Laut Microsoft können mittlerweile alle unterstützten Windows-PCs das Fall Creators Update installieren. Es sei der schnellste Rollout bisher. Mit dem Hintergrund von Spectre und Meltdown rät das Unternehmen auch dazu, das System immer aktuell zu halten. (Microsoft, Windows) Advertise…
Kategorie: Golem.de – Security
EU-Urheberrechtsreform: Abmahnungen treffen „nur die Dummen“
Die geplanten Upload-Filter der EU-Kommission stoßen vielfach auf Kritik. Bei einer Diskussionsrunde von Wikimedia Deutschland gibt es jedoch auch Befürworter. (Leistungsschutzrecht, Urheberrecht) Advertise on IT Security News. Lesen Sie den ganzen Artikel: EU-Urheberrechtsreform: Abmahnungen treffen „nur die Dummen“
Asynchronous Ratcheting Tree: Facebook demonstriert sicheren Gruppenchat für Apps
Bisher haben Chat-Anwendungen mit modernen Algorithmen wie Signal und Whatsapp Probleme damit, Gruppenchats dauerhaft abzusichern. Ein neuer Algorithmus von Facebook und Forschern der Uni Oxford könnte das künftig ändern. (Security, Soziales Netz) Advertise on IT Security News. Lesen Sie…
BeA: Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein
Der Softwaredienstleister Atos und damit indirekt auch dessen Partner Governikus werden laut Medienberichten von der Bundesrechtsanwaltskammer (Brak) nicht mehr für das Besondere elektronische Anwaltspostfach (BeA) bezahlt. Die mit Sicherheitsproblemen behaftete Lösung für Anwälte soll umfassend und transparent geprüft werden. (Atos,…
Kinderspielzeug: Vtech zahlt 650.000 Dollar Strafe für Datenschutzverstöße
Auch in den USA können Datenschützer Strafen verhängen – aktuell trifft es den Spielzeughersteller Vtech. Dieser hat nach Meinung der FTC vor dem Sammeln von Daten nicht ausreichend um Erlaubnis gefragt. Außerdem sind die Sicherheitsmaßnahmen unzureichend gewesen. (FTC, Datenschutz) …
Security: Das Jahr, in dem die Firmware brach
2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig. (Security, WLAN) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Security: Das Jahr, in…
Nach Meltdown und Spectre: Intel richtet neue Sicherheitsabteilung ein
Eine neue Sicherheitsabteilung soll es künftig richten: Intels Chef Brian Krzanich versetzt zahlreiche Topmanager in eine neue Abteilung, die Probleme wie Meltdown und eine löchrige Intel Management Engine in Zukunft verhindern sollen. (Intel, Prozessor) Advertise on IT Security News.…
WLAN: D-Link und McAfee stellen „Sicherheits-Router“ vor
Immer mehr Hersteller wollen mit Routern punkten, die den Kunden automatische Sicherheitsfunktionen bieten. Neu dabei sind D-Link und McAfee, die einen MU-MIMO-Router mit McAfees Threat Intelligence verbinden wollen. (McAfee, Virenscanner) Advertise on IT Security News. Lesen Sie den ganzen…
Spectre und Meltdown: Microsoft stoppt Update-Auslieferung für AMD-Systeme
Weil einige Athlon-Prozessoren nach dem Update nicht mehr in Windows booten, stoppt Microsoft die Verteilung von Spectre-Patches für AMD-Systeme. Schuld sollen fehlerhafte Angaben des Prozessorherstellers sein. (Spectre, Microsoft) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Spectre…
VPN: Samsung bringt „sicheres WLAN“ für Galaxy Note 8
Samsung will Nutzer von offenen WLANs mit einem neuen Dienst schützen. Bislang ist die Funktion nur für Besitzer des Galaxy Note 8 verfügbar. Kostenfrei sind bis zu 150 Mbyte nutzbar. (Galaxy Note 8.0, WLAN) Advertise on IT Security News.…
Datenschutz an der Grenze: Wer alles löscht, macht sich verdächtig
Reisen mit Laptop und Smartphone kann jede Menge Ärger bringen. Die meisten Tipps der EFF lassen sich aber generell im Umgang mit persönlichen Daten beherzigen. (Politik/Recht, Instant Messenger) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenschutz…
Meltdown und Spectre: NSA will nichts von Prozessor-Schwachstelle gewusst haben
Der US-Geheimdienst NSA versichert, die Prozessor-Sicherheitslücken Meltdown und Spectre nicht zum Ausspähen von Daten genutzt zu haben. In den USA wurden bereits die ersten Sammelklagen gegen Intel eingereicht. (NSA, Google) Advertise on IT Security News. Lesen Sie den ganzen…
US-Grenzkontrolle: Durchsuchung elektronischer Geräte wird leicht eingeschränkt
US-Grenzbeamte dürfen künftig nur noch bei einem begründeten Verdacht ein Mobilgerät sehr genau untersuchen. Eine neue Regelung schränkt die Befugnisse der Beamten etwas ein. Einen Durchsuchungsbeschluss, wie ihn die Bürgerrechtsorganisation ACLU gern hätte, brauchen sie aber immer noch nicht. (Politik/Recht,…
Spectre und Meltdown: 90 Prozent der aktuellen Intel-CPUs werden gepatcht
In einer Woche wird Intel den Großteil seiner CPUs der vergangenen fünf Jahre mit einem Update gegen Spectre und Meltdown versehen. Google testet eine eigene Lösung bereits erfolgreich. Die Leistungseinbußen sollen marginal sein. (Spectre, Google) Advertise on IT Security…
Spectre und Meltdown: All unsere moderne Technik ist kaputt
Man kann sich auf Hardware nicht mehr verlassen – Spectre und Meltdown zeigen das überdeutlich. Bevor neue Grundlagentechniken wie spekulative Befehlsausführung massenhaft eingeführt werden, müssen sie ab jetzt anders getestet werden. (Sicherheitslücke, Intel) Advertise on IT Security News. Lesen…
Spectre und Meltdown: CPU-Bugs sind laut Google schon seit Juni 2017 bekannt
Nicht nur Intel ist von der gravierenden Sicherheitslücke in Prozessoren betroffen, durch die Angreifer heikle Daten auslesen können. Googles Project Zero erklärt die Funktionsweise der Speicher-Leaks und Linus Torvalds erwartet Ehrlichkeit. (Intel, Prozessor) Advertise on IT Security News. Lesen…
EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
In fünf Monaten tritt die EU-Datenschutzreform in Kraft. Viele andere weitreichende Entscheidungen für das Internet in Europa stehen im diesem Jahr hingegen noch aus. (Leistungsschutzrecht, Urheberrecht) Advertise on IT Security News. Lesen Sie den ganzen Artikel: EU-Netzpolitik: Mit vollen…
BeA: Noch mehr Sicherheitslücken im Anwaltspostfach
Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt. (Sicherheitslücke, Technologie) …
Linksunten.indymedia.org: E-Mails, Computer, Briefpost – alles beschlagnahmt
Der deutsche Staat geht mit dem Vereinsrecht gegen ein Portal vor, das vielen Beobachtern zufolge unter den Schutz der Pressefreiheit fällt. Auf dem Chaos Communication Congress berichtete die Anwältin der Beschuldigten über den Stand zahlreicher Verfahren. (34C3, E-Mail) Advertise…
Kriminalität: Mann droht Firma mit Hack, um Job zu bekommen
„Feuert sie und stellt mich ein oder werdet stückchenweise vernichtet“: Ein Mann hat in den USA einer Softwarefirma mit einem Hack gedroht, um eingestellt zu werden. Statt eines neuen Jobs bekam er jedoch eine Gefängnisstrafe. (Hacker, Rechtsstreitigkeiten) Advertise on…
Kartellamt: Facebook drohen Sanktionen wegen Datensammlung
Hier ein paar Daten von Whatsapp, dort ein paar Daten von Instagram: Facebook sammelt Informationen über seine Mitglieder, ohne diese ausdrücklich gefragt zu haben. Das Kartellamt ist der Auffassung, dass das Netzwerk damit seine Marktstellung ausnutzt. (Facebook, Soziales Netz) …
IT-Sicherheit: Der Angriff kommt – auch ohne eigene Fehler
Das Jahr 2017 brachte vielen Unternehmen Millionenschäden durch Malware ein, ohne dass diese aktiv Fehler gemacht hatten. Wanna Cry, NotPetya und auch der CCleaner-Vorfall zeigen, dass die Frage der eingesetzten Software deutlich wichtiger ist als verwendete Virenscanner oder Firewall-Appliances. (Security,…
Homebrew-System auf Nintendos Switch: Glitch the Switch!
Bei Nintendos Switch baut Nvidia sich eine eigene Backdoor im Grafikprozessor, und Nintendo mapped den Kernel aus Versehen ausführbar in den Userspace. Trotzdem ist es gar nicht so leicht, eigenen Code zur Ausführung zu bringen – für einen Angriff werden…
eID: Willkommen in der eGovernment-Hölle
Das alte Auto ist kaputt und verschrottet. Jetzt muss der Blechhaufen nur noch bei der zuständigen Kraftfahrzeugebehörde abgemeldet werden. Gut, dass es dafür eine tolle eGovernment-Infrastruktur gibt! Leider funktioniert sie ungefähr so gut wie die Fertigstellung des Hauptstadtflughafens BER oder…
Xiaomi: Mit einem Stück Alufolie autonome Staubsauger rooten
Obwohl Xiaomi in puncto Security viel richtig macht, lassen sich Staubsauger der Firma rooten – mit einem Stück Alufolie. Das ermöglicht dann den Zugriff auf zahlreiche Sensoren und die Nutzung eines eigenen Cloudinterfaces. (Xiaomi, Dateisystem) Advertise on IT Security…
Mozilla: Neue Thunderbird-Version behebt Abstürze unter Windows
Das Update 52.5.2 behebt einen Fehler, der zum Absturz des E-Mail-Programms führen kann. Windows-Nutzer sollten sich das Update installieren. Auch mehrere Sicherheitslücken im RSS Feed werden behoben – das gilt für alle Betriebssysteme. (Thunderbird, Web2.0) Advertise on IT Security…
Abhören: Auf der Lauer nach der kleinen Wanze
Wie schwierig ist es, einen Raum zu verwanzen und jemanden abzuhören? Zwei argentinische Hacker haben es getestet – und einen billigen Wanzendetektor entwickelt. (Spionage, Internet) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Abhören: Auf der Lauer…
Elektromobilität: So leicht lassen sich Ladestationen und Ladekarten hacken
Das Thema IT-Sicherheit spielt bei der Infrastruktur von Ladestationen bislang eine sehr geringe Rolle. Wie leicht sich Karten klonen und Ladesäulen hacken lassen, zeigte ein Sicherheitsexperte auf dem diesjährigen Chaos Communication Congress. (Elektroauto, RFID) Advertise on IT Security News.…
Elektromobilität: So leicht lassen sich Ladestationen und Karten hacken
Das Thema IT-Sicherheit spielt bei der Infrastruktur von Ladestationen bislang eine sehr geringe Rolle. Wie leicht sich Karten klonen und Ladesäulen hacken lassen, zeigte ein Sicherheitsexperte auf dem diesjährigen Chaos Communication Congress. (Elektroauto, RFID) Advertise on IT Security News.…
Bundesrechtsanwaltskammer: BeA bleibt vorerst offline
Nachdem Golem.de über Schwachstellen im besonderen elektronischen Anwaltspostfach berichtet hat, bleibt das System vorerst offline. In einer Mitteilung räumt die Bundesrechtsanwaltskammer Sicherheitslücken ein. (TLS, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Bundesrechtsanwaltskammer: BeA bleibt vorerst…
EOS Schweiz: Daten von Zehntausenden Inkassokunden kompromittiert
Eine Sicherheitslücke in Apache Struts soll dazu geführt haben, dass 33.000 Daten von Schweizer Kunden des Inkassodienstes Eos kompromittiert wurden. Darunter sollen sich neben Ausweiskopien auch ganze Krankenakten befinden. (Datenschutz, Server) Advertise on IT Security News. Lesen Sie den…
Deutsche Wirtschaft: Massiv ausgeweitete Cyberangriffe aus China
Hacker, Spionage und Diebstahl von Geschäftsgeheimnissen: Um die deutsch-chinesische Freundschaft ist es gerade nicht so gut bestellt. Berlin sucht den Cyber-Dialog, Peking mauert. Was ist da los? (Spionage, Internet) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre
Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt. (TLS, Technologie) Advertise on IT…
Myloc/Webtropia: Offene VNC-Ports ermöglichten Angriffe auf Server
Golem.de hat hat den Serverhoster Webtropia über eine kritische Schwachstelle informiert: Über eine Lücke in den Ports der Kontrollserver hätten Angreifer ohne Passwort die Kontrolle übernehmen können – zumindest bei einigen Systemen. (Server, Server-Applikationen) Advertise on IT Security News.…
Dienste, Programme und Unternehmen: Was 2017 eingestellt und geschlossen wurde
München verliert das Limux-Projekt, Berlin seine Fluglinie und die USA verlieren ihre Netzneutralität. 2017 sind viele Unternehmen und Produkte gescheitert – manche erwartungsgemäß, andere überraschend. (Wirtschaft, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Dienste, Programme…
Security: Blizzard installiert selbstsigniertes Zertifikat mit Root
Ein Zertifikat, dass vom Localhost signiert wird: Blizzard installiert ein Zertifikat mit Root-Rechten auf den Rechern seiner Nutzer – ohne Begründung oder Information. Auf Redditerhitzten sich die Gemüter, sodass Blizzard sich doch noch erklären musste. (Battle.net, Browser) Advertise on…
Keeper Security: Passwortmanager-Hersteller verklagt Journalist Dan Goodin
Wenige Tage nachdem in der Browsererweiterung des Passwortmanagers Keeper eine kritische Sicherheitslücke gefunden wurde, verklagt dessen Hersteller den Journalisten Dan Goodin. Es ist offenbar nicht das erste Mal, dass Keeper juristisch gegen die Veröffentlichung von Schwachstellen vorgeht. (Security, Google) …
Alteryx: Persönliche Daten über 123 Millionen US-Haushalte geleakt
Schon wieder hat ein Unternehmen große Mengen persönlicher Daten auf einem öffentlich zugänglichen Amazon-S3-Bucket ins Netz gestellt. Betroffen sind Informationen wie Postadressen, Ausbildung, Kinderzahl und private Finanzinformationen. (Amazon S3, Storage) Advertise on IT Security News. Lesen Sie den ganzen…
Verschlüsselung: Audit findet schwerwiegende Sicherheitslücken in Enigmail
Mozillas Secure Open Source Fund und der Berliner E-Mail-Anbieter Posteo haben einen Security-Audit für Thunderbird und die Erweiterung Enigmail in Auftrag gegeben. Dabei sind einige kritische und schwerwiegende Lücken gefunden worden. (Thunderbird, E-Mail) Advertise on IT Security News. Lesen…
Facebook: Gesichtserkennung soll vor Identitätsmissbrauch schützen
Facebook verwendet künftig eine optionale, auf Maschinenlernen basierende Gesichtserkennung, um Nutzer zu benachrichtigen, wenn sie auf Fotos anderer User zu sehen sind. Das soziale Netzwerk will diese Technik auch zum Schutz der Identität der Nutzer verwenden und damit Fake-Profile entlarven.…
Android: Google führt API-Level-Grenze im Play Store ein
Aus Sicherheitsgründen müssen neue Apps im Play Store künftig auf das API-Level von Android 8.0 alias Oreo ausgerichtet sein. Diese Bedingung soll Ende 2018 auch für Updates gelten. Außerdem müssen Apps die 64-Bit-Architektur unterstützen. (Google Play, Google) Advertise on…
Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern
Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner – und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek. (TLS, Google) Advertise on IT Security News.…
Ransomware: US-Regierung beschuldigt Nordkorea für Wannacry
Im Wall Street Journal macht ein Regierungsvertreter Nordkorea erstmals öffentlich für die Ransomware Wannacry verantwortlich. Dabei teilt er die Welt äußerst grob in gute und böse Cyberakteure ein. (Ransomware, Microsoft) Advertise on IT Security News. Lesen Sie den ganzen…
Windows Hello: Notebooks lassen sich mit A4-Gesichtsausdruck entsperren
Ein Foto aus dem Laserdrucker reicht, um Windows-Hello-Geräte zu entsperren. Tester der Syss GmbH konnten das bei einem Dell-Notebook und dem Surface Pro 4 bestätigen. Sicher sind nur aktuelle Geräte mit aktiviertem Anti-Spoofing. (Windows Hello, Microsoft) Advertise on IT…
MobileCoin: Neue Cryptowährung von Signal-Erfinder Marlinspike
Mit der Messenger-App Signal und dem auch von Whatsapp eingesetzten Signal-Protokoll ist Moxie Marlinspike ein großer Coup gelungen. Den will er nun mit einer Bitcoin-Alternative wiederholen. (Blockchain, Intel) Advertise on IT Security News. Lesen Sie den ganzen Artikel: MobileCoin:…
Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager
Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte bis Version 11.3 einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen. (Security, Google) Advertise on IT Security News. Lesen…
Chipkarten-Hersteller: Thales übernimmt Gemalto
Der Chipkarten-Hersteller Gemalto wird vom französischen Unternehmen Thales übernommen. Der Kaufpreis liegt bei fast fünf Milliarden Euro. Konkurrent Atos hatte mit seinem Angebot letztlich das Nachsehen. (Atos, Security) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Chipkarten-Hersteller:…
HTTPS: Fritzbox bekommt Let’s Encrypt-Support und verrät Hostnamen
Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let’s Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind. (Fritzbox, Technologie) …
Pilotprojekt am Südkreuz: De Maizière plant breiten Einsatz von Gesichtserkennung
Die Bundesregierung ist sehr zufrieden mit der automatisierten Gesichtserkennung am Berliner Bahnhof Südkreuz. Nun soll der Test um sechs Monate verlängert werden. (Gesichtserkennung, Vorratsdatenspeicherung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Pilotprojekt am Südkreuz: De Maizière…
BGP-Hijacking: Traffic von Google, Facebook & Co. über Russland umgeleitet
Mit Hilfe einer falschen BGP-Konfiguration hat ein bisher unbekannter russischer Internetprovider für einen kurzen Zeitraum den Internetverkehr großer Unternehmen über russische Server umgeleitet. So könnten terabyteweise Daten abgeschöpft worden sein. (Security, Google) Advertise on IT Security News. Lesen Sie…
Joanna Rutkowska: Qubes OS soll „einfach wie Ubuntu“ werden
Die Gründerin von Qubes OS, Joanna Rutkowska, erklärt die grundlegenden Ideen und Konzepte des auf Sicherheit fokussierten Projektes. Außerdem verrät die Entwicklerin im Gespräch mit Golem.de weiter Pläne für Qubes. (Qubes, API) Advertise on IT Security News. Lesen Sie…
Neuer Bericht: US-Behörden sollen kommerzielle Cloud-Dienste nutzen
Ein Beratergremium der US-Regierung empfiehlt ihren Bundesbehörden, eigene IT-Lösungen aufzugeben und stattdessen stärker auf kommerzielle Cloud-Dienste zu setzen. Damit würden nicht nur Kosten gespart, die Cloud sei auch sicherer. (Cloud Computing, Datenschutz) Advertise on IT Security News. Lesen Sie…
E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
Ursprünglich behauptete der VBB einmal, dass Bewegungsprofile beim E-Ticket technisch unmöglich wären. 2015 wurden die BVG und andere dann erwischt, wie sie die Voraussetzungen schafften und schalteten ab. Zwei Jahre später gibt es Profile mit höherer Präzision. Schuld soll ein…
E-Ticket Deutschland bei der BVG: Bewegungspunkt im Rotlichtviertel
Ursprünglich behauptete der VBB einmal, dass Bewegungsprofile beim E-Ticket technisch unmöglich wären. 2015 wurden die BVG und andere dann erwischt, wie sie die Voraussetzungen schafften und schalteten ab. Zwei Jahre später gibt es Profile mit höherer Präzision. Schuld soll ein…
Mirai-Botnetz: Drei US-Studenten bekennen sich schuldig
Also doch nicht Russland: Drei amerikanische Studenten haben vor einem US-Gericht zugegeben, im vergangenen Jahr mit Mirai eines der größten Botnetze der Internetgeschichte aufgebaut zu haben. Ihr Ziel sollen konkurrierende Minecraft-Server gewesen sein. (Mirai-Botnetz, Netzwerk) Advertise on IT Security…
Firmware: Intel will ME-Downgrade-Attacken in Hardware verhindern
Als Reaktion auf die öffentlich bekannten Lücken in Intels Management Engine (ME) will Intel das Ausnutzen derartiger Lücken künftig erschweren. Dazu sollen in den kommenden Hardware- und ME-Generationen Downgrades in der Firmware verhindert werden. Das hilft wohl aber nicht immer.…
IT-Sicherheit: Neue Onlinehilfe für Anfänger
Mit dem Security Planner hat das CitizenLab der Universität Toronto einen einfachen Guide zur IT-Sicherheit für Otto-Normal-Nutzer veröffentlicht. Dabei genügt es, drei kurze Fragen zu beantworten, um fundierten Ratschlag zu erhalten. (Security, Datenschutz) Advertise on IT Security News. Lesen…
ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer noch
Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, funktionieren tut er trotzdem oft noch. Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal und Produkte von mindestens acht verschiedenen Herstellern. (Daniel Bleichenbacher, Netzwerk) Advertise on IT…
Datentransfer in USA: EU-Datenschützer fordern Nachbesserungen beim Privacy Shield
Die neue Datenschutzvereinbarung mit den USA reicht den EU-Datenschützern weiterhin nicht aus. EU-Kommission und US-Regierung sollen „erhebliche Bedenken“ bis Mai 2018 ausräumen. (Datenschutz, Internet) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datentransfer in USA: EU-Datenschützer fordern…
HTTPS: Let’s Encrypt bringt Wildcard-Zertifikate
Auch 2018 hat die Zertifizierungsstelle Let’s Encrypt vor, weiter massiv zu wachsen. Dazu will das Projekt unter anderem die lang geforderten Wildcard-Zertifikate und weitere Neuerungen anbieten. (Let's Encrypt, Technologie) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Jailbreak: Googles Sicherheitsteam hackt mal wieder das iPhone
Mitarbeiter von Googles Project Zero haben mehrere Schwachstellen entdeckt, mit denen sich auf iPhones ab 5s, iPads, und iPods Apples aktuelles Betriebssystem jailbreaken lässt. Ein Patch steht bereits zur Verfügung. (Jailbreak, Google) Advertise on IT Security News. Lesen Sie…
Sicherheit: Keylogger in HP-Notebooks gefunden
Schon wieder wurde in einem vorinstallierten Treiber von HP ein Keylogger gefunden. Zwar ist die Schnüffelfunktion standardmäßig deaktiviert, ein Forscher fand allerdings einen Weg, das zu ändern. (Security, Treiber) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Modems: Huawei und Telekom warnen vor Angriffen auf Wartungsports
Ein IoT-Botnetz greift derzeit weltweit Modems von Huawei über einen Wartungsport an, die Deutsche Telekom spricht von bis zu 100.000 infizierten Geräten. Huawei gibt Sicherheitstipps und will einen Patch bereitstellen. (Huawei, Telekom) Advertise on IT Security News. Lesen Sie…
Antivirus: Microsoft bringt Extra-Patch für kritische Lücke in Defender
Erneut trifft es Windows Defender: Ein Speicherfehler kann Angreifer in die Lage versetzen, den Virenscanner zum Ausführen von Code zu nutzen. Microsoft hält aktive Exploits allerdings für unwahrscheinlich, Patches werden verteilt. (Security, Virenscanner) Advertise on IT Security News. Lesen…
Bridge: Protonmail startet lokalen IMAP-Server für Verschlüsselung
Mit einer neuen Software sollen verschlüsselte E-Mails praxistauglicher werden: Proton stellt die Bridge vor. Diese übernimmt die Verschlüsselung und kommuniziert via IMAP und SMTP mit dem Mailclient. (Protonmail, Mac OS X) Advertise on IT Security News. Lesen Sie den…
Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
Microsoft hat aus Versehen ein Wildcard-Zertifikat für seinen Clouddienst Dynamics 365 veröffentlicht – und schaffte es über Monate nicht, auf Hinweise zu reagieren. Zwischenzeitlich empfahl der Support uns sogar, eine Krisenreaktionsfirma aus der Ölindustrie anzurufen, um das Problem zu beseitigen.…
Dynamics 365: Microsoft leakt Wildcard-Zertifikat for Clouddienst
Für die Cloud-Anwendung Dynamics 365s for Operations hat Microsoft ein Wildcard-Zertifikat für alle Instanzen genutzt. Bei einer Trail-Version konnte der private Schlüssel extrahiert werden. Somit wäre es möglich, alle anderen Kunden anzugreifen. Microsoft bestritt zunächst, dass ein Sicherheitsproblem bestehe. (Microsoft,…
Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Die Werbewirtschaft läuft weiter Sturm gegen die geplante EU-Verordnung zum Schutz vor Nutzertracking. Doch die Bundesregierung geht in einer Studie offenbar bewusst von nicht belegten Zahlen aus und verkehrt die Nutzererwartungen in ihr Gegenteil. (EU, Datenschutz) Advertise on IT…
AI Type: 31 Millionen Kundendaten von Tastaturanbieter veröffentlicht
Ein peinlicher Fehler, der dazu noch die ungeheure Datensammelwut des Herstellers zeigt: AI Type hat eine Datenbank mit mehr als 500 Gbyte Kundendaten ins Netz gestellt. (Security, Smartphone) Advertise on IT Security News. Lesen Sie den ganzen Artikel: AI…
Mobilfunknetze: LTE Roaming hat ähnliche Probleme wie SS7
Forscher demonstrieren auf der Konferenz Black Hat Europe ähnliche Sicherheitsprobleme für das LTE Roaming, wie diese auch für das vollkommen veraltete SS7 existieren. Schlimmstenfalls lassen sich damit Sprachnachrichten analysieren. (Security, Long Term Evolution) Advertise on IT Security News. Lesen…
Firmware-Bug: Codeausführung in deaktivierter Intel-ME möglich
Sicherheitsforscher demonstrieren einen Angriff auf Intels ME zum Ausführen von beliebigem Code, gegen den weder das sogenannte Kill-Bit noch die von Google geplanten Sicherheitsmaßnahmen für seine Server helfen. Theoretisch lassen sich Geräte so auch aus der Ferne angreifen. (Intel, Server)…
Kryptowährung: 4.700 Bitcoin von Handelsplattform Nicehash gestohlen
Es soll ein „hochprofessioneller Angriff mit fortgeschrittenem Social Engineering“ gewesen sein: Der Handelsplattform Nicehash wurden Bitcoin im Wert von knapp 64 Millionen US-Dollar gestohlen. Nutzer sollen ihre Passwörter ändern. (Bitcoin, Internet) Advertise on IT Security News. Lesen Sie den…
Plexcorps: SEC friert Konten von Kryptowährungsstartup ein
Weil das Unternehmen unfassbare Gewinne versprach und mit offenbar nicht existenten Experten warb, wurden die Gelder des Kryptowährungsstartups Plexcorps eingefroren. Das Unternehmen widerspricht den Betrugsvorwürfen der SEC. (Blockchain, Internet) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Berlin: Verfassungsschutz hat Lizenz zur Gesichtserkennung
Der Berliner Senat hält es für legal, dass die Verfassungsschutzbehörde ihren Dokumentenbestand künftig mit einem Programm zur biometrischen Gesichtserkennung durchforstet. (Biometrie, Internet) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Berlin: Verfassungsschutz hat Lizenz zur Gesichtserkennung
Android: Google scannt künftig auch Apps aus anderen App-Stores
Android-Apps, die private Daten übertagen, müssen künftig deutlich darauf hinweisen. Die neuen Regeln betreffen auch Apps aus alternativen Stores – Google könnte säumige Entwickler mit Warnhinweisen in der Safe-Browsing-API bestrafen. (Google, Android) Advertise on IT Security News. Lesen Sie…
Linux: Weiterer Patch für Dirty-Cow-Sicherheitslücke
Das Kernel-Team patcht erneut gegen Dirty Cow – allerdings in einer weniger schlimmen Variante. Angreifer können das verwundbare Linux-System gezielt zum Absturz bringen. (Dirty Cow, Android) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Linux: Weiterer Patch…
Sicherheitslücke in Mailclients: E-Mails versenden als potus@whitehouse.gov
Ein Request for Comments aus dem Jahr 1992 ermöglicht einen Angriff auf fast alle Mailclients. So lassen sich glaubhaft aussehende E-Mails mit beliebiger Absenderadresse verschicken. (E-Mail, Apple) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitslücke in…
Android: Patch für Pixel-Smartphones schließt Krack-Lücke
Google will in dieser Woche aktuelle Sicherheitspatches für Android veröffentlichen. Damit erhalten nun auch Pixel-Smartphones einen Schutz gegen die Krack-Sicherheitslücke. Außerdem müssen weitere Sicherheitslöcher beseitigt werden. (Android, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Android:…
TIO-Networks: Datenleck bei Paypal-Zukauf betrifft 1,6 Millionen Kunden
Das Unternehmen TIO-Networks ist erst vor einem halben Jahr von Paypal gekauft worden – jetzt stoppt das Unternehmen die Geschäfte wegen einer Sicherheitslücke. Bis zu 1,6 Millionen Nutzer könnten betroffen sein. (Security, Server) Advertise on IT Security News. Lesen…
Venezuela: Kryptowährung soll selbsterklärten Sozialismus retten
Es klingt nach einem verzweifelten Plan – ob er jemals umgesetzt wird ist völlig offen: Nicolas Maduro will Venezuela durch die Einführung einer Kryptowährung retten. (Blockchain, Applikationen) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Venezuela: Kryptowährung…
Spionage: Geheime NSA-Dokumente für einen schöneren Lebenslauf
Ein ehemaliger Mitarbeiter der NSA hat Unterlagen und Malware mit nach Hause genommen, um damit an seinem Lebenslauf zu arbeiten. Damit löste er eine Kette von Anschuldigungen aus, die vor allem die Sicherheitsfirma Kaspersky betreffen. (Kaspersky, Virenscanner) Advertise on…
iOS 11.2: Am 2. Dezember drohen Absturzprobleme bei einigen iPhones
Wer iOS 11 am heutigen 2. Dezember 2017 noch verwendet, dem drohen laut Apple Abstürze und Neustart-Schleifen. Als Lösung wurde dafür iOS 11.2 freigegeben. Doch das Update alleine reicht laut Apple nicht. Vor dem Aufspielen müssen Vorbereitungen getroffen werden. (Apple,…
iOS 11.2: Der 2. Dezember ist ein Absturzproblem für einige iPhones
Wer iOS 11 am heutigen 2. Dezember 2017 noch verwendet, dem drohen laut Apple Abstürze und Neustart-Schleifen. Als Lösung wurde dafür iOS 11.2 freigegeben. Doch das Update alleine reicht laut Apple nicht. Vorbereitungen müssen vor dem Einspielen durchgeführt werden. (Apple,…
Finnairs Gesichtsscanner ausprobiert: Boarden mit einem Blick in die Kamera
Finnair experimentiert mit Alternativen zu herkömmlichen Möglichkeiten, sich am Flughafen zu identifizieren. Ein Gesichtsscanner könnte künftig Ausweis und Boardingpass ersetzen. Auf der Slush-Konferenz hat Finnair die Technik demonstriert – wir haben sie ausprobiert. (Slush 2017, Biometrie) Advertise on IT…
Systemstabilität: Chrome schmeißt Virenscanner raus
Kein Zugang mehr für Virenscanner: Chrome verhindert künftig Code-Injektion durch andere Programme in den Browser. Damit soll die Systemstabilität erhöht werden. Für einige Programme gibt es allerdings Ausnahmen. (Chrome, Google) Advertise on IT Security News. Lesen Sie den ganzen…
Abgelaufen: LinkedIn vergisst TLS-Zertifikate
Für fast drei Stunden waren heute die Zertifikate aller Subdomains des Berufsnetzwerks LinkedIn ausgelaufen. Peinlich, da die meisten Suchmaschinen darauf verweisen. (TLS, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Abgelaufen: LinkedIn vergisst TLS-Zertifikate
Schrems-Projekt Noyb: Das geht dich nichts an, Schufa-Facebook-Google
Max Schrems ist der Mann, den Datensammler wie Facebook vor Gericht fürchten. Nun sucht sein Projekt Noyb – „none of your business“ – neue Kläger gegen Konzerne. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen…
Schrems-Projekt Nyob: Das geht dich nichts an, Schufa-Facebook-Google
Max Schrems ist der Mann, den Datensammler wie Facebook vor Gericht fürchten. Nun sucht sein Projekt Noyb – „none of your business“ – neue Kläger gegen Konzerne. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen…
Apple zu Bugs in High Sierra: „Leider sind wir bei diesem Release von MacOS gestolpert“
Apples Patch für den Root-Bug kann dazu führen, dass File-Sharing-Dienste nicht mehr funktionieren – es gibt aber eine einfache Lösung für das Problem. Das Unternehmen hat sich auch grundsätzlich zu Fehlern in MacOS High Sierra geäußert. (Mac OS, Apple) …
MacOS High Sierra: Apple veröffentlicht Patch für Root-Lücke
Der Patch ist da: Apple hat schnell reagiert und schließt die IamRoot-Lücke in MacOS High Sierra. Der Patch sollte umgehend eingespielt werden, dann ist auch der bisherige Workaround obsolet. (Mac OS, Apple) Advertise on IT Security News. Lesen Sie…
Kostenfreier Strom aus dem Supercharger: Cryptomining im Tesla-Kofferraum
Die Kurse von Bitcoin und Ethereum springen von Rekord zu Rekord – da werden Menschen kreativer beim Mining. Ein Tesla-Fahrer versucht offenbar, den kostenfreien Strom des Superchargers in Kryptowährung umzuwandeln. Doch der Plan ist nicht ohne Tücken. (Ethereum, Elektroauto) …
Kostenfreier Virenscanner: Avira verärgert Nutzer mit „Raubkopie“-Anzeige
Wie kann der kostenfreie Virenscanner eine „Raubkopie“ sein? Das fragten sich viele Avira-Nutzer nach einer entsprechenden Anzeige in ihrem Programm. Der Hersteller beschwichtigt und sagt, es handele sich um eine fälschlicherweise platzierte Anzeige. (Avira, Virenscanner) Advertise on IT Security…
Kostenfreier Virenscanner: Avira verärgert Nutzer mit Raubkopie-Anzeige
Wie kann der kostenfreie Virenscanner eine „Raubkopie“ sein? Das fragten sich viele Avira-Nutzer nach einer entsprechenden Anzeige in ihrem Programm. Der Hersteller beschwichtigt und sagt, es handele sich um eine fälschlicherweise platzierte Anzeige. (Avira, Virenscanner) Advertise on IT Security…
Neues Captcha: Facebook verlangt Foto zur Identifizierung
Wer kein Porträtbild von sich hochlädt, bekommt keinen Zugriff auf sein Profil: Mit dieser drastischen Methode will Facebook in seinem Netzwerk künftig möglicherweise den Unterschied zwischen Menschen und Bots erkennen. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen…
Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards – und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen. (TLS, Verschlüsselung)…
Privilege Escalation: MacOS High Sierra ermöglicht Root-Anmeldung ohne Passwort
Schon wieder ein kritischer Fehler in MacOS High Sierra: Angreifer können sich auf einem entsperrten PC als Administrator einloggen, ohne ein Passwort zu kennen. Es gibt bislang keinen Patch, aber einen einfachen Workaround. (Security, Mac OS X) Advertise on…
Fahrzeugsicherheit: Kartendienst Here kauft Anbieter für Online-Updates
Die Updates für Autosoftware sollen künftig über Mobilfunk eingespielt werden. Dazu hat der Kartendienst Here mit ATS Advanced Telematic Systems ein Berliner Start-up übernommen. (Black Hat 2016, Technologie) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Fahrzeugsicherheit:…
Übernahme: McAfee kauft Cloudspezialisten Skyhigh Networks
Die Konsolidierung im Sicherheitsmarkt geht weiter: McAfee kauft das auf Cloud-Sicherheitslösungen spezialisierte Unternehmen Skyhigh Networks. Der McAfee-CEO lobt, Skyhigh habe eine ganz neue Produktkategorie erfunden. (McAfee, Applikationen) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Übernahme: McAfee…
Jessica Barker im Interview: „Die Kriminellen sind bessere Psychologen als wir“
Unternehmen, die ihre IT vor Angriffen schützen wollen, sollten sich Rat aus der Soziologie und der Psychologie holen, sagt die Unternehmensberaterin Jessica Barker. Im Interview erklärt sie auch, warum Security-Experten optimistischer über Sicherheitstechnologien sprechen sollten. (Deepsec, Interview) Advertise on…
Cloud Made in Germany: Verschlüsselter Cloudspeicher bei GMX und Web.de gestartet
Kunden von GMX und Web.de sollen künftig „ohne Expertenwissen“ auf verschlüsselte Online-Speicher zugreifen können. Dafür nutzt 1&1 eine Version der Cryptomator-Software. Sie gibt es jedoch noch nicht für alle Betriebssysteme. (GMX, E-Mail) Advertise on IT Security News. Lesen Sie…