Kategorie: sicherheit Golem.de – Security

Studie: Docker-Images oft mit Sicherheitslücken

Die offiziellen Abbilder im sogenannten Docker-Hub enthielten in über 30 Prozent aller Fälle schwere Sicherheitslücken, heißt es in einer Studie. Darunter seien auch sehr schwerwiegende, die lange bekannt seien. (Security, Sicherheitslücke) Der ganze Artikel: Studie: Docker-Images oft mit Sicherheitslücken

Tox: Kostenloser digitaler Erpressungsdienst

Digitale Erpressung leicht gemacht: Die Ransomware wird kostenlos und individuell zusammengeklickt, die Tox-Macher verlangen dafür aber 30 Prozent des erpressten Geldes. (Malware, Virus) Der ganze Artikel: Tox: Kostenloser digitaler Erpressungsdienst

Security: Zwei neue Exploits auf Router entdeckt

Unsichere Router sind aktuell von gleich zwei Versionen von Malware bedroht. Die eine verteilt Spam über soziale Medien, die andere leitet Anfragen auf manipulierte Webseiten um. (Router, Virus) Der ganze Artikel: Security: Zwei neue Exploits auf Router entdeckt

US-Steuerbehörde: Hunderttausend Konten kompromittiert

Unbekannte haben sich Zugang zu über 100.000 Konten von Steuerzahlern in den USA verschafft – mit zuvor gestohlenen Zugangsdaten. Die US-Steuerbehörde hat ihren Onlinedienst vorübergehend deaktiviert. (Security, Server) Der ganze Artikel: US-Steuerbehörde: Hunderttausend Konten kompromittiert

Soziales Netzwerk Sociax: Das Facebook mit mehr Privatsphäre

Keine Weitergabe der Nutzerdaten und einfache Datenschutzeinstellungen: Das soziale Netzwerk Sociax macht vieles besser als das beliebte Facebook. Doch wie bei vielen anderen Alternativen fehlt etwas Entscheidendes. (Soziales Netz, Datenschutz) Der ganze Artikel: Soziales Netzwerk Sociax: Das Facebook mit mehr…

EDAQS Dice: Banknoten sollen mit RFID aus der Ferne entwertet werden

Nach einem Banküberfall oder der Lösegeldübergabe könnten Banken künftig das Bargeld einfach elektronisch entwerten. Möglich machen das ein RFID-Modul und ein Erfassungssystem, das ein österreichisches Unternehmen für Banknoten entwickelt hat. (RFID, Technologie) Der ganze Artikel: EDAQS Dice: Banknoten sollen mit…

Projekt Astoria: Algorithmen gegen Schnüffler im Tor-Netzwerk

Berechnung statt Zufall: Das Projekt Astoria soll es Schnüfflern künftig schwerer machen, Nutzer im Tor-Netzwerk zu identifizieren. Ein neuer Algorithmus soll die sicherste Route durch das Anonymisierungsnetzwerk berechnen, statt diese dem Zufall zu überlassen. (TOR-Netzwerk, Firefox) Der ganze Artikel: Projekt…

BND-Skandal: EU-Kommissar Oettinger testet Kryptohandy

Hat der US-Geheimdienst NSA die EU-Kommission ausspioniert? EU-Digitalkommissar Günther Oettinger verlangt darüber Auskunft von der Bundesregierung. Die Kommission ergreift schon einmal Vorsichtsmaßnahmen. (Günther Oettinger, Verschlüsselung) Der ganze Artikel: BND-Skandal: EU-Kommissar Oettinger testet Kryptohandy

Freedom Act: US-Senat lehnt Gesetz zur NSA-Reform ab

Noch bis Ende Mai 2015 darf die NSA die Telefondaten von Amerikanern erfassen, dann ist eigentlich ein neues Gesetz fällig. Allerdings hat der US-Senat nun mit knapper Mehrheit den Vorschlag zur Reform der Geheimdienste blockiert. (NSA, Vorratsdatenspeicherung) Der ganze Artikel:…

Angriff auf kritische Infrastrukturen: Bundestag, bitte melden!

Was könnte kritischer sein als die Infrastruktur der deutschen Volksvertretung? Der Hackerangriff auf den Bundestag zeigt: Das geplante IT-Sicherheitsgesetz muss auch für öffentliche Einrichtungen gefährliche Angriffe meldepflichtig machen. (Spionage, Malware) Der ganze Artikel: Angriff auf kritische Infrastrukturen: Bundestag, bitte melden!

Umfrage: US-Bürger misstrauen Regierung beim Umgang mit Daten

Viele US-Bürger glauben laut einer Umfrage nicht, dass Behörden mit ihren Kommunikationsdaten verantwortungsvoll umgehen. Trotzdem geht ein Großteil der Befragten ohne besondere Sicherheitsmaßnahmen online. (Spionage, Datenschutz) Der ganze Artikel: Umfrage: US-Bürger misstrauen Regierung beim Umgang mit Daten

Sabotagevorwurf: Witcher-3-Streit zwischen AMD und Nvidia

Erst zoffen sich die Grafikkartenhersteller AMD und Nvidia wegen Project Cars, jetzt streiten sich die Firmen wegen The Witcher 3 – für das der Hersteller CD Projekt Red immerhin einen PC-Patch und erste Erweiterungen veröffentlicht hat. (The Witcher 3, AMD)…

Geheimhaltung: IT-Experten wollen die NSA austricksen

Amerikanische Firmen müssen Stillschweigen bewahren, wenn sie mit Geheimdiensten kooperieren. Zwei Sicherheitsforscher haben nun ein Programm veröffentlicht, das die Unternehmen entlasten soll. (NSA, Verschlüsselung) Der ganze Artikel: Geheimhaltung: IT-Experten wollen die NSA austricksen

Logjam-Angriff: Schwäche im TLS-Verfahren gefährdet zehntausende Webseiten

Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden. Forscher vermuten, dass eine Variante dieses Angriffs für das NSA-Programm Turmoil verantwortlich sein könnte. (Perfect Forward Secrecy, Technologie) Der ganze…

NetUSB: Schwachstelle gefährdet zahlreiche Routermodelle

Ein Fehler in der NetUSB-Schnittstelle macht möglicherweise mehrere tausend Router von außen angreifbar. Für Modelle der Firma TP-Link werden bereits Updates erarbeitet. (Security, Netzwerk) Der ganze Artikel: NetUSB: Schwachstelle gefährdet zahlreiche Routermodelle

Safari: URL-Spoofing per Javascript

In Apples Browser Safari lässt sich mit wenig Javascript eine andere URL anzeigen als die tatsächlich angesurfte. So könnten Benutzer unwissentlich auf eine Webseite mit Malware umgeleitet werden. (Safari, Apple) Der ganze Artikel: Safari: URL-Spoofing per Javascript

Bordcomputer: Flugzeuge werden immer angreifbarer

Gefahr über den Wolken: Die Angst davor, dass Hacker in die Elektronik eines Flugzeuges eindringen könnten, wächst. Denn mit der zunehmenden Vernetzung der Maschinen steigt auch die Anzahl der Schwachstellen an Bord. (Chris Roberts, Virus) Der ganze Artikel: Bordcomputer: Flugzeuge…

Smartwatch: Großes Update für Apple Watch erwartet

Apple plant angeblich schon ein Software-Update für die Apple Watch, das mehr Sicherheit und neue Gesundheitsfunktionen für die Smartwatch verspricht. Zudem soll das Update der Uhr ermöglichen, als Fernbedienung für das Apple TV zu fungieren, für das dieses Jahr eine…

My Spy: Daten von Überwachungssoftware veröffentlicht

Unbekannte haben offenbar mehrere GByte Daten des Unternehmens My Spy veröffentlicht. Das Pikante dabei: Die Daten sollen von den fast 400.000 mit der Software Überwachten stammen. (Security, Server) Der ganze Artikel: My Spy: Daten von Überwachungssoftware veröffentlicht

Datenschützer: Facebook hat keinen Respekt vor Privatsphäre

Datenschützer aus Belgien fordern Facebook dazu auf, das Sammeln von Nutzerdaten einzuschränken. Sollte das Unternehmen nicht auf die Forderungen reagieren, könnte es zu rechtlichen Schritten kommen. (Facebook, Soziales Netz) Der ganze Artikel: Datenschützer: Facebook hat keinen Respekt vor Privatsphäre

Malware: Blackcoffee nutzt Forum für C&C-Vermittlung

Die Malware Blackcoffee hat Microsofts Technet-Webseite für die Vermittlung von IP-Adressen ihrer C&C-Server missbraucht. Angreifer müssen dazu die Forenserver noch nicht einmal kompromittieren. (Security, Virus) Der ganze Artikel: Malware: Blackcoffee nutzt Forum für C&C-Vermittlung

Ersatz für RC4: Expertengremium standardisiert Chacha20

Ein Expertengremium der Internet Research Task Force hat mit Chacha20 eine Stromchiffre als Ersatz für RC4 standardisiert. Genaue Regeln für die Verwendung in TLS stehen aber noch aus. (Verschlüsselung, Security) Der ganze Artikel: Ersatz für RC4: Expertengremium standardisiert Chacha20

United Airlines: Mit Bug Bounties um die Welt reisen

Wer Sicherheitslücken findet, fliegt: Die Fluggesellschaft United Airlines startet ein Bug-Bounty-Programm und zahlt mit Bonusmeilen statt Geld. Es darf jedoch nicht überall nach Schwachstellen gesucht werden. (Security, Server-Applikationen) Der ganze Artikel: United Airlines: Mit Bug Bounties um die Welt reisen

Virtualisierung: Venom-Lücke in Diskettentreiber von KVM und Xen

Ein Fehler im Diskettentreiber von QEMU kann in verschiedenen Virtualisierungslösungen zu einer Sicherheitslücke führen. Sie lässt sich selbst dann ausnutzen, wenn überhaupt kein virtuelles Diskettenlaufwerk genutzt wird. (Virtualisierung, Xen) Der ganze Artikel: Virtualisierung: Venom-Lücke in Diskettentreiber von KVM und Xen

Edge: Wie Microsoft seinen neuen Browser absichern will

Detailliert beschreibt Microsoft neue und bekannte Techniken, mit denen die Sicherheit des Edge-Browsers "fundamental" verbessert werden soll. Dabei hilft auch der Verzicht auf alte Technik des Internet Explorers. (Edge, Microsoft) Der ganze Artikel: Edge: Wie Microsoft seinen neuen Browser absichern…

Security: Wie Google Android sicher macht

HTTPS soll ausgemustert, Android sicherer werden, und es soll ein PGP-Plugin für Gmail geben: Google verstärkt seinen Einsatz im Bereich IT-Sicherheit enorm. Wir haben mit Googles IT-Sicherheitsexperten Stephan Somogyi darüber gesprochen. (Google, Gmail) Der ganze Artikel: Security: Wie Google Android…

Golem.de-Test mit Kaspersky: So sicher sind Fototerminals und Copyshops

Wie gefährlich ist es, mit beschreibbaren USB-Sticks und SD-Karten Fotos und Dateien ausdrucken zu lassen? Golem.de hat zusammen mit dem Sicherheitsunternehmen Kaspersky getestet, ob auch Windows-XP-Terminals ohne Virenscanner sicher sind. (Security, Datenschutz) Der ganze Artikel: Golem.de-Test mit Kaspersky: So sicher…

Rückrufaktion: Acer tauscht Notebook-Kabel wegen Brandgefahr aus

Weil sie im Betrieb überhitzen können, tauscht Computerhersteller Acer die Netzkabel bestimmter Notebooks aus. Ob Nutzer betroffen sind, können sie auf einer speziell eingerichteten Internetseite überprüfen. Andere Hersteller reagierten bereits früher. (Acer, Notebook) Der ganze Artikel: Rückrufaktion: Acer tauscht Notebook-Kabel…

Yubikey: Nie mehr schlechte Passwörter

Unser Autor hat 152 Onlinekonten, die er möglichst gut absichern will. Mit dem Passwortmanager Keepass und einem sogenannten Token – dem Yubikey Neo. Eine Anleitung. (Passwort, Smartphone) Der ganze Artikel: Yubikey: Nie mehr schlechte Passwörter

Jellyfish: Malware nistet sich in GPUs ein

Nutzt eine Malware den Prozessor einer Grafikkarte, ist sie nicht nur schwerer aufzuspüren, sondern kann auch die höhere Rechenleistung der GPU nutzen. Jellyfish will zeigen, dass solcher Schadcode funktioniert. (Malware, Virus) Der ganze Artikel: Jellyfish: Malware nistet sich in GPUs…

US-Bundesgericht: Millionenfaches Datensammeln ist illegal

Das anlasslose millionenfache Sammeln von Daten über US-Bürger durch die NSA ist nicht durch den Patriot Act gedeckt und somit illegal, entschied ein Bundesgericht in New York. Gestoppt wird die Telefonüberwachung vorerst aber nicht. (NSA, Datenschutz) Der ganze Artikel: US-Bundesgericht:…

Websicherheit: Erneut Cross-Site-Scripting-Lücke in WordPress entdeckt

In der Blog-Software WordPress ist erneut eine Cross-Site-Scripting-Sicherheitslücke gefunden worden. Ursache ist eine Beispieldatei eines Icon-Sets. Betroffen sind das Default-Theme Twenty Fifteen und das Jetpack-Plugin. (WordPress, Server-Applikationen) Der ganze Artikel: Websicherheit: Erneut Cross-Site-Scripting-Lücke in WordPress entdeckt

Malware: Rombertik zerstört den MBR

Es ist eine außergewöhnlich destruktive Malware: Rombertik überschreibt den MBR eines Rechners, wenn ihr die Enttarnung droht. Bleibt Rombertik unentdeckt, greift es Eingaben im Browser ab. (Malware, Virus) Der ganze Artikel: Malware: Rombertik zerstört den MBR

Tor Browser 4.5 angesehen: Mehr Privatsphäre für Surfer

Mit Version 4.5 des Tor Browser Bundles erhalten Nutzer mehr Privatsphäre beim Surfen und auch einen schnelleren Zugriff auf die Einstellungen. Wegen der tiefgreifenden Änderungen wird das automatische Update erst nach und nach übertragen. (TOR-Netzwerk, Firefox) Der ganze Artikel: Tor…

Verschlüsselung: Mozillas HTTP-Abschied wird konkreter

Der geplante volle Umstieg von HTTP auf das verschlüsselte HTTPS ist bei Mozilla nun offiziell. Die Umsetzung könnte Jahre dauern und soll zunächst nur für neue Funktionen gelten. Technisch solle dem aber nichts entgegenstehen, versichert Mozilla. (Mozilla, Technologie) Der ganze…

Unsicheres Plugin: Googles Passwort-Warnung lässt sich leicht aushebeln

Keine 24 Stunden, nachdem Google seine neue Chrome-Erweiterung zum Passwortschutz vorgestellt hat, haben IT-Sicherheitsforscher ihn bereits ausgehebelt. Kurz darauf veröffentlichte Google eine korrigierte Version des Plugins. (Security, Google) Der ganze Artikel: Unsicheres Plugin: Googles Passwort-Warnung lässt sich leicht aushebeln

Security: Die Makroviren kehren zurück

Sie galten als nahezu verschwunden, nun tauchen sie vermehrt wieder auf: Viren und Trojaner, die in Makros in Microsofts Office-Dokumenten versteckt sind. Microsoft selbst warnt jetzt wieder vor ihnen. (Security, Virus) Der ganze Artikel: Security: Die Makroviren kehren zurück

Voiceprint: Stimmenerkennung ist die neue Gesichtserkennung

Statt mit einem Passwort können sich Bankkunden mittlerweile mit ihrer Stimme am Telefon identifizieren. Akustische Biometriesysteme werden in immer mehr Firmen eingesetzt. Die Gefahr: Auch Geheimdienste und Staaten können auf die Technik zugreifen. (Security, Darpa) Der ganze Artikel: Voiceprint: Stimmenerkennung…

Mumblehard: Malware verwandelt Linux-Server in Spam-Bots

Eine schwer aufzuspürende Malware mit dem Namen Mumblehard schaltet Linux- und BSD-Server zu einem Botnet zusammen, über das Spam verbreitet wird. Die Zahl der infizierten Rechner soll in den letzten Wochen stark angestiegen sein. (Botnet, Virus) Der ganze Artikel: Mumblehard:…

Electronic Arts: Testumgebung für Battlefield Hardline geplant

Verbesserungen bei der Performance, Änderungen an der Waffenbalance und noch mehr bietet der erste größere Patch für Battlefield Hardline. Entwickler Visceral kündigt außerdem eine Testumgebung an, über die demnächst eine neue Map mit der Community entstehen soll. (Battlefield Hardline, Electronic…

Eve Online: Neuer Einstieg ins All

Mit seinem neuesten Update für Eve Online hat CCP den Auftakt für neue Piloten von Grund auf überarbeitet und setzt auf ein neues System. Aber auch erfahrenen Spielern bietet der Patch viele neue Funktionen. (Eve Online, MMORPG) Der ganze Artikel:…

Android: Tausende Apps akzeptieren gefälschte Zertifikate

Die Schwachstelle ist seit einem halben Jahr bekannt, doch noch immer können Tausende Android-Apps mit gefälschten Zertifikaten überlistet werden, verschlüsselte Verbindungen aufzubauen. Über diese können Zugangsdaten abgegriffen werden. (Security, Android) Der ganze Artikel: Android: Tausende Apps akzeptieren gefälschte Zertifikate

Telefoniefunktion: Whatsapp speichert Anrufe

Fragliche Funktion bei Whatsapp für Android: Wie ein Blogger berichtet, werden bei dem Messenger alle Telefonate über Whatsapp Calls aufgezeichnet und lokal abgespeichert. Das ist rechtlich bedenklich. (Whatsapp, Android) Der ganze Artikel: Telefoniefunktion: Whatsapp speichert Anrufe

Cross-Site-Scripting: Offene Sicherheitslücke in WordPress

Eine Cross-Site-Scripting-Sicherheitslücke gefährdet Nutzer von WordPress-Blogs. Einen Fix gibt es noch nicht. Laut dem Entdecker der Lücke wurden seine Warnungen von WordPress ignoriert. (WordPress, Server-Applikationen) Der ganze Artikel: Cross-Site-Scripting: Offene Sicherheitslücke in WordPress

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen. (Kaspersky, Virenscanner) Der ganze Artikel: HTTPS: Kaspersky ermöglicht Freak-Angriff

Malware: Apples Schutzmechanismen sind nahezu wirkungslos

Weder die in Apples OS X integrierten Schutzmechanismen noch Antivirensoftware verhindern effektiv die Installation oder Ausführung von Malware. Das demonstrierte ein IT-Sicherheitsexperte. (Apple, Virus) Der ganze Artikel: Malware: Apples Schutzmechanismen sind nahezu wirkungslos

Weißes Haus: Hacker konnten offenbar Obamas E-Mails lesen

Nach und nach kommen immer mehr Details über die Attacke auf Server des Weißen Hauses ans Licht. Die US-Regierung will die Hintermänner aber weiterhin nicht identifizieren. (Hacker, Microsoft) Der ganze Artikel: Weißes Haus: Hacker konnten offenbar Obamas E-Mails lesen

Bodyprint: Yahoo-Software verwandelt Touchscreen in Ohr-Scanner

Forscher von Yahoo Labs haben eine preisgünstige Alternative zu aufwändigen Fingerabdrucksensoren für Smartphones entwickelt. Sie verwenden bei ihrem System Bodyprint lediglich kapazitative Touchscreens, können dabei aber nur ganze Körperteile wie Ohren identifizieren. (Biometrie, Eingabegerät) Der ganze Artikel: Bodyprint: Yahoo-Software verwandelt…

Ebay: Magento-Shops stehen Angreifern offen

Eine kritische Sicherheitslücke in der aktuellen Version von Magento erlaubt Angreifern das Ausführen von beliebigem PHP-Code. Sorgen macht der unprofessionelle Umgang des Herstellers mit der Lücke. (Onlineshop, eBay) Der ganze Artikel: Ebay: Magento-Shops stehen Angreifern offen

Urteil: Dashcam-Aufnahme als Beweismittel zugelassen

Ein Amtsgericht hat erstmals Aufnahmen einer Dashcam in einem Strafverfahren zugelassen, wenngleich auch nur in einem besonderen Fall. Wer als Dashcam-Besitzer nun anlässlich des Urteils Hoffnung schöpft, sollte die Einzelheiten kennen. (Datenschutz, Rechtsstreitigkeiten) Der ganze Artikel: Urteil: Dashcam-Aufnahme als Beweismittel…

Bundesverwaltungsgericht: DE-CIX will gegen BND-Bespitzelung klagen

Der DE-CIX-Betreiber war bereits einmal von der Bundesregierung daran gehindert worden, über die BND-Abhörpraktiken mit der zuständigen G-10-Kommission zu sprechen. Jetzt ziehen die Betreiber vor das Bundesverwaltungsgericht. (NSA, Datenschutz) Der ganze Artikel: Bundesverwaltungsgericht: DE-CIX will gegen BND-Bespitzelung klagen

Darknet: Ein Schwarzmarkt für Sicherheitslücken

"The Real Deal" heißt eine neue Handelsplattform im Tor-Netzwerk. Auf ihr sollen vor allem Angriffswerkzeuge für kriminelle Hacker verkauft werden. (TOR-Netzwerk, Technologie) Der ganze Artikel: Darknet: Ein Schwarzmarkt für Sicherheitslücken

Cross-Site-Scripting: Zahlreiche WordPress-Plugins verwenden Funktion fehlerhaft

Eine schlecht dokumentierte Funktion der WordPress-API ist von zahlreichen populären Plugins fehlerhaft verwendet worden. Der Fehler führt zu Cross-Site-Scripting-Lücken: Betroffen sind unter anderem das Jetpack-Plugin, die Plugins von Yoast und das All-in-one-SEO-Plugin. (WordPress, Technologie) Der ganze Artikel: Cross-Site-Scripting: Zahlreiche WordPress-Plugins…

Twitter: Direktnachrichten von allen an alle

Twitter-Nutzer können private Nachrichten jetzt auch von Nicht-Followern erhalten. Die Funktion muss in den Privatsphäre-Einstellungen aktiviert werden. (Twitter, Spam) Der ganze Artikel: Twitter: Direktnachrichten von allen an alle

Evil Jpegs: Foto-Upload schleust Schadcode ein

Fotos im Jpeg-Format werden beim Hochladen auf manche Webserver nur unzureichend geprüft. Darüber lässt sich Schadcode einschleusen und so unter Umständen ein gesamtes Netzwerk infiltrieren. (Security, Server) Der ganze Artikel: Evil Jpegs: Foto-Upload schleust Schadcode ein