„Passwort“ Bonusfolge 50a: DEPRECATED – DO NOT USE THIS LOG LIST.

Der IT-Security-Podcast reicht ein paar Themen außer der Reihe nach, für die in der vergangenen Jubiläumsfolge einfach kein Platz mehr war. Los geht es mit einer Liste, in der Google öffentlich notiert, welche Certificate-Transparency-Logs der Browser Chrome nutzt. Eine alte Version dieser Liste würde Google gerne abschalten – doch jedes Mal, wenn sie das versuchen, fallen erschreckend viele Apps von Drittanbietern aus. Die Hosts diskutieren, wie das kommt, was für fast schon kafkaeske Erfahrungen das Chrome-Team machen musste und welche neuen Ideen Google nun helfen sollen, die Liste abzuschalten – eines Tages, hoffentlich, jedenfalls nicht vor Juli 2027 …

Im weiteren Verlauf der Folge geht es um die Ransomware-Gang AlphV, die ein Comeback feiern will, und dafür auf die Blockchain setzt. Technisch keine dumme Idee, wenn auch keine Verwendung, die als werbewirksames Beispiel für den Wert von Blockchains taugt. Etwas beunruhigend finden die Hosts, dass AlphV unter anderem deshalb auf Blockchains setzt, weil sie dem Tor-Netzwerk nicht mehr trauen.

Ebenfalls beunruhigend sind die Erfahrungen des curl-Projekts mit Bug-Bounties: Getrieben von der Hoffnung auf diese Belohnung, überschwemmten angebliche Bug-Finder das Projekt mit KI-generiertem Nonsens. Der behauptete, höchst kritische Fehler zu melden, war in Wahrheit aber zusammenfantasierter Müll. All diese Meldungen zu entlarven, kostete so viel Zeit, dass curl sein Bug-Bounty-Programm eingestellt hat. Schlimmer wäre eigentlich nur, in KI-generierten Meldungen zu versinken, die tatsächlich kritische Lücken beschreiben – auch dieses Szenario sehen erste Entwickler am Horizont.

Zum Schluss müssen die Hosts noch vor einer höchst gefährlichen Lücke warnen, die viele telnet-Betreiber betrifft – also hoffentlich, hoffentlich, fast niemanden im Podcast-Publikum. Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)