INNOQ Security Podcast

Juli 2024: Auf Tausenden von Windows-Rechnern weltweit ist der Bluescreen of Death zu sehen. Neben Privatpersonen und Firmen sind auch Banken, Krankenhäuser und Flughäfen betroffen. Es entsteht ein Milliardenschaden. In dieser Episode des INNOQ Security Podcasts sprechen Lisa und Christoph über das CrowdStrike-Desaster, das weltweit für erhebliche IT-Ausfälle gesorgt hat. Sie analysieren, wie die Sicherheitssoftware, die vor Bedrohungen schützen soll, selbst zur Bedrohung wurde. Dabei werfen sie einen Blick darauf, warum Sicherheitssoftware und Malware technisch oft fast identisch sind und welche Risiken daraus resultieren können. Zudem diskutieren sie über Herausforderungen, vor denen Cybersicherheitsunternehmen stehen und was für Konsequenzen ein Versagen der Software für die kritische Infrastruktur bedeutet.

Die kürzlich aufgedeckte Backdoor in der XZ/OpenSSH Library steht im Mittelpunkt dieser Folge des INNOQ Security Podcast. Und mit ihr die verbundenen Fragen: Mit welchen technischen Raffinessen wurde die Backdoor versteckt? Welche Sicherheitsrisiken bringt sie mit sich? Stefan Bodewig und Christoph Iserlohn, beide langjährig in Open-Source-Projekten tätig, diskutieren diese Fragen und beleuchten auch, wie Vertrauen und Release-Management in Single-Maintainer-Projekten mit der Backdoor zusammenhängen und warum solche gravierenden Sicherheitsprobleme oft im Verborgenen bleiben.

Im finalen Türchen unseres Security Adventskalenders 2023, Türchen Nummer 25, lüften Lisa und Christoph das Geheimnis des Rätsels.

Es gibt Geschenke

Mit immer größeren Rechenleistungen und komplexen neuronalen Netzen entstehen zunehmend beeindruckende Deepfake-Ergebnisse. Entdeckt hinter Türchen Nummer 23, was genau Deepfakes sind und welche Risiken sie bergen.

Um Schwachstellen und Sicherheitslücken in Softwaresystemen zu finden, muss man in einer Sache wirklich gut sein, dem Reverse Engineering. Was das ist, erfahrt Ihr in der heutigen Folge des Security-Adventskalenders.

Gäbe es eine Sicherheitslücke des Jahres, dann hätte sie bestimmt etwas mit Prompt Hacking zu tun. Was es damit auf sich hat, erfahrt Ihr in dieser Folge des Security-Adventskalenders.

Mit der Content Security Policy können Websites effektiv vor Sicherheitslücken geschützt werden. Was es dabei zu beachten gibt, erfahrt Ihr in der heutigen Folge des Security-Adventskalenders.

Wir stellen Euch heute VirusTotal vor, den König unter den Anti-Malware-Programmen.

Eigentlich lief es in Sachen Security gut bei Microsoft. Doch in letzter Zeit häufen sich die Sicherheitslücken. Was ist da los, Microsoft?

Was Ransomware ist und dass die NSA einige ihrer Hacking-Tools und Zero-Days verloren hat, das habt ihr bereits hinter Türchen 9 und Türchen 15 erfahren. Heute erfahrt ihr, wie verhängnisvoll beides zusammenhängt.

Schickt ihr eure Software auch mal in den Sandkasten? In Türchen Nummer 16 geht es um Sandboxing, eine Möglichkeit, das Schadenspotenzial von Software zu reduzieren.

Türchen 15 zeigt, wie 'The Shadow Brokers' 2016 geheime Hackingtools der NSA und CIA enthüllten.

Mit Müsli Telefone hacken? Wie soll das möglich sein? Heute, in Türchen Nummer 14, geht es um einen Pioneer des Hacking und Phone-Phreaking: John Thomas Draper alias Captain Crunch.

In Türchen Nummer 13 betrachten wir SLAM - eine Sicherheitslücke, die ihrer Zeit weit voraus ist.

LogoFAIL - schwerwiegende Sicherheitslücken im UEFI vieler Hersteller bedrohen den Bootprozess, indem sie Angreifern ermöglichen, über manipulierte Bootlogos Schadcode auszuführen, eine Bedrohung, die durch die Nutzung von memory-sicheren Sprachen und Fuzzing vermeidbar gewesen wäre.

Türchen Nummer 11 beleuchtet die Post-Quanten-Kryptografie, die Schlüsseltechnologie für Datensicherheit im Zeitalter fortschreitender Quantencomputer.

Hinter Türchen Nummer 10 zeigt Euch Sonja die verborgenen Taktiken des HTTP Request Smuggling – eine Cyber-Angriffstechnik, die Frontend-Security-Maßnahmen umgeht und die Grenzen des Cyberspace herausfordert.

Die Evolution der Ransomware: von ihren Ursprüngen bis hin zu heutigen globalen Cybergefahren, erwartet Euch hinter Türchen Nummer 9.

Türchen Nummer 8 hält Wissenswertes zum Google Project Zero für euch bereit.

Patchen ja! Aber was? Wo ihr euch am besten über aktive Sicherheitslücken informieren könnt, verrät euch Christoph in dieser Folge des Security-Adventskalenders.

Der Cyber Resilience Act – Segen für die Security, Fluch für Open-Source-Projekte? Antworten darauf gibt es in dieser Folge des INNOQ Security Podcast.

Heute im Adventskalender des INNOQ Security Podcast: Alles, was du zum Thema Clickjacking wissen musst.

