Eine Kernkomponente von Android wird auf Geräten mit älteren Versionen nicht mehr mit Patches versorgt. Dabei ist vor allem deren Standardbrowser Einfallstor für Angreifer. from heise Security
Kategorie: sicherheit heise Security
Sicherheitsforscher entdecken Hintertür zum Active Directory
Bei einer Analyse eines sich seltsam verhaltenden Domain Controllers entdeckten Sicherheitsspezialisten eine ganz besondere Hintertür: Einbrecher hatten die Windows Server so manipuliert, dass ein Master-Passwort universellen Zugang gewährte. from heise Security
ARD-Doku mit Edward Snowden: Der Cyberkrieg hat begonnen
Der Cyberkrieg kommt nicht, er ist schon da; spätestens seit Stuxnet sind Menschenleben in Gefahr. So lautet die These einer ARD-Dokumentation zum Cyberkrieg, in der neben Stuxnet-Analyst Ralph Langner auch Edward Snowden zu Wort kommt. from heise Security
Sicherheitsbedenken bremsen Cloud-Dienste aus
Laut dem Hightech-Verband Bitkom sind in Deutschland die Sorgen um Datensicherheit und Datenschutz bei der Nutzung von Cloud-Angeboten besonders ausgeprägt. Bei den Jüngeren nutzt dennoch jeder Dritte die Möglichkeit, Daten im Netz abzulegen. from heise Security
l+f: Notepad++ ist Charlie und wird deswegen gehackt
Politische Statements eines Text-Editors können die Nutzer so verärgern, dass dessen Webseite gehackt wird. from heise Security
Cyber-Kalifen greifen das US-Zentralkommando an
Twitter- und YouTube-Konten des US-Zentralkommandos der Streitkräfte (CENTCOM) sind von Anhängern des Islamischen Staates (IS) kurzzeitig gekapert worden. Bei dem Angriff handele es sich lediglich um Cyber-Vandalismus, betont das Pentagon. from heise Security
Großbritannien: Cameron will gegen Verschlüsselung vorgehen
Als Reaktion auf die Anschläge in Paris hat Großbritanniens Premier David Cameron angekündigt, die Überwachungsbefugnisse deutlich auszuweiten. Wenn er wiedergewählt werde, müsse jede Kommunikation für Geheimdienste einsehbar sein. from heise Security
Krypto-Messenger Threema mit Umfragefunktion
Der verschlüsselte Messenger erlaubt in der neuen Version 2.1 ein schnelles Abstimmen innerhalb von Gruppen. from heise Security
Google-Entwickler kritisieren Sicherheits-Browser Aviator
Um die Fehler in dessen Open-Source-Code zu demonstrieren, veröffentlichten die Forscher eine Seite, die Aviator zum Absturz bringt. Die Entwickler verbrächten zu viel Zeit damit, das Branding des Chromium-Klons zu entfernen, anstatt Lücken zu schließen. from heise Security
Computrace für Notebooks: Anti-Diebstahl-Tool verunsichert Nutzer
Computrace kann Notebooks aus der Ferne orten und ausspionieren. Das ist praktisch im Fall eines Diebstahls – aber unheimlich, wenn man den Dienst gar nicht bestellt hat. from heise Security
GMX und Web.de: Web-Mail-Dienste wollen Verschlüsselung für alle
Seit Snowden ist das Bedürfnis nach Schutz vor Überwachung gestiegen. Das Manko von Krypto-Software bleibt die komplizierte Nutzung. Das soll sich ändern: United Internet will Ende-zu-Ende-Verschlüsselung bei E-Mails auf den Massenmarkt bringen. from heise Security
Google verrät Windows-Lücken zwei Tage vor den Patch, Microsoft jammert
Durch bisher unbekannte Lücken können sich Nutzer höhere Rechte verschaffen, als ihnen zustehen. Google hat die Lücken entdeckt und einen passenden Exploit veröffentlicht, da Microsoft erst nach der vorgesehenen Frist patchte. Microsoft ist wenig erfreut. from heise Security
ARD-Dokus: Vom „Cyberwar“ und der Snowden-Flucht
Mit drastischen Worten hat Edward Snowden vor den Gefahren künftiger Cyberkriege gewarnt. Die Netzüberwachung sei nur der Anfang. Das Gespräch ist Teil zweier Dokus, in denen die ARD den NSA-Skandal Revue passieren lässt und in die Zukunft schaut. from heise…
Gehackte Router als Bot-Netz
Das Bot-Netz, das an Weihnachten die Spielenetzwerke von Sony und Microsoft lahmlegte, bestand einer Analyse des Sicherheitsexperten Brian Krebs zufolge zum Großteil aus gehackten Heimroutern. from heise Security
l+f: Bankraub mit dem Smartphone
Gauner haben einen Geldautomaten gehackt. Sie nahmen jedoch keine Scheine mit, sondern hinterließen ein Samsung Galaxy S4. from heise Security
CES: Heimisches WLAN-Netz soll Einbrecher erkennen
Über Schwankungen in der Signalqualität zwischen Router und zwei Mobilgeräten will ein finnischer Hersteller eine Alarmanlage ohne Mehrkosten realisieren. from heise Security
Asus-Router schutzlos bei Angriffen aus dem eigenen Netz
Mindestens die Router RT-AC66 und RT-N66U können von Angreifern aus dem LAN komplett gekapert werden. Wahrscheinlich sind weitere Modelle betroffen. Firmware-Updates, die das Loch stopfen, gibt es noch nicht. from heise Security
Hintergrund: SSH, SSL, IPsec — alles kaputt, kann das weg?
In seiner Analyse der letzten NSA-Leaks kommt Krypto-Professor Damian Weber zu einer anderen Einschätzung als die dramatisierenden Spiegel-Artikel: Er sieht durchaus Anlass zu Hoffnung. from heise Security
Workaround gegen Datenschutzpanne in OS X Yosemite
Die Mac & i-Redaktion hat ein QuickLook-Plug-in gebaut, mit dem sich der Spotlight-Suche das unerwünschte Nachladen von Bildern in Mails abgewöhnen lässt. from heise Security
Hintergrund: WLAN-Angriffstool wifiphisher
Mit altbewährten Tricks versucht wifiphisher den Nutzern eines WLANs das WPA-Passwort zu entlocken. from heise Security
Paypal-Phisher missbrauchen kostenlose SSL-Zertifikate von Cloudflare
Der Caching-Dienst Cloudflare bietet seit einigen Monaten Gratis-Zertifikate per Mausklick. Jetzt sind auch die Online-Ganoven auf den Geschmack gekommen. Sie nutzen den Dienst, um täuschend echt wirkende Phishing-Sites zu erstellen. from heise Security
Die ersten OpenSSL-Updates des Jahres stehen an
Die Entwickler der besonders auf Linux oft genutzten Kryptobibliothek OpenSSL haben eine Reihe von Lücken geschlossen. Updates stehen für drei Entwicklungszweige der Software bereit. from heise Security
Microsoft stellt seine Patchday-Vorschau ein
Ab sofort wird es in der Woche vor dem Patchday keine Übersicht über die bevorstehenden Updates mehr geben. Laut Microsoft hätten sich die Anforderungen der Kunden dementsprechend geändert. from heise Security
Connected Cars auf der CES: Hersteller fürchten Hacker
Digitale Angriffe auf Autos könnten enorme Schäden verursachen. Die Hersteller sind solche Risiken nicht gewohnt und müssen sich neu orientieren. from heise Security
Anonymous attackiert Pegida
Mutmaßliche Anonymous-Anhänger drohen in einem Youtube-Video mit Attacken gegen die Islamkritiker Pegida. Neben der Nennung konkreter Ziele gibt es auch schon erste Angriffe auf Internetseiten des Vereins. from heise Security
Datenschutzpanne in Mac OS X Yosemite
Die Spotlight genannte Suchfunktion der aktuellen Mac-OS-X-Version hat erneut ein Datenschutzproblem: Stößt sie auf HTML-Mails, lädt sie ungefragt Inhalte aus externen Quellen nach – zur Freude der Spammer. from heise Security
l+f: Wer steckt wirklich hinter dem Sony-Pictures-Hack?
Dieser Frage geht eine neue Webseite auf den Grund. from heise Security
l+f: Wer steckt wirklich hinter dem Sony-Pictures-Hack?
Dieser Frage geht eine neue Webseite auf den Grund. from heise Security
US-Geheimdienste: Fehler beim Sony-Hack belegen Schuld Nordkoreas
FBI und Geheimdienstdirektor Clapper sind sich einig, dass Nordkorea hinter dem Angriff auf Sony Pictures steht. Krypto-Experte Bruce Schneier hingegen erinnern die vorgelegten Indizien an die Beweise für Saddam Husseins Massenvernichtungsarsenal. from heise Security
Intel macht Nutzer zum Passwort
Auf der CES präsentierte Intel den Passwortdienst True Key, dessen Sicherheit man durch das Hinzufügen biometrischer Merkmale oder die Verknüpfung mit dem Smartphone selbst beeinflussen kann. Später soll man damit auch Auto oder Haus aufschließen können. from heise Security
US-Cert warnt vor weiteren UEFI-BIOS-Lücken
Durch neue Lücken kann man die Schutzmechanismen abermals austricksen. Angreifer könnten so tief im System ein Bootkit verankern, dem kein Virenscanner etwas anhaben kann. Wieder sollen BIOS-Updates helfen. from heise Security
DNS-Blacklist AHBL stellt Betrieb ein
Die DNS-Blacklist Abusive Hosts Blocking List (AHBL) stellt ihre Dienste endgültig ein. Wer sie befragt, erhält grundsätzlich einen Treffer als Antwort. Administratoren von Mailservern müssen jetzt handeln. from heise Security
Sicherheitslücke in Firmware von AMD-Prozessoren
Aktuelle AMD-Prozessoren enthalten eine System Management Unit (SMU), deren Firmware eine Sicherheitslücke enthält. Diese ließe sich nutzen, um Software einzuschleusen. from heise Security
l+f: Videos vom 31C3
Falls man die Hacker-Konferenz des Chaos Computer Club verpasst hat, kann man sich nun Videos der einzelnen Vorträge online ansehen. from heise Security
Update beseitigt DoS-Lücke in StrongSwan-IPSec
Eine einzige Nachricht an den IPSec-Server konnte dessen Ende bedeuten, stellte ein Forscher fest und meldete das Problem den Entwicklern. Die reagierten prompt. from heise Security
DDoS-Attacke auf Web-Seiten von Kanzlerin und Bundestag
Überlastungsangriffe haben die Webseiten der Bundeskanzlerin und des Bundestags lahmgelegt. Dazu bekannte sich eine ukrainische Hackergruppe namens "CyberBerkut". from heise Security
Finale der ersten Cyber Security Challenge Germany
Noch bis zum 15. Januar tüfteln angehende Sicherheitsspezialisten an den Aufgaben der Challenge. Die besten Teilnehmer messen sich dann Anfang Februar live bei der Cyber Security Konferenz in Berlin. from heise Security
CES: Vorsitzende der US-Handelsaufsicht legt sich für mehr Datenschutz ins Zeug
Eine Grundsatzrede zum Thema Datenschutz und Datensicherheit hat die Vorsitzende der Federal Trade Commission auf der CES gehalten. Die anschließende Diskussion offenbarte die Gespaltenheit der Branche. from heise Security
Wieder in Mode: Trojaner in Office-Macros
Microsoft hat in den vergangenen Wochen verstärkt Malware-Angriffe über Office-Dokumente beobachtet, die Macros enthalten. Diese Art der Schadcode-Verbreitung galt lange Zeit als ausgestorben. from heise Security
Letzte Woche der ersten Support-Phase für Windows 7
Mitte Januar 2015 beendet Microsoft den "grundlegenden Support" für Windows 7, auch Mainstream-Support genannt. Für die meisten Anwender macht das aber nichts. from heise Security
l+f: SSH mit Alu-Hut
Wer der NSA das Leben schwer machen will, kann das Fernwartungsprotokoll mit einigen Handgriffen auf der Kommandozeile abhärten. from heise Security
Gefälschte SSL-Zertifikate auf Reiseflughöhe
Eine Google-Mitarbeiterin hat den In-Flight-Internetdienst Gogo dabei erwischt, wie er ihr ein gefälschtes SSL-Zertifikat untergeschoben hat. Gogo behauptet, die Maßnahme werde angewendet, um Video-Streaming über den Wolken unter Kontrolle zu halten. from heise Security
Bitcoin-Börse Bitstamp: 19.000 Bitcoins gestohlen
Unbekannte haben die Bitcoin-Börse Bitstamp um über 4 Millionen Euro erleichtert, wie die Betreiber inzwischen mitteilten. Nach wie vor ist die Börse außer Betrieb, vor Bitcoin-Überweisungen wird gewarnt. from heise Security
Abhörschutz als Supercookie
Der HTTP-Header HSTS dient eigentlich dazu, Lauschangriffe auf HTTPS-Verbindungen zu vereiteln. Ein Forscher demonstriert, dass man damit aber auch hartnäckige Cookies bauen kann, die sogar die Schwelle des Inkognito-Modus des Browsers überschreiten. from heise Security
Hintergrund: Security-Funktion HSTS als Supercookie
Eine eigentlich sinnvolle Sicherheitsfunktion lässt sich auch für effektives Tracking missbrauchen – über die Grenzen des Inkognito-Modus hinaus. Das Problem ist seit Jahren bekannt, Abhilfe ist derzeit nicht in Sicht. Ob man betroffen ist, zeigt eine Testseite. from heise Security
Hackergruppe erbeutet Entwicklerkit der Xbox One
Das SDK für die Xbox One und den Quellcode des nächsten Halo-Titels will die Gruppe H4lt abgegriffen haben. Die Modder-Gemeinde arbeitet derweil daran, das Innenleben der Xbox One zu entschlüsseln, das wohl auf Windows 8 beruht. from heise Security
Sicherheitslücke: Bitcoinbörse Bitstamp stellt vorerst Betrieb ein
Schon wieder eine Bitcoinbörse gehackt? Der Anbieter Bitstamp ist wegen einer kompromittierten Wallet fürs erste offline gegangen. Nutzer sollten keinesfalls Coins auf alte Einzahladressen überweisen. from heise Security
Nordkorea-Satire „The Interview“: Trojaner tarnt sich als Download-App
Nach dem Trubel um den Sony-Hack steht der Film "The Interview" in Tauschbörsen hoch im Kurs. Das nutzt eine Android-Malware, um vor allem in Südkorea Bankdaten auszuspähen. from heise Security
London: Hacker des Lizard Squad vorübergehend festgenommen
In Großbritannien ist ein mutmaßliches Mitglied der Hackergruppe Lizard Squad vorübergehend festgenommen worden. Das erfolgte jedoch nicht im Zusammenhang mit dem Weihnachtshack gegen Playstation und Xbox. from heise Security
Bayern: Schwierigkeiten beim Kampf gegen Internetkriminalität
Seit einem Jahr versuchen speziell ausgebildete Polizisten und EDV-Spezialisten Internet-Kriminellen in Bayern auf die Schliche zu kommen. Doch Fortschritte gab es nicht. Verantwortlich macht die Landesregierung fehlende Mindestspeicherfristen. from heise Security
Untergang der Bitcoin-Börse Mt. Gox: Ermittlungen deuten auf Insider-Tat
Das Rätsel um die verlorenen Bitcoins von Mt. Gox nähert sich einer Lösung: Ermittler haben laut Berichten gerade mal ein Prozent der Verluste auf Hackerangriffe zurückführen können. Beim Rest haben sich wohl Insider bedient. from heise Security
Google veröffentlicht Exploit für Zero-Day-Lücke in Windows
Da Microsoft nicht in der Lage war, innerhalb von drei Monaten einen Patch zu liefern, machte Googles Sicherheitsteam ernst. Der Exploit erlaubt eine Rechteausweitung – mindestens unter Windows 8.1. from heise Security
CCC-Hacker: Promis sind unschuldig am Klau ihrer Nacktfotos
Das Tauschen von Nackt-Selfies Prominenter übers Netz sei zwar ein Datenverbrechen, meinten CCC-Vertreter beim Blick auf die Sicherheitsdebakel des Jahres. Die Verantwortung trügen aber die Cloud-Anbieter. from heise Security
Einen guten Rutsch und ein frohes neues Jahr!
2014 war das Jahr der Promi-Sicherheitslücke, der Kometen, des Abschieds von Nokia und von so vielem mehr. Was auch immer 2015 kommen mag – der Heise-Verlag mit all seinen Redaktionen wünscht allen Lesern ein gutes und erfolgreiches Jahr. from heise…
31C3: Kinderpornografie im Tor-Netzwerk stark nachgefragt
Das Anonymisierungsnetzwerk wirbt damit, Menschenrechtsaktivisten und von Zensur betroffenen Internetnutzern zu helfen. Eine Studie der Universität Portsmouth zeigt eine starke Nachfrage nach Bildern von Kindesmissbrauch. from heise Security
31C3: Internetwahlen sind manipulierbar
Zunehmend mehr Staaten setzen auf auf Internetwahlen, trotz negativer Erfahrungen mit Wahlcomputern und den Warnungen der Sicherheitsforscher. Auf dem 31C3 zeigen diese, dass die aktuelle Technik staatlichen Angreifern wenig entgegensetzen hat. from heise Security
31C3:Kommunikation sicher verschlüsseln, Abhören teurer machen
Dark Internet Mail Environment soll sichere Kommunikation ermöglichen und die NSA bares Geld Kosten. Dieses Ziel teilen auch das Mailprojekt LEAP, das Chat-Protokoll OTR und die neue Public-Key-Infrastruktur Dename. from heise Security
31C3: Die große Tor-Attacke blieb aus
Auf der Hamburger Hacker-Konferenz haben Vertreter des Tor-Projekts bestritten, dass ernsthafte Angriffe auf das Tor-Netzwerk gelungen seien. Gesetzhütern warfen sie vor, eine Kampagne gegen Anonymisierung zu betreiben. from heise Security
Hack-Nachwehen im PlayStation Network
Nach dem Weihnachts-Hack läuft das PlayStation Network immer noch nicht ganz rund. Vor allem PlayStation-4-Nutzer können sich weiterhin nicht einloggen, ohne zuvor Hand an die Netzwerk-Einstellungen zu legen. from heise Security
31C3: Wie man ein Chemiewerk hackt
Die Sicherheit von Industrieanlagen wird oft beschworen, die Praxis lässt aber viel zu wünschen übrig. Beim CCC-Congress in Hamburg zeigten Hacker, wie man Industrieanlagen lahmlegen und Millionenschäden verursachen kann. from heise Security
Stallman: Freie Software ist die Basis für IT-Sicherheit
Der Vater der Freien-Software-Gemeinde, Richard Stallman, hat auf dem 31C3 freie Software zum "notwendigen Fundament der Cybersicherheit" erklärt. Proprietäre Programme entwickelten sich immer mehr zu Malware. from heise Security
Hacker will Spiele-Netzwerke aus Spaß angegriffen haben
Die Hacker-Gruppe "Lizard Squad" hat die Spiele-Netzwerke von Sony und Microsoft an Weihnachten aus Spaß angegriffen – und um auf Sicherheitslücken hinzuweisen. Das sagte ein Mitglied der Gruppe in einem Interview mit Sky News. from heise Security
Offenbar Spionagesoftware Regin auf Rechner im Kanzleramt entdeckt
Per USB-Stick gelangte vergangene Woche offenbar der hochentwickelte Trojaner Regin auf einen Rechner im Bundeskanzleramt. Die Software wird mit westlichen Geheimdiensten in Verbindung gebracht. from heise Security
31C3: Warnung vor Secure Boot und Trusted Computing
Mit Secure Boot verhindert Microsoft, dass vermeintlich unsichere Betriebssysteme gebootet werden. Auf dem CCC-Congress warnt der Kryptologe Rüdiger Weis vor der Machtanmaßung des US-Konzerns. from heise Security
31C3: Die Angriffe auf Verschlüsselung durch NSA und GCHQ
Die "Entschlüsselungsprojekte" Bullrun und Edgehill sind seit über einem Jahr bekannt. Die Snowden-Vertrauten Jacob Appelbaum und Laura Poitras haben nun verraten, welchen kryptographischen Anwendungen man wohl noch vertrauen kann. from heise Security
31C3: Enthüllungsreporter hält die NSA für eine kriminelle Vereinigung
Bestseller-Autor James Bamford hat auf dem Hackerkongress Einblicke in die hundertjährige Kooperation zwischen britischen, US-amerikanischen Geheimdiensten und der Telecom-Industrie gegeben. Rädelsführer will er im Knast sehen. from heise Security
31C3: CCC-Tüftler hackt Merkels Iris und von der Leyens Fingerabdruck
Der Hacker Starbug zeigte auf dem Hackerkongress, wie man mit einer normalen Digitalkamera bei öffentlichen Veranstaltungen an Fingerabdrücke Dritter gelangen kann, um biometrische Authentifizierungssysteme zu überwinden. from heise Security
31C3: Steckt der Iran hinter gezielten Cyber-Angriffen mit umfunktionierter Sicherheitssoftware ?
Sicherheitsforscher haben herausgefunden, dass Cyber-Kriminelle die eigentlich für Penetrationstests eingesetzte Suite Core Impact zum Ausspähen von Einrichtungen in Europa und Israel nutzen. Sie vermuten den Iran dahinter from heise Security
31C3: App gegen IMSI-Catcher und stille SMS
Die Android-App SnoopSnitch wertet Debug-Daten eines Mobilfunk-Chipsatzes aus und kommt so sogar SS7-Attacken auf die Spur. Vor allem aber soll sie die Provider zum Nachbessern zwingen. from heise Security
31C3: Kredit- und Bankkarten mit Chip „total unsicher“
Sicherheitsforscher haben bekannte Attacken auf Bank- und Kreditkarten, die dem EMV-Standard folgen und auf Chips zum Manipulationsschutz setzen, zusammengefügt und so den "Panzer" um Transaktionen fast völlig ausgehebelt. from heise Security
31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor
Auf dem Congress des Chaos Computer Clubs demonstrierten Hacker die Schwächen des SS7-Protokolls: Mit dem Signalsystem lassen sich Gespräche und SMS umleiten, entschlüsseln und abhören. from heise Security
31C3: Thunderstrike greift MacBooks über Thunderbolt an
Über eine EFI-Schwachstelle lässt sich die Firmware von MacBooks manipulieren. Einmal infiziert,lässt sich der Schädling nicht einmal durch den Austausch der Festplatte entfernen. from heise Security
Website des ISC nach Angriff im Notbetrieb
Unbekannte haben die Website des Internet Systems Consortium (ISC) zur Malware-Schleuder umfunktioniert. Die vom ISC verwalteten wichtigen Internet-Dienste und Software-Angebote seien dabei aber nicht kompromittiert worden. from heise Security
Playstation- und Xbox-Dienste nach Angriff wieder online
Zähes Weihnachten für Zocker: Hacker haben über die Feiertage die Online-Angebote von Playstation und Xbox lahmgelegt. Nun sollen die Server wieder erreichbar sein. Aber die Hacker haben offenbar ein neues Ziel ins Visier genommen. from heise Security
ICANN: Phishing-Angriff keine Gefahr für die Rootzone
Von dem in der vergangenen Woche bekannt gewordenen Phishing-Angriff auf die ICANN ging keine Gefahr für die Sicherheit der Rootzone aus, versichert die Internetverwaltung. Dennoch könnte der Vorfall der ICANN politisch schaden. from heise Security
Auswertung von Chats: Verfahren gegen Facebook geht weiter
Rückschlag für Facebook: Das Sammelklage-Verfahren wegen der Auswertung privater Chats zu Werbezwecken geht weiter. Facebooks Anwälte konnten das Gericht nicht überzeugen, das Verfahren einzustellen. from heise Security
Allen Lesern frohe, erholsame und besinnliche Feiertage!
Ob Sie nun Weihnachten feiern, Chanukka oder ruhige Tage verbringen: Eine erfreuliche und friedliche Zeit zwischen den Jahren wünscht die heise-online-Redaktion. Auch in den Tagen bis Neujahr und darüber hinaus werden wir Sie auf dem Laufenden halten. from heise Security
USA: Kampf um Recht auf WLAN-Sabotage
Hoteliers und Netzwerk-Ausrüster wollen ganz offiziell das Recht haben, fremde WiFi-Netze zu deaktivieren. Verbraucherschützer, Microsoft und Google sowie Mobilfunk-Netzbetreiber wehren sich dagegen. from heise Security
Exploit greift WordPress via Download Manager an
Für eine Anfang Dezember veröffentlichte Lücke in der beliebten WordPress-Erweiterung gibt es jetzt einen Exploit, mit dem jedes Skript-Kiddie ungepatchte Server kapern kann. from heise Security
NTP-Aktualisierung: Über Auto-Updates und Abhilfe für Lion, Snow Leopard und ältere OS-X-Versionen
Auf manchen Macs landet das dringende Sicherheitsupdate vollautomatisch, aber ohne eindeutige Ankunftsmeldung. Ältere Macs müssen derweil ohne Apples Aktualisierung auskommen. Aber auch für solche Fälle gibt es Abhilfe. from heise Security
l+f: Hat der Angriff auf das Tor-Netzwerk begonnen?
Ein Cluster von Exit-Nodes wurde über das Wochenende auf mysteriöse Weise stillgelegt. from heise Security
Mac OS X: Apple stopft kritische NTP-Schwachstelle
Das Update beseitigt eine Sicherheitslücke, die das Einschleusen und Ausführen von Schadcode ermöglicht – Exploits für die Schwachstelle sind im Umlauf. Apple drängt zur Installation, für Mac OS X Lion und Snow Leopard gibt es keine Aktualisierung. from heise Security
Anunak: So geht Bankraub im 21. Jahrhundert
Die Security-Spezialisten von Fox-IT und Group-IB dokumentieren die Aktivitäten einer russischen Bande, die in die Netze von Banken eingebrochen ist und von dort aus Geldautomaten ausgeräumt hat. Rund 25 Millionen Dollar haben die so geklaut. from heise Security
Nordkorea-Satire: Sony sucht neuen Veröffentlichungsweg für „The Interview“
Sony will den wegen Hackerangriff und Terrordrohungen zurückgezogenen Film "The Interview" offenbar doch noch veröffentlichen – möglicherweise auf Youtube. Derweil wird der Hack zum außenpolitischen Muskelspiel zwischen den USA und Nordkorea. from heise Security
US-Kette Staples fürchtet Verlust von über 1,16 Millionen Kreditkartendaten
Der US-Büroausrüster Staples hat eingestanden, dass Kassensysteme in 115 Filialen Opfer eines Cyberangriffs wurden und die Gauner mehrere Wochen lang umfangreiche Bestände an Kundendaten gestohlen haben. from heise Security
Atomkraftwerke: Südkorea führt Übungen zur Hacker-Abwehr durch
Ein Hacker verbreitete technische Details von südkoreanischen Atommeilern via Twitter und forderte die Abschaltung von Anlagen. Der staatliche Betreiber reagiert mit Übungen zur Abwehr von Cyberattacken. from heise Security
Neue NTP-Versionen fixen dramatische Fehler im Zeit-Server
Mit nur einem Paket könnte ein Angreifer Zeit-Server mit dem NTP-Dienst übernehmen. Admins sollten das Abhilfe versprechende Update sollte so schnell wie möglich einspielen. from heise Security
Tor-Projekt wappnet sich gegen möglichen Angriff
Das Tor-Projekt befürchtet eine Beschlagnahmung wichtiger Infrastruktur-Server, die das Anonymisierungsnetz unbenutzbar machen könnte. Einem anonymen Tipp zufolge stehe diese schon in wenigen Tagen bevor. from heise Security
Sony-Hack: Obama kündigt Vergeltung an
Als Reaktion auf den Sony-Pictures-Hack hat der US-Präsident Gegenmaßnahmen in Richtung Nordkorea angedroht. "Zu einer Zeit und in einer Form, die wir uns aussuchen." Aber auch Sony musste Kritik von Obama einstecken. from heise Security
USA: Nordkorea steckt hinter Hackerangriff auf Sony Pictures
Nun ist es offiziell: Nordkorea soll hinter dem massiven Hack gegen Sony Pictures stehen. Das FBI will bei einer technischen Analyse Beweise dafür gefunden haben. from heise Security
Hintergrund: Zero Knowledge Proofs
Wie funktioniert ein Zero-Knowledge-Beweis? Und was ist das überhaupt? from heise Security
l+f: Schadcode aus dem Sony-Pictures-Hack analysiert
Eine Analyse des Destover-Trojaners zeigt, dass die Qualität des Schadcodes relativ gering ist. from heise Security
Sicherheitslücke in Versionskontrolle Git
Git-Anwendern wird dringend empfohlen, auf die nun freigegebenen neuesten Releases der Versionskontrolle zu aktualisieren, da eine Lücke ermöglicht, dass Angreifer die Git-Konfigurationen überschreiben können. from heise Security
Sicherheitslücke im Mobilfunk: UMTS-Verschlüsselung mittels SS7 umgangen
Diie Verschlüsselung im alten GSM-Mobilfunknetz gilt schon lange als löchrig, UMTS wurde bisher vertraut. Über SS7 und wie Carrier es für die Verschlüsselung einsetzen, lässt sich aber auch UMTS knacken, fanden Experten rund um Karsten Nohl heraus. from heise Security
„Misfortune Cookie“: Checkpoint verunsichert durch Router-Alarm-Meldung
Der Firewall-Hersteller weist auf ein kritisches Sicherheitsproblem in Routern hin, das Millionen von Anwendern betrifft. Doch er sagt weder, wer genau betroffen ist, noch wie man sich schützen kann. from heise Security
Patch-Debakel: Microsoft bessert bei IE-Update nach
Die Serie an verbockten Patches scheint nicht abzureissen. Jetzt muss Microsoft bei einem Update für den Internet Explorer nachbessern, nachdem IE-11-Nutzer über Probleme mit Dialogboxen auf Webseiten geklagt hatten. from heise Security
PhpBB-Webserver geknackt, Zugangsdaten kopiert
Die PhpBB-Server wurden kompromittiert und sind momentan offline. Die Angreifer haben es geschafft, den Foren-Zugang eines Administrators zu kapern. from heise Security
Erfolgreicher Angriff auf Internet-Verwaltung ICANN
U.a. wurde ein zentrales System, das zur Organisation bei der Einführung der neuen Top Level Domains dient, bei einem Angriff auf die ICANN kompromittiert. Die ICANN dient als Oberaufsicht über die Verwaltung von Netz-Ressourcen wie DNS und IP-Adressen. from heise…
IT-Sicherheitsgesetz: Kritik an „Aufrüstung“, Warnung vor „nationalem Alleingang“
Die IT-Wirtschaft reagiert positiv auf den Regierungsentwurf für ein Gesetz zum verstärkten Kampf gegen Cyberangriffe reagiert, Provider warnen aber vor einem Flickenteppich an Regelungen in der EU. Kritik gibt es an der Cyber-Aufrüstung von BND und BKA. from heise Security
iCloud-Daten: Forensik-Software verspricht umfangreichen Zugriff
Die vermutlich auch für den iCloud-Promi-Hack genutzte Forensik-Software "Phone Breaker" erweitert die Möglichkeiten, bei Apples Cloud-Dienst gespeicherte Nutzerdaten auszulesen. Unterstützung zum Fremdzugriff auf iCloud Drive soll folgen. from heise Security