Hanno Böck

E-Learning: Linux Administration: Sicherheit (E-Learning)

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

IT Netzwerk Architekt/Netzwerkadministrator (m/w/d) Vereinigte Hagelversicherung VVaG, Gießen,Homeoffice (öffnet im neuen Fenster)

Network Infrastructure Specialist - Cisco Nexus and Automation (w/m/d) Hensoldt, Taufkirchen,Immenstaad,Ulm (öffnet im neuen Fenster)

Systemingenieur im Bereich der Electronic Warfare Algorithmik Entwicklung (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

IT-Infrastrukturbetreuer (w/m/d) IT-Support - First & Second Level Sparkasse Hanau, Hanau (öffnet im neuen Fenster)

Leitung Hauptabteilung - Distribution, Daten und Publikumsprodukte ifp | Executive Search. Management Diagnostik., Köln (öffnet im neuen Fenster)

W2-Professur (m/w/d) am Fachbereich Informatik für das Lehrgebiet Informationsmanagement Hochschule Worms, Worms (öffnet im neuen Fenster)

Service Architects für Linux-basierte Systeme (m/w/d) Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen, Göttingen (öffnet im neuen Fenster)

Spezielle Empfängeradressen können im Exim-Mailserver zur Codeausführung genutzt werden. (Bild: Pexels) (Pexels)

Sicherheitslücke: Exim-Sicherheitslücke gefährlicher als gedacht

Eine Sicherheitslücke im Exim-Mailserver lässt sich auch übers Netz zur Codeausführung ausnutzen, der Angriff dauert aber in der Standardkonfiguration mehrere Tage. Lokal ist er trivial und emöglicht es Nutzern, Root-Rechte zu erlangen.

Sicherheitslücke: VIM-Modelines erlauben Codeausführung

Im Texteditor VIM wurde eine Sicherheitslücke gefunden, bei der ein speziell präpariertes Dokument Code ausführen kann. Die dafür genutzte Funktion der Modelines ist nur auf manchen Systemen aktiv.

Risiko für Exim-Mailserver-Betreiber: eine übers Netz ausnutzbare Sicherheitslücke, aber es gibt noch keine Details dazu (Bild: Dreamstime) (Dreamstime)

Exploit: Sicherheitslücke in Exim-Mailserver

Die Entwickler des Exim-Mailservers informieren über eine Sicherheitslücke, Details gibt es aber bisher nicht. Die sollen in einer Woche folgen.

8 Kommentare

Eine Million noch ungepatcht: Die Bluekeep-Sicherheitslücke könnte zu Massenangriffen auf Windows-Rechner führen. (Bild: Wikimedia Commons, ProjectManhattan) (Wikimedia Commons, ProjectManhattan)

Windows-Sicherheitslücke: Warten auf den Bluekeep-Exploit

Knapp eine Million im Internet erreichbare Windows-Computer sind für eine Sicherheitslücke anfällig, die laut Microsoft das Potenzial hat, Schäden wie Wanna Cry zu verursachen.

34 Kommentare

Zwar erinnert das rosarote T noch an die Telekom, die Marke T-Online gehört aber inzwischen zur Firma Ströer. (Bild: Heidas, Wikimedia Commons) (Heidas, Wikimedia Commons)

T-Online-Navigationshilfe: Telekom beendet DNS-Hijacking

Die Telekom beendet bei ihren Internetzugängen die Praxis, Anfragen nach nichtexistenten Domainnamen auf eine Navigationshilfe eines Drittanbieters weiterzuleiten. Ein Nutzer hatte sich bei verschiedenen Behörden beschwert und Strafanzeige gestellt.

69 Kommentare

Die Webseite einer Berliner Antifa-Gruppe findet ein von der New York Times zitierter Experte verdächtig. Dabei geht es offenbar lediglich um gewöhnliches Shared Hosting. (Bild: Antifa Nordost) (Antifa Nordost)

Shared Hosting: Keine russischen Trolle bei Berliner Antifas

Die New York Times berichtet, dass Berliner Antifagruppen von Russland gesteuert sein könnten. Die Belege dafür sind äußerst dünn: Offenbar nutzen die Gruppen lediglich einen Webhoster, der in der Vergangenheit auch von russischen Agenten genutzt wurde.

44 Kommentare

E-Learning: Exklusiv: Ethical Hacking : Einführung in Techniken und Methoden (E-Learning)

E-Learning: Linux Administration: Troubleshooting (E-Learning)

E-Learning: Exklusiv: Ethical Hacking: Schwachstellen-Analyse und Exploitation (E-Learning)

E-Learning: Exklusiv: Einführung in Ethical Hacking und Penetration Testing (E-Learning)

Pionier der Codierungstheorie und Entwickler eines frühen Public-Key-Verfahrens: Der Mathematiker Robert McEliece ist gestorben. (Bild: Caltech) (Caltech)

Mathematik: Krypto-Pionier Robert McEliece gestorben

Der Mathematiker Robert McEliece ist tot. Er entwickelte Fehlerkorrekturverfahren, die auch in der Raumfahrt eingesetzt wurden, und war ein Pionier der Public-Key-Verschlüsselung. Sein bislang kaum genutztes Verschlüsselungsverfahren könnte mit Blick auf Quantencomputer noch eine Zukunft haben.

Kommentare / Von Hanno Böck

Eine Sicherheitslücke in Whatsapp wurde von der israelischen Spionagefirma NSO Group aktiv ausgenutzt. (Bild: Santeri Viinamäki/Wikimedia Commons) (Santeri Viinamäki/Wikimedia Commons)

NSO Group: Whatsapp-Sicherheitslücke von Spyware-Firma ausgenutzt

Eine israelische Firma hat offenbar eine Sicherheitslücke in Whatsapp genutzt, um Rechtsanwälte und Menschenrechtsaktivisten anzugreifen - darunter einen Anwalt, der gegen sie klagte. Nutzer sollten den Messenger umgehend updaten.

74 Kommentare

Um ein Gutachten über ein Pflanzenpestizid gibt es viel Streit. Das Bundesinstitut für Risikobewertung will dessen Veröffentlichung verhindern. (Bild: Zeynel Cebeci, Wikimedia Commons) (Zeynel Cebeci, Wikimedia Commons)

Bundesinstitut für Risikobewertung: Benutzername "dummy", Passwort "doof"

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Herbizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

89 Kommentare

Aus Fehlern nichts gelernt? Erneut sorgt eine auf Dell-Laptops vorinstallierte Software für Sicherheitsprobleme. (Bild: Wistula, Wikimedia Commons) (Wistula, Wikimedia Commons)

Sicherheitslücke: Treiberinstallation auf Dell-Laptops angreifbar

Eine auf Dell-Laptops vorinstallierte Windows-Software zur Installation von Treibern öffnet einen lokalen HTTP-Server. Ein Netzwerkangreifer kann das missbrauchen, um Schadsoftware zu installieren.

Kommentare

Datenleck bei einem großen, aber wenig bekannten IT-Dienstleister. (Bild: Citycomp) (Citycomp)

Datendiebstahl: Kundendaten zahlreicher deutscher Firmen offen im Netz

Der IT-Dienstleister Citycomp ist gehackt worden und die dort gelagerten Daten zahlreicher, vor allem deutscher Firmen sind im Internet offen verfügbar. Der Angreifer hatte wohl versucht, Citycomp zu erpressen.

33 Kommentare

Was zu Steve Ballmers Zeiten noch für viel Verwunderung gesorgt hätte, ist heute fast schon normal: Microsoft veröffentlicht Verschlüsselungscode unter einer freien Lizenz. (Bild: Oosoom, Wikimedia Commons) (Oosoom, Wikimedia Commons)

Symcrypt: Windows-Verschlüsselungsbibliothek ist jetzt Open Source

Microsoft hat den Code der Windows-eigenen Verschlüsselungsbibliothek Symcrypt unter der MIT-Lizenz veröffentlicht. Allerdings fehlt ein Build-System und externe Beiträge sind nicht gewollt.

13 Kommentare

Ein eigenes OS - und ein eigener Computer (Bild: André Fachat / Montage: Golem.de) (André Fachat / Montage: Golem.de)

Podcast Besser Wissen: Unix auf dem 6502?

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Die Signaturen sind sicher? Anscheinend nicht. Viele Mailprogramme patzen bei der Überprüfung und lassen sich austricksen. (Bild: Pixabay) (Pixabay)

PGP und S/MIME: Mailprogramme fallen auf falsche Signaturen herein

Mit einer ganzen Reihe von Tricks lassen sich Mailprogramme dazu bringen, E-Mails scheinbar signiert anzuzeigen. Dabei wird aber nicht die Kryptographie angegriffen, sondern die Interpretation durch den Mailclient.

Er war 15 Jahre früher dran als erwartet: Der Belgier Bernard Fabrot hat das Kryptopuzzle LCS35 gelöst. (Bild: MIT) (MIT)

MIT: Kryptopuzzle 15 Jahre zu früh gelöst

Ein 1999 von RSA-Miterfinder Ron Rivest erstelltes Kryptopuzzle, bei dem man eine langwierige Berechnung durchführen sollte, ist gelöst - viel früher als erwartet.

67 Kommentare

Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten. (Bild: Pixabay/Wikimedia Commons) (Pixabay/Wikimedia Commons)

Websicherheit: Datenlecks durch backup.zip

Viele Webseiten stellen unbeabsichtigt Backup-Dateien zum Download bereit. Sie lassen sich durch einfaches Erraten von Dateinamen wie backup.zip finden. Bei einer Datingbörse waren beispielsweise Hunderttausende von Profilen abrufbar.

68 Kommentare

Bei der E-Learning-Plattform Oncampus kam es offenbar zu einem Datenleck. (Bild: Triplec85, Wikimedia Commons) (Triplec85, Wikimedia Commons)

E-Learning-Plattform: Mysteriöses Datenleck bei Oncampus

Bei der deutschen E-Learning-Plattform Oncampus kam es offenbar zu einem Datenleck. Der Betreiber weiß bisher nicht genau, was passiert ist.

13 Kommentare / Eine Exklusivmeldung von Hanno Böck

Mit einem Kachellayout versuchte Microsoft, in Windows 8 ein neues Bedienkonzept einzuführen, aber bei den Nutzern kam das nie gut an. (Bild: Screenshot / Hanno Böck / Martin Wolf) (Screenshot / Hanno Böck / Martin Wolf)

Subdomain Takeover: Microsoft verliert Kontrolle über Windows-Kacheln

Update Mit einem Service von Microsoft konnten Webseiten Neuigkeiten auf Windows-Kacheln als sogenannte Windows Live Tiles darstellen. Den Service gibt es nicht mehr, die zugehörige Subdomain konnten wir übernehmen und eigene Kachelinhalte anzeigen.

199 Kommentare / Eine Exklusivmeldung von Hanno Böck

Microsoft tried to introduce a new user interface with a tiled layout in Windows 7 but failed to impress the customers. (Bild: Screenshot / Hanno Böck / Martin Wolf) (Screenshot / Hanno Böck / Martin Wolf)

Subdomain Takeover: Microsoft loses control over Windows Tiles

Update A service from Microsoft used to allow web page owners to deliver news on Windows Tiles as so-called Windows Live Tiles. After the service has been disabled, we were able to take over the corresponding subdomain and display our own Tile contents.

Eine neue Form von Filterregeln kann zum Sicherheitsrisiko für Werbeblocker werden. (Bild: Pixabay) (Pixabay)

Adblock Plus: Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.

11 Kommentare / Von Hanno Böck

PGP-Schlüsselserver speichern alle PGP-Schlüssel - und alles, was dranhängt - für unbegrenzte Zeit. (Bild: dontworry/Wikimedia Commons) (dontworry/Wikimedia Commons)

Verschlüsselung: Ärger für die PGP-Keyserver

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.

11 Kommentare / Ein Bericht von Hanno Böck

Schlechte Passwörter: Die sollten Onlineservices auf jeden Fall ablehnen - aber wie? Wir geben Tipps anhand der Richtlinien des US-Nist. (Bild: Hanno Böck) (Hanno Böck)

Passwort-Richtlinien: Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.

104 Kommentare / Von Hanno Böck

Sicherheitslücken in der Google-Suche gibt es nicht oft, doch kürzlich wurde eine XSS-Lücke darin gefunden. (Bild: brionv, Wikimedia Commons) (brionv, Wikimedia Commons)

MXSS: Cross-Site-Scripting in der Google-Suche

Aufgrund subtiler Unterschiede beim Parsen von HTML-Code gelang es einem Sicherheitsforscher, gängige Filtermechanismen zu umgehen. Betroffen waren zwei Javascript-Bibliotheken und die Google-Suche.

9 Kommentare

Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen. (Bild: Apache) (Apache)

Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

20 Kommentare

Viele Rechtsanwälte empfinden das BeA weder als einfach noch als sicher. (Bild: Brak) (Brak)

BeA: Anwaltspostfach wird neu ausgeschrieben

Die Bundesrechtsanwaltskammer sucht einen neuen Betreiber für das von Sicherheitspannen geplagte besondere elektronische Anwaltspostfach. Die Verträge mit dem bisherigen Betreiber Atos laufen 2019 aus.

22 Kommentare

Sofort updaten: In der Shopsoftware Magento wurde eine sehr gefährliche Sicherheitslücke entdeckt. (Bild: Magento) (Magento)

Sicherheitslücke: SQL-Injection gefährdet Magento-Shops

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

14 Kommentare

Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten. (Bild: Victorgrigas, Wikimedia Commons) (Victorgrigas, Wikimedia Commons)

DNS: Any-Anfragen müssen nicht mehr beantwortet werden

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

4 Kommentare

Zwei PCs mit einem SSH-Kanal sicher verbinden - das soll die Software Putty gewährleisten, doch jetzt wurden mehrere kritische Sicherheitslücken gefunden. (Bild: Putty) (Putty)

SSH-Software: Kritische Sicherheitslücken in Putty

Update In der SSH-Software Putty sind im Rahmen eines von der EU finanzierten Bug-Bounty-Programms mehrere schwerwiegende Sicherheitslücken entdeckt worden. Der verwundbare Code wird auch von anderen Projekten wie Filezilla und WinSCP verwendet.

72 Kommentare

VPNs verschlüsseln - aber was eigentlich genau? Und brauchen Nutzer das? Unser Autor findet: Im Normalfall nicht. (Bild: Naomi IBUKI, Wikimedia Commons) (Naomi IBUKI, Wikimedia Commons)

Verschlüsselung: Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.

176 Kommentare / Ein IMHO von Hanno Böck

Zu wenig Zufall: Ein fehlendes Zufallsbit sorgt dafür, dass Millionen von Zertifikaten nicht nach den geltenden Baseline Requirements ausgestellt wurden. (Bild: Robert Freiberger/Wikimedia Commons) (Robert Freiberger/Wikimedia Commons)

Zertifizierungsstellen: Millionen TLS-Zertifikate mit fehlendem Zufallsbit

Viele TLS-Zertifikate wurden nicht nach den geltenden Regeln ausgestellt. Sie müssten eine zufällige 64-Bit-Seriennummer haben, es sind aber real nur 63 Bit. Ein Risiko ist praktisch nicht vorhanden, trotzdem müssen die Zertifikate zurückgezogen werden.

12 Kommentare

Sichere Wahlen in der Schweiz? Das Onlinewahlsystem der Schweizer Post hat einen gravierenden Fehler, der Wahlmanipulationen ermöglicht. (Bild: qwesy qwesy, Wikimedia Commons) (qwesy qwesy, Wikimedia Commons)

Sicherheitslücke: Fehler in Schweizer Wahlsoftware würde Manipulation erlauben

Update Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

Eine gute Kombination? Der Open-Source-Webserver Nginx wird von F5 übernommen. (Bild: f5.com/Screenshot: Golem.de) (f5.com/Screenshot: Golem.de)

Übernahme: F5 kauft Firma hinter Nginx-Webserver

Für 670 Millionen Dollar übernimmt F5, ein Hersteller von Netzwerkhardware, die Firma hinter dem freien Webserver Nginx. Mit Nginx wird nach Schätzungen etwa ein Viertel aller Webseiten betrieben.

Dringend aktualisieren: In Chrome wurde eine Sicherheitslücke gefunden, die bereits aktiv ausgenutzt wird. (Bild: Xnatedawgx / Wikimedia Commons) (Xnatedawgx / Wikimedia Commons)

Sicherheitsupdate: Chrome-Schwachstelle wird aktiv genutzt

Google hat in Chrome eine "echte Zeroday-Chain", also eine bislang unbekannte Sicherheitslücke gefunden. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich ein Update aufspielen.

Die großen IT-Konzerne geben sich gern umweltfreundlich, doch sie verdienen auch bei der Ölförderung mit. (Bild: WClarke, WIkimedia Commons) (WClarke, WIkimedia Commons)

Ölförderung: Wie Google, Amazon und Microsoft das Klima anheizen

Mehrere große IT-Konzerne haben in jüngerer Zeit Partnerschaften mit der Ölindustrie aufgebaut und tragen damit aktiv zur Klimakatastrophe bei. Dabei geben sie sich gerne als besonders umweltfreundlich und verantwortungsbewusst.

179 Kommentare / Von Hanno Böck

Thunderclap - zu Deutsch Donnerschlag - nennt sich eine Klasse von Sicherheitslücken, die Zugriffe auf den Arbeitsspeicher von Laptops erlauben. (Bild: Dennisveninga, Wikimedia Commons) (Dennisveninga, Wikimedia Commons)

Thunderclap: Thunderbolt-Anschlüsse erlauben Angriffe auf Arbeitsspeicher

Durch Thunderbolt-Anschlüsse sind in modernen Laptops Angriffe auf den Speicher durch bösartige Hardware mittels DMA möglich. Verhindern soll das eine Technologie namens IOMMU, doch die ist oft abgeschaltet oder lässt sich umgehen.

17 Kommentare

Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten. (Bild: Mr.checker/Wikimedia Commons) (Mr.checker/Wikimedia Commons)

TLS: Immer wieder Padding Oracles

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

Kommentare

Schon lange veröffentlicht, aber nicht von allen genutzt: Drupal 8. In zwei Jahren sollten Anwender der alten Drupal-7-Version updaten. (Bild: Drupal) (Drupal)

Content Management System: Unterstützung für Drupal 7 endet 2021

Die Entwickler von Drupal erläutern ihre künftige Releasestrategie und kündigen das Supportende für Drupal 7 an. Da Major-Updates bei Drupal oft umständlich sind nutzen viele Webseiten noch diese alte Version.

Günstig und unsicher: Das Smartphone S8 Pro von Ulefone. (Bild: Screenshot / Webseite Ulefone) (Screenshot / Webseite Ulefone)

Malware: Tablets und Smartphones mit vorinstallierter Schadsoftware

Das BSI warnt vor Smartphones und Tablets der Hersteller Ulefone, Blackview und Krüger & Matz. Auf den Geräten ist Schadsoftware vorinstalliert.