Podcast
INNOQ Security Podcast
Hosted by INNOQ · DE
In diesem Podcast sprechen wir über die Grundlagen von IT-Security. Ein praktischer Einstieg für alle, die an Software arbeiten.
11episodes
Episodes
Newest firstAll episodes
MCP Security
Dec 2201:36:16Tap to summarizeSicherheitsrisiken beim Model Context Protocol Der INNOQ Security Podcast meldet sich mit einer neuen Folge zurück: Christoph spricht mit Dominik über die Sicherheit von MCP-Servern. Die beiden diskutieren über die Bedrohungen und Sicherheitsfallstricke, die beim Einsatz von MCP-Servern lauern. Sie fragen sich: welche Schutzmaßnahmen gibt es eigentlich? Helfen Sandboxing und Guardrails wirklich? Und wo liegen die Schwierigkeiten bei der Implementierung von OAuth für MCP? Außerdem: Was Unternehmen vor dem Einsatz wissen sollten und warum das Fundament stimmen muss. Show Notes INNOQ Podcast Folge zu MCP INNOQ Security Podcast Folge zu OAuth(2) MCP Spezifikation auf Github Security Considerations in der ersten MCP Spec Version Anthropic MCP Registry (Draft) OWASP MCP Top 10 Die Lethal Trifecta von Simon Willison Prompt Injection in der OWASP Top 10 for GenAI 2025 Ein Beispiel für Guardrails Joy Heron beschreibt wie sie ihren KI-Agenten in eine Sandbox sperrt NIST AI Risk Management Framework und OWASP AI Exchange Pachinko Feedback Falls ihr Fragen oder Anregungen habt, schreibt uns gerne eine E-Mail an security-podcast@innoq.com. Oder kontaktiert Christoph (@ci@innoq.social) auf Mastodon.
Transcribe →
Das CrowdStrike Desaster
Jul 31, 202400:55:22Tap to summarizeWenn Sicherheitssoftware zur Gefahr wird Juli 2024: Auf Tausenden von Windows-Rechnern weltweit ist der Bluescreen of Death zu sehen. Neben Privatpersonen und Firmen sind auch Banken, Krankenhäuser und Flughäfen betroffen. Es entsteht ein Milliardenschaden. In dieser Episode des INNOQ Security Podcasts sprechen Lisa und Christoph über das CrowdStrike-Desaster, das weltweit für erhebliche IT-Ausfälle gesorgt hat. Sie analysieren, wie die Sicherheitssoftware, die vor Bedrohungen schützen soll, selbst zur Bedrohung wurde. Dabei werfen sie einen Blick darauf, warum Sicherheitssoftware und Malware technisch oft fast identisch sind und welche Risiken daraus resultieren können. Zudem diskutieren sie über Herausforderungen, vor denen Cybersicherheitsunternehmen stehen und was für Konsequenzen ein Versagen der Software für die kritische Infrastruktur bedeutet. Links, Blogs, Artikel etc. Ein Überblick über die Geschehnisse und Entwicklungen CrowdStrike Stellungnahme Technische Details, warum es zum BSOD kommt Auch unter Linux sorgte CorwdStrike für kernel panics Geschätzter Schaden The 2024 Pwnie for Epic Fail goes to CrowdStrike CrowdStrike entschuldigt sich mit (nicht funktionierendem) 10$ Uber-Eats Gutschein CrowdStrike übernimmt keine Haftung für Einsatz in kritischen Systemen (AGB Ziffer 8.5) Barcodescanner zur Eingabe von Bitlockerkeys Warum man besser eBPF für EDR einsetzen sollte eBPF für Windows Alternative Implementierungsstrategien für EDRs Microsoft gibt EU Mitschuld Recovery-Tool von Microsoft McAffee legt unter selbem CEO Windows-Rechner lahm Southwest Airline angeblich wegen Einsatz von Windows 3.11 nicht betroffen Warum das mit Windows 3.11 unwahrscheinlich ist Problembehebung erfordert physischen Zugang BSI Grundschutz (Nicht) vorhandene Unterschiede zwischen Malware und EDR Uniklinikum fordert Schadensersatz Versicherungen kommen wahrscheinlich nicht für den Schaden auf Phisher sind bei so einem Ereignis nicht weit Der obligatorische XKCD Abwandlung eines alten XKCD Rant über den Status der Security-Software Industrie Feedback Falls ihr Fragen oder Anregungen habt, schreibt uns gerne eine E-Mail an security-podcast@innoq.com. Oder kontaktiert Lisa (@teapot418@social.tchncs.de) oder Christoph (@ci@innoq.social) auf Mastodon.
Transcribe →
Die XZ/OpenSSH Backdoor
Apr 16, 202401:36:17Tap to summarizeZerbrechliche Strukturen in Open-Source-Projekten Links, Blogs, Artikel etc. XZ und OpenSSH Die Nachricht das XZ eine Backdoor enthält Infos über die Backdoor auf der offiziellen XZ Seite Lasse Collin über seine mentalen Probleme Everything I know about the XZ backdoor Grafische Übersicht der XZ Backdoor Timeline of the xz open source attack The xz attack shell script xz/liblzma: Bash-stage Obfuscation Explained Demonstration der xz backdoor Inside the failed attempt to backdoor SSH globally — that got caught by chance Analyse von Filippo Valsorda FAQ on the xz-utils backdoor (CVE-2024-3094) Weitere Funktionalitäten der Backdoor Reproducible/Repeatable Builds bei Debian Das SLSA Framework XKCD über Dependencies Unsere Podcasts Folge zu Software Supply Chain Security Folge zu Open Source Security Folge zu APTs im Adventskalender 2022 Feedback Falls ihr Fragen oder Anregungen habt, schreibt uns gerne eine E-Mail an security-podcast@innoq.com.
Transcribe →
Türchen #25: Des Rätsels Lösung
Feb 1, 202400:15:58Tap to summarizeDer Adventskalender des INNOQ Security Podcasts 2023 Folge 22: Rückwärts immer, vorwärts nimmer - Reverse Engineering Spielsprache Verlan Gaunersprache Folge 21 Prompt-Hacking: Träumen LLMs von neuronalen Netzen? Der elektrische Mönch von Douglas Adams Legacy Software absichern
Transcribe →
Türchen #24: Die Bescherung
Dec 24, 202300:04:34Tap to summarizeDer Adventskalender des INNOQ Security Podcast Es gibt Geschenke 🎁 Aber vorher: ein Rätsel. Wir verlosen einen Platz im Socreatory 1-Tages-Workshop Legacy Software absichern. Um am Gewinnspiel teilzunehmen, musst Du der Fährte folgen, und das Rätsel lösen. Zum Rechtlichen: Du musst das 18. Lebensjahr vollendet haben. Mitarbeiter:innen von INNOQ und deren Verwandte sind von der Teilnahme ausgeschlossen. Der Rechtsweg ist ebenfalls ausgeschlossen. Die Teilnahmemöglichkeit endet am 31. Januar 2024. Ig-Nobelpreises 2023 für Kommunikation
Transcribe →
Türchen #23: Deepfakes - da war doch was?
Dec 23, 202300:05:09Tap to summarizeDer Adventskalender des INNOQ Security Podcast Mit immer größeren Rechenleistungen und komplexen neuronalen Netzen entstehen zunehmend beeindruckende Deepfake-Ergebnisse. Entdeckt hinter Türchen Nummer 23, was genau Deepfakes sind und welche Risiken sie bergen. Adventskalender 2022: Deepfakes
Transcribe →
Türchen #22: Rückwärts immer, vorwärts nimmer - Reverse Engineering
Dec 22, 202300:02:57Tap to summarizeDer Adventskalender des INNOQ Security Podcast Um Schwachstellen und Sicherheitslücken in Softwaresystemen zu finden, muss man in einer Sache wirklich gut sein, dem Reverse Engineering. Was das ist, erfahrt Ihr in der heutigen Folge des Security-Adventskalenders. Ghidra - Homepage Reverse Engineering (inklusive WannaCry) mit Ghidra Tutorial Playlist Buch: Blue Fox: Arm Assembly Internals and Reverse Engineering
Transcribe →
Türchen #21: Prompt Hacking - Träumen LLMs von natürlichen neuronalen Netzen?
Dec 21, 202300:04:16Tap to summarizeDer Adventskalender des INNOQ Security Podcast Gäbe es eine Sicherheitslücke des Jahres, dann hätte sie bestimmt etwas mit Prompt Hacking zu tun. Was es damit auf sich hat, erfahrt Ihr in dieser Folge des Security-Adventskalenders. Prompt Hacking Guide Prompt injection spielerisch lernen mit Gandalf Bing Chat prompt injection GPT4 prompt injection GitHub Copilot prompt injection Warum Chatbots keine Autos verkaufen sollten
Transcribe →
Türchen #20: Code-Injection verhindern mit der Content Security Policy
Dec 20, 202300:03:40Tap to summarizeDer Adventskalender des INNOQ Security Podcast Mit der Content-Security-Policy können Websites effektiv vor Sicherheitslücken geschützt werden. Was es dabei zu beachten gibt, erfahrt Ihr in der heutigen Folge des Security-Adventskalenders. MDN - Content Security Policy W3C - Content Security Policy Level 3 (Working Draft)
Transcribe →
Türchen #19: VirusTotal – König der Malware-Scanner
Dec 19, 202300:04:28Tap to summarizeDer Adventskalender des INNOQ Security Podcast Wir stellen Euch heute VirusTotal vor, den König unter den Anti-Malware-Programmen. VirusTotal Cyber-Sicherheitswarnung des BSI Eingebauter Malwareschutz in macOS Eingebauter Malwareschutz in Windows
Transcribe →