Passwort - der Podcast von heise security

Das Domain Name System - kurz DNS - ist einer der Grundpfeiler des modernen Internet. Umso wichtiger, dass es zuverlässige und unfälschbare Informationen liefert. Dabei hilft DNSSEC - die DNS Security Extensions. Was das ist, was es kann, wie man es aktiviert und was man davon hat, erklärt den Hosts in dieser Folge ein Gast: DNSSEC-Experte Peter Thomassen arbeitet seit Jahren an vorderster Front bei verschiedenen Gremien mit und entwickelt die Sicherhetismerkmale von DNS weiter. Er kümmert sich besonders um Automatisierung - ein Thema, bei dem DNSSEC anderen großen Ökosystemen wie dem CA-Kosmos noch hinterherhinkt. * https://desec.io/ [https://desec.io/] * Malware in TXT Records [https://arstechnica.com/security/2025/07/hackers-exploit-a-blind-spot-by-hiding-malware-inside-dns-records/] * Post-Quantum DNSSEC Testbed & Feldstudie [https://pq-dnssec.dedyn.io/] * DS-Automatisierung: RFC 7344, 8078, 9615 * IETF-Draft: "Dry run DNSSEC" * ICANN SSAC Report zu DS-Automatisierung (SAC126) [https://itp.cdn.icann.org/en/files/security-and-stability-advisory-committee-ssac-reports/sac-126-16-08-2024-en.pdf] * Automatisierungs-Guidelines für Registrierungsstellen (Entwurf) [https://datatracker.ietf.org/doc/draft-shetho-dnsop-ds-automation/] * Folgt uns im Fediverse: @christopherkunz@chaos.social [@christopherkunz@chaos.social] @syt@social.heise.de [@syt@social.heise.de] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort [https://pro.heise.de/passwort]

Der (Alb-)Traum vieler Hörer – eine Folge Passwort nur mit News zu Zertifikatsinfrastrukturen. Es gibt aber auch viel Neues zu berichten: von Zertifizierungsstellen, die interessante neue Lösungen bauen, über Zertifizierungsstellen, die Fehler in komischen alten Lösungen machen, und Zertifizierungsstellen, die Dinge einfach anders machen wollen als die Browser, bis zu Zertifizierungsstellen, die in Telefonen stecken. Das klingt nicht nur komisch, sondern auch unsicher, weshalb Christopher und Sylvester es sich genauer angesehen haben. * The CRA and what it means for us (Greg Kroah-Hartman) [https://www.youtube.com/watch?v=u44eMQpGlxA] * Security: Wie sich der Cyber Resilience Act auf Open-Source-Projekte auswirkt [https://heise.de/-10450910] * Yealink-Artikel von DNIP [https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/] * Ver- und Entschlüsselung der Yealink-Firmware [https://stefan-gloor.ch/voip-phone-hack] * Mastodon-Account mit VNC-Servern [https://fedi.computernewb.com/@vncresolver] * Diskussion über ssl.com-Fehler im Mozilla-Bugtracker [https://bugzilla.mozilla.org/show_bug.cgi?id=1961406] * Betreibt Euer eigenes CT-Log [https://words.filippo.io/run-sunlight/#fn:bw] * Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferkette so unübersichtlich geworden ist, dass man unmöglich sagen kann, welche Geräte betroffen sind. * https://mjg59.dreamwidth.org/71646.html [https://mjg59.dreamwidth.org/71646.html] & https://mjg59.dreamwidth.org/71933.html [https://mjg59.dreamwidth.org/71933.html] * https://blog.cryptographyengineering.com/2025/06/09/a-bit-more-on-twitter-xs-new-encrypted-messaging/ [https://blog.cryptographyengineering.com/2025/06/09/a-bit-more-on-twitter-xs-new-encrypted-messaging/] * DNSSEC KSK Ceremony [https://www.iana.org/dnssec/ceremonies/57] * Greg Kroah-Hartman zur Kernel-CVE-Praxis [https://www.youtube.com/watch?v=u44eMQpGlxA&t=787s] * https://heise.de/-9777933 [https://heise.de/-9777933] * XKCD Dependancy [https://xkcd.com/2347/] * Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort [https://pro.heise.de/passwort]

Meta und Yandex sind bei Trackingmethoden erwischt worden, die weit über das Übliche hinausgehen. Christopher und Sylvester sehen sich die Publikation "Local Mess" an. Darin dokumentieren Forscher Tracking-Tricks dieser Firmen, die den Nutzerwünschen explizit zuwiderlaufen, Securitymaßnahmen untergraben und Kommunikation verschleiern. Die Hosts haben Mühe, noch einen Unterschied zum Vorgehen typischer Malware zu sehen. * Publikation "Local Mess" [https://localmess.github.io] * Ars Technica zu LocalMess [https://arstechnica.com/security/2025/06/meta-and-yandex-are-de-anonymizing-android-users-web-browsing-identifiers/] * Pläne zu "Local Networt Access" [https://github.com/explainers-by-googlers/local-network-access] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort [https://pro.heise.de/passwort]

In dieser Folge gibt es ein längeres Gespräch zu einer eigentlich recht marginalen Neuerung im WebPKI-Ökosystem. Auf Drängen von Chrome bauen CAs ein Feature aus TLS-Zertifikaten aus, das einige wenige Serverbetreiber nutzten. Ist es statthaft, die Marktmacht derart zu nutzen - und ist die Begründung sinnvoll? Das diskutieren Sylvester und Christopher ausgiebig. Außerdem hat Sylvester ein kleines, nützliches Werkzeug für Tor-Nutzer namens Oniux gefunden und erzählt anhand eines kleinen Fehlers im Ankündigungsartikel des Tor Project, welche Auswirkungen es haben kann, wenn eine .onion-URL irrtümlich bei einem DNS-Server landet. Außerdem befassen die Hosts sich mit den "Busts" gegen Cybercrime-Strukturen, die Malware-Loader und Infostealer vertrieben. Im großen Stil haben Ermittler und IT-Unternehmen diese kriminellen Banden hochgenommen. Und zu guter Letzt gibt es noch ein Eis mit einem falsch kodierten &-Zeichen… * Reddit-AmA mit Sylvester und Christopher [https://www.reddit.com/r/de_EDV/comments/1ksksrb/ama_mit_christopher_kunz_und_sylvester_tremmel_am/] * Digicert zu X9-CA [https://www.digicert.com/blog/how-the-clientauth-crackdown-is-pushing-finance-toward-x9-pki] * Oniux [https://blog.torproject.org/introducing-oniux-tor-isolation-using-linux-namespaces/] Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort [https://pro.heise.de/passwort]