"Passwort" Folge 13: Protokolle, Messenger, Bootloader – alles unsicher
Diesmal geht es im Podcast von heise security um Pläne von OpenSSL, Probleme von Windows mit Linux, unsichere MLOps und weitere Security-News der letzten Tage.
Folge 13 von "Passwort" ist da, dem Podcast von heise security. Christopher und Sylvester wandern quer durch das Security-Beet und besprechen diverse, gute und schlechte Security-News der vergangengen Wochen.
Los geht es mit einer Diskussion auf der Mailingliste oss-security: Die Entwickler von OpenSSL überlegen, die alten und unsicheren Protokollvarianten TLS 1.0 und 1.1 auszumustern. Die Reaktionen darauf waren gemischt, mit bedenkenswerten Argumenten für und wider. Die Hosts sind vor allem vom Vorgehen an sich angetan: Vor derlei Entscheidungen die Community um Rat zu fragen, ist vorbildlich.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Weit weniger vorbildlich sind die vermasselten Windows-Sicherheitsupdates, die Linux-Dualboot-Systeme und -Livemedien blockiert haben. Auch im anschließenden Hin und Her hat sich Microsoft nicht mit Ruhm bekleckert – aber die Schuld alleine beim Softwareriesen aus Redmond zu suchen, ist den Hosts etwas zu kurz gedacht. Die Moderatoren sehen sich an, ob Microsoft nicht prinzipiell gute Gründe hatte, die Bootloader zu sperren, und warum betroffene Distributionen wie Ubuntu überhaupt alte Bootloader einsetzen. Jedenfalls scheint es bei der Kommunikation zwischen Microsoft und seinen "Linux Partnern" noch Verbesserungspotenzial zu geben.
Telegram und die Sicherheit
Christopher und Sylvester reden außerdem über die Festnahme von Telegram-Chef Pavel Durov und fragen sich vor allem, warum dieser Messenger eigentlich als besonders sicher gilt. Er ist es nämlich nicht, wie c’t schon vor Jahren konstatierte: "Betrachtet man jedoch die Sicherheit, fällt Telegram durch." Dass sich seitdem wenig daran getan hat, macht die Sache nur bedenklicher.
Bedenklich ist offenbar auch die IT-Sicherheit im Umfeld von "MLOps", dem KI-Pendant zu DevOps. Die Hosts diskutieren einen eher deprimierenden Report der Securityfirma JFrog. Es ist scheinbar eine eherne Regel, erst mal nicht an Sicherheit zu denken, wenn neue Felder in der IT erschlossen werden. Zum Glück gibt es zum Schluss noch eine frohe Nachricht: Das altehrwürdige Hacker-ezine "Phrack" ist in Ausgabe 71 erschienen, die einen guten Eindruck macht.
Die neue Folge von "Passwort - der heise security Podcast" steht seit dem heutigen Mittwoch auf allen Plattformen zum Download bereit.
(syt)
