Datenschutz & Sicherheit
„Passwort“ Folge 59: Vom DNSSEC-Fail beim DENIC, Domainklau und anderen News
Bei manchen Themen suchen sich die Hosts des heise-security-Podcasts auswärtige Hilfe, zum Beispiel beim kürzlichen Ausfall weiter Teile der Top-Level-Domain .de. DNSSEC-Experte Carsten Strotmann springt Sylvester und Christopher bei und erklärt, wo das Problem lag. Außerdem befasst sich die Folge mit der Sicherheitslücke YellowKey, dem Drama um dessen Entdecker und ganzen vier weiteren Themen. Um die alle in die Folge zu quetschen, greifen die Hosts zu einem neuen Trick.
Weiterlesen nach der Anzeige
Der kurze, aber folgenreiche Ausfall beim DENIC betraf alle Nutzer von DNSSEC-validierenden Resolvern – so viel war schnell klar. Doch was den Ausfall verursachte und was die deutsche Vergabestelle für Domains daraus gelernt hat, erläutert Carsten im ersten Teil des Podcasts. Er ist ausgewiesener DNSSEC-Experte und arbeitet seit 20 Jahren mit dem kryptografischen Protokoll zur Absicherung von DNS-Einträgen.
Nachdem der Experte das virtuelle Studio wieder verlassen hat und die Stammhosts unter sich sind, geht es zunächst um cow.fi. Der DeFI-Anbieter war aufgrund eines Kommunikationslapsus zwischen Domainvergabestelle („Registry“) und Domainanbieter („Registrar“) kurzzeitig seine Domain los – auf dieser erschien eine Phishingseite und Kriminelle erbeuteten damit Kryptoguthaben im Wert von 1,2 Millionen US-Dollar. Außerdem besprechen die Hosts YellowKey, eine Sicherheitslücke, die die Bitlocker-Verschlüsselung angreift. Ob sie eine echte Umgehung der Festplattenverschlüsselung unter Windows erlaubt, ist Gegenstand einer Diskussion (nicht nur) im Passwort-Podcast.
Da es erneut viel mehr Themen in der Security-Welt gab, als den Hosts Aufnahmezeit zur Verfügung steht, haben sie sich ein neues Format ausgedacht: In der „Fünf-Minuten-Challenge“ erzählen sie dieses Mal drei weitere Themen in insgesamt knapp 900 Sekunden. Genug Zeit, um spaßige Details zur Fail-Zwiebel beim Cloud-Hoster Railway, eine Einordnung zu Signals Caching-Problem und eine Fortsetzung zu Googles Zero-Knowledge-Proof in der Quantenforschung unterzubringen.
Die neue Folge von „Passwort – der Podcast von heise security“ steht seit Mittwoch auf den üblichen Podcast-Plattformen bereit.
(cku)