RZ009 – Wird Mastodon das nächste große Ding?

avatar
Viktor Garske
avatar
Andreas Noack

In der 9. Episode greifen Prof. Dr. Andreas Noack und Viktor Garske ein topaktuelles Thema auf: Mastodon. Es wird erklärt, wie Mastodon funktioniert und wie es sich von klassischen sozialen Netzwerken unterscheidet. Darüber hinaus geht es in der Diskussion um „das nächste große Ding“. Hat Mastodon das Zeug dazu? Das wird in dieser Episode geklärt.

Shownotes

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die Inhalte dieser Episode des Podcasts dienen lediglich zu Informationszwecken und stellen KEINE RECHTSBERATUNG dar. Die Inhalte können keine individuelle Rechtsberatung ersetzen. Es ist möglich, dass die Inhalte falsch, unvollständig oder veraltet sind. Es werden lediglich die Meinungen der Autoren wiedergegeben. Es wird darauf hingewiesen, dass Sie für die individuelle Klärung von Rechtsfragen einen Rechtsanwalt konsultieren sollten.

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ008 – Anwendungsfälle von VPNs

avatar
Viktor Garske
avatar
Andreas Noack

In der achten Episode des Risikozone-Podcasts geht es weiter in der VPN-Thematik. Heute sprechen Prof. Dr. Andreas Noack und Viktor Garske über Anwendungsfälle von VPNs und Detailfragen, insbesondere rund um das Routing, der Einsatz bei offenen WLANs sowie VPN-Leakage.

Shownotes

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ007 – Wie baue ich mir ein VPN?

avatar
Viktor Garske
avatar
Andreas Noack

Nach der Sonderepisode 6 fahren Prof. Dr. Andreas Noack und Viktor Garske in der siebten Episode des Risikozone-Podcasts dort fort, wo sie in Episode 5 aufgehört haben: beim Thema Virtual Private Networks (VPNs).

Shownotes

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ006 – Sicherheitslücken im WLAN-Stack des Linux-Kernels (Sonderausgabe)

avatar
Viktor Garske
avatar
Andreas Noack
avatar
Sönke Huster
Gast

In der sechsten Episode des Risikozone-Podcasts geht es um eine hochaktuelle Sicherheitslücke im Linux-Kernel, die am 13. Oktober 2022 veröffentlicht wurde. In der heutigen Sonderausgabe sprechen Prof. Dr. Andreas Noack und Viktor Garske mit Sönke Huster, dem Entdecker der Sicherheitslücke und Forscher am Secure Mobile Networking Lab (SEEMOO) an der TU Darmstadt, über die Hintergründe der Lücke und seine Forschungsarbeit.

Video zum Interview

Das Video zum Interview ist auf YouTube verfügbar.

Shownotes

(werden laufend ergänzt, siehe https://risikozone.de/rz006/)

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ005 – Was ist ein VPN und wie funktioniert es?

avatar
Viktor Garske
avatar
Andreas Noack

Spätestens mit dem Home Office müssen sich Firmen um die Bereitstellung von Betriebsmitteln außerhalb des klassischen LANs kümmern. Hierzu werden in der Regel Virtual Private Networks (VPNs) eingesetzt. Diese Folge ist der Auftakt einer kleinen Serie, in der Prof. Dr. Andreas Noack und Viktor Garske diese Technologie genauer betrachten und für die Zuhörer verständlich erklären. Was verbirgt sich hinter dem VPN? Was macht ein VPN? Wer braucht ein VPN, und wenn ja, in welcher Form? Die Antworten gibt es in dieser Episode.

Shownotes

Frage des Tages

Wie viele getrennte Netze habt ihr? Schreibt es uns als E-Mail an info [at] risikozone.de oder als Kommentar auf diesen Artikel!

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ004 – Sicherheit von Messengern und gefährliche USB-Sticks

avatar
Viktor Garske
avatar
Andreas Noack

Trotz der zunehmenden Zentralisierung der E-Mail-Provider gibt es für Interessierte die Möglichkeit, seinen eigenen E-Mail-Dienst ans Internet anschließen zu können. Das ist bei Messengern nicht so: hier ist eine starke Monopolbildung zu beobachten. In dieser Folge diskutieren Prof. Dr. Andreas Noack und Viktor Garske die Hintergründe und Risiken dieser Zentralisierung und erläutern den Begriff der Interoperabilität. Darüber hinaus geht es um Angriffsvektoren in geschützten Systemen – oder: warum nicht vertrauenswürdige USB-Sticks zu einer regelrechten Gefahr werden können und nie in schützenswerten Computern eingesteckt werden sollten.

Shownotes

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ003 – E-Mail selber hosten oder Cloud nutzen?

avatar
Viktor Garske
avatar
Andreas Noack

Der Betrieb eines E-Mail-Servers kann aufwändig und wartungsintensiv sein. Somit liegt es fast schon auf der Hand, den Betrieb des Mailservers in die Hände eines großen Cloud-Dienstleisters zu legen. Doch welche Risiken und Chancen entstehen dabei? Prof. Andreas Noack und Viktor Garske diskutieren in Episode 3 des Risikozone-Podcasts, warum E-Mails unter großen Cloudprovidern oft zuverlässiger zugestellt werden und worauf man achten muss, wenn man den Plan ins Auge fasst, den E-Mail-Dienst für die eigene Domain zu einem Cloud-Dienstleister outzusourcen.

Shownotes

Erratum

In der Folge hat Viktor behauptet ab Minute 20, dass Daemon für disk and execution monitor steht. Es handelt sich beim Wort Daemon aber um ein Backronym: die „Langform“ wurde erst im Nachhinein gebildet. Viel mehr stammt das Wort einem Gedankenexperiment von Maxwell, dem Maxwellschen Dämon. Wir danken allen aufmerksamen Zuhörern, denen dies aufgefallen ist.

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ002 – E-Mails schützen

avatar
Viktor Garske
avatar
Andreas Noack

Die zweite Episode des Risikozone-Podcasts greift die E-Mail-Thematik aus der ersten Episode auf. Prof. Dr. Andreas Noack und Viktor Garske diskutieren im ersten Teil eine E-Mail-Betrugskampagne, die aktuell im Umlauf ist, und gehen im zweiten Teil genauer auf den Schutz von Inhalten in E-Mails ein. Sie erklären die Möglichkeiten der digitalen Signaturen sowie der Verschlüsselung und legen den Einsatz der Verfahren im Kontext von S/MIME und PGP dar. So können z. B. E-Mails von Unternehmen, die zunehmend sensible Daten wie Rechnungen oder persönliche Informationen enthalten, integritätsgeschützt und/oder vor Zugriff unbefugter Dritter wirksam geschützt werden.

Shownotes

News

In der Nachrichtensektion geht es um einen PayPal-Phishing-Scam, also eine Betrugskampagne, die PayPal instrumentalisiert. Siehe hierzu die Originalnachricht auf krebsonsecurity.com, dem Blog von Brian Krebs.

Schwerpunktthema: S/MIME und PGP

Das Schwerpunktthema der heutigen Episode ist die Verschlüsselung und Signierung von E-Mails. Dies ist immer dann wichtig, wenn der Inhalt

  • vor dem Zugriff Dritter geschützt werden soll (Verschlüsselung) oder
  • der Empfänger überprüfen können soll, ob der Inhalt unverändert erhalten wurde (Signierung mittels Digitaler Signatur).

Es ist an dieser Stelle hervorzuheben, dass eine Digitale Signatur mit der typischen „E-Mail-Signatur“ nichts gemein hat: letztere ist ein simpler Text, der an das Ende der E-Mail angefügt wird, erstere ist das Ergebnis einer kryptographischen Operation.

Im Folgenden einige hilfreiche Links zu den entsprechenden Themen:

Loslegen

Wer E-Mails verschlüsseln bzw. signieren möchte, kann also zwischen S/MIME und PGP wählen, mitunter auch seine E-Mails durch beide Techniken schützen. Obgleich beide Techniken an sich nicht miteinander kompatibel sind, kann aber z. B. eine E-Mail sowohl mit S/MIME als auch mit PGP signiert werden.

Der Unterschied zwischen den Verfahren liegt, wie in der Folge von Andreas erwähnt, in der Vertrauensetablierung: Bei S/MIME gibt es Zertifizierungsstellen (CA), denen der E-Mail-Client automatisch vertraut (diese Liste wurde vom Hersteller des E-Mail-Clients voreingestellt). Eine von diesen CAs stellt für die E-Mail-Adresse nach einer Verifizierung ein Zertifikat mit dem Public Key aus, das in Verbindung mit einem Public-Key verwendet werden kann. Bei GPG kann man sich Public- und Private-Key selber generieren. Es erfolgt keine Verifizierung durch eine zentrale Stelle, vielmehr können Freunde und Bekannte digital signieren, dass das Keypair aus Public- und Private-Key auch wirklich zu der Person gehört. Sie nehmen somit dezentral im Kollektiv die Aufgabe der CA wahr.

Eine S/MIME-CA lässt sich die Dienstleistung der Verifikation in der Regel bezahlen. Wir können in der Kürze keine Übersicht möglicher oder gar empfehlenswerter S/MIME-CAs aufbereiten. Wichtig für die eigenen Recherche ist nur, dass die CA in den meisten E-Mail-Clients, mit denen man kommuniziert, bereits vorhinterlegt sein sollte. Spezialfälle wie unternehmensinterne CAs, die evtl. von Partnerunternehmen anerkannt werden, lassen wir an dieser Stelle aus.

Wer unmittelbar die Technik hinter dem Verschlüsseln und Signieren ausprobieren möchte und Mozilla Thunderbird einsetzt, kann dies mit OpenGPG (eine Form von PGP) kostengünstig (= kostenlos) ausprobieren, da Thunderbird dies seit Version 78 nativ unterstützt. Eine Anleitung hierzu steht in der Thunderbird-Hilfe auf support.mozilla.org bereit.

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ001 – Sie haben Post!

avatar
Viktor Garske

In der ersten Episode des Risikozone-Podcasts geht es um eines der wichtigsten Kommunikationsmedien der heutigen Zeit: die E-Mail! Man mag es kaum glauben, aber die Standards hinter der E-Mail werden über 40 Jahre alt. Aber was sind das für Standards? Was ist ihre Aufgabe und warum gibt es unterschiedliche Protokolle für das Empfangen und Versenden?

Ein kleiner geschichtlicher Exkurs wird Klarheit schaffen. An dieser Stelle wird auch deutlich werden, warum E-Mail so anfällig für Spam und Phishing ist. Trotzdem werden wir gemeinsam in der Episode einige Indizien und Techniken besprechen, mit denen nicht-authentische, also potentiell gefälschte, E-Mails erkannt werden können.

Shownotes

Die RFCs

  • Simple Mail Transfer Protocol (SMTP) nach STD 10 / RFC 821 (auch RFC 2821, 5321)
  • E-Mail-Format („Internet Message Format“) nach RFC 5322 (vorm. RFC 822, 2822)
  • Multipurpose Internet Mail Extensions (MIME) nach RFC 2045 ff.
  • Message Submission for Mail nach STD 72 / RFC 6409
  • Spammaßnahmen nach RFC 2505
  • Domain Keys Identified Mail (DKIM) nach RFC 6376
  • Sender Policy Framework (SPF) nach RFC 7208
  • Domain-based Message Authentication, Reporting and Conformance (DMARC) nach RFC 7489

Weiterführende Informationen

Namensnennung

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!

Hinweise

Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.

Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.

RZ000 – Willkommen!

avatar
Viktor Garske

Herzlich willkommen beim Risikozone Podcast! In der nullten Episode führt euch Viktor kurz in den Podcast ein. Es geht um die Ziele, die Zielgruppe sowie die verschiedenen Themen des Podcasts.

Alle weiteren Informationen zum neuen Podcast lassen sich insbesondere unter dem Einführungsartikel sowie der Über-uns-Seite finden.

Quellen

Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!