Mit der neuen Signaturverordnung eIDAS rückt Europa ein Stück weiter zusammen, wird der "digital single market" in Angriff genommen. Für Firmen ist das eine große Erleichterung, doch was hat der Bürger davon? Der ganze Artikel lesen: Elektronischer-Signaturverordnung eIDAS ist gestartet…
Schlagwort: heise Security
Gratis-CA StartEncrypt beginnt mit Sicherheitsproblemen
In der kürzlich gestarteten Gratis-CA StartEncrypt sollen zahlreiche Sicherheitslücken geklafft haben, durch die man unter anderem an valide Zertifikate für Google, Facebook und Dropbox kam. Der ganze Artikel lesen: Gratis-CA StartEncrypt beginnt mit Sicherheitsproblemen
Elektronische Vertrauensdienste: eIDAS ante portas – Brüssel feiert
Vertreter von Industrie und Europapolitiker lobten sich gegenseitig auf einem "High Level Event" zum Start von eIDAS, das den Umgang elektronsichen Vertraunsdiensten, digitalen Signaturen und Siegeln europaweit regelt. Der ganze Artikel lesen: Elektronische Vertrauensdienste: eIDAS ante portas – Brüssel feiert
Neuer BND-Präsident soll Auslandsgeheimdienst gründlich reformieren
Am 1. Juli tritt Bruno Kahl sein Amt beim von Affären belasteten BND an. Der Reformdruck ist groß. Kanzleramtsminister Altmaier sprach von einer Herkulesaufgabe. Das Vertrauen in den Dienst müsse wieder hergestellt werden, fordert der Grüne von Notz. Der ganze…
Selfrando für feinkörniges ALSR
Ein Forschungsprojekt will den Schutz gegen Angriffe auf Sicherheitslücken verbessern. Als erstes Referenzprojekt arbeitet es dazu mit den Entwicklern des Tor-Browsers zusammen. Der ganze Artikel lesen: Selfrando für feinkörniges ALSR
#OpLastResort: Auslieferungsverfahren gegen Hacker Lauri Love hat begonnen
Der britische Hacker, dem US-Behörden wegen die Beteiligung an der Anonymous-Aktion #OpLastResort vorwerfen, steht wieder vor Gericht. Bei der Anhörung in London sagten prominente Experten aus. Der ganze Artikel lesen: #OpLastResort: Auslieferungsverfahren gegen Hacker Lauri Love hat begonnen
Passwort-Cracker hashcat versucht sich an Android und VeraCrypt
Version 3.00 des Passwort-Knackers hashcat knackt weitere Dateiformate und unterstützt erstmals sowohl CPU- als auch GPU-Cracking. Der ganze Artikel lesen: Passwort-Cracker hashcat versucht sich an Android und VeraCrypt
l+f: Rot1 als Paywall
Der Klassiker Rot13 feiert seine X-te Wiederauferstehung. Der ganze Artikel lesen: l+f: Rot1 als Paywall
Schweiz: Datenschützer kritisiert Überwachungsgesetze und Vorratsdatenweitergabe
Während für eine Volksabstimmung gegen das Überwachungsgesetz (BÜPF) offenbar genügend Unterschriften gesammelt wurden, präsentierte der neue Datenschutzbeauftragte den aktuellen Tätigkeitsbericht. Er kritisiert das Nachrichtendienstgesetz und das BÜPF. Der ganze Artikel lesen: Schweiz: Datenschützer kritisiert Überwachungsgesetze und Vorratsdatenweitergabe
Kommentar: Security-Fails mit Ansage
c't hatte zwei trivial ausnutzbare Sicherheitslücken aufgedeckt, die in Packstationen und vernetzten Alarmanlagen klafften. So weit hätte es nicht kommen müssen – und auch nicht dürfen, kommentiert Ronald Eikenberg. Der ganze Artikel lesen: Kommentar: Security-Fails mit Ansage
„World-Check“: Riesige Liste mit Terror-Verdächtigen geleakt
Banken in aller Welt nutzen mit "World-Check" eine Liste mutmaßlicher Terrorunterstützer, um denen Dienste zu verweigern. Nun ist ein Sicherheitsexperte an die Liste gekommen und erwägt, sie zu veröffentlichen. Immerhin enthalte sie wohl auch Unschuldige. Der ganze Artikel lesen: „World-Check“:…
Kritische Lücken in fast allen Antiviren-Produkten von Symantec und Norton
Ein Sicherheitsforscher warnt vor extrem gefährlichen Sicherheitslücken in Symantec Endpoint Protection, Norton 360 & Co. Wer Produkte der Firmen einsetzt, sollte umgehend reagieren. Der ganze Artikel lesen: Kritische Lücken in fast allen Antiviren-Produkten von Symantec und Norton
Europäisches Konsortium für cloud-basierte Unterschriften und Siegel gegründet
Zum Start der eIDAS-Verordnung haben euopäische Signatur-Dienstleister auf Initiative von Adobe das Cloud Signature Consortium (CSC) gegründet. Es soll einen offenen Standard für cloud-basierte Signaturen und Siegel erarbeiten. Der ganze Artikel lesen: Europäisches Konsortium für cloud-basierte Unterschriften und Siegel gegründet
E-Mail-Verschlüsselung für jedermann: Volksverschlüsselung steht bereit
Ab sofort können Windows-Nutzer die kostenlose Volksverschlüsselungs-Software nutzen, um E-Mails verschlüsselt über gängige Clients zu verschicken. Der ganze Artikel lesen: E-Mail-Verschlüsselung für jedermann: Volksverschlüsselung steht bereit
Verschlüsselungs-Trojaner verleibt sich Zimbra-Mails ein
Die Schädling ZimbraCryptor infiziert die Zimbra Collaboration Suite und verschlüsselt alle Daten im E-Mail-Ordner. Dafür muss sich ein Angreifer aber in einen Zimbra-Server hacken. Der ganze Artikel lesen: Verschlüsselungs-Trojaner verleibt sich Zimbra-Mails ein
Locky-Sprössling: Erpressungs-Trojaner Bart verschlüsselt anders und verlangt hohes Lösegeld
Sicherheitsforscher beobachteten bei der Ransomware Bart eine neue Methode, Daten als Geisel zu nehmen. Der ganze Artikel lesen: Locky-Sprössling: Erpressungs-Trojaner Bart verschlüsselt anders und verlangt hohes Lösegeld
Web-DRM: Chrome-Bug ermöglicht Download von Netflix- und Amazon-Filmen
Durch einen Bug im DRM-System Widevine ist es offenbar möglich, verschlüsselte Videostreams im Chrome-Browser herunterzuladen. Das betrifft auch die Inhalte von Netflix und anderen Streaming-Diensten. Der ganze Artikel lesen: Web-DRM: Chrome-Bug ermöglicht Download von Netflix- und Amazon-Filmen
Hacker kapern Twitter-Account von Google-Chef für „Sicherheits-Tests“
Die selbsternannte Sicherheits-Firma OurMine bricht unter der scheinbar guten Flagge in Accounts von Prominenten ein. Der ganze Artikel lesen: Hacker kapern Twitter-Account von Google-Chef für „Sicherheits-Tests“
EU finanziert Code-Review: Open-Source-Projekte gesucht
Mit einem Pilotprojekt will die EU die IT-Sicherheit verbessern. Nun sind die Nutzer gefragt: Welches Open Souce-Projekt sollte einen Sicherheits-Check bekommen? Der ganze Artikel lesen: EU finanziert Code-Review: Open-Source-Projekte gesucht
Standardisierung von Verschlüsselungs-Algorithmus ChaCha20 für TLS abgeschlossen
Das RFC 7905 beschreibt die Spezifikationen für den Einsatz von ChaCha20 im Poly1305-Modus in Verbindung mit TLS. Der ganze Artikel lesen: Standardisierung von Verschlüsselungs-Algorithmus ChaCha20 für TLS abgeschlossen
Markenname „Let’s Encrypt“: Comodo rudert zurück
Ein möglicher Rechtsstreit um die Bezeichnung "Let's Encrypt" ist aus der Welt geschafft: Comodo hat alle beim US-amerikanischen Patentamt eingereichten Anträge zum Eintragen eines Markennamens zurückgezogen. Der ganze Artikel lesen: Markenname „Let’s Encrypt“: Comodo rudert zurück
WordPress entledigt sich eines Dutzends Sicherheitslücken
Die neue Version 4.5.3 des Content-Management-Systems schließt zwölf Schwachstellen. Im schlimmsten Fall könnten Angreifer Web-Seiten kapern. Auch das beliebte Plug-in Jetpack ist in einer abgesicherten Version erschienen. Der ganze Artikel lesen: WordPress entledigt sich eines Dutzends Sicherheitslücken
Intel erwägt angeblich Verkauf von IT-Sicherheitssparte
Intel könnte seine Sparte Intel Security verkaufen. Das sollen informierte Personen gegenüber der Financial Times erklärt haben. Der ganze Artikel lesen: Intel erwägt angeblich Verkauf von IT-Sicherheitssparte
Datenschützer Peter Schaar kritisiert Pläne für neue Sicherheitsbehörde
Bei den Sicherheitsbehörden werde überall aufgerüstet, mit dem gleichen Eifer würden die Datenschutzbehörden aber nicht gestärkt, kritisiert der frühere Datenschutz-Beauftragte des Bundes, Peter Schaar. Der ganze Artikel lesen: Datenschützer Peter Schaar kritisiert Pläne für neue Sicherheitsbehörde
Lenovo warnt vor neuen Sicherheitslücken in Systempflege-Tool
Nicht zum ersten Mal: Das auf vielen Notebooks und Desktop-PCs vorinstallierte Lenovo Solution Center (LSC) ist von mehreren Sicherheitslücken betroffen. Lenovo empfiehlt Nutzern, das Update auf Version 3.3.003 zu installieren. Der ganze Artikel lesen: Lenovo warnt vor neuen Sicherheitslücken in…
Zwei populäre Exploit-Kits schlagartig verschwunden
Sicherheitsforscher haben seit mehreren Wochen keine Aktivitäten mehr durch die vormals bei Cyber-Ganoven beliebten Exploit-Kits Angler und Nuclear festgestellt. Der ganze Artikel lesen: Zwei populäre Exploit-Kits schlagartig verschwunden
Eilgesetz: Bundestag verabschiedet verschärftes Anti-Terror-Paket
Das Parlament hat eine Gesetzesinitiative beschlossen, wonach binnen eines Jahres eine Ausweispflicht beim Kauf von Prepaid-Handykarten greifen und die Kooperation mit ausländischen Geheimdiensten deutlich ausgebaut werden soll. Der ganze Artikel lesen: Eilgesetz: Bundestag verabschiedet verschärftes Anti-Terror-Paket
Crypto Wars: Neue Bundesbehörde soll Verschlüsselung knacken
Immer mehr Kommunikationsdienste verschlüsseln Nachrichten und schützen sie vor fremden Zugriffen. Die Bundesregierung will dem offenbar nicht tatenlos zusehen und eine Behörde mit dem Knacken der Kryptographie beauftragen. Der ganze Artikel lesen: Crypto Wars: Neue Bundesbehörde soll Verschlüsselung knacken
NSA-Ausschuss: Das BSI hat Merkels Handy nicht untersucht
Das Kanzleramt ist nicht auf das Angebot des Bundesamts für Sicherheit in der Informationstechnik eingegangen, das vermutlich abgehörte Mobiltelefon Merkels zu prüfen. Die Behörde warnt: Jederzeit sei mit außergewöhnlichen IT-Angriffen zu rechnen. Der ganze Artikel lesen: NSA-Ausschuss: Das BSI hat…
Fünf Millionen Zertifikate: Let’s Encrypt wächst rasant
Innerhalb von drei Monaten hat Let's Encrypt die Gesamtanzahl von kostenlos ausgestellten SSL-/TLS-Zertifikaten verfünffacht. Der ganze Artikel lesen: Fünf Millionen Zertifikate: Let’s Encrypt wächst rasant
Apple: iOS-10-Kernel absichtlich unverschleiert
Der Verzicht auf Verschlüsselung des Betriebssystemkerns in iOS 10 diene der Optimierung, erklärte der iPhone-Hersteller inzwischen – Nutzerdaten seien davon nicht betroffen. Der ganze Artikel lesen: Apple: iOS-10-Kernel absichtlich unverschleiert
Krypto-Trojaner Cerber: Angebliche Mediamarkt-Bestellung kommt Empfänger teuer zu stehen
Online-Erpresser verschicken derzeit Mails, die vorgeben, dass ein bei Mediamarkt.de besteller Artikel in Kürze geliefert wird. Wer die Bestellung einsehen oder stornieren möchte, fängt sich einen Krypto-Trojaner ein. Der ganze Artikel lesen: Krypto-Trojaner Cerber: Angebliche Mediamarkt-Bestellung kommt Empfänger teuer zu…
Student verschreibt sich absichtlich und US-Regierung führt potentiellen Schadcode aus
In seiner Bachelorarbeit beleuchtet ein Student einen rund zehn Jahre alten Ansatz, um Opfern Schadcode unterzujubeln. Sein Experiment war ein voller Erfolg. Der ganze Artikel lesen: Student verschreibt sich absichtlich und US-Regierung führt potentiellen Schadcode aus
Kritische Sicherheitslücken in libarchive gefährden FreeBSD & Co.
Sicherheitsforscher entdecken drei schwerwiegende Sicherheitslücken in der Open-Source-Biblitohek libarchive. Patches stehen noch nicht nicht für alle Tools bereit, die auf libarchive setzen. Der ganze Artikel lesen: Kritische Sicherheitslücken in libarchive gefährden FreeBSD & Co.
iOS 10: Apple lässt Kernel unverschlüsselt
Die Entwicklerversion von iOS 10 erlaubt nach Angabe von Sicherheitsforschern erstmals, den Betriebssystemkern näher zu inspizieren. Ob Apple sich davon Bug-Reports verspricht oder es sich um ein Versäumnis handelt, bleibt unklar. Der ganze Artikel lesen: iOS 10: Apple lässt Kernel…
Online-Backup-Anbieter Carbonite fordert Nutzer zu Passwort-Reset auf
Wegen einer gehäuften Anzahl von unautorisierten Zugriffen auf Accounts sollten Nutzer des Online-Backup-Services Carbonite ihr Passwort zurücksetzen. Der ganze Artikel lesen: Online-Backup-Anbieter Carbonite fordert Nutzer zu Passwort-Reset auf
Microsofts entrauscht homomorphe Krypto-Library SEAL
Das Rechnen mit verschlüsselten Daten rückt näher. Durch einen Wechsel des zugrundeliegenden Krypto-Systems will Microsoft die homomorphe Verschlüsselung auf eine neue Stufe heben. Der ganze Artikel lesen: Microsofts entrauscht homomorphe Krypto-Library SEAL
DNS-Sicherheitslücke bei Apple: Weitere Plattformen betroffen
Neben den AirPort-Basisstationen sind auch iOS, OS X und watchOS von einer kritischen Lücke betroffen – das betreffe nur ältere Versionen, wie Apple nun mitteilte. Auch Hardware von Dritten könnte Patches benötigen. Der ganze Artikel lesen: DNS-Sicherheitslücke bei Apple: Weitere…
DHL Packstation: Sicherheitslücke begünstigt Missbrauch der fast 3000 Paketautomaten
Durch eine Sicherheitslücke konnten Online-Ganoven unnötig leicht auf die Paketfächer der rund acht Millionen Packstation-Nutzer zugreifen. Als DHL das Problem bestritt, hat c't es selbst versucht. Der ganze Artikel lesen: DHL Packstation: Sicherheitslücke begünstigt Missbrauch der fast 3000 Paketautomaten
Kritische Lücke in AirPort-Basisstationen: Unbedingt Firmware aktualisieren
Einen knappen Monat nach der Veröffentlichung neuer Firmware hat Apple nun angemerkt, dass das Update eine kritische Schwachstelle ausräumt. Sie erlaubt einem Angreifer das Ausführen von Schadcode auf dem Router. Der ganze Artikel lesen: Kritische Lücke in AirPort-Basisstationen: Unbedingt Firmware…
Flash: Mac OS X blockiert wieder ältere Versionen
Apples Browser Safari unterstützt das Flash-Plug-in nur noch, wenn es auf dem aktuellen Stand ist. Adobe hatte vor wenigen Tagen kritische Schwachstellen geschlossen, darunter eine Zero-Day-Lücke. Der ganze Artikel lesen: Flash: Mac OS X blockiert wieder ältere Versionen
Zwei-Faktor-Authentifizierung: Smartphone als zweiter Schlüssel fürs Google-Konto
Wer die Zwei-Faktor-Authentifizierung für sein Google-Konto nutzt, muss ab sofort neben seinem Passwort keine Bestätigungscodes mehr eingeben, sondern kann direkt sein Smartphone zur Anmeldung nutzen. Der ganze Artikel lesen: Zwei-Faktor-Authentifizierung: Smartphone als zweiter Schlüssel fürs Google-Konto
Unbefugte schleichen sich in GoToMyPC-Konten
Aufgrund unbefugter Zugriffe auf Nutzer-Konten, hat der Anbieter der Fernwartungs-Software GoToMyPC die Passwörter von allen Anwendern zurückgesetzt. Der ganze Artikel lesen: Unbefugte schleichen sich in GoToMyPC-Konten
Hacker erbeuten Kunden-Daten aus Acers Online-Shop
Unbekannte Datendiebe haben offensichtlich den nordamerikanischen Online-Shop von Acer geentert und Daten von Kunden kopiert. Darunter könnten dem Hersteller zufolge auch Kreditkarten-Daten inklusive Sicherheitscodes sein. Der ganze Artikel lesen: Hacker erbeuten Kunden-Daten aus Acers Online-Shop
Katastrophenschutz: Warn-App NINA aufgebohrt
Das Unwetter- und Gefahrenwarnwerkzeug des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) bekommt Push-Nachrichten und ein neues Interface. Der ganze Artikel lesen: Katastrophenschutz: Warn-App NINA aufgebohrt
Erpressungs-Trojaner RAA kommt mit Passwort-Dieb im Huckepack daher
Der Computer-Schädling RAA soll nicht nur Daten als Geisel nehmen und ein Lösegeld verlangen, sondern auch einen Trojaner mitbringen, der Passwörter abgreift. Der ganze Artikel lesen: Erpressungs-Trojaner RAA kommt mit Passwort-Dieb im Huckepack daher
StartEncrypt: Kostenlose SSL-/TLS-Zertifikate von StartCom
Webseiten-Betreiber können über die Zertifizierungsstelle StartCom gratis SSL-/TLS-Zertifikate beantragen und automatisch auf Web-Servern installieren lassen. Der ganze Artikel lesen: StartEncrypt: Kostenlose SSL-/TLS-Zertifikate von StartCom
„Hack the Pentagon“-Programm offenbart 138 Sicherheitslücken
Die US-Regierung hatte im März Hacker aufgerufen, fünf Pentagon-Webseiten zu attackieren. Laut US-Verteidigungsminister Ashton Carter fanden sie dabei etliche Sicherheitslücken. Der ganze Artikel lesen: „Hack the Pentagon“-Programm offenbart 138 Sicherheitslücken
Kryptowährung Ethereum: Crowdfunding-Projekt DAO um Millionen beraubt
Ein millionenschweres Kryptogeld-Projekt, das die Möglichkeiten der Währung Ethereum zeigen sollte, ist bei einem Hack beraubt worden. 3,6 Millionen Einheiten des Kryptogelds konnten die Angreifer entwenden, sitzen nun aber damit fest. Der ganze Artikel lesen: Kryptowährung Ethereum: Crowdfunding-Projekt DAO um…
Hintergrund: Kryptographie in der IT – Empfehlungen zu Verschlüsselung und Verfahren
Kryptographie ist ein wichtiger Baustein moderner IT – Sicherheit, Vertraulichkeit und Privatsphäre hängen davon ab. Der folgende Krypto-Wegweiser gibt einen kompakten Überblick zu den aktuell relevanten Verfahren. Der ganze Artikel lesen: Hintergrund: Kryptographie in der IT – Empfehlungen zu Verschlüsselung…
GitHub: Anmeldeversuche mit auf anderen Sites gestohlenen Zugangsdaten
Das GitHub-Team hat zahlreiche Log-in-Versuche festgestellt, die teilweise erfolgreich waren. Offensichtlich haben Hacker versucht, sich mit auf anderen Sites gestohlenen Zugangsdaten anzumelden. Der ganze Artikel lesen: GitHub: Anmeldeversuche mit auf anderen Sites gestohlenen Zugangsdaten
Jetzt patchen: Kritisches Flash-Update stopft Zero-Day-Lücke
Adobe hat den am Patchday angekündigten Flash-Patch veröffentlicht. Er stopft mehrere Lücken in der Software. Eine wird bereits für Angriffe auf Nutzer missbraucht. Der ganze Artikel lesen: Jetzt patchen: Kritisches Flash-Update stopft Zero-Day-Lücke
Forschungsprojekt: Wie gehen Ethik und Cybersecurity zusammen?
Welche ethischen Grundwerte spielen bei der Schaffung von Cybersecurity eine Rolle spielen und welche werden in den Hintergrund gedrängt? Das neue Forschungsprojekt CANVAS soll das herausfinden. Der ganze Artikel lesen: Forschungsprojekt: Wie gehen Ethik und Cybersecurity zusammen?
„Spam-King“ muss zweieinhalb Jahre hinter Gitter
Weil er eine halbe Millionen Facebook-Konten abphishte und 27 Millionen Spam-Botschaften verschickte, muss der selbsternannte "Spam King" Sanford Wallace nun ins Gefängnis. Der ganze Artikel lesen: „Spam-King“ muss zweieinhalb Jahre hinter Gitter
Kompromittierte TeamViewer-Versionen sollen Schuld an Hacks sein
Eine Sicherheitsfirma hat Hinweise darauf gefunden, dass Windows-Anwendern trojanisierte TeamViewer-Versionen untergeschoben werden, um deren Zugangsdaten auszuspionieren. So können die Angreifer die Kontrolle über deren Rechner übernehmen. Der ganze Artikel lesen: Kompromittierte TeamViewer-Versionen sollen Schuld an Hacks sein
Microsofts Checked C soll Sicherheitslücken durch Zeigerfehler verhindern
Microsoft arbeitet an einer Erweiterung der Programmiersprache C, die kritische Fehler wie Pufferüberläufe verhindern soll. Die Spezifikation soll in einem offenen Prozess wachsen und steht auf GitHub. Der ganze Artikel lesen: Microsofts Checked C soll Sicherheitslücken durch Zeigerfehler verhindern
Hacker Guccifer 2.0: Nicht die Russen waren es – ich war’s
Zwei russische Hackergruppen sollen die Computernetzwerke der Demokratischen Partei ausspioniert und Informationen zu Donald Trump abgegriffen haben – andere Daten nicht. Dem widerspricht nun ein mutmaßlicher Hacker namens Guccifer 2.0. Der ganze Artikel lesen: Hacker Guccifer 2.0: Nicht die Russen…
Apple erzwingt HTTPS in Apps
Ab Ende des Jahres sollen iOS-Apps grundsätzlich keine ungesicherten Verbindungen mehr aufbauen. HTTPS sei das neue HTTP, erklärte der iPhone-Hersteller. Der ganze Artikel lesen: Apple erzwingt HTTPS in Apps
TalkTalk-Kunden werden über TeamViewer-Zugänge angegriffen
Nicht genug, dass die Daten der TalkTalk-Kunden im Netz sind: Jetzt werden diese auch noch Opfer von Ganoven. Diese versuchen, über TeamViewer-Zugänge des TalkTalk-Supports in die Rechner der Kunden zu gelangen. Der ganze Artikel lesen: TalkTalk-Kunden werden über TeamViewer-Zugänge angegriffen
macOS 10.12: App-Downloads nur noch mit Einschränkungen
Apple streicht in macOS Sierra eine Gatekeeper-Option aus den Sicherheitseinstellungen: Nutzer können für App-Downloads nicht länger "Keine Einschränkungen" wählen. Unsignierte Apps lassen sich weiterhin ausführen. Der ganze Artikel lesen: macOS 10.12: App-Downloads nur noch mit Einschränkungen
Nato: Cyberraum wird offiziell zum Operationsfeld
Die Nato rüstet sich weiter für den Cyberkrieg, indem sie Netzoperationen als militärisches Einsatzgebiet neben Luft, See und Land anerkennt. Der Schritt sei nicht gegen ein spezielles Land gerichtet, es gehe um die Verteidigung. Der ganze Artikel lesen: Nato: Cyberraum…
Ab zwei Dollar: Über 70.000 RDP-Server auf Untergrund-Marktplatz im Angebot
Forscher von Kaspersky haben einen Untergrund-Marktplatz ausgemacht, der ausschließlich Zugänge auf gehackte Remote-Desktop-Server verkauft. Über 72.000 Maschinen sind im Angebot, darunter etliche, auf denen Kassensysteme laufen. Der ganze Artikel lesen: Ab zwei Dollar: Über 70.000 RDP-Server auf Untergrund-Marktplatz im Angebot
Microsoft-Patchday: Uralt-Lücke aus Windows-95-Zeiten geschlossen
Microsoft hat für diesen Monat 16 Sicherheitsupdates herausgegeben. Fünf davon sind kritisch und eine wichtige Lücke namens "BadTunnel" betrifft alle Windows-Versionen seit Windows 95. Der ganze Artikel lesen: Microsoft-Patchday: Uralt-Lücke aus Windows-95-Zeiten geschlossen
Adobe-Patchday lässt kritische Flash-Lücke ungepatcht
Adobe schließt Lücken in ColdFusion, der Creative Cloud, dem DNG Development Kit und seinem Texteditor Brackets. Nur eine kritische Flash-Lücke bleibt erst mal ungepatcht. Der ganze Artikel lesen: Adobe-Patchday lässt kritische Flash-Lücke ungepatcht
Russische Hackergruppen sollen Informationen zu Trump bei US-Demokraten gestohlen haben
Zwei russische Hackergruppen sollen es sich über ein Jahr lang in den Computernetzwerken der Demokratischen Partei der USA gemütlich gemacht haben. Dort griffen sie mutmaßlich Daten zu Präsidentschaftsbewerber Trump ab. Der ganze Artikel lesen: Russische Hackergruppen sollen Informationen zu Trump…
Russische Hackergruppen stehlen Informationen zu Trump bei US-Demokraten
Zwei russische Hackergruppen sollen es sich über ein Jahr lang in den Computernetzwerken der Demokratischen Partei der USA gemütlich gemacht haben. Dort griffen sie mutmaßlich Daten zu Präsidentschaftsbewerber Trump ab. Der ganze Artikel lesen: Russische Hackergruppen stehlen Informationen zu Trump…
Safari 10 blockiert Flash standardmäßig
Ab Herbst gaukelt Apples Browser Webseiten in der Standardeinstellung vor, dass Plug-ins wie Flash, Silverlight oder Java gar nicht installiert seien. Der Schritt soll Strom sparen und für mehr Sicherheit sorgen. Der ganze Artikel lesen: Safari 10 blockiert Flash standardmäßig
l+f: Deep-Insert-Wanze bei der Arbeit im Bankautomat
Videos demonstrieren, wie winzige Platinen funktionieren, die in den Leseschlitz eines Bankautomaten geschoben werden und Kartendaten abgreifen. Der ganze Artikel lesen: l+f: Deep-Insert-Wanze bei der Arbeit im Bankautomat
Netgear-Router dank festinstallierter Schlüssel einfach zu knacken
Die Router D6000 und D3600 können von Angreifern gekapert werden, da sie fest installierte Krypto-Schlüssel nutzen, die immer gleich sind. Außerdem lässt sich das Administrator-Passwort sehr einfach auslesen. Der ganze Artikel lesen: Netgear-Router dank festinstallierter Schlüssel einfach zu knacken
Virenscanner infiziert Systeme mit Sality-Virus
Durch ein Update landete des Virenscanners Rising landet eine infizierte Datei auf den Systeme, die sich dann daran macht, den Sality-Virus weiter zu verbreiten. Der ganze Artikel lesen: Virenscanner infiziert Systeme mit Sality-Virus
Ransomware knöpft sich Android-Smart-TVs vor
Die Entwickler von Android-Erpressungstrojanern scheinen von Smartphones auf Fernseher umzusatteln. Jedenfalls gibt es den Lockscreen-Trojaner FLocker jetzt auch auf Smart TVs. Der ganze Artikel lesen: Ransomware knöpft sich Android-Smart-TVs vor
BKA: Schwarzmarkt für Waffen verlagert sich ins Darknet
Nicht nur der Drogenhandel sondern auch der illegale Waffenhandel findet laut BKA immer mehr auf Online-Schwarzmärkten im sogenannten "Darknet" statt. Der ganze Artikel lesen: BKA: Schwarzmarkt für Waffen verlagert sich ins Darknet
Internet Security Days 2016: Programm jetzt online
Bereits zum sechsten Mal findet die Kongressmesse zur IT-Sicherheit im Phantasialand in Brühl statt. An zwei Tagen dreht sich alles um Cyber-Angriffe, wie man sie verhindert und weitere Sicherheitsthemen. Der ganze Artikel lesen: Internet Security Days 2016: Programm jetzt online
Intel verankert Anti-Exploit-Technik in (CPU-)Hardware
Mit der "Control-flow Enforcement Technology" will Intel dem Ausnutzen von Sicherheitslücken eine weitere Hürde in den Weg legen. Wann CET jedoch in Prozessoren debüttiert, steht noch in den Sternen. Der ganze Artikel lesen: Intel verankert Anti-Exploit-Technik in (CPU-)Hardware
Symantec kauft BlueCoat für mehr als 4 Milliarden US-Dollar
Der weltgrößte Anbieter von Sicherheitssoftware kauft eine umstrittene Sicherheitsfirma: Symantec bezahlt für BlueCoat und einen neuen Chef insgesamt 4,65 Milliarden US-Dollar. Die Übernahme soll noch 2016 abgeschlossen werden. Der ganze Artikel lesen: Symantec kauft BlueCoat für mehr als 4 Milliarden…
Statt Backups: Britische Firmen horten Bitcoins für Erpressungstrojaner
Anstatt für regelmäßige Backups zu sorgen, scheinen viele britische Firmen lieber Kryptogeldreserven anzulegen, um Lösegeld für ihre Daten bezahlen zu können. Laut einer Befragung sind viele Firmen bereit, bis zu 50.000 Pfund zu zahlen. Der ganze Artikel lesen: Statt Backups:…
Free Software Foundation kritisiert AMD und Intel
Die Entwickler der offenen BIOS-Alternative Libreboot warnen vor Intels proprietärer Management Engine und dem Platform Security Processor von AMD. Der ganze Artikel lesen: Free Software Foundation kritisiert AMD und Intel
Nach Missbrauchsvorwürfen: Aktivistinnen verteidigen Jacob Appelbaum
Eine Reihe namhafter Netzaktivistinnen und Netzaktivisten stellt sich in einem offenen Brief an die Seite Jacob Appelbaums. Die Missbrauchsvorwürfe müssten von den zuständigen Stellen geklärt werden. Sie hätten ihn jedenfalls nicht so kennengelernt. Der ganze Artikel lesen: Nach Missbrauchsvorwürfen: Aktivistinnen…
Exploit Kits umgehen erweiterten Windows-Schutz
Das populäre Exploit-Kit Angler kann selbst speziell gehärtete Windows-Systeme erfolgreich attackieren und mit Schad-Software infizieren. Der ganze Artikel lesen: Exploit Kits umgehen erweiterten Windows-Schutz
Anonymisierungs-OS Tails jetzt mit modernerem Browser
Das von USB-Stick oder DVD ausführbare Anonymisierungs-Betriebssystem nutzt jetzt die auf Firefox 45 aufbauende Version des Tor-Browsers. Aktualisierte Grafiktreiber verbessern die Hardware-Unterstützung Der ganze Artikel lesen: Anonymisierungs-OS Tails jetzt mit modernerem Browser
Visual Studio 2015 stopft ungefragt Tracing-Code in C++-Programme
Microsofts aktuelle Entwicklungsumgebung baut ungefragt und automatisch Funktionsaufrufe in C++-Code ein, die dem Erfassen von Telemetrie-Daten dienen. Microsoft will das nun mit Updates abstellen. Der ganze Artikel lesen: Visual Studio 2015 stopft ungefragt Tracing-Code in C++-Programme
Blackberry liefert User-Daten an Behörden in aller Welt
Blackberry entschlüsselt BBM- und PIN-Nachrichten und liefert zahlreiche weitere User-Daten an ausländische Behörden in aller Welt. Der kanadischen Polizei dürfte Blackberry sogar einen Generalschlüssel gegeben haben. Der ganze Artikel lesen: Blackberry liefert User-Daten an Behörden in aller Welt
Peace: Wer ist der Hacker, der 800 Millionen Passwörter veröffentlicht hat?
Er verkauft millionenweise Daten von LinkedIn-, Tumblr- und Twitter-Nutzern: Der russische Hacker peace_of_mind hat keine Angst vor der Justiz und sagt, dass er mit den Daten der Opfer zehntausende Dollar verdient. Der ganze Artikel lesen: Peace: Wer ist der Hacker,…
l+f: Windows-Zero-Day-Exploit steht zum Verkauf
In einem russischen Untergrundforum läuft derzeit eine Auktion zu einem Exploit für eine unbekannte Sicherheitslücke in Windows. Der ganze Artikel lesen: l+f: Windows-Zero-Day-Exploit steht zum Verkauf
Sicherheit für Open Source: Mozilla spendiert SOS-Fonds
Damit Lücken wie Heartbleed und Shellshock künftig frühzeitig behoben werden, hat Mozilla einen SOS-Fonds für freie Software ins Leben gerufen. Erste Fehler haben Sicherheitsexperten bereits in PCRE, libjpeg-turbo und phpMyAdmin gefunden. Der ganze Artikel lesen: Sicherheit für Open Source: Mozilla…
Nach Passwort-Leak: Twitter warnt Betroffene und sperrt Konten
33 Millionen angebliche Passwörter für Twitter-Accounts waren im Netz kürzlich aufgetaucht. Offenbar waren doch viele davon echt, denn der Kurznachrichtendienst sperrt nun betroffene Konten. Der ganze Artikel lesen: Nach Passwort-Leak: Twitter warnt Betroffene und sperrt Konten
Locky und Dridex: Der Fall des verschwundenen Botnetzes
Hinter dem Erpressungstrojaner Locky und der Banking-Malware Dridex stand das sogenannte Necurs-Botznetz. Das scheint seit Anfang des Monats spurlos verschwunden zu sein. Der ganze Artikel lesen: Locky und Dridex: Der Fall des verschwundenen Botnetzes
Locky und Dridex: Der Fall des verschwundene Botnetzes
Hinter dem Erpressungstrojaner Locky und der Banking-Malware Dridex stand das sogenannte Necurs-Botznetz. Das scheint seit Anfang des Monats spurlos verschwunden zu sein. Der ganze Artikel lesen: Locky und Dridex: Der Fall des verschwundene Botnetzes
Sicherheitsstudie: Zwei Drittel der Deutschen sorgen sich vor Datenabfluss im Auto
Laut einer Analyse der Initiative "Deutschland sicher im Netz" ist der Datenschutz auf vier Rädern ein großes Thema für die Bundesbürger. Generell habe sich die Sicherheitslage rund um das Online-Medium verbessert. Der ganze Artikel lesen: Sicherheitsstudie: Zwei Drittel der Deutschen…
l+f: Diebstahl mit Hilfe von 3D-Druckern
Kriminelle Banden gehen mit nachgemachten Siegeln und Schlüsseln auf Raubzug. Der ganze Artikel lesen: l+f: Diebstahl mit Hilfe von 3D-Druckern
Firmware aus 2009: Fritzbox-Nutzer lassen Firmware-Update schleifen
Auf vielen Fritzboxen schlummert Firmware, die über sechs Jahre alt und äußerst anfällig ist. Das ergab eine Stichprobe von heise Security. Der ganze Artikel lesen: Firmware aus 2009: Fritzbox-Nutzer lassen Firmware-Update schleifen
Datenleck bei Hipp: Adressen und Passwörter bei Mein BabyClub abgegriffen
Das Bonusprogramm des Babynahrung-Herstellers Hipp wurde gehackt. Angreifer haben dabei Klarnamen, Adressen und Passwörter kopiert. Wie genau die Passwörter geschützt waren, ist unklar. Der ganze Artikel lesen: Datenleck bei Hipp: Adressen und Passwörter bei Mein BabyClub abgegriffen
BSI: „Cyber-Feuerwehr“ für große Hackerangriffe soll 20 Personen umfassen
Behörden und Unternehmen, deren IT unter Beschuss gerät, soll künftig ein mobiles Einsatzteam des BSI zu Hilfe eilen. Erste Details zu den Plänen waren bereits durchgesickert, nun gibt es auch eine Zahl zur Größe der geplanten Truppe. Der ganze Artikel…
33 Millionen Twitter-Passwörter kursieren angeblich im Netz
Und noch ein mutmaßlicher Millionenleak – diesmal sollen es 33 Millionen Passwörter von Twitter-Accounts sein. Twitter behauptet aber, nicht gehackt worden zu sein. Der ganze Artikel lesen: 33 Millionen Twitter-Passwörter kursieren angeblich im Netz
AVM warnt vor Telefonmissbrauch bei Routern mit älterer Firmware
Fritzboxen mit "seltenen Konfigurationen" und älterer Firmware könnten aktuell Opfer von Angreifern werden, die auf Telefonbetrug zielen. AVM rät zu Updates. Der ganze Artikel lesen: AVM warnt vor Telefonmissbrauch bei Routern mit älterer Firmware
ENISA zeigt Möglichkeiten der forensischen Analyse bei Cloud-Vorfällen
Als Hilfestellung – nicht nur – für Anbieter von Cloud-Diensten hat die europäische Sicherheitsbehörde ENISA ein Papier zum technischen Stand der Analyse von Sicherheitsvorfällen in der Cloud veröffentlicht. Der ganze Artikel lesen: ENISA zeigt Möglichkeiten der forensischen Analyse bei Cloud-Vorfällen
DDoS-Angriffe werden heftiger und billiger
Große DDoS-Angriffe können mittlerweile bequem über ein Web-Interface bei Untergrund-Anbietern gebucht werden. Wie der CDN-Anbieter Akamai beobachtet, führt das dazu, dass heftige Angriffe häufiger werden. Der ganze Artikel lesen: DDoS-Angriffe werden heftiger und billiger
Dating-Seite Badoo: 127 Millionen Passwort-Hashes im Netz
Eine Nutzerdatenbank der Dating-Plattform zirkuliert im Netz. Die Passwörter der Accounts scheinen als ungesalzene MD5-Hashes gespeichert worden zu sein und sind entsprechend leicht knackbar. Der ganze Artikel lesen: Dating-Seite Badoo: 127 Millionen Passwort-Hashes im Netz
BSI: Prototyp-Projekt zum eIDAS-Token erfolgreich abgeschlossen
Drei deutsche Firmen haben prototypisch ein eIDAS-Token programmiert, mit dem grenzüberschreitende elektronische ID-Akte durchgeführt werden können. Der ganze Artikel lesen: BSI: Prototyp-Projekt zum eIDAS-Token erfolgreich abgeschlossen
l+f: Mark Zuckerbergs Twitter-Passwort
Wie sich herausstellt, sind Multi-Milliardäre auch nur Menschen. Der ganze Artikel lesen: l+f: Mark Zuckerbergs Twitter-Passwort