Hanno Böck

Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen. (Bild: Leo Johannes, Christian Mehlführer, Wikimedia Commons) (Leo Johannes, Christian Mehlführer, Wikimedia Commons)

MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus

Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

4 Kommentare

Panne bei der Serverinstallation: Viele Hetzner-Server nutzen identische Ed25519-SSH-Keys. (Bild: Hetzner) (Hetzner)

Ed25519: Mehrfach genutzte SSH-Keys auf Hetzner-Servern

Auf den Installationsimages für Server der Firma Hetzner fanden sich für mehrere Monate vorinstallierte SSH-Keys. Die betroffenen Server sind somit für Man-in-the-Middle-Angriffe anfällig.

24 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Microsoft Copilot im Unternehmen implementieren: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Microsoft Power Platform: Power Apps Grundkurs - mühelos professionelle Apps erstellen (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Mitarbeiter*in eAkte/DMS-Umsetzung (m/w/d) Hochschule Hamm-Lippstadt, Lippstadt (öffnet im neuen Fenster)

Requirements Engineer (m/w/d) Arbeits- und Servicestelle für Internationale Studienbewerbungen (uni-assist) e.V., Berlin (öffnet im neuen Fenster)

Fachreferent/-in (w/m/d) Digitale Versorgungsprozesse KBV Kassenärztliche Bundesvereinigung, Berlin (öffnet im neuen Fenster)

Teamleitung eXtended Environments (all genders) Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart (öffnet im neuen Fenster)

DevOps Engineer für Containertechnologien (m/w/d) Deutsche Rentenversicherung Bund, Berlin (öffnet im neuen Fenster)

Lernbegleiter:in / Trainer:in für SPS-Programmierung (m/w/d) WBS TRAINING AG, (öffnet im neuen Fenster)

IT-Sicherheitsbeauftragter (m/w/d) Medizinischer Dienst Mecklenburg-Vorpommern Körperschaft des öffentlichen Rechts, Schwerin (öffnet im neuen Fenster)

Systemingenieur Avionics (w/m/d) Hensoldt, Immenstaad (öffnet im neuen Fenster)

In Juniper-Firewalls wurden Hintertüren gefunden - die Details geben weitere Rätsel auf. (Bild: LPS.1 / Wikimedia Commons) (LPS.1 / Wikimedia Commons)

Dual EC DRBG: Die Hintertüren in Juniper-Firewalls

Eine der in Juniper-Firewalls gefundenen Hintertüren nutzt offenbar einen Zufallszahlengenerator, der mutmaßlich von der NSA kompromittiert ist. Bei der Analyse der Änderungen gibt es Hinweise, dass hier mehrere Akteure am Werk waren - und dass die Hintertür gar nicht wirklich geschlossen worden ist.

6 Kommentare

Sind Appliances von Fireeye ein Sicherheitsrisiko? Die Scan-Architektur scheint einige Mängel zu haben. (Bild: Fireeye) (Fireeye)

Project Zero: Fireeye-Appliances lassen sich mittels Java-Datei übernehmen

Eine schwerwiegende Sicherheitslücke in Fireeye-Geräten haben Mitglieder von Googles Project Zero aufgedeckt. Ein Parser für Java-Dateien führt Code aus, um Obfuscation-Techniken zu umgehen.

4 Kommentare

Schon wieder Ärger mit Zertifikaten auf Lenovo-Laptops (Bild: Bfishadow/Flickr) (Bfishadow/Flickr)

Lenovo/CSR: Bluetooth-Treiber installiert Root-Zertifikat

Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

4 Kommentare

Alle Browser willkommen - Cloudflare und Facebook wollen Nutzern mit alten Geräten weiterhin den Zugriff ermöglichen. (Bild: Cloudflare) (Cloudflare)

HTTPS: Cloudflare und Facebook wollen SHA1 weiternutzen

Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.

2 Kommentare

Vodafones neuer E-Mail-Dienst Secure-E-Mail verwendet offenbar selbstgebaute Kryptolösungen. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

"Bau keine eigenen Protokolle": Vodafone verletzt mit Secure E-Mail die erste Kryptoregel

Update Vodafones neuer E-Mail-Dienst Secure E-Mail soll den Austausch verschlüsselter E-Mails kinderleicht machen. Das Unternehmen macht jedoch in seiner Ankündigung kaum Angaben zur Sicherheit der verwendeten Verfahren. Deshalb haben wir nachgefragt - und sind verwirrt.

78 Kommentare / Von Hanno Böck,Hauke Gierow

Wird im kasachstanischen Präsidentenpalast eine Totalüberwachung des verschlüsselten Internets geplant? (Bild: Hanno Böck) (Hanno Böck)

Kasachstan: Man-in-the-Middle-Angriff auf ein ganzes Land geplant?

Mit einem manuell zu installierenden TLS-Root-Zertifikat will Kasachstan offenbar alle verschlüsselten Verbindungen ins Ausland mitlesen: Das stand auf der Webseite des nationalen Telekom-Anbieters. Die Meldung ist wieder weg - die Pläne auch?

23 Kommentare

E-Learning: Exklusiv: Ethical Hacking: Schwachstellen in Webanwendungen und Datenbanken (E-Learning)

zum Kurs

E-Learning: Exklusiv: Ethical Hacking: Strategien für Plattform und Systemsicherheit (E-Learning)

zum Kurs

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: Source Code Management und CI / CD: virtueller Drei-Tage-Workshop

zum Kurs

Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons) (Wistula, Wikimedia Commons)

Dell Foundation Services: Dell-Fix macht alles noch schlimmer

Eigentlich sollte sie eine Sicherheitslücke schließen: Mit der neuen Version der Dell Foundation Services können über das Netz Informationen über die Hardware, laufende Prozesse, Metadaten von Dateien und vieles mehr ausgelesen werden.

10 Kommentare

Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind. (Bild: Flickr) (Flickr)

Dell-Probleme: Service-Tag ermöglicht Tracking von Dell-Nutzern

Auf die gefährlichen Root-Zertifikate hat Dell inzwischen reagiert, doch zu einer weiteren Sicherheitslücke in vorinstallierter Dell-Software ist die Informationslage ausgesprochen verwirrend: Die Dell Foundation Services erlauben eine eindeutige Identifizierung von Dell-Nutzern.

15 Kommentare

Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind (Bild: Telekom) (Telekom)

HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys

Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.

16 Kommentare

Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco) (Utimaco)

Verschlüsselung: Punkte auf der falschen elliptischen Kurve

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

5 Kommentare

Ein weiteres gefährliches Root-Zertifikat ist auf Dell-Laptops zu finden. (Bild: Dell Inc./ Wikimedia Commons) (Dell Inc./ Wikimedia Commons)

HTTPS-Verschlüsselung: Noch ein gefährliches Dell-Zertifikat

Offenbar gibt es eine weitere von Dell bereitgestellte Software, die ein Root-Zertifikat samt privatem Schlüssel installiert. Das Tool namens Dell System Detect ist schon früher als Sicherheitsrisiko aufgefallen.

6 Kommentare

Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons) (Jjpwiki/Wikimedia Commons)

Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Update Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

64 Kommentare

Ein eigenes OS - und ein eigener Computer (Bild: André Fachat / Montage: Golem.de) (André Fachat / Montage: Golem.de)

Podcast Besser Wissen: Unix auf dem 6502?

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Ein Tool zum Testen zahlreicher Schwachstellen von XML-Verschlüsselungsimplementierungen. (Bild: Juraj Somorovsky) (Juraj Somorovsky)

Sicherheitslücken: XML-Verschlüsselung mit vielen Fallstricken

Zahlreiche Sicherheitslücken plagen die Standards zum Verschlüsseln und Signieren von XML-Daten. Obwohl die Lücken schon viele Jahre bekannt sind, finden sich nach wie vor viele verwundbare Produkte.

11 Kommentare

Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr. (Bild: Usenix-Paper) (Usenix-Paper)

Websicherheit: Datenleck durch dynamische Skripte

Moderne Webseiten erstellen häufig dynamischen Javascript-Code. Wenn darin private Daten enthalten sind, können fremde Webseiten diese auslesen. Bei einer Untersuchung von Sicherheitsforschern war ein Drittel der untersuchten Webseiten von diesem Problem betroffen.

25 Kommentare

Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile. (Bild: Blue Coat) (Blue Coat)

ProxySG: Einblick ins Betriebssystem von Blue Coat

Der Sicherheitsforscher Raphaël Rigo hat sich das Betriebssystem von Geräten der Firma Blue Coat angesehen. Dem proprietären System fehlen moderne Sicherheitsmechanismen wie Stack Canaries oder ASLR.

2 Kommentare

Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento) (Magento)

Linux.Encoder.1: Ransomware greift Magento-Nutzer an

Eine Malware für Linux verschlüsselt zurzeit die Daten von Nutzern des Magento-Shopsystems. Für die Entschlüsselung sollen die Opfer zahlen, doch die Angreifer haben geschlampt: Die Verschlüsselung lässt sich knacken.

7 Kommentare

Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany) (E-Mail Made in Germany)

Verschlüsselung: Riskantes Login bei E-Mail made in Germany

Alles wird verschlüsselt übertragen, behaupten GMX, Web.de, T-Online und Freenet in ihrer Kampagne "E-Mail made in Germany". Doch die Verschlüsselung hat eine Lücke.

160 Kommentare / Von Hanno Böck

Tut das Xen-Projekt zu wenig in Sachen Sicherheit? Das finden zumindest die Entwickler von Qubes. (Bild: Xen) (Xen)

Pagetable-Sicherheitslücke: Ausbruch aus dem virtuellen Xen-Käfig

Eine Lücke im Xen-Hypervisor erlaubt einem Gastsystem, die Kontrolle über das komplette Host-System zu übernehmen. Hierfür wird die Speicherverwaltung ausgetrickst. Die Entwickler der Qubes-Distribution üben heftige Kritik an Xen.

3 Kommentare

Symantec stellte unberechtigterweise Tausende Zertifikate aus - Google hat dafür wenig Verständnis. (Bild: LPS.1/Wikimedia Commons) (LPS.1/Wikimedia Commons)

TLS-Zertifikate: Google greift gegen Symantec durch

Symantec hatte im September mehrere Tausend unberechtigte TLS-Zertifikate ausgestellt, verschweigt aber zunächst das Ausmaß des Vorfalls. Google zeigt dafür wenig Verständnis und stellt einige Bedingungen für den Verbleib der Symantec-Rootzertifikate im Chrome-Browser.

13 Kommentare

Den Tor-Browser gibt's bald auch in einer gehärteten Version. (Bild: Tor) (Tor)

Address Sanitizer: Tor-Browser mit besserem Schutz vor Sicherheitslücken

Die Tor-Entwickler wollen bald eine gehärtete Version ihres Browser-Bundles für Linux veröffentlichen. Dabei kommt Address Sanitizer zum Einsatz. Dieses Feature verhindert zahlreiche Sicherheitslücken, allerdings um den Preis erheblicher Performanceeinbußen.

11 Kommentare

Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist. (Bild: Elliot Bennett, Wikimedia Commons) (Elliot Bennett, Wikimedia Commons)

Zeitserver: Neue Angriffe auf das Network Time Protocol

Ein Forscherteam der Universität Boston präsentiert neue Angriffe gegen NTP, dem Protokoll zum Setzen der Systemzeit übers Netz. Mittels gespoofter Pakete können NTP-Clients faktisch abgeschaltet und in seltenen Fällen auch mit einer falschen Systemzeit manipuliert werden.

2 Kommentare

Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google) (Google)

Certificate Transparency: Symantec stellt falsches Google-Zertifikat aus

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

47 Kommentare

"Zensiert" hieß es auf einigen der Folien in einer Präsentation über Fireeye-Sicherheitslücken. (Bild: ERNW) (ERNW)

Einstweilige Verfügung: Fireeye geht juristisch gegen Sicherheitsforscher vor

Ein Team von Sicherheitsforschern wollte auf einer Konferenz über Sicherheitslücken in Fireeye-Produkten berichten. Fireeye sah durch die Präsentation Geschäftsgeheimnisse bedroht und hat eine einstweilige Verfügung erwirkt.

54 Kommentare / Von Hanno Böck

Das PQCRYPTO-Forschungsprojekt sucht nach den Verschlüsselungsalgorithmen der Zukunft - und hat erste Empfehlungen. (Bild: PQCRYPTO) (PQCRYPTO)

Quantencomputer: Erste Empfehlungen für Post-Quanten-Kryptographie

Im Rahmen eines EU-Forschungsprojekts wurden jetzt erste Empfehlungen für kryptographische Algorithmen vorgelegt, die Schutz vor Quantencomputern bieten. Diese bieten zwar ein hohes Sicherheitsniveau, sie sind aber in vielen Fällen unpraktikabel.

10 Kommentare

Mit Bugzilla verwalten Mozilla und viele andere Projekte ihre Bugreports - auch solche mit Informationen über Sicherheitslücken. (Bild: Bugzilla) (Bugzilla)

Firefox-Sicherheitslücken: Angreifer hatte Zugriff auf Mozilla-Bugtracker

Ein priviligierter Account für den Mozilla-Bugtracker ist unter der Kontrolle eines Angreifers gewesen. Dadurch gelang es diesem, Informationen über noch nicht behobene Sicherheitslücken in Firefox zu erhalten.

12 Kommentare

Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone) (Hillstone)

RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

9 Kommentare

Beim Schlüsselaustausch mit dem statischen Diffie-Hellman-Verfahren kann manches schiefgehen. (Bild: Nopetro~commonswiki/Wikimedia-Commons/CC by-sa 3.0) (Nopetro~commonswiki/Wikimedia-Commons/CC by-sa 3.0)

Schlüsselaustausch: KCI-Angriff auf TLS missbraucht Clientzertifikate

Ein komplexer Angriff nutzt eine trickreiche Kombination aus Clientzertifikaten und einem statischen Diffie-Hellman-Schlüsselaustausch. Der Angriff ist nur in sehr speziellen Situationen relevant, doch es zeigt sich wieder einmal, dass das TLS-Protokoll selbst Sicherheitslücken hat.

3 Kommentare

Eine Zweit-URL neben der Haupt-URL - Dan Kaminskys Vorschlag für interaktive Iframes (Bild: Dan Kaminsky) (Dan Kaminsky)

Clickjacking: Mehr Web-Usability durch sichtbare Iframes

Def Con 23 Der Sicherheitsforscher Dan Kaminsky schlägt einen neuen Standard vor, mit dem Webseiten in Iframes kontrollieren können, ob sie gerade sichtbar sind. Viele unelegante Lösungen, die wegen sogenannter Clickjacking-Angriffe nötig sind, wären damit vermeidbar.

24 Kommentare

Bitcoin-Diebe klauen offenbar systematisch aus Brainwallets mit schwachen Passwörtern. (Bild: Isokivi/Wikimedia Commons/CC by-sa 3.0) (Isokivi/Wikimedia Commons/CC by-sa 3.0)

Def Con: Bitcoin-Brainwallets werden professionell bestohlen

Def Con 23 Sogenannte Brainwallets für Bitcoins, bei denen der Key aus einem Passwort generiert wird, lassen sich leicht angreifen. Offenbar gibt es eine Reihe von Kriminellen, die systematisch nach verwundbaren Brainwallets suchen.

17 Kommentare

Cory Doctorow hofft auf ein Ende von DRM-Technologien. (Bild: Meet the Media Guru / flickr / CC by-sa 2.0) (Meet the Media Guru / flickr / CC by-sa 2.0)

Def Con: Cory Doctorow hofft auf Ende von digitalem Rechtemanagement

Def Con 23 Kaffeemaschinen, die Kapseln von Drittherstellern ablehnen, und Druckerpatronen, bei denen ein Chip das Nachfüllen verhindert, sind nur zwei Beispiele für Geräte mit Digitalem Rechtemanagement. Science-Fiction-Autor Cory Doctorow warnt auf der Def Con vor den Risiken für die IT-Sicherheit durch DRM.

16 Kommentare

Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Kryptographie: Rechenfehler mit großen Zahlen

Black Hat 2015 Kryptographische Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. Immer wieder werden Fehler in den entsprechenden Bibliotheken gefunden. Diese können zu Sicherheitslücken werden.

24 Kommentare

BGP-Routing entscheidet, wie Pakete im Internet transportiert werden, es bietet jedoch kaum Sicherheit. (Bild: MelVic/Wikimedia Commons/CC by-sa 3.0) (MelVic/Wikimedia Commons/CC by-sa 3.0)

HTTPS: BGP-Angriff gefährdet TLS-Zertifikatssystem

Black Hat 2015 Auf der Black Hat weisen Sicherheitsforscher auf ein Problem mit TLS-Zertifizierungsstellen hin: Die Prüfung, wem eine Domain gehört, findet über ein ungesichertes Netz statt. Dieser Weg ist angreifbar - beispielsweise mittels des Routingprotokolls BGP.

4 Kommentare

Jennifer Granick während ihrer Black-Hat-Keynote (Bild: Reuters/Steve Marcus) (Reuters/Steve Marcus)

Security: Zurück zu den Hacker-Ursprüngen

Black Hat 2015 Wer moderne Technik zerlegt, um sie und damit die Welt verstehen zu können, macht sich strafbar. Dabei müsste das Hacken gefördert werden, sagt die Anwältin Jennifer Granick.

5 Kommentare

Mittels einer App lässt sich jetzt testen, ob das eigene Telefon für die Stagefright-Lücken anfällig ist. (Bild: Zimperium) (Zimperium)

Stagefright-Sicherheitslücke: Elf Wege, ein Android-System zu übernehmen

Black Hat 2015 Auf der Black-Hat-Konferenz hat Joshua Drake die Hintergründe zu den Stagefright-Sicherheitslücken erläutert. Über mindestens elf verschiedene Wege lässt sich ein Android-System seinem Vortrag zufolge angreifen. Fortschritte gibt es bei den Android-Updates.

40 Kommentare

Die Programmiersprache Crema verzichtet bewusst auf die sogenannte Turing-Vollständigkeit. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Crema: Eine Programmiersprache ohne Turing-Vollständigkeit

Black Hat 2015 Um Sicherheitsprobleme zu vermeiden, versucht die Programmiersprache Crema, viele problematische Dinge nicht zuzulassen. Crema verzichtet dabei bewusst auf die sogenannte Turing-Vollständigkeit, um die Analyse des Codes zu erleichtern.

46 Kommentare

Websicherheit: Riskante Git-Verzeichnisse

Viele Webseitenbetreiber nutzen das Versionsverwaltungssystem Git, um den Code ihrer Seite zu pflegen. Das kann zum Sicherheitsproblem werden, wenn die Git-Daten öffentlich abrufbar sind.

33 Kommentare

Fehler bei vielen Zugriffen im Arbeitsspeicher - der Rowhammer-Angriff könnte noch für viel Ärger sorgen. (Bild: Laserlicht/Wikimedia Commons/CC by-sa 3.0) (Laserlicht/Wikimedia Commons/CC by-sa 3.0)

Rowhammer: Speicher-Bitflips mittels Javascript

Fehlerhaft arbeitende Speicherchips sind möglicherweise ein größeres Sicherheitsrisiko als bisher gedacht. Einem Forscherteam ist es nun gelungen, einen sogenannten Rowhammer-Angriff mittels Javascript durchzuführen. Gegenmaßnahmen sind schwierig.

30 Kommentare

Wie sichert man Passwörter am besten ab? (Bild: Screenshot) (Screenshot)

Password Hashing Competition: Hashfunktion Argon2 gewinnt Wettbewerb

In einem Wettbewerb ist nach neuen Hashfunktionen gesucht worden, die sich für das Hashen von Passwörtern eignen. Jetzt steht der Gewinner fest: Argon2, entwickelt von einem Team an der Universität Luxemburg.

42 Kommentare

"Mace" heißt die jüngste in TLS-Implementierungen entdeckte, kritische Lücke. (Bild: Samuraiantiqueworld, Wikimedia Commons, CC by-sa 3.0) (Samuraiantiqueworld, Wikimedia Commons, CC by-sa 3.0)

Poodle-Nachspiel: Mace und weitere Lücken in TLS-Servern

Cisco, F5, Juniper, Fortinet: Ein Sicherheitsforscher hat eine Reihe von TLS-Servern entdeckt, die den sogenannten Message Authentication Code (MAC) von Verbindungen nicht prüfen. Andere Serverimplementierungen prüfen eine Checksumme am Ende des Handshakes nicht.

Kommentare

Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia) (Togaboy, Wikipedia)

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

5 Kommentare

American Fuzzy Lop ist der Name dieser Kaninchenart - und außerdem der Name eines sehr effektiven Fuzzing-Tools. (Bild: Lithonius/Wikimedia Commons) (Lithonius/Wikimedia Commons)

Fuzzing: Auf Fehlersuche mit American Fuzzy Lop

Programme testweise mit massenhaft fehlerhaften Daten zu füttern, ist eine effektive Methode, um Fehler zu finden. Das sogenannte Fuzzing ist schon seit Jahrzehnten bekannt, doch bessere Tools und einige spektakuläre Funde von Sicherheitslücken haben zuletzt das Interesse daran erneut geweckt.

8 Kommentare

DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile. (Bild: Oxfordian Kissuth/Wikimedia Commons/CC by-sa 3.0D) (Oxfordian Kissuth/Wikimedia Commons/CC by-sa 3.0D)

Protokoll: DNSSEC ist gescheitert

IMHO PR für ein totes Protokoll: Am heutigen 30. Juni wird der DNSSEC-Day begangen. Dabei ist das Protokoll in seiner heutigen Form nahezu nutzlos - und wird es wohl auch bleiben.

83 Kommentare / Von Hanno Böck

Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt. (Bild: Living in Monrovia/Wikimedia Commons/CC by-sa 2.0) (Living in Monrovia/Wikimedia Commons/CC by-sa 2.0)

Verschlüsselung: SSL Version 3 soll endgültig verschwinden

Seit der Poodle-Attacke ist klar, dass das uralte Protokoll SSL 3 nicht mehr sicher ist. Mit RFC 7568 gibt es jetzt ein offizielles Dokument, das den Einsatz des ursprünglich von Netscape entwickelten Verschlüsselungsprotokolls verbietet.

10 Kommentare

Samsung hat scheinbar aus dem Superfish-Debakel um Lenovo wenig gelernt. (Bild: Summ/Wikimedia Commons/CC by-sa 3.0) (Summ/Wikimedia Commons/CC by-sa 3.0)

Bloatware: Samsung deaktiviert Sicherheitsupdates von Windows

Update Nach Superfish das nächste Debakel mit vorinstallierter Software auf Windows-Laptops: Samsung liefert auf seinen Geräten ein Tool mit, das die automatische Update-Funktion von Windows deaktiviert.

117 Kommentare

Die Linksfraktion im Bundestag bemüht sich um Transparenz - die veröffentlichte Analyse überzeugt aber nicht vollständig. (Bild: linksfraktion.de) (linksfraktion.de)

Bundestag: Linksfraktion veröffentlicht Malware-Analyse

Die Linksfraktion veröffentlicht im Zusammenhang mit dem Bundestags-Hack eine Analyse von Malware, die auf ihren Servern gefunden wurde. Darin wird eine Verbindung zur russischen Organisation APT28 nahegelegt. Doch wirklich überzeugend sind die Belege dafür nicht.

11 Kommentare

Müssen viele Bilder in der Wikipedia künftig so aussehen? (Bild: Kham Tran / Wikimedia Commons / CC by-sa 3.0) (Kham Tran / Wikimedia Commons / CC by-sa 3.0)

EU-Urheberrecht: Wikipedia fürchtet Abschaffung der Panoramafreiheit

Mit einigen Änderungen hat der Rechtsausschuss des EU-Parlaments einen Entwurf für eine Evaluation des EU-Urheberrechts angenommen. Netzaktivisten sehen darin viele Fortschritte, aber die Wikipedia fürchtet um viele ihrer Bilder.

19 Kommentare

Googles Voice-Suche wird durch ein heruntergeladenes Binär-Modul realisiert. (Bild: Screenshot) (Screenshot)

Google Voice-Search: Chromium lädt heimlich Binärmodul nach

Ein Debian-Entwickler hat auf seinem System festgestellt, dass der freie Chromium-Browser im Hintergrund eine Erweiterung für eine Suchfunktion mit Spracherkennung herunterlädt. Automatisch aktiviert wird das Hotword-Modul allerdings nicht.

18 Kommentare

Kurse

Podcast Besser Wissen