Folgen

  • Jubiläums-Bonusfolge mit Zertifikatstransparenz, neuen Ransomware-Taktiken und telnet

    Jubiläums-Bonusfolge mit Zertifikatstransparenz, neuen Ransomware-Taktiken und telnet
    Feb 11 2026
    In der Bonusfolge zum fünfzigsten Jubiläum geht es zunächst um Certificate Transparency. Die ist mittlerweile ein wichtiger Bestandteil der weltweiten PKI und jede Änderung kann unerwartete Folgen haben. Christopher erzählt dann kurz, was Cyberkriminelle jetzt tun, um resilienter gegen Strafverfolger zu werden: Blockchain ist das Stichwort der Stunde für ALPHV und Co. Und Sylvester berichtet, wie KI-generierte Sicherheitsmeldungen das Ende der "Bug-Bounty"-Programme bei cURL und womöglich anderen Opensource-Projekten einläuten. Um die einstündige Zusatzfolge abzurunden, gibt es auch noch eine Meinung zur neuen Sicherheitslücke in einem uralten Protokoll.
    Mehr anzeigen Weniger anzeigen
    1 Std. und 3 Min.
  • Jubiläumsfolge mit extraviel Feedback, Cloudflare und Bluetooth-Lücke

    Jubiläumsfolge mit extraviel Feedback, Cloudflare und Bluetooth-Lücke
    Feb 4 2026
    Rundes Jubiläum beim Podcast! Anlässlich der fünfzigsten regulären Folge besprechen Sylvester und Christopher viel Hörerfeedback, über das sie sich besonders freuen. Sie haben auch viele Themen für die Newsfolge mitgebracht - so viele, dass Sylvester nach zwei Stunden die Reißleine zieht und eine Bonusfolge einläutet. Neben einer neuen RCE-Lücke in n8n gibt es eine Einschätzung zu Bitlocker-Wiederherstellschlüsseln in der Cloud, ungläubiges Kopfschütteln angesichts eines vibecoded PR-Stunts von Cloudflare, eine neue Bluetooth-Lücke und einen witzigen Weg, Anthropics LLMs aus dem Tritt zu bringen.
    Mehr anzeigen Weniger anzeigen
    1 Std. und 56 Min.
  • BSI, n8n, PGP etc. – allüberall Probleme

    BSI, n8n, PGP etc. – allüberall Probleme
    Jan 21 2026
    Die erste Folge, die Christopher und Sylvester im neuen Jahr aufzeichnen. Seit der letzten regulären Podcast-Episode hat sich einiges an aktuellen Problemen und Lücken angesammelt. Befreit von den harten Zeitvorgaben eines externen Sendezentrums schlagen die Hosts etwas über die Stränge und reden gute 2,5 Stunden: Es geht um ein seltsam unbenutzbares Portal des BSI, schwierig abzuwehrende Angriffe auf Signal & Co, den wenig erbaulichen Zustand von PKIs zum Code- Signing, diverse Lücken und Probleme in GnuPG und dem PGP- Kryptografiesystem insgesamt, einen geschickten Angriff auf das Automatisierungstool n8n – sowie einige kleinere Themen, auf die Christopher und Sylvester spontan eingehen. Ziemlich viel auf einmal, aber immerhin in mundgerechte Häppchen unterteilt. - ACME-DNS: https://github.com/joohoi/acme-dns - WhatsApp-Scraping-Paper: https://arxiv.org/abs/2511.20252 - Messengernutzer-Tracking-Paperhttps://arxiv.org/abs/2411.11194) - Zum Ausprobieren: Whatsapp Device Activity Tracker: https://github.com/gommzystudio/device-activity-tracker - GnuPG-Artikel: https://www.heise.de/hintergrund/Kritik-an-GnuPG-und-seinem-Umgang-mit-gemeldeten-Luecken-11132888.html - GnuPG-Talk: https://media.ccc.de/v/39c3-to-sign-or-not-to-sign-practical-vulnerabilities-i - LIEF - Library to Instrument Executable Formats: https://lief.re/ - PoC zum n8n-RCE: https://github.com/Chocapikk/CVE-2026-21858 - 39C3-Vortrag von Christopher und Sylvester: https://media.ccc.de/v/39c3-apt-down-and-the-mystery-of-the-burning-data-centers
    Mehr anzeigen Weniger anzeigen
    2 Std. und 43 Min.
  • Passwort vom 39c3 zu digitaler Unabhängigkeit, kranken Akten und behämmertem Speicher

    Passwort vom 39c3 zu digitaler Unabhängigkeit, kranken Akten und behämmertem Speicher
    Jan 7 2026
    Der Podcast gastiert auf dem 39. Chaos Communication Congress und hat drei illustre Gäste geladen. Linus Neumann, CCC-Sprecher, erzählt vom Digital Independence Day und wie es (hoffentlich) Mode werden könnte, sich Stück für Stück aus den Klauen der Internetgiganten zu lösen. Bianca Kastl berichtet von alten und neuen Sicherheitsproblemen der elektronischen Patientenakte ePA, wie es so weit kommen konnte und ob wenigstens Besserung in Sicht ist. Florian Adamsky erklärt die Sicherheitslücke Rowhammer und wie praktikabel Angriffe über diese Lücke sind – denn dazu hat er mit Kollegen im vergangenen Jahr das Experiment FlippyR.AM gestartet. - Video vom Podcast: https://media.ccc.de/v/ec0a3724-5021-59d5-b32e-f5005b2cff99 - Digital Independence Day: https://di.day/ - FlippyR.AM: https://flippyr.am - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort
    Mehr anzeigen Weniger anzeigen
    1 Std. und 28 Min.
  • News PKI-Neuerungen, Tor-Umbau und React2Shell

    News PKI-Neuerungen, Tor-Umbau und React2Shell
    Dec 17 2025
    Jetzt hat's Sylvester erwischt und er ist erkältet - was ihn aber nicht davon abhält, in der neuen Folge von "Passwort" ausgiebig mit Christopher zu allerlei Security-Themen zu sprechen. Zunächst thematisieren die beiden mit etwas Humor ein Kuriosum, nämlich eine nicht hinlänglich verschlüsselnde Toilettenschüsselkamera zur Darmkrebs-Früherkennung. Dann erläutert Sylvester, was es mit der Sicherheitslücke "React2Shell" auf sich hat, die in den vergangenen Tagen für reichlich Furore sorgte und Hunderttausende Domains weltweit betrifft. Christopher hat dieses Mal gleich fünf PKI-Themen im Gepäck, zu denen Sylvester kurzerhand noch ein sechstes beisteuert und auch den Umbau von Tor mittels "Counter-Galois Onion" hat der c't-Redakteur sich angeschaut. Der Podcast verabschiedet sich mit dieser Folge in eine dreiwöchige Weihnachtspause - wer will, kann die Aufzeichnung der nächsten Folge live auf dem 39C3 miterleben. - React2Shell PoC: https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3 - XKCD: https://xkcd.com/1172/ - Cloudflare: https://blog.cloudflare.com/5-december-2025-outage/ - Logarchivierung für CT-Logs: https://groups.google.com/a/chromium.org/g/ct-policy/c/Y25hCTrCjDo - Wo überall Trust-Stores sitzen: https://heise.de/-9568002 - Tor vs Iran und Russland: https://blog.torproject.org/staying-ahead-of-censors-2025/ - Counter Galois Onion: https://blog.torproject.org/introducing-cgo/ - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de
    Mehr anzeigen Weniger anzeigen
    1 Std. und 56 Min.
  • Von Würmer, Viren, Schluckauf und Husten

    Von Würmer, Viren, Schluckauf und Husten
    Dec 3 2025
    Im Podcast kränkelt's: Bei Cloudflare gab es einen dreistündigen Schluckauf, der Co-Host hat Hustenanfälle und Würmer befielen mal wieder NPM. Christopher und Sylvester schauen sich ausgiebig an, was die zweite Ausgabe der Javascript-Schadsoftware "Sha1-Hulud" anders macht als die erste und befassen sich auch noch einmal mit "Glassworm", einem Thema der letzten Folgen. Dort ist im Nachhinein unklar, ob es sich tatsächlich um einen Wurm handelt oder vielleicht eher ein Botnet, wie Christopher mutmaßt. Doch auch der dreistündige Ausfall bei Cloudflare steht auf der Tagesordnung - mit ungewohnt viel Lob der Hosts! - und ob Whatsapp wirklich das größte Datenleck der Geschichte hatte, ergründen die beiden heise-Redakteure ebenfalls. - Cloudflare zum Ausfall am 18. November: https://blog.cloudflare.com/18-november-2025-outage/ - Threema zum WhatsApp-Scraping: https://threema.com/de/blog/whatsapp-datenleck-2025 - Trend Micros technische Analyse von Shai Hulud 2.0: https://www.trendmicro.com/en_us/research/25/k/shai-hulud-2-0-targets-cloud-and-developer-systems.html - Expel zu Cache Smuggling: https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/ - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de
    Mehr anzeigen Weniger anzeigen
    1 Std. und 38 Min.
  • Die Große Chinesische Firewall

    Die Große Chinesische Firewall
    Nov 19 2025
    Christopher und Sylvester knöpfen sich ein lange gewünschtes und äußerst umfangreiches Thema vor. Es geht um das System, mit dem China sein nationales Internet abschottet, die sogenannte Große Chinesische Firewall. Die Hosts erzählen, woher das System kommt, wie es technisch funktioniert und weiterentwickelt wird – und wie auch die Gegner ihre Anti-Zensur-Systeme um immer neue Tricks erweitern. Außerdem geht es im Podcast um die Kommerzialisierung der Zensur, denn China hat längst damit begonnen, Systeme wie die der chinesischen Firewall auch an andere Staaten zu verkaufen. - Chromes XSLT-Abschaltung: https://developer.chrome.com/docs/web-platform/deprecating-xslt - Report zum Geedge-Leak: https://interseclab.org/wp-content/uploads/2025/09/The-Internet-Coup_September2025.pdf - Analyseprojekte und Testwebseiten für die Firewall - GFWatch: https://gfwatch.org - GFWeb: https://gfweb.ca - Chinese Firewall Test: https://viewdns.info/chinesefirewall/ - Anti-Zensur-Werkzeuge: - Trojan: https://github.com/trojan-gfw/trojan - Shadowsocks: https://shadowsocks.org - Project V: https://www.v2fly.org/en_US/ - Outline: https://getoutline.org - Lantern: https://lantern.io - Psiphon: https://psiphon.ca - Conjure: https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/conjure - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de
    Mehr anzeigen Weniger anzeigen
    2 Std. und 23 Min.
  • News mit Serialisierungsproblemen, AWS-Fail und PKI-Extra

    News mit Serialisierungsproblemen, AWS-Fail und PKI-Extra
    Nov 5 2025
    Es näselt leicht im Podcast - die herbstliche Erkältungswelle macht auch vor "Passwort" nicht halt. Trotzdem haben sich Sylvester und Christopher einiges vorgenommen. Sie sprechen über den AWS- und Azure-Ausfall der letzten Wochen, denn auch Verfügbarkeit ist Teil der IT-Sicherheit. Die kritische Sicherheitslücke im Windows-Updateserver WSUS kommt ebenso zur Sprache wie eine trickreiche Malware, die eine wenig bekannte UTF8-Funktion zu ihrem Vorteil nutzt. Und endlich gibt es wieder ein PKI-Thema: Wie eine kroatische CA widerrechtlich Zertifikate für Cloudflare ausstellte, erzählt Christopher dem Publikum und seinem Co-Host. - Online Themenabend: https://aktionen.heise.de/heise-themenabend - AWS’ Ausfallanalyse: https://aws.amazon.com/de/message/101925/ - Meredith Whittaker von Signal zur Notwendigkeit der Hyperscaler: https://mastodon.world/@Mer__edith/115445701583902092 - SAP spielt CVSS-Würfeln: https://services.nvd.nist.gov/rest/json/cvehistory/2.0?cveId=CVE-2025-30012 - Microsoft warnt Entwickler vor SoapFormatter: https://learn.microsoft.com/en-us/dotnet/standard/serialization/binaryformatter-security-guide - Koi über GlassWorm: https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace - QWAC mit Soße (+): https://www.heise.de/select/ct/2023/29/2332409110101310744 - Diskussion um FINA im Bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=1986968 - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de
    Mehr anzeigen Weniger anzeigen
    2 Std. und 14 Min.