Risikozone ist ein regelmäßig erscheinender Podcast über die Sicherheit und Zuverlässigkeit moderner Technologien. In den Episoden diskutieren Viktor Garske und Prof. Dr. Andreas Noack teils mit Gästen Hintergründe und Gefahren zu aktuellen Themen der IT-Sicherheit.
Themen der Episode: Firefox-Nutzungsbedingungen, Open-Source-Monopole vs. Standards, LLMs mit Secrets trainiert
In dieser Episode diskutieren Prof. Dr. Andreas Noack und Viktor Garske über die Nachricht, dass im Firefox-Browser Nutzungsbedingungen eingeführt werden. Es geht um die Frage, wie vielfältig die Welt der Webbrowser sein sollte und welche Risiken entstehen, wenn nur noch ein Browser existiert. Darüber hinaus geht es in der Nachrichtensektion um LLMs, die Secrets aus Trainingsdaten verinnerlicht haben.
Erschienen: 12.03.2025
Dauer: 00:33:42
Weitere Informationen zur Episode "Von Monopolen und Monokulturen"
Themen der Episode: OpenSSH-Lücke, Manifest v3, iCloud ADP, Sichere Programmierung, Speicher, Swap, memset_s(), Garbage Collector, Umgebungsvariablen
In der 68. Episode des Risikozone-Podcasts diskutieren Prof. Dr. Andreas Noack und Viktor Garske zwei aktuelle Sicherheitslücken in OpenSSH, gehen auf den aktuellen Stand bei Manifest v3 ein und reden über Angriffe auf Ende-zu-Ende-Verschlüsselung. Im Hauptthema der Episode geht es um sichere Programmierung, d. h. woran man unter anderem denken muss, wenn man Secrets im Speicher verarbeiten möchte.
Erschienen: 26.02.2025
Dauer: 00:39:46
Weitere Informationen zur Episode "OpenSSH-Lücke und Secret Handling in Software"
Themen der Episode: Zertifikate, OCSP, OCSP-Stapling, Kerberos, Active Directory, Git, Secrets
In der 67. Episode des Risikozone-Podcasts greifen Prof. Dr. Andreas Noack und Viktor Garske eine Nutzerfrage über OCSP bei Zertifikaten auf und anschließend gehen auf die Sicherheit von Repositories ein. Das umfasst insbesondere das Verlieren von Secrets in Repositories und wie man dann vorgehen sollte.
Erschienen: 12.02.2025
Dauer: 00:39:44
Weitere Informationen zur Episode "OCSP und Sicherheit von Repositories"
Themen der Episode: Let's Encrypt, Zertifikate, ITU, IETF, X.509, RFC 5280
In der heutigen Episode geht es wieder einmal ins technische Detail: Prof. Dr. Andreas Noack und Viktor Garske reden darüber, was die Aufgabe von Zertifikaten ist und wie die verbreiteten X.509-Zertifikate, die in TLS und S/MIME eingesetzt werden, aufgebaut sind.
Erschienen: 29.01.2025
Dauer: 00:42:27
Weitere Informationen zur Episode "Einstieg in Zertifikate und X.509"
Grundlagen der Sicherheit des Mobilfunks, IMSI-Catcher, MobileAtlas und VoWiFi - mit den Sicherheitsforschern Dr. Adrian Dabrowski und Gabriel Gegenhuber
In der 65. Episode des Risikozone-Podcasts begrüßen die beiden Hosts Prof. Dr. Andreas Noack und Viktor Garske vom ISMK zwei bekannte Mobilfunkexperten als Gäste: Dr. Adrian Dabrowski (FH Campus Wien) und Gabriel Gegenhuber (Universität Wien). Die Grundlagen der Sicherheit des Mobilfunks werden aus verschiedenen Perspektiven beleuchtet. Am Beispiel des IMSI-Catchers geht es um die Authentifizierung in den unterschiedlichen Mobilfunkgenerationen und die sich ergebenden Schwachstellen. Anschließend stellen die Gäste ihr Forschungsprojekt MobileAtlas vor. Die geographisch verteilten Messungen ermöglichen Forschern, umfangreiche internationale Untersuchungen durchzuführen. So konnten Lücken in der Zero-Rating-Abrechnung und bei der Privatsphäre beim Einsatz von Roaming systematisch identifiziert werden. Darüber hinaus geht es in der Episode um Voice-over-WiFi (VoWiFi) sowie einen ganzheitlichen Ausblick und die Wünsche für zukünftige Mobilfunkstandards aus Sicht der Sicherheit.
Erschienen: 15.01.2025
Dauer: 01:33:27
Themen der Episode: 2^6 Episoden Risikozone, 6-Tage-Zertifikate bei Let's Encrypt, Neuer Entwurf zur Vorratsdatenspeicherung, GSM-Abschaltung
Mit Episode 64 feiert der Risikozone-Podcast ein "rundes Jubiläum" hinsichtlich der Zweierpotenz. Da die Episode passenderweise am 01. Januar 2025 veröffentlicht wird, blicken Prof. Dr. Andreas Noack und Viktor Garske in die Glaskugel, was in diesem Jahr alles Security-mäßig voraussichtlich passieren wird. Neben einem Gedankenspiel von Let's Encrypt zu deutlich verkürzten Zertifikatslaufzeiten geht es auch um den neuen Anlauf zur Vorratsdatenspeicherung und den Fokus auf die Speicherung von Quelladressen.
Erschienen: 01.01.2025
Dauer: 01:01:49
Themen der Episode: LLMs und Suchmaschinen, Archive.org, OCSP, GitHub Actions, TLS SNI, Hashkollisionen, Jahresrückblick
In der letzten Episode des Jahres 2024 blicken Prof. Dr. Andreas Noack und Viktor Garske auf die vergangenen Wochen und Monate zurück. Bevor Sie das aber tun, geht es vorher noch um einige aktuelle Nachrichten: OCSP wird demnächst bei Let's Encrypt abgeschaltet, Angreifer nutzen unsichere Scripts im Zusammenhang mit GitHub Actions aus und abgekürzte Hashes erhöhen das Risiko von Kollisionen. Darüber hinaus wird vom Trend berichtet, dass die Funktionalität von Suchmaschinen zunehmend durch Chatbots ergänzt wird.
Erschienen: 18.12.2024
Dauer: 00:50:50
Weitere Informationen zur Episode "Suchst Du noch oder chattest Du schon?"
Themen der Episode: Pläne für Mitwirkungspflichten zur Fahrzeugöffnung für Fahrzeughersteller, CTFs, Erster UEFI-Bootkit, Zwei Jahre ChatGPT
In der heutigen Episode redet Prof. Dr. Andreas Noack mit Viktor Garske über die Sicherheit von Fahrzeugschlüsseln, insbesondere die Risiken zentralisierter Schnittstellen für das Ausstellen von "Zweitschlüsseln", wie sie vermehrt für Ermittlungen gefordert werden. Darüber hinaus geht es um einen Rückblick auf CPU-Bugs, da in der Branche momentan viele Veränderungen geschehen. Weiterhin wurde ein erster UEFI-Bootkit entdeckt, der spezifisch für Linux entwickelt wurde. Fast schon unbemerkt bleibt dabei, dass ChatGPT zwei Jahre alt wurde.
Erschienen: 04.12.2024
Dauer: 00:45:59
Weitere Informationen zur Episode "Verpflichtender Zweitschlüssel für das Auto?"
Themen der Episode: Standards, WLAN, Prompt Injection CTF, Mesh-VPNs (Tailscale), MACsec + 802.1X, News
In der heutigen Episode greifen Prof. Dr. Andreas Noack und Viktor Garske die Themen der letzten Wochen auf. Sie beleuchten die Entwicklung der WLAN-Sicherheitsstandards und diskutieren den praktischen Einsatz von Mesh-VPNs wie Tailscale. Ein spannender CTF zu Prompt Injections ist der heutige Linktipp, während auch Andreas' Setup mit MACsec und 802.1X besprochen wird. In der Nachrichtensektion geht es um Mail-Spoofing, die DFN-CA, bösartige PyPI und neue Sicherheitsfunktionen wie iOS 18.1.
Erschienen: 20.11.2024
Dauer: 01:00:59
Weitere Informationen zur Episode "MACsec, Mesh und mal wieder Mail-Spoofing"
Im zweiten Teil des Interviews mit Alexander Heinrich geht es um seine Forschung rund um das Find-My-Netzwerk.
In dieser Episode präsentieren wir den zweiten der beiden Teile des Interviews mit Alexander Heinrich vom Secure Mobile Networking Lab der TU Darmstadt. Alex hat sich umfangreich mit Protokollen für drahtlose Kommunikation innerhalb des Apple-Ökosystems beschäftigt und berichtet von seinen bisherigen Projekten aus seiner Promotionszeit. Nach der Einführung in AWDL in Episode 59 geht es diesmal um sein Hauptforschungsgebiet, das Find-My-Netzwerk von Apple. Wir reden mit ihm über die Entstehung von Find My, die ersten AirTags sowie die Forschungsprojekte OpenHaystack und AirGuard. Die Episode schließt mit einem Exkurs über Untersuchungen der Satellitenkommunikation auf iPhones ab.
Erschienen: 06.11.2024
Dauer: 01:03:15
Weitere Informationen zur Episode "Wie funktionieren AirTags und Find My? - mit Alexander Heinrich"
