In der 72. Episode des Risikozone-Podcasts stellen Prof. Dr. Andreas Noack und Viktor Garske die neue 47-Tage-Zertifikate vor und reden über den Hack des Imageboards 4chan. Im Hauptthema geht es um die Finanzierung der Organisation, die für die Verwaltung der CVEs und CWEs zuständig ist. Diese Finanzierung drohte vergangene Woche abrupt zu enden. Die beiden Hosts diskutieren die Auswirkungen und die Rolle der CVEs.
Shownotes
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
In der heutigen Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über die Cloud und die aktuellen Auswirkungen auf den Betrieb von Clouds. Wie können Unternehmen oder Verbraucher vor etwaigen Ausfällen sich wappnen? Welche Alternativen gibt es?
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
Heute reden Prof. Dr. Andreas Noack und Viktor Garske über ein Thema, das schon öfter gewünscht wurde: sichere Programmierung. Es geht einerseits um Fehlerquellen durch Buffer Overflows und Arithmetic Overflows und andererseits um Schutzmöglichkeiten wie sichere(re) Funktionen in C sowie Mitigations in Betriebssystemen, um bösartige Auswirkungen abzuschwächen.
Shownotes
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
In dieser Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über die Nachricht, dass im Firefox-Browser Nutzungsbedingungen eingeführt werden. Es geht um die Frage, wie vielfältig die Welt der Webbrowser sein sollte und welche Risiken entstehen, wenn nur noch ein Browser existiert. Darüber hinaus geht es in der Nachrichtensektion um LLMs, die Secrets aus Trainingsdaten verinnerlicht haben.
Shownotes
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
In der 68. Episode des Risikozone-Podcasts diskutieren Prof. Dr. Andreas Noack und Viktor Garske zwei aktuelle Sicherheitslücken in OpenSSH, gehen auf den aktuellen Stand bei Manifest v3 ein und reden über Angriffe auf Ende-zu-Ende-Verschlüsselung. Im Hauptthema der Episode geht es um sichere Programmierung, d. h. woran man unter anderem denken muss, wenn man Secrets im Speicher verarbeiten möchte.
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
In der 67. Episode des Risikozone-Podcasts greifen Prof. Dr. Andreas Noack und Viktor Garske eine Nutzerfrage über OCSP bei Zertifikaten auf und anschließend gehen auf die Sicherheit von Repositories ein. Das umfasst insbesondere das Verlieren von Secrets in Repositories und wie man dann vorgehen sollte.
Shownotes
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
In der heutigen Episode geht es wieder einmal ins technische Detail: Prof. Dr. Andreas Noack und Viktor Garske reden darüber, was die Aufgabe von Zertifikaten ist und wie die verbreiteten X.509-Zertifikate, die in TLS und S/MIME eingesetzt werden, aufgebaut sind.
Shownotes
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
In der 65. Episode des Risikozone-Podcasts begrüßen die beiden Hosts Prof. Dr. Andreas Noack und Viktor Garske vom ISMK zwei bekannte Mobilfunkexperten als Gäste: Dr. Adrian Dabrowski (FH Campus Wien) und Gabriel Gegenhuber (Universität Wien). Die Grundlagen der Sicherheit des Mobilfunks werden aus verschiedenen Perspektiven beleuchtet. Am Beispiel des IMSI-Catchers geht es um die Authentifizierung in den unterschiedlichen Mobilfunkgenerationen und die sich ergebenden Schwachstellen. Anschließend stellen die Gäste ihr Forschungsprojekt MobileAtlas vor. Die geographisch verteilten Messungen ermöglichen Forschern, umfangreiche internationale Untersuchungen durchzuführen. So konnten Lücken in der Zero-Rating-Abrechnung und bei der Privatsphäre beim Einsatz von Roaming systematisch identifiziert werden. Darüber hinaus geht es in der Episode um Voice-over-WiFi (VoWiFi) sowie einen ganzheitlichen Ausblick und die Wünsche für zukünftige Mobilfunkstandards aus Sicht der Sicherheit.
Shownotes
- Erwähnte Papers:
- Projekte:
- Weitere Verweise:
- osmo-remsim als Software-Suite aus dem Osmocom-Projekt für SIM-Tunnel
- VoWiFi auf Wikipedia (a.k.a. Voice over wireless LAN, VoWLAN oder Voice over Wi-Fi)
- 3GPP (3rd Generation Partnership Project) als Projekt verschiedener internationaler Organisationen zur Stanardisierung von Mobilfunktechnologien
- Berichterstattung von Heise Online zu den gefundenen Lücken (30.07.2024)
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
Mit Episode 64 feiert der Risikozone-Podcast ein „rundes Jubiläum“ hinsichtlich der Zweierpotenz. Da die Episode passenderweise am 01. Januar 2025 veröffentlicht wird, blicken Prof. Dr. Andreas Noack und Viktor Garske in die Glaskugel, was in diesem Jahr alles Security-mäßig voraussichtlich passieren wird. Neben einem Gedankenspiel von Let’s Encrypt zu deutlich verkürzten Zertifikatslaufzeiten geht es auch um den neuen Anlauf zur Vorratsdatenspeicherung und den Fokus auf die Speicherung von Quelladressen.
Shownotes
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
In der letzten Episode des Jahres 2024 blicken Prof. Dr. Andreas Noack und Viktor Garske auf die vergangenen Wochen und Monate zurück. Bevor Sie das aber tun, geht es vorher noch um einige aktuelle Nachrichten: OCSP wird demnächst bei Let’s Encrypt abgeschaltet, Angreifer nutzen unsichere Scripts im Zusammenhang mit GitHub Actions aus und abgekürzte Hashes erhöhen das Risiko von Kollisionen. Darüber hinaus wird vom Trend berichtet, dass die Funktionalität von Suchmaschinen zunehmend durch Chatbots ergänzt wird.
Shownotes
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.