Kategorie: sicherheit heise Security

Cloud Computing: Microsoft veröffentlicht Cloud App Security

Laut Microsoft setzen die Mitarbeiter in den meisten Unternehmen Cloud-Apps ein – unabhängig davon, ob die Verantwortlichen das wollen. Damit Administratoren die Kontrolle zurückgewinnen hat der Konzern nun einen neuen Dienst veröffentlicht. Der ganze Artikel: Cloud Computing: Microsoft veröffentlicht Cloud…

IETF-Tagung: Neue Vorschläge zum Sichern des Mailtransports

Mailserver hinken sicherheitsmäßig immer noch hinter Webservern her, wie ein TLS-Check der IHK Stuttgart jüngst verdeutlichte. Mailprovider haben sich nun zusammengetan, um bei der IETF mit "Strict Transport Security" voranzukommen. Der ganze Artikel: IETF-Tagung: Neue Vorschläge zum Sichern des Mailtransports

Türkei leitet Ermittlungen wegen geleakten Personendaten ein

Nach der Veröffentlichung von fast 50 Millionen Daten zu Bürgern der Türkei hat die Staatsanwaltschaft nun Ermittlungen eingeleitet. Außerdem sollen Daten in Zukunft gesetzlich besser geschützt werden. Der ganze Artikel: Türkei leitet Ermittlungen wegen geleakten Personendaten ein

Angriffe auf Flash Player: Notfall-Patch in Sicht

Aktuell warnt Adobe vor Attacken, die eine Sicherheitslücke in Flash unter Windows 7 und Windows XP ausnutzen. Ein Patch soll in Arbeit sein; die aktuelle Version ist aber offensichtlich auch schon teilweise abgesichert. Der ganze Artikel: Angriffe auf Flash Player:…

WhatsApp: Verschlüsselung für alle freigeschaltet

WhatsApp verschlüsselt ab sofort sämtliche Kommunikation auf allen Plattformen, wenn beide Gesprächspartner die aktuelle Version installiert haben. Damit wird WhatsApp auf einen Schlag zum meistgenutzten Krypto-Messenger. Der ganze Artikel: WhatsApp: Verschlüsselung für alle freigeschaltet

Admin der Silk Road 2.0 bekennt sich schuldig

Ein 26-jähriger US-Amerikaner hat sich bekannt, als Admin und rechte Hand des Betreibers beim Drogenmarktplatz Silk Road 2.0 gearbeitet zu haben. Jetzt warten wohl acht Jahre Haft auf ihn. Der ganze Artikel: Admin der Silk Road 2.0 bekennt sich schuldig

iX Live-Webinar: Docker – Anwendungscontainer im Cluster

Das ca. 90-minütige Webinar richtet sich an fortgeschrittene Docker-Anwender, die ihre Container über mehrere Hosts im Cluster verteilen wollen. Anhand von Live-Demos werden die Docker Batteries „Network“, „Swarm“, „Volume“ und „Compose“ vorgestellt. Der ganze Artikel: iX Live-Webinar: Docker – Anwendungscontainer…

Hintergrund: Das kriminelle Superhirn hinter TrueCrypt

Paul Calder LeRoux schrieb E4M, das Programm auf dem der Quellcode von TrueCrypt beruht. LeRoux war außerdem ein milliardenschwerer Drogen- und Waffenhändler. Mehrere Menschen sollen auf seinen Befehl hin getötet worden sein. Der ganze Artikel: Hintergrund: Das kriminelle Superhirn hinter…

VNC-Roulette – was wollen Sie fernsteuern?

Ein Sicherheitsproblem, das es eigentlich nicht geben sollte und trotzdem: Industrielle Steurungssysteme, Linux-Desktops, Spammer auf Facebook – es gibt fast nichts, was man nicht entdecken kann, wenn man einfach nach offenen VNC-Servern sucht. Der ganze Artikel: VNC-Roulette – was wollen…

Trend-Micro-Produkte öffneten triviale Hintertür

Antiviren-Software soll das System vor bösartiger Software schützen. Immer öfter stellt sich jedoch heraus, dass sie selbst als Einfallstor dienen kann. Ein Sicherheitsexperte demonstriert das zum wiederholten Mal mit Trend Micros Security-Produkten. Der ganze Artikel: Trend-Micro-Produkte öffneten triviale Hintertür

Ab nächster Woche auch in Ihrer Nähe: heise Security auf Tour

Auf der Konferenz "Schutz vor Spionen, Dieben und anderen dunklen Mächten" bekommen Administratoren, Security-Verantwortliche und Datenschützer nicht nur einen Überblick zur Bedrohungslage sondern auch praktische Hilfestellung für wirksamen Schutz. Der ganze Artikel: Ab nächster Woche auch in Ihrer Nähe: heise…

Auch Google soll dem FBI helfen, Smartphones zu knacken

Bisher stand Apple im Rampenlicht wenn es darum geht, dass US-Strafermittler an Daten in gesperrten Smartphones gelangen wollen. Die Bürgerrechtler der ACLU ziehen nun Google auch dort hinein. Der ganze Artikel: Auch Google soll dem FBI helfen, Smartphones zu knacken

Microsoft zahlt für Hack 100.000 US-Dollar an deutsche Firma

Nicht nur Geheimdienste und andere Spione zahlen Top-Prämien für ausnutzbare Sicherheitslücken. Auch Firmen wie Microsoft lassen sich solche Informationen einiges kosten. 100.000 US$ bekam ein Deutscher gerade für einen voll funktionsfähigen IE-Exploit. Der ganze Artikel: Microsoft zahlt für Hack 100.000…

Der Liebling aller Cyber-Kriminellen: Flash

In den Top-15 der am meisten genutzten Sicherheitslücken finden sich allein 13 Schwachstellen in Flash, berichten die Antiviren-Experten der finnischen Firma F-Secure. Der ganze Artikel: Der Liebling aller Cyber-Kriminellen: Flash

l+f: Trocknende Farbe als Videospiel, Steam sei Dank

Bei Steam veröffentlichte Spiele unterliegen einer Prüfung durch Valve …eigentlich. Ein findiger Hacker hat sein RPG "Schau Farbe beim Trocknen zu" trotzdem in den Store bekommen. Der ganze Artikel: l+f: Trocknende Farbe als Videospiel, Steam sei Dank

JavaScript: Sicherheitslücke im Node.js-Paketmanager NPM

Bereits im Januar hat Google-Mitarbeiter Sam Saccone eine Schwachstelle im Paketmanager NPM entdeckt, die eine Verbreitung von Schadcode ermöglicht. Kurz darauf informierte er das NPM-Team, das jetzt eine Stellungsnahme veröffentlichte. Der ganze Artikel: JavaScript: Sicherheitslücke im Node.js-Paketmanager NPM

US-Regierung: Wir haben das iPhone ohne Apple geknackt

Die US-Regierung hat nach eigenen Angaben das verschlüsselte iPhone eines toten Terroristen geknackt. Apples Hilfe war also doch nicht notwendig. Der grundsätzliche Konflikt Apple vs. FBI ist aber nicht beigelegt. Der ganze Artikel: US-Regierung: Wir haben das iPhone ohne Apple…

Deutsche Hoster vermehrt im Fokus von Cyberkriminellen

Immer stärker nutzen Cyberkriminelle die technisch hochentwickelten Internet-Infrastrukturen der ersten Welt. Immer beliebter werden bei ihnen deutsche Hoster zum Verteilen ihrer Schadsoftware. Der ganze Artikel: Deutsche Hoster vermehrt im Fokus von Cyberkriminellen

DDoS gegen Banken: USA klagen iranische Hacker an

Die US-Regierung hat Anklage gegen sieben Iraner erhoben, die hinter mehreren DDoS-Angriffen auf den US-Finanzsektor stecken sollen. Einer der Angeklagten soll sch Zugriff auf die Steuersysteme eines Staudamms verschafft gaben. Der ganze Artikel: DDoS gegen Banken: USA klagen iranische Hacker…

Bösartige Repositories können Schadcode über Git ausführen

Zwei Sicherheitslücken, welche die Git-Entwickler inzwischen geschlossen haben, ermöglichen Angriffe auf ungepatchte Git-Server und -Clients. Angreifer können so Schadcode einschleusen und ausführen. Der ganze Artikel: Bösartige Repositories können Schadcode über Git ausführen

Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab

Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann. Der ganze Artikel: Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab

Facebook warnt vor Identitätsdiebstahl

Facebook will gefälschte Profile automatisch erkennen und Betroffene informieren. Opfer von Identitätsdiebstahl können die betroffenen Profile überprüfen und sperren lassen. Der ganze Artikel: Facebook warnt vor Identitätsdiebstahl

Bundes-Anschub für De-Mail? Eine Bestandsaufnahme

Der 24. März ist der Stichtag, an dem jede obere Bundesbehörde nach den Vorgaben des e-Government-Gesetzes verpflichtet ist, im De-Mail-System erreichbar zu sein. Das sind längst nicht alle. Der ganze Artikel: Bundes-Anschub für De-Mail? Eine Bestandsaufnahme

Apple: Neue Zwei-Faktor-Authentifizierung jetzt für alle

Die in iOS 9 und OS X 10.11 integrierte Schutzfunktion soll verhindern, dass sich Nutzer unwiederbringlich aus ihrem eigenen Account aussperren können – wie bei der bisherigen "zweistufigen Authentifizierung" möglich. Der ganze Artikel: Apple: Neue Zwei-Faktor-Authentifizierung jetzt für alle

Antiviren-Software als Keylogger missbraucht

Comodos Antiviren-Software enthält einen Emulator, der bösartiges Verhalten von verdächtiger Software aufdecken soll. Dummerweise reichte der viele Funktionsaufrufe ans echte Windows durch – mit Systemrechten! Der ganze Artikel: Antiviren-Software als Keylogger missbraucht

Erpressungs-Trojaner Surprise verbreitet sich anscheinend über TeamViewer

Die neu gesichtete Ransomware Surprise soll Windows-Computer nicht per Drive-by-Download oder E-Mail-Anhang infizieren, sondern über die Fernwartungssoftware TeamViewer. Dafür missbrauchen die Kriminellen offensichtlich gekaperte Accounts. Der ganze Artikel: Erpressungs-Trojaner Surprise verbreitet sich anscheinend über TeamViewer

Samba-Entwickler warnen vor Lücke auch in Windows

Badlock heißt eine kritische Sicherheitslücke, die Samba-Entwickler in ihrer eigenen Software, aber auch in Windows entdeckt haben. Sie warnen die Betreiber solcher Server eindringlich, am 12. April Zeit für das Einspielen von Patches einzuplanen. Der ganze Artikel: Samba-Entwickler warnen vor…

iMessage-Sicherheitslücke offenbart Fehler in Apples Krypto-Infrastruktur

Professor Matt Green von der Johns-Hopkins-Universität hat Details zu dem von ihm entdeckten Angriff auf Apples Messenger vorgestellt. Er empfiehlt Apple, die eigene Krypto aufzugeben und Moxie Marlinspikes Signal-Verschlüsselung zu verwenden. Der ganze Artikel: iMessage-Sicherheitslücke offenbart Fehler in Apples Krypto-Infrastruktur

Apple vs. FBI: Anhörung plötzlich vertagt

Der Showdown zwischen Apple und FBI vor Gericht ist kurzfristig vertagt worden. Denn das FBI möchte nun testen, ob es das iPhone aus San Bernardino auch ohne Apples Hilfe knacken kann. Der ganze Artikel: Apple vs. FBI: Anhörung plötzlich vertagt

Office für Mac: Microsoft veröffentlicht Sicherheits-Updates

Microsoft hat Updates für die OS-X-Versionen von Office 2011 und Office 2016 veröffentlicht, die eine kritische Schwachstelle schließen sollen. Die neue Version der Office-Suite baut die Sprachen-Unterstützung aus. Der ganze Artikel: Office für Mac: Microsoft veröffentlicht Sicherheits-Updates

Pwn2Own 2016: Hacker-Wettbewerb zahlt 460.000 US-Dollar aus

Sicherheitsforscher haben 21 Zero-Day-Lücken in OS X, Windows und verschiedenen Webbrowsern gefunden. Einmalig in der Geschichte des Pwn2Own-Wettstreits: Alle erfolgreichen Attacken statteten die Angreifer mit System-Rechten aus. Der ganze Artikel: Pwn2Own 2016: Hacker-Wettbewerb zahlt 460.000 US-Dollar aus

iOS: Sicherheitsforscher finden Lücke in iMessage-Verschlüsselung

Die Verschlüsselung von iMessage-Nachrichten kann mit einem Brute-Force-Angriff ausgehebelt werden, wie Forscher der Johns-Hopkins-Universität herausfanden. Die Lücke ist in aktuellen iOS-Versionen bereits teilweise gefixt. Der ganze Artikel: iOS: Sicherheitsforscher finden Lücke in iMessage-Verschlüsselung

ProtonMail hat Betastatus verlassen

Später als vorgesehen öffnet ProtonMail seinen kostenlosen, verschlüsselnden Mail-Service. Außerdem sind nun Apps für Android und iOS erhältlich, Der ganze Artikel: ProtonMail hat Betastatus verlassen

Unplanmäßiger Android-Patch und noch einmal Stagefright

Knapp drei Wochen nach dem planmäßigen März-Update schließt Google eine Sicherheitslücke in Android, mit der sich Angreifer Root-Rechte erschleichen können. Derweil wurde ein weiterer Stagefright-Exploit bekannt. Der ganze Artikel: Unplanmäßiger Android-Patch und noch einmal Stagefright

Schweizer Parlament stimmt Verschärfung des Überwachungsgesetz zu

Die umstrittene Revision des Schweizer Überwachungsgesetz (BÜPF) hat die letzten parlamentarischen Hürden genommen – das Gesetz erlaubt unter anderem den Einsatz von Staatstrojanern. Die Piratenpartei hat bereits ein Referendum angekündigt. Der ganze Artikel: Schweizer Parlament stimmt Verschärfung des Überwachungsgesetz zu

DDoS-Attacken auf Schweizer Websites

In der Schweiz gab es in der vergangenen Woche eine Reihe von DDoS-Angriffen auf Online-Shops, die Schweizerischen Bundesbahnen und Finanzinstitute. In einem Fall wurden offenbar über 9000 Euro an die Erpresser gezahlt. Der ganze Artikel: DDoS-Attacken auf Schweizer Websites

Let’s Encrypt tritt CA/Browser Forum bei

Der nächste Schritt hin zu einer anerkannten Zertifizierungsstelle ist getan: Als Mitglied im CA/Browser Forum bewegt sich Let’s Encrypt nun auf Augenhöhe mit Comodo, Symantec & Co. Der ganze Artikel: Let’s Encrypt tritt CA/Browser Forum bei

BSI veröffentlicht Anforderungskatalog für Cloud Computing

Anhand des Katalogs können Kunden von Cloud-Dienstleistern herausfinden, wie es um die Informationssicherheit in einer Cloud steht. Aber auch Anbieter solcher Dienste können sich damit etwa auf eine anstehende Zertifizierung vorbereiten. Der ganze Artikel: BSI veröffentlicht Anforderungskatalog für Cloud Computing

ADAC: Viele aktuelle PKW-Modelle über Funk knackbar

Durch "Keyless Entry" kann man ins Auto steigen und den Motor starten, ohne den Schlüssel zu benutzen. Mit der passenden Hardware können das allerdings auch Autodiebe. Alle 24 vom ADAC untersuchten Pkw-Modelle waren dafür anfällig. Der ganze Artikel: ADAC: Viele…

AceDeceiver: iOS-Trojaner nutzt Schwachstellen in Apples DRM

Angreifern ist es einer Sicherheitsfirma zufolge gelungen, Schad-Software mehrfach ungehindert in den App Store zu bringen. Durch Schwachpunkte in Apples DRM FairPlay könne die Malware zudem auf iPhones gelangen – ohne Enterprise-Zertifikat. Der ganze Artikel: AceDeceiver: iOS-Trojaner nutzt Schwachstellen in…

HTTPS: 77 Prozent aller Google-Anfragen verschlüsselt

In seinem Transparenzbericht dokumentiert Google nun auch den Prozentsatz von Transportverschlüsselung bei seinen eigenen Diensten und Anfragen an Server der Suchmaschine. Vor allem der hohe Wert bei der Verteilung von Werbung überrascht. Der ganze Artikel: HTTPS: 77 Prozent aller Google-Anfragen…

BSI erteilt vorläufige Zulassung für das SecuTABLET

Das SecuTABLET ermöglicht den Anwendern sicheres mobiles Arbeiten und persönliche Nutzung unter Einhaltung der hohen Sicherheitsanforderungen der deutschen Bundesbehörden – und das erstmals auf einem Android-Tablet. Der ganze Artikel: BSI erteilt vorläufige Zulassung für das SecuTABLET

100.000 US-Dollar für Chromebook-Hack

Google hat die Prämie für einen Hack des Chromebooks verdoppelt. Zudem lockt das Unternehmen Sicherheitsforscher mit weiteren Bug-Bounty-Belohnungen. Der ganze Artikel: 100.000 US-Dollar für Chromebook-Hack