„Passwort“ Folge 49: BSI, n8n, PGP, … allüberall Probleme

Erst eine kleine Weihnachtspause, dann die Sonderfolge vom 39C3: Seit der letzten regulären Podcast-Episode hat sich einiges an aktuellen Problemen und Lücken angesammelt und die Hosts lassen sich zu einer extralangen Folge hinreißen. Los geht es mit einem Portal des Bundesamtes für Sicherheit in der Informationstechnik, das eigentlich eine gute Idee ist: Über das Portal soll man dem BSI anonym Schwachstellen melden können. Leider bedeutet gut gemeint nicht auch gut gemacht, sodass es weder mit der Anonymität noch mit der grundsätzlichen Benutzbarkeit des Formulars sonderlich weit her ist. Die Hosts rätseln, wie die Umsetzung derart schieflaufen konnte.

Weniger rätselhaft, aber auch sehr schwierig zu verhindern sind Tracking-Angriffe auf Signal und andere private Messenger. Deren automatische Empfangsbestätigungen erlauben nämlich Rückschlüsse auf die App-Nutzung und unter Umständen auch auf den Aufenthaltsort von Nutzern. Gleichzeitig erfüllen die Bestätigungsnachrichten mehrere sicherheitsrelevante Aufgaben, sodass man sie nicht einfach abschalten sollte. Die Hosts vollziehen eine interessante Diskussion in Signals GitHub-Repository nach, in der verschiedene Ideen vorgebracht und verworfen wurden.

Im weiteren Verlauf der Folge geht es – wenig verwunderlich – um Public-Key-Infrastruktur (PKI), aber diesmal nicht um die übliche WebPKI, sondern eine zum Signieren von Programmcode. Deren Zustand ist eher beklagenswert, unter anderem tritt immer wieder Malware mit validen Zertifikaten auf. Ein solides System zum Widerruf von Zertifikaten fehlt; treue Podcast-Hörer und -Hörerinnen erkennen hier möglicherweise ein Muster.

Muster erkennt auch Sylvester und zwar in Problemen von GnuPG, die auf dem 39. Chaos Communication Congress demonstriert wurden. Die waren nicht nur zahlreich, sondern förderten auch etliche bekannte Kritikpunkte zutage, von denen viele nicht nur GnuPG, sondern das PGP-System insgesamt betreffen. Besserung scheint kaum in Sicht, aber je nach Anwendungsfall gibt es zumindest Auswege und Alternativen. Trotz der ausufernden Folgenlänge kann Sylvester sich nicht verkneifen, einen technisch besonders ausgefuchsten Angriff nachzuerzählen. Christopher geht es ähnlich: Zum Abschluss berichtet er von Lücken im Automatisierungstool n8n, die sich geschickt zu einem gefährlichen Angriff kombinieren lassen.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)