Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update. (Drupal, CMS) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Extrem kritische Lücke: Beliebige Nutzer…
Kategorie: Golem.de – Security
Soziales Netzwerk: Facebook führt neue Privacy-Werkzeuge ein
Künftig sollen Nutzer ihre Privatsphäreeinstellungen bei Facebook leichter finden und verwalten können. Auch sollen bessere Informationen zur Verfügung gestellt werden. Facebook erfüllt damit Auflagen der kommenden EU-Datenschutzverordnung. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen…
Externe Datenträger: Apple loggt APFS-Passwort im Klartext mit
Wer externe Datenträger mit APFS nutzt und diese verschlüsselt, dessen Passwort wird in einigen MacOS-Versionen im Klartext mitgeloggt. Der Fehler ist bislang nur teilweise behoben worden. (APFS, Apple) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Externe…
Speichermanagement: Meltdown-Patch für Windows 7 selbst eine Sicherheitslücke
Ein Patch sollte Sicherheitsprobleme beheben, nicht schlimmer machen. Microsoft ist das mit dem Meltdown-Patch in Windows 7 passiert. Mittlerweile gibt es Abhilfe. (Meltdown, Microsoft) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Speichermanagement: Meltdown-Patch für Windows 7…
Firefox: Mozilla sperrt Facebook in den Container
Ein Addon soll die Privatsphäre von Facebook-Nutzern zumindest ein wenig besser schützen: Facebok Container. Dem sozialen Netzwerk wird so der Zugriff auf Informationen anderer Webseiten versperrt. (Facebook, Firefox) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Firefox:…
Hohe Bußgelder drohen: FTC ermittelt wegen Facebooks Datenschutzpraktiken
Theoretisch droht Facebook in den USA ein Bußgeld von 2.000.000.000.000 US-Dollar. Auch wenn der aktuelle Datenskandal vielleicht nicht illegal war, könnte die US-Behörde FTC auf weitere Probleme stoßen. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den…
Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI
Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen. (BSI,…
Malware: Chef der Carbanak-Bande in Alicante festgenommen
Die Carbanak-Gruppe hat seit 2013 durch Angriffe auf Banken über eine Milliarde Euro an Schaden verursacht. Bei einer koordinierten Polizeiaktion wurde der Gründer und „Mastermind“ in Alicante festgenommen. (Phishing, Virus) Advertise on IT Security News. Lesen Sie den ganzen…
Load Balancing: Google schützt mit Cloud-Armor vor DDoS-Angriffen
Mit Cloud Armor bietet auch Google ab sofort einen kommerziellen Schutz vor DDoS-Angriffen an. Bislang hatte Alphabet einen solchen Dienst nur für Nachrichtenseiten und Menschenrechtler im Angebot. (Google, SQL) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Sicherheitslücke: Microsoft unterbindet RDP-Anfragen von ungepatchten Clients
Eine kritische Sicherheitslücke in Microsofts Credential Security Support Provider versetzt Angreifer in die Lage, beliebigen Code auszuführen. Deswegen unterbindet das Unternehmen demnächst Verbindungsversuche ungepatchter Clients, Admins sollten also schnell handeln. (Microsoft, Server-Applikationen) Advertise on IT Security News. Lesen Sie…
Logdateien: Facebook sichert sich Anrufmetadaten von Androidnutzern
Das soziale Netzwerk Facebook ist weiter massiver Kritik ausgesetzt. Das sorgt dafür, dass einzelne Nutzer sich sehr genau anschauen, was im Netzwerk passiert. Einer entdeckte dabei, dass die App sich Daten der Telefonhistorie über Jahre sicherte. Ars Technica bestätigt dies…
Logdateien: Facebook sicherte sich Anrufmetadaten von Androidnutzern
Das soziale Netzwerk Facebook ist weiter massiver Kritik ausgesetzt. Das sorgt dafür, dass einzelne Nutzer sich sehr genau anschauen, was im Netzwerk passiert. Einer entdeckte dabei, dass die App sich Daten der Telefonhistorie über Jahre sicherte. Ars Technica bestätigt dies…
IP-Adresse: Guccifer 2.0 arbeitet beim GRU
Ein Mitarbeiter des russischen Geheimdienstes hat offenbar einmal vergessen, sein VPN zu aktivieren. Der Fehler liefert neue Hinweise auf die russische Urheberschaft des Hacks der Demokratischen Partei in den USA im Jahr 2016. (Hacker, Datenschutz) Advertise on IT Security…
Sicherheitslücke: Gitlab-Lücke ermöglicht Code-Ausführung
Das Entwicklerteam der freien Code-Hosting-Software Gitlab warnt vor Sicherheitslücken in der Community- und Enterprise Edition. Angreifer können die Authentifizierung umgehen oder auch Schadcode ausführen. Updates stehen bereit. (Gitlab, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Datenskandal: Bundestag unzufrieden mit Facebooks Antworten
Kann Facebook überhaupt kontrollieren, was mit den Nutzerdaten geschieht, die über die API abfließen? Der Bundestagsausschuss Digitale Agenda will das von dem Netzwerk wissen und wundert sich über fehlende Antworten. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen…
Nachrichten-Vorlesen: Siri soll bald schweigen
Apple will die Siri-Sicherheitslücke mit einem Update schließen. Dann sollen Benachrichtigungen von Apps nicht mehr bei gesperrtem iPhone per Sprachassistent vorgelesen werden können. (Siri, Smartphone) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Nachrichten-Vorlesen: Siri soll bald…
Malware: Kaspersky veröffentlicht US-Malware und will in die Schweiz
Kaspersky soll mit der Veröffentlichung der Slingshot-Malware Antiterroroperationen der USA behindert haben. Das Unternehmen sagt, den Urheber der Malware nicht zu kennen – und alle Nutzer schützen zu wollen. Ausserdem will Kaspersky Schweizer Server anmieten. (Kaspersky, Virus) Advertise on…
IMSI Privacy: 5G macht IMSI-Catcher wertlos
Weil die IMSI-Nummer verschlüsselt wird, kann künftig nur noch der Netzbetreiber wissen, wer gerade im Netz eingeloggt ist. Das wird Folgen haben für umstrittene Ermittlungsmethoden wie den IMSI-Catcher. (5G, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen…
Sicherheitsproblem: Siri verrät Inhalte gesperrter Benachrichtigungen
Apples Sprachassistent Siri kann die Inhalte von Benachrichtigungen vorlesen – leider auch solche, die erst nach Entsperrung des Smartphones freigegeben werden sollten. (Siri, Smartphone) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitsproblem: Siri verrät Inhalte gesperrter…
Vernetzte Yachten: Auch schwimmende IoT-Systeme sind nicht sicher
Ein Hersteller von Yacht-Vernetzungssystemen hat offenbar nicht auf die Sicherheit geachtet. So wurden Konfigurationsdateien mit Passwörtern über eine unverschlüsselte FTP-Verbindung übertragen. (Sicherheitslücke, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Vernetzte Yachten: Auch schwimmende IoT-Systeme sind…
IETF 101: TLS 1.3 ist jetzt wirklich fertig
Auf der IETF-Tagung in London ist TLS 1.3 beschlossen worden. In wenigen Wochen dürfte der Standard für Verschlüsselung im Web dann auch als RFC erscheinen. (Security, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: IETF 101:…
Umstrittene Sicherheitslücken: AMD kündigt Ryzenfall-Patches an
Der Prozessorhersteller AMD will Schwachstellen in Ryzen- und Epyc-CPUs beheben. Die Veröffentlichung der Bugs hatte in der Sicherheitsszene für Diskussionen gesorgt. (AMD, Prozessor) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Umstrittene Sicherheitslücken: AMD kündigt Ryzenfall-Patches an
Messenger: Telegram soll in Russland geheime Schlüssel offenlegen
Der umstrittene Messenger Telegram soll den russischen Behörden seine Verschlüsselung offenlegen. Experten warnen allerdings ohnehin vor der Nutzung der Software. (Telegram, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Messenger: Telegram soll in Russland geheime Schlüssel…
Datenschutz: Caspar warnt Whatsapp vor Datenweitergabe an Facebook
Whatsapp könnte bald einen neuen Versuch starten, massenhaft Nutzerdaten an Facebook weiterzuleiten. Der Hamburger Datenschützer Johannes Caspar will sich in der Debatte nicht ausbooten lassen. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenschutz:…
Datenschutz bei Domains: Wattislos bei Whois?
Die Datenschutzgrundverordnung sorgt nicht nur bei vielen Unternehmen für rege Betriebsamkeit, sondern auch bei Registraren und Icann. Die geplanten Neuregelungen könnten für Sicherheitsforscher und Journalisten zum Problem werden. (Icann, Spam) Advertise on IT Security News. Lesen Sie den ganzen…
BeA: Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen
Das besondere elektronische Anwaltspostfach (BeA) lässt weiter auf sich warten. Jetzt fordern Anwälte, dass das System nur mit einer Ende-zu-Ende-Verschlüsselung online gehen darf – und wollen das auch einklagen. (BeA, Verschlüsselung) Advertise on IT Security News. Lesen Sie den…
Cambridge Analytica: Wahlkampf für Trump mit 50 Millionen Facebook-Profilen
Über eine bezahlte Studie haben Nutzer eine App installiert, welche die Daten ihrer Facebook-Profile die der Facebook-Kontakte sammelte. Ein Analysetool konnte dann ihre Vorlieben und Ängste vorhersehen. Trump konnte das wohl zu seinem Vorteil nutzen. Ein Gründer von Cambridge Analytica…
Strafe verhängt: Diese Nutzerdaten teilt Whatsapp weiterhin mit Facebook
Angeblich gibt Whatsapp derzeit keine sensiblen Daten von EU-Bürgern zur Nutzung an Facebook weiter. Die spanische Datenschutzbehörde sieht das jedoch anders und verhängt hohe Bußgelder. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Strafe…
Troopers 2018: „Responsible Disclosure hilft nur dem Hersteller“
Mit einem streitbaren Konzept will der Hacker Graeme Neilson mehr Kommunikation zwischen Sicherheitsforschern und Nutzern von Technologie schaffen. Er ist überzeugt, dass das klassische Modell von Responsible Disclosure nicht funktioniert. (Sicherheitslücke, Internet) Advertise on IT Security News. Lesen Sie…
McFadden-Prozess: OLG München bestätigt Abschaffung der Störerhaftung
Das OLG München hält die Abschaffung der Störerhaftung für europarechtskonform. Altfälle müssen demnach nur noch die Abmahngebühren zahlen. (Störerhaftung, WLAN) Advertise on IT Security News. Lesen Sie den ganzen Artikel: McFadden-Prozess: OLG München bestätigt Abschaffung der Störerhaftung
Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen
Bei der Untersuchung einer Security-Appliance von Check Point haben Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail gefunden, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit. (E-Mail,…
Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst ungefixt
Bei der Untersuchung einer Security-Appliance von Check Point fanden Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit. (E-Mail, PHP)…
Ryzenfall: CTS Labs rechtfertigt sich für eigene Disclosure-Strategie
Das umstrittene Sicherheitsunternehmen CTS Labs hat sich für seine eigene Disclosure-Strategie bei Sicherheitslücken in Ryzen- und Epyc-Chips gerechtfertigt. Das Unternehmen äußert grundlegende Kritik am Industriemodell der Responsible Disclosure. (Reverse Engineering, Prozessor) Advertise on IT Security News. Lesen Sie den…
Datenschutz: Whatsapp plant rechtskonforme Datenweitergabe an Facebook
Die Weitergabe von Nutzerdaten zwischen Whatsapp und Facebook ist innerhalb der EU unzulässig. Doch der US-Konzern gibt nicht auf und könnte bald einen neuen Versuch starten. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
HTTPS: Let’s Encrypt rollt Wildcard-Zertifikate aus
Nach der Ankündigung im vergangenen Jahr und einigen Verzögerungen hat die Zertifizierungsstelle Let’s Encrypt damit begonnen, Wildcard-Zertifikate zu vergeben. Das geht aber nur mit Version 2 des ACME-Protokolls. (Let's Encrypt, Technologie) Advertise on IT Security News. Lesen Sie den…
Große Koalition: Vom Wollen und Werden der Digitalisierung
Im Digitalisierungskapital des Koalitionsvertrags ist 100-mal von „werden“ und 76-mal von „wollen“ die Rede. Im Vergleich zu 2013 haben Union und SPD aus einigen Fehlern gelernt. (Bundesregierung, Open Access) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte
Mittels Parser lassen sich aus .DS_Store-Dateien sensible Informationen auslesen. Das Projekt Internetwache.org hat sich die proprietäre Lösung von Apple genauer angeschaut und einen Scan auf die größeren Webseiten im Web durchgeführt. Er fördert Erstaunliches zutage. (Apple, Mac OS X) …
Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD
Eine Firma aus Israel will spektakuläre Informationen zu Sicherheitslücken bei AMD veröffentlicht haben. Doch bei näherem Hinsehen erweist sich die Veröffentlichung selbst als missratene Sprungvorhersage. (AMD, WordPress) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Ryzenfall: Unbekannte…
Passwortmanager: Keeper erfindet „potentielle“ Sicherheitslücken
Ein Problem in der Browser-Extension des eigenen Passwortmanagers ist für den Hersteller Keeper nur eine „potentielle“ Sicherheitslücke – ein Begriff, der so nicht existiert. Sicherheitsforscher haben außerdem ein neues Problem bei Keeper Security entdeckt. (Security, Cloud Computing) Advertise on…
Active Directory: Samba-Nutzer können Admin-Passwort ändern
Wird der freie Serverdienst Samba als Domain-Controller für Active Directory genutzt, kann dieser von seinen eigenen Nutzern übernommen werden. Auf diese Lücke weist das Samba-Team hin und stellt Patches bereit. Eine DDOS-Lücke wird ebenfalls behoben. (Samba, Sicherheitslücke) Advertise on…
Azure: Kaum Interessenten für Microsofts deutsche Cloud
Datensicherheit, Standort in Deutschland und eine Isolation für unbefugten Zugriff durch Geheimdienste: Die deutsche Cloud ist Microsofts angepasstes Azure-Angebot für Deutschland. Was 2015 noch gut klang, ist heute wohl nicht mehr vorrangig – die Flexibilität des normalen Azure hingegen schon.…
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System
Die EU will künftig europäische Fluggastdaten auf Vorrat speichern. Das im Aufbau befindliche deutsche System scheint noch nicht ganz sicher zu sein. (Malware, Sicherheitslücke) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Fluggastdaten: Regierung dementiert Hackerangriff auf…
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte
Die Webseiten der Arbeitsagentur waren für den ROBOT-Angriff auf TLS verwundbar. Damit hätte ein Angreifer Datenverkehr entschlüsseln können. Verantwortlich dafür waren vermutlich uralte Cisco-Loadbalancer. (TLS, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: ROBOT-Angriff: Arbeitsagentur nutzt…
Avast: CCleaner-Infektion enthielt Keylogger-Funktion
Die im vergangenen Jahr mit CCleaner verteilte Malware sollte Unternehmen wohl auch per Keylogger ausspionieren. Avast hat im eigenen Netzwerk die Shadowpad-Malware gefunden, geht aber davon aus, dass diese bei Kunden nicht installiert wurde. (Keylogger, Server) Advertise on IT…
Librem 5: Purism-Smartphone bekommt Smartcard für Verschlüsselung
Das Librem 5 von Purism soll eine alltagstaugliche Verschlüsselung auf Basis von GPG bekommen. Dazu arbeitet das Projekt mit Werner Koch zusammen. Die Verschlüsselung wird per Smartcard implementiert. (GPG, Smartphone) Advertise on IT Security News. Lesen Sie den ganzen…
Gesichtserkennung: British Airways testet biometrische Systeme beim Boarding
Flugkarte und Ausweis müssen Passagiere der British Airways an einigen Flughäfen in den USA am Gate nicht mehr vorzeigen. Stattdessen scannt die Fluglinie ihre Gesichter. Die Biometrie soll die Abfertigung effizienter machen. (Biometrie, Technologie) Advertise on IT Security News.…
LLVM 6.0: Clang bekommt Maßnahme gegen Spectre-Angriff
Die neue Version der LLVM-Compiler wie Clang bringt mit Retpolines eine wichtige Maßnahme gegen Angriffe über Spectre. Davon profitieren auch künftige Windows-Versionen von Google Chrome. Optimierungen gibt es außerdem bei der Diagnose von Quelltexten. (LLVM, Google) Advertise on IT…
Government Hack: Hack on German Government via E-Learning Software Ilias
The German government was hacked via the learning plattform Ilias, which is used at the government’s own university. The university was using an old version with various security vulnerabilities. (Bundeshack, Malware) Advertise on IT Security News. Lesen Sie den…
Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias
Die Bundesregierung wurde über die Lernplattform Ilias gehackt, die an der Hochschule des Bundes zu Weiterbildungszwecken genutzt wird. Die Einrichtung nutzte eine alte Version mit zahlreichen Sicherheitslücken. (Bundeshack, Dateisystem) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Sicherheitsaudit: US-Heimatschutzministerium nutzt altes Flash und Windows
Ausgerechnet das Ministerium, das für den Bereich IT-Sicherheit in den USA verantwortlich ist, hat zahlreiche systemische Schwachstellen in seinem Netzwerk, wie ein Audit festgestellt hat. Es gibt falsch konfigurierte Windows-Systeme und zum Teil uralte Softwareversionen. (Politik/Recht, Server) Advertise on…
Sicherheitslücke: Spectre-Angriff kann Intel SGX überwinden
Mit einem neuen Spectre-Angriff können vertrauliche Daten ausgelesen werden, die mit Intels Software Guard Extensions geschützt werden. Der Angriff ist derzeit nur schwer zu entdecken, Intel will aber neue Software nachliefern. (Spectre, Intel) Advertise on IT Security News. Lesen…
E-Privacy-Verordnung: Verleger und Startups wollen mehr Daten verarbeiten dürfen
Europäische Verlegerverbände und Startups wollen weniger Daten-, dafür aus ihrer Sicht aber mehr Verbraucherschutz. In einem offenen Brief kritisieren sie den bisherigen Entwurf der E-Privacy-Verordnung. (DSGVO, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: E-Privacy-Verordnung: Verleger…
IT-Sicherheit: Nur acht Prozent der Chrome-Nutzer aktivieren noch Flash
Adobe Flash ist chronisch mit Sicherheitslücken durchsetzt. Vor allem Browserhersteller versuchen daher, die Risiken zu minimieren. Offenbar mit Erfolg: Nur noch acht Prozent der Chrome-Nutzer laden einmal am Tag eine Seite mit Flash-Inhalten. (Flash, Browser) Advertise on IT Security…
Auswärtiges Amt: Bundeshacker kommunizierten per Outlook mit Malware
Die Malware auf den Rechnern des Auswärtigen Amtes soll per E-Mail mit den Command-und-Control-Servern der Angreifer kommuniziert haben. Die erste Infektion der Rechner erfolgte offenbar über eine manipulierte E-Learning-Plattform. (Malware, Server) Advertise on IT Security News. Lesen Sie den…
BSA-Studie: Deutschland ist favorisierter Standort für die Cloud
Die Business Software Alliance hat in diesem Jahr 24 Länder auf ihre Bereitschaft für Cloud-Dienste untersucht – Deutschland liegt vor Japan an der Spitze. Als Grund dafür werden solide Datenschutzgesetze genannt. Die Infrastruktur ist hingegen weit abgeschlagen. (Cloud Computing, DSL)…
E-Mail-Clients für Android: Kennwörter werden im Klartext an Betreiber übermittelt
Der E-Mail-Client sollte mit Bedacht gewählt werden. Zwei Apps für Android übermitteln die Kennwörter im Klartext an den Anbieter der App. Der Entdecker des Sicherheitsrisikos rät zur Deinstallation der Apps und zur Zurücksetzung des E-Mail-Kennworts. (Security, E-Mail) Advertise on…
Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen
Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt. (Politik/Recht, Datenschutz) Advertise on IT Security…
HSTS: Facebook verschlüsselt alle ausgehenden Links, wenn möglich
Facebook wird künftig alle Links auf der Plattform automatisch auf HTTPS umstellen, wenn dies möglich ist. Dafür nutzt das Unternehmen HTTP Strict Transport Security auf innovative Weise. (HSTS, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen…
Wahlbeeinflussung: Russischer Präsident Putin will Verdächtige nicht ausliefern
US-Strafverfolger haben Anklage gegen mehrere russische Staatsbürger wegen Beeinflussung der US-Präsidentschaftswahl 2016 erhoben. Vor Gericht werden sie sich dafür kaum verantworten müssen. (Politik/Recht, Internet) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Wahlbeeinflussung: Russischer Präsident Putin will…
Deep Learning: Trainierte Modelle verraten private Informationen
Angreifer können aus bereits trainierten Deep-Learning-Modellen private und sicherheitskritische Informationen extrahieren. Das funktioniert besonders gut mit kurzem Text, zeigt eine Forschungsarbeit der UC Berkeley. (Deep Learning, Applikationen) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Deep Learning:…
Bundeshack: Ausländischer Geheimdienst soll Regierung gewarnt haben
Der Angriff auf das Netzwerk der Bundesregierung soll sich über eine Hochschule des Bundes bis hin zum Außenministerium gezogen haben. Der Bundestag hat in mehreren Sondersitzungen offenbar widersprüchliche Angaben von der Regierung erhalten. (Security, Datenschutz) Advertise on IT Security…
Akamai: Github übersteht bislang stärksten DDoS-Angriff
Der stärkste je gemessene DDoS-Angriff hat Github getroffen. Einige Dienste sind kurz offline gewesen. Schuld sind unsicher konfigurierte Memcached-Server. Ein Patch steht bereit. (DoS, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Akamai: Github übersteht bislang…
Windows Catalog: Microsoft verteilt Spectre-Patches künftig selbst
Windows-Nutzer sind künftig nicht mehr auf die Gunst der Mainboardhersteller angewiesen, wenn sie ihre CPU gegen Spectre patchen wollen. Zum Start gibt es die Microcode-Updates aus dem Windows-Catalog allerdings nur für eine Prozessorgeneration von Intel. (Spectre, Microsoft) Advertise on…
Playstation 4: Firmware 4.55 gehackt und Spiele verwendet
Hacker haben offenbar auch die Sicherheitssysteme der halbwegs aktuellen Firmware 4.55 der Playstation 4 überwunden und nicht signierte Spiele ausgeführt. (Playstation 4, Sony) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Playstation 4: Firmware 4.55 gehackt und…
Zertifikate: Trustico verwundbar für Root-Code-Injection
Der Zertifikatsverkäufer Trusticon hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte. (Sicherheitslücke, Server-Applikationen) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Zertifikate: Trustico…
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel
Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel – die ein Zertifikatshändler eigentlich nie haben sollte. (TLS, Technologie) Advertise on IT Security News.…
Spionage: Angriff auf Bundesregierung dauerte wohl bis Mittwoch an
Mutmaßlich russische Hacker haben das Netzwerk der Bundesbehörden infiziert – sagen Sicherheitsbehörden. Doch viele Details zu dem Angriff sind zurzeit noch unklar. Die Opposition fordert Aufklärung. (Security, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Spionage:…
Datenschutz: BVG-Webseite verrät Besucher-IPs und Mailadressen
Bei den Berliner Verkehrsbetrieben ist die Status-Seite des Apache-Webservers offen einsehbar gewesen, wie Golem.de entdeckt hat. Dort zu sehen gab es IP-Adressen von Webseitenbesuchern und E-Mail-Adressen von Kundenaccounts. (BVG, Apache) Advertise on IT Security News. Lesen Sie den ganzen…
APT28: Behörden untersuchen Angriff auf Regierungsnetzwerk
Angreifern soll es gelungen sein, in das vertrauliche Kommunikationsnetz der Regierung einzudringen. Verdächtigt wird die Gruppe APT28, auch bekannt unter dem Namen Fancy Bear. (Security, Malware) Advertise on IT Security News. Lesen Sie den ganzen Artikel: APT28: Behörden untersuchen…
Soziales Netzwerk: Facebook bietet erweiterte Gesichtserkennung für Fotos an
Immer mehr Nutzer können auf Facebook eine erweiterte Gesichtserkennung verwenden. In der EU und in Kanada wird das Verfahren nicht angeboten – wohl aus Datenschutzgründen. Dabei könnte es mehr Sicherheit gegen den Missbrauch von Fotos bieten. (Facebook, Soziales Netz) …
Mustang GT: Fenders smarte Amps lassen sich einfach kapern
Die Mustang-GT-Verstärker von Fender bieten dank digitaler Emulation toll klingenden Sound, Internetanbindung und eine Bluetooth-Verbindung mit Smartphones. Diese ist offenbar ungesichert, weshalb Gitarristen andere Musik untergejubelt werden kann. Auch Presets sollen sich ändern lassen. (Audio/Video, Bluetooth) Advertise on IT…
Zifra: Startup will Fotos auf Speicherkarten endlich verschlüsseln
Das Startup Zifra aus Göteborg will erreichen, was Kamerahersteller seit Jahren verweigern: die verschlüsselte Speicherung von Bildern und Videos auf dem Gerät. Wir haben mit den Unternehmensgründern über ihre Pläne und die weitere Entwicklung gesprochen. (Security, Digitalkamera) Advertise on…
Telekommunikationsdienst: Der EuGH muss über Gmail urteilen
Der Europäische Gerichtshof in Luxemburg muss klären, ob Gmail ein Telekommunikationsdienst ist oder nicht. Google begrüßte dieses Urteil. Man strebe eine grundsätzliche Klärung der „einmaligen“ deutschen Rechtslage an. (Gmail, Google) Advertise on IT Security News. Lesen Sie den ganzen…
Incident Response: Social Engineering funktioniert als Angriffsvektor weiterhin
Was passiert, nachdem ein Unternehmen gehackt wurde – und welche Mechanismen werden dafür genutzt? Das Sicherheitsunternehmen F-Secure hat Zahlen des eigenen Incident-Response-Teams veröffentlicht und stellt fest: Besonders im Gaming-Sektor und bei Behörden gibt es gezielte Angriffe. (F-Secure, Virus) Advertise…
Funkchip: US-Grenzbeamte können Pass-Signaturen nicht prüfen
Wie werden die Informationen auf dem RFID-Chip im Reisepass auf Richtigkeit überprüft? In den USA bislang offenbar gar nicht, wie zwei Senatoren schreiben. (RFID, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Funkchip: US-Grenzbeamte können Pass-Signaturen…
Reverse Engineering: Das Xiaomi-Ökosystem vom Hersteller befreien
Was hält länger durch: das Smart-Home-Gerät oder der Server des Anbieters? Weil sie sich nicht auf den Hersteller verlassen wollen, haben zwei Hacker damit begonnen, Xiaomi-IoT-Geräte aus der Cloud zu befreien. (Xiaomi, CCC) Advertise on IT Security News. Lesen…
Pwned Passwords: Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes
Bei HaveIBeenPwned können Nutzer aktuell rund eine halbe Milliarde Passwort-Hashes herunterladen. Damit könnten sie Dienste in die Lage versetzen, geleakte Passwörter abzulehnen. (Passwort, API) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Pwned Passwords: Troy Hunt veröffentlicht…
Maschinelles Lernen: Biometrisches Captcha nutzt Sprache und Bild
Gefilmt werden und eine Frage mündlich beantworten: Ein neues biometrisches Captcha-System soll verhindern, dass Algorithmen die Abfragen austricksen. Die Lösungszeit macht dabei den Unterschied zwischen Mensch und Maschine. (Captcha, KI) Advertise on IT Security News. Lesen Sie den ganzen…
Bpfilter: Linux-Kernel könnte weitere Firewall-Technik bekommen
Zusätzlich zu Iptables und Nftables könnte der Linux-Kernel mit Bpfilter künftig einen weiteren Mechanismus für Firewalls und Paketfilter bekommen. Die neuen Technik basiert auf BPF, das von einem Paketfilter zu einer universellen VM im Kernel gewachsen ist. (Linux-Kernel, Virtualisierung) …
EU-Urheberrechtsreform: Kompromissvorschlag hält an Uploadfiltern fest
Eigentlich soll der CDU-Politiker Axel Voss versuchen, im EU-Parlament einen Kompromiss zum Urheberrecht zu finden. Doch nach Ansicht von Kritikern macht sein Vorschlag alles noch schlimmer. (Leistungsschutzrecht, Urheberrecht) Advertise on IT Security News. Lesen Sie den ganzen Artikel: EU-Urheberrechtsreform:…
Signal Foundation: Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal
Mit 50 Millionen US-Dollar soll die Weiterentwicklung von Signal vorangetrieben werden. Das Geld kommt von einem Mitgründer von Whatsapp – dem Messenger, der vor ein paar Jahren die Signal-Verschlüsselung übernahm. (Signal, Internet) Advertise on IT Security News. Lesen Sie…
Kubernetes: Kryptomining auf ungesicherten Tesla-Cloud-Diensten
Tesla hat einen Kubernetes-Pod ohne Kennwortschutz laufen lassen – und sich damit Kryptomining-Malware eingefangen. Derzeit wird außerdem eine Sicherheitslücke in Jenkins-Servern für eine weitere Kampagne ausgenutzt. (Security, Cloud Computing) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Stiftung Warentest: Zu wenig Datenschutz in Dating-Apps
Dating-Apps wissen mehr über ihre Nutzer als mancher enge Freund. Doch viele Apps schützen diese Informationen nicht ausreichend. Im Gegenteil: Einige Anbieter teilen sogar intimste Details mit der Werbeindustrie. (Datenschutz, Stiftung Warentest) Advertise on IT Security News. Lesen Sie…
Homebrew: Bastler veröffentlichen alternativen Launcher für Switch
Die Nintendo Switch mit Firmware 3.00 dürfte derzeit bei Hackern besonders gesucht sein: Auf Github ist ein alternativer Launcher veröffentlicht worden, der das Ausführen von Homebrew-Programmen erlaubt – aber eben nur mit der speziellen Firmware-Version. (Nintendo Switch, Nintendo) Advertise…
PTI und IBRS: FreeBSD erhält Patches gegen Meltdown und Spectre
Deutlich später als Linux und Windows hat nun auch das freie Unix-System FreeBSD Patches gegen die Meltdown- und Spectre-Angriffe bekommen. Die BSD-Entwickler sind erst sehr spät informiert worden und nutzen nun ähnliche Strategien wie bei den anderen Systemen. (FreeBSD, Prozessor)…
Fehler bei Zwei-Faktor-Authentifizierung: Facebook will keine Benachrichtigungen per SMS schicken
In den vergangenen Tagen ist Facebook damit aufgefallen, dass das soziale Netzwerk die Telefonnummer für die Zwei-Faktor-Authentifizierung des Nutzers für das Verschicken seiner Benachrichtigungen missbraucht. Mittlerweile bestätigt Facebook dies und gibt einem Fehler im System die Schuld. (Facebook, Soziales Netz)…
Verschlüsselung: TLS 1.3 ist so gut wie fertig
Die TLS-Arbeitsgruppe der IETF hat ihre Arbeit an Version 1.3 des Verschlüsselungsprotokolls abgeschlossen. Jetzt muss noch der Rest des Standard-Gremiums zustimmen, was aber noch dauern könnte. (TLS, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Verschlüsselung:…
Security: Kopierschutz von Microsofts UWP ist nicht mehr unknackbar
Zoo Tycoon ohne Microsoft Store? Die Crackinggruppe Codex hat den Kopierschutz der UWP-Plattform umgangen. Er galt bisher durch fünf Ebenen als besonders sicher. Auch der Kopierschutzentwickler Arxan muss noch einmal über sein Marketing nachdenken. (Windows, Microsoft) Advertise on IT…
Bionic Beaver: Canonical will Telemetrie in Ubuntu sammeln
Um seine Entwicklung an Ubuntu zu verbessern, will der Linux-Distributor Canonical automatisch Kenndaten der Hardware seiner Nutzer sammeln und ebenso Informationen zu installierten Paketen und Absturzberichten. (Ubuntu, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Bionic…
Openschufa: Reverse-Engineering der Schufa geplant
Wie genau kommt der Schufa-Score eigentlich zustande? Das wollen Algorithm Watch und die Open Knowledge Foundation zusammen herausfinden und bitten dafür um Geld – und später um Daten. (Datenschutz, OCR) Advertise on IT Security News. Lesen Sie den ganzen…
Breitbandmessung: Neue Desktop-App fällt bei Verbraucherschützern durch
Der Verbraucherzentrale Bundesverband hat die geplante Software der Bundesnetzagentur für eine „gerichtsfeste“ Breitbandmessung vorab getestet und schlechte Noten dafür ausgestellt. Er hält das Werkzeug in vielen Bereichen für „unzumutbar“. (Bundesnetzagentur, Datenschutz) Advertise on IT Security News. Lesen Sie den…
FBI, CIA und NSA: US-Dienste warnen vor Huawei- und ZTE-Smartphones
Vertreter der US-Geheimdienste und vom FBI meinen, dass US-Verbraucher keine Smartphones von Huawei oder ZTE verwenden sollten. Dies würde das Risiko für Spionage und Datenmanipulation erhöhen und China in die Lage versetzen, eine „Machtbasis im Netzwerk“ aufzubauen. Huawei widerspricht. (Huawei,…
Pyeongchang: Olympic Destroyer ist eine lernende Malware
Die bei den Olympischen Winterspielen in Pyeongchang eingesetzte Malware kann lernen – und gibt ihr Wissen an andere Installationen weiter. Die Schadsoftware ist darauf ausgerichtet, Windows-Systeme unbenutzbar zu machen. (Olympia, Virus) Advertise on IT Security News. Lesen Sie den…
Palmsecure: Windows Hello wird bald Fujitsus Venenscanner unterstützen
Die Palmsecure genannte Anmeldetechnik von Fujitsu soll bald ordentlich in Windows 10 integriert werden. Bisher muss die Software noch separat installiert und angesteuert werden und ist damit nicht so komfortabel wie andere Methoden, die Windows Hello unterstützen. (Palmsecure, Microsoft) …
Kernel: Microsoft patcht Code-Execution-Lücke im Kernel
Speicherfehler im Kernel, in der Scripting-Engine und in Outlook – das sind nur einige der Probleme, die Microsoft mit dem aktuellen Patchday behebt. Admins sollten die Updates umgehend einspielen. (Patchday, Microsoft) Advertise on IT Security News. Lesen Sie den…
Microsoft: Windows Defender ATP kommt auch für Windows 7 und 8.1
Eigentlich ist Microsofts Sicherheitssoftware Windows Defender ATP ein auf Windows 10 beschränktes Programm. Kunden können dies bald aber auch für die Versionen 7 und 8.1 installieren. Anscheinend gibt es wohl doch noch sehr viele Geräte mit den älteren Betriebssystemen. (Virenscanner,…
Router und Switches: Kritische Sicherheitslücke in Cisco ASA wird ausgenutzt
Eine Sicherheitslücke in Cisco-Geräten wird nach Angaben des Herstellers ausgenutzt, Admins sollten die verfügbaren Patches daher umgehend einspielen. Es sind Angriffe bis hin zur Ausführung von Code möglich. (Security, Netzwerk) Advertise on IT Security News. Lesen Sie den ganzen…
Fail0verflow: PS4-Hacker knacken Switch und booten Debian
Die Konsolenhacker von Fail0verflow haben wieder einmal eine populäre Spielekonsole gehackt, um darauf ein Linux zu booten. Ein Hack für die Nintendo Switch soll dabei unabhängig von der Firmware und dauerhaft funktionieren. (Nintendo Switch, Netzwerk) Advertise on IT Security…
Olympia 2018: Mutmaßlicher Crackerangriff bei Eröffnung in Pyeongchang
War es ein Angriff über das Internet? Die Organisatoren der Olympischen Winterspiele suchen nach der Ursache eines Computerausfalls während der Eröffnungsfeier. Die Webserver waren die Nacht zum Samstag über nicht erreichbar. (Security, WLAN) Advertise on IT Security News. Lesen…
Cisco-Studie: Ein guter Datenschutzplan verhindert Geldverluste
Die kommende EU-Datenschutzgrundverordnung ist für Cisco ein Anlass, Unternehmenseffizienz mit dem dadurch nötigen Datenschutz in Verbindung zu bringen. Das Ergebnis scheint eindeutig: Schlecht optimierte Branchen verzögern ihren Verkaufszyklus um Wochen. Schlusslicht sind Regierungsbehörden. (Cisco, Netzwerk) Advertise on IT Security…