eine aktuelle und interessante Angriffswelle auf das System hat es gerade so nicht in die vergangene Folge geschafft. Anschließend schauen sich die Hosts einige in letzter Zeit bekannt gewordene Security-Fails an. Die sind teilweise wirklich erschreckend und fanden sich ausgerechnet in Produkten von IT-Sicherheitsfirmen. So mancher Hersteller muss sich offenbar nochmal die Basics hinter die Ohren schreiben. Um Zertifikate geht es natürlich auch wieder, denn was wäre das Internet, ohne Geknarze in seiner Public-Key-Infrastruktur?

• Frontal-Bericht

• BCP-38

• Passwort-Hashing-Funktionen

• Géant vs. Sectigo

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In Folge 18 geht es um Angriffe auf das Tor-Netzwerk. Dieses System zur Anonymisierung, das oft mit dem Darknet gleichgesetzt wird, stand schon immer unter erheblichen Druck durch alle möglichen Angreifer, einschließlich Ermittlungsbehörden. Die Hosts sehen sich an, wie das Netzwerk funktionieren soll und an welchen Stellen es hapert. Trickreiche und mit ausreichend Ressourcen ausgestattete Angreifer können dort ansetzen und offenbar gezielt Tor-Nutzer enttarnen.

• Organisationen, die Tor-Relays betreiben: https://torservers.net/partners/

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

In der 17. Folge geht's los mit Cybercrime, speziell Razzien gegen Kryptobörsen. Außerdem haben Sylvester und Christopher etwas zu perfctl, einer sehr vielseitigen Linux-Malware mitgebracht, sprechen über löchrige Prozessor-Barrieren und vom Internet erreichbare Druckserver. Und wie so häufig, gibt es auch mal wieder etwas Neues aus der bunten Welt der digitalen Zertifikate.

• Operation Endgame Videos: https://www.operation-endgame.com/#videos
• IBPB - Breaking the Barrier: https://comsec.ethz.ch/research/microarch/breaking-the-barrier/
• Bitrauschen - der heise Prozessor-Podcast: https://bit-rauschen.podigee.io/
• CUPS-Lücken: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

Chatkontrolle ist ein heißes politisches Eisen. Aber auch technisch gibt es einigen Gesprächsbedarf darüber. In der aktuellen Folge von "Passwort" sprechen die Hosts darüber, welche technischen Vorgänge und Fragestellungen hinter der Chatkontrolle stecken, wo es hakt und warum das immer wieder von Lobbyisten und Politikern eingebrachte Vorhaben technisch auf tönernen Füßen steht.

• https://www.heise.de/hintergrund/Kindesmissbrauch-stoppen-Mit-Algorithmen-illegale-Bilder-erkennen-6306740.html
• Europol-Report "AI and Policing": https://www.europol.europa.eu/publication-events/main-reports/ai-and-policing

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

In der neuesten Folge von "Passwort" kommen die Hosts an einer kurzen Einordnung der explodierenden Pager nicht vorbei, halten sich aber mit dem Thema nicht lange auf. Schließlich gibt es noch viel anderes zu besprechen, etwa einen nun durch Strafverfolger abgeräumten Messengerdienst für Kriminelle, Details zum Fehler in Yubikeys, Malware mit cleveren Social-Engineering-Tricks und Clipboard-Manipulation und ein "bat-ylonisches" Dateiendungs-Gewirr.

• Qubes OS - a reasonable secure operating system: https://www.qubes-os.org/

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

In Folge 14 haben Sylvester und Christopher erstmals einen Gast dabei, nämlich die c't-Prozessor-Koryphäe Christof Windeck. Und mit dem zusammen tauchen sie ganz tief in ein Thema ein, das oftmals im Verborgenen bleibt: Sicherheitsfunktionen moderner Prozessoren. Speziell geht es diesmal um Intels "Management Engine", die nicht nur wichtige Funktionen rund um die Absicherung des Systems übernimmt, sondern auch ein eigenes Betriebssystem mitbringt und Fernwartung ermöglicht.

Wieso das manchmal auch ein Problem sein kann und ob man seinem Intel-PC die Wartungsfunktionen abgewöhnen kann, bespricht Christof mit den Passwort-Hosts.

Bit-Rauschen, der Prozessor-Podcast: https://www.heise.de/thema/bit-rauschen

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

In der Folge mit der Unglückszahl 13 geht es um diverse Dinge, die unglücklich gelaufen sind, von Linux-Bootloadern, die Microsoft nur teilweise unabsichtlich blockiert hat, bis zur mangelhaften Sicherheit bei "MLOps", also dem KI-Pendant zu DevOps. Zuerst schauen sich Christopher und Sylvester aber eine sehr erfreuliche Diskussion zu OpenSSL an; die Entwickler haben ihre Community um Meinungen zu einer sicherheitsrelevanten Änderung gebeten. Außerdem geht es um die Festnahme von Pavel Durov, den Schöpfer des gar-nicht-so-sicheren Messengers Telegram, und das altehrwürdige Hacker-ezine "Phrack", das in Ausgabe 71 erschienen ist.

• Hörer-Buchempfehlung: Moral – Die Erfindung von Gut und Böse: https://www.piper.de/buecher/moral-isbn-978-3-492-07140-6

• JFrogs Artikel zu MLOps-Problemen: https://jfrog.com/blog/from-mlops-to-mloops-exposing-the-attack-surface-of-machine-learning-platforms/#inherent-vs-implementation-vulnerabilities

• Ausgabe 71 von Phrack: https://phrack.org/issues/71/1.html

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

Folge 12 von Passwort befasst sich mit "Zero Trust". Dieses Sicherheitskonzept macht in letzter Zeit immer wieder von sich reden, aber zu Recht? Oder ist es nur das nächste PR-Buzzword, mit dem Produkte sich besser verkaufen sollen? Getreu der Beschreibung ihres Podcasts blicken Christopher und Sylvester hinter den Hype: Zero Trust ist durchaus ein ernstzunehmendes Konzept, mit dem man sich beschäftigen sollte. Wenig überraschend hat es aber auch Schwächen und kann (so viel sei verraten) seinem marktschreierischen Namen nicht gerecht werden –ganz ohne Vertrauen kommt nun mal nichts und niemand aus.

• NIST-Paper zu Zero-Trust: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

• BSI-Paper zu Zero-Trust: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeLeitlinien/Zero-Trust/Zero-Trust_04072023.html

• heise-Security-Webinar zu Zero-Trust (für Kunden von heise security PRO kostenlos): https://www.heise.de/news/heise-Security-Webinar-Zero-Trust-vom-Buzzword-zum-praktischen-Einsatz-7367542.html

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://aktionen.heise.de/heise-security-pro

In der elften Folge von "Passwort" reden Sylvester und Christopher über einige Security-News der vergangenen Tage. Den Anfang macht eine Remote-Code-Execution-Lücke in Windows, die durch manipulierte IPv6-Pakete ausgelöst wird und bis jetzt noch für verdächtig wenig Aufregung sorgt. Ein bekannter Tech-Youtuber ging durch Phishing seines X-Kontos verlustig und Google ließ sich Fake-Werbung für seine eigenen Sicherheitsprodukte unterschieben - das erstaunt die Hosts, die mit mehr Gegenwehr seitens der Opfer gerechnet hätten. Außerdem geht es um einen Cyberkriminellen, der sich einen Datenschatz bei einer Darknet-Überwachungsfirma zusammenkratze und eine in letzter Sekunde verhinderte massive Supply-Chain-Attacke gegen Python. Für Liebhaber CA-bezogener Neuigkeiten gibt's am Ende noch ein Schmankerl, bei dem auch Juristen mitmischten.

• PwnedPasswords Downloader: https://github.com/HaveIBeenPwned/PwnedPasswordsDownloader
• Für hartgesottene, die trotz Sylvesters Warnung einen E-Mail-Server selbst hosten möchten: https://github.com/postalserver/postal

Zehnte Folge, das ging schnell! Aber statt die Korken zum Mini-Jubiläum knallen zu lassen, machen Christopher und Sylvester mit ihren Hörern einen Ausflug nach Asien, genauer gesagt nach Nordkorea. Dort arbeiten unter der Führung des Militärgeheimdiensts tausende Cybersoldaten für das Kim-Regime. Sie spionieren, infiltrieren, sabotieren - und erbeuten hunderte Millionen Dollar fürs nordkoreanische Rüstungsprogramm. Wer die Gruppen mit Namen wie Andariel, Lazarus oder BlueNorOff sind und was sie mit einer mittelmäßigen Filmsatire zu tun haben, erfahrt Ihr im Podcast.

• Die Killswitch-Domain von WannaCry sieht aus wie auf dem Keyboard ausgerutscht: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

• Knowbe4 von nordkoreanischem Fake-Mitarbeiter infiltriert: https://www.heise.de/news/l-f-IT-Sicherheitsunternehmen-stellt-unbeabsichtigt-Cyberkriminellen-ein-9814563.html

• Advisory internationaler Sicherheitsbehörden zu gefährdeten Branchen: https://www.ic3.gov/Media/News/2024/240725.pdf

In Folge 9 von Passwort reden Christopher und Sylvester über eine Reihe von Security-News der letzten Tage: Die weltgrößte Zertifizierungsstelle Let’s Encrypt will das Online Certificate Status Protocol (OCSP) loswerden und Secure Boot kämpft, mal wieder, mit Problemen und Schlampereien. Außerdem reden die Hosts über einen neuen Passwort-Check bei GMX und Web.de und die Security von Blockchain- Projekten – anlässlich eines aktuellen besonders teuren Malheurs. Das Urgestein GhostScript macht mit einen Sicherheitsproblem auf sich selbst und vor allem auf den interessanten Charakter des Formats PostScript aufmerksam.

Korrekturen: Sylvester nennt das Protokoll fälschlicherweise "Open Certificate Status Protocol", richtig ist "Online Certificate Status Protocol". Und bei etwa 18:55 erzählt Sylvester, die CRLs großer CAs würden Gigebytes messen. Das stimmt so nicht, sondern ist der Worst-Case, wenn eine CA viele (oder sogar alle) ihrer Zertifikate zurückrufen müsste. Für diesen Worst-Case muss die Infrastruktur allerdings ausgelegt sein.

• c’t-Artikel über Zertifikatswiderrufe: https://heise.de/-9642194
• Folge der c’t Auslegungssache zum Thema „Datenlecks verhindern“: https://heise.de/-9762321
• c’t-Artikel zu Mailpasswörtern im neuen Outlook: https://www.heise.de/select/ct/2023/28/2331715395648017635
• https://www.web3isgoinggreat.com