Passwort - der Podcast von heise security

Christopher und Sylvester haben viel Feedback zur Podcastfolge über GrapheneOS bekommen und eröffnen diese Episode mit den diversen Kommentaren und Tipps ihrer Hörer und Hörerinnen. Anschließend geht es unter anderem um Bugs in aktuellen Mailclients, Bugs in sehr alten Betriebssystemen, Bugs, bei denen die Polizei kommt, und solche, bei denen sie es nicht tut. Die Hosts sehen sich außerdem Post-Quantum- Pläne von Google an (dort drängt offenbar die Zeit) und gleich zwei Exploit-Kits gegen recht aktuelle iPhones, die kürzlich bekannt wurden.

Christopher und Sylvester erfüllen den Wunsch diverser Hörer:innen und reden über GrapheneOS, ein besonders sicheres Betriebssystem für Smartphones. Dazu haben sie ihren Kollegen Stefan Porteck eingeladen, der sich mit mobilen Betriebssystemen beschäftigt und auch GrapheneOS schon genauer unter die Lupe genommen hat. Die drei diskutieren, wer hinter dem Android-Derivat steht, was das System so besonders macht und welche Stolperfallen es für Nutzer:innen gibt – oder erstaunlicherweise nicht gibt.

Sylvester ist im Urlaub, daher springt kurzerhand Jan Mahn von der c't ein. Und der hat eine brisante Geschichte mitgebracht, in der es um "Bulletproof Hoster" geht. Also um Anbieter, die auf die guten Sitten im Internet pfeifen - manchmal gar auf Recht und Gesetz - solange ihre oft zwielichtige Kundschaft ihnen monatlich Geld überweist. Doch vorher gibt es einen längeren Rant über einen Security-Appliance-Hersteller, den Christopher sich nicht selber ausgedacht hat, sondern den der Finanz-Nachrichtendienst Bloomberg veröffentlichte. Und es gibt einige PKI-Neuigkeiten, die fast alle etwas mit IP-Adressen zu tun haben.

Nach den ausschweifenden Jubiläumsfeiern finden Sylvester und Christopher zurück zum gewohnten Rhythmus. Zunächst schauen sie auf ein System zur Geräteverwaltung (MDM), das in den letzten Wochen bei verschiedenen europäischen Regierungen angegriffen wurde - der Hersteller war bereits mehrfach Thema im Podcast. Dann geht's allerdings weiter mit einem kurzen Abriß zu OpenClaw, dem gehypten KI-Assistenten, und seinen vielen Unsicherheiten. Sylvester kann dem Helferlein eine gewisse Faszination abgewinnen, warnt jedoch vor seinem unreflektierten Einsatz. Und Christopher erzählt, wie das Bundesamt für Sicherheit in der Informationstechnik die Verschlüsselung in Deutschland quantensicher machen will und dazu seine Richtlinien modernisiert. Betrachtungen zu unabsichtlichen Kommandos bei der Softwareentwicklung und zu Problemen verschiedener Texteditoren runden die Folge ab und entlassen Sylvester in den wohlverdienten Urlaub.

Leider gibt es auf der Tonspur in dieser Folge einen leichten Hall von Christophers Stimme. Wir bitten das zu entschuldigen.

In der Bonusfolge zum fünfzigsten Jubiläum geht es zunächst um Certificate Transparency. Die ist mittlerweile ein wichtiger Bestandteil der weltweiten PKI und jede Änderung kann unerwartete Folgen haben. Christopher erzählt dann kurz, was Cyberkriminelle jetzt tun, um resilienter gegen Strafverfolger zu werden: Blockchain ist das Stichwort der Stunde für ALPHV und Co. Und Sylvester berichtet, wie KI-generierte Sicherheitsmeldungen das Ende der "Bug-Bounty"-Programme bei cURL und womöglich anderen Opensource-Projekten einläuten. Um die einstündige Zusatzfolge abzurunden, gibt es auch noch eine Meinung zur neuen Sicherheitslücke in einem uralten Protokoll.