Abo
Hanno Böck, Hanno Böck
Hanno Böck

Hanno Böck

Hanno Böck schreibt seit 2013 für Golem.de, zuerst freiberuflich, seit 2019 festangestellt in Teilzeit. Seine Schwerpunkte sind IT-Sicherheit und Kryptographie. Er sucht gern selbst nach Sicherheitslücken und hat bereits mehrfach Schwächen in TLS-Implementierungen aufgedeckt. Außerdem interessiert er sich für freie Software, die Wissenschaft und deren Schwächen sowie die Herausforderungen des Klimawandels.

Folgen auf Twitter (@hanno)
Webseite: hboeck.de

Artikel
  1. TLS-Zertifikate: Mozilla vertraut Zertifikaten von Dark Matter nicht mehr

    TLS-Zertifikate: Mozilla vertraut Zertifikaten von Dark Matter nicht mehr

    Nach einer langen Diskussion hat sich Mozilla entschieden, TLS-Zertifikaten der Firma Dark Matter nicht mehr zu trauen. Dark Matter war laut Medienberichten in Spionage der Vereinigten Arabischen Emirate verwickelt.

    10.07.20194 Kommentare
  2. Linux-Abstürze: Fehlerhafter Zufallsbefehl auf neuen und alten AMD-CPUs

    Linux-Abstürze: Fehlerhafter Zufallsbefehl auf neuen und alten AMD-CPUs

    Einige Linux-Systeme booten auf AMDs neuen Ryzen-Prozessoren nicht und haben auf alten APUs Probleme mit dem Suspend. Der Grund ist eine fehlerhafte Implementierung des Zufallszahlengenerators der CPU, den Systemd aufruft. Systemd arbeitet aber völlig korrekt, das Problem liegt in der CPU.

    09.07.201992 Kommentare
  3. FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

    FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

    Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
    Eine Exklusiv-Meldung von Hanno Böck

    09.07.20191 Kommentar
  4. In eigener Sache: Golem.de bietet Seminar zu TLS an

    In eigener Sache: Golem.de bietet Seminar zu TLS an

    Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

    08.07.20197 Kommentare
  5. Verschlüsseltes DNS: Falschmeldung in Propagandaschlacht um DNS über HTTPS

    Verschlüsseltes DNS: Falschmeldung in Propagandaschlacht um DNS über HTTPS

    Mehrere Medien melden unter Berufung auf eine chinesische Sicherheitsfirma, dass Malware das DNS-over-HTTPS-Protokoll zur Verschleierung von Datenverkehr nutzt. Es ist eine Falschmeldung, aber selbst wenn sie stimmen würde, wäre es kein Argument gegen DoH.
    Eine Analyse von Hanno Böck

    05.07.201924 Kommentare
Stellenmarkt
  1. Finanzbehörde - Personalabteilung Freie und Hansestadt Hamburg, Hamburg
  2. INSYS TEST SOLUTIONS GmbH, Regensburg
  3. Dataport, verschiedene Standorte
  4. KVV Kassel, Kassel


  1. Xinjiang/China: Chinesische Spionage-App auf Android-Telefonen

    Xinjiang/China: Chinesische Spionage-App auf Android-Telefonen

    An einem Grenzübergang zur Provinz Xinjiang in China wird auf Android-Telefonen eine Software installiert, die Nachrichten und Kontakte ausspioniert und das System nach bestimmten Apps und Dateien durchsucht.

    02.07.201942 Kommentare
  2. Network Time Security: Sichere Uhrzeit übers Netz

    Network Time Security: Sichere Uhrzeit übers Netz

    Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

    02.07.201910 Kommentare
  3. BGP-Routing: Verizon verursacht Internet-Schluckauf

    BGP-Routing: Verizon verursacht Internet-Schluckauf

    Viele Internetseiten waren gestern aufgrund eines BGP-Routingproblems nicht erreichbar. Cloudflare wirft dem US-Provider Verizon Inkompetenz vor und schreibt, dass sie acht Stunden niemanden erreicht hätten, um das Problem zu beheben.

    25.06.201924 Kommentare
  4. TLS: Google und Cloudflare testen Post-Quanten-Kryptographie

    TLS: Google und Cloudflare testen Post-Quanten-Kryptographie

    Quantencomputer könnten in Zukunft die heute verwendete Kryptographie brechen. Google und Cloudflare starten ein Experiment, bei dem unter Realbedingungen mit HTTPS getestet werden soll, wie gut Algorithmen, die vor Quantencomputern Schutz bieten, funktionieren.

    21.06.20196 KommentareVideo
  5. TCP-Sicherheitslücke: Linux-Rechner übers Internet abschießen

    TCP-Sicherheitslücke: Linux-Rechner übers Internet abschießen

    Im Linux-Kernel und in FreeBSD sind mehrere Fehler bei der Verarbeitung von TCP-Paketen gefunden worden. Eine Sicherheitslücke in der Funktion Selective Acknowledgement (SACK) kann von Angreifern dazu genutzt werden, bei Linux einen Kernelabsturz zu verursachen.

    18.06.201930 Kommentare
  1. keys.openpgp.org: Neuer PGP-Keyserver prüft Mailadressen

    keys.openpgp.org: Neuer PGP-Keyserver prüft Mailadressen

    Das bisherige Konzept der PGP-Keyserver ist an seine Grenzen gelangt, die bestehenden Keyserver werden immer unzuverlässiger. Nun gibt es einen neuen Keyserver mit einem anderen Konzept. Persönliche Daten werden nur nach einer Prüfung der E-Mail-Adresse verteilt.

    13.06.20192 Kommentare
  2. RAMBleed: Rowhammer kann auch Daten auslesen

    RAMBleed: Rowhammer kann auch Daten auslesen

    Mit Angriffen durch RAM-Bitflips lassen sich unberechtigt Speicherinhalte auslesen. Als Demonstration zeigen Forscher, wie sie mit Nutzerrechten einen RSA-Key eines SSH-Daemons auslesen können.

    12.06.201913 Kommentare
  3. Passwort-Leak-Check: Have I Been Pwned? strebt Übernahme an

    Passwort-Leak-Check: Have I Been Pwned? strebt Übernahme an

    Das Projekt Have I been Pwned? soll von einer Firma übernommen werden und wird in Project Svalbard umbenannt. Mit dem Service können Nutzer prüfen, ob ihre Zugangsdaten in Datenleaks auftauchen, bisher wird er vom Sicherheitsforscher Troy Hunt als Privatprojekt betrieben.

    11.06.201910 Kommentare
  1. Paketmanagement: Java-Dependencies über unsichere HTTP-Downloads

    Paketmanagement: Java-Dependencies über unsichere HTTP-Downloads

    In zahlreichen Java-Projekten werden Abhängigkeiten ungeprüft über HTTP ohne TLS heruntergeladen. Ein Netzwerkangreifer kann dadurch trivial die Downloads manipulieren und Schadcode ausführen.

    11.06.20193 Kommentare
  2. Kohlendioxid-Ausstoß: Künstliche Intelligenz braucht viel Strom

    Kohlendioxid-Ausstoß: Künstliche Intelligenz braucht viel Strom

    Der Stromverbrauch und CO2-Ausstoß bei der Erstellung von Deep-Learning-Modellen ist erheblich, wie eine jetzt veröffentlichte Studie zeigt.

    11.06.201921 Kommentare
  3. Sicherheitslücke: Exim-Sicherheitslücke gefährlicher als gedacht

    Sicherheitslücke: Exim-Sicherheitslücke gefährlicher als gedacht

    Eine Sicherheitslücke im Exim-Mailserver lässt sich auch übers Netz zur Codeausführung ausnutzen, der Angriff dauert aber in der Standardkonfiguration mehrere Tage. Lokal ist er trivial und emöglicht es Nutzern, Root-Rechte zu erlangen.

    06.06.201916 Kommentare
  1. Sicherheitslücke: VIM-Modelines erlauben Codeausführung

    Sicherheitslücke: VIM-Modelines erlauben Codeausführung

    Im Texteditor VIM wurde eine Sicherheitslücke gefunden, bei der ein speziell präpariertes Dokument Code ausführen kann. Die dafür genutzte Funktion der Modelines ist nur auf manchen Systemen aktiv.

    05.06.20195 Kommentare
  2. Exploit: Sicherheitslücke in Exim-Mailserver

    Exploit: Sicherheitslücke in Exim-Mailserver

    Die Entwickler des Exim-Mailservers informieren über eine Sicherheitslücke, Details gibt es aber bisher nicht. Die sollen in einer Woche folgen.

    04.06.20198 Kommentare
  3. Windows-Sicherheitslücke: Warten auf den Bluekeep-Exploit

    Windows-Sicherheitslücke: Warten auf den Bluekeep-Exploit

    Knapp eine Million im Internet erreichbare Windows-Computer sind für eine Sicherheitslücke anfällig, die laut Microsoft das Potenzial hat, Schäden wie Wanna Cry zu verursachen.

    29.05.201934 Kommentare
  1. T-Online-Navigationshilfe: Telekom beendet DNS-Hijacking

    T-Online-Navigationshilfe: Telekom beendet DNS-Hijacking

    Die Telekom beendet bei ihren Internetzugängen die Praxis, Anfragen nach nichtexistenten Domainnamen auf eine Navigationshilfe eines Drittanbieters weiterzuleiten. Ein Nutzer hatte sich bei verschiedenen Behörden beschwert und Strafanzeige gestellt.

    20.05.201969 Kommentare
  2. Shared Hosting: Keine russischen Trolle bei Berliner Antifas

    Shared Hosting: Keine russischen Trolle bei Berliner Antifas

    Die New York Times berichtet, dass Berliner Antifagruppen von Russland gesteuert sein könnten. Die Belege dafür sind äußerst dünn: Offenbar nutzen die Gruppen lediglich einen Webhoster, der in der Vergangenheit auch von russischen Agenten genutzt wurde.

    16.05.201944 Kommentare
  3. Mathematik: Krypto-Pionier Robert McEliece gestorben

    Mathematik: Krypto-Pionier Robert McEliece gestorben

    Der Mathematiker Robert McEliece ist tot. Er entwickelte Fehlerkorrekturverfahren, die auch in der Raumfahrt eingesetzt wurden, und war ein Pionier der Public-Key-Verschlüsselung. Sein bislang kaum genutztes Verschlüsselungsverfahren könnte mit Blick auf Quantencomputer noch eine Zukunft haben.
    Von Hanno Böck

    14.05.20191 Kommentar
  1. NSO Group: Whatsapp-Sicherheitslücke von Spyware-Firma ausgenutzt

    NSO Group: Whatsapp-Sicherheitslücke von Spyware-Firma ausgenutzt

    Eine israelische Firma hat offenbar eine Sicherheitslücke in Whatsapp genutzt, um Rechtsanwälte und Menschenrechtsaktivisten anzugreifen - darunter einen Anwalt, der gegen sie klagte. Nutzer sollten den Messenger umgehend updaten.

    14.05.201974 Kommentare
  2. Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

    Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

    Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Pestizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

    09.05.201989 Kommentare
  3. Sicherheitslücke: Treiberinstallation auf Dell-Laptops angreifbar

    Sicherheitslücke: Treiberinstallation auf Dell-Laptops angreifbar

    Eine auf Dell-Laptops vorinstallierte Windows-Software zur Installation von Treibern öffnet einen lokalen HTTP-Server. Ein Netzwerkangreifer kann das missbrauchen, um Schadsoftware zu installieren.

    02.05.20190 Kommentare
  4. Datendiebstahl: Kundendaten zahlreicher deutscher Firmen offen im Netz

    Datendiebstahl: Kundendaten zahlreicher deutscher Firmen offen im Netz

    Der IT-Dienstleister Citycomp ist gehackt worden und die dort gelagerten Daten zahlreicher, vor allem deutscher Firmen sind im Internet offen verfügbar. Der Angreifer hatte wohl versucht, Citycomp zu erpressen.

    30.04.201933 Kommentare
  5. Symcrypt: Windows-Verschlüsselungsbibliothek ist jetzt Open Source

    Symcrypt: Windows-Verschlüsselungsbibliothek ist jetzt Open Source

    Microsoft hat den Code der Windows-eigenen Verschlüsselungsbibliothek Symcrypt unter der MIT-Lizenz veröffentlicht. Allerdings fehlt ein Build-System und externe Beiträge sind nicht gewollt.

    30.04.201913 Kommentare
  6. PGP und S/MIME: Mailprogramme fallen auf falsche Signaturen herein

    PGP und S/MIME: Mailprogramme fallen auf falsche Signaturen herein

    Mit einer ganzen Reihe von Tricks lassen sich Mailprogramme dazu bringen, E-Mails scheinbar signiert anzuzeigen. Dabei wird aber nicht die Kryptographie angegriffen, sondern die Interpretation durch den Mailclient.

    30.04.201916 Kommentare
  7. MIT: Kryptopuzzle 15 Jahre zu früh gelöst

    MIT: Kryptopuzzle 15 Jahre zu früh gelöst

    Ein 1999 von RSA-Miterfinder Ron Rivest erstelltes Kryptopuzzle, bei dem man eine langwierige Berechnung durchführen sollte, ist gelöst - viel früher als erwartet.

    30.04.201967 Kommentare
  8. Websicherheit: Datenlecks durch backup.zip

    Websicherheit: Datenlecks durch backup.zip

    Viele Webseiten stellen unbeabsichtigt Backup-Dateien zum Download bereit. Sie lassen sich durch einfaches Erraten von Dateinamen wie backup.zip finden. Bei einer Datingbörse waren beispielsweise Hunderttausende von Profilen abrufbar.

    23.04.201968 Kommentare
  9. E-Learning-Plattform: Mysteriöses Datenleck bei Oncampus

    E-Learning-Plattform: Mysteriöses Datenleck bei Oncampus

    Bei der deutschen E-Learning-Plattform Oncampus kam es offenbar zu einem Datenleck. Der Betreiber weiß bisher nicht genau, was passiert ist.
    Eine Exklusiv-Meldung von Hanno Böck

    18.04.201913 Kommentare
  10. Subdomain Takeover: Microsoft loses control over Windows Tiles

    Subdomain Takeover : Microsoft loses control over Windows Tiles

    A service from Microsoft used to allow web page owners to deliver news on Windows Tiles as so-called Windows Live Tiles. After the service has been disabled, we were able to take over the corresponding subdomain and display our own Tile contents.

    17.04.20195 KommentareVideo
  11. Subdomain Takeover: Microsoft verliert Kontrolle über Windows-Kacheln

    Subdomain Takeover : Microsoft verliert Kontrolle über Windows-Kacheln

    Mit einem Service von Microsoft konnten Webseiten Neuigkeiten auf Windows-Kacheln als sogenannte Windows Live Tiles darstellen. Den Service gibt es nicht mehr, die zugehörige Subdomain konnten wir übernehmen und eigene Kachelinhalte anzeigen.
    Eine Exklusiv-Meldung von Hanno Böck

    17.04.2019199 KommentareVideo
  12. Adblock Plus: Adblock-Filterregeln können Code ausführen

    Adblock Plus: Adblock-Filterregeln können Code ausführen

    Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
    Von Hanno Böck

    16.04.201911 Kommentare
  13. Verschlüsselung: Ärger für die PGP-Keyserver

    Verschlüsselung: Ärger für die PGP-Keyserver

    Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.
    Ein Bericht von Hanno Böck

    08.04.201911 Kommentare
  14. Passwort-Richtlinien: Schlechte Passwörter vermeiden

    Passwort-Richtlinien: Schlechte Passwörter vermeiden

    Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
    Von Hanno Böck

    08.04.2019104 Kommentare
  15. MXSS: Cross-Site-Scripting in der Google-Suche

    MXSS: Cross-Site-Scripting in der Google-Suche

    Aufgrund subtiler Unterschiede beim Parsen von HTML-Code gelang es einem Sicherheitsforscher, gängige Filtermechanismen zu umgehen. Betroffen waren zwei Javascript-Bibliotheken und die Google-Suche.

    02.04.20199 Kommentare
  16. Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

    Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

    Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

    02.04.201920 Kommentare
  17. BeA: Anwaltspostfach wird neu ausgeschrieben

    BeA: Anwaltspostfach wird neu ausgeschrieben

    Die Bundesrechtsanwaltskammer sucht einen neuen Betreiber für das von Sicherheitspannen geplagte besondere elektronische Anwaltspostfach. Die Verträge mit dem bisherigen Betreiber Atos laufen 2019 aus.

    02.04.201922 Kommentare
  18. Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

    Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

    Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

    29.03.201914 Kommentare
  19. DNS: Any-Anfragen müssen nicht mehr beantwortet werden

    DNS: Any-Anfragen müssen nicht mehr beantwortet werden

    Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

    19.03.20194 Kommentare
  20. SSH-Software: Kritische Sicherheitslücken in Putty

    SSH-Software : Kritische Sicherheitslücken in Putty

    In der SSH-Software Putty sind im Rahmen eines von der EU finanzierten Bug-Bounty-Programms mehrere schwerwiegende Sicherheitslücken entdeckt worden. Der verwundbare Code wird auch von anderen Projekten wie Filezilla und WinSCP verwendet.

    18.03.201972 KommentareVideo
  21. Verschlüsselung: Die meisten Nutzer brauchen kein VPN

    Verschlüsselung: Die meisten Nutzer brauchen kein VPN

    VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
    Eine Analyse von Hanno Böck

    14.03.2019175 Kommentare
  22. Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

    Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

    Viele TLS-Zertifikate wurden nicht nach den geltenden Regeln ausgestellt. Sie müssten eine zufällige 64-Bit-Seriennummer haben, es sind aber real nur 63 Bit. Ein Risiko ist praktisch nicht vorhanden, trotzdem müssen die Zertifikate zurückgezogen werden.

    13.03.201913 Kommentare
  23. Sicherheitslücke: Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

    Sicherheitslücke : Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

    Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

    12.03.201916 Kommentare
  24. Übernahme: F5 kauft Firma hinter Nginx-Webserver

    Übernahme: F5 kauft Firma hinter Nginx-Webserver

    Für 670 Millionen Dollar übernimmt F5, ein Hersteller von Netzwerkhardware, die Firma hinter dem freien Webserver Nginx. Mit Nginx wird nach Schätzungen etwa ein Viertel aller Webseiten betrieben.

    12.03.20195 Kommentare
  25. Sicherheitsupdate: Chrome-Schwachstelle wird aktiv genutzt

    Sicherheitsupdate: Chrome-Schwachstelle wird aktiv genutzt

    Google hat in Chrome eine "echte Zeroday-Chain", also eine bislang unbekannte Sicherheitslücke gefunden. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich ein Update aufspielen.

    06.03.201916 Kommentare
  26. Ölförderung: Wie Google, Amazon und Microsoft das Klima anheizen

    Ölförderung: Wie Google, Amazon und Microsoft das Klima anheizen

    Mehrere große IT-Konzerne haben in jüngerer Zeit Partnerschaften mit der Ölindustrie aufgebaut und tragen damit aktiv zur Klimakatastrophe bei. Dabei geben sie sich gerne als besonders umweltfreundlich und verantwortungsbewusst.
    Von Hanno Böck

    28.02.2019179 Kommentare
  27. Thunderclap: Thunderbolt-Anschlüsse erlauben Angriffe auf Arbeitsspeicher

    Thunderclap: Thunderbolt-Anschlüsse erlauben Angriffe auf Arbeitsspeicher

    Durch Thunderbolt-Anschlüsse sind in modernen Laptops Angriffe auf den Speicher durch bösartige Hardware mittels DMA möglich. Verhindern soll das eine Technologie namens IOMMU, doch die ist oft abgeschaltet oder lässt sich umgehen.

    27.02.201917 Kommentare
  28. TLS: Immer wieder Padding Oracles

    TLS: Immer wieder Padding Oracles

    In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

    27.02.20190 Kommentare
Folgen Sie uns
       


Haben wir etwas übersehen?

E-Mail an news@golem.de



  1. Seite: 
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11. 10
  12. 11
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #