Hanno Böck, Hanno Böck
Hanno Böck

Hanno Böck

Hanno Böck schreibt seit 2013 für Golem.de, zuerst freiberuflich, seit 2019 festangestellt in Teilzeit. Seine Schwerpunkte sind IT-Sicherheit und Kryptographie. Er sucht gern selbst nach Sicherheitslücken und hat bereits mehrfach Schwächen in TLS-Implementierungen aufgedeckt. Außerdem interessiert er sich für freie Software, die Wissenschaft und deren Schwächen sowie die Herausforderungen des Klimawandels.

Folgen auf Twitter (@hanno)
Webseite: hboeck.de

Artikel
  1. Golem Akademie: "IT-Sicherheit für Webentwickler" als Live-Webinar

    Golem Akademie: "IT-Sicherheit für Webentwickler" als Live-Webinar

    Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Webinar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

    30.03.20200 Kommentare
  2. Investitionsbank Berlin: Antragsunterlagen für Corona-Hilfen falsch zugestellt

    Investitionsbank Berlin: Antragsunterlagen für Corona-Hilfen falsch zugestellt

    Die Investitionsbank stellt Hilfen für Unternehmen bereit, die durch die Coronavirus-Pandemie in eine schwierige finanzielle Lage kommen - und hat dabei eine größere Datenschutzpanne verursacht.

    28.03.20202 Kommentare
  3. Adobe-Fontbibliothek: Font-Sicherheitslücke in Windows ohne Fix

    Adobe-Fontbibliothek: Font-Sicherheitslücke in Windows ohne Fix

    Eine Windows-Sicherheitslücke wird bereits angegriffen. Microsoft beschreibt verschiedene Workarounds.

    24.03.20206 Kommentare
  4. Homeoffice: Videokonferenzen auf eigenen Servern mit Jitsi Meet

    Homeoffice: Videokonferenzen auf eigenen Servern mit Jitsi Meet

    Wegen der Coronavirus-Pandemie sind Videokonferenzen angesagt. Eine eigene Instanz der freien Videokonferenz-Software Jitsi Meet ist innerhalb von wenigen Minuten lauffähig, Golem.de stellt eine bereit.
    Eine Anleitung von Hanno Böck

    16.03.202037 KommentareVideo
  5. Remote Code Execution: Sicherheitslücke in Windows 10 geleakt

    Remote Code Execution : Sicherheitslücke in Windows 10 geleakt

    Microsoft hat einen Patch für eine gefährliche Lücke im SMBv3-Protokoll veröffentlicht. Dieser sollte schnell eingespielt werden.

    11.03.202028 Kommentare
Stellenmarkt
  1. Brückner Maschinenbau GmbH & Co. KG, Siegsdorf
  2. über duerenhoff GmbH, Raum Dortmund
  3. Campact e.V., deutschlandweit (Remote-Arbeitsplatz)
  4. Wissner Gesellschaft für Maschinenbau mbH, Göttingen


  1. Google Chrome: ARD-Podcast bleibt stumm

    Google Chrome: ARD-Podcast bleibt stumm

    Chrome blockiert in der aktuellen Version unverschlüsselte Inhalte auf HTTPS-Webseiten.

    10.03.20207 Kommentare
  2. CAA-Fehler: Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen

    CAA-Fehler: Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen

    Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

    05.03.202013 Kommentare
  3. TLS: Let's Encrypt muss drei Millionen Zertifikate zurückziehen

    TLS: Let's Encrypt muss drei Millionen Zertifikate zurückziehen

    Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.

    03.03.202040 Kommentare
  4. Password-Leak-Checker: Have I Been Pwned? wird doch nicht verkauft

    Password-Leak-Checker: Have I Been Pwned? wird doch nicht verkauft

    Troy Hunt wollte seinen Passwort-Leak-Checker Have I been Pwned? verkaufen. Doch nach einem für Hunt frustrierenden Prozess entschied er sich letztendlich, das Projekt nun doch unabhängig selbst weiterzubetreiben.

    03.03.20206 Kommentare
  5. Golem Akademie: IT-Sicherheit für Webentwickler

    Golem Akademie: IT-Sicherheit für Webentwickler

    Welches sind die häufigsten Sicherheitslücken im Web, wie können sie ausgenutzt werden - und wie können Webentwickler ihnen begegnen? Diese Fragen beantwortet der Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck in einem Workshop Ende März.

    28.02.20202 Kommentare
  1. Behördenwebseiten: Corona-Informationen laden nur langsam

    Behördenwebseiten: Corona-Informationen laden nur langsam

    Viele Bürger wollen sich zur Zeit bei Behörden über die aktuellen Coronavirus-Erkrankungen informieren. Doch wer sich beim Gesundheitsministerium, beim Robert-Koch-Institut oder bei anderen Verantwortlichen erkundigen will, stellt fest: Deren Webseiten laden nur langsam und teilweise gar nicht.

    26.02.2020106 Kommentare
  2. Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke

    Google Pay : Paypal wusste seit einem Jahr von Sicherheitslücke

    Eine Sicherheitsfirma hat im Februar 2019 ein Sicherheitsproblem im Zusammenspiel von Google Pay und Paypal gefunden und an Paypal gemeldet. Jetzt wird das Problem offenbar von Kriminellen ausgenutzt.

    25.02.202095 Kommentare
  3. Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich

    Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich

    Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
    Ein IMHO von Hanno Böck

    19.02.2020230 KommentareVideo
  1. Jeff Bezos: Amazon-Chef spendet fürs Klima

    Jeff Bezos: Amazon-Chef spendet fürs Klima

    Amazon-Chef Jeff Bezos kündigt an, 10 Milliarden US-Dollar an Projekte zu spenden, die den Klimaschutz voranbringen. Kritiker merken an, dass Amazon seine Geschäfte mit der fossilen Industrie immer weiter ausbaut und sogar Klimawandelleugner mitfinanziert.

    18.02.20205 Kommentare
  2. Sicherheitslücke: Wordpress-Plugin Themegrill löscht Datenbank

    Sicherheitslücke : Wordpress-Plugin Themegrill löscht Datenbank

    Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

    18.02.202019 Kommentare
  3. Alphakanal: Gimp verrät Geheimnisse in Bildern

    Alphakanal: Gimp verrät Geheimnisse in Bildern

    Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.

    14.02.2020264 KommentareVideo
  1. Google Fotos: Google exportierte fremde Privatvideos

    Google Fotos: Google exportierte fremde Privatvideos

    Für einen kurzen Zeitraum im November hat ein Bug bei Google Fotos dafür gesorgt, dass beim Export der persönlichen Daten Videos vertauscht wurden. Einige Nutzer erhielten Zugriff auf die Privatvideos von anderen.

    04.02.202011 Kommentare
  2. Ölindustrie: Der große Haken an Microsofts Klimaplänen

    Ölindustrie: Der große Haken an Microsofts Klimaplänen

    Microsoft verkündet einen ambitionierten Plan, um das Unternehmen klimaneutral zu machen. Vieles darin klingt gut, aber es gibt einen großen Haken: Microsofts gute Geschäfte mit der Ölindustrie sollen weitergehen.
    Eine Analyse von Hanno Böck

    24.01.202058 Kommentare
  3. Patch Tuesday: Windows patzt bei Zertifikatsprüfung

    Patch Tuesday: Windows patzt bei Zertifikatsprüfung

    Eine Lücke in der Zertifikatsvalidierung von Windows ermöglicht es, die Codesignaturprüfung auszutricksen und TLS-Verbindungen anzugreifen. Zudem gibt es eine Sicherheitslücke im Remote Desktop Gateway.

    14.01.20208 Kommentare
  1. Shitrix: Das Citrix-Desaster

    Shitrix: Das Citrix-Desaster

    Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
    Ein IMHO von Hanno Böck

    14.01.2020126 Kommentare
  2. Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

    09.01.20207 Kommentare
  3. Sirrix: Urheber des BSI-Audits entwickelten Truecrypt-Abspaltung

    Sirrix: Urheber des BSI-Audits entwickelten Truecrypt-Abspaltung

    Der Truecrypt-Audit des BSI, über den wir gestern berichtet hatten, stammte von den Firmen Sirrix - heute Rohde und Schwarz - und Escrypt. Sirrix entwickelte daraufhin einen Fork namens TrustedDisk, der als Open Source veröffentlicht werden sollte - was nie passiert ist.
    Ein Bericht von Hanno Böck

    18.12.201930 Kommentare
  1. Encryption software: German BSI withholds Truecrypt security report

    Encryption software : German BSI withholds Truecrypt security report

    The German Federal Office for Information Security has created a detailed analysis of the software Truecrypt in 2010. The results ended up in the drawer, the public was not informed about the found security risks.

    16.12.20194 Kommentare
  2. Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme

    Verschlüsselungssoftware : BSI verschweigt Truecrypt-Sicherheitsprobleme

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.
    Ein Bericht von Hanno Böck

    16.12.201981 Kommentare
  3. Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt

    Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt

    In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.
    Ein Bericht von Hanno Böck

    10.12.201967 KommentareVideo
  4. RSA-240: Faktorisierungserfolg gefährdet RSA nicht

    RSA-240: Faktorisierungserfolg gefährdet RSA nicht

    Forscher haben auf einem Rechencluster eine 795 Bit große Zahl faktorisiert. Das RSA-Verschlüsselungs- und Signaturverfahren basiert darauf, dass Faktorisierung schwierig ist. Für die praktische Sicherheit von RSA mit modernen Schlüssellängen hat dieser Durchbruch heute aber wenig Bedeutung.

    04.12.20191 Kommentar
  5. Sendmail: Software aus der digitalen Steinzeit

    Sendmail: Software aus der digitalen Steinzeit

    Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
    Eine Analyse von Hanno Böck

    03.12.2019111 Kommentare
  6. Elasticsearch: Datenleak bei Conrad

    Elasticsearch: Datenleak bei Conrad

    Der Elektronikhändler Conrad meldet, dass ein Angreifer Zugang zu Kundendaten und Kontonummern gehabt habe. Grund dafür war eine ungesicherte Elasticsearch-Datenbank.

    19.11.201942 Kommentare
  7. Anwaltsgerichtshof: Keine Ende-zu-Ende-Verschlüsselung fürs Anwaltspostfach

    Anwaltsgerichtshof: Keine Ende-zu-Ende-Verschlüsselung fürs Anwaltspostfach

    Eine Klage von Rechtsanwälten, die fordern, dass im besonderen elektronischen Anwaltspostfach (BeA) eine Ende-zu-Ende-Verschlüsselung umgesetzt wird, ist vorerst gescheitert. Der Anwaltsgerichtshof mochte den Argumenten der Kläger nicht folgen, eine Revision ist aber möglich.

    14.11.20198 Kommentare
  8. TPM-Fail: Schlüssel aus TPM-Chips lassen sich extrahieren

    TPM-Fail: Schlüssel aus TPM-Chips lassen sich extrahieren

    Mit einem Timing-Angriff lassen sich Signaturschlüssel auf Basis elliptischer Kurven aus TPM-Chips extrahieren. Mal wieder scheiterten Zertifizierungen daran, diese Fehler frühzeitig zu finden.

    13.11.201912 Kommentare
  9. Cache-Partitionierung: Javascript selber zu hosten, lohnt sich bald mehr

    Cache-Partitionierung: Javascript selber zu hosten, lohnt sich bald mehr

    Aus Sicherheitsgründen planen mehrere Browserhersteller, künftig ihre Caches nach Webseiten zu trennen. Das Laden von Resourcen über CDN-Netze lohnt sich danach nicht mehr.

    05.11.201972 Kommentare
  10. Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

    Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

    Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.
    Eine Exklusiv-Meldung von Hanno Böck

    30.10.20192 Kommentare
  11. CPDoS-Angriff: Cache-Angriffe können Webseiten lahmlegen

    CPDoS-Angriff: Cache-Angriffe können Webseiten lahmlegen

    Manche HTTP-Caches können dazu gebracht werden, Serverfehlermeldungen zu speichern, die sich durch bestimmte Anfragen auslösen lassen. Das funktioniert beispielsweise mit besonders langen Headern.
    Von Hanno Böck

    23.10.20192 Kommentare
  12. VPN-Anbieter: Server von VikingVPN und Torguard gehackt

    VPN-Anbieter: Server von VikingVPN und Torguard gehackt

    Neben NordVPN wurden offenbar bei zwei weiteren VPN-Anbietern Server gehackt. Das geht aus einem alten Thread bei 8chan hervor. Zum NordVPN-Hack sind nun weitere Details bekannt.

    22.10.20199 Kommentare
  13. Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

    Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

    21.10.201914 Kommentare
  14. Leak: NordVPN wurde gehackt

    Leak: NordVPN wurde gehackt

    Beim VPN-Anbieter NordVPN gab es offenbar vor einiger Zeit einen Zwischenfall, bei dem ein Angreifer Zugriff auf die Server und private Schlüssel hatte. Drei private Schlüssel tauchten im Netz auf, einer davon gehörte zu einem inzwischen abgelaufenen HTTPS-Zertifikat.

    21.10.201992 Kommentare
  15. Mailinglisten: Yahoo Groups wird deutlich eingeschränkt

    Mailinglisten: Yahoo Groups wird deutlich eingeschränkt

    Mit kurzer Vorwarnzeit wird der Service Yahoo Groups massiv eingeschränkt. Bald können keine neuen Dateien mehr hochgeladen werden, bestehende Daten werden größtenteils im Dezember gelöscht.

    18.10.20193 Kommentare
  16. Wework: Meetup will Geld von Teilnehmern

    Wework: Meetup will Geld von Teilnehmern

    Meetup ändert seine Preisstruktur und dürfte damit viele Nutzer verärgern. Künftig sollen Teilnehmer eine Gebühr von 2 US-Dollar zahlen. Bisher funktionierte Meetup so, dass nur Organisatoren zahlen mussten.

    15.10.201916 Kommentare
  17. Australien: IT-Sicherheitskonferenz Cybercon lädt Sprecher aus

    Australien: IT-Sicherheitskonferenz Cybercon lädt Sprecher aus

    Eine australische Konferenz lädt zwei Sprecher aus und fordert Änderungen an Vorträgen - auf Bitten der australischen IT-Sicherheitsbehörde, die eng mit den dortigen Geheimdiensten verflochten ist.

    10.10.201919 Kommentare
  18. Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern

    Android-Messenger: Signal-Sicherheitslücke erlaubt Belauschen von Nutzern

    Ein Fehler in Signal ermöglicht es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss. Damit könnten Personen belauscht werden. Ein Update steht bereit.

    05.10.201917 Kommentare
  19. Elliptische Kurven: Minerva-Angriff zielt auf zertifizierte Krypto-Chips

    Elliptische Kurven: Minerva-Angriff zielt auf zertifizierte Krypto-Chips

    Forscher konnten zeigen, wie sie mit einem Timing-Angriff die privaten Schlüssel von Signaturen mit elliptischen Kurven auslesen konnten. Verwundbar sind Chips, deren Sicherheit eigentlich zertifiziert wurde.

    04.10.20193 Kommentare
  20. Linux-Kernel: Android-Bug wird von NSO Group angegriffen

    Linux-Kernel: Android-Bug wird von NSO Group angegriffen

    Googles Project Zero berichtet über einen Bug im Linux-Kernel, mit dem sich Android-Telefone angreifen lassen. Laut Google wird offenbar ein Exploit für den Bug bereits aktiv ausgenutzt. Pikant: Gefunden wurde der Bug bereits 2017 - von Google selbst.

    04.10.20195 Kommentare
  21. Sicherheitslücke: Angreifer können verschlüsselte PDF-Daten leaken

    Sicherheitslücke: Angreifer können verschlüsselte PDF-Daten leaken

    Passwortgeschützte PDF-Dateien bieten wenig Sicherheit. Ein Angreifer, der die Dateien manipulieren kann, kann dafür sorgen, dass deren Inhalt geleakt wird. Abhilfe gibt es nicht, dafür müsste das Dateiformat geändert werden.

    30.09.20194 Kommentare
  22. Fridays for Future: Klimastreiks online und offline

    Fridays for Future: Klimastreiks online und offline

    Am morgigen Freitag finden nicht nur weltweit Protestaktionen für ernsthaften Klimaschutz statt, auch zahlreiche Webseiten wollen für den Klimastreiktag abschalten.

    19.09.2019113 Kommentare
  23. Kryptomining: Wie Bitcoin die Klimakrise anheizt

    Kryptomining: Wie Bitcoin die Klimakrise anheizt

    Die Kryptowährung Bitcoin baut darauf, dass Miner darum konkurrieren, wer Rechenaufgaben am schnellsten löst. Das braucht viel Strom - und führt dazu, dass Bitcoin mindestens so viel Kohlendioxid produziert wie ein kleines Land. Besserung ist derzeit nicht in Sicht.
    Von Hanno Böck

    18.09.2019242 Kommentare
  24. Linux-Kernel: Bootprobleme wegen fehlender Zufallszahlen

    Linux-Kernel: Bootprobleme wegen fehlender Zufallszahlen

    Eine Optimierung bei Dateisystemoperationen im Linux-Kernel führt zu blockierten Bootvorgängen auf manchen Systemen. Schuld daran sind Userspace-Programme, die zuverlässige Zufallsdaten wollen, bevor diese bereitstehen.

    17.09.201911 Kommentare
  25. OpenDMARC: Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix

    OpenDMARC: Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix

    Mitarbeiter von Protonmail haben in OpenDMARC eine Sicherheitslücke entdeckt, mit der sich die Signaturprüfung austricksen lässt. Angreifer haben die Lücke bereits für Phishingangriffe gegen Journalisten genutzt. OpenDMARC wird offenbar nicht weiterentwickelt und es gibt kein Update.

    11.09.20196 Kommentare
  26. Buffer Overflow: Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen

    Buffer Overflow: Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen

    Im Mailserver Exim wurde eine Sicherheitslücke gefunden, die Angreifern das Ausführen von Code ermöglicht. Ein Update steht bereit.

    06.09.20190 Kommentare
  27. Android: Facebook-App sammelt Daten über Android-Bibliotheken

    Android: Facebook-App sammelt Daten über Android-Bibliotheken

    Die Android-App von Facebook sammelt Daten über die Bibliotheken des Betriebssystems und lädt diese teilweise auf einen Server hoch. Facebook will dazu nichts sagen.

    03.09.201935 Kommentare
  28. Malware: Zero-Day-Angriffe auf iPhone-Nutzer

    Malware: Zero-Day-Angriffe auf iPhone-Nutzer

    Google deckt eine große Malware-Kampagne auf, bei der Nutzer von iPhones durch gehackte Webseiten angegriffen wurden. Dabei kamen auch sogenannte Zero Days zum Einsatz, also Sicherheitslücken, für die zum Zeitpunkt ihres Einsatzes noch kein Fix bereitstand.

    30.08.201949 Kommentare
Folgen Sie uns
       


Haben wir etwas übersehen?

E-Mail an news@golem.de



  1. Seite: 
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11. 10
  12. 11
  13. 12
  14. 13
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #