Sicherheitslücken im Nissan Leaf hätten für Verkehrsteilnehmer böse enden können. Forscher haben das Auto per Bluetooth geknackt und danach aus der Ferne gesteuert.
Der Angriff soll es den Forschern ermöglicht haben, das Fahrzeug aus der Ferne in Echtzeit zu tracken, Mikrofone abzuhören und allerhand Daten abzugreifen.
Besondere Erfolge und Misserfolge im Bereich IT-Security werden regelmäßig mit Pwnie Awards ausgezeichnet. Eine besonders große Trophäe ging dieses Mal an Crowdstrike.
Selbst Windows-Systemkomponenten wie DLLs, Treiber und der NT-Kernel sollen sich damit auf alte Versionen zurückstufen lassen. Ein Patch ist nicht verfügbar.
Bei diesem beispiellosen Hack sind Therapie-Patienten mit gestohlenen Daten erpresst worden. Um den mutmaßlichen Täter zu überführen, sollen die Ermittler etwas geschafft haben, was als unmöglich gilt.
Das Dicom-Protokoll dient vor allem dem Austausch medizinischer Bilder. Viele Einrichtungen kümmern sich bei dessen Einsatz aber offenbar kaum um Sicherheitsaspekte.
Die DSGVO verpflichtet Anbieter zur Herausgabe aller gespeicherten Daten mit Personenbezug. Die Vorschrift lässt sich auch zum Identitätsdiebstahl einsetzen.
Apple öffnet sich der Sicherheitszene und lobt ein umfangreiches Programm für das Entdecken von Sicherheitslücken bei seinen Betriebssystemen aus. Dazu wird auch eine Spezialversion des iPhones angeboten.
Mit der Spectre-ähnlichen SWAPGSAttack kann auf eigentlich geschützte