Im ersten Quartal dieses Jahres verzeichnete die Anti-Phishing Working Group 250 Prozent mehr Phishing-Webseiten als Ende vergangenen Jahres. Der ganze Artikel lesen: Phishing-Attacken auf Allzeithoch
Kategorie: heise Security
Online-Schwarzmarkt: Geklaute Kreditkarten und DDoS-Attacken für ’n Appel und ’n Ei
In Untergrund-Marktplätzen gehen Verkäufer neuerdings mit 24/7-Service auf Kundenfang. Oft wird versprochen, dass nur eine erfüllte Dienstleistung bezahlt werden muss, berichten Sicherheitsforscher. Der ganze Artikel lesen: Online-Schwarzmarkt: Geklaute Kreditkarten und DDoS-Attacken für ’n Appel und ’n Ei
Gehackte Promi-Nacktbilder: Angeklagter bekennt sich vor Gericht schuldig
Mit Phishing-Mails hat ein Mann aus dem US-Bundesstaat Pennsylvania Zugriff auf über 100 Apple- und Google-Accounts erlangt. Intime Fotos von Prominenten bezog er aus deren iPhone-Backups. Der ganze Artikel lesen: Gehackte Promi-Nacktbilder: Angeklagter bekennt sich vor Gericht schuldig
Crypto Wars 3.0: Enisa und Europol gegen Hintertüren bei Verschlüsselung
Die europäischen Sicherheitsbehörden Europol und Enisa sprechen sich in einem gemeinsamen Positionspapier ausdrücklich gegen Hintertüren aus. Gleichzeitig fordern sie eine enge Kooperation zwischen Unternehmen und Sicherheitsforschung. Der ganze Artikel lesen: Crypto Wars 3.0: Enisa und Europol gegen Hintertüren bei Verschlüsselung
l+f: Pfeif auf die Baustelle, gib Gas!
Welche Strafe wird in Texas eigentlich für das Hacken von elektronischen Verkehrsschildern verhängt? Der ganze Artikel lesen: l+f: Pfeif auf die Baustelle, gib Gas!
Verschlüsselung: Apple heuert Krypto-Experten zurück
Der Mitgründer von PGP Corp und Silent Circle arbeitet nun wieder für den iPhone-Hersteller. Apple steht im Mittelpunkt der "Crypto Wars", die zwischen Strafverfolgern und IT-Firmen ausgetragen werden. Der ganze Artikel lesen: Verschlüsselung: Apple heuert Krypto-Experten zurück
Google will bis 2017 Passwörter auf Android-Geräten loswerden
Schon Ende 2016 sollen Sensoren in Android-Smartphones Benutzer erkennen und einen Trust Score berechnen können. Kennwörter zum Einloggen in bestimmte Services sollen dann nicht mehr nötig sein. Der ganze Artikel lesen: Google will bis 2017 Passwörter auf Android-Geräten loswerden
Erpressungstrojaner & Co.: De Maizière will schnelle Eingreiftruppe gegen Hacker
Angesichts einer wachsenden Bedrohung durch ausgeklügelte Hackerangriffe will der Bundesinnenminister für eine bessere Gegenwehr sorgen. Wirtschaft und Staat sollen kooperieren, eine schnelle Eingreiftruppe Notfallhilfe leisten. Der ganze Artikel lesen: Erpressungstrojaner & Co.: De Maizière will schnelle Eingreiftruppe gegen Hacker
l+f: „Sorry! Bitte benutzen Sie dieses kostenlose Entschlüsselungs-Tool“
Nach der Bekanntgabe des Endes von TeslaCrypt legen die Drahtzieher nun nach – im positiven Sinne. Der ganze Artikel lesen: l+f: „Sorry! Bitte benutzen Sie dieses kostenlose Entschlüsselungs-Tool“
Neben Erpressung nun auch DDoS: Verschlüsselungs-Trojaner Cerber lernt dazu
Mit einer neuen Version von Cerber wollen die Drahtzieher hinter der Ransomware noch mehr Profit generieren: Der Schädling nimmt persönliche Daten als Geisel und die Kriminellen können infizierte Computer für DDoS-Attacken missbrauchen. Der ganze Artikel lesen: Neben Erpressung nun auch…
Typo 3: Kritische Lücke geschlossen, Sicherheits-Update verfügbar
Viele ältere und aktuelle Versionen von Typo3 sind aufgrund einer Schwachstelle angreifbar. Admins sollten zügig aktualisieren. Der ganze Artikel lesen: Typo 3: Kritische Lücke geschlossen, Sicherheits-Update verfügbar
Adobe sichert Connect ab
In verschiedenen Versionen von Adobe Connect für Windows klafft eine Schwachstelle, für die nun ein Sicherheits-Patch bereitsteht. Der ganze Artikel lesen: Adobe sichert Connect ab
Kommentar: Allo, Google? Geht’s noch?
Googles WhatsApp-Alternative Allo verschlüsselt nicht konsequent, sondern liest stattdessen aktiv mit. Was soll das? Der ganze Artikel lesen: Kommentar: Allo, Google? Geht’s noch?
Hacker stahlen mehr als 20 GByte Daten bei Schweizer Rüstungsbetrieb
Ein staatseigener Rüstungsbetrieb und das Schweizer Verteidigungsministerium sind zum Ziel von Hackern geworden. Zumindest ein Angriff war erfolgreich. Der ganze Artikel lesen: Hacker stahlen mehr als 20 GByte Daten bei Schweizer Rüstungsbetrieb
Ausweitung der Angriffe auf kritische Flash-Lücke
Aktuell sollen vermehrt Exploit Kits nach der Schwachstelle Ausschau halten, um verwundbare Computer mit Schadcode zu infizieren. Der ganze Artikel lesen: Ausweitung der Angriffe auf kritische Flash-Lücke
Googles neue Safe Browsing API ab sofort ressourcenschonender
Die neue Version 4 der Safe Browsing API soll alle vorangegangenen ersetzen. Von der neuen Ausgabe sollen vor allem Android-Geräte profitieren. Der ganze Artikel lesen: Googles neue Safe Browsing API ab sofort ressourcenschonender
Japan: Kreditkarten-Betrüger erbeuten 13 Millionen US-Dollar
In einem gut koordinierten Raubzug mit 1600 gefälschten Kreditkarten hoben Kriminelle in Japan etwa 1,4 Milliarden Yen ab. Gefälscht wurden dazu offenbar Karten einer südafrikanischen Bank. Der ganze Artikel lesen: Japan: Kreditkarten-Betrüger erbeuten 13 Millionen US-Dollar
20 Millionen Instagram-Accounts hätten womöglich gekapert werden können
Mit vergleichsweise wenig Aufwand hätte ein Sicherheitsforscher Accounts von Instagram-Nutzern kapern können. Mittlerweile wurde der wunde Punkt verarztet. Der ganze Artikel lesen: 20 Millionen Instagram-Accounts hätten womöglich gekapert werden können
Klage gegen Facebook wegen Scans privater Nachrichten
Laut einer bei einem kalifornischen Bezirksgericht eingereichten Klage soll der Social-Media-Konzern nach wie vor private Nachrichten seiner Benutzer auswerten. Der ganze Artikel lesen: Klage gegen Facebook wegen Scans privater Nachrichten
l+f: Erpressung für den guten Zweck
Ein Verschlüsselungs-Trojaner fordert ein horrendes Lösegeld und will damit Gutes tun. Wer's glaubt … Der ganze Artikel lesen: l+f: Erpressung für den guten Zweck
Wichtiger Sicherheits-Patch für Typo3 voraus
In vielen Typo3-Versionen klafft offensichtlich eine schwerwiegende Sicherheitslücke. Ein Patch soll Anfang nächster Woche erscheinen. Der ganze Artikel lesen: Wichtiger Sicherheits-Patch für Typo3 voraus
FBI muss Mozilla keine Informationen über Sicherheitslücke übergeben
Der Richter in einem Verfahren gegen einen Nutzer einer Kinderpornographie-Plattform hat es abgelehnt, dass Mozilla sich einmischt, um an Informationen über eine Sicherheitslücke im Tor-Browser zu kommen. Der ganze Artikel lesen: FBI muss Mozilla keine Informationen über Sicherheitslücke übergeben
API der Hölle: Magento-Shops lassen sich über REST und SOAP kapern
Die zu eBay gehörige Online-Shop-Software Magento hat mit einem Patch kritische Sicherheitslücken geschlossen. Über eine davon können unangemeldete Angreifer aus der Ferne beliebigen Schadcode ausführen und den Shop samt Kundendaten kapern. Der ganze Artikel lesen: API der Hölle: Magento-Shops lassen…
Messenger Google Allo kommt mit Signal-Verschlüsselung von Moxie Marlinspike
Krypto-Ikone Moxie Marlinspike schickt sich an, den gesamten Messenger-Markt mit seiner Ende-zu-Ende-Verschlüsselung aufzurollen. Neben WhatsApp, Signal und Wire wird auch Googles neuer Messenger Allo darauf zurückgreifen. Der ganze Artikel lesen: Messenger Google Allo kommt mit Signal-Verschlüsselung von Moxie Marlinspike
Messenger Google Alo kommt mit Signal-Verschlüsselung von Moxie Marlinspike
Krypto-Ikone Moxie Marlinspike schickt sich an, den gesamten Messenger-Markt mit seiner Ende-zu-Ende-Verschlüsselung aufzurollen. Neben WhatsApp, Signal und Wire wird auch Googles neuer Messenger Allo darauf zurückgreifen. Der ganze Artikel lesen: Messenger Google Alo kommt mit Signal-Verschlüsselung von Moxie Marlinspike
LinkedIn-Passwort-Leck hat desaströse Ausmaße
Beim Passwort-Diebstahl gab LinkedIn bereits 2012 eine erbärmliche Figur ab. Jetzt stellt sich auch noch heraus, dass nicht nur die damals veröffentlichten 6 Millionen Passwörter geklaut wurden, sondern über 100 Millionen im Untergrund gehandelt werden. Der ganze Artikel lesen: LinkedIn-Passwort-Leck…
Fingerabdruckscanner: iOS verschärft Passwort-Abfrage
iPhone und iPad verlangen unter bestimmten Voraussetzungen schon nach acht Stunden die Eingabe des Passwortes, der Fingerabdruck allein reicht nicht mehr. Das FBI hatte jüngst eine Frau gezwungen, ihr iPhone per Touch ID zu entsperren. Der ganze Artikel lesen: Fingerabdruckscanner:…
Erpressungs-Trojaner TeslaCrypt gibt auf: Master-Schlüssel veröffentlicht
Die Drahtzieher hinter TeslaCrypt haben den Stecker gezogen und den Master-Schlüssel in Umlauf gebracht: Opfer der Ransomware können nun ohne Lösegeld zu zahlen wieder Zugriff auf ihre Daten bekommen. Der ganze Artikel lesen: Erpressungs-Trojaner TeslaCrypt gibt auf: Master-Schlüssel veröffentlicht
Sicherheitslücken erlauben DoS-Angriffe auf Cisco-ASA-Firewalls
Cisco hat zwei Fehler in der Software seiner Adaptive Security Appliances behoben, die es Angreifern aus dem öffentlichen Netz erlauben, die Firewall zum Erliegen zu bringen. Der ganze Artikel lesen: Sicherheitslücken erlauben DoS-Angriffe auf Cisco-ASA-Firewalls
Die Crypto Wars und die Folgen: Wie uns alte Hintertüren weiter verfolgen
Erneut fordern Politiker, Geheimdienste und Strafverfolger, Krypto-Software absichtlich zu schwächen. Das war schon einmal vorgeschrieben und die Konsequenzen verfolgen uns noch heute: Verheerende Sicherheitslücken haben genau darin ihren Ursprung. Der ganze Artikel lesen: Die Crypto Wars und die Folgen: Wie…
Sicherheitsrichtlinie: EU-Rat billigt Meldepflicht bei Cyberangriffen
Die EU-Mitgliedsstaaten haben den Kompromiss zur geplanten Richtlinie über Netz- und Informationssicherheit angenommen, den Verhandlungsführer zuvor mit dem EU-Parlament ausgehandelt hatten. Es geht um Sicherheitsauflagen für Online-Anbieter. Der ganze Artikel lesen: Sicherheitsrichtlinie: EU-Rat billigt Meldepflicht bei Cyberangriffen
Hacker weiden Untergrund-Forum Nulled.IO aus
Im Hacker-Forum Nulled.IO treffen sich Gleichgesinnte und handeln etwa mit erbeuteten Nutzer-Konten. Ironischerweise wurde Nulled.IO nun selbst Opfer einer verheerenden Hacker-Attacke. Der ganze Artikel lesen: Hacker weiden Untergrund-Forum Nulled.IO aus
Apple wirft Jailbreak-Erkennungs-App wieder raus
Das Tool einer Sicherheitsfirma ist nicht länger im App Store zu finden. Als Grund für den Rauswurf führt Apple "möglicherweise unzutreffende oder irreführende Diagnosefunktionen" ins Feld. Der ganze Artikel lesen: Apple wirft Jailbreak-Erkennungs-App wieder raus
OS X 10.11.5 beseitigt Fehler bei Konfigurationsprofilen
Das El-Capitan-Update räumt bestimmte Probleme bei der Verwendung im Enterprise-Bereich aus, teilte Apple mit. Die neue Version schließt auch eine lange Liste an Sicherheitslücken, für OS X 10.10 und 10.9 gibt es eigene Aktualisierungen. Der ganze Artikel lesen: OS X…
Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton
Ein gefährlicher Bug in der Scan Engine von Symantec zieht weite Kreise und bedroht alle Symantec- und Norton-Produkte auf allen Plattformen, warnt ein Sicherheitsforscher. Der ganze Artikel lesen: Kritische Lücke gefährdet Antiviren-Produkte von Symantec und Norton
Chrome könnte Flash noch dieses Jahr standardmäßig blockieren
Google plant anscheinend, HTML5 noch stringenter als Standard in seinem Webbrowser Chrome einzusetzen. Flash-Inhalte sollen im Zuge dessen entweder gar nicht mehr oder nur in Ausnahmefällen wiedergegeben werden. Der ganze Artikel lesen: Chrome könnte Flash noch dieses Jahr standardmäßig blockieren
Kaspersky treibt Katz und Maus Spiel mit Erpressungs-Trojaner CryptXXX
Die Macher von CryptXXX sperrten jüngst ein Entschlüsselungs-Tool für ihre Ransomware aus. Nun haben die Entwickler des Werkzeugs nachgelegt. Der ganze Artikel lesen: Kaspersky treibt Katz und Maus Spiel mit Erpressungs-Trojaner CryptXXX
Erpressungs-Trojaner: Jigsaw mutiert zu CryptoHitman und ist geknackt
Die Drahtzieher hinter der Ransomware Jigsaw müssen trotz ihrer neuen Version namens CryptoHitman eine Schlappe einstecken: Opfer brauchen dank eines kostenlosen Entschlüsselungs-Tools kein Lösegeld mehr zahlen. Der ganze Artikel lesen: Erpressungs-Trojaner: Jigsaw mutiert zu CryptoHitman und ist geknackt
Als Chef getarnt fordern Internet-Kriminelle Geld von Firmen
Mit psychologischen Tricks machen sich Straftäter im Internet an zuvor gezielt ausgesuchte Mitarbeiter von Firmen heran. Es geht um Geld oder Geschäftsgeheimnisse. Das Social Engineering hat aber noch mehr Facetten. Der ganze Artikel lesen: Als Chef getarnt fordern Internet-Kriminelle Geld…
Kryptogeldinstitut Gatecoin gehackt
Hacker haben die Bank für digitales Geld Gatecoin um umgerechnet 1,8 Millionen Euro erleichtert. Gatecoin hat seinen Dienst vorübergehend eingestellt. Der ganze Artikel lesen: Kryptogeldinstitut Gatecoin gehackt
Virus Total sperrt kleinere AV-Firmen aus
Einem Bericht zufolge will Google Anti-Viren-Hersteller von seiner Online-Viren-Datenbank ausschließen, da sie nicht genug eigene Daten zur Verfügung stellen, aber trotzdem von den neuen Malware-Samples profitieren. Der ganze Artikel lesen: Virus Total sperrt kleinere AV-Firmen aus
Größtes deutschsprachiges Untergrundforum offline: Polizeiaktion gegen Crimenetwork.biz?
Vor kurzem wurde der Drogenmarktplatz Chemical Love von den Behörden abgeschaltet, nun wird spekuliert, ob es dem Onlineforum crimenetwork.biz genauso ergangen ist. Der ganze Artikel lesen: Größtes deutschsprachiges Untergrundforum offline: Polizeiaktion gegen Crimenetwork.biz?
Zahlungsdienstleister Swift warnt vor Angriffswelle auf Banken
Internationale Finanzströme geraten verstärkt ins Visier von Cyberkriminellen. Nach einem 80-Millionen-Coup meldet Swift die zweite Attacke auf eine Bank innerhalb weniger Monate. Die EZB will nun eine Meldestelle einrichten. Der ganze Artikel lesen: Zahlungsdienstleister Swift warnt vor Angriffswelle auf Banken
Mit Backups (nicht nur) gegen Erpressungs-Trojaner
Erpressungstrojaner zielen darauf ab, unersetzliche Daten zu verschlüsseln und dann Lösegeld zu erpressen. Darauf muss man sich nicht einlassen: Regelmäßige Backups müssen nicht weh tun, zeigt c't in einem Schwerpunkt. Der ganze Artikel lesen: Mit Backups (nicht nur) gegen Erpressungs-Trojaner
EZB plant Meldestelle für Cyber-Angriffe auf Banken
Auch die Bankenaufseher der Europäischen Zentralbank reagieren auf die wachsende Zahl von Angriffen mit einer Meldepflicht bei schwerwiegenden Bedrohungen. Der ganze Artikel lesen: EZB plant Meldestelle für Cyber-Angriffe auf Banken
Patchday: Adobe schiebt Update für kritische Flash-Lücke nach
Aufgeschoben ist nicht aufgehoben: Adobe hat den kritischen Flash-Patch nachgeliefert, den die Firma am Patchday versprochen hatte. Jetzt sollten Flash-Anwender mal wieder schleunigst patchen. Der ganze Artikel lesen: Patchday: Adobe schiebt Update für kritische Flash-Lücke nach
Trend Micro: Pawn Storm hat nach dem Bundestag nun die CDU im Visier
Nachdem vermutlich russische Hacker der IT des deutschen Parlaments schweren Schaden zugefügt hatten, nehmen sie nun offenbar auch andere politische Player ins Fadenkreuz. Der ganze Artikel lesen: Trend Micro: Pawn Storm hat nach dem Bundestag nun die CDU im Visier
Allwinner vergisst Root-Cheatcode im Kernel für Sunxi-SoCs
Mehrere ARM-Entwicklerboards und Billig-Tablets lassen sich über die Lücke auf einfachste Weise rooten. Der ganze Artikel lesen: Allwinner vergisst Root-Cheatcode im Kernel für Sunxi-SoCs
US-CERT warnt Betreiber von SAP-Systemen
Anlass der Sicherheitswarnung des Computer-Notfall-Teams der USA ist ein Bericht, demzufolge mindestens 36 Organisationen in der ganzen Welt über eine SAP-Lücke angegriffen und kompromittiert wurden. Der ganze Artikel lesen: US-CERT warnt Betreiber von SAP-Systemen
Mozilla verlangt vom FBI Informationen über potenzielle Sicherheitslücken im Tor-Browser
In Firefox steckt möglicherweise eine bedeutende Sicherheitslücke. Diese könnte Mozilla in Erfahrung bringen, falls es sich in einem Verfahren um Kinderpornos durchsetzt. Der ganze Artikel lesen: Mozilla verlangt vom FBI Informationen über potenzielle Sicherheitslücken im Tor-Browser
Massiver Gewinneinbruch bei TalkTalk nach Hackerangriff
Wie ernst der Verlust von Kundendaten sein kann, musste der britische Provider TalkTalk nun erfahren: Der Gewinn der Firma brach als Reaktion auf das Datenleck im Oktober um mehr als die Hälfte ein. Der ganze Artikel lesen: Massiver Gewinneinbruch bei…
Entpacker 7-Zip kann zum Ausführen von Schadcode missbraucht werden
Über eine Lücke im Kompressions-Tool 7-Zip können Angreifer Schadcode ausführen und eventuell auch den Rechner des Opfers kapern. Besonders brisant: Der Open-Source-Code des Tools steckt auch in Sicherheitssoftware. Der ganze Artikel lesen: Entpacker 7-Zip kann zum Ausführen von Schadcode missbraucht…
Erpressungs-Trojaner: Entschlüsselungs-Tool scheitert an neuer CryptXXX-Version
Bis vor kurzem konnten Opfer der Ransomware CryptXXX dank eines kostenlosen Tools wieder Zugriff auf ihre Daten bekommen. Nun hat sich der Schädling weiterentwickelt. Der ganze Artikel lesen: Erpressungs-Trojaner: Entschlüsselungs-Tool scheitert an neuer CryptXXX-Version
Android Studio und IntelliJ-IDEs erhalten kritische Sicherheitsupdates
Android Studio 2.1.1 und die Updates der IntelliJ-IDEs schließen zwei Sicherheitslücken, die unter anderem den Zugang auf das lokale Dateisystem über den integrierten Webserver erlauben. Der ganze Artikel lesen: Android Studio und IntelliJ-IDEs erhalten kritische Sicherheitsupdates
Weltgrößte Porno-Seite Pornhub zahlt ab sofort Bug Bounties
Sicherheitsforscher können bis zu einer Viertelmillion Dollar damit verdienen, Lücken zu melden. Welch schwerwiegende Folgen ein Angriff auf solch brisante Webseiten haben kann, zeigt ein aktuelles Datenleck beim Fisting-Forum Rosebutt Board. Der ganze Artikel lesen: Weltgrößte Porno-Seite Pornhub zahlt ab…
EU-Parlament weitet Europol-Befugnisse im Anti-Terror-Kampf deutlich aus
Der Auftrag von Europol wird auf grenzüberschreitende Kriminalität etwa im Internet und die Terrorismusbekämpfung ausgedehnt, hat das EU-Parlament beschlossen. Die Kooperation mit Firmen wie Facebook oder Google soll gestärkt werden. Der ganze Artikel lesen: EU-Parlament weitet Europol-Befugnisse im Anti-Terror-Kampf deutlich…
DDoS für den guten Zweck: Erpressergruppe caremini spielt Robin Hood
"Wir sind caremini. Wir sammeln Spenden ein." Mit diesen Worten beginnt die E-Mail einer Erpressergruppe, die momentan deutschen Webseitenbetreibern droht, deren Server per Denial-of-Service-Attacke aus dem Netz zu prügeln. Der ganze Artikel lesen: DDoS für den guten Zweck: Erpressergruppe caremini…
Hintergrund: Dridex analysiert
Eine kleine Artikelreihe zeigt, wie man einen Bot-Netz-Client mit dem Debugger auseinander nimmt. Der ganze Artikel lesen: Hintergrund: Dridex analysiert
heisec-Webinar: Erpressungs-Trojanern richtig vorbeugen
c't-Redakteur Ronald Eikenberg erklärt, was Admins von Locky & Co zu befürchten haben und wie sie sich einfach und effizient dagegen schützen können. Der ganze Artikel lesen: heisec-Webinar: Erpressungs-Trojanern richtig vorbeugen
IBM: Watson soll Verbrecher jagen
Der Supercomputer Watson soll dafür trainiert werden, Sicherheitsanalysten zur Seite zu stehen. Watson soll nicht nur erfolgte Cyberattacken analysieren, sondern auch vor Angriffen warnen und Abwehrmaßnahmen vorschlagen können. Der ganze Artikel lesen: IBM: Watson soll Verbrecher jagen
Adobe-Patchday: Fix für Flash-Zero-Day erst mal nur für Windows
Adobe schließt 92 Sicherheitslücken im Reader und ColdFusion-Server bekommen einen Hotfix. Ein Update für eine kritische Flash-Lücke, die bereits aktiv für Angriffe missbraucht wird, steht allerdings noch aus. Nur Microsoft-Nutzer erhalten hier Hilfe. Der ganze Artikel lesen: Adobe-Patchday: Fix für…
Anwendungs-Container: Security-Scan-Service für Docker-Container
Wie das von CoreOS betriebene Clair-Projekt ist das Docker Security Scanning ein Werkzeug, das auf Basis von CVE-Datenbanken Anwendungs-Container nach bekannten Sicherheitslücken durchsucht. Der ganze Artikel lesen: Anwendungs-Container: Security-Scan-Service für Docker-Container
Patchday: Microsoft schließt Zero-Day-Lücke im Internet Explorer
Wie jeden Monat heißt es auch im Mai für Windows-Nutzer wieder einmal: Jetzt schnell Patches einspielen! Diesmal ist es besonders dringend, denn eine im Patchday geschlossene Lücke wurde bereits vor ihrer Veröffentlichung aktiv für Angriffe missbraucht. Der ganze Artikel lesen:…
l+f: Alu-Hut? Alu-Hoodie!
Neues aus unserer Rubrik: "Nur weil die paranoid bist, heißt das noch lange nicht, dass sie nicht hinter dir her sind" Der ganze Artikel lesen: l+f: Alu-Hut? Alu-Hoodie!
Britischer Hacker muss Passwörter nicht den Behörden übergeben
Ein britisches Gericht will den Ermittlungsbehörden nicht dabei helfen, an die Passwörter zu verschlüsselten Datenträgern des Hacktivisten Lauri Love zu gelangen. Der ganze Artikel lesen: Britischer Hacker muss Passwörter nicht den Behörden übergeben
Böse Bilder: Akute Angriffe auf Webseiten über ImageMagick
Die Gnadenfrist ist abgelaufen. Wer ein ungepatchtes ImageMagick auf seinem Server einsetzt, sollte schnellstens handeln, denn nun sind Exploits im Umlauf. Der ganze Artikel lesen: Böse Bilder: Akute Angriffe auf Webseiten über ImageMagick
xt:Commerce: Dringende Patches ohne Details
Der Anbieter des Online-Shop-Systems xt:Commerce verteilt aktuell einen Sicherheitspatch. Betroffene Admins sollten die abgesicherten Versionen mit "sehr hoher Priorität" einspielen. Der ganze Artikel lesen: xt:Commerce: Dringende Patches ohne Details
Fast unauffindbar: Skimming mit Deep-Insert-Wanzen in Bankautomaten
Kriminelle schieben Rasiermesser-dünne Kartenlese-Wanzen direkt in den Kartenschlitz von Bankautomaten und greifen so die Kartendaten ihrer Opfer ab. Der ganze Artikel lesen: Fast unauffindbar: Skimming mit Deep-Insert-Wanzen in Bankautomaten
iOS-App soll versteckte Jailbreaks erkennen
Das Tool einer Sicherheitsfirma nennt laufende Prozesse und andere Systeminformationen für iPhone und iPad. Die App soll auch Jailbreaks und Anomalien aufdecken. Der ganze Artikel lesen: iOS-App soll versteckte Jailbreaks erkennen
l+f: Totgesagte und so: Phrack 69
Unter anderem mit einer Vorstellung eines der kreativsten Hacker aller Zeiten: Solar Designer gibt sich die Ehre. Der ganze Artikel lesen: l+f: Totgesagte und so: Phrack 69
WordPress-Plugin bleibt ungefixt
Ein Sicherheitsforscher deckte zwei Lücken in der WordPress-Erweiterung Event-Registration auf; die Hersteller reagieren jedoch nicht. Der ganze Artikel lesen: WordPress-Plugin bleibt ungefixt
Mail-Provider: Kaum aktive Accounts in riesigem Datenschatz
Die von einem Sicherheitsberater in einem russischen Forum gefundenen Zugangsdatensätze sind nach Angaben der betroffenen E-Mail-Anbieter überwiegend nicht mehr aktuell. Der ganze Artikel lesen: Mail-Provider: Kaum aktive Accounts in riesigem Datenschatz
Windows-7-Update verhindert Boot auf Asus-Mainboards
Das Update KB3133977 für Windows 7 führt bei einigen ASUS-Mainboards mit UEFI zu einem Abbruch des Boot-Vorgangs. Der ganze Artikel lesen: Windows-7-Update verhindert Boot auf Asus-Mainboards
l+f: Dridex-Botnet behauptet: Locky ist blöd
Eigentlich verteilt das Botnet der Dridex-Bande Banking- und Erpressungs-Trojaner. Doch bereits zum zweiten Mal haben Unbekannte unter der Flagge der Guten Server geentert. Der ganze Artikel lesen: l+f: Dridex-Botnet behauptet: Locky ist blöd
l+f: Erpressungs-Trojaner zum Spottpreis für maximalen Gewinn
Kriminelle können die Ransomware Alpha Locker vergleichsweise extrem günstig einkaufen und anschließend richtig Kasse machen. Der ganze Artikel lesen: l+f: Erpressungs-Trojaner zum Spottpreis für maximalen Gewinn
Studie: TLS-Proxies bringen Sicherheitsprobleme
Unter 14 Antivirus- und Kinderschutzprodukten, die Inhalte in gesicherten TLS-Verbindungen filtern, fand sich kein einziges, das dabei keine zusätzlichen Sicherheitsprobleme verursachte. Der ganze Artikel lesen: Studie: TLS-Proxies bringen Sicherheitsprobleme
Xcode-Update flickt Git-Sicherheitslücke
Seit über zwei Wochen ist bekannt, dass Entwickler-Macs durch einen Fehler in einer Xcode-Komponente angreifbar sind. Nun liefert Apple endlich einen Fix. Der ganze Artikel lesen: Xcode-Update flickt Git-Sicherheitslücke
PaX Team stellt Schutz vor Code Reuse Exploits vor
Der Reuse Attack Protector des PaX Team soll bösartige Quereinsteiger-Exploits blocken. Der ganze Artikel lesen: PaX Team stellt Schutz vor Code Reuse Exploits vor
Nintendo verbannt Indie-Spiel VVVVVV wegen Schwachstelle aus dem eShop
Im Plattformer VVVVVV versteckt sich eine Schwachstelle, über die unsignierter Code auf dem 3DS ausgeführt werden kann. Nintendo reagiert mit der Löschung des Indie-Spiels. Der ganze Artikel lesen: Nintendo verbannt Indie-Spiel VVVVVV wegen Schwachstelle aus dem eShop
l+f: 10-Jähriger Bug-Jäger kassiert ab
Ein sehr junger Sicherheitsforscher schlich sich auf die Server von Instagram und konnte beliebige Posts manipulieren. Der ganze Artikel lesen: l+f: 10-Jähriger Bug-Jäger kassiert ab
Höflicher Erpressungstrojaner entschuldigt sich und bittet um Geschenke
Ein neuer Krypto-Trojaner geht um: Die Alpha Ransomware verlangt iTunes-Gutscheine vom Opfer, sonst bleiben die Daten mit AES-256 verschlüsselt. Der Erpresserbrief ist überraschend höflich, verschweigt allerdings wichtige Details. Der ganze Artikel lesen: Höflicher Erpressungstrojaner entschuldigt sich und bittet um Geschenke
Microsoft will Angebot von Updates umorganisieren
Ab Anfang nächster Woche will Microsoft nicht mehr alle Updates über das Microsoft Download Center zum Herunterladen bereitstellen. Der ganze Artikel lesen: Microsoft will Angebot von Updates umorganisieren
Webseiten mit ImageMagick-Bibliothek im Fokus von Angreifern
Durch das alleinige Hochladen von präparierten Bildern auf Webseiten die auf die ImageMagick-Bibliothek oder darauf basierende Plug-ins setzen, können Angreifer Schad-Code auf Servern ausführen. Aktuell soll das bereits geschehen. Der ganze Artikel lesen: Webseiten mit ImageMagick-Bibliothek im Fokus von Angreifern
Webseiten mit ImageMagick-Biblitohek im Fokus von Angreifern
Durch das alleinige Hochladen von präparierten Bildern auf Webseiten die auf die ImageMagick-Bibliothek oder darauf basierende Plug-ins setzen, können Angreifer Schad-Code auf Servern ausführen. Aktuell soll das bereits geschehen. Der ganze Artikel lesen: Webseiten mit ImageMagick-Biblitohek im Fokus von Angreifern
Neue Versionen von Apache Struts wehren sich gegen Schad-Code
Über eine Sicherheitslücke können Angreifer Server mit Apache Struts unter Umständen aus der Ferne attackieren und Code ausführen. Der ganze Artikel lesen: Neue Versionen von Apache Struts wehren sich gegen Schad-Code
Sicherheitsupdates: PHP anfällig für Remote Code Execution
Angreifer können verschiedenen PHP-Versionen aus der Ferne Schadcode unterjubeln. Drei abgesicherte Versionen schließen zwei Sicherheitslücken. Der ganze Artikel lesen: Sicherheitsupdates: PHP anfällig für Remote Code Execution
OpenSSL schließt Abkömmling der Lucky-13-Lücke
Die vielgenutzte Krypto-Bibliothek erhält Patches für sechs Sicherheitslücken. Zwei davon haben die Priorität "hoch". Admins sollten auf die reparierten Versionen umsteigen. Der ganze Artikel lesen: OpenSSL schließt Abkömmling der Lucky-13-Lücke
Erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten
Mit der Verordnung zur Bestimmung Kritischer Infrastrukturen konkretisiert das Bundesministerium des Inneren seit heute, welche Anlagen aus den Bereichen IKT, Energie, Wasser und Ernährung unter die neue Meldepflicht des IT-Sicherheitsgesetz fallen. Der ganze Artikel lesen: Erste Verordnung zur Umsetzung des…
l+f: Webseite des Ministeriums für digitale Infrastruktur erneut löchrig
Nach Heartbleed nun XSS: Der Web-Auftritt des Bundesministeriums für Verkehr und digitale Infrastruktur war abermals unzureichend abgesichert. Der ganze Artikel lesen: l+f: Webseite des Ministeriums für digitale Infrastruktur erneut löchrig
BSI startet Call for Papers für den 15. Deutschen IT-Sicherheitskongress
Industrie 4.0, Cyber-Angriffe und Advanced Persistent Threats stehen im Mittelpunkt der Veranstaltung in Bonn, die Mitte 2017 stattfindet. Interessenten können zu diesen Themen nun Vorträge vorschlagen. Der ganze Artikel lesen: BSI startet Call for Papers für den 15. Deutschen IT-Sicherheitskongress
„Satoshi Nakamoto“: Beweise von vermeintlichem Bitcoin-Erfinder beweisen nichts
Der Wirbel um den vermeintlichen Bitcoin-Erfinder geht weiter: Sein öffentlich gemachter Beweis beweist gar nichts – und die Zeitung Economist fordert ihn nun auf, nachzulegen. Der ganze Artikel lesen: „Satoshi Nakamoto“: Beweise von vermeintlichem Bitcoin-Erfinder beweisen nichts
Staatsanwaltschaft: Bundesweit größter Drogen-Webshop zerschlagen
Der Trend geht zum Einkauf im Internet – auch beim Rauschgift. Bei einer Razzia findet einer dieser speziellen Webshops sein Ende. Die Beamten beschlagnahmen gewaltige Drogenmengen und nehmen auch einen ehemaligen Fußballnationalspieler fest. Der ganze Artikel lesen: Staatsanwaltschaft: Bundesweit größter…
Ernste Sicherheitslücke in Ubuntus neuem Paketformat Snap geschlossen
Ubuntus neues Paketformat Snap sorgt erneut für Aufsehen: Nun haben die Entwickler einen Schreibfehler im Code entfernt, der Angreifern das Ausführen von beliebigem Schadcode ermöglicht hatte. Der ganze Artikel lesen: Ernste Sicherheitslücke in Ubuntus neuem Paketformat Snap geschlossen
Schwarzmarkt: Preis für mobile Malware zieht an
Sicherheitsforschern zufolge floriert der Handel mit mobiler Malware. Der Anbieter des Android-Trojaners GM Bot zieht indes die Preise auf Malware-Marktplätzen spürbar an. Der ganze Artikel lesen: Schwarzmarkt: Preis für mobile Malware zieht an
„Satoshi Nakamoto“: Australischer Unternehmer erklärt sich zum Bitcoin-Erfinder
Der als "Satoshi Nakamoto" bekannte Erfinder der digitalen Währung heißt laut BBC Craig Steven Wright uns ist ein australischer Informatiker. Dem Bericht nach soll er seine Identität kryptographisch nachgewiesen haben – doch werden Zweifel laut. Der ganze Artikel lesen: „Satoshi…
PCI DSS: Firmen müssen Kreditkartendaten besser schützen
Als Reaktion auf den massiven Diebstahl von Kartendaten bei Firmen, die diese verarbeiten, müssen die nachbessern. Der neue Sicherheitsstandard PCI DSS 3.2 fordert konsequenten Einsatz von Multifaktor-Authentifizierung und organisatorische Verbesserungen. Der ganze Artikel lesen: PCI DSS: Firmen müssen Kreditkartendaten besser…
Cyber Security Challenge: Wettbewerb für „Nachwuchs-Hacker“ startet am 2. Mai
Ab sofort sind Schüler und Studenten wieder aufgerufen, sich den Online-Prüfungen der Cyber Security Challenge zu stellen. Die Qualifikationsphase läuft bis zum 1. August, das deutsche Finale findet Ende September in Berlin statt. Der ganze Artikel lesen: Cyber Security Challenge:…
Kaspersky: Fast alle Geldautomaten unsicher
Vor allem wegen Windows XP – aber auch aufgrund anderer Sicherheitsmängel sind laut einer Analyse von Kaspersky Lab fast alle Geldautomaten anfällig für Angriffe, an deren Ende das Leeren des Bargeldbestandes oder das Abgreifen von Kundendaten steht. Der ganze Artikel…
Kasperky: Fast alle Geldautomaten unsicher
Vor allem wegen Windows XP – aber auch aufgrund anderer Sicherheitsmängel sind laut einer Analyse von Kaspersky Lab fast alle Geldautomaten anfällig für Angriffe, an deren Ende das Leeren des Bargeldbestandes oder das Abgreifen von Kundendaten steht. Der ganze Artikel…
Ehemaliger Tor-Entwickler steckt hinter der FBI-Malware Torsploit
Das FBI hat ein ehemaliges Mitglied des Tor-Projekts für die Entwicklung der Tor-Hacking-Software Torsploit beschäftigt. Mit ihr wurden in mehreren aufsehenerregenden Fällen Tor-Nutzer enttarnt. Der ganze Artikel lesen: Ehemaliger Tor-Entwickler steckt hinter der FBI-Malware Torsploit