Ihr wollt wissen, was es mit Covert-Channels und DNS-Exfiltration auf sich hat? Dann öffnet schnell Türchen Nummer 4.

Vermutlich habt Ihr schon von DoS und DDoS gehört. Doch was steckt eigentlich dahinter? Das erklärt Euch Lisa in Türchen #3.

Anja hat heute einen Buchtipp für Euch: Threat Modeling von Adam Shostack.

Auch in diesem Jahr gibt es ihn wieder – den Adventskalender des INNOQ Security Podcast. In dieser Folge stimmen Euch Lisa und Christoph gewohnt stimmungsvoll auf die kommenden Folgen ein.

Lang lebe das Passwort! Oder nicht? Sonja und Christoph sprechen in dieser Folge des INNOQ Security Podcasts über Passkeys. Wie funktioniert diese noch junge Authentifizierungsmethode und was macht sie besser als etablierte Verfahren? Vor allem aber: Schaffen Passkeys den Spagat zwischen Security und Usability und bieten Endnutzer:innen damit eine nicht nur sichere, sondern auch alltagstaugliche Lösung?

Über die vielfältigen Sicherheitsmechanismen des Browsers, angefangen bei denen, die automatisch aktiv sind, bis hin zu denen die Entwickler:innen aktiv nutzen sollten, sprechen Christoph und Lisa in dieser Folge des Security-Podcasts. Und außerdem darüber, wie es der Browser verhindert, dass geladener Code aus dem Netz keinen Unsinn auf unseren Computern anstellt.

Jeden Tag gibt es neue KI-Tools, die Exploits zum Kinderspiel machen. Ein Riesensprung, dessen Auswirkungen Christoph und Felix in dieser Folge unter Security Gesichtspunkten diskutieren. Sollten Exploits veröffentlicht werden? Ist Responsible Disclosure noch zeitgemäß? Und außerdem: warum Threat-Models neu bewertet werden müssen.

„Wir haben ja eine Firewall, also sind wir sicher“ — könnte man meinen. So einfach ist es leider nicht. Für ein sicheres System reicht das Ausruhen auf einer Firewall nicht aus, wie Lisa und Christoph in dieser Folge zeigen. Nach einem Ausflug in die Geschichte der Firewalls, erfahren wir, wie diese Angriffe abwehren und welche Daten sie durchlassen. Außerdem: Wo lauern Fallstricke und was könnt ihr neben der Firewall noch tun?

Das Hantieren mit Passwörtern lässt sich über Passwort-Manager vereinfachen. Was aber, wenn diese mit Sicherheitslücken zu kämpfen haben, so wie kürzlich LastPass? Was dort schiefgelaufen ist und welche Rolle dabei das Master-Passwort spielt, klären Lisa Maria Moritz und Christoph Iserlohn in dieser Ausgabe des INNOQ Security Podcasts. Außerdem: Welche Verfahren kommen beim Verschlüsseln zum Einsatz? Und ganz wichtig: Eine Empfehlung, was ihr als mögliche Betroffene jetzt konkret tun könnt.

Lisa und Christoph verraten euch die Lösung zu den Rätseln aus den Jahren 2021 und 2022.

Diese Episode beinhaltet das Rätsel des diesjährigen INNOQ Security Podcast Adventskalenders.

Diese Folge widmet sich dem Thema Deepfakes und welche Gefahren diese mit sich bringen.

Diese Folge informiert darüber, was sich hinter dem Begriff "Hardening" in der IT verbirgt.

Diese Folge widmet sich dem Darkweb, Darknet und dem Tor-Netzwerk sowie der Erklärung dieser Begriffe.

Diese Folge widmet sich dem Theme Capture-the-Flag und erklärt, was sich hinter diesem Begriff verbirgt.

Diese Episode informiert darüber, was sich hinter dem Begriff Cross-Site-Scripting (XSS) verbirgt und warum die Bezeichnung irreführend ist.

Diese Episode klärt darüber auf, worum es sich bei den Begriffen "Black Hat", "White Hat" und "Grey Hat" handelt.

Letztes Jahr gab es eine große Sicherheitslücke im beliebten Logging-Framework log4j. Wie die Situation um diese Sicherheitslücke jetzt nach einem Jahr aussieht, erfahrt ihr in dieser Episode.

Befasst man sich mit IT-Security, kommen oftmals die Farben Red und Blue zur Sprache – in dieser Episode wird aufgeklärt, worum es sich dabei handelt.

Ein bekanntes und immer populärer werdendes IT-Sicherheitsmodell ist Zero-Trust, was sich hinter diesem Begriff verbirgt erfahrt ihr in dieser Episode.

Diese Episode erklärt, was Advanced Persistent Therats (kurz APTs) sind und wer diese hauptsächlich ausführt.

Erfahrt in dieser Episode, was es mit der SBOM auf sich hat.

In dieser Folge gibt es einen Film-Tipp für einen Film über den Gründer des CCC Wau Holland, der in der ARD ausgestrahlt wird.

Diese Episode erklärt, was sich hinter "Fuzzing" bzw "Fuzz-Testing" verbirgt

Diese Episode erklärt, was sich hinter dem Begriff Pen-Testing verbirgt.

Diese Folge erörtert, wie es dazu kam, dass SSL heute TLS heißt.

In dieser Folge klären wir warum das BSI einen Feuerlöscher empfiehlt, und warum Hardware bei IT-Security nicht außer acht gelassen werden darf.

Diese Episode befasst sich mit dem Thema, was sich hinter Shift-Left-Security verbirgt, wie der Begriff überhaupt zustande kommt und wie er sich über die Zeit hinweg entwickelt hat.