Hanno Böck, Hanno Böck
Hanno Böck

Hanno Böck

Hanno Böck schreibt seit 2013 für Golem.de, zuerst freiberuflich, seit 2019 festangestellt in Teilzeit. Seine Schwerpunkte sind IT-Sicherheit und Kryptographie. Er sucht gern selbst nach Sicherheitslücken und hat bereits mehrfach Schwächen in TLS-Implementierungen aufgedeckt. Außerdem interessiert er sich für freie Software, die Wissenschaft und deren Schwächen sowie die Herausforderungen des Klimawandels.

Folgen auf Twitter (@hanno)
Webseite: hboeck.de

Artikel
  1. RSA-240: Faktorisierungserfolg gefährdet RSA nicht

    RSA-240: Faktorisierungserfolg gefährdet RSA nicht

    Forscher haben auf einem Rechencluster eine 795 Bit große Zahl faktorisiert. Das RSA-Verschlüsselungs- und Signaturverfahren basiert darauf, dass Faktorisierung schwierig ist. Für die praktische Sicherheit von RSA mit modernen Schlüssellängen hat dieser Durchbruch heute aber wenig Bedeutung.

    04.12.20191 Kommentar
  2. Sendmail: Software aus der digitalen Steinzeit

    Sendmail: Software aus der digitalen Steinzeit

    Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
    Eine Analyse von Hanno Böck

    03.12.2019104 Kommentare
  3. Elasticsearch: Datenleak bei Conrad

    Elasticsearch: Datenleak bei Conrad

    Der Elektronikhändler Conrad meldet, dass ein Angreifer Zugang zu Kundendaten und Kontonummern gehabt habe. Grund dafür war eine ungesicherte Elasticsearch-Datenbank.

    19.11.201942 Kommentare
  4. Anwaltsgerichtshof: Keine Ende-zu-Ende-Verschlüsselung fürs Anwaltspostfach

    Anwaltsgerichtshof: Keine Ende-zu-Ende-Verschlüsselung fürs Anwaltspostfach

    Eine Klage von Rechtsanwälten, die fordern, dass im besonderen elektronischen Anwaltspostfach (BeA) eine Ende-zu-Ende-Verschlüsselung umgesetzt wird, ist vorerst gescheitert. Der Anwaltsgerichtshof mochte den Argumenten der Kläger nicht folgen, eine Revision ist aber möglich.

    14.11.20198 Kommentare
  5. TPM-Fail: Schlüssel aus TPM-Chips lassen sich extrahieren

    TPM-Fail: Schlüssel aus TPM-Chips lassen sich extrahieren

    Mit einem Timing-Angriff lassen sich Signaturschlüssel auf Basis elliptischer Kurven aus TPM-Chips extrahieren. Mal wieder scheiterten Zertifizierungen daran, diese Fehler frühzeitig zu finden.

    13.11.201912 Kommentare
Stellenmarkt
  1. INIT Group, Karlsruhe, Braunschweig
  2. GEWOBAG Wohnungsbau-Aktiengesellschaft Berlin, Berlin
  3. ING-DiBa AG, Nürnberg
  4. Bundesnachrichtendienst, Pullach


  1. Cache-Partitionierung: Javascript selber zu hosten, lohnt sich bald mehr

    Cache-Partitionierung: Javascript selber zu hosten, lohnt sich bald mehr

    Aus Sicherheitsgründen planen mehrere Browserhersteller, künftig ihre Caches nach Webseiten zu trennen. Das Laden von Resourcen über CDN-Netze lohnt sich danach nicht mehr.

    05.11.201972 Kommentare
  2. Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

    Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

    Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.
    Eine Exklusiv-Meldung von Hanno Böck

    30.10.20192 Kommentare
  3. CPDoS-Angriff: Cache-Angriffe können Webseiten lahmlegen

    CPDoS-Angriff: Cache-Angriffe können Webseiten lahmlegen

    Manche HTTP-Caches können dazu gebracht werden, Serverfehlermeldungen zu speichern, die sich durch bestimmte Anfragen auslösen lassen. Das funktioniert beispielsweise mit besonders langen Headern.
    Von Hanno Böck

    23.10.20192 Kommentare
  4. VPN-Anbieter: Server von VikingVPN und Torguard gehackt

    VPN-Anbieter: Server von VikingVPN und Torguard gehackt

    Neben NordVPN wurden offenbar bei zwei weiteren VPN-Anbietern Server gehackt. Das geht aus einem alten Thread bei 8chan hervor. Zum NordVPN-Hack sind nun weitere Details bekannt.

    22.10.20199 Kommentare
  5. Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

    Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

    21.10.201914 Kommentare
  1. Leak: NordVPN wurde gehackt

    Leak: NordVPN wurde gehackt

    Beim VPN-Anbieter NordVPN gab es offenbar vor einiger Zeit einen Zwischenfall, bei dem ein Angreifer Zugriff auf die Server und private Schlüssel hatte. Drei private Schlüssel tauchten im Netz auf, einer davon gehörte zu einem inzwischen abgelaufenen HTTPS-Zertifikat.

    21.10.201992 Kommentare
  2. Mailinglisten: Yahoo Groups wird deutlich eingeschränkt

    Mailinglisten: Yahoo Groups wird deutlich eingeschränkt

    Mit kurzer Vorwarnzeit wird der Service Yahoo Groups massiv eingeschränkt. Bald können keine neuen Dateien mehr hochgeladen werden, bestehende Daten werden größtenteils im Dezember gelöscht.

    18.10.20193 Kommentare
  3. Wework: Meetup will Geld von Teilnehmern

    Wework: Meetup will Geld von Teilnehmern

    Meetup ändert seine Preisstruktur und dürfte damit viele Nutzer verärgern. Künftig sollen Teilnehmer eine Gebühr von 2 US-Dollar zahlen. Bisher funktionierte Meetup so, dass nur Organisatoren zahlen mussten.

    15.10.201916 Kommentare
  1. Australien: IT-Sicherheitskonferenz Cybercon lädt Sprecher aus

    Australien: IT-Sicherheitskonferenz Cybercon lädt Sprecher aus

    Eine australische Konferenz lädt zwei Sprecher aus und fordert Änderungen an Vorträgen - auf Bitten der australischen IT-Sicherheitsbehörde, die eng mit den dortigen Geheimdiensten verflochten ist.

    10.10.201919 Kommentare
  2. Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern

    Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern

    Ein Fehler in Signal ermöglicht es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss. Damit könnten Personen belauscht werden. Ein Update steht bereit.

    05.10.201917 Kommentare
  3. Elliptische Kurven: Minerva-Angriff zielt auf zertifizierte Krypto-Chips

    Elliptische Kurven: Minerva-Angriff zielt auf zertifizierte Krypto-Chips

    Forscher konnten zeigen, wie sie mit einem Timing-Angriff die privaten Schlüssel von Signaturen mit elliptischen Kurven auslesen konnten. Verwundbar sind Chips, deren Sicherheit eigentlich zertifiziert wurde.

    04.10.20193 Kommentare
  1. Linux-Kernel: Android-Bug wird von NSO Group angegriffen

    Linux-Kernel: Android-Bug wird von NSO Group angegriffen

    Googles Project Zero berichtet über einen Bug im Linux-Kernel, mit dem sich Android-Telefone angreifen lassen. Laut Google wird offenbar ein Exploit für den Bug bereits aktiv ausgenutzt. Pikant: Gefunden wurde der Bug bereits 2017 - von Google selbst.

    04.10.20195 Kommentare
  2. Sicherheitslücke: Angreifer können verschlüsselte PDF-Daten leaken

    Sicherheitslücke: Angreifer können verschlüsselte PDF-Daten leaken

    Passwortgeschützte PDF-Dateien bieten wenig Sicherheit. Ein Angreifer, der die Dateien manipulieren kann, kann dafür sorgen, dass deren Inhalt geleakt wird. Abhilfe gibt es nicht, dafür müsste das Dateiformat geändert werden.

    30.09.20194 Kommentare
  3. Fridays for Future: Klimastreiks online und offline

    Fridays for Future: Klimastreiks online und offline

    Am morgigen Freitag finden nicht nur weltweit Protestaktionen für ernsthaften Klimaschutz statt, auch zahlreiche Webseiten wollen für den Klimastreiktag abschalten.

    19.09.2019113 Kommentare
  1. Kryptomining: Wie Bitcoin die Klimakrise anheizt

    Kryptomining: Wie Bitcoin die Klimakrise anheizt

    Die Kryptowährung Bitcoin baut darauf, dass Miner darum konkurrieren, wer Rechenaufgaben am schnellsten löst. Das braucht viel Strom - und führt dazu, dass Bitcoin mindestens so viel Kohlendioxid produziert wie ein kleines Land. Besserung ist derzeit nicht in Sicht.
    Von Hanno Böck

    18.09.2019242 Kommentare
  2. Linux-Kernel: Bootprobleme wegen fehlender Zufallszahlen

    Linux-Kernel: Bootprobleme wegen fehlender Zufallszahlen

    Eine Optimierung bei Dateisystemoperationen im Linux-Kernel führt zu blockierten Bootvorgängen auf manchen Systemen. Schuld daran sind Userspace-Programme, die zuverlässige Zufallsdaten wollen, bevor diese bereitstehen.

    17.09.201911 Kommentare
  3. OpenDMARC: Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix

    OpenDMARC: Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix

    Mitarbeiter von Protonmail haben in OpenDMARC eine Sicherheitslücke entdeckt, mit der sich die Signaturprüfung austricksen lässt. Angreifer haben die Lücke bereits für Phishingangriffe gegen Journalisten genutzt. OpenDMARC wird offenbar nicht weiterentwickelt und es gibt kein Update.

    11.09.20196 Kommentare
  1. Buffer Overflow: Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen

    Buffer Overflow: Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen

    Im Mailserver Exim wurde eine Sicherheitslücke gefunden, die Angreifern das Ausführen von Code ermöglicht. Ein Update steht bereit.

    06.09.20190 Kommentare
  2. Android: Facebook-App sammelt Daten über Android-Bibliotheken

    Android: Facebook-App sammelt Daten über Android-Bibliotheken

    Die Android-App von Facebook sammelt Daten über die Bibliotheken des Betriebssystems und lädt diese teilweise auf einen Server hoch. Facebook will dazu nichts sagen.

    03.09.201935 Kommentare
  3. Malware: Zero-Day-Angriffe auf iPhone-Nutzer

    Malware: Zero-Day-Angriffe auf iPhone-Nutzer

    Google deckt eine große Malware-Kampagne auf, bei der Nutzer von iPhones durch gehackte Webseiten angegriffen wurden. Dabei kamen auch sogenannte Zero Days zum Einsatz, also Sicherheitslücken, für die zum Zeitpunkt ihres Einsatzes noch kein Fix bereitstand.

    30.08.201949 Kommentare
  4. Sicherheitslücke: Buffer Overflow in Dovecot-Mailserver

    Sicherheitslücke: Buffer Overflow in Dovecot-Mailserver

    Eine Sicherheitslücke im Dovecot-Mailserver könnte es Angreifern erlauben, Code auszuführen. Updates stehen bereit.

    28.08.201941 Kommentare
  5. Klimakrise: Digitalunternehmer fordern CO2-Steuer

    Klimakrise: Digitalunternehmer fordern CO2-Steuer

    Eine Initiative von 100 deutschen Unternehmern aus dem Digitalbereich fordert eine schnelle Besteuerung von Kohlendioxid-Emissionen und einen vollständigen Umstieg auf erneuerbare Energien bis 2035. Auch wollen die Unternehmer selbst mehr zum Klimaschutz beitragen.

    27.08.201913 Kommentare
  6. Tracking: Blutspendedienst übermittelt private Daten an Facebook

    Tracking: Blutspendedienst übermittelt private Daten an Facebook

    Eine Umfrageseite des Bayerischen Roten Kreuzes hatte den Trackingservice Facebook Pixel eingebunden - und dabei nicht bedacht, wie invasiv dieser Service ist. Jeder Klick auf einen Button wird aufgezeichnet. Facebook konnte so erfahren, ob ein Nutzer HIV hat oder Drogen konsumiert.

    27.08.201972 Kommentare
  7. HTTPS: Browser blockieren kasachisches Überwachungszertifikat

    HTTPS: Browser blockieren kasachisches Überwachungszertifikat

    In den Browsern von Mozilla und Google wird das TLS-Zertifikat, mit dem die kasachische Regierung zeitweise den Datenverkehr von Bürgern überwacht hat, gesperrt.

    21.08.20199 Kommentare
  8. Kernel: Defekte Dateisysteme bringen Linux zum Stolpern

    Kernel: Defekte Dateisysteme bringen Linux zum Stolpern

    In einer Diskussion um die Aufnahme eines neuen Dateisystems in den Linux-Kernel wird klar, dass viele Dateisystemtreiber mit defekten Daten nicht klarkommen. Das kann nicht nur zu Abstürzen führen, sondern auch zu Sicherheitslücken.

    20.08.201935 Kommentare
  9. Remote Code Execution: Doppelte Hintertür in Webmin

    Remote Code Execution: Doppelte Hintertür in Webmin

    In der Systemkonfigurationssoftware Webmin waren offenbar für über ein Jahr Hintertüren, mit denen sich übers Netz Code ausführen lässt. Den Angreifern gelang es dabei offenbar, die Release-Dateien des Projekts zu manipulieren.

    20.08.201916 Kommentare
  10. Protokolle: Chrome entfernt FTP-Unterstützung

    Protokolle: Chrome entfernt FTP-Unterstützung

    Der Chrome-Browser wird bald keine FTP-Downloads mehr ermöglichen. Als Grund wird die geringe Nutzung angegeben.

    17.08.2019186 Kommentare
  11. Password Stuffing: Viele Logins mit kompromittierten Zugangsdaten

    Password Stuffing: Viele Logins mit kompromittierten Zugangsdaten

    1,5 Prozent aller Logins sind nach Statistiken von Google durch Password Stuffing angreifbar, etwa die Hälfte der Nutzer hat mindestens einen angreifbaren Account. Google erhob diese Statistiken mit einer Browsererweiterung, die kompromittierte Zugangsdaten erkennt und davor warnt.

    16.08.201922 Kommentare
  12. KNOB-Angriff: 8-Bit-Verschlüsselung mit Bluetooth

    KNOB-Angriff: 8-Bit-Verschlüsselung mit Bluetooth

    Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.

    16.08.201914 Kommentare
  13. Antiviren-Software: Kaspersky-Javascript ermöglichte Nutzertracking

    Antiviren-Software: Kaspersky-Javascript ermöglichte Nutzertracking

    Die Kaspersky-Antivirensoftware bindet in jede Webseite eigenen Javascript-Code ein. Bis vor kurzem war dieser noch mit einer eindeutigen ID versehen, den man zum Tracking nutzen konnte.

    15.08.201917 Kommentare
  14. Webserver: Denial-of-Service-Angriffe gegen HTTP/2

    Webserver: Denial-of-Service-Angriffe gegen HTTP/2

    Das HTTP/2-Protokoll kann missbraucht werden, um in Webservern hohe CPU-Auslastung zu erzeugen. Laut Sicherheitsforschern von Netflix ist es damit in einigen Fällen möglich, mit einer einzelnen Internetverbindung mehrere Server lahmzulegen.

    14.08.20198 Kommentare
  15. Project Zero: Windows-Texteingabesystem bietet viele Angriffsmöglichkeiten

    Project Zero: Windows-Texteingabesystem bietet viele Angriffsmöglichkeiten

    Ein Systemdienst für Texteingabemethoden, das es seit Windows XP gibt, wurde offenbar mit wenig Sicherheitsbewusstsein entwickelt. Tavis Ormandy von Google gelang es damit, als Nutzer Systemrechte zu erlangen. Es gibt ein Update von Microsoft, doch das behebt wohl nicht alle Probleme.

    14.08.20191 Kommentar
  16. Dejablue: Erneut Sicherheitslücken im Windows-Remote-Desktop

    Dejablue: Erneut Sicherheitslücken im Windows-Remote-Desktop

    Microsoft warnt vor zwei Remote-Code-Execution-Bugs im Remote Desktop Service. Damit lassen sich Windows-Rechner übers Netz kapern, wenn sie die Remoteadministration aktiviert haben. Alle aktuellen Windows-Versionen sind betroffen.

    14.08.201912 Kommentare
  17. Screwed Drivers: Viele Sicherheitslücken in Hardware-Treibern

    Screwed Drivers: Viele Sicherheitslücken in Hardware-Treibern

    In den Windows-Treibern von zahlreichen Herstellern fanden sich Sicherheitslücken, mit denen Nutzerprozesse Code im Betriebssystemkernel ausführen können. Alle größeren Motherboard- und Chipsatzhersteller sind betroffen.

    12.08.201911 Kommentare
  18. Extended Validation: Browser wollen teure Zertifikate nicht mehr hervorheben

    Extended Validation: Browser wollen teure Zertifikate nicht mehr hervorheben

    Sogenannte Extended-Validation-Zertifikate führten bisher dazu, dass in Browsern der Firmenname vor der Adresszeile angezeigt wurde. Chrome und Firefox schaffen das jetzt ab, da kaum etwas darauf hindeutet, dass damit die Sicherheit erhöht wird.

    12.08.201960 Kommentare
  19. Hackerone: Sicherheitslücke in Steam bleibt vorerst ungefixt

    Hackerone: Sicherheitslücke in Steam bleibt vorerst ungefixt

    Auf Windows-Systemen, auf denen der Spiele-Launcher Steam installiert ist, können einfache Nutzer Programme mit Systemrechten ausführen. Der Entdecker der Lücke meldete diese über die Plattform Hackerone, dort erklärte man den Bug für ungültig und wollte eine Veröffentlichung verhindern.

    09.08.201938 Kommentare
  20. Klimakrise: Facebook soll auf Werbung der fossilen Industrie verzichten

    Klimakrise: Facebook soll auf Werbung der fossilen Industrie verzichten

    Die Umweltorganisation 350.org fordert von Facebook, Werbeanzeigen der fossilen Industrie nicht mehr zu akzeptieren. Bereits jetzt nimmt Facebook bestimmte Werbung nicht an, etwa für Zigaretten oder für Waffen.

    07.08.201910 Kommentare
  21. Kompression: Antiviren-Programme stolpern über ZIP-Bombe

    Kompression: Antiviren-Programme stolpern über ZIP-Bombe

    Eine besondere ZIP-Datei kann bei vielen Antiviren-Programmen zu extrem hoher CPU-Last führen und sie praktisch außer Gefecht setzen. Mit Tricks gelang es einem Sicherheitsforscher, extrem hohe Datenkompressionsraten zu erreichen.

    07.08.201943 Kommentare
  22. TLS-Zertifikat: Kasachstan beendet Überwachung von HTTPS-Verbindungen

    TLS-Zertifikat: Kasachstan beendet Überwachung von HTTPS-Verbindungen

    Kasachstan hat Nutzer angewiesen, ein Root-Zertifikat zur Überwachung ihrer verschlüsselten TLS-Verbindungen zu installieren. Jetzt dürfen diese das Zertifikat wieder löschen - zumindest vorläufig.

    07.08.201912 Kommentare
  23. VxWorks: Zahlreiche Embedded-Geräte übers Internet angreifbar

    VxWorks: Zahlreiche Embedded-Geräte übers Internet angreifbar

    Im Realtime-Betriebssystem VxWorks sind mehrere schwere Sicherheitslücken im Netzwerkstack gefunden worden. Offenbar verwendet VxWorks in der Standardkonfiguration keinerlei gängige Sicherheitsmechanismen wie ASLR, daher sind die Lücken leicht ausnutzbar.

    30.07.20196 Kommentare
  24. BSI: Die fragwürdigen Sicherheitswarnungen des Cert-Bund

    BSI: Die fragwürdigen Sicherheitswarnungen des Cert-Bund

    Eine Falschmeldung vieler Medien über eine Sicherheitslücke im VLC-Player war auf eine unseriöse Meldung des Cert-Bund zurückzuführen. Kein Einzelfall: Das dem BSI unterstellte Cert-Bund gibt regelmäßig fragwürdige Meldungen heraus, die Sicherheitslücken systematisch übertrieben darstellen.
    Eine Analyse von Hanno Böck

    30.07.201958 Kommentare
  25. Project Zero: Sicherheitslücke ohne Nuzterinteraktion im iPhone

    Project Zero: Sicherheitslücke ohne Nuzterinteraktion im iPhone

    Das iPhone gilt als vergleichsweise sichere Plattform. Mitglieder von Googles Project Zero haben mehrere Sicherheitslücken entdeckt, mit denen sich Code auf einem iPhone ohne Nutzerinteraktion ausführen lässt.

    30.07.20194 Kommentare
  26. TLS-Zertifikate: Mozilla vertraut Zertifikaten von Dark Matter nicht mehr

    TLS-Zertifikate: Mozilla vertraut Zertifikaten von Dark Matter nicht mehr

    Nach einer langen Diskussion hat sich Mozilla entschieden, TLS-Zertifikaten der Firma Dark Matter nicht mehr zu trauen. Dark Matter war laut Medienberichten in Spionage der Vereinigten Arabischen Emirate verwickelt.

    10.07.20194 Kommentare
  27. Linux-Abstürze: Fehlerhafter Zufallsbefehl auf neuen und alten AMD-CPUs

    Linux-Abstürze: Fehlerhafter Zufallsbefehl auf neuen und alten AMD-CPUs

    Einige Linux-Systeme booten auf AMDs neuen Ryzen-Prozessoren nicht und haben auf alten APUs Probleme mit dem Suspend. Der Grund ist eine fehlerhafte Implementierung des Zufallszahlengenerators der CPU, den Systemd aufruft. Systemd arbeitet aber völlig korrekt, das Problem liegt in der CPU.

    09.07.201992 Kommentare
  28. FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

    FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

    Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
    Eine Exklusiv-Meldung von Hanno Böck

    09.07.20191 Kommentar
Folgen Sie uns
       


Haben wir etwas übersehen?

E-Mail an news@golem.de



  1. Seite: 
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11. 10
  12. 11
  13. 12
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #