Es gibt wieder einige Neuigkeiten in der Welt der IT-Sicherheit und alte Bekannte rühren erneut ihr hässliches Haupt. Allen voran die als "Chatkontrolle" bezeichnete Iniative zum "Client-Side Scanning" von Nachrichten, die der EU-Rat unter dänischer Präsidentschaft kürzlich erneut aus der Versenkung hervorholte. Fast genau ein Jahr nach dem letzten Scheitern dieser Initiative zur Aufweichung von Verschlüsselung sprechen Sylvester und Christopher erneut darüber. Auch Oracle ist bereits altbekannter "Gast" im Podcast - dieses Mal mit einer kritischen Lücke in ihrer e-Business Suite und einer äußerst unbefriedigenden Kommunikationsstrategie. Sylvester erklärt seinem Co-Host und den Hörern, was es mit Signals neuen "Post Quantum Ratchets" auf sich hat und warum diese kryptografischen Ratschen den Messenger im Quantenzeitalter sicherer machen sollen. Und dann geht es gleich quantensicher weiter, nämlich mit einer Diskussion über die Vorteile hybrider Quantenverschlüsselungssysteme zu rein quantensicheren. - Einsteiger-Themenabend zu IT-Sicherheit in Hannover: https://aktionen.heise.de/heise-themenabend - Oracles gelöschter Blogeintrag: https://nitter.net/pic/orig/media%2FG2T6vnYWEAAHcB6.jpg - Watchtowr Labs zu CVE-2025-61882: https://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/ - "Passwort", Folge 16: Die Technik hinter der Chatkontrolle - https://passwort.podigee.io/16-die-technik-hinter-der-chatkontrolle - Cloudflare-Blog zum Zertifikats-Lapsus: https://blog.cloudflare.com/unauthorized-issuance-of-certificates-for-1-1-1-1/ - SPQR: https://signal.org/blog/spqr/ - "Passwort", Folge 32: Quantencomputer und wie man sich vor ihnen schützt - https://passwort.podigee.io/32-quantencomputer-und-wie-man-sich-vor-ihnen-schutzt - DJB über Hybrid oder nicht: https://blog.cr.yp.to/20240102-hybrid.html - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Das Hackermagazin Phrack wird in diesem Jahr vierzig Jahre alt und hat seine 72. Ausgabe veröffentlicht, die wieder mit einer Vielfalt von Hacking- und Security-Artikeln glänzt. Sylvester und Christopher haben das Jubiläum zum Anlass genommen, die Geschichte von Phrack zu rekapitulieren und einige wegweisende Artikel aufzugreifen. Und dabei steht ihnen ein prominenter Gast zur Seite: Skyper aus dem Phrack-Team gibt Einblicke in die Redaktionsarbeit, thematisiert den Hackerethos und erzählt Anekdoten aus bewegten Zeiten. Er war auch maßgeblich an der Veröffentlichung der "APT Down"-Analyse beteiligt, der Auswertung einer Workstation eines mutmaßlich chinesischen oder nordkoreanischen IT-Kriminellen. Welche internationalen Auswirkungen der Artikel hatte und was Proton-Chef Andy Yen damit schaffen hat, erfahren die Hörer in der neuesten Ausgabe von "Passwort". Erratum: Christopher behauptet in der Folge, Nordkorea nutze die Zeitzone UTC+8:30, das ist allerdings seit 2018 nicht mehr der Fall. Seitdem verwendet das Land genau wie der Süden die Zeitzone UTC+9 - und unterscheidet sich somit um 60 Minuten von der chinesischen Normalzeit UTC+8. - Link to Phrack: https://www.phrack.org - Electronic Frontier Foundation: https://www.eff.org/ - GitHub-Repo mit kleinstmöglichen syntaktisch validen Dateien: https://github.com/mathiasbynens/small - i-Soon, das Leak aus der chinesischen Cybercrime-Industrie: https://www.heise.de/news/Passwort-Folge-30-i-Soon-das-Leak-aus-der-chinesischen-Cybercrime-Industrie-10354478.html - X-Thread zum Rz_Brand in Daejeon: https://x.com/koryodynasty/status/1971772813444035031 - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Eine Bonusfolge, weil die Themen stärker sprudeln als der Zwei-Wochen- Rhythmus vorsieht. Christopher und Sylvester sehen sich eine fortschrittliche Speicherschutztechnik in Apples neuen iPhones an und erklären, wie es um derartiges im Android-Universum bestellt ist. Außerdem reden die Hosts über einen SalesLoft-Chatbot, der Angreifern Zugriff auf diverse Salesforce-Konten verschafft hat. Und da sage noch einer, diese Bots seien zu nichts nütze. Betroffen waren ausgerechnet Infrastruktur- und Security-Unternehmen – aber die Hosts bezweifeln, dass die nun vom umfassenden Chatbot-Einsatz abrücken. - Apple MIE: https://security.apple.com/blog/memory-integrity-enforcement/ - Salesloft Opferliste: https://www.driftbreach.com/ - Chatbot fail: https://chatbot.fail/ - c’t uplink zu MCP: https://heise.de/-10530901 - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser "Passwort"-Folge geht es zunächst um große Pläne, die die US- amerikanische IT-Sicherheitsbehörde CISA für das CVE-System hat. Sylvester ist verhalten hoffnungsvoll, Christopher sieht die Gefahr, dass Macht missbräuchlich zementiert werden könnte. Machtmissbrauch witterten auch viele Kommentatoren beim nächsten Thema: Browserhersteller überlegen, XSLT auszubauen. Die Hosts sehen sich an, was XSLT überhaupt ist und diskutieren, ob es im Browser sinnvoll oder deplatziert scheint. Zum Schluss werfen Christopher und Sylvester einen Blick auf die sich aktuell häufenden Angriffe auf npm und erklären unter anderem, was die Sandwürmer aus Frank Herberts Dune damit zu tun haben. - Darknet Diaries deutsch: https://www.heise.de/news/Darknet-Diaries-heise-online-bringt-deutsche-Version-des-US-Podcasts-10626196.html - Chrome-Sandbox-Exploit: https://googleprojectzero.blogspot.com/2025/08/from-chrome-renderer-code-exec-to-kernel.html - CISA-Positionspapier: https://www.cisa.gov/sites/default/files/2025-09/CISA_Common_Vulnerabilities_and_Exposures_CVE_Program_Vision-v6_CLEAN.pdf - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset. - Merklemap-Kritik an Static CT: https://www.merklemap.com/documentation/static-ct - Bugreports zu Microsofts Zertifikatsnichtwiderrufen: https://bugzilla.mozilla.org/show_bug.cgi?id=1962829 und https://bugzilla.mozilla.org/show_bug.cgi?id=1965612 - Technische Details zu coredump-Lücken von Qualys: https://www.qualys.com/2025/05/29/apport-coredump/apport-coredump.txt - Erklärung von Oracle zur systemd-coredump-Lücke: https://blogs.oracle.com/linux/post/analysis-of-cve-2025-4598 - PoC zur systemd-coredump-Lücke von CIQ https://ciq.com/blog/the-real-danger-of-systemd-coredump-cve-2025-4598/ - "Made you Reset"-Blogposts: https://galbarnahum.com/posts/made-you-reset-intro und https://galbarnahum.com/posts/made-you-reset-technical-details - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Christopher und Sylvester sind aus dem Urlaub zurück, haben direkt mehr Themen als in einen Passwort-Podcast passen und teilen deshalb auf: In dieser Folge geht es um eine großangelegte Studie, der zufolge viele übliche Anti-Phishing-Maßnahmen kaum oder gar nicht helfen. Außerdem grübeln die beiden über das Tempo, mit dem Let’s Encrypt seine alten CT-Logs abschalten will, und verzweifeln an Microsoft. Die Firma aus Redmond ist mit gleich zwei Geschichten im Podcast vertreten, die nicht nur von Sicherheitslücken und (zweifelhaften) technischen Lösungen handeln, sondern auch totale Kommunikationsdesaster skizzieren. - Phrack Ausgabe 72: https://phrack.org/issues/72/1 - Phising-Studie: https://arianamirian.com/docs/ieee-25.pdf - Slide-Deck der Phishing-Studie: https://i.blackhat.com/BH-USA-25/Presentations/US-25-Dameff-Pwning-Phishing-Training-Through-Scientific-Lure-Crafting-Wednesday.pdf - Blogpost von Microsoft Threat Intelligence zu den Sharepoint- Angriffen: https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities - Jürgen Schmidts Kommentar zu Microsofts Secure Future Initiative: https://heise.de/-10505985 - Video des Vortrags „Living off Microsoft Copilot“: https://www.youtube.com/watch?v=FH6P288i2PE - Windows’ Kopieren-Dialog: https://xkcd.com/612/ - Copilot broke your audit log: https://pistachioapp.com/blog/copilot-broke-your-audit-log - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de

Angriffe, die Fehler in sogenannten Smart Contacts auf einer Blockchain ausnutzen, gibt es immer noch am laufenden Band. Aber ein Angreifer, der direkt Tausende von Contracts unterwandert, dabei technisch durchaus interessante Tricks nutzt und dann entdeckt wird, bevor er zuschlägt? Da kann Sylvester nicht widerstehen – und weil Christopher im Urlaub ist, kann ihn auch niemand aufhalten. Zusammen mit seinem Kollegen Jan Mahn schaut er sich an, was diesmal passiert ist. Weil das nicht so trivial ist, nutzen die beiden die Gelegenheit, auch mal grundsätzlich über Smart Contracts zu reden, welche Sicherheitsvorteile solche Systeme bieten können und wie es damit in der Praxis aussieht. - Der einzig sichere Weg zu programmieren: https://github.com/kelseyhightower/nocode - Folgt uns im Fediverse: - christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Das Domain Name System - kurz DNS - ist einer der Grundpfeiler des modernen Internet. Umso wichtiger, dass es zuverlässige und unfälschbare Informationen liefert. Dabei hilft DNSSEC - die DNS Security Extensions. Was das ist, was es kann, wie man es aktiviert und was man davon hat, erklärt den Hosts in dieser Folge ein Gast: DNSSEC-Experte Peter Thomassen arbeitet seit Jahren an vorderster Front bei verschiedenen Gremien mit und entwickelt die Sicherhetismerkmale von DNS weiter. Er kümmert sich besonders um Automatisierung - ein Thema, bei dem DNSSEC anderen großen Ökosystemen wie dem CA-Kosmos noch hinterherhinkt. - https://desec.io/ - Malware in TXT Records: https://arstechnica.com/security/2025/07/hackers-exploit-a-blind-spot-by-hiding-malware-inside-dns-records/ - Post-Quantum DNSSEC Testbed & Feldstudie: https://pq-dnssec.dedyn.io/ - DS-Automatisierung: RFC 7344, 8078, 9615 - IETF-Draft: "Dry run DNSSEC" - ICANN SSAC Report zu DS-Automatisierung (SAC126): https://itp.cdn.icann.org/en/files/security-and-stability-advisory-committee-ssac-reports/sac-126-16-08-2024-en.pdf - Automatisierungs-Guidelines für Registrierungsstellen (Entwurf): https://datatracker.ietf.org/doc/draft-shetho-dnsop-ds-automation/ - Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben. - The CRA and what it means for us (Greg Kroah-Hartman): https://www.youtube.com/watch?v=u44eMQpGlxA - Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt: https://heise.de/-10450910 - Yealink-Artikel von DNIP: https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/ - Ver- und Entschlüsselung der Yealink-Firmware: https://stefan-gloor.ch/voip-phone-hack - Mastodon-Account mit VNC-Servern https://fedi.computernewb.com/@vncresolver - Diskussion über ssl.com-Fehler im Mozilla-Bugtracker: https://bugzilla.mozilla.org/show_bug.cgi?id=1961406 - Betreibt Euer eigenes CT-Log: https://words.filippo.io/run-sunlight/#fn:bw - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferkette so unübersichtlich geworden ist, dass man unmöglich sagen kann, welche Geräte betroffen sind. - https://mjg59.dreamwidth.org/71646.html & https://mjg59.dreamwidth.org/71933.html - https://blog.cryptographyengineering.com/2025/06/09/a-bit-more-on-twitter-xs-new-encrypted-messaging/ - DNSSEC KSK Ceremony: https://www.iana.org/dnssec/ceremonies/57 - Greg Kroah-Hartman zur Kernel-CVE-Praxis: https://www.youtube.com/watch?v=u44eMQpGlxA&t=787s - https://heise.de/-9777933 - XKCD Dependancy: https://xkcd.com/2347/ - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Meta und Yandex sind bei Trackingmethoden erwischt worden, die weit über das Übliche hinausgehen. Christopher und Sylvester sehen sich die Publikation "Local Mess" an. Darin dokumentieren Forscher Tracking-Tricks dieser Firmen, die den Nutzerwünschen explizit zuwiderlaufen, Securitymaßnahmen untergraben und Kommunikation verschleiern. Die Hosts haben Mühe, noch einen Unterschied zum Vorgehen typischer Malware zu sehen. - Publikation "Local Mess": https://localmess.github.io - Ars Technica zu LocalMess: https://arstechnica.com/security/2025/06/meta-and-yandex-are-de-anonymizing-android-users-web-browsing-identifiers/ - Pläne zu "Local Networt Access": https://github.com/explainers-by-googlers/local-network-access Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge gibt es ein längeres Gespräch zu einer eigentlich recht marginalen Neuerung im WebPKI-Ökosystem. Auf Drängen von Chrome bauen CAs ein Feature aus TLS-Zertifikaten aus, das einige wenige Serverbetreiber nutzten. Ist es statthaft, die Marktmacht derart zu nutzen - und ist die Begründung sinnvoll? Das diskutieren Sylvester und Christopher ausgiebig. Außerdem hat Sylvester ein kleines, nützliches Werkzeug für Tor-Nutzer namens Oniux gefunden und erzählt anhand eines kleinen Fehlers im Ankündigungsartikel des Tor Project, welche Auswirkungen es haben kann, wenn eine .onion-URL irrtümlich bei einem DNS-Server landet. Außerdem befassen die Hosts sich mit den "Busts" gegen Cybercrime-Strukturen, die Malware-Loader und Infostealer vertrieben. Im großen Stil haben Ermittler und IT-Unternehmen diese kriminellen Banden hochgenommen. Und zu guter Letzt gibt es noch ein Eis mit einem falsch kodierten &-Zeichen... - Reddit-AmA mit Sylvester und Christopher: https://www.reddit.com/r/de_EDV/comments/1ksksrb/ama_mit_christopher_kunz_und_sylvester_tremmel_am/ - Digicert zu X9-CA: https://www.digicert.com/blog/how-the-clientauth-crackdown-is-pushing-finance-toward-x9-pki - Oniux: https://blog.torproject.org/introducing-oniux-tor-isolation-using-linux-namespaces/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Quantencomputer bedrohen die ganze Kryptografie… die ganze? Nein! Sylvester lässt sich von seinen Kolleg:innen Dr. Sabrina Patsch und Wilhelm Drehling erklären, welche Algorithmen Quantencomputer tatsächlich bedrohen und wofür sie kein Problem darstellen. Die drei erörtern auch, wie weit real existierende Maschinen von diesen Fähigkeiten noch entfernt sind, warum man sich dennoch bereits Sorgen macht und welche – oft gar nicht so neuen – Verfahren vor Quantencomputern schützen. - Übersichtsseite zum PQC-Standardisierungsprojekt des NIST https://www.nist.gov/pqcrypto - Weiterführender Artikel zum aktuellen Stand der Entwicklung von Quantencomputern https://heise.de/-10349382 - Weiterführender Artikel zu Kryptoagilität und Post-Quanten- Kryptografie https://heise.de/-10337485 - Cloudflares Zufallsgeneratoren https://blog.cloudflare.com/chaos-in-cloudflare-lisbon-office-securing-the-internet-with-wave-motion/ - Das AMA wird in diesem Subreddit stattfinden https://www.reddit.com/r/de_EDV/ Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

"Zumindest wird es nicht langweilig", könnte das April-Fazit aus IT-Security-Sicht lauten. Und den beiden "Passwort"-Hosts fällt es erneut leicht, spannende Sicherheitsgeschichten zu erzählen. Unter anderem geht es um eine neue Form der Supply-Chain-Attacke, die KI-Halluzinationen von Softwarebibliotheken ausnutzt. Aber auch eine trickreiche Umgehung der USB-Sperre von Mobilgeräten stellt Co-Host Christopher vor - und Sylvester ärgert sich über unvollständige Sicherheitsflicken beim Security-Appliance-Hersteller Fortinet. Einig sind sich beide allerdings wieder bei ihrem Dauerbrenner: Eine nun beschlossene Änderung in der WebPKI findet beider Beifall. - ChoiceJacking-Vortrag auf der BlackHat: https://i.blackhat.com/Asia-25/Asia-25-Draschbacher-Watch-Your-Phone.pdf - Offener Brief der EFF in der Causa Krebs: https://www.eff.org/press/releases/eff-leads-prominent-security-experts-urging-trump-administration-leave-chris-krebs - ckus (In-)Security Appliance Bingo: cku.gt/appbingo25 - Slopsquatting-Paper „We Have a Package for You“: https://arxiv.org/abs/2406.10279 - OpenCVE-Installationsanleitung: https://docs.opencve.io/deployment/ - Folgt uns im Fediverse: @christopherkunz@chaos.social @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Christopher und Sylvester werfen einen Blick auf das i- Soon-Leak. Im Februar 2024 tauchte auf GitHub ein Datensatz auf, der Vertriebs- und Dokumentationsmaterial der chinesischen Firma i-Soon enthielt und auch Chatprotokolle von Mitarbeitern des Unternehmens. Wer mit welchem Motiv den Datensatz veröffentlicht hat, ist nach wie vor unklar und entsprechend skeptisch sollte man ihn bewerten. Um eine reine Fälschung handelt es sich jedoch höchstwahrscheinlich nicht und die Daten offenbarten einen seltenen Einblick in die chinesische Cybercrime-Industrie, die sehr offiziell und mit dem Staat als regelmäßigem Kunden agiert. - Analyse der XZ-Hintertür: https://heise.de/-9788145 - Analysen des i-Soon-Leaks: - https://harfanglab.io/insidethelab/isoon-leak-analysis/ - https://unit42.paloaltonetworks.com/i-soon-data-leaks/ - https://www.verfassungsschutz.niedersachsen.de/startseite/aktuelles_service/aktuelle_meldungen/die-i-soon-leaks-industrialisierung-von-cyberspionage-235699.html - Report zum chinesischen Schwachstellenmanagement-Ökosystem: https://www.atlanticcouncil.org/in-depth-research-reports/report/sleight-of-hand-how-china-weaponizes-software-vulnerability/ - Aktuelle US-Anklage gegen i-Soon-Mitarbeiter: https://www.justice.gov/usao-sdny/pr/10-chinese-nationals-charged-large-scale-hacking-us-and-international-victims-behalf Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Achtung, die Blutdruckpillen werden ausgepackt! Christopher und Sylvester ärgern sich über laxe Sicherheitspraktiken bei Konzernen und deren undurchsichtige Krisen-PR. Sie freuen sich hingegen über reichlich Hörer-Feedback zu vergangenen Folgen und diskutieren über Neuerungen im Zertifikats-Ökosystem. Und auch eine sehr prominente, aber vorbildlich gemeisterte Phishing-Attacke wird zum Thema - die Hosts erklären, warum sich wirklich niemand schämen sollte, Opfer geworden zu sein. - https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN - https://github.com/wesaphzt/privatelock - https://eylenburg.github.io/android_comparison.htm - https://samwho.dev/bloom-filters/ - https://github.com/mozilla/clubcard Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge geht es wieder um Staaten, die ihre Bürger bespitzeln. Diesmal allerdings nicht durch Spyware (siehe Folge 25) sondern mittels spezieller Geräte, die möglichst viele Daten auch von gesperrten Telefonen extrahieren. Im Podcast ist Viktor Schlüter zu Gast, der bei Reporter ohne Grenzen das Digital Security Lab leitet. Er kennt sich bestens mit solchen Smartphone-Durchsuchungen aus, die immer wieder auch illegitim eingesetzt werden und sich beispielsweise gegen Journalisten richten. Zusammen mit Viktor sehen sich Christopher und Sylvester an, wie solche Durchsuchungen funktionieren, wer solche Geräte herstellt, wer sie einsetzt und wie man sich davor schützen kann. - Digital Security Lab von Reporter ohne Grenzen: https://www.reporter-ohne-grenzen.de/hilfe/digital-security-lab - Aktuelle Fallanalyse von Amnesty International: https://securitylab.amnesty.org/latest/2025/02/cellebrite-zero-day-exploit-used-to-target-phone-of-serbian-student-activist/ - Cellebrite UFEDs auf eBay: https://www.ebay.de/itm/305957265144 https://www.ebay.com/itm/204207137842

Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen. - https://blog.thc.org/practical-https-interception - CertSpotter: https://github.com/SSLMate/certspotter - https://tuta.com/de/blog/france-surveillance-nacrotrafic-law - https://support.apple.com/en-us/122234 - https://www.cl.cam.ac.uk/~ah793/papers/2025police.pdf - https://www.bloomberg.com/opinion/articles/2025-03-03/citi-keeps-hitting-the-wrong-buttons - https://www.heise.de/news/BAMF-Skurrile-Testkonten-ermoeglichten-unautorisierten-Datenzugriff-10305691.html - https://github.com/jlopp/physical-bitcoin-attacks Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Mit verschlüsselten Daten zu arbeiten, ohne sie entschlüsseln zu müssen, klingt unmöglich. Und doch bietet die homomorphe Verschlüsselung genau diese Möglichkeit. Dafür ist jedoch viel Mathematik vonnöten und die lässt sich Christopher in der 26. Folge des "Passwort"-Podcasts von einem Gast mit ausgewiesener Expertise erklären. Nicht nur graue Theorie, auch apfelbunte Praxis kommt nicht zu kurz: Eine Anwendung in Apples Cloud zeigt, wie nützlich homomorphe Verschlüsselung ist. - Craig Gentry's Paper zu FHE mit ideal lattices: https://www.cs.cmu.edu/~odonnell/hits09/gentry-homomorphic-encryption.pdf - Craig Gentry's Dissertation zu FHE: https://crypto.stanford.edu/craig/craig-thesis.pdf - MS "Kryptonets" Paper von 2016: https://www.microsoft.com/en-us/research/wp-content/uploads/2016/04/CryptonetsTechReport.pdf - https://fhe.org/resources/ - https://homomorphicencryption.org - Michaels Artikel über die Apple-Usecases: https://www.heise.de/hintergrund/Wie-Apple-mit-homomorpher-Verschluesselung-Daten-schuetzen-will-10193623.html (+) Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge geht es um Methoden, mit denen Staaten - und zwar längst nicht nur autoritäre - ihre Bürger bespitzeln. Dissidenten, Journalisten, Politiker und andere Bevölkerungsgruppen waren bereits Opfer von Smartphone-Malware, die im staatlichen Auftrag installiert wurde. Die Hersteller dieser Spionagesoftware sind geheimnistuerische Unternehmen, die viel Geld für ihre Dienste nehmen. Sylvester und Christopher nehmen alle Beteiligten unter die Lupe und klären auch die Frage, ob Whatsapp die NSA verklagt hat. - [Predator-Analyse von Cisco Talos](https://blog.talosintelligence.com/mercenary-intellexa-predator/) - [Google Project Zero zu FORCEDENTRY](https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html) - https://media.ccc.de/v/38c3-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios - https://securitylab.amnesty.org/latest/2024/12/serbia-a-digital-prison-spyware-and-cellebrite-used-on-journalists-and-activists/ - [Details zum iOS Lockdown Mode](https://support.apple.com/de-de/105120) - https://securitylab.amnesty.org/get-help/ - https://securitylab.amnesty.org/partners-and-support/ - [Mobile Verification Toolkit (MVT)](https://docs.mvt.re/en/latest/)