Passwort - der Podcast von heise security

Der Podcast gastiert auf dem 39. Chaos Communication Congress und hat drei illustre Gäste geladen. Linus Neumann, CCC-Sprecher, erzählt vom Digital Independence Day und wie es (hoffentlich) Mode werden könnte, sich Stück für Stück aus den Klauen der Internetgiganten zu lösen. Bianca Kastl berichtet von alten und neuen Sicherheitsproblemen der elektronischen Patientenakte ePA, wie es so weit kommen konnte und ob wenigstens Besserung in Sicht ist. Florian Adamsky erklärt die Sicherheitslücke Rowhammer und wie praktikabel Angriffe über diese Lücke sind – denn dazu hat er mit Kollegen im vergangenen Jahr das Experiment FlippyR.AM gestartet. - Video vom Podcast: https://media.ccc.de/v/ec0a3724-5021-59d5-b32e-f5005b2cff99 - Digital Independence Day: https://di.day/ - FlippyR.AM: https://flippyr.am - Folgt uns im Fediverse: - @[email protected] - @[email protected] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Jetzt hat's Sylvester erwischt und er ist erkältet - was ihn aber nicht davon abhält, in der neuen Folge von "Passwort" ausgiebig mit Christopher zu allerlei Security-Themen zu sprechen. Zunächst thematisieren die beiden mit etwas Humor ein Kuriosum, nämlich eine nicht hinlänglich verschlüsselnde Toilettenschüsselkamera zur Darmkrebs-Früherkennung. Dann erläutert Sylvester, was es mit der Sicherheitslücke "React2Shell" auf sich hat, die in den vergangenen Tagen für reichlich Furore sorgte und Hunderttausende Domains weltweit betrifft. Christopher hat dieses Mal gleich fünf PKI-Themen im Gepäck, zu denen Sylvester kurzerhand noch ein sechstes beisteuert und auch den Umbau von Tor mittels "Counter-Galois Onion" hat der c't-Redakteur sich angeschaut. Der Podcast verabschiedet sich mit dieser Folge in eine dreiwöchige Weihnachtspause - wer will, kann die Aufzeichnung der nächsten Folge live auf dem 39C3 miterleben. - React2Shell PoC: https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3 - XKCD: https://xkcd.com/1172/ - Cloudflare: https://blog.cloudflare.com/5-december-2025-outage/ - Logarchivierung für CT-Logs: https://groups.google.com/a/chromium.org/g/ct-policy/c/Y25hCTrCjDo - Wo überall Trust-Stores sitzen: https://heise.de/-9568002 - Tor vs Iran und Russland: https://blog.torproject.org/staying-ahead-of-censors-2025/ - Counter Galois Onion: https://blog.torproject.org/introducing-cgo/ - Folgt uns im Fediverse: * @[email protected] * @[email protected]

Im Podcast kränkelt's: Bei Cloudflare gab es einen dreistündigen Schluckauf, der Co-Host hat Hustenanfälle und Würmer befielen mal wieder NPM. Christopher und Sylvester schauen sich ausgiebig an, was die zweite Ausgabe der Javascript-Schadsoftware "Sha1-Hulud" anders macht als die erste und befassen sich auch noch einmal mit "Glassworm", einem Thema der letzten Folgen. Dort ist im Nachhinein unklar, ob es sich tatsächlich um einen Wurm handelt oder vielleicht eher ein Botnet, wie Christopher mutmaßt. Doch auch der dreistündige Ausfall bei Cloudflare steht auf der Tagesordnung - mit ungewohnt viel Lob der Hosts! - und ob Whatsapp wirklich das größte Datenleck der Geschichte hatte, ergründen die beiden heise-Redakteure ebenfalls. - Cloudflare zum Ausfall am 18. November: https://blog.cloudflare.com/18-november-2025-outage/ - Threema zum WhatsApp-Scraping: https://threema.com/de/blog/whatsapp-datenleck-2025 - Trend Micros technische Analyse von Shai Hulud 2.0: https://www.trendmicro.com/en_us/research/25/k/shai-hulud-2-0-targets-cloud-and-developer-systems.html - Expel zu Cache Smuggling: https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/ - Folgt uns im Fediverse: - @[email protected] - @[email protected]

Christopher und Sylvester knöpfen sich ein lange gewünschtes und äußerst umfangreiches Thema vor. Es geht um das System, mit dem China sein nationales Internet abschottet, die sogenannte Große Chinesische Firewall. Die Hosts erzählen, woher das System kommt, wie es technisch funktioniert und weiterentwickelt wird – und wie auch die Gegner ihre Anti-Zensur-Systeme um immer neue Tricks erweitern. Außerdem geht es im Podcast um die Kommerzialisierung der Zensur, denn China hat längst damit begonnen, Systeme wie die der chinesischen Firewall auch an andere Staaten zu verkaufen. - Chromes XSLT-Abschaltung: https://developer.chrome.com/docs/web-platform/deprecating-xslt - Report zum Geedge-Leak: https://interseclab.org/wp-content/uploads/2025/09/The-Internet-Coup_September2025.pdf - Analyseprojekte und Testwebseiten für die Firewall - GFWatch: https://gfwatch.org - GFWeb: https://gfweb.ca - Chinese Firewall Test: https://viewdns.info/chinesefirewall/ - Anti-Zensur-Werkzeuge: - Trojan: https://github.com/trojan-gfw/trojan - Shadowsocks: https://shadowsocks.org - Project V: https://www.v2fly.org/en_US/ - Outline: https://getoutline.org - Lantern: https://lantern.io - Psiphon: https://psiphon.ca - Conjure: https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/conjure - Folgt uns im Fediverse: - @[email protected] - @[email protected]

Es näselt leicht im Podcast - die herbstliche Erkältungswelle macht auch vor "Passwort" nicht halt. Trotzdem haben sich Sylvester und Christopher einiges vorgenommen. Sie sprechen über den AWS- und Azure-Ausfall der letzten Wochen, denn auch Verfügbarkeit ist Teil der IT-Sicherheit. Die kritische Sicherheitslücke im Windows-Updateserver WSUS kommt ebenso zur Sprache wie eine trickreiche Malware, die eine wenig bekannte UTF8-Funktion zu ihrem Vorteil nutzt. Und endlich gibt es wieder ein PKI-Thema: Wie eine kroatische CA widerrechtlich Zertifikate für Cloudflare ausstellte, erzählt Christopher dem Publikum und seinem Co-Host. - Online Themenabend: https://aktionen.heise.de/heise-themenabend - AWS’ Ausfallanalyse: https://aws.amazon.com/de/message/101925/ - Meredith Whittaker von Signal zur Notwendigkeit der Hyperscaler: https://mastodon.world/@Mer__edith/115445701583902092 - SAP spielt CVSS-Würfeln: https://services.nvd.nist.gov/rest/json/cvehistory/2.0?cveId=CVE-2025-30012 - Microsoft warnt Entwickler vor SoapFormatter: https://learn.microsoft.com/en-us/dotnet/standard/serialization/binaryformatter-security-guide - Koi über GlassWorm: https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace - QWAC mit Soße (+): https://www.heise.de/select/ct/2023/29/2332409110101310744 - Diskussion um FINA im Bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=1986968 - Folgt uns im Fediverse: * @[email protected] * @[email protected]