Breach FM - der Infosec Podcast

• Flurfunk - DOJ gegen Russische Proxies, Risiken in GitHub Actions, H200 für China & fehlende OpSec bei Scattered Lapsus

  🌍 DOJ-Anklage gegen russische AkteureDas US-Justizministerium erhebt Anklage gegen Victoria Eduardovna Dubranova wegen Beteiligung an CARR und NoName057. Vorwurf sind DDoS-Angriffe auf kritische Infrastruktur und DDoS-for-Hire im Interesse russischer Behörden. Wir sprechen über Proxystrukturen, Abschottung durch plausible Abstreitbarkeit und warum Staaten Kriminalität als Werkzeug einsetzen.https://www.justice.gov/usao-cdca/pr/justice-department-announces-actions-combat-two-russian-state-sponsored-cyber-criminal🌍 Nationale Sicherheitsstrategie und europäische ReaktionenDie neue US Security Strategy schlägt große Wellen. Viele Europäer reagieren empört. Wir diskutieren Abhängigkeiten, warum Empörung keine Politik ist und welche konkrete Rolle Europa ab 2026 bei Verteidigung, Standards und Investitionen einnehmen müsste.https://www.whitehouse.gov/wp-content/uploads/2025/12/2025-National-Security-Strategy.pdf🛠️ AI-Agenten in GitHub Actions als Supply-Chain-RisikoAikido Security zeigt Ausnutzung von AI-Agenten in CI/CD, wenn GitHub Actions auf sensible Tokens zugreifen. Risikoquellen sind Secrets in Logs, fehlende Trennung und Token-Reuse. Empfehlungen sind minimaler Blast Radius, automatisierte Governance und saubere Definition von Agenten. Ein Thema, das DevSecOps länger beschäftigen wird.https://www.aikido.dev/blog/promptpwnd-github-actions-ai-agents🇨🇳 Nvidia H200 zurück in ChinaUS-Vorgaben erlauben wieder Exporte von H200 nach China. Spannend im Kontext der US-Strategie zu AI-Leadership und globalen Spannungen. Wir sprechen über Auswirkungen auf Trainingskapazitäten, Industriepolitik und die Frage technischer Souveränität.https://www.ft.com/content/c4e81a67-cd5b-48b4-9749-92ecf116313d📉 Deloitte und der 1,6-Millionen-Dollar-ReportEin Healthcare-Report für Neufundland und Labrador enthält nicht existierende Quellen. Deloitte bestätigt Hilfe durch KI-Tools und fehlerhafte Referenzen. Medien berichten über falsche Studien und falsche Attributierung. Nicht die KI ist der Kern, sondern das fehlende Review-System und die Verantwortung bei Top-4-Beratern.https://fortune.com/2025/11/25/deloitte-caught-fabricated-ai-generated-research-million-dollar-report-canada-government/🕵️ Brian Krebs deanonymisiert Scattered-Lapsus-AdminBrian Krebs verfolgt anhand von Infostealer-Daten, Passwortleaks und Forenaktivität den mutmaßlichen Admin Rey der Scattered-Lapsus-Gruppe. Ergebnis ist die Identifizierung eines 15-jährigen Jordanier. Ausgangspunkt war ein schlecht geschwärzter Sextortion-Screenshot. Unterstützt durch CTI-Partner zeigt der Fall, wie dünn OPSEC selbst bei fortgeschrittenen Gruppen ist und warum investigativer Journalismus auch im Bereich Cyber super relevant bleibt.https://krebsonsecurity.com/2025/11/meet-rey-the-admin-of-scattered-lapsus-hunters/

  --------  

  1:22:36

  --------

  1:22:36
• Flurfunk - China vs. Starlink, Schweizer Cloud-Bremse & FCC zieht Cyberregeln zurück

  🛰️ China simuliert großflächiges Starlink-JammingZhejiang University und Beijing Institute of Technology analysieren, wie sich ein ganzes Gebiet in der Größe Taiwans für Starlink unbrauchbar machen ließe. Das Modell rechnet mit 1000 bis 2000 fliegenden Jamming-Plattformen, die die Bodenterminals überlasten sollen. Die Studie wirkt wie ein technisches Signal nach außen und zeigt, wie zentral LEO-Konstellationen militärisch geworden sind.https://amp.scmp.com/news/china/science/article/3333523/chinese-researchers-simulate-large-scale-electronic-warfare-against-elon-musks-starlink🧩 Schweiz schränkt Hyperscaler-Clouds für Behörden einDie Datenschutzbehörde Privatim verabschiedet eine Resolution, die internationale Cloud-Dienste bei besonders sensiblen Behörden-Daten nur noch mit echter Ende-zu-Ende-Verschlüsselung erlaubt. Viele SaaS-Dienste können das nicht. Wir sprechen über die technische Machbarkeit, die Unschärfen der Definition und warum Behörden damit plötzlich vor erheblichen Architekturfragen stehen.https://steigerlegal.ch/2025/11/24/cloud-verbot-privatim-schweiz/📡 FCC hebt geplante Cyberstandards für US-Telcos wieder aufDie frühere FCC-Mehrheit wollte Mindestanforderungen für Telcos einführen, basierend auf dem alten KALIA-Gesetz aus den 1990ern. Die neue Mehrheit stoppt das nun. Zurück bleibt ein extrem heterogener Markt ohne klare Vorgaben, der zugleich Ziel komplexer Kampagnen wie zuletzt durch Volt Typhoon war. Wir ordnen ein, warum fehlende Guidance für viele Betreiber ein echtes Risiko ist.https://www.cybersecuritydive.com/news/fcc-eliminates-telecom-cybersecurity-requirements/806052/🍅 Campbell’s CISO in interner Affäre beurlaubtEin CISO verliert seinen Posten, nachdem interne Gesprächsaufnahmen mit abfälligen Kommentaren über Mitarbeitende auftauchen. Der Whistleblower selbst wird wenig später ebenfalls entlassen. Die Geschichte zeigt, wie schnell Leadership-Versagen eskaliert und wie dünn die Linie zwischen persönlicher Meinung und geschäftlicher Verantwortung ist.https://steigerlegal.ch/2025/11/24/cloud-verbot-privatim-schweiz/🔐 Kryptoforschungs-Wahl muss neu durchgeführt werdenDie International Association for Cryptologic Research (IACR) annulliert ihre Wahl, weil ein Trustee seinen privaten Schlüssel verliert und das eingesetzte Threshold-Scheme nicht mehr rekonstruiert werden kann. Ein kurioses Beispiel dafür, wie Sicherheit und Betriebsfähigkeit manchmal in Konflikt geraten – selbst bei Kryptografie-Profis.https://arstechnica.com/security/2025/11/cryptography-group-cancels-election-results-after-official-loses-secret-key/Buchempfehlung: https://www.ullstein.de/werke/das-versagen/hardcover/9783550204272

  --------  

  55:01

  --------

  55:01
• Flurfunk - BSC, Shai-Hulud 2.0, Crowdstrike Insider, SEC vs. Tim Brown & WhatsApp Leak

  🇪🇺 Berliner Sicherheitskonferenz: Hybride Kriege & Common Sense  Robert war vor Ort – tolle Keynotes mit Schwedischer Kronprinzessin, Boris Pistorius und internationalen Verteidigungsministern. Diskussionen über hybride Kriegsführung, autonome Waffensysteme (die Gegner bauen sie eh, also lasst uns realistisch bleiben) und Electronic Warfare. Lob an die Defense-Community: Immer respektvoll, offen für Cyber-Insights – trotz Roberts fehlendem militärischen Background (und seiner Ankündigung als „Podcaster“). Fazit: Mehr Common Sense in der Debatte, weniger Moralpredigten.🟢WhatsApp "Leak": 3,5 Milliarden Nummern im Schaufenster Forscher der Uni Wien zeigen, was passiert, wenn eine API kein Rate-Limiting hat: Enumeration von ~3,5 Mrd. Accounts inklusive Metadaten und Profilbildern. Brisant: Accounts in China (2,3 Mio.), Iran und ein paar User in Nordkorea identifiziert. Kein Bruch der Verschlüsselung, aber ein massives Privacy-Desaster für gefährdete Personen – Meta reagierte erst auf Publikationsdruck.🙋‍♂️CISO-Aufatmen: SEC lässt Klage gegen SolarWinds-CISO fallen Gute Nachrichten für Tim Brown: Die SEC zieht die Klage zurück. Kein Vertuschen, Job gemacht. Ein wichtiges Signal für die Community: Wer sauber dokumentiert und arbeitet, steht nicht automatisch mit einem Bein im Knast. 5 Jahre Limbo haben ein Ende.🪱 Shai-Hulud 2.0: Der Wurm frisst sich durch NPM  Wiz hat's analysiert: Ein neuer Wurm infiziert ~700 NPM-Packages, betrifft >25.000 Repos über 500 GitHub-User – und wächst mit 1.000 neuen Repos alle 30 Minuten. Kompromittiert Maintainer, exfiltriert Secrets (Keys, Passwörter, API-Zugänge) via öffentliche Repos. Autark, ohne User-Input – scary. Open-Source hat Vorteile (Community fängt's schnell), aber die Challenges wachsen. Habt ihr aus dem ersten Wurm gelernt?🕵️ CrowdStrike Insider: Screenshots für 25k USD  Lapsus$ postet Screenshots aus CrowdStrikes interner Threat Intel-Plattform – dank einem Insider, der für magere 25.000 $ verkauft hat. Kein großer Leak (nur Bilder, keine Daten), aber peinlich. Timeline: Oktober interne Untersuchung & Entlassung, November Posts & offizielle Stellungnahme. Diskussion: War's okay, nicht früher zu kommunizieren? Und seriously, 25k bei dem Aktienkurs? Greed wins, aber das Risiko...

  --------  

  50:44

  --------

  50:44
• Flurfunk - Silent Patches, Espionage mit Claude, Akira Ransomware & Insider bei Intel

  🛡️ FortiWeb Auth-Bypass (CVSS 9.8) – „This is fine“ in Reinform 🤖 Claude (Anthropic) als Hacking-Steuerzentrale🦝 Akira Ransomware: Edge-Devices sind ihr Lieblingseinstieg 💾 Intel-Insider klaut 18.000 Dateien – Offboarding wie 1995

  --------  

  1:07:20

  --------

  1:07:20
• Flurfunk - DPRK Remote Worker Video Beweis, Anwälte vs. Halluzinationen, NIS2 & Russlands Cyber Militarisierung

  🇰🇵 Nordkoreanische Remote-Worker: Jetzt mit Video-Beweis  Das Bitso Quetzal Team hat ein Honeypot aufgebaut und 5 Blogposts voller Recordings und anderen lustigen Findings veröffentlicht. Sieben Phasen vom geklonten LinkedIn-Profil bis zum schnellen Malware-Drop schon im Coding-Assessment. Astral VPN, Deepfake-Filter, notorisch schlechte Lügner – aber die wirklich guten sieht man nicht. Viel gefährlicher: legitime Mitarbeiter, die ihre Arbeit einfach subcontracten. Laptop-Farming made in Pyongyang, anyone?  https://quetzal.bitso.com/⚖️ Über 500 Gerichtsfälle: Anwälte zitieren nicht-existierende Urteile aus KI  Damien Charlotin Datenbank wächst rasant: fast 300 aus den USA, 3 aus Deutschland (u.a. LG Frankfurt & OLG Celle). Konsequenz: Rüge, verlorene Verfahren, peinliche Fragen zur Anwaltskompetenz. Merkt euch: Quellen immer selbst prüfen, sonst landet ihr in den AI Darwin Awards (Taco-Bell-Drive-Thru-Chaos inklusive).  https://www.damiencharlotin.com/hallucinations/https://aidarwinawards.org/🇷🇺 Russland zwingt Researcher zur Zero-Day-Meldung beim FSB  Jede gefundene Schwachstelle in Software, die in Russland läuft, soll bzw. muss künftig an den Inlandsgeheimdienst. Begründung: „koordinierte Schwachstellenverwaltung zum Schutz nationaler Sicherheit“. Whitehead-Hacking wird verstaatlicht. Vergleich zum US-VEP? Eher nicht.  https://risky.biz/risky-bulletin-russian-bill-would-require-researchers-to-report-bugs-to-the-fsb/🇩🇪 NIS-2: Endlich Bewegung, aber Kommunen wieder außen vor  SPD & CDU haben sich auf das Umsetzungsgesetz geeinigt: diese Woche noch Lesungen, bis Jahresende könnte es durch sein. Positiv: Landesregierungen & Behörden fallen jetzt explizit drunter, es soll ein CISO Bund kommen. Negativ: Kommunen weiterhin ausgenommen – Trickle-Down-Effekt soll’s richten. Robert ist skeptisch, Max vorsichtig optimistisch.  🇷🇺 #2 Russland: Cybercrime wird Teil der gesamtgesellschaftlichen MilitarisierungFrisches Paper von Analyst1 : Anastasia Sentsova zeigt, wie der Kreml seit über einem Jahrzehnt die Zivilbevölkerung militarisiert – und Cybercrime nahtlos einbindet. Von der All-Russia People’s Front (ONF) über „Cyber-Squads“ gegen „russophobe Inhalte“ bis hin zu Symbolen wie dem Georgsband, das jetzt auch in Ransomware-Narrativen auftaucht. Freiwillige werden zu digitalen Soldaten, Hacktivisten marschieren im Takt des Staates. Lest es euch durch – analytisch, sarkastisch und erschreckend plausibel.https://analyst1.com/russian-cybercrime-state-militarization/📊 Bremst Angriff auf JLR das britische BIP ?Bank of England nennt den Angriff auf Jaguar Land Rover explizit als Grund, warum Q3 nur +0,2% statt +0,3% Wachstum. Schaden >2 Mrd. Klar, viel ging schief – aber jetzt als alleiniger BIP-Killer? Die Story wird langsam absurd gesponnen.  https://www.theregister.com/2025/11/07/bank_of_england_says_jlrs/

  --------  

  54:54

  --------

  54:54

Weitere Technologie Podcasts

Trending Technologie Podcasts

Über Breach FM - der Infosec Podcast