Nicht absehbare Sicherheitsrisiken im Internet der Dinge: Googles IT-Sicherheitschef Gerhard Eschelbeck warnt vor zunehmenden Hacker-Angriffen. Gleichzeitig wirbt er in einem Interview für einheitliche Sicherheitsstandards in der IT-Branche. (Google, Datenschutz) Der ganze Artikel: Cyber-Krieg: Google-Sicherheitschef warnt vor vermehrten Online-Angriffen
Kategorie: sicherheit Golem.de – Security
Musikstreaming: Spotifys Chef entschuldigt sich für Datenschutzbestimmungen
Spotify hat für seine neuen Datenschutzbestimmungen viel Kritik bekommen. Nun versucht Spotify, anhand von Beispielen diese weitergehenden Rechte zu begründen. Außerdem betont das Unternehmen, dass diese Rechte optional sind und die Bestimmungen noch einmal überarbeitet werden sollen. (Spotify, Datenschutz) Der…
Ashley Madison: Erpresser nutzen Daten des Seitensprungportals
Obwohl die Daten des Seitensprungportals Ashley Madison nicht verifiziert sind, bieten sie die Möglichkeit des Aussetzens der Unschuldsvermutung zur Anprangerung der vermeintlichen Sünder und mittlerweile sogar Erpressung. Erste Erpresssungsfälle hat Brian Krebs entdeckt. (Security, Malware) Der ganze Artikel: Ashley Madison:…
Musik-Streaming: Spotify will mehr von seinen Nutzern wissen
Personalisierung gilt als der Schlüssel für den Erfolg von Musikdiensten. Dafür müssen die Anbieter viel über ihre Nutzer wissen, wie die neuen Datenschutzregeln bei Spotify zeigen. (Spotify, Datenschutz) Der ganze Artikel: Musik-Streaming: Spotify will mehr von seinen Nutzern wissen
Hackerangriff: Bundestag schaltet sein Computersystem ab
Das Computersystem im Bundestag ist abgeschaltet. Anlass dafür war ein groß angelegter Hackerangriff auf den Bundestag vor einigen Monaten. Die Systeme werden jetzt überarbeitet. (Bundestags-Hack, Cyberwar) Der ganze Artikel: Hackerangriff: Bundestag schaltet sein Computersystem ab
Datenschutz: Beim Ashley-Madison-Hack gibt es keine Gewinner
Öffentliche Daten nutzen, private Daten schützen. Diesen Grundsatz der Hacker-Ethik haben die Datendiebe bei dem jüngsten Angriff auf Ashley Madison vollkommen missachtet – und sich selbst als falsche Moralapostel entlarvt. Geschadet haben sie denjenigen, für die sie sich einsetzen wollten.…
IT-Sicherheit: GMX und Web.de bieten PGP und führen DANE ein
Mehr Sicherheit bei den E-Mail-Diensten GMX und Web.de: Ab sofort können Anwender ihre E-Mails per PGP verschlüsseln. Zusätzlich wollen die beiden Dienste den E-Mail-Verkehr zwischen Servern mit dem offenen Standard DANE absichern. (Verschlüsselung, Server-Applikationen) Der ganze Artikel: IT-Sicherheit: GMX und…
Später lesen: Schwerwiegende Backend-Lücken in Pocket nachgewiesen
Ohne viel Aufwand hat ein Sicherheitsforscher auf die Backend-Infrastruktur von Pocket zugreifen können. Die Fehler sind zwar inzwischen behoben, dem Streit um die Aufnahme der App zum späteren Lesen in den Firefox-Browser könnte dies aber neuen Anschub geben. (Security, Firefox)…
Security: Massenhaft Spam über T-Online-Konten versendet
Offenbar haben sich Unbekannte Zugangsdaten zu mehreren E-Mail-Konten bei der Telekom verschafft. Mit gekaperten E-Mails aus den Adressbüchern der T-Online-Konten werden Spam-Mails mit Links zu verseuchten Webseiten versendet. (Spam, E-Mail) Der ganze Artikel: Security: Massenhaft Spam über T-Online-Konten versendet
Unsicheres Netzwerk: Digitale Nachbarschaftshilfe oder Ausspähen von Daten?
Wer fremde Netzwerke auf die Verwendung von Standardpasswörtern überprüfen will, sollte zunächst das Einverständnis der Betreiber einholen – denn sonst könnte er sich strafbar machen. (Security, WLAN) Der ganze Artikel: Unsicheres Netzwerk: Digitale Nachbarschaftshilfe oder Ausspähen von Daten?
Internet Explorer: Notfall-Patch für Microsofts Browser
Microsoft hat einen Sicherheits-Patch für den Internet Explorer veröffentlicht. Der Besuch einer entsprechend modifizierten Webseite erlaubt es Angreifern, beliebigen Code auf dem fremden System auszuführen. Das Sicherheitsloch wird bereits aktiv ausgenutzt. (Internet Explorer, Microsoft) Der ganze Artikel: Internet Explorer: Notfall-Patch…
Security: Seitensprungportal Ashley Madison gehackt
Mehrere Millionen Kundendaten des Seitensprungportals Ashley Madison sollen im Internet veröffentlicht worden sein. Unklar ist, ob die Datensätze echt sind. Die Täter wollten zuvor die Abschaltung des Portals erzwingen. (Security, Ruby) Der ganze Artikel: Security: Seitensprungportal Ashley Madison gehackt
Security: Sicherheitslücke bei 1und1, Web.de und GMX
Eine Sicherheitslücke bei den E-Mail-Anbietern von United Internet, darunter Web.de, GMX und 1und1 hätten Angreifer ausnutzen können, um sich Zugriff auf Kundenkonten zu verschaffen. Die Lücke ist inzwischen geschlossen. (Security, Server-Applikationen) Der ganze Artikel: Security: Sicherheitslücke bei 1und1, Web.de und…
Homebrew: 3DS über Youtube-App gehackt
Vor ein paar Monaten hat ein Hacker den 3DS von Nintendo über das plötzlich heißbegehrte Spiel Cubic Ninja gehackt. Nun hat er das Gleiche mit der offiziellen Youtube-App geschafft – und demonstriert im Video unter anderem, wie er ein Spiel…
Sound-Proof: Hintergrundgeräusche für eine Zwei-Faktor-Authentifizierung
Mit Hintergrundgeräuschen wollen Forscher aus der Schweiz ein sicheres Authentifizierungssystem entwickeln, das den klassischen Login mit Username und Passwort ablösen soll, ohne dass der Nutzer SMS von seinem Smartphone eintippen muss. Das neue Verfahren nennt sich Sound-Proof. (Security, Applikationen) Der…
IP-Spoofing: Bittorrent-Schwachstelle ermöglicht DRDoS-Angriff
DDoS per P2P: Eine Schwachstelle in Bittorrent kann für schwere DDoS-Attacken ausgenutzt werden. Das Risiko für den Angreifer ist gering. (Bittorrent, P2P) Der ganze Artikel: IP-Spoofing: Bittorrent-Schwachstelle ermöglicht DRDoS-Angriff
Security: Die Gefahr der vernetzten Autos
Wie gefährlich sind Sicherheitslücken in aktuellen Fahrzeugen? Dieser Frage ging der IT-Sicherheitsexperte Thilo Schumann nach. Fahrzeuge würden zwar immer sicherer, Entwarnung gebe es aber nicht. (Security, Technologie) Der ganze Artikel: Security: Die Gefahr der vernetzten Autos
Security: Neuer digitaler Erpressungsdienst aufgetaucht
Encryptor RaaS nennt sich ein neuer digitaler Erpressungsdienst, der im Tor-Netzwerk aufgetaucht ist. Sein Erschaffer hat offenbar bei Reddit dafür geworben. Angeblich soll es bereits erste Kunden geben. (Cybercrime, Applikationen) Der ganze Artikel: Security: Neuer digitaler Erpressungsdienst aufgetaucht
Tracking: Privacy Badger blockiert unliebsame Werbenetzwerke
Die Electronic Frontier Foundation setzt ihre Do-Not-Track-Kampagne mit der Freigabe ihres Browser-Addons Privacy Badger als Beta-Version fort. Die Erweiterung soll vor Tracking warnen und es gegebenenfalls blockieren. (Do Not Track, Onlinewerbung) Der ganze Artikel: Tracking: Privacy Badger blockiert unliebsame Werbenetzwerke
Security: Kaspersky soll Konkurrenz mit Fake-Malware geschadet haben
Kaspersky soll seinen Konkurrenten mit falscher Malware geschadet haben. Das werfen ehemalige Mitarbeiter dem russischen IT-Sicherheitsunternehmen vor. (Kaspersky, Virus) Der ganze Artikel: Security: Kaspersky soll Konkurrenz mit Fake-Malware geschadet haben
Zwei-Faktor-Authentifizierung: Dropbox führt Anmeldung mit U2F-Stick ein
Nutzer des Cloud-Speichers Dropbox können eine neue Möglichkeit der Zwei-Faktor-Authentifizierung nutzen: Neben dem Passwort sorgt jetzt ein USB-Stick mit U2F-Standard für zusätzliche Sicherheit beim Einloggen. (Dropbox, Cloud Computing) Der ganze Artikel: Zwei-Faktor-Authentifizierung: Dropbox führt Anmeldung mit U2F-Stick ein
Android-Sicherheitslücke: Googles Stagefright-Patch ist fehlerhaft
Google muss einen der Stagefright-Patches überarbeiten. Der Patch schließt die Sicherheitslücke nicht, und Android-Geräte sind weiterhin angreifbar. Ein korrigierter Patch für die Nexus-Modelle wird diesen Monat aber nicht mehr erscheinen. (Android, Google) Der ganze Artikel: Android-Sicherheitslücke: Googles Stagefright-Patch ist fehlerhaft
Apple: OS X 10.10.5 sorgt für mehr Stabilität und verhindert Root-Exploit
Apple hat mit OS X 10.10.5 kurz vor der Veröffentlichung von OS X 10.11 alias El Capitan ein Update für sein Betriebssystem vorgestellt, das vor allem Stabilitätsverbesserungen und Sicherheitsupdates enthält. (OSX, Apple) Der ganze Artikel: Apple: OS X 10.10.5 sorgt…
Windows 10: Kommunikation mit Microsoft lässt sich nicht ganz abschalten
Die Debatte um die Datenschutzeinstellungen in Windows 10 geht weiter. In einer Untersuchung ist herausgekommen, dass Microsoft auch dann Daten eines Windows-10-Systems sammelt, wenn dies eigentlich nicht passieren sollte. (Windows 10, Microsoft) Der ganze Artikel: Windows 10: Kommunikation mit Microsoft…
Nymi: Mit dem Herzschlag bezahlen
Nymi entwickelt ein Armband, das den Herzrhythmus des Trägers erkennt, der ähnlich wie ein Fingerabdruck individuell ist. Eine Mastercard-Kreditkartenzahlung ist bereits mit einem Prototypen erfolgt. In Zukunft könnten die Sensoren auch in Uhren und anderen Wearables stecken. (Biometrie, Security) Der…
Intelligente Stromzähler: Kleinverbrauchern droht Zwangsnutzung durch die Hintertür
Die Bundesregierung wollte Kleinverbrauchern eigentlich den Einbau intelligenter Strommesssysteme ersparen. Nun ermöglicht ein Gesetzentwurf aber Betreibern und Vermietern, auch kleinste Verbraucher daran anzuschließen. (Smart Grid, GreenIT) Der ganze Artikel: Intelligente Stromzähler: Kleinverbrauchern droht Zwangsnutzung durch die Hintertür
Security: Kali Linux 2.0 als Rolling Release veröffentlicht
Keine Versionssprünge mehr für Kali Linux: Ab Version 2.0 sollen einzelne Updates die Linux-Distribution für IT-Sicherheitsexperten stets auf dem aktuellen Stand halten. Die Pro-Variante von Metasploit mussten die Kali-Entwickler aber entfernen. (Security, Debian) Der ganze Artikel: Security: Kali Linux 2.0…
Autoschlüssel: Volkswagen-Hack nach langer Sperrverfügung veröffentlicht
Vor einigen Jahren haben Forscher entdeckt, dass sich Motorolas Megamos-Transponder, der in den Autoschlüsseln unter anderem von Volkswagen verwendet wird, angreifen lässt. VW ließ damals gerichtlich untersagen, Detailinformationen über die Lücke zu veröffentlichen. Jetzt ist dies gelungen. (VW, RFID) Der…
Corvette per SMS manipuliert: Die Anleitung zum Autohack
US-Sicherheitsexperten haben ein vernetztes Auto per SMS gehackt und gesteuert. Über einen Stick zur Nutzerabrechnung drangen sie in die Steuerung einer Corvette ein. Möglicherweise funktionierte der spektakuläre frühere Hack eines Cherokee Jeep ähnlich. (Security, Technologie) Der ganze Artikel: Corvette per…
Security: Lenovos sanktioniertes Rootkit
Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch. (Security, Lenovo) Der ganze Artikel: Security: Lenovos sanktioniertes…
Whispeer: Soziales Netzwerk mit Ende-zu-Ende-Verschlüsselung
Whispeer soll ein sicheres soziales Netzwerk sein. Darum haben dessen Entwickler eine Ende-zu-Ende-Verschlüsselung eingebaut – und es damit in die Endrunde der Security Startup Challenge geschafft. (Soziales Netz, Datenschutz) Der ganze Artikel: Whispeer: Soziales Netzwerk mit Ende-zu-Ende-Verschlüsselung
Microsofts Patchday: Neue Patches verhindern Angriffe über USB
Am gestrigen Patch-Tuesday hat Microsoft eine gravierende Schwachstelle geschlossen, die das Einschleusen von Schadcode über USB-Sticks ermöglicht und bereits aktiv ausgenutzt wird. Außerdem wurden zahlreiche Speicherlücken im Browser Edge geschlossen. (Patchday, Server-Applikationen) Der ganze Artikel: Microsofts Patchday: Neue Patches verhindern…
Pressemitteilungen: Hacker ermöglichen Börsen-Insidergeschäfte in Millionenhöhe
Pressemitteilungen beinhalten gelegentlich Informationen, die an der Börse viel Geld wert sind – vor allem – wenn sie vor ihrer Veröffentlichung in die Hände von Tätern gelangen, die damit Insidergeschäfte machen. In den USA wurde ein Verbrecherring zerschlagen, der über…
Schlüsselaustausch: KCI-Angriff auf TLS missbraucht Clientzertifikate
Ein komplexer Angriff nutzt eine trickreiche Kombination aus Clientzertifikaten und einem statischen Diffie-Hellman-Schlüsselaustausch. Der Angriff ist nur in sehr speziellen Situationen relevant, doch es zeigt sich wieder einmal, dass das TLS-Protokoll selbst Sicherheitslücken hat. (SSL, Browser) Der ganze Artikel: Schlüsselaustausch:…
Parrot Bebop: Drohnenentführung per WLAN
Mit einem einfachen Datenpaket über WLAN lasse sich die Parrot-Drohne Bebop zum Absturz bringen oder gar entführen. Das hat ein Sicherheitsforscher auf der Defcon-Konferenz berichtet. (Defcon, Technologie) Der ganze Artikel: Parrot Bebop: Drohnenentführung per WLAN
Schwachstellen: Fingerabdruckklau leicht gemacht
Fingerabdruck-Scanner unter Android sind teils mit gravierenden Sicherheitsmängeln umgesetzt worden. Mit wenig Aufwand können Fingerabdrücke sogar gestohlen werden. (Security, Android) Der ganze Artikel: Schwachstellen: Fingerabdruckklau leicht gemacht
Bankverbindungen: Millionen Kundendaten von Carphone Warehouse gestohlen
Die britische Mobilfunk-Ladenkette Carphone Warehouse ist Opfer eines Hackerangriffs geworden. Millionen Kundendaten wurden abgegriffen, inklusive der Bankverbindungen. (Security, Mobilfunk) Der ganze Artikel: Bankverbindungen: Millionen Kundendaten von Carphone Warehouse gestohlen
Vorratsdaten: Regierungsinterne Zweifel an anlassloser Speicherung
Nach außen gibt sich die Bundesregierung überzeugt, dass der Gesetzentwurf zur Vorratsdatenspeicherung den Vorgaben der Gerichte entspricht. Intern hat es offenbar deutliche Bedenken gegeben. (Vorratsdatenspeicherung, Datenschutz) Der ganze Artikel: Vorratsdaten: Regierungsinterne Zweifel an anlassloser Speicherung
Neuer Privacy Visor: Eine Brille gegen Gesichtserkennungs-Algorithmen
Wer den Privacy Visor trägt, soll damit die Gesichtserkennung von Kameras oder sozialen Netzwerken stören können. Das erste Modell der Brille verwendete noch aufwendige LED-Beleuchtung, der zweite Privacy Visor kommt jetzt ohne Elektronik aus. (Datenschutz, Internet) Der ganze Artikel: Neuer…
Sicherheitslücke: Hacker übernimmt Narkosegerät
Technische Apparate in Krankenhäusern gehören sicherlich zu den Geräten, die vor Fremdzugriff am besten geschützt sein sollten. Schließlich steuern sie teilweise lebenswichtige Körperfunktionen. Ein Fall in Süddeutschland zeigt, dass dieser Schutz offenbar nicht immer gegeben ist. (Sicherheitslücke, Internet) Der ganze…
Security: Firefox-Schwachstelle erlaubt Auslesen lokaler Daten
Über einen Fehler im PDF-Viewer von Firefox können Unbefugte lokale Dateien auslesen. Die Schwachstelle ist inzwischen behoben, Updates sollten bald verfügbar sein. Der Fehler wurde aber bereits ausgenutzt. (Firefox, Browser) Der ganze Artikel: Security: Firefox-Schwachstelle erlaubt Auslesen lokaler Daten
Auto-Hacking: Gehackte Teslas lassen sich bei voller Fahrt ausschalten
Insgesamt sechs Lücken haben IT-Sicherheitsforscher in der Software der Automobile von Tesla entdeckt. Über sie gelang es ihnen, die Kontrolle über das Fahrzeug zu übernehmen. (Tesla Motors, Elektroauto) Der ganze Artikel: Auto-Hacking: Gehackte Teslas lassen sich bei voller Fahrt ausschalten
Security: SIM-Karten erfolgreich geklont
Chinesischen Forschern ist es gelungen, nach AES-128 verschlüsselte SIM-Karten zu duplizieren. Die Verschlüsselung mussten sie dazu aber nicht knacken. (Black Hat 2015, Technologie) Der ganze Artikel: Security: SIM-Karten erfolgreich geklont
Kryptographie: Rechenfehler mit großen Zahlen
Kryptographische Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. Immer wieder werden Fehler in den entsprechenden Bibliotheken gefunden. Diese können zu Sicherheitslücken werden. (Black Hat 2015, Technologie) Der ganze Artikel: Kryptographie: Rechenfehler mit großen Zahlen
HTTPS: BGP-Angriff gefährdet TLS-Zertifikatssystem
Auf der Black Hat weisen Sicherheitsforscher auf ein Problem mit TLS-Zertifizierungsstellen hin: Die Prüfung, wem eine Domain gehört, findet über ein ungesichertes Netz statt. Dieser Weg ist angreifbar – beispielsweise mittels des Routingprotokolls BGP. (SSL, Technologie) Der ganze Artikel: HTTPS:…
Schwachstelle: Certifi-Gate erlaubt Zertifikatsmissbrauch unter Android
Bösartige Apps können in Android legitime Zertifikate nutzen, um erhöhte Rechte zu erhalten. Die Entdecker der Schwachstelle haben dieser den Namen Certifi-Gate gegeben. Google bestätigt die Lücke, betont aber, dass Apps im Play Store auf ein solches Missbrauchspotential überprüft würden.…
Security: Zurück zu den Hacker-Ursprüngen
Wer moderne Technik zerlegt, um sie und damit die Welt verstehen zu können, macht sich strafbar. Dabei müsste das Hacken gefördert werden, sagt die Anwältin Jennifer Granick. (Black Hat 2015, Urheberrecht) Der ganze Artikel: Security: Zurück zu den Hacker-Ursprüngen
Illegales Netzwerk: Terracotta VPN nutzt gekaperte Server
Das sogenannte Terracotta VPN bietet seinen Kunden ein international verzweigtes Netzwerk. Es leitet den Datenverkehr aber über gehackte Server – und soll so die Aktivitäten von Cyberkriminellen schützen. (Black Hat 2015, Server-Applikationen) Der ganze Artikel: Illegales Netzwerk: Terracotta VPN nutzt…
Stagefright-Sicherheitslücke: Elf Wege, ein Android-System zu übernehmen
Auf der Black-Hat-Konferenz hat Joshua Drake die Hintergründe zu den Stagefright-Sicherheitslücken erläutert. Über mindestens elf verschiedene Wege lässt sich ein Android-System seinem Vortrag zufolge angreifen. Fortschritte gibt es bei den Android-Updates. (Android, Firefox) Der ganze Artikel: Stagefright-Sicherheitslücke: Elf Wege, ein…
Stagefright: Samsung und Google führen Patchday ein
Die Sicherheitslücke in Androids Stagefright-Framework bewirkt ein Umdenken: Sowohl Google als auch Samsung führen einen monatlichen Patchday ein, an dem Sicherheits-Updates unabhängig von eigentlichen Systemaktualisierungen bereitgestellt werden sollen. (Security, Smartphone) Der ganze Artikel: Stagefright: Samsung und Google führen Patchday ein
Hash-Funktion: SHA-3 ist jetzt offiziell ein Standard
Das US-Handelsministerium hat die Hashfunktion SHA-3 jetzt offiziell als Federal Information Processing Standard (FIPS) 202 anerkannt. Das Nist hatte den Entwurf vor mehr als einem Jahr eingereicht. Grundlegende Änderungen gab es seitdem nicht. (SHA-3, Technologie) Der ganze Artikel: Hash-Funktion: SHA-3…
Android-Schwachstelle: Telekom schaltet wegen Stagefright-Exploits direktes MMS ab
MMS-Nutzer müssen wegen einer Android-Schwachstelle auf die direkte Zustellung verzichten. Die Telekom will so ihre Kunden schützen. (Security, Android) Der ganze Artikel: Android-Schwachstelle: Telekom schaltet wegen Stagefright-Exploits direktes MMS ab
Privatsphäre: Windows 10 telefoniert zu viel nach Hause
Fragwürdige Voreinstellungen: Wer in Windows 10 die Übertragung von Nutzerdaten an die Microsoft-Server eindämmen will, muss an vielen Stellen aktiv werden. (Windows 10, Microsoft) Der ganze Artikel: Privatsphäre: Windows 10 telefoniert zu viel nach Hause
Android-Schwachstelle: Stagefright-Exploits wohl bald aktiv
Erste Nachweise, dass die wohl gravierende Sicherheitslücke in Android ausnutzbar ist, sind bereits im Umlauf. Patches gibt es bereits für Android und Cynanogenmod. Bis die Hersteller sie bereitstellen, könnte Stagefright aber millionenfach missbraucht worden sein. (Security, Android) Der ganze Artikel:…
Day Z: So kämpfen Spielentwickler gegen Cheater
Mit Pseudo-Sicherheitslücken und Fake-Speicherleaks werden millionenschwere Hacker dazu gebracht, Zeit und Energie zu verschwenden: Mit solchen Tricks kämpfen die Entwickler von Day Z gegen Cheater. (GDC Europe 2015, Sicherheitslücke) Der ganze Artikel: Day Z: So kämpfen Spielentwickler gegen Cheater
Security: Bitdefender wegen Datenlecks erpresst
Ein Hacker erbeutete Zugangsdaten beim Anti-Viren-Softwarehersteller Bitdefender und scheiterte mit einem Erpressungsversuch. Die Kundendaten sind jetzt im Netz verfügbar. (Security, Applikationen) Der ganze Artikel: Security: Bitdefender wegen Datenlecks erpresst
Anonymisierung: Weiterer Angriff auf das Tor-Netzwerk beschrieben
Forscher haben eine weitere Möglichkeit entdeckt, Benutzerzugriffe auf Tors Hidden Services zu entlarven. Ihr Angriff benötige aber eine gehörige Portion Glück, schreiben sie. Auch die Tor-Betreiber wiegeln ab. (TOR-Netzwerk, Technologie) Der ganze Artikel: Anonymisierung: Weiterer Angriff auf das Tor-Netzwerk beschrieben
Tor-Netzwerk: Öffentliche Bibliotheken sollen Exit-Relays werden
Geht es nach den Plänen des Library-Freedom-Projekts sollen künftig alle öffentlichen Bibliotheken in den USA einen Exit-Server für das Tor-Netzwerk bereitstellen. (TOR-Netzwerk, Technologie) Der ganze Artikel: Tor-Netzwerk: Öffentliche Bibliotheken sollen Exit-Relays werden
Schwachstellen: Fernzugriff öffnet Autotüren
Einem Hacker ist es gelungen, sich in die Software Onstar Remotelink des US-Autoherstellers General Motors einzuklinken. Damit lässt sich das Fahrzeug entriegeln und sogar starten. Wegfahren konnte er mit dem gehackten Fahrzeug aber nicht. (Security, Server-Applikationen) Der ganze Artikel: Schwachstellen:…
SQL-Dump aufgetaucht: Generalbundesanwalt.de gehackt
Einem Angreifer ist es gelungen, den Inhalt der Datenbank der Webseite des Generalbundesanwalts herunterzuladen. Der Angriff dürfte eine Reaktion auf die Ermittlungen gegen Netzpolitik.org darstellen. (Security, PHP) Der ganze Artikel: SQL-Dump aufgetaucht: Generalbundesanwalt.de gehackt
Bundestags-Hack: Reparatur des Bundestagsnetzes soll vier Tage dauern
Das Netzwerk des Bundetages soll zwischen dem 13. und 17. August 2015 neu aufgesetzt werden. In dieser Zeit wird es komplett abgeschaltet. Auch E-Mails können dann nicht mehr empfangen oder versendet werden. (Bundestags-Hack, Server-Applikationen) Der ganze Artikel: Bundestags-Hack: Reparatur des…
Security: Gehacktes Scharfschützengewehr schießt daneben
Die "Smart Rifles" der Firma Tracking Point lassen sich einfach per WLAN manipulieren. Mit falschen Eingaben schießen sie auf Ziele, die der Schütze gar nicht im Visier hat. (Security, Linux) Der ganze Artikel: Security: Gehacktes Scharfschützengewehr schießt daneben
Schwachstelle: MKV-Dateien können Android einfrieren
Vorsicht beim Filmegucken auf dem Android-Smartphone. Eine manipulierte MKV-Datei kann das gesamte System einfrieren. Befindet sie sich bereits auf dem Gerät, hilft auch ein Neustart nichts. (Android, Mobil) Der ganze Artikel: Schwachstelle: MKV-Dateien können Android einfrieren
Websicherheit: Riskante Git-Verzeichnisse
Viele Webseitenbetreiber nutzen das Versionsverwaltungssystem Git, um den Code ihrer Seite zu pflegen. Das kann zum Sicherheitsproblem werden, wenn die Git-Daten öffentlich abrufbar sind. (Git, Server-Applikationen) Der ganze Artikel: Websicherheit: Riskante Git-Verzeichnisse
Honeynet des TÜV Süd: Simuliertes Wasserwerk wurde sofort angegriffen
Kaum online kamen schon die ersten Zugriffe: Das Sicherheitsunternehmen TÜV Süd hat eine Wasserwerkssimulation als Honeynet aufgesetzt und acht Monate lang ins Internet gestellt. Auch Betreiber von kleinen und unbedeutenden Anlagen mit Internetanschluss seien unmittelbar gefährdet, folgern die Sicherheitsexperten. (Security,…
Security: Apples App Store als Einfallstor für Schadcode
Über eine Schwachstelle in der Verarbeitung von Belegen für Einkäufe in Apples App Store lässt sich Code auf fremden Rechnern einschleusen. (Security, Server) Der ganze Artikel: Security: Apples App Store als Einfallstor für Schadcode
Soziales Netzwerk: Neuer Anlauf gegen Klarnamenzwang bei Facebook
Facebook hält in Europa konsequent am Klarnamenzwang seiner Nutzer fest. Nachdem vor zwei Jahren ein deutsches Gericht diese Praxis gebilligt hat, will der Hamburger Datenschützer Caspar nun mit Hilfe des EuGH die Regelung kippen. (Facebook, Soziales Netz) Der ganze Artikel:…
Vorratsdatenspeicherung: Eco protestiert gegen Speicherpläne, Maas verteidigt sie
Die IT-Branche will die Pläne zur Vorratsdatenspeicherung in Brüssel stoppen. Justizminister Maas hat nun einen Grund dafür gefunden, warum er noch im Januar gegen das Gesetz war. (Vorratsdatenspeicherung, Datenschutz) Der ganze Artikel: Vorratsdatenspeicherung: Eco protestiert gegen Speicherpläne, Maas verteidigt sie
IT-Sicherheit: Fehler in Android könnte Millionen Geräte gefährden
Laut einem IT-Sicherheitsforscher lassen sich fast alle im Umlauf befindlichen Geräte vergleichsweise einfach in Wanzen verwandeln. Details gibt es noch nicht, es soll aber mehrere Schwachstellen in Androids Stagefright-Framework geben. (Security, Android) Der ganze Artikel: IT-Sicherheit: Fehler in Android könnte…
Security: PHP File Manager hat gravierende Sicherheitslücken
Seit Jahren ungepatchte Schwachstellen im PHP File Manager gefährden zahlreiche Server, darunter auch von großen Unternehmen. Der Hersteller reagiert nicht auf Anfragen. (Security, PHP) Der ganze Artikel: Security: PHP File Manager hat gravierende Sicherheitslücken
Anonymisierung: Hornet soll das schnellere Tor-Netzwerk werden
Höhere Geschwindigkeit, mehr Anonymität und besser skalierbar: Forscher wollen mit Hornet eine effizientere Alternative zum Protokoll entwickelt haben, das im Tor-Netzwerk verwendet wird. Eine vollständige Anonymität können aber auch sie nicht versprechen. (Datenschutz, Server-Applikationen) Der ganze Artikel: Anonymisierung: Hornet soll…
Rowhammer: Speicher-Bitflips mittels Javascript
Fehlerhaft arbeitende Speicherchips sind möglicherweise ein größeres Sicherheitsrisiko als bisher gedacht. Einem Forscherteam ist es nun gelungen, einen sogenannten Rowhammer-Angriff mittels Javascript durchzuführen. Gegenmaßnahmen sind schwierig. (Javascript, Sicherheitslücke) Der ganze Artikel: Rowhammer: Speicher-Bitflips mittels Javascript
Spionagesoftware: Der Handel des Hacking Teams mit Zero-Days
Zero-Day-Exploits sind nicht nur ein lukratives Geschäft, sondern werden auch fernab des Deep Webs äußerst professionell gehandelt. Das Hacking Team musste gegen seine Konkurrenten aufholen – und tätigte dabei auch Fehlkäufe. Das zeigt eine jetzt veröffentlichte Analyse. (Überwachung, Datenschutz) Der…
Schadcode: Per Digitalradio das Auto lenken
Musik, Staumeldungen, Schadcode. Über den digitalen Sendestandard DAB können Angreifer Schadcode auf ein Auto übertragen und dessen System manipulieren. (Security, Technologie) Der ganze Artikel: Schadcode: Per Digitalradio das Auto lenken
Security: Zahlreiche Steam-Konten gehackt
Die Steam-Konten mehrerer Twitch-Streamer wurden offenbar von Unbekannten übernommen. Sie nutzen einen Fehler in der Anmeldefunktion aus. Valve hat bereits ein Update bereitgestellt. (Security, Steam) Der ganze Artikel: Security: Zahlreiche Steam-Konten gehackt
Password Hashing Competition: Hashfunktion Argon2 gewinnt Wettbewerb
In einem Wettbewerb ist nach neuen Hashfunktionen gesucht worden, die sich für das Hashen von Passwörtern eignen. Jetzt steht der Gewinner fest: Argon2, entwickelt von einem Team an der Universität Luxemburg. (Passwort, Applikationen) Der ganze Artikel: Password Hashing Competition: Hashfunktion…
Deep-Web-Studie: Wo sich die Cyberkriminellen tummeln
Eine Abteilung des IT-Sicherheitsunternehmens Trend Micro beobachtet seit Jahren das Deep Web auf der Suche nach bislang unbekannten Bedrohungen für seine Kunden. Eine neue Studie zeigt teils beunruhigende Trends auf. (Cybercrime, Studie) Der ganze Artikel: Deep-Web-Studie: Wo sich die Cyberkriminellen…
Malware: Abzocke mit gefälschten Blue Screens of Death
Gefälschte Blue Screens of Death sollen Windows-Nutzer dazu bringen, bei einem dubiosen technischen Support Hilfe zu holen. Von dort werden ihre Rechner nur noch weiter infiziert. (Security, Virus) Der ganze Artikel: Malware: Abzocke mit gefälschten Blue Screens of Death
Daybreak Games: John Smedley tritt wohl wegen Hackerangriffen zurück
Hat das Hackerkollektiv Lizard Squad den Chef von Daybreak Games (früher: Sony Online Entertainment) zum Rücktritt gebracht? Es wirkt so – zumindest hat John Smedley eine Auszeit angekündigt, nachdem er und seine Firma massiv durch Angriffe unter Druck gesetzt wurden.…
Security: Schwachstelle erlaubt lokale Rechteausweitung in OS X 10.10
Ein Fehler in Apples OS X 10.10.4 erlaubt es, sich administrative Privilegien zu verschaffen. Die Schwachstelle kann nur lokal ausgenutzt werden und wurde in der Beta von OS X 10.11 bereits behoben. (Yosemite, Malware) Der ganze Artikel: Security: Schwachstelle erlaubt…
Gerichtsurteil: Facebook kann Durchsuchungsbefehle nicht stoppen
Beim Schutz von Nutzerdaten hat Facebook eine Niederlage erlitten. Staatsanwälte dürfen massenhaft Daten von Nutzern beschlagnahmen, wenn sie einen richterlichen Beschluss dafür haben. (Facebook, Soziales Netz) Der ganze Artikel: Gerichtsurteil: Facebook kann Durchsuchungsbefehle nicht stoppen
Überwachung in Pakistan: Verschweigen ist Gold
Pakistan überwacht die Kommunikation seiner Bevölkerung mit großem Aufwand. Interne Dokumente zeigen, dass deutsche Firmen einen Teil der Technik lieferten. (Überwachung, Datenschutz) Der ganze Artikel: Überwachung in Pakistan: Verschweigen ist Gold
Autosteuerung gehackt: Fiat Chrysler schließt schwere Sicherheitslücke
Über das Internet können Hacker das Uconnect-System von Fiat-Chrysler übernehmen. Selbst die Lenkung und die Bremsen lassen sich damit manipulieren. (Security, Technologie) Der ganze Artikel: Autosteuerung gehackt: Fiat Chrysler schließt schwere Sicherheitslücke
Anonymisierung: Edward Snowden fordert mehr Schutz für Internetnutzer
Die Identität sollte im Internet von der Person nachhaltig getrennt werden: Diesen Appell richtete Edward Snowden an die Teilnehmer des 93. Treffens der Mitglieder der Internet Engineering Task Force und machte dazu auch einige Vorschläge. (Edward Snowden, Datenschutz) Der ganze…
Spionagesoftware: Drohnen sollen Geräte aus der Luft infizieren
Schnüffelsoftware aus der Luft: Geht es nach den Plänen des Hacking Teams und der Boeing-Tochter Insitu, sollen auch Drohnen künftig Spionagesoftware verteilen. (Hacking Team, Datenschutz) Der ganze Artikel: Spionagesoftware: Drohnen sollen Geräte aus der Luft infizieren
The Witcher 3: Verhext großer Patch auf Version 1.07 verfügbar
CD Projekt Red hat länger für die Programmierung des bislang größten Updates für The Witcher 3 benötigt, aber jetzt steht der rund 7,6 GByte große Patch bereit. Er bringt zahlreiche Änderungen unter anderem am Inventar. (The Witcher 3, Rollenspiel) Der…
Internetnutzung verschleiern: Proxyham angeschaut und nachgebaut
Zu Proxyham gibt es mittlerweile eine Reihe von Mythen und Verschwörungstheorien. Dabei erfordert das Konzept weder geheime Hardware noch spezielle Software. Einen Nachbau gibt es bereits. (Verschlüsselung, Netzwerk) Der ganze Artikel: Internetnutzung verschleiern: Proxyham angeschaut und nachgebaut
Hacking Team: Eine Spionagesoftware außer Kontrolle
Die geleakten Unterlagen des Hacking Teams offenbaren zwei erschreckende Fakten: Der lukrative Handel mit Spionagesoftware fördert eine Schattenwirtschaft, in der offenbar rechtliche Übertritte zum Alltag gehören – und diese werden wegen der Verflechtung mit staatlichen Auftraggebern auch stillschweigend geduldet. (Überwachung,…
Verschlüsselung: Der lange Abschied von RC4
Er ist angreifbar – und die NSA liest angeblich mit: Die Internet Engineering Taskforce hat den Einsatz des einst beliebtesten Verschlüsselungsalgorithmus RC4 untersagt. Doch Sicherheit lässt sich nicht einfach verordnen. (Verschlüsselung, Server) Der ganze Artikel: Verschlüsselung: Der lange Abschied von…
Informatikerin gewählt: Hansen neue Landesdatenschutzbeauftragte in Kiel
Die Hängepartei bei der Nachfolge von Thilo Weichert ist beendet: Der schleswig-holsteinische Landtag wählte mit großer Mehrheit seine Stellvertreterin an die Spitze des Unabhängigen Landesschutzzentrums. (Facebook, Vorratsdatenspeicherung) Der ganze Artikel: Informatikerin gewählt: Hansen neue Landesdatenschutzbeauftragte in Kiel
Poodle-Nachspiel: Mace und weitere Lücken in TLS-Servern
Cisco, F5, Juniper, Fortinet: Ein Sicherheitsforscher hat eine Reihe von TLS-Servern entdeckt, die den sogenannten Message Authentication Code (MAC) von Verbindungen nicht prüfen. Andere Serverimplementierungen prüfen eine Checksumme am Ende des Handshakes nicht. (Security, Server) Der ganze Artikel: Poodle-Nachspiel: Mace…
Cybercrime: Internationale Polizeiaktion hebt das Darkode-Forum aus
Sicherheitsbehörden sind in einer internationalen Aktion gegen den illegalen Online-Marktplatz Darkode vorgegangen. Das Untergrund-Forum ist vom Netz genommen worden, es hat weltweit Verhaftungen gegeben. (Security, Virus) Der ganze Artikel: Cybercrime: Internationale Polizeiaktion hebt das Darkode-Forum aus
Fluggastdatenspeicherung: EU-Parlament votiert für PNR-Datenbank
Die Pläne für eine europaweite Speicherung von Fluggastdaten haben eine weitere Hürde im Europaparlament genommen. Datenschützer kritisieren die Entscheidung des Innenausschusses als "Grundstein für die Totalüberwachung des Reiseverkehrs". (Vorratsdatenspeicherung, Datenschutz) Der ganze Artikel: Fluggastdatenspeicherung: EU-Parlament votiert für PNR-Datenbank
Anonymisierung: Hunderte gefälschte Webseiten im Tor-Netzwerk entdeckt
Im Tor-Netzwerk sind Hunderte gefälschte Webseiten entdeckt worden. Über diese könnten Dritte persönliche Daten abgreifen. (TOR-Netzwerk, Server-Applikationen) Der ganze Artikel: Anonymisierung: Hunderte gefälschte Webseiten im Tor-Netzwerk entdeckt
Recht auf Vergessen: Google veröffentlicht versehentlich Details zu Löschanträgen
Die überwiegende Mehrheit der Löschanträge bei Google bezieht sich auf private Informationen von Nutzern. Bei Politikern und Prominenten ist die Löschquote deutlich geringer, wie eine Auswertung von Zahlen aus Google-Quellcode ergibt. (Google, Datenschutz) Der ganze Artikel: Recht auf Vergessen: Google…
Windows: Microsoft reagiert schnell auf Zero-Day-Lücken
In seinen jetzt veröffentlichten Patches hat Microsoft gleich zwei Zero-Day-Lücken geschlossen, die vom Hacking Team verwendet wurden. Eine betrifft den Internet Explorer 11, die andere den Windows-Kernel. (Patchday, Server) Der ganze Artikel: Windows: Microsoft reagiert schnell auf Zero-Day-Lücken
Spionagesoftware: Hacking Team nutzt UEFI-Rootkit
Um seine Spionagesoftware permanent auf dem Rechner eines Opfers zu platzieren, nutzt das Hacking Team offenbar auch ein UEFI-Root-Kit. Damit lässt sich der Trojaner auch nach einer Neuinstallation des Betriebssystems wieder nutzen. (Hacking Team, Speichermedien) Der ganze Artikel: Spionagesoftware: Hacking…
Hacking Team: Ermittlungen gegen sechs ehemalige Angestellte
Italienische Strafverfolgungsbehörden haben Ermittlungen gegen sechs ehemalige Angestellte des Hacking Teams im Zusammenhang mit den jüngst geleakten Daten des Unternehmens aufgenommen. Die Mitarbeiter waren bereits zuvor in Verdacht geraten. (Hacking Team, Rechtsstreitigkeiten) Der ganze Artikel: Hacking Team: Ermittlungen gegen sechs…
IT-Sicherheit: Zero-Day-Lücke in Java 1.8 entdeckt
In der aktuellen Version 1.8 von Java gibt es eine bislang unbekannte Schwachstelle, die bereits aktiv ausgenutzt wird. Ziel der Angriffe mit der Zero-Day-Lücke sind Mitarbeiter staatlicher und militärischer Organisationen. (Java, Softwareentwicklung) Der ganze Artikel: IT-Sicherheit: Zero-Day-Lücke in Java 1.8…
Proxyham: Anonymisierung, die es nicht geben darf?
Ein US-Entwickler wollte im August den Proxyham vorstellen – Internetnutzer sollten sich damit vor Verfolgung schützen können. Doch plötzlich erklärt er das Projekt für tot. (Verschlüsselung, Mesh) Der ganze Artikel: Proxyham: Anonymisierung, die es nicht geben darf?