Eine Sicherheitsfirma schätzt, dass für 9 Prozent aller SSL-Endpunkte im Netz die privaten Schlüssel bekannt sind. Damit könnten Angreifer sich als diese Server ausgeben und Router, Modems und VoIP-Telefone im selben Netz ausspionieren. Der ganze Artikel: House of Keys: Millionen…
Kategorie: sicherheit heise Security
Geräte-Entsperrung aus der Ferne: Android-Entwickler widerspricht Staatsanwalt
Ein Android-Entwickler aus der Sicherheitsabteilung widerspricht einem Bericht, dass Google die Bildschirmsperre auf Behördenanordnung zurücksetzen kann. Der ganze Artikel: Geräte-Entsperrung aus der Ferne: Android-Entwickler widerspricht Staatsanwalt
Windows Defender mit verstecktem Adware-Killer
Microsofts Virenschutz blokiert jetzt auch Adware. Eigentlich ist die nützliche Funktion für Unternehmensnetze gedacht – sie lässt sich aber auch auf gewöhnlichen Windows-Systemen freischalten, wie ein Test von heise Security zeigt. Der ganze Artikel: Windows Defender mit verstecktem Adware-Killer
Serverseitiges JavaScript: Zwei offene Lücken in Node.js
Eine DoS-Schwachstelle und einen Out-of-Bounds-Zugangsfehler bei der JavaScript-Engine V8 sind in unterschiedlichen Node.js-Versionen zu finden. Ein Patch soll nächste Woche veröffentlicht werden. Der ganze Artikel: Serverseitiges JavaScript: Zwei offene Lücken in Node.js
Lenovo sichert Update-Service ThinkVantage ab
Ein Sicherheitsupdate schließt zwei Lücken im Aktualisierungstool ThinkVantage für Lenovo-Computer. Angreifer können über die Schwachstellen Admin-Konten kapern und sich höhere Rechte erschleichen. Der ganze Artikel: Lenovo sichert Update-Service ThinkVantage ab
Internet Explorer: Microsoft beendet Support für ältere Versionen
Ältere Versionen des Internet Explorer sollen ab Januar 2016 keine Updates mehr erhalten. Für Version 11 soll es aber weiterhin Patches geben. Der ganze Artikel: Internet Explorer: Microsoft beendet Support für ältere Versionen
MagSpoof: Hacker bezahlt mit Kreditkarten-Kopie auf einem Chip
Samy Kamkar hat sich sehr kompakte Hardware gebaut, auf der er die Magnet-Daten mehrerer Kreditkarten speichern kann. Diese können zum Bezahlen dann an herkömmliche Bezahlterminals übermittelt werden. Der ganze Artikel: MagSpoof: Hacker bezahlt mit Kreditkarten-Kopie auf einem Chip
Anonymisierungstool: Crowdfunding für Tor
Das Tor-Projekt will sich über Crowdfunding neues Geld beschaffen. Verwendung finden soll das Geld in der Entwicklung von Hidden Services. Außerdem soll dieser Schritt die finanzielle Abhängigkeit von US-Behörden reduzieren. Der ganze Artikel: Anonymisierungstool: Crowdfunding für Tor
DSDTestProvider: Weiteres gefährliches Dell-Zertifikat entdeckt
Auf Dell-Computern ist ein weiteres CA-Zertifikat mitsamt privatem Schlüssel entdeckt worden. Damit kann jeder gültige Zertifikate ausstellen und die Verschlüsselung von Webseiten ad absurdum führen. Der Patch zum Löschen von eDellRoot ist verfügbar. Der ganze Artikel: DSDTestProvider: Weiteres gefährliches Dell-Zertifikat…
l+f: Schwerere Zeiten für Malware-Entwickler
Zwei Services zum Optimieren von Malware wurden offline genommen. Der ganze Artikel: l+f: Schwerere Zeiten für Malware-Entwickler
Google kann Android-Geräte aus der Ferne entsperren
Google kann offensichtlich die Bildschirmsperren der meisten Android-Geräte auf Behördenanordnung zurücksetzen. Das geht aus dem Bericht eines New Yorker Bezirksstaatsanwalt hervor. Der einzige Schutz dagegen ist die Vollverschlüsselung. Der ganze Artikel: Google kann Android-Geräte aus der Ferne entsperren
Doppelte Hintertür in Kabelmodems von Arris
Über zwei Hintertüren können Angreifer die volle Kontrolle über Kabelmodems von Arris erlangen. Auch in Deutschland kommen betroffene Modelle zum Einsatz. Hierzulande soll es aber keine Bedrohungen geben. Der ganze Artikel: Doppelte Hintertür in Kabelmodems von Arris
Ermittlern gelingt Schlag gegen weltweit agierende Phisher-Bande
Das LKA Sachen hat fünf Tatverdächtige verhaftet, die bandenmäßig mit Betrugsanrufen PIN-Codes für Online-Zahlungsgutscheine abgephisht haben sollen. Der ganze Artikel: Ermittlern gelingt Schlag gegen weltweit agierende Phisher-Bande
Anonym Surfen: Tor veröffentlicht stabile Version 0.2.7.5
In der aktuellen Tor-Version 0.2.7.5 hat das Team neben der Kryptografie auch an der Performance gefeilt. Der ganze Artikel: Anonym Surfen: Tor veröffentlicht stabile Version 0.2.7.5
Avira stuft Werbe-Lauscher Silverpush als Malware ein
Der Anti-Viren-Dienstleister bemängelt, dass mehrere Apps von den Nutzern unbemerkt die Technik einsetzen, um herauszufinden, welche Werbung sie sehen. Auch die Telefonnummer der Zuschauer wird übertragen. Der ganze Artikel: Avira stuft Werbe-Lauscher Silverpush als Malware ein
Root-CA-Zertifikat: Dell will eDellRoot über Update entfernen
Dell versichert, dass Besitzer eines Dell-Computers das vom Hersteller standardmäßig installierte gefährliche CA-Zertifikat über ein Update deinstallieren oder per Hand dauerhaft entfernen können. Der ganze Artikel: Root-CA-Zertifikat: Dell will eDellRoot über Update entfernen
Donnerstag: heisec-Webinar zur SSL-Optimierung
In einem circa 60-minütigen Webinar am 26.11.2015 erklärt Jürgen Schmidt, Chefredakteur von heise Security, die Probleme herkömmlicher TLS/SSL-Konfigurationen und wie Admins Ihre Systeme nach dem aktuellen Stand der Technik einrichten. Der ganze Artikel: Donnerstag: heisec-Webinar zur SSL-Optimierung
Dell-Rechner mit Hintertür zur Verschlüsselung von Windows-Systemen
Mit einem eigenen Root-CA-Zertifikat hebelt Dell offenbar die Verschlüsselung seiner Kunden aus. Denn mit der kann sich jeder gültige Zertifikate ausstellen und damit Dell-Anwender nicht nur belauschen sondern auch Systeme mit Schad-Software infizieren. Der ganze Artikel: Dell-Rechner mit Hintertür zur…
l+f: Wie die Sony-Hacker ihre Spuren verwischt haben
Eine Analyse der Destover-Malware förderte zwei Tools zutage, die den Ermittlern das Leben schwer machen. Der ganze Artikel: l+f: Wie die Sony-Hacker ihre Spuren verwischt haben
Smarte Grenzen: Bundesregierung sieht keine Probleme mit Ausweis-Zertifikaten
Die Bundesregierung hat auf eine Anfrage der Linksfraktion geantwortet, dass es bei der Einführung von intelligenten Grenzsystemen keine Komplikationen mit der Zertifikatsprüfung von Ausweisen gibt. Bei der EU sieht man das etwas anders. Der ganze Artikel: Smarte Grenzen: Bundesregierung sieht…
Erste Erpressungen nach Patreon-Hack
Nutzer der Crowdfunding-Plattform Patreon erhalten derzeit Erpresser-E-Mails mit Lösegeldforderungen. Der ganze Artikel: Erste Erpressungen nach Patreon-Hack
WhatsApp-Abofalle über Anzeigennetzwerk eingeschleust
Wenn beim Aufruf der Website einer deutschen Tageszeitung der Hinweis "Warnung: Whatsapp läuft heute ab!" erscheint, dann ist etwas faul. Der ganze Artikel: WhatsApp-Abofalle über Anzeigennetzwerk eingeschleust
Duncan Campbell: Verbot von Verschlüsselung ist kindischer Mist
"Ich habe keine Angst um die Verschlüsselung", meint Journalist Duncam Campbell. Denn die Geheimdienste wüssten um die Bedeutung der Verschlüsselung. Campbell hat schon vor 15 Jahren das Überwachungssystem Echelon aufgedeckt. Der ganze Artikel: Duncan Campbell: Verbot von Verschlüsselung ist kindischer…
Security-Scanner Nmap 7 veröffentlicht
Der Open-Source-Scanner Nmap 7 kommt mit vielen neuen Skripten und verbesserter IPv6-Unterstützung daher. Der ganze Artikel: Security-Scanner Nmap 7 veröffentlicht
Deepsec: ZigBee macht Smart Home zum offenen Haus
ZigBee-Funknetze weisen nach neuen Erkenntnissen von Sicherheitsforschern eklatante Sicherheitsmängel auf. Die Technik wird beispielsweise bei der Steuerung von Türschlösserrn eingesetzt. Der ganze Artikel: Deepsec: ZigBee macht Smart Home zum offenen Haus
Turris Omnia: Open-Source-Router mit Virtualisierung
Aus einer Forschungsplattform wird per Crowdsourcing ein Serienprodukt: Der WLAN-Router Turris Omnia setzt auf eine adaptive verteilte Firewall für besseren Schutz gegen Malware und überrascht mit neuen Funktionen. Der ganze Artikel: Turris Omnia: Open-Source-Router mit Virtualisierung
Android-Malware: Werbeterror wie von Geisterhand
Der Adware-Trojaner Shedun verleibt sich die Barrierefreiheit-Funktionen von Android ein und übernimmt so die Kontrolle über verschiedene Bereiche. Der ganze Artikel: Android-Malware: Werbeterror wie von Geisterhand
Festplatten-Verschlüsselung: Fraunhofer SIT analysiert TrueCrypt
Eine vom BSI in Auftrag gegebene Studie zeigt, was TrueCrypt, die Anwendung zum Verschlüsseln von Festplatten, gut macht und wo es noch Verbesserungspotential gibt. Der ganze Artikel: Festplatten-Verschlüsselung: Fraunhofer SIT analysiert TrueCrypt
Amazon startet Zwei-Faktor-Authentifizierung
Konten von Amazon-Nutzern sollen durch eine Zwei-Faktor-Authentifizierung noch sicherer werden. Das Anmeldeverfahren ist in Deutschland aber noch nicht verfügbar. Mit den richtigen Einstellungen kann man es aber auch hierzulande schon nutzen. Der ganze Artikel: Amazon startet Zwei-Faktor-Authentifizierung
Messenger Telegram angeblich bei IS-Terroristen beliebt
Der verschlüsselnde Smartphone-Messenger Telegram soll die Lieblings-App der Terroristen des Islamischen Staates sein. Dass die App für deren Kommunikationswege besonders wichtig ist, scheint allerdings fraglich. Der ganze Artikel: Messenger Telegram angeblich bei IS-Terroristen beliebt
l+f: Virustotal öffnet sich für Mac-Nutzer
Gibt es überhaupt Viren für Mac OS X? Ja, natürlich. Ab sofort kann man auch verdächtige OS-X-Dateien von Virustotal scannen lassen. Der ganze Artikel: l+f: Virustotal öffnet sich für Mac-Nutzer
BSI: Bedrohungslage im Internet spitzt sich weiter zu
Das BSI warnt vor immer professionelleren Angriffsmethoden und kritisiert das teilweise nachlässige Update-Verhalten von Geräterherstellern. Der ganze Artikel: BSI: Bedrohungslage im Internet spitzt sich weiter zu
l+f: Schneier wettert gegen das Carnegie-Mellon-CERT
Kann man einem CERT noch vertrauen, dessen Forscher im Stillen für das FBI Tor-Nutzer enttarnen? Der ganze Artikel: l+f: Schneier wettert gegen das Carnegie-Mellon-CERT
Volksverschlüsselung: Telekom will E-Mails Ende-zu-Ende verschlüsseln
Die Deutsche Telekom will in Zusammenarbeit mit dem Fraunhofer-Institut für Sichere Informationstechnologie SIT Anfang 2016 eine Ende-zu-Ende-Verschlüsselung beim E-Mail-Versand anbieten. Der ganze Artikel: Volksverschlüsselung: Telekom will E-Mails Ende-zu-Ende verschlüsseln
Hintergrund: Anonymous, IS und die Reaktion auf die Pariser Anschläge
Anonymous hat der islamistischen Terrororganisation ISIS den Krieg erklärt und das gleich doppelt. Aber inwieweit schadet das den Terroristen überhaupt? Der ganze Artikel: Hintergrund: Anonymous, IS und die Reaktion auf die Pariser Anschläge
Gehärtetes NTP-Protokoll als Beta veröffentlicht
Die Beta-Version von NTPsec lädt dem Open-Source-Ansatz folgend zum Mitmachen ein. Der ganze Artikel: Gehärtetes NTP-Protokoll als Beta veröffentlicht
Großbritannien: Gegenschläge gegen Cyber-Angriffe angedroht
Die britische Regierung ist überzeugt, dass Terroristen daran arbeiten, über Cyber-Angriffe auf Infrastruktur Menschen töten zu können. Als Reaktion auf einen solchen Angriff halte man sich deswegen alle Mittel offen. Der ganze Artikel: Großbritannien: Gegenschläge gegen Cyber-Angriffe angedroht
BadBarcode: Rechner lassen sich per Strichcode manipulieren
Mit geschickt formatierten Barcodes können Angreifer auf an den Scanner angeschlossenen Rechnern bösartige Befehle ausführen. Schließen lassen sich diese Sicherheitslücken nur schwer. Der ganze Artikel: BadBarcode: Rechner lassen sich per Strichcode manipulieren
Steganografie: Wie Malware verdeckt kommuniziert
Anhand von einigen Praxisbeispielen zeigen Sicherheitsforscher auf, wie sich Malware im Verborgenen mit Command-and-Control-Servern austauscht. Der ganze Artikel: Steganografie: Wie Malware verdeckt kommuniziert
IT-Gipfel: De Maizière macht sich für Ende-zu-Ende-Verschlüsselung stark
Im Rahmen des nationalen IT-Gipfels in Berlin wird die "Charta zur Stärkung der vertrauenswürdigen Kommunikation" vorgestellt, die unter anderem von Bundesinnenminister Thomas De Maizière unterzeichnet wurde. Der ganze Artikel: IT-Gipfel: De Maizière macht sich für Ende-zu-Ende-Verschlüsselung stark
Patches außer der Reihe: Adobe dichtet ColdFusion ab
Adobe stopft vier Sicherheitslücken in ColdFusion, LiveCycle Data Services und Premiere Clip. Exploits sollen noch nicht im Umlauf sein. Der ganze Artikel: Patches außer der Reihe: Adobe dichtet ColdFusion ab
Gas- und Öl-Industrie: Leichte Ziele für Hacker
Sicherheitsforscher warnen davor, dass Cyber-Kriminelle mit vergleichsweise einfachen Methoden einen Großteil der weltweiten Öl-Produktion kontrollieren könnten. Der ganze Artikel: Gas- und Öl-Industrie: Leichte Ziele für Hacker
Angriffe auf verwundbare vBulletin-Versionen
Cyber-Kriminelle nutzen derzeit aktiv eine Sicherheitslücke in der Forensoftware vBulletin aus. Der ganze Artikel: Angriffe auf verwundbare vBulletin-Versionen
StrongSwan: Angreifer können VPN-Authentifizierung umgehen
Das EAP-MSCHAPv2-Plug-in in der IPSec-Umsetzung StrongSwan ist verwundbar. Eine gefixte Version ist bereits verfügbar. Der ganze Artikel: StrongSwan: Angreifer können VPN-Authentifizierung umgehen
Übergriffe auf Nutzerkonten von Lufthansa-Kunden
Unbekannte haben es auf den Mitgliederbereich von Lufthansa-Kunden abgesehen und versucht, sich mit vermutlich von anderen Anbietern gestohlenen Log-in-Daten einzuloggen. In einigen Fällen soll das erfolgreich gewesen sein. Der ganze Artikel: Übergriffe auf Nutzerkonten von Lufthansa-Kunden
Windows10: Version 1511 kickt Virenschutz von Eset
Das Upgrade auf Windows 10 Version 1511 kann unter Umständen zur Deinstallation diverser Antivirenlösungen von Eset führen. Der ganze Artikel: Windows10: Version 1511 kickt Virenschutz von Eset
Programmbibliothek libpng verlangt nach Sicherheitsupdates
Eine Schwachstelle in libpng kann als Einfallstor für Angreifer dienen, um Anwendungen zum Absturz zu bringen. Der ganze Artikel: Programmbibliothek libpng verlangt nach Sicherheitsupdates
Gläserne Arbeitnehmer: Verdi warnt vor Kehrseite der Datenflut
Datenerfassung ist heute allgegenwärtig – auch im Job. Viele Chefs können sich ein genaues Bild von ihren Mitarbeitern machen und bekommen auch Einblicke in deren Privatleben. Gewerkschafter fordern deshalb geeignete Spielregeln. Der ganze Artikel: Gläserne Arbeitnehmer: Verdi warnt vor Kehrseite…
Pariser Anschläge: Polizei ruft nach erweiterter Vorratsdatenspeicherung
Der Vizechef der Gewerkschaft der Polizei, Jörg Radek, hat angesichts der jüngsten Terrorserie in Paris mehr Überwachungsbefugnisse gefordert. Verbindungs- und Standortdaten sollten mindestens ein Jahr aufbewahrt werden. Der ganze Artikel: Pariser Anschläge: Polizei ruft nach erweiterter Vorratsdatenspeicherung
Lücke im Chrome betrifft Millionen von Android-Geräten
Der Browser moderner Android-Versionen soll eine Lücke in der JavaScript-V8-Engine aufweisen. Angreifer könnten darüber böswillige Apps nachinstallieren, ohne dass Anwender es merken. Der ganze Artikel: Lücke im Chrome betrifft Millionen von Android-Geräten
Trusted Computing: Bundesregierung entwickelt Position weiter
Die Bundesregierung will 2016 überarbeitete Eckpunkte zu Trusted Computing und Secure Boot veröffentlichen. Dabei sollen neue Gebiete wie mobile und industrielle Anwendungen sowie Fahrzeuge berücksichtigt werden. Der ganze Artikel: Trusted Computing: Bundesregierung entwickelt Position weiter
Konferenz zur Sicherheit von Autos: Vom Crashtest zum Pentest
Die Autoindustrie steht vor einem Paradigmenwechel – sie muss ihre Produkte nun auch gegen unbekannte Angriffe von Hackern absichern. Kostendruck und Komplexität erschweren den Umbau jedoch. Der ganze Artikel: Konferenz zur Sicherheit von Autos: Vom Crashtest zum Pentest
FBI soll hinter Angriff auf Tor-Netzwerk stecken
Das FBI hat laut Informationen des Tor-Projektleiters einer Pittsburgher Uni möglicherweise eine Million Dollar gezahlt, um einen mehrmonatigen Deanonymisierungs-Angriff auf das Netzwerk zu fahren. Der ganze Artikel: FBI soll hinter Angriff auf Tor-Netzwerk stecken
Let’s Encrypt:Ab dem 3. Dezember Gratis-SSL-Zertifikate für alle
In Kürze startet Let’s Encrypt in die öffentliche Beta und beginnt damit, SSL-Zertifikat auszustellen, die von den Browsern als vertrauenswürdig eingestuft werden – kostenlos und so einfach wie nie. In c’t erfahren Sie bereits jetzt alle Details. Der ganze Artikel:…
botfrei.de: Werbeblocker-Sanktionen „der falsche Weg“
Das "Anti-Botnet Beratungszentrums" botfrei.de und der Betreiber, der eco Verband der Internetwirtschaft, halten Online-Werbung für wichtig. Sanktionen gegen Werbeblocker würden aber wichtige Nutzerinteressen unberücksichtigt lassen. Der ganze Artikel: botfrei.de: Werbeblocker-Sanktionen „der falsche Weg“
Telefonate belauscht: Samsung Galaxy S6 in Wanze verwandelt
Sicherheitsforscher haben sich in Telefongespräche eingeklinkt, die von einem Android-Smartphone ausgingen, und die Unterhaltungen dabei heimlich aufgezeichnet. Der ganze Artikel: Telefonate belauscht: Samsung Galaxy S6 in Wanze verwandelt
Escar: Automotive Security noch am Anfang
Ampelanlagen stehen Angreifern fast komplett offen, die interne Kommunikation von Autos ist einfach fälschbar: Obwohl die Sicherheit der Autoelektronik seit über einem Jahrzehnt debattiert wird, stehen die Bemühungen of noch am Anfang. Der ganze Artikel: Escar: Automotive Security noch am…
Outlook-Probleme: Microsoft fixt Sicherheits-Update für Windows
Microsoft hat ein fehlerhaftes Update zurückgezogen und durch eine gefixte Version ersetzt. Nach der Installation soll Outlook nicht mehr abstürzen. Doch es gibt noch weitere Probleme. Der ganze Artikel: Outlook-Probleme: Microsoft fixt Sicherheits-Update für Windows
German OWASP Day 2015 am 1. Dezember in Frankfurt
Die Organisatoren der Konferenz zur Websicherheit haben als Referenten unter anderem Christian Rhino von der Commerzbank und Google-Security-Engineer Christoph Kern als Referenten gewinnen können. Der ganze Artikel: German OWASP Day 2015 am 1. Dezember in Frankfurt
Hash-Algorithmus Blake will es nochmal wissen
Nachdem Blake im SHA-3-Wettbewerb das Rennen nicht gemacht hat, reichen die Entwickler Blake2 nach. Die optimierte Version soll nicht nur sicher, sondern auch sehr schnell sein. Der ganze Artikel: Hash-Algorithmus Blake will es nochmal wissen
InstaAgent: Passwort-sammelnder Instagram-Client fliegt aus App Store und Google Play
Die App, die Nutzern verschiedene Zusatzinformationen zu ihrem Profil bei Facebooks populärem Foto-Dienst verspricht, sendete offenbar Instagram-Benutzernamen und Passwort im Klartext an einen Dritt-Server. Der ganze Artikel: InstaAgent: Passwort-sammelnder Instagram-Client fliegt aus App Store und Google Play
Oracle will Zero-Day-Lücke in WebLogic Server patchen
Oracle rückt von seinen Quartals-Sammel-Updates ab und kündigt einen Patch für den WebLogic Server an, um eine kritische Schwachstelle zu fixen. Der ganze Artikel: Oracle will Zero-Day-Lücke in WebLogic Server patchen
Symantec Endpoint Protection: Alte Sicherheitslücke bricht wieder auf
Eine totgeglaubte Schwachstelle ist wieder da, da ein älterer Patch nur Teile des Problems angegangen ist. Das aktuelle Update für Symantecs Endpoint Protection soll es nun richten und noch weitere Schwachstellen abdichten. Der ganze Artikel: Symantec Endpoint Protection: Alte Sicherheitslücke…
Patchday: Adobe pflegt den Flash-Patienten
Flash liegt mal wieder auf dem OP-Tisch und wird geflickt. Nutzer sollten ihren Flash-Patienten zügig behandeln, denn die Lücken gelten als kritisch. Exploits sollen aber noch nicht kursieren. Der ganze Artikel: Patchday: Adobe pflegt den Flash-Patienten
Patchday: Microsoft macht Windows und seine Webbrowser sicherer
Microsoft dichtet diesen Monat 49 Schwachstellen ab. Davon sind 26 Lücken als kritisch eingestuft. Eine davon bedroht viele Windows-Versionen. Der ganze Artikel: Patchday: Microsoft macht Windows und seine Webbrowser sicherer
Großbritannien: Geheimdienst und Polizei jagen Verbrecher im Dark Web
Eine "Gemeinsame Operationszelle" des britischen Geheimdiensts GCHQ und der National Crime Agency (NCA) soll dabei helfen, Straftäter vor allem bei Kindesmissbrauch auch in den dunklen Ecken des Internets zu verfolgen. Der ganze Artikel: Großbritannien: Geheimdienst und Polizei jagen Verbrecher im…
Erpressungs-Trojaner für Linux stümpert – noch
Wer sich die Ransomware Linux.Encoder.1 eingefangen hat, darf hoffen: Durch einen Anfängerfehler lässt sich der Schlüssel zum Dekodieren der verschlüsselten Dateien leicht finden. Der ganze Artikel: Erpressungs-Trojaner für Linux stümpert – noch
Zero-Day-Alarm für viele Server mit Java
Gefährliche Zero-Day-Exploits für WebLogic, WebSphere, JBoss, Jenkins und OpenNMS demonstrieren nachdrücklich, dass auch Java-Anwendungen auf dem Server nicht automatisch sicher sind. Konkreter Auslöser ist die verbreitete Bibliothek Common Collections. Der ganze Artikel: Zero-Day-Alarm für viele Server mit Java
Bitkom warnt vor den Folgen des Safe-Harbor-Urteils
Laut des deutschen IT-Lobbyverbands Bitkom drohen durch das Safe-Harbour-Urteil negative Konsequenzen für den Standort Europa. Eine politische Einigung mit den USA sei daher notwendig. Der ganze Artikel: Bitkom warnt vor den Folgen des Safe-Harbor-Urteils
Netzwerk-Analysetool Wireshark springt auf Version 2.0
Die nächste Hauptversion von Wireshark bringt Verbesserungen in vielen Teilbereichen mit. Zur Einführung findet am 12. November ein Webinar statt. Ein Release-Kandidat steht schon bereit. Der ganze Artikel: Netzwerk-Analysetool Wireshark springt auf Version 2.0
Apple-Chef Tim Cook: Wir brauchen starke Verschlüsselung
Der Apple-Chef Tim Cook hat in London den britischen Gesetzesentwurf zur Netzüberwachung kritisiert. Der ganze Artikel: Apple-Chef Tim Cook: Wir brauchen starke Verschlüsselung
Sicherheitslücken in SAP HANA öffnen Tür und Tor für Angreifer
In der In-Memory-Plattform HANA von SAP klaffen 21 Schwachstellen. Acht davon sind als kritisch eingestuft. Updates sind verfügbar. Der ganze Artikel: Sicherheitslücken in SAP HANA öffnen Tür und Tor für Angreifer
Zahlen bekanntgegeben: Von der NSA verschwiegene IT-Sicherheitslücken
Die US-Regierung stößt bei ihrer Arbeit regelmäßig auf Schwachstellen in Hard- und Software. Einen Großteil davon teilt die NSA mit. Einen kleinen Prozentsatz hält die Behörde jedoch aus "nationalen Sicherheitsgründen" zurück. Der ganze Artikel: Zahlen bekanntgegeben: Von der NSA verschwiegene…
Geekfest Berlin: Hackergeschichte(n) live
Das erste Berliner Geekfest soll die Hacker von heute und gestern zusammenbringen. Der ganze Artikel: Geekfest Berlin: Hackergeschichte(n) live
l+f: Verschlüsselungstrojaner leidet unter Gedächtnisschwund
Wie lautet nochmal der Schlüssel zum decodieren? Mist, vergessen. Der ganze Artikel: l+f: Verschlüsselungstrojaner leidet unter Gedächtnisschwund
Grußkarten-App: Hacker brechen in Computersystem von Touchnote ein
Cyber-Kriminelle haben Nutzerdaten von den Servern des Anbieters der Touchnote-App für Android- und iOS-Geräte kopiert. Kreditkarten-Nummern und Passwörter sollen ausreichend abgesichert sein. Der ganze Artikel: Grußkarten-App: Hacker brechen in Computersystem von Touchnote ein
Hacking Team: Kantonspolizei kaufte Überwachungssoftware trotz Bedenken des Bundesgerichts
Die Zürcher Kantonspolizei hat nach einer Weisung ihres Sicherheitsdirektors Überwachungssoftware von Hacking Team eingekauft, obwohl das Bundesgericht in einer Entscheidung monierte, dass die Anschaffung gegen geltendes Recht verstoßen kann Der ganze Artikel: Hacking Team: Kantonspolizei kaufte Überwachungssoftware trotz Bedenken des…
„Operation Blackfin“: Aktionswoche gegen Cyber-Kriminalität
Wie kann man sich im Internet gegen den Diebstahl digitaler Identitäten schützen? Was tun gegen betrügerische Phishing-Mails? Wie gehe ich verantwortlich mit meinen Daten um? Das Bundeskriminalamt will solche Fragen in einer Aktionswoche beantworten. Der ganze Artikel: „Operation Blackfin“: Aktionswoche…
heise Security Webinar: SSL zielgerichtet optimieren
Die Basiskonfiguration eines Web-Servers mit SSL/TLS ist schnell erledigt. Doch aktuelle Gefahren erfordern mehr als nur Basis-Sicherheit. Das Live-Webinar von heise Security ordnet zusätzliche Schutzmechanismen ein und und hilft bei der Einrichtung. Der ganze Artikel: heise Security Webinar: SSL zielgerichtet…
SSH-Client PuTTY 0.66 schließt Sicherheitslücke
Die neue Version des SSH- und Telnet-Clients bringt ein paar kleine Verbesserungen und Fehlerkorrekturen. Zudem wurde eine Sicherheitslücke geschlossen. Der ganze Artikel: SSH-Client PuTTY 0.66 schließt Sicherheitslücke
Bundestag will sich vor „unberechtigtem Datenabfluss“ besser schützen
Weniger Software mit beschränkten Rechten, Zwei-Faktor-Authentisierung, längere Passwörter und zeitlich begrenzte Rechte für den IT-Support sollen das Bundestagsnetz nach dem vor sechs Monaten aufgedeckten Hack sicherer machen. Der ganze Artikel: Bundestag will sich vor „unberechtigtem Datenabfluss“ besser schützen
l+f: Webseite der Regierung von Nigeria serviert frischen Phish
AOL-, Gmail-, Hotmail- und Yahoo-Nutzer aufgepasst: Phisher haben eine Unterseite der Regierung von Nigeria infiltriert. Der ganze Artikel: l+f: Webseite der Regierung von Nigeria serviert frischen Phish
Verschlüsselungstrojaner Chimera droht mit Veröffentlichung persönlicher Daten
Wer sich die Ransomware Chimera eingefangen hat und das Lösegeld nicht zahlt, muss damit rechnen, dass die Erpresser etwa private Fotos veröffentlichen. Der ganze Artikel: Verschlüsselungstrojaner Chimera droht mit Veröffentlichung persönlicher Daten
157.000 Kunden vom TalkTalk-Hack betroffen
Einer offiziellen Stellungnahme zufolge haben Hacker beim Einbruch in das Computersystem des britischen Internet- und Mobilfunkproviders neben Bank- auch Kreditkartendaten von Kunden erbeutet. Der ganze Artikel: 157.000 Kunden vom TalkTalk-Hack betroffen
Bundesrat will WLAN-Anbieter weitgehend von der Störerhaftung befreien
Die Länderkammer fordert, mit dem geplanten WLAN-Gesetz Hotspot-Anbieter grundsätzlich von der Störerhaftung auszuschließen. Auch einen Auskunftsanspruch bei Online-Hetze soll es künftig geben. Der ganze Artikel: Bundesrat will WLAN-Anbieter weitgehend von der Störerhaftung befreien
Falscher 1&1-Support will Computer „reparieren“
Schon seit längerem fahren Online-Betrüger die Masche, sich am Telefon als Support-Mitarbeiter von Apple und Microsoft auszugeben. Nun finden sich auch vermeintliche Mitarbeiter von 1&1 am anderen Ende der Leitung. Der ganze Artikel: Falscher 1&1-Support will Computer „reparieren“
Verschlüsselnder E-Mail-Dienst Protonmail Opfer von DDoS-Attacken
Der Schweizer E-Mail-Service Protonmail stand eigenen Angaben zufolge unter massiven DDoS-Attacken und hat aufgrund des Drucks von involvierten Dritten das geforderte Lösegeld gezahlt. Doch die Angriffe gingen weiter. Der ganze Artikel: Verschlüsselnder E-Mail-Dienst Protonmail Opfer von DDoS-Attacken
SSL-Zertifikate: Microsoft will sich schon nächstes Jahr von SHA-1 trennen
Die Firma überlegt ob der neuen Qualität von Angriffen auf den Hash-Algorithmus, diesen schon Mitte 2016 auf die verbotene Liste zu setzen. Google und Mozilla gehen ähnliche Wege. Der ganze Artikel: SSL-Zertifikate: Microsoft will sich schon nächstes Jahr von SHA-1…
Jugendliche hacken angeblich einen E-Mail-Account des FBI-Vizedirektors
Eine Hackergruppe von Teenagern, die sich selbst Crackas With Attitude nennen, hat eigenen Angaben zufolge Zugriff auf E-Mails des FBI-Vizedirektors Mark Giuliano. Zuvor sollen sie schon den AOL-Account des CIA-Chefs geentert haben. Der ganze Artikel: Jugendliche hacken angeblich einen E-Mail-Account…
„Adware-Trojaner“ rooten heimlich Android-Geräte
Sicherheitsforscher warnen vor einer neuen Form von Android-Adware, die neben der Einblendung von Werbung auch Geräte rooten und ausspionieren kann. Der ganze Artikel: „Adware-Trojaner“ rooten heimlich Android-Geräte
Co-thority statt Authority: Viele-Augen-Prinzip für Zertifikate
Gefälschte Zertifikate, nicht beachtete Zertifikatskonflikte – ist das Zertifikatswesen und damit die Vertraulichkeit und Echtheit von per TLS übertragenen Daten, zu retten? Die IETF gibt noch nicht auf. Der ganze Artikel: Co-thority statt Authority: Viele-Augen-Prinzip für Zertifikate
ADAC: Abgegriffene Mitgliederdaten von Datenträgern gelöscht
ADAC-Mitglieder, die vom kürzlichen Datenleck betroffen waren, werden von dem Verband nun doch nicht informiert. Man könne nicht mehr feststellen, wer kompromittiert wurde, hieß es. Der ganze Artikel: ADAC: Abgegriffene Mitgliederdaten von Datenträgern gelöscht
Datenschutz und Smart-TV: Neue Orientierungshilfe für Anbieter von TV-Diensten und Geräteherstellen
Das Bayrische Landesamtes für Datenschutz hat eine Handlungsanleitung für TV-Dienstanbieter und Smart-TV-Hersteller herausgegeben. Sie bietet eine datenschutzrechtliche Bewertung von Geräten und Services.. Der ganze Artikel: Datenschutz und Smart-TV: Neue Orientierungshilfe für Anbieter von TV-Diensten und Geräteherstellen
Nach Hack des Support-Forums: Mysteriöser vBulletin-Patch erschienen
Nach einem Angriff auf das offizielle Support-Forum der Forensoftware vBulletin ist ein Sicherheitsupdate erschienen. Ob dies die Lücke stopft, die bei dem Angriff ausgenutzt wurde, ist nicht ganz klar. Der ganze Artikel: Nach Hack des Support-Forums: Mysteriöser vBulletin-Patch erschienen
l+f: „Suche Hacker, um Bußgelder zu tilgen“
Ein Polizeibeamter gibt sich auf Craigslist als Hacker aus und horcht den Inserenten aus. Die Folgen sind schlimmer als das Bußgeld. Der ganze Artikel: l+f: „Suche Hacker, um Bußgelder zu tilgen“
XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
Hacker haben erneut an Apples offiziellem Entwicklungstool geschraubt und eine aktualisierte, bösartige Version in Umlauf gebracht. Damit gebaute Apps werden automatisch mit Schadcode ausgestattet. Der ganze Artikel: XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
Vierter Verdächtiger im Fall TalkTalk festgenommen
Nun ist schon der vierte Verdächtige in Zusammenhang mit dem TalkTalk-Hack verhaftet worden. Auffällig ist: Fast alle Verdächtigen befinden sich im Teenageralter. Der ganze Artikel: Vierter Verdächtiger im Fall TalkTalk festgenommen
Samsung-Software auf Galaxy S6 Edge schafft Sicherheitslücken
Sicherheitsforscher von Googles Project Zero haben die Samsungs Zusatzsoftware untersucht, die der Hersteller mit der reinen Android-Version verrührt. Dabei kommt das Team zu einem besorgniserregenden Ergebnis. Der ganze Artikel: Samsung-Software auf Galaxy S6 Edge schafft Sicherheitslücken
Threema-Audit abgeschlossen: „Ende-zu-Ende-Verschlüsselung ohne Schwächen“
Threema hat seinen gleichnamigen Messenger überprüfen lassen. Dabei standen die kryptografischen Funktionen im Fokus. Der ganze Artikel: Threema-Audit abgeschlossen: „Ende-zu-Ende-Verschlüsselung ohne Schwächen“
Edward Snowdens Messenger: TextSecure und RedPhone sind jetzt Signal
Die beiden Android-Apps für verschlüsselten Chat und sichere Telefonate von Moxie Marlinspike sind nun, wie auf iOS, unter dem Namen Signal vereint. Der ganze Artikel: Edward Snowdens Messenger: TextSecure und RedPhone sind jetzt Signal