Abo
Hanno Böck, Hanno Böck
Hanno Böck

Hanno Böck

Hanno Böck schreibt seit 2013 für Golem.de, zuerst freiberuflich, seit 2019 festangestellt in Teilzeit. Seine Schwerpunkte sind IT-Sicherheit und Kryptographie. Er sucht gern selbst nach Sicherheitslücken und hat bereits mehrfach Schwächen in TLS-Implementierungen aufgedeckt. Außerdem interessiert er sich für freie Software, die Wissenschaft und deren Schwächen sowie die Herausforderungen des Klimawandels.

Folgen auf Twitter (@hanno)
Webseite: hboeck.de

Artikel
  1. Shared Hosting: Keine russischen Trolle bei Berliner Antifas

    Shared Hosting: Keine russischen Trolle bei Berliner Antifas

    Die New York Times berichtet, dass Berliner Antifagruppen von Russland gesteuert sein könnten. Die Belege dafür sind äußerst dünn: Offenbar nutzen die Gruppen lediglich einen Webhoster, der in der Vergangenheit auch von russischen Agenten genutzt wurde.

    16.05.201944 Kommentare
  2. Mathematik: Krypto-Pionier Robert McEliece gestorben

    Mathematik: Krypto-Pionier Robert McEliece gestorben

    Der Mathematiker Robert McEliece ist tot. Er entwickelte Fehlerkorrekturverfahren, die auch in der Raumfahrt eingesetzt wurden, und war ein Pionier der Public-Key-Verschlüsselung. Sein bislang kaum genutztes Verschlüsselungsverfahren könnte mit Blick auf Quantencomputer noch eine Zukunft haben.
    Von Hanno Böck

    14.05.20191 Kommentar
  3. NSO Group: Whatsapp-Sicherheitslücke von Spyware-Firma ausgenutzt

    NSO Group: Whatsapp-Sicherheitslücke von Spyware-Firma ausgenutzt

    Eine israelische Firma hat offenbar eine Sicherheitslücke in Whatsapp genutzt, um Rechtsanwälte und Menschenrechtsaktivisten anzugreifen - darunter einen Anwalt, der gegen sie klagte. Nutzer sollten den Messenger umgehend updaten.

    14.05.201974 Kommentare
  4. Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

    Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

    Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Pestizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

    09.05.201989 Kommentare
  5. Sicherheitslücke: Treiberinstallation auf Dell-Laptops angreifbar

    Sicherheitslücke: Treiberinstallation auf Dell-Laptops angreifbar

    Eine auf Dell-Laptops vorinstallierte Windows-Software zur Installation von Treibern öffnet einen lokalen HTTP-Server. Ein Netzwerkangreifer kann das missbrauchen, um Schadsoftware zu installieren.

    02.05.20190 Kommentare
Stellenmarkt
  1. BWI GmbH, Meckenheim, München
  2. Vodafone GmbH, Düsseldorf
  3. SARSTEDT AG & Co. KG, Nümbrecht
  4. Stadt Bochum, Bochum


  1. Datendiebstahl: Kundendaten zahlreicher deutscher Firmen offen im Netz

    Datendiebstahl: Kundendaten zahlreicher deutscher Firmen offen im Netz

    Der IT-Dienstleister Citycomp ist gehackt worden und die dort gelagerten Daten zahlreicher, vor allem deutscher Firmen sind im Internet offen verfügbar. Der Angreifer hatte wohl versucht, Citycomp zu erpressen.

    30.04.201933 Kommentare
  2. Symcrypt: Windows-Verschlüsselungsbibliothek ist jetzt Open Source

    Symcrypt: Windows-Verschlüsselungsbibliothek ist jetzt Open Source

    Microsoft hat den Code der Windows-eigenen Verschlüsselungsbibliothek Symcrypt unter der MIT-Lizenz veröffentlicht. Allerdings fehlt ein Build-System und externe Beiträge sind nicht gewollt.

    30.04.201913 Kommentare
  3. PGP und S/MIME: Mailprogramme fallen auf falsche Signaturen herein

    PGP und S/MIME: Mailprogramme fallen auf falsche Signaturen herein

    Mit einer ganzen Reihe von Tricks lassen sich Mailprogramme dazu bringen, E-Mails scheinbar signiert anzuzeigen. Dabei wird aber nicht die Kryptographie angegriffen, sondern die Interpretation durch den Mailclient.

    30.04.201916 Kommentare
  4. MIT: Kryptopuzzle 15 Jahre zu früh gelöst

    MIT: Kryptopuzzle 15 Jahre zu früh gelöst

    Ein 1999 von RSA-Miterfinder Ron Rivest erstelltes Kryptopuzzle, bei dem man eine langwierige Berechnung durchführen sollte, ist gelöst - viel früher als erwartet.

    30.04.201967 Kommentare
  5. Websicherheit: Datenlecks durch backup.zip

    Websicherheit: Datenlecks durch backup.zip

    Viele Webseiten stellen unbeabsichtigt Backup-Dateien zum Download bereit. Sie lassen sich durch einfaches Erraten von Dateinamen wie backup.zip finden. Bei einer Datingbörse waren beispielsweise Hunderttausende von Profilen abrufbar.

    23.04.201968 Kommentare
  1. E-Learning-Plattform: Mysteriöses Datenleck bei Oncampus

    E-Learning-Plattform: Mysteriöses Datenleck bei Oncampus

    Bei der deutschen E-Learning-Plattform Oncampus kam es offenbar zu einem Datenleck. Der Betreiber weiß bisher nicht genau, was passiert ist.
    Eine Exklusiv-Meldung von Hanno Böck

    18.04.201913 Kommentare
  2. Subdomain Takeover: Microsoft loses control over Windows Tiles

    Subdomain Takeover : Microsoft loses control over Windows Tiles

    A service from Microsoft used to allow web page owners to deliver news on Windows Tiles as so-called Windows Live Tiles. After the service has been disabled, we were able to take over the corresponding subdomain and display our own Tile contents.

    17.04.20195 KommentareVideo
  3. Subdomain Takeover: Microsoft verliert Kontrolle über Windows-Kacheln

    Subdomain Takeover : Microsoft verliert Kontrolle über Windows-Kacheln

    Mit einem Service von Microsoft konnten Webseiten Neuigkeiten auf Windows-Kacheln als sogenannte Windows Live Tiles darstellen. Den Service gibt es nicht mehr, die zugehörige Subdomain konnten wir übernehmen und eigene Kachelinhalte anzeigen.
    Eine Exklusiv-Meldung von Hanno Böck

    17.04.2019199 KommentareVideo
  1. Adblock Plus: Adblock-Filterregeln können Code ausführen

    Adblock Plus: Adblock-Filterregeln können Code ausführen

    Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
    Von Hanno Böck

    16.04.201911 Kommentare
  2. Verschlüsselung: Ärger für die PGP-Keyserver

    Verschlüsselung: Ärger für die PGP-Keyserver

    Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.
    Ein Bericht von Hanno Böck

    08.04.201911 Kommentare
  3. Passwort-Richtlinien: Schlechte Passwörter vermeiden

    Passwort-Richtlinien: Schlechte Passwörter vermeiden

    Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
    Von Hanno Böck

    08.04.2019103 Kommentare
  1. MXSS: Cross-Site-Scripting in der Google-Suche

    MXSS: Cross-Site-Scripting in der Google-Suche

    Aufgrund subtiler Unterschiede beim Parsen von HTML-Code gelang es einem Sicherheitsforscher, gängige Filtermechanismen zu umgehen. Betroffen waren zwei Javascript-Bibliotheken und die Google-Suche.

    02.04.20199 Kommentare
  2. Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

    Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

    Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

    02.04.201920 Kommentare
  3. BeA: Anwaltspostfach wird neu ausgeschrieben

    BeA: Anwaltspostfach wird neu ausgeschrieben

    Die Bundesrechtsanwaltskammer sucht einen neuen Betreiber für das von Sicherheitspannen geplagte besondere elektronische Anwaltspostfach. Die Verträge mit dem bisherigen Betreiber Atos laufen 2019 aus.

    02.04.201922 Kommentare
  1. Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

    Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

    Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

    29.03.201914 Kommentare
  2. DNS: Any-Anfragen müssen nicht mehr beantwortet werden

    DNS: Any-Anfragen müssen nicht mehr beantwortet werden

    Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

    19.03.20194 Kommentare
  3. SSH-Software: Kritische Sicherheitslücken in Putty

    SSH-Software : Kritische Sicherheitslücken in Putty

    In der SSH-Software Putty sind im Rahmen eines von der EU finanzierten Bug-Bounty-Programms mehrere schwerwiegende Sicherheitslücken entdeckt worden. Der verwundbare Code wird auch von anderen Projekten wie Filezilla und WinSCP verwendet.

    18.03.201972 KommentareVideo
  1. Verschlüsselung: Die meisten Nutzer brauchen kein VPN

    Verschlüsselung: Die meisten Nutzer brauchen kein VPN

    VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
    Eine Analyse von Hanno Böck

    14.03.2019175 Kommentare
  2. Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

    Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

    Viele TLS-Zertifikate wurden nicht nach den geltenden Regeln ausgestellt. Sie müssten eine zufällige 64-Bit-Seriennummer haben, es sind aber real nur 63 Bit. Ein Risiko ist praktisch nicht vorhanden, trotzdem müssen die Zertifikate zurückgezogen werden.

    13.03.201913 Kommentare
  3. Sicherheitslücke: Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

    Sicherheitslücke : Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

    Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

    12.03.201916 Kommentare
  4. Übernahme: F5 kauft Firma hinter Nginx-Webserver

    Übernahme: F5 kauft Firma hinter Nginx-Webserver

    Für 670 Millionen Dollar übernimmt F5, ein Hersteller von Netzwerkhardware, die Firma hinter dem freien Webserver Nginx. Mit Nginx wird nach Schätzungen etwa ein Viertel aller Webseiten betrieben.

    12.03.20195 Kommentare
  5. Sicherheitsupdate: Chrome-Schwachstelle wird aktiv genutzt

    Sicherheitsupdate: Chrome-Schwachstelle wird aktiv genutzt

    Google hat in Chrome eine "echte Zeroday-Chain", also eine bislang unbekannte Sicherheitslücke gefunden. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich ein Update aufspielen.

    06.03.201916 Kommentare
  6. Ölförderung: Wie Google, Amazon und Microsoft das Klima anheizen

    Ölförderung: Wie Google, Amazon und Microsoft das Klima anheizen

    Mehrere große IT-Konzerne haben in jüngerer Zeit Partnerschaften mit der Ölindustrie aufgebaut und tragen damit aktiv zur Klimakatastrophe bei. Dabei geben sie sich gerne als besonders umweltfreundlich und verantwortungsbewusst.
    Von Hanno Böck

    28.02.2019178 Kommentare
  7. Thunderclap: Thunderbolt-Anschlüsse erlauben Angriffe auf Arbeitsspeicher

    Thunderclap: Thunderbolt-Anschlüsse erlauben Angriffe auf Arbeitsspeicher

    Durch Thunderbolt-Anschlüsse sind in modernen Laptops Angriffe auf den Speicher durch bösartige Hardware mittels DMA möglich. Verhindern soll das eine Technologie namens IOMMU, doch die ist oft abgeschaltet oder lässt sich umgehen.

    27.02.201917 Kommentare
  8. TLS: Immer wieder Padding Oracles

    TLS: Immer wieder Padding Oracles

    In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

    27.02.20190 Kommentare
  9. Content Management System: Unterstützung für Drupal 7 endet 2021

    Content Management System: Unterstützung für Drupal 7 endet 2021

    Die Entwickler von Drupal erläutern ihre künftige Releasestrategie und kündigen das Supportende für Drupal 7 an. Da Major-Updates bei Drupal oft umständlich sind nutzen viele Webseiten noch diese alte Version.

    26.02.20195 Kommentare
  10. Malware: Tablets und Smartphones mit vorinstallierter Schadsoftware

    Malware: Tablets und Smartphones mit vorinstallierter Schadsoftware

    Das BSI warnt vor Smartphones und Tablets der Hersteller Ulefone, Blackview und Krüger & Matz. Auf den Geräten ist Schadsoftware vorinstalliert.

    26.02.201916 Kommentare
  11. Dark Matter: TLS-Zertifikate von der Spionagefirma aus den Emiraten

    Dark Matter: TLS-Zertifikate von der Spionagefirma aus den Emiraten

    Die Firma Dark Matter aus den Vereinigten Arabischen Emiraten betreibt eine TLS-Zertifizierungsstelle. Laut einem Reuters-Bericht ist Dark Matter daran beteiligt, im staatlichen Auftrag Menschenrechtsaktivisten mit Hilfe von Sicherheitslücken anzugreifen.

    25.02.20194 Kommentare
  12. Sicherheitslücken: PDF-Signaturen fälschen leicht gemacht

    Sicherheitslücken: PDF-Signaturen fälschen leicht gemacht

    Signaturen von PDF-Dateien sind offenbar nicht besonders sicher: Einem Forscherteam der Uni Bochum gelang es, die Signaturprüfung in nahezu allen PDF-Programmen auszutricksen.

    25.02.201935 Kommentare
  13. Passwörter: Teile des Passsworts bei Aldi Talk unsicher gespeichert

    Passwörter : Teile des Passsworts bei Aldi Talk unsicher gespeichert

    Aldi Talk hat offenbar Zugriff auf die ersten vier Zeichen der Kundenpasswörter im Klartext.

    19.02.201996 Kommentare
  14. Schweizer Post: Code von Schweizer Online-Wahl geleakt

    Schweizer Post: Code von Schweizer Online-Wahl geleakt

    Die Schweizer Post hatte dazu aufgerufen, ihr Online-Voting-System zu testen - allerdings nur gegen die Zusicherung, gefundene Sicherheitsprobleme nicht unabgesprochen zu veröffentlichen. Jetzt ist der Quellcode zugänglich gemacht worden.

    18.02.201915 Kommentare
  15. Mailhoster: Angreifer überschreibt Festplatten bei VFEMail

    Mailhoster: Angreifer überschreibt Festplatten bei VFEMail

    Ein Angreifer ist offenbar beim Mailprovider VFEMail in die Systeme eingedrungen und hat versucht, so viel Zerstörung wie möglich anzurichten. Für viele Kunden heißt das wohl, dass ihre Mails verloren sind.

    12.02.201930 Kommentare
  16. Kuznyechik/Streebog: Russische Verschlüsselungsalgorithmen infrage gestellt

    Kuznyechik/Streebog: Russische Verschlüsselungsalgorithmen infrage gestellt

    Ein Kryptograph weist darauf hin, dass die sogenannten S-Boxen in russischen Verschlüsselungsstandards eine seltsame Struktur aufweisen und dass nirgendwo erklärt ist, wie es dazu kam. Handelt es sich um eine Hintertür?

    12.02.201929 Kommentare
  17. Runc: Sicherheitslücke ermöglicht Übernahme von Container-Host

    Runc: Sicherheitslücke ermöglicht Übernahme von Container-Host

    Eine Sicherheitslücke ermöglicht es, dass Software aus einem Container ausbricht. Die Ausführungsumgebung Runc, mit der Container gestartet werden, kann überschrieben und so der Host übernommen werden. Docker und viele andere Lösungen sind verwundbar.

    12.02.20194 Kommentare
  18. Resource Data Management: Kühlschränke lassen sich mit Passwort 1234 abschalten

    Resource Data Management: Kühlschränke lassen sich mit Passwort 1234 abschalten

    Ein Hersteller von Kühlsystemen, die bei industriellen Kunden wie Supermärkten und Krankenhäusern zum Einsatz kommen, hat diese mit einem Standardpasswort ausgestattet. Sie lassen sich übers Internet steuern und abschalten. Der Hersteller sieht das Problem nicht bei sich.

    11.02.201955 Kommentare
  19. Internet-Infrastruktur: Fehlerhafte Router stoppen BGP-Experiment

    Internet-Infrastruktur: Fehlerhafte Router stoppen BGP-Experiment

    Ein Forscherteam hat die Nutzung bisher ungenutzter Flags aus dem BGP-Routingstandard getestet. Dabei haben reihenweise Router ihre Verbindungen abgebrochen. Das Experiment wurde nun gestoppt.

    05.02.201953 Kommentare
  20. Huawei-Diskussion: FSFE fordert Veröffentlichung von 5G-Quellcode

    Huawei-Diskussion: FSFE fordert Veröffentlichung von 5G-Quellcode

    Im Zuge der Diskussion um Huawei und den Bau von 5G-Netzen fordert die Free Software Foundation Europe (FSFE) die Veröffentlichung des Quellcodes kritischer Infrastruktur unter einer freien Lizenz - unabhängig davon, aus welchem Land der Hersteller stammt.

    05.02.201921 Kommentare
  21. Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar

    Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar

    Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.

    04.02.201936 Kommentare
  22. Nist: Zweite Runde im Wettbewerb für Post-Quanten-Kryptographie

    Nist: Zweite Runde im Wettbewerb für Post-Quanten-Kryptographie

    Die US-Standardisierungsbehörde Nist hat eine Vorauswahl von Algorithmen getroffen, die für zukünftige Standards von quantensicheren Algorithmen in Frage kommen.

    30.01.201911 Kommentare
  23. Z1: Zahnarztsoftware installiert lückenhaften Adobe Reader

    Z1: Zahnarztsoftware installiert lückenhaften Adobe Reader

    Eine Verwaltungssoftware für Zahnarztpraxen installiert beim Update automatisch einen Adobe Reader in einer sehr alten Version, der zahlreiche bekannte Sicherheitslücken hat. Der Hersteller meint, das Problem behoben zu haben, das stimmt aber offenbar nicht.

    29.01.201954 Kommentare
  24. Datenbank: Lange bekannte MySQL-Lücke führt zu Angriffen

    Datenbank: Lange bekannte MySQL-Lücke führt zu Angriffen

    Das MySQL-Protokoll erlaubt es Servern, Daten des Clients auszulesen. Offenbar nutzte die kriminelle Gruppe Magecart dies zuletzt, um mit dem PHP-Datenbankfrontend Adminer Systeme anzugreifen. Auch PhpMyAdmin ist verwundbar.

    27.01.201939 Kommentare
  25. Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

    Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

    Ein Fehler im Debian-Paketmanager Apt erlaubt es einem Netzwerkangreifer, dem System bösartigen Code unterzuschieben. Debian nutzt für seine Pakete kein HTTPS, was den Bug zumindest schwerer ausnutzbar machen würde.

    23.01.201943 Kommentare
  26. DNS Flag Day: Keine Rücksicht mehr auf fehlerhafte DNS-Server

    DNS Flag Day: Keine Rücksicht mehr auf fehlerhafte DNS-Server

    Ab 1. Februar wollen Anbieter von DNS-Software und Betreiber von Internetinfrastruktur aufhören, auf fehlerhafte DNS-Server Rücksicht zu nehmen. Wer die DNS-Erweiterung EDNS nicht unterstützt, soll zumindest mit einer korrekten Antwort reagieren.

    23.01.201928 Kommentare
  27. Paketmanagement: PHP-Codesammlung Pear wurde gehackt

    Paketmanagement: PHP-Codesammlung Pear wurde gehackt

    Die Webseite von Pear, einer Sammlung von Bibliotheken für PHP, ist zurzeit offline. Offenbar wurde der Server gehackt und die Installationsdatei ausgetauscht.

    21.01.20196 Kommentare
  28. HTTPS: Let's Encrypt schaltet alte Validierungsmethode ab

    HTTPS: Let's Encrypt schaltet alte Validierungsmethode ab

    Let's Encrypt wird in Kürze die Domain-Validierungsmethode TLS-SNI-01 aufgrund von Sicherheitsbedenken nicht mehr anbieten. Für Nutzer älterer Versionen der Certbot-Software wird das zum Problem - beispielsweise für Debian-Anwender.

    21.01.201931 Kommentare
Folgen Sie uns
       


Haben wir etwas übersehen?

E-Mail an news@golem.de



  1. Seite: 
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11. 10
  12. 11
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #