Schlagwort: Golem.de – Security

Blockverschlüsselung: Verschlüsselungsmodus OCB2 gebrochen

Im Verschlüsselungsmodus OCB2 wurden in kurzer Abfolge zahlreiche Sicherheitsprobleme gefunden. Breite Verwendung findet dieser Modus nicht, obwohl er Teil eines ISO-Standards ist. (Verschlüsselung, Applikationen)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Blockverschlüsselung: Verschlüsselungsmodus OCB2 gebrochen

Trojaner: Der Banking-Trojaner Trickbot hat neue Tricks gelernt

Vor zwei Jahren hatte es Trickbot nur auf Bankdaten abgesehen. Nun ist eine neue Variante des Trojaners im Umlauf, die auch Passwörter aus anderen Anwendungen abgreifen kann. (Malware, Spam)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Mordprozess: Amazon will Alexa-Aufzeichnungen nicht preisgeben

In einem Mordprozess weigert sich Amazon, Alexa-Sprachaufzeichnungen preiszugeben. Ein Gericht will mit den Aufnahmen einen Doppelmord aufklären. (Amazon Alexa, Amazon)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Mordprozess: Amazon will Alexa-Aufzeichnungen nicht preisgeben

IT-Sicherheit: US-Militär will Wissen über Schadsoftware teilen

Die US Cyber National Mission Force hat begonnen, gefundene Schadsoftware auf Virustotal bereitzustellen. Das erste hochgeladene Sample soll von der mutmaßlich russischen Hackergruppe APT28 stammen. (Malware, Applikationen)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: IT-Sicherheit: US-Militär…

Virtualisierung: Update behebt Schwachstelle in VMware Player und Workstation

Eine Sicherheitslücke betrifft die beliebten Virtualisierungsprogramme VMware Player und Workstation. Angreifer können darüber Code auf dem Hostsystem ausführen, was die Lücken recht kritisch macht. Das von VMware verteilte Update sollte schnell installiert werden. (VMware, Virtualisierung)   Advertise on IT Security…

E-Mail-Verschlüsselung: „90 Prozent des Enigmail-Codes sind von mir“

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden. (GPG, Thunderbird)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: E-Mail-Verschlüsselung:…

DSGVO: Sicherheitslücke in WordPress-Addon ermöglicht Admin-Rechte

Durch eine fehlende Identitätsabfrage in einem DSGVO-Plugin für WordPress können sich Angreifer Administratorkonten für Webseiten anlegen und dann beliebige Schadsoftware verteilen. Die Lücke wird bereits ausgenutzt. (WordPress, PHP)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: DSGVO:…

Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. In neueren Versionen ist die Lücke etwas weniger schlimm, einen Fix gibt es bisher nicht. (TLS, Sound-Hardware)   Advertise on…

Single Sign-on: So funktioniert der neue Login-Standard NetID

Die Single-Sign-on-Lösung NetID ist auf einigen Dutzend Internetseiten nun verfügbar. Der Datenaustausch zwischen den einzelnen Diensten ist transparent. Hat allerdings für Nutzer einen Nachteil. (Identitätsmanagement, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Single Sign-on: So…

Statcounter/Gate.io: Gehacktes Statistiktool klaut Bitcoin

Der Webseiten-Statistikanbieter Statcounter wurde gehackt. Dabei fügten die Angreifer Javascript-Code ein, der auf Kunden der Bitcoin-Plattform Gate.io abzielte. (Bitcoin, Technologie)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Statcounter/Gate.io: Gehacktes Statistiktool klaut Bitcoin

Oracle: Verärgerter Forscher veröffentlicht Exploit für Virtualbox

Ein Sicherheitsforscher hat eine Zero-Day-Lücke für Virtualbox veröffentlicht, die einen Ausbruch aus dem Gastsystem auf das Host-System ermöglicht. Der Forscher sei frustriert darüber, wie der Hersteller mit Bug Bountys und Security-Forschung umgehe, heißt es als Begründung. (VirtualBox, Oracle)   Advertise…

US-Zwischenwahlen: Was der Erfolg der Demokraten für die IT-Konzerne bedeutet

Ein gespaltener US-Kongress könnte dazu führen, dass Gesetze zur Kontrolle von Google oder Facebook in den USA keine Mehrheit finden. Doch das könnte für die IT-Konzerne sogar zum Nachteil werden. (Datenschutz, Google)   Advertise on IT Security News. Lesen Sie…

Security: Wireguard-VPN veröffentlicht experimentelle iOS-App

Die vergleichsweise neue VPN-Technik Wireguard entsteht unter anderem für den Linux-Kernel und soll dort endlich eingepflegt werden. Das zuständige Team hat darüber hinaus nun ein erste experimentelle Version einer Wireguard-App für iOS vorgestellt. (VPN, Verschlüsselung)   Advertise on IT Security…

SSD: Forscher umgehen Passwörter bei verschlüsselten Festplatten

Bei manchen SSDs mit Hardwareverschlüsselung konnten Forscher die Firmware so manipulieren, dass sie beliebige Passwörter akzeptierte. Das war nicht das einzige Problem, das sie fanden. (Solid State Drive, Speichermedien)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

IT-Sicherheit: So unsicher sind die US-Wahlen

Wahlen gelten in den USA seit 2017 als „kritische Infrastruktur“. Dafür zu sorgen, dass sie vor Hackerangriffen geschützt werden, hat also höchste Priorität. Doch nach wie vor sind Wahlcomputer schlecht geschützt. (Wahlcomputer, Security)   Advertise on IT Security News. Lesen…

Linux-Kernel: Google verbessert eigenen Ersatz für NSA-Chiffre

Eigentlich sollte die NSA-Chiffre Speck im Linux-Kernel landen. Doch Google hat seine Unterstützung dafür zurückgezogen und selbstständig einen Ersatz erstellt. Den zugrundeliegenden Modus hat Google nun abermals angepasst und damit massiv beschleunigt. (Linux-Kernel, Verschlüsselung)   Advertise on IT Security News.…

Remote Code Execution: Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten – und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat. (TÜV, Perl)   Advertise…

Smart Grid: Der Strom muss schlauer werden

Die Kohlendioxid-emittierenden Kraftwerke sollen abgeschaltet und durch Kraftwerke ersetzt werden, die Strom aus erneuerbaren Quellen erzeugen. Dafür müssen die Stromnetze jedoch angepasst werden. Neuartige IT-Lösungen bringen die Energiewende im europäischen Verbund voran. (Smart Grid, Computer)   Advertise on IT Security…

Security: Google-Anmeldung fordert künftig eingeschaltetes Javascript

Um Nutzer vor eventuellen Angriffen zu schützen, führt Google einen Prüfalgorithmus ein, der vor der Anmeldung mit dem Konto ausgeführt wird. Das erfordert jedoch, dass Kunden dazu Javascript einschalten. (Google, Cloud Computing)   Advertise on IT Security News. Lesen Sie…

Apple-Sicherheitslücken: Facetime-Anruf kann zur Code-Ausführung genutzt werden

Eine Sicherheitslücke ermöglicht Angreifern das Ausführen von Schadcode auf iOS-Geräten der Opfer per Facetime-Anruf. Apple hat die Lücke geschlossen, ebenso wie verschiedene Kernel-Bugs, einen Fehler in einem wichtigen Primzahlentest in MacOS und iOS und eine Spectre-Variante behoben. (Sicherheitslücke, Apple)  …

Microsoft: Windows Defender wird durch Sandbox sicherer

Microsoft bewirbt seine Antivirensoftware Windows Defender als erste kostenlose Software mit Sandbox. Dadurch ist sie vom Betriebssystem abgeschottet, was eine Ausnutzung von erhöhten Rechten erschwert, die ein solches Programm benötigt. Momentan befindet sich die Funktion noch in einer Testphase. (Virenscanner,…

Ohne Vorratsdatenspeicherung: Bundesregierung soll E-Privacy-Reform vorantreiben

16 zivilgesellschaftliche Organisationen und Verbände haben Wirtschaftsminister Peter Altmaier und mehrere seiner Kollegen aufgefordert, in Brüssel die geplante E-Privacy-Verordnung voranzutreiben und so gegen „aufdringliche und missbräuchliche Praktiken auf dem digitalen Markt vorzugehen“. (Vorratsdatenspeicherung, Datenschutz)   Advertise on IT Security News.…

Polizei Berlin: Datenschutzbeauftragte mahnt schärfere Passwortvorschrift an

Nach Beschwerden über eine Sicherheitslücke in der Berliner Polizeidatenbank Poliks hat die Berliner Datenschutzbeauftragte Maja Smoltczyk das System überprüft und die interne Passwortrichtlinie beanstandet. (Polizei, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Polizei Berlin: Datenschutzbeauftragte…

Metadaten: Signal-Messenger verbirgt Absender

Der verschlüsselte Messenger Signal unterstützt in der Betaversion ein Feature, bei dem Nachrichten so verschickt werden, dass der Server nicht weiß, von wem die Nachricht stammt. Wer der Absender ist, sieht nur der Empfänger. (Signal, Instant Messenger)   Advertise on…

Krankenkassen: Vivy-App gibt Daten preis

Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden. (Medizin, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Krankenkassen: Vivy-App gibt…

Linux: Sicherheitslücke in Systemd

Mit präparierten Paketen kann im DHCPv6-Client von Systemd ein Pufferüberlauf erzeugt werden. Ubuntu ist in der Standardinstallation betroffen. Ein Update steht zur Verfügung. (Systemd, Ubuntu)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Linux: Sicherheitslücke in Systemd

Sicherheitslücke: Steuerung von Bau-Kran lässt sich übernehmen

Eine Sicherheitslücke in der kabellosen Kransteuerung Telecrane F25 ermöglicht es, Signale mitzuschneiden und mit diesen anschließend den Kran fernzusteuern. Ein Sicherheitsupdate steht bereit. (Sicherheitslücke, Mobil)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitslücke: Steuerung von Bau-Kran…

Linux und BSD: Sicherheitslücke in X.org ermöglicht Root-Rechte

Eine Sicherheitslücke im Displayserver X.org erlaubt unter bestimmten Umständen das Überschreiben von Dateien und das Ausweiten der Benutzerrechte. Der passende Exploit passt in einen Tweet. (Sicherheitslücke, OpenBSD)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Linux und…

Sicherheitslücke: Daten von 185.000 weiteren British-Airways-Kunden betroffen

Von dem Datenleck im Buchungssystem von British Airways waren deutlich mehr Kunden betroffen als bisher bekannt. Die Fluggesellschaft rät betroffenen Kunden, ihre Bank zu kontaktieren. Kreditkarten werden in diesem Fall häufig komplett ausgetauscht. (Sicherheitslücke, Datenschutz)   Advertise on IT Security…

Studie: Silicon Valley dient als rechte Hand des großen Bruders

Die US-Hightech-Branche verdingt sich zunehmend als technischer Dienstleister für staatliche Big-Brother-Projekte wie die Überwachung und Abschiebung von Immigranten, heißt es in einem Bericht von Bürgerrechtlern. Amazon und Palantir verdienten damit am meisten. (Datenschutz, IBM)   Advertise on IT Security News.…

Datenskandal: Britische Datenschutzbehörde verurteilt Facebook

Im Skandal um Cambridge Analytica hat die britische Datenschutzbehörde die Höchststrafe von 500.000 Pfund verhängt. Facebook habe einen schweren Verstoß gegen geltendes Recht zugelassen. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenskandal: Britische…

Cambridge-Analytica-Skandal: EU-Parlament fordert schärfere Kontrolle von Facebook

Die EU-Abgeordneten haben als Reaktion auf die Datenschutzverstöße von Facebook und Cambridge Analytica Behörden angehalten, ihre Aktivitäten auf dem Netzwerk zu überdenken. Profiling zu politischen Zwecken wollen sie verbieten. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie…

Wolf Intelligence: Trojanerfirma aus Deutschland lässt interne Daten im Netz

Wolf Intelligence verkauft Schadsoftware an Staaten. Eine Sicherheitsfirma hat sensible Daten des Unternehmens öffentlich zugänglich im Internet gefunden. In einer Präsentation wurden die Funde gezeigt. (Trojaner, Virus)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Wolf Intelligence:…

Linux-Kernel: Mit Machine Learning auf der Suche nach Bug-Fixes

Wichtige Patches, die in stabilen Kernel-Versionen landen sollten, werden von der Linux-Community oft vergessen oder übersehen. Abhilfe schaffen soll offenbar Machine Learning, wie die Entwickler Sasha Levin und Julia Lawall erklären. (Linux-Kernel, Linux)   Advertise on IT Security News. Lesen…

Websicherheit: Onlineshops mit nutzlosem TÜV-Siegel

Ein Siegel des TÜV Süd soll sichere Shopping-Webseiten garantieren. Ein falsches Versprechen: Wir fanden mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel – und auf der TÜV-Webseite selbst – sehr banale Sicherheitslücken. (TÜV, Onlineshop)   Advertise on IT Security News.…

Android: Google schreibt Sicherheitsupdates für zwei Jahre vor

Um zu erreichen, dass Hersteller von Android-Smartphones Googles monatliche Sicherheitsupdates auch auf ihre Geräte bringen, soll Google eine neue Vorgabe machen: Die Updates müssen zwei Jahre lang regelmäßig verteilt werden, sonst droht Google mit Problemen bei der Veröffentlichung künftiger Geräte.…

Kernel: Security-Entwickler fühlt sich von Linux-Community zermalmt

Der Security-Entwickler Alexander Popov berichtet auf dem Open Source Summit von seiner Zusammenarbeit mit der Linux-Kernel-Community. Er fühle sich dabei wie zwischen Mühlsteinen zermalmt. Das liege wohl auch daran, dass die Community zwischen normalen Menschen und Security-Leuten trenne. (Linux-Kernel, Linux)…

Webapplikationen: Sicherheitslücke in jQuery-Plugin wird aktiv ausgenutzt

Ein jQuery-Plugin erlaubt es, unter bestimmten Bedingungen PHP-Dateien auf den Server zu laden und auszuführen. Das Problem sitzt jedoch tiefer: Viele Webapplikationen bauen auf den Schutz von Apaches .htaccess-Dateien. Der ist jedoch häufig wirkungslos. (jQuery, CMS)   Advertise on IT…

PyPi-Malware: Britisches Python-Paket klaut Bitcoin

In der Python-Paketverwaltung PyPi wurde eine Software gefunden, die versucht, Bitcoin-Adressen in der Windows-Zwischenablage zu manipulieren. Dabei versuchten die Autoren des Pakets colourama, Verwechslungen von US-englischer und britischer Schreibweise auszunutzen. (Malware, Python)   Advertise on IT Security News. Lesen Sie…

Informationsfreiheitsbeauftragte: Algorithmen für Behörden müssen diskriminierungsfrei sein

Informationsfreiheitsbeauftragte von Bund und Ländern drängen auf eine stärkere Kontrolle von Algorithmen und künstlicher Intelligenz (KI) in der Verwaltung. An die Auswahl und die Entwicklung solcher Verfahren müssten hohe Anforderungen gestellt werden. (KI, Datenschutz)   Advertise on IT Security News.…

Telekommunikation: Mit dem Laser durch die Wolken

Laser könnten Daten von Satelliten viel besser übertragen als Radiowellen. Aber was tun bei schlechtem Wetter? Forscher aus der Schweiz haben einen Weg gefunden und machen sich dabei jahrzehntealte Forschung zunutze. (Wissenschaft, Verschlüsselung)   Advertise on IT Security News. Lesen…

Nach Datenskandalen: Facebook möchte Sicherheitsfirma kaufen

Facebook reagiert auf die jüngsten Datenskandale mit der Kaufabsicht einer großen Sicherheitsfirma. Der ehemalige britische Vize-Premierminister wird außerdem Facebooks neuer PR-Chef. Das soziale Netzwerk versucht Vertrauen zurückzugewinnen. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen…

BSI: Richtlinie zu Routersicherheit kommt Anfang November

Seit mehreren Monaten ist die umstrittene BSI-Richtlinie zur Sicherheit von Heimroutern überfällig. Laut BSI-Chef Schönbohm ist sie längst fertig und soll ein „Mindesthaltbarkeitsdatum“ für Software und 19 andere Kriterien enthalten. (Router, Virus)   Advertise on IT Security News. Lesen Sie…

Phishing: Schadsoftware versteckt sich in E-Mails von Freunden

Angreifer verbreiten mit einer besonders schwer erkennbaren Phishing-Methode Malware: Sie hacken E-Mail-Konten und klinken sich dann in bestehende Konversationen ein – Nutzer müssen genau hinsehen. (Phishing, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Phishing: Schadsoftware…

Mikrotik: Proxy-Server fügen Kryptominer ein

Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv. (Provider, Technologie)   Advertise on IT Security News. Lesen Sie…

Bloomberg legt nach: Spionagechips angeblich auch bei US-Provider

Nach Amazon und Apple sollen auch bei einem US-Provider chinesische Spionagechips gefunden worden sein. Unternehmen und staatliche Institutionen widersprechen. Die Bloomberg-Diskussion geht weiter. (Spionage, Server)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Bloomberg legt nach: Spionagechips…

Mozilla: Update-Mechanismus von Firefox hat kaum kritische Lücken

Mozilla hat den Firefox Application Update Service (AUS) einem Audit unterziehen lassen. Der Abschlussbericht dazu steht nun bereit. Das beauftragte Sicherheitsunternehmen bewertet den Update Service insgesamt als gut. (Firefox, Browser)   Advertise on IT Security News. Lesen Sie den ganzen…

Google: Mehr Kontrolle für Android- und Chrome-Nutzer

Entwickler von Apps unter Android oder Chrome-Erweiterungen kommen schnell an Daten, die die Nutzer ihnen eigentlich gar nicht geben wollten. Google schränkt den Zugriff ein und gibt den Anwendern mehr Kontrolle. Googles Datensammlung dürften sie jedoch nicht gefährden. (Android, Google)…

Kamu: Epic Games kauft Easy Anti-Cheat

Fortnite, Dragon Ball Fighter Z und Far Cry 5 verwenden zur Abwehr von Hackern und Betrügern die gleiche Anti-Cheat-Software von Kamu. Nun ist dessen Entwickler von Epic Games gekauft worden. (Epic Games, Fortnite)   Advertise on IT Security News. Lesen…

Soziales Netzwerk: Onlinepetition kämpft für Google Plus

Probieren kann man’s ja: Treue Fans von Google Plus haben eine Onlinepetition gestartet, damit das soziale Netzwerk und damit viele Netzwerke und Freundschaften erhalten bleiben. (Google+, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Soziales Netzwerk:…

Kernel: Linux-Kernel wird laut Kroah-Hartman immer sicherer

In einem kurzen Videointerview mit der Linux-Foundation spricht Kernel-Maintainer Greg Kroah-Hartman über die Probleme der Linux-Community mit Meltdown und Spectre und warum der Kernel trotz einer Vielzahl an gefundenen Bugs aus seiner Perspektive sicherer wird. (Greg Kroah-Hartman, Linux-Kernel)   Advertise…

Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz

Noch immer sind viele vernetzte Geräte leicht über das Internet zu hacken. Vor allem ein chinesischer Massenhersteller missachtet weiterhin die einfachsten Grundregeln zum sicheren Betrieb der Geräte. Nun gelobt er Besserung. (Brian Krebs, Virus)   Advertise on IT Security News.…

Bloomberg legt nach: Spionagechips auch bei US-Provider

Nach Amazon und Apple sollen auch bei einem US-Provider chinesische Spionagechips gefunden worden sein. Unternehmen und staatliche Institutionen widersprechen. Die Bloomberg-Diskussion geht weiter. (Spionage, Server)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Bloomberg legt nach: Spionagechips…

Soziales Netzwerk: Google Plus wird nach Datenleck dichtgemacht

Googles Mutterkonzern Alphabet zieht nach einem Datenleck bei seinem sozialen Netzwerk Google Plus den Stecker. App-Entwickler konnten zeitweise auf persönliche Daten von Nutzern zugreifen. Google hatte den Fehler zwar behoben – aber verschwiegen. (Google+, Google)   Advertise on IT Security…

Rezension zu „Cyberwar“: Wie moderne Gesellschaften in den Cyberkrieg abdriften

In ihrem neu erschienenen Buch „Cyberwar“ erklären die IT-Sicherheitsexperten Constanze Kurz und Frank Rieger, wie groß die Gefahr eines Cyberkrieges ist. (Cyberwar, Sicherheitslücke)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Rezension zu „Cyberwar“: Wie moderne Gesellschaften…

Google Project Zero: Whatsapp-Anruf kann Sicherheitslücke ausnutzen

Googles Project Zero entdeckt eine Sicherheitslücke in Whatsapp. Diese kann mittels eines einfachen Anrufes ausgenutzt werden. Die Lücke wurde von Whatsapp geschlossen. (Whatsapp, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Google Project Zero: Whatsapp-Anruf…

Linux-Kernel: Wireguard-Entwickler will Zinc-Krypto endlich einpflegen

Für das neue Wireguard-VPN im Linux-Kernel entsteht auch die neue Kryptobibliothek Zinc, die anfangs für viel Kritik sorgte. Der Wireguard-Erfinder will Zinc endlich in den Linux-Kernel bringen, doch die Diskussionen darüber gehen weiter. (Linux-Kernel, API)   Advertise on IT Security…

DSGVO: Unternehmen bremsen seit Mai beim Datenschutz

Die meisten Unternehmen in Deutschland haben laut einer Umfrage die Anforderungen der DSGVO immer noch nicht umgesetzt. Die niedersächsische Datenschutzbeauftragte Thiel beklagt daher eine Häufung von Beschwerden und Anfragen seit Ende Mai. (Angela Merkel, Datenschutz)   Advertise on IT Security…

Hack: Uber zahlt 148 Millionen US-Dollar Strafe

Ein verschwiegener Hack aus dem Jahr 2016 holt Uber ein. Der Fahrdienstvermittler muss einen Vergleich über eine Rekordstrafe akzeptieren. (Uber, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Hack: Uber zahlt 148 Millionen US-Dollar Strafe

E-Privacy-Verordnung: Zustimmungspflicht für Tracking könnte bald kommen

Um die E-Privacy-Verordnung ist es in den vergangenen Monaten still geworden. Doch die Datenschützer könnten demnächst die Tracking-Vorgaben auf Basis der DSGVO einfordern. (EU, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: E-Privacy-Verordnung: Zustimmungspflicht für Tracking…

Peng-Kollektiv: Ein Pass für Zwei

Einen Pass, den zwei Menschen benutzen können: Damit will das Künstlerkollektiv Peng gegen Biometrie und staatliche Überwachung ankämpfen. Erreicht wird das mit einem Passbild, das beiden gleichermaßen ähnelt. (Biometrie, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen…

HTTPS: BSI vergisst Zertifikatswechsel

Die Webseite des Bundesamts für Sicherheit in der Informationstechnik ist zur Zeit nicht erreichbar. Dort hat man offenbar vergessen, sich rechtzeitig um ein neues TLS-Zertifikat zu kümmern. (BSI, Technologie)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Nach Safari und Chrome: Firefox ins Jenseits befördern

Mit einem präparierten Link kann Mozillas Firefox zum Absturz gebracht werden. Ähnliches hat ein Sicherheitsforscher zuvor mit Apples Safari und Googles Chrome gezeigt. Auf einer Webseite sammelt er die Lücken – mitsamt Absturz-Button. (Browser, Firefox)   Advertise on IT Security…

Active Directory: Microsoft bewirbt passwortlose Anmeldung in Azure

Ohne Passwort in Active Directory anmelden: Microsoft will das Passwort dringend loswerden und bietet seine Alternativen für diverse Azure-Dienste an. Der Grund: Passwörter sind für Microsoft wenig praktisch. (Azure, Microsoft)   Advertise on IT Security News. Lesen Sie den ganzen…

Chrome: Google macht Zugeständnisse

Google geht auf die massive Kritik an Chrome 69 ein: Einige Änderungen sollen mit dem nächsten Release rückgängig gemacht oder abgemildert werden. Das www. wird dennoch aus der URL-Leiste verbannt. (Chrome, Google)   Advertise on IT Security News. Lesen Sie…

Mozilla: Firefox Monitor informiert über gehackte Passwörter

Nach Tests im Sommer ist der Firefox Monitor allgemein verfügbar. Der Dienst ist eine Kooperation mit dem Sicherheitsforscher Troy Hunt. Nutzer sollen mit dem Werkzeug über Hacks ihrer Daten informiert werden. (Mozilla, Firefox)   Advertise on IT Security News. Lesen…

Google: Chrome löscht Google-Cookies erst nach Logout

In Chrome können zwar alle Browserdaten gelöscht werden, Google-Cookies von angemeldeten Nutzern bleiben jedoch erhalten. (Chrome, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Google: Chrome löscht Google-Cookies erst nach Logout

Azure: Microsoft hat „eine Fülle an Ankündigungen“ parat

Neue virtuelle Maschinen, mietbare SSDs und WAN-Verbindungen über das Microsoft-Backbone: Azure bekommt eine ganze Reihe an neuen Funktionen in den Bereichen Storage, Netzwerken und Security. Vieles davon befindet sich allerdings noch in der Preview-Phase. (Azure, Grafikhardware)   Advertise on IT…

Azure: Adobe, Microsoft und SAP vereinheitlichen Kundendaten

Drei CEOs von drei großen Unternehmen auf einer großen Bühne: Die Open Data Initiative soll die Daten verschiedener Produkte auf Azure bringen. Kunden wie Coca Cola finden das sinnvoll, da sie ihre Daten nicht mehr von mehreren Datenbanken manuell zusammenführen…

TLS: Cloudflare startet Unterstützung für verschlüsselte SNI

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen. (TLS, Firefox)   Advertise on…

Azure: Adobe, Microsoft und SAP teilen ihre Kundendaten

Drei CEOs von drei großen Unternehmen auf einer großen Bühne: Die Open Data Initiative soll die Datensätze verschiedener Produkte auf eine Plattform bringen, nämlich Azure. Unternehmen wie Coca Cola und Unilever finden das sinnvoll. Das löst allerdings auch Datenschutzbedenken aus.…

OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern

PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen – indem man die entsprechende Anzeige mittels HTML fälscht. (OpenPGP, E-Mail)   Advertise on IT Security…

Datenschutz: Google-Login meldet sich auch in Chrome an

Das Profilbild des Google-Accounts erscheint plötzlich im Chrome-Browser, obwohl noch kein Login in Chrome stattgefunden hat. Der Synchronisationsdienst wird laut Google nicht aktiviert. Welche anderen Daten geteilt werden, bleibt unklar – die Datenschutzhinweise erlauben einiges. (Chrome, Firefox)   Advertise on…

Security: Curl bekommt eigenes Bug-Bounty-Programm

Das kleine Kommandozeilenwerkzeug Curl und dessen Bibliothek finden sich in nahezu allen vernetzten Geräten. Sicherheitsforscher erhalten künftig eine Bug-Bounty, also Geld für das Auffinden von Sicherheitslücken in der Software Curl. (Open Source, Sicherheitslücke)   Advertise on IT Security News. Lesen…

iPhone: Apple will mit Nutzerbeobachtung Betrug verhindern

Um missbräuchliche Käufe im iTunes-Store zu verhindern, will Apple künftig für jedes iPhone und iPad einen Vertrauenspunktestand errechnen. Dieser bemisst sich nach dem Nutzungsverhalten, beispielsweise aus der Anzahl der Anrufe oder empfangenen E-Mails. Die Daten sollen sich nicht einsehen lassen.…

Gerichtsverfahren: Mildes Urteil für Mirai-Entwickler

Drei US-Studenten haben das Mirai-Botnetzwerk aufgebaut. Seit 18 Monaten arbeiten sie mit dem FBI zusammen. Das Ergebnis ist eine milde Strafe und eine Verpflichtung zur weiteren Kooperation. (Mirai-Botnetz, Server)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Western Digital: My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden

Das Einsteiger-NAS My Cloud steht seit anderthalb Jahren sperrangelweit offen. Exploits im Internet ermöglichen den passwortlosen Login als Administrator. Western Digital möchte nun Patches liefern. (Western Digital, Speichermedien)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Western…

Gerichtsverfahren: Mirai-Entwickler hoffen auf Sozialstunden beim FBI

Drei US-Studenten haben das Mirai-Botnetzwerk aufgebaut. Seit 18 Monaten arbeiten sie mit dem FBI zusammen. Nun hoffen sie, dass sich die Zusammenarbeit in ihrem Gerichtsverfahren auszahlt. (Mirai-Botnetz, Server)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Gerichtsverfahren:…

GovPayNow: 14 Millionen Buchungen öffentlich einsehbar

Bis vor wenigen Tagen sind auf einer Webseite des Zahlungsdienstleisters GovPayNet die Quittungen aus den vergangenen sechs Jahren zugänglich gewesen. Darüber werden Zahlungen an US-Behörden abgewickelt. (Sicherheitslücke, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: GovPayNow:…

Zero-Day: Überwachungskameras können übernommen und manipuliert werden

Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar. (Videoüberwachung, Technologie)   Advertise on IT Security News. Lesen Sie…

Webauthn: Passwortloses Einloggen mit schlechter Kryptographie

Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie. (Verschlüsselung, Firefox)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Webauthn: Passwortloses Einloggen mit…

iPhone und iPad: Einen Klick vom Absturz entfernt

Mit wenigen Zeilen CSS-Code können iPhone und iPad zum Absturz gebracht werden. Auch andere Betriebssysteme und Browser sind betroffen. (Safari, Firefox)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: iPhone und iPad: Einen Klick vom Absturz entfernt

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der „fliegende Gerichtsstand“ im Wettbewerbsrecht abgeschafft werden. (Abmahnung, Urheberrecht)   Advertise on IT Security News. Lesen Sie den ganzen…

HHVM: Quelloffene virtuelle Maschine kommt künftig ohne PHP aus

Ab Anfang 2019 gibt es keinen PHP-Support mehr für die virtuelle Maschine HHVM. Stattdessen wollen die Entwickler verstärkt auf die Scriptsprache Hack setzen. Nutzer der Software stehen jetzt vor der Wahl: Entweder Hack oder PHP 7 ohne HHVM. (HHVM, PHP)…

Tor-Netzwerk: Sicherheitslücke für Tor Browser 7 veröffentlicht

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter – nachdem er Monate von ihr wusste. (Tor-Netzwerk, Firefox)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Tor-Netzwerk: Sicherheitslücke für…

Veeam: 200 GByte Kundendaten ungeschützt im Internet

Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten. (Datenbank, Spam)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Veeam: 200 GByte Kundendaten ungeschützt im Internet

Cold Boot Attack rebootet: Forscher hebeln Verschlüsselung von Computern aus

Ein alter Angriff neu durchgeführt: Forschern ist es gelungen, den Schutzmechanismus gegen die zehn Jahre alte Cold-Boot-Attacke zu umgehen. Angreifbar sind eingeschaltete verschlüsselte Rechner. (Verschlüsselung, PC-Hardware)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Cold Boot Attack…

Verschlüsselung: NSA-Chiffre Speck fliegt aus dem Linux-Kernel

Mit der NSA-Chiffre Speck wollte Google ursprünglich den Speicher von Low-End-Android-Smartphones verschlüsseln, doch nun hat das Unternehmen seine Unterstützung dafür zurückgezogen. Die umstrittene Verschlüsselung wird deshalb wieder aus dem Linux-Kernel entfernt. (Linux-Kernel, Verschlüsselung)   Advertise on IT Security News. Lesen…

Hardware-Sicherheitsmodul: Intel legt Code für TPM2-Unterstützung offen

Ein Trusted Platform Module (TPM) soll bestimmte Sicherheitsfunktionen für Rechner in einer eigene Hardware-Einheit bereitstellen. Intel stellt seine Implementierung der Software für die TPM2-Unterstützung als Open Source für Linux und Windows bereit. (Intel, Applikationen)   Advertise on IT Security News.…

Verschlüsselung: Five-Eyes fordern Zugang – zur Not mit Zwang

Telekommunikationsanbieter sollen nach Wunsch der Innenminister der Five-Eyes-Staaten Techniken zur Entschlüsselung ihrer Dienste entwickeln. (Crypto Wars, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Verschlüsselung: Five-Eyes fordern Zugang – zur Not mit Zwang

BeA: Das Anwaltspostfach kommt mit Sicherheitslücken

Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt. (BeA, Verschlüsselung)   Advertise on IT Security News. Lesen…

Foreshadow/L1TF: Intel-CPUs ermöglichten unberechtigtes Auslesen von Speicher

Die spekulative Ausführung von Code führt erneut zu einer Sicherheitslücke auf Intel-Prozessoren. Mit Foreshadow können Prozesse über den Level-1-Cache unberechtigt Speicher auslesen. Besonders kritisch ist das in virtualisierten Umgebungen. (Intel, Prozessor)   Advertise on IT Security News. Lesen Sie den…

Faxploit: Fax-Geräte als Einfallstor für Hack von Firmennetzwerken

Trotz modernerer Technik sind Fax-Geräte noch immer weit verbreitet. Wenn diese als Multifunktionsdrucker ans Firmennetzwerk angeschlossen sind, können sie Hackern einen leichten Einstieg bieten. (Security, Drucker)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Faxploit: Fax-Geräte als…

Ladekabel: Startup Ubitricity gewinnt Klimaschutzpreis in New York

Die Stadt New York will mit moderner Technik den Klimaschutz verbessern. In einem internationalen Wettbewerb konnte ein Berliner Startup mit seinem Ladekonzept für Elektroautos überzeugen. (Elektroauto, RFID)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Ladekabel: Startup…

IT-Sicherheit: Die smarte Stadt ist angreifbar

Es war zum Glück eine Falschmeldung, dass Hawaii mit Raketen angegriffen wird. Aber sie sorgte für reichlich Verunsicherung unter den Bewohnern. Panik kann eine starke Waffe sein – und sie auszulösen ist nicht so schwierig, wie Sicherheitsforscher herausgefunden haben. (Smart…

Security: Forscher können Autoren von Programmiercode identifizieren

Wie normale Texte besitzt auch Programmiercode bestimmte stilistische Eigenschaften. Diese reichen aus, um auch aus anonymen Codefragmenten den Autor herauszulesen, wie zwei Wissenschaftler zeigen. Ihre Methode funktioniert sogar mit kompiliertem Code recht zuverlässig. (Softwareentwicklung, Datenschutz)   Advertise on IT Security…

Open Source: Tesla will Sicherheitssoftware freigeben

Elon Musk ist überzeugt, dass Teslas Fahrzeugsicherheitssoftware die beste Lösung gegen Hackerangriffe auf Autos ist. Er plant, sie kostenlos für andere Autohersteller anzubieten und als Open Source zu veröffentlichen. Gleichzeitig sollen Hacker bei ihren Teslas die Garantie nicht mehr verlieren.…

Raumfahrt: Cubesats sollen unhackbar werden

Ein Cubesat auf Sabotagekurs: Noch ist das nur ein Science-Fiction-Szenario. Doch drei US-Wissenschaftler warnen, dass die Satelliten gehackt und auf Kollisionskurs mit anderen Raumfahrzeugen geleitet werden könnten. Sie fordern, dass sich Raumfahrtunternehmen dazu verpflichten, Minisatelliten mit Verschlüsselungssystemen auszustatten, um das…

Pwnie Awards: Hacker-Preise für Golem.de-Autor und John McAfee

Auf der Black-Hat-Konferenz in Las Vegas sind zum elften Mal die Pwnie Awards für die besten Hacks und schlimmsten Misstritte der IT-Sicherheitsindustrie verliehen worden. (Black Hat, Paypal)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Pwnie Awards:…