Der TÜV Süd vergibt Siegel für sichere Webseiten – und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat. (TÜV, Perl) Advertise…
Schlagwort: Golem.de – Security
Smart Grid: Der Strom muss schlauer werden
Die Kohlendioxid-emittierenden Kraftwerke sollen abgeschaltet und durch Kraftwerke ersetzt werden, die Strom aus erneuerbaren Quellen erzeugen. Dafür müssen die Stromnetze jedoch angepasst werden. Neuartige IT-Lösungen bringen die Energiewende im europäischen Verbund voran. (Smart Grid, Computer) Advertise on IT Security…
Security: Google-Anmeldung fordert künftig eingeschaltetes Javascript
Um Nutzer vor eventuellen Angriffen zu schützen, führt Google einen Prüfalgorithmus ein, der vor der Anmeldung mit dem Konto ausgeführt wird. Das erfordert jedoch, dass Kunden dazu Javascript einschalten. (Google, Cloud Computing) Advertise on IT Security News. Lesen Sie…
Apple-Sicherheitslücken: Facetime-Anruf kann zur Code-Ausführung genutzt werden
Eine Sicherheitslücke ermöglicht Angreifern das Ausführen von Schadcode auf iOS-Geräten der Opfer per Facetime-Anruf. Apple hat die Lücke geschlossen, ebenso wie verschiedene Kernel-Bugs, einen Fehler in einem wichtigen Primzahlentest in MacOS und iOS und eine Spectre-Variante behoben. (Sicherheitslücke, Apple) …
Microsoft: Windows Defender wird durch Sandbox sicherer
Microsoft bewirbt seine Antivirensoftware Windows Defender als erste kostenlose Software mit Sandbox. Dadurch ist sie vom Betriebssystem abgeschottet, was eine Ausnutzung von erhöhten Rechten erschwert, die ein solches Programm benötigt. Momentan befindet sich die Funktion noch in einer Testphase. (Virenscanner,…
Ohne Vorratsdatenspeicherung: Bundesregierung soll E-Privacy-Reform vorantreiben
16 zivilgesellschaftliche Organisationen und Verbände haben Wirtschaftsminister Peter Altmaier und mehrere seiner Kollegen aufgefordert, in Brüssel die geplante E-Privacy-Verordnung voranzutreiben und so gegen „aufdringliche und missbräuchliche Praktiken auf dem digitalen Markt vorzugehen“. (Vorratsdatenspeicherung, Datenschutz) Advertise on IT Security News.…
Polizei Berlin: Datenschutzbeauftragte mahnt schärfere Passwortvorschrift an
Nach Beschwerden über eine Sicherheitslücke in der Berliner Polizeidatenbank Poliks hat die Berliner Datenschutzbeauftragte Maja Smoltczyk das System überprüft und die interne Passwortrichtlinie beanstandet. (Polizei, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Polizei Berlin: Datenschutzbeauftragte…
Metadaten: Signal-Messenger verbirgt Absender
Der verschlüsselte Messenger Signal unterstützt in der Betaversion ein Feature, bei dem Nachrichten so verschickt werden, dass der Server nicht weiß, von wem die Nachricht stammt. Wer der Absender ist, sieht nur der Empfänger. (Signal, Instant Messenger) Advertise on…
Krankenkassen: Vivy-App gibt Daten preis
Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden. (Medizin, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Krankenkassen: Vivy-App gibt…
Linux: Sicherheitslücke in Systemd
Mit präparierten Paketen kann im DHCPv6-Client von Systemd ein Pufferüberlauf erzeugt werden. Ubuntu ist in der Standardinstallation betroffen. Ein Update steht zur Verfügung. (Systemd, Ubuntu) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Linux: Sicherheitslücke in Systemd
Sicherheitslücke: Steuerung von Bau-Kran lässt sich übernehmen
Eine Sicherheitslücke in der kabellosen Kransteuerung Telecrane F25 ermöglicht es, Signale mitzuschneiden und mit diesen anschließend den Kran fernzusteuern. Ein Sicherheitsupdate steht bereit. (Sicherheitslücke, Mobil) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitslücke: Steuerung von Bau-Kran…
Linux und BSD: Sicherheitslücke in X.org ermöglicht Root-Rechte
Eine Sicherheitslücke im Displayserver X.org erlaubt unter bestimmten Umständen das Überschreiben von Dateien und das Ausweiten der Benutzerrechte. Der passende Exploit passt in einen Tweet. (Sicherheitslücke, OpenBSD) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Linux und…
Sicherheitslücke: Daten von 185.000 weiteren British-Airways-Kunden betroffen
Von dem Datenleck im Buchungssystem von British Airways waren deutlich mehr Kunden betroffen als bisher bekannt. Die Fluggesellschaft rät betroffenen Kunden, ihre Bank zu kontaktieren. Kreditkarten werden in diesem Fall häufig komplett ausgetauscht. (Sicherheitslücke, Datenschutz) Advertise on IT Security…
Studie: Silicon Valley dient als rechte Hand des großen Bruders
Die US-Hightech-Branche verdingt sich zunehmend als technischer Dienstleister für staatliche Big-Brother-Projekte wie die Überwachung und Abschiebung von Immigranten, heißt es in einem Bericht von Bürgerrechtlern. Amazon und Palantir verdienten damit am meisten. (Datenschutz, IBM) Advertise on IT Security News.…
Datenskandal: Britische Datenschutzbehörde verurteilt Facebook
Im Skandal um Cambridge Analytica hat die britische Datenschutzbehörde die Höchststrafe von 500.000 Pfund verhängt. Facebook habe einen schweren Verstoß gegen geltendes Recht zugelassen. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenskandal: Britische…
Cambridge-Analytica-Skandal: EU-Parlament fordert schärfere Kontrolle von Facebook
Die EU-Abgeordneten haben als Reaktion auf die Datenschutzverstöße von Facebook und Cambridge Analytica Behörden angehalten, ihre Aktivitäten auf dem Netzwerk zu überdenken. Profiling zu politischen Zwecken wollen sie verbieten. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie…
Wolf Intelligence: Trojanerfirma aus Deutschland lässt interne Daten im Netz
Wolf Intelligence verkauft Schadsoftware an Staaten. Eine Sicherheitsfirma hat sensible Daten des Unternehmens öffentlich zugänglich im Internet gefunden. In einer Präsentation wurden die Funde gezeigt. (Trojaner, Virus) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Wolf Intelligence:…
Linux-Kernel: Mit Machine Learning auf der Suche nach Bug-Fixes
Wichtige Patches, die in stabilen Kernel-Versionen landen sollten, werden von der Linux-Community oft vergessen oder übersehen. Abhilfe schaffen soll offenbar Machine Learning, wie die Entwickler Sasha Levin und Julia Lawall erklären. (Linux-Kernel, Linux) Advertise on IT Security News. Lesen…
Websicherheit: Onlineshops mit nutzlosem TÜV-Siegel
Ein Siegel des TÜV Süd soll sichere Shopping-Webseiten garantieren. Ein falsches Versprechen: Wir fanden mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel – und auf der TÜV-Webseite selbst – sehr banale Sicherheitslücken. (TÜV, Onlineshop) Advertise on IT Security News.…
Android: Google schreibt Sicherheitsupdates für zwei Jahre vor
Um zu erreichen, dass Hersteller von Android-Smartphones Googles monatliche Sicherheitsupdates auch auf ihre Geräte bringen, soll Google eine neue Vorgabe machen: Die Updates müssen zwei Jahre lang regelmäßig verteilt werden, sonst droht Google mit Problemen bei der Veröffentlichung künftiger Geräte.…
Kernel: Security-Entwickler fühlt sich von Linux-Community zermalmt
Der Security-Entwickler Alexander Popov berichtet auf dem Open Source Summit von seiner Zusammenarbeit mit der Linux-Kernel-Community. Er fühle sich dabei wie zwischen Mühlsteinen zermalmt. Das liege wohl auch daran, dass die Community zwischen normalen Menschen und Security-Leuten trenne. (Linux-Kernel, Linux)…
Webapplikationen: Sicherheitslücke in jQuery-Plugin wird aktiv ausgenutzt
Ein jQuery-Plugin erlaubt es, unter bestimmten Bedingungen PHP-Dateien auf den Server zu laden und auszuführen. Das Problem sitzt jedoch tiefer: Viele Webapplikationen bauen auf den Schutz von Apaches .htaccess-Dateien. Der ist jedoch häufig wirkungslos. (jQuery, CMS) Advertise on IT…
PyPi-Malware: Britisches Python-Paket klaut Bitcoin
In der Python-Paketverwaltung PyPi wurde eine Software gefunden, die versucht, Bitcoin-Adressen in der Windows-Zwischenablage zu manipulieren. Dabei versuchten die Autoren des Pakets colourama, Verwechslungen von US-englischer und britischer Schreibweise auszunutzen. (Malware, Python) Advertise on IT Security News. Lesen Sie…
Informationsfreiheitsbeauftragte: Algorithmen für Behörden müssen diskriminierungsfrei sein
Informationsfreiheitsbeauftragte von Bund und Ländern drängen auf eine stärkere Kontrolle von Algorithmen und künstlicher Intelligenz (KI) in der Verwaltung. An die Auswahl und die Entwicklung solcher Verfahren müssten hohe Anforderungen gestellt werden. (KI, Datenschutz) Advertise on IT Security News.…
Telekommunikation: Mit dem Laser durch die Wolken
Laser könnten Daten von Satelliten viel besser übertragen als Radiowellen. Aber was tun bei schlechtem Wetter? Forscher aus der Schweiz haben einen Weg gefunden und machen sich dabei jahrzehntealte Forschung zunutze. (Wissenschaft, Verschlüsselung) Advertise on IT Security News. Lesen…
Nach Datenskandalen: Facebook möchte Sicherheitsfirma kaufen
Facebook reagiert auf die jüngsten Datenskandale mit der Kaufabsicht einer großen Sicherheitsfirma. Der ehemalige britische Vize-Premierminister wird außerdem Facebooks neuer PR-Chef. Das soziale Netzwerk versucht Vertrauen zurückzugewinnen. (Facebook, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen…
BSI: Richtlinie zu Routersicherheit kommt Anfang November
Seit mehreren Monaten ist die umstrittene BSI-Richtlinie zur Sicherheit von Heimroutern überfällig. Laut BSI-Chef Schönbohm ist sie längst fertig und soll ein „Mindesthaltbarkeitsdatum“ für Software und 19 andere Kriterien enthalten. (Router, Virus) Advertise on IT Security News. Lesen Sie…
Phishing: Schadsoftware versteckt sich in E-Mails von Freunden
Angreifer verbreiten mit einer besonders schwer erkennbaren Phishing-Methode Malware: Sie hacken E-Mail-Konten und klinken sich dann in bestehende Konversationen ein – Nutzer müssen genau hinsehen. (Phishing, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Phishing: Schadsoftware…
Mikrotik: Proxy-Server fügen Kryptominer ein
Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv. (Provider, Technologie) Advertise on IT Security News. Lesen Sie…
Bloomberg legt nach: Spionagechips angeblich auch bei US-Provider
Nach Amazon und Apple sollen auch bei einem US-Provider chinesische Spionagechips gefunden worden sein. Unternehmen und staatliche Institutionen widersprechen. Die Bloomberg-Diskussion geht weiter. (Spionage, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Bloomberg legt nach: Spionagechips…
Mozilla: Update-Mechanismus von Firefox hat kaum kritische Lücken
Mozilla hat den Firefox Application Update Service (AUS) einem Audit unterziehen lassen. Der Abschlussbericht dazu steht nun bereit. Das beauftragte Sicherheitsunternehmen bewertet den Update Service insgesamt als gut. (Firefox, Browser) Advertise on IT Security News. Lesen Sie den ganzen…
Google: Mehr Kontrolle für Android- und Chrome-Nutzer
Entwickler von Apps unter Android oder Chrome-Erweiterungen kommen schnell an Daten, die die Nutzer ihnen eigentlich gar nicht geben wollten. Google schränkt den Zugriff ein und gibt den Anwendern mehr Kontrolle. Googles Datensammlung dürften sie jedoch nicht gefährden. (Android, Google)…
Kamu: Epic Games kauft Easy Anti-Cheat
Fortnite, Dragon Ball Fighter Z und Far Cry 5 verwenden zur Abwehr von Hackern und Betrügern die gleiche Anti-Cheat-Software von Kamu. Nun ist dessen Entwickler von Epic Games gekauft worden. (Epic Games, Fortnite) Advertise on IT Security News. Lesen…
Soziales Netzwerk: Onlinepetition kämpft für Google Plus
Probieren kann man’s ja: Treue Fans von Google Plus haben eine Onlinepetition gestartet, damit das soziale Netzwerk und damit viele Netzwerke und Freundschaften erhalten bleiben. (Google+, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Soziales Netzwerk:…
Jailbreak: Sony klagt gegen Verkäufer von geknackten Playstation 4
60 gecrackte Spiele gab es gleich mit dazu: Sony hat in den USA einen Hacker verklagt, der geknackte Playstation 4 über Ebay verkauft hat. Um das zu belegen, hatte Sony selbst zwei der Konsolen bestellt. (Playstation 4, Sony) Advertise…
Kernel: Linux-Kernel wird laut Kroah-Hartman immer sicherer
In einem kurzen Videointerview mit der Linux-Foundation spricht Kernel-Maintainer Greg Kroah-Hartman über die Probleme der Linux-Community mit Meltdown und Spectre und warum der Kernel trotz einer Vielzahl an gefundenen Bugs aus seiner Perspektive sicherer wird. (Greg Kroah-Hartman, Linux-Kernel) Advertise…
Xiongmai: Millionen IoT-Kameras immer noch angreifbar im Netz
Noch immer sind viele vernetzte Geräte leicht über das Internet zu hacken. Vor allem ein chinesischer Massenhersteller missachtet weiterhin die einfachsten Grundregeln zum sicheren Betrieb der Geräte. Nun gelobt er Besserung. (Brian Krebs, Virus) Advertise on IT Security News.…
Bloomberg legt nach: Spionagechips auch bei US-Provider
Nach Amazon und Apple sollen auch bei einem US-Provider chinesische Spionagechips gefunden worden sein. Unternehmen und staatliche Institutionen widersprechen. Die Bloomberg-Diskussion geht weiter. (Spionage, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Bloomberg legt nach: Spionagechips…
Soziales Netzwerk: Google Plus wird nach Datenleck dichtgemacht
Googles Mutterkonzern Alphabet zieht nach einem Datenleck bei seinem sozialen Netzwerk Google Plus den Stecker. App-Entwickler konnten zeitweise auf persönliche Daten von Nutzern zugreifen. Google hatte den Fehler zwar behoben – aber verschwiegen. (Google+, Google) Advertise on IT Security…
Rezension zu „Cyberwar“: Wie moderne Gesellschaften in den Cyberkrieg abdriften
In ihrem neu erschienenen Buch „Cyberwar“ erklären die IT-Sicherheitsexperten Constanze Kurz und Frank Rieger, wie groß die Gefahr eines Cyberkrieges ist. (Cyberwar, Sicherheitslücke) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Rezension zu „Cyberwar“: Wie moderne Gesellschaften…
Google Project Zero: Whatsapp-Anruf kann Sicherheitslücke ausnutzen
Googles Project Zero entdeckt eine Sicherheitslücke in Whatsapp. Diese kann mittels eines einfachen Anrufes ausgenutzt werden. Die Lücke wurde von Whatsapp geschlossen. (Whatsapp, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Google Project Zero: Whatsapp-Anruf…
Linux-Kernel: Wireguard-Entwickler will Zinc-Krypto endlich einpflegen
Für das neue Wireguard-VPN im Linux-Kernel entsteht auch die neue Kryptobibliothek Zinc, die anfangs für viel Kritik sorgte. Der Wireguard-Erfinder will Zinc endlich in den Linux-Kernel bringen, doch die Diskussionen darüber gehen weiter. (Linux-Kernel, API) Advertise on IT Security…
DSGVO: Unternehmen bremsen seit Mai beim Datenschutz
Die meisten Unternehmen in Deutschland haben laut einer Umfrage die Anforderungen der DSGVO immer noch nicht umgesetzt. Die niedersächsische Datenschutzbeauftragte Thiel beklagt daher eine Häufung von Beschwerden und Anfragen seit Ende Mai. (Angela Merkel, Datenschutz) Advertise on IT Security…
Hack: Uber zahlt 148 Millionen US-Dollar Strafe
Ein verschwiegener Hack aus dem Jahr 2016 holt Uber ein. Der Fahrdienstvermittler muss einen Vergleich über eine Rekordstrafe akzeptieren. (Uber, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Hack: Uber zahlt 148 Millionen US-Dollar Strafe
E-Privacy-Verordnung: Zustimmungspflicht für Tracking könnte bald kommen
Um die E-Privacy-Verordnung ist es in den vergangenen Monaten still geworden. Doch die Datenschützer könnten demnächst die Tracking-Vorgaben auf Basis der DSGVO einfordern. (EU, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: E-Privacy-Verordnung: Zustimmungspflicht für Tracking…
Peng-Kollektiv: Ein Pass für Zwei
Einen Pass, den zwei Menschen benutzen können: Damit will das Künstlerkollektiv Peng gegen Biometrie und staatliche Überwachung ankämpfen. Erreicht wird das mit einem Passbild, das beiden gleichermaßen ähnelt. (Biometrie, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen…
HTTPS: BSI vergisst Zertifikatswechsel
Die Webseite des Bundesamts für Sicherheit in der Informationstechnik ist zur Zeit nicht erreichbar. Dort hat man offenbar vergessen, sich rechtzeitig um ein neues TLS-Zertifikat zu kümmern. (BSI, Technologie) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Nach Safari und Chrome: Firefox ins Jenseits befördern
Mit einem präparierten Link kann Mozillas Firefox zum Absturz gebracht werden. Ähnliches hat ein Sicherheitsforscher zuvor mit Apples Safari und Googles Chrome gezeigt. Auf einer Webseite sammelt er die Lücken – mitsamt Absturz-Button. (Browser, Firefox) Advertise on IT Security…
Active Directory: Microsoft bewirbt passwortlose Anmeldung in Azure
Ohne Passwort in Active Directory anmelden: Microsoft will das Passwort dringend loswerden und bietet seine Alternativen für diverse Azure-Dienste an. Der Grund: Passwörter sind für Microsoft wenig praktisch. (Azure, Microsoft) Advertise on IT Security News. Lesen Sie den ganzen…
Chrome: Google macht Zugeständnisse
Google geht auf die massive Kritik an Chrome 69 ein: Einige Änderungen sollen mit dem nächsten Release rückgängig gemacht oder abgemildert werden. Das www. wird dennoch aus der URL-Leiste verbannt. (Chrome, Google) Advertise on IT Security News. Lesen Sie…
Mozilla: Firefox Monitor informiert über gehackte Passwörter
Nach Tests im Sommer ist der Firefox Monitor allgemein verfügbar. Der Dienst ist eine Kooperation mit dem Sicherheitsforscher Troy Hunt. Nutzer sollen mit dem Werkzeug über Hacks ihrer Daten informiert werden. (Mozilla, Firefox) Advertise on IT Security News. Lesen…
Google: Chrome löscht Google-Cookies erst nach Logout
In Chrome können zwar alle Browserdaten gelöscht werden, Google-Cookies von angemeldeten Nutzern bleiben jedoch erhalten. (Chrome, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Google: Chrome löscht Google-Cookies erst nach Logout
Azure: Microsoft hat „eine Fülle an Ankündigungen“ parat
Neue virtuelle Maschinen, mietbare SSDs und WAN-Verbindungen über das Microsoft-Backbone: Azure bekommt eine ganze Reihe an neuen Funktionen in den Bereichen Storage, Netzwerken und Security. Vieles davon befindet sich allerdings noch in der Preview-Phase. (Azure, Grafikhardware) Advertise on IT…
Azure: Adobe, Microsoft und SAP vereinheitlichen Kundendaten
Drei CEOs von drei großen Unternehmen auf einer großen Bühne: Die Open Data Initiative soll die Daten verschiedener Produkte auf Azure bringen. Kunden wie Coca Cola finden das sinnvoll, da sie ihre Daten nicht mehr von mehreren Datenbanken manuell zusammenführen…
TLS: Cloudflare startet Unterstützung für verschlüsselte SNI
Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen. (TLS, Firefox) Advertise on…
Azure: Adobe, Microsoft und SAP teilen ihre Kundendaten
Drei CEOs von drei großen Unternehmen auf einer großen Bühne: Die Open Data Initiative soll die Datensätze verschiedener Produkte auf eine Plattform bringen, nämlich Azure. Unternehmen wie Coca Cola und Unilever finden das sinnvoll. Das löst allerdings auch Datenschutzbedenken aus.…
OpenPGP/GnuPG: Signaturen fälschen mit HTML und Bildern
PGP-Signaturen sollen gewährleisten, dass eine E-Mail tatsächlich vom korrekten Absender kommt. Mit einem simplen Trick kann man bei vielen Mailclients scheinbar signierte Nachrichten erstellen – indem man die entsprechende Anzeige mittels HTML fälscht. (OpenPGP, E-Mail) Advertise on IT Security…
Datenschutz: Google-Login meldet sich auch in Chrome an
Das Profilbild des Google-Accounts erscheint plötzlich im Chrome-Browser, obwohl noch kein Login in Chrome stattgefunden hat. Der Synchronisationsdienst wird laut Google nicht aktiviert. Welche anderen Daten geteilt werden, bleibt unklar – die Datenschutzhinweise erlauben einiges. (Chrome, Firefox) Advertise on…
Security: Curl bekommt eigenes Bug-Bounty-Programm
Das kleine Kommandozeilenwerkzeug Curl und dessen Bibliothek finden sich in nahezu allen vernetzten Geräten. Sicherheitsforscher erhalten künftig eine Bug-Bounty, also Geld für das Auffinden von Sicherheitslücken in der Software Curl. (Open Source, Sicherheitslücke) Advertise on IT Security News. Lesen…
iPhone: Apple will mit Nutzerbeobachtung Betrug verhindern
Um missbräuchliche Käufe im iTunes-Store zu verhindern, will Apple künftig für jedes iPhone und iPad einen Vertrauenspunktestand errechnen. Dieser bemisst sich nach dem Nutzungsverhalten, beispielsweise aus der Anzahl der Anrufe oder empfangenen E-Mails. Die Daten sollen sich nicht einsehen lassen.…
Gerichtsverfahren: Mildes Urteil für Mirai-Entwickler
Drei US-Studenten haben das Mirai-Botnetzwerk aufgebaut. Seit 18 Monaten arbeiten sie mit dem FBI zusammen. Das Ergebnis ist eine milde Strafe und eine Verpflichtung zur weiteren Kooperation. (Mirai-Botnetz, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Western Digital: My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden
Das Einsteiger-NAS My Cloud steht seit anderthalb Jahren sperrangelweit offen. Exploits im Internet ermöglichen den passwortlosen Login als Administrator. Western Digital möchte nun Patches liefern. (Western Digital, Speichermedien) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Western…
Gerichtsverfahren: Mirai-Entwickler hoffen auf Sozialstunden beim FBI
Drei US-Studenten haben das Mirai-Botnetzwerk aufgebaut. Seit 18 Monaten arbeiten sie mit dem FBI zusammen. Nun hoffen sie, dass sich die Zusammenarbeit in ihrem Gerichtsverfahren auszahlt. (Mirai-Botnetz, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Gerichtsverfahren:…
GovPayNow: 14 Millionen Buchungen öffentlich einsehbar
Bis vor wenigen Tagen sind auf einer Webseite des Zahlungsdienstleisters GovPayNet die Quittungen aus den vergangenen sechs Jahren zugänglich gewesen. Darüber werden Zahlungen an US-Behörden abgewickelt. (Sicherheitslücke, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: GovPayNow:…
Zero-Day: Überwachungskameras können übernommen und manipuliert werden
Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar. (Videoüberwachung, Technologie) Advertise on IT Security News. Lesen Sie…
Webauthn: Passwortloses Einloggen mit schlechter Kryptographie
Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie. (Verschlüsselung, Firefox) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Webauthn: Passwortloses Einloggen mit…
iPhone und iPad: Einen Klick vom Absturz entfernt
Mit wenigen Zeilen CSS-Code können iPhone und iPad zum Absturz gebracht werden. Auch andere Betriebssysteme und Browser sind betroffen. (Safari, Firefox) Advertise on IT Security News. Lesen Sie den ganzen Artikel: iPhone und iPad: Einen Klick vom Absturz entfernt
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der „fliegende Gerichtsstand“ im Wettbewerbsrecht abgeschafft werden. (Abmahnung, Urheberrecht) Advertise on IT Security News. Lesen Sie den ganzen…
HHVM: Quelloffene virtuelle Maschine kommt künftig ohne PHP aus
Ab Anfang 2019 gibt es keinen PHP-Support mehr für die virtuelle Maschine HHVM. Stattdessen wollen die Entwickler verstärkt auf die Scriptsprache Hack setzen. Nutzer der Software stehen jetzt vor der Wahl: Entweder Hack oder PHP 7 ohne HHVM. (HHVM, PHP)…
Tor-Netzwerk: Sicherheitslücke für Tor Browser 7 veröffentlicht
Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter – nachdem er Monate von ihr wusste. (Tor-Netzwerk, Firefox) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Tor-Netzwerk: Sicherheitslücke für…
Veeam: 200 GByte Kundendaten ungeschützt im Internet
Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten. (Datenbank, Spam) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Veeam: 200 GByte Kundendaten ungeschützt im Internet
Cold Boot Attack rebootet: Forscher hebeln Verschlüsselung von Computern aus
Ein alter Angriff neu durchgeführt: Forschern ist es gelungen, den Schutzmechanismus gegen die zehn Jahre alte Cold-Boot-Attacke zu umgehen. Angreifbar sind eingeschaltete verschlüsselte Rechner. (Verschlüsselung, PC-Hardware) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Cold Boot Attack…
Verschlüsselung: NSA-Chiffre Speck fliegt aus dem Linux-Kernel
Mit der NSA-Chiffre Speck wollte Google ursprünglich den Speicher von Low-End-Android-Smartphones verschlüsseln, doch nun hat das Unternehmen seine Unterstützung dafür zurückgezogen. Die umstrittene Verschlüsselung wird deshalb wieder aus dem Linux-Kernel entfernt. (Linux-Kernel, Verschlüsselung) Advertise on IT Security News. Lesen…
Hardware-Sicherheitsmodul: Intel legt Code für TPM2-Unterstützung offen
Ein Trusted Platform Module (TPM) soll bestimmte Sicherheitsfunktionen für Rechner in einer eigene Hardware-Einheit bereitstellen. Intel stellt seine Implementierung der Software für die TPM2-Unterstützung als Open Source für Linux und Windows bereit. (Intel, Applikationen) Advertise on IT Security News.…
Verschlüsselung: Five-Eyes fordern Zugang – zur Not mit Zwang
Telekommunikationsanbieter sollen nach Wunsch der Innenminister der Five-Eyes-Staaten Techniken zur Entschlüsselung ihrer Dienste entwickeln. (Crypto Wars, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Verschlüsselung: Five-Eyes fordern Zugang – zur Not mit Zwang
BeA: Das Anwaltspostfach kommt mit Sicherheitslücken
Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt. (BeA, Verschlüsselung) Advertise on IT Security News. Lesen…
Foreshadow/L1TF: Intel-CPUs ermöglichten unberechtigtes Auslesen von Speicher
Die spekulative Ausführung von Code führt erneut zu einer Sicherheitslücke auf Intel-Prozessoren. Mit Foreshadow können Prozesse über den Level-1-Cache unberechtigt Speicher auslesen. Besonders kritisch ist das in virtualisierten Umgebungen. (Intel, Prozessor) Advertise on IT Security News. Lesen Sie den…
Faxploit: Fax-Geräte als Einfallstor für Hack von Firmennetzwerken
Trotz modernerer Technik sind Fax-Geräte noch immer weit verbreitet. Wenn diese als Multifunktionsdrucker ans Firmennetzwerk angeschlossen sind, können sie Hackern einen leichten Einstieg bieten. (Security, Drucker) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Faxploit: Fax-Geräte als…
Ladekabel: Startup Ubitricity gewinnt Klimaschutzpreis in New York
Die Stadt New York will mit moderner Technik den Klimaschutz verbessern. In einem internationalen Wettbewerb konnte ein Berliner Startup mit seinem Ladekonzept für Elektroautos überzeugen. (Elektroauto, RFID) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Ladekabel: Startup…
IT-Sicherheit: Die smarte Stadt ist angreifbar
Es war zum Glück eine Falschmeldung, dass Hawaii mit Raketen angegriffen wird. Aber sie sorgte für reichlich Verunsicherung unter den Bewohnern. Panik kann eine starke Waffe sein – und sie auszulösen ist nicht so schwierig, wie Sicherheitsforscher herausgefunden haben. (Smart…
Security: Forscher können Autoren von Programmiercode identifizieren
Wie normale Texte besitzt auch Programmiercode bestimmte stilistische Eigenschaften. Diese reichen aus, um auch aus anonymen Codefragmenten den Autor herauszulesen, wie zwei Wissenschaftler zeigen. Ihre Methode funktioniert sogar mit kompiliertem Code recht zuverlässig. (Softwareentwicklung, Datenschutz) Advertise on IT Security…
Open Source: Tesla will Sicherheitssoftware freigeben
Elon Musk ist überzeugt, dass Teslas Fahrzeugsicherheitssoftware die beste Lösung gegen Hackerangriffe auf Autos ist. Er plant, sie kostenlos für andere Autohersteller anzubieten und als Open Source zu veröffentlichen. Gleichzeitig sollen Hacker bei ihren Teslas die Garantie nicht mehr verlieren.…
Raumfahrt: Cubesats sollen unhackbar werden
Ein Cubesat auf Sabotagekurs: Noch ist das nur ein Science-Fiction-Szenario. Doch drei US-Wissenschaftler warnen, dass die Satelliten gehackt und auf Kollisionskurs mit anderen Raumfahrzeugen geleitet werden könnten. Sie fordern, dass sich Raumfahrtunternehmen dazu verpflichten, Minisatelliten mit Verschlüsselungssystemen auszustatten, um das…
Pwnie Awards: Hacker-Preise für Golem.de-Autor und John McAfee
Auf der Black-Hat-Konferenz in Las Vegas sind zum elften Mal die Pwnie Awards für die besten Hacks und schlimmsten Misstritte der IT-Sicherheitsindustrie verliehen worden. (Black Hat, Paypal) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Pwnie Awards:…
Social Mapper: Neues Tool mit Gesichtserkennung spürt Nutzerprofile auf
Ein neues Opensource-Tool zur Gesichtserkennung kann Personen automatisiert auf verschiedenen Plattformen aufspüren. Das von Mitarbeitern der Sicherheitsfirma Trustwave entwickelte Programm richtet sich zwar an Penetrationstester, bietet aber auch Potenzial für Missbrauch. (Gesichtserkennung, Soziales Netz) Advertise on IT Security News.…
Tokio 2020: Teilnehmer authentifizieren sich per Gesichtserkennung
Effizient und schnell sollen die Zugangskontrollen bei den Sommerspielen in Tokio in zwei Jahren sein. Die Veranstalter setzen auf ein biometrisches System von NEC: Teilnehmer – Athleten ebenso wie Mitarbeiter und Journalisten – müssen ihr Gesicht scannen lassen. (Gesichtserkennung, Technologie)…
Schwachstelle: Manipulation von Whatsapp-Nachrichten möglich
Einer IT-Sicherheitsfirma ist es offenbar gelungen, zitierte Whatsapp-Nachrichten zu manipulieren. Whatsapp sieht darin kein Problem, weil 90 Prozent aller Nachrichten sowieso nur eins zu eins stattfänden. (Whatsapp, Instant Messenger) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Paketmanager: Homebrew vergisst Zugangstoken auf öffentlichem Server
Beim beliebten Paketmanager Homebrew für MacOS ist es möglich gewesen, unbefugt Commits im offiziellen Github-Repo des Projekts einzufügen. Grund war ein öffentlich einsehbarer Github-API-Token. (Homebrew, Apple) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Paketmanager: Homebrew vergisst…
Lockheed Martin: US-Armee will Drohnen mit Mikrowellen bekämpfen
Was tun gegen eine Drohne, die mit Sprengstoff beladen ist und einer Menschenmenge entgegenfliegt? Der US-Konzern Lockheed Martin soll eine Mikrowellenwaffe bauen, mit der die Drohne abgeschossen werden kann. Der Anschlag auf den venezolanischen Präsidenten war aber nicht der Anlass…
Linux-Kernel: Google zieht Unterstützung für NSA-Chiffre zurück
Die vielfach kritisierte Blockchiffre Speck stammt von der NSA und ist im Linux-Kernel enthalten, damit auch günstigere und ältere Android-Geräte eine Dateisystemverschlüsselung bekommen. Google präsentiert nun jedoch eine eigene Alternative und Speck kann wieder entfernt werden. (Linux-Kernel, Verschlüsselung) Advertise…
Verschlüsselung: Facebook legt interne TLS-1.3-Bibliothek offen
Eigenen Angaben zufolge nutzt mittlerweile 50 Prozent von Facebooks Traffic TLS 1.3. Genutzt wird dies vor allem in der eigenen Infrastruktur und weltweit in allen Mobile-Apps. Die verwendete Bibliothek Fizz ist nun Open Source. (TLS, Soziales Netz) Advertise on…
Blockchain: West Virginia erlaubt Stimmabgabe per App
Elektronische Abstimmungen sind wegen möglicher Manipulationen stark umstritten. Doch nun will ein US-Bundesstaat sogar die Stimmabgabe per Smartphone erlauben. (Security, Wahlcomputer) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Blockchain: West Virginia erlaubt Stimmabgabe per App
Marketplace: Bundeskartellamt will Amazon untersuchen
Das Bundeskartellamt will Amazon Marketplace untersuchen. Wie genau die Prüfung aussieht, ist noch offen. (Amazon, Soziales Netz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Marketplace: Bundeskartellamt will Amazon untersuchen
Finanzdaten: Facebook will Bankdienstleistungen über Messenger anbieten
Facebook verhandelt mit Großbanken über eine Kooperation, um Nutzern zum Beispiel das Abfragen des Kontostandes über Messenger zu ermöglichen. Persönliche Finanzdaten sollen dabei nicht für Werbezwecke genutzt werden. Ein zweites Whatsapp? (Facebook, Soziales Netz) Advertise on IT Security News.…
Analytics: Avast zieht aktuellen Ccleaner aus dem Verkehr
Nach Kritik an einer neuen, nicht deaktivierbaren Analytics-Funktion gibt der Hersteller der Aufräumsoftware Ccleaner nach und entfernt die aktuelle Version 5.45 von seiner Webseite. (Privatsphäre, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Analytics: Avast zieht…
Auftragsfertiger: Virus legt Fabs von TSMC lahm
Beim weltweit größten Auftragsfertiger, der TSMC, hat Schadsoftware mehrere Tools befallen und damit einige Halbleiterwerke temporär gestört – der Umsatz büßt ein paar Prozent ein. Der Hersteller fertigt derzeit in Taiwan die A12-Chips für Apples nächste iPhone-Generation. (TSMC, Virus) …
Apple: iPhones mit iOS 11.4.1 laden unter Umständen nicht auf
Apples neuer USB Restricted Mode soll eigentlich unbefugte Datenverbindungen zum iPhone und iPadverhindern. Ein unangenehmer Nebeneffekt kann aber sein, dass das Smartphone nicht mehr aufgeladen wird. Passiert das häufiger, kann die neue Sicherheitsfunktion einfach abgestellt werden. (Apple, iPhone) Advertise…
Dailymotion: Wenn das Admin-Passwort auf Github landet
Die Videoplattform Dailymotion muss ein Bußgeld für den unzureichenden Schutz von über 80 Millionen E-Mail-Adressen bezahlen. Ein im Github-Repository des Unternehmens veröffentlichtes Admin-Passwort hatte Hackern 2016 Tür und Tor geöffnet. (Datenschutz, Virus) Advertise on IT Security News. Lesen Sie…
Audit: NSA ignoriert grundlegende Sicherheitsregeln
Einem aktuellen Prüfbericht zufolge hat der US-Nachrichtendienst viele der Sicherheitsregeln, die nach den Snowden-Leaks eingeführt wurden, nicht oder nicht vollständig umgesetzt. Die zuständige Aufsichtsbehörde hat fast 700 Empfehlungen ausgesprochen. (NSA, Malware) Advertise on IT Security News. Lesen Sie den…
Nutzerdaten kopiert: Reddit-Einbruch gelingt durch Abfangen von 2FA-SMS
Angreifern ist es gelungen, Nutzerdaten, Nachrichten sowie alte Passwort-Hashes aus einem Backup der Webseite Reddit zu kopieren. Offenbar reichte das Abfangen einer SMS zur Zwei-Faktor-Authentifizierung zum Eindringen in die Systeme. (Reddit, SMS) Advertise on IT Security News. Lesen Sie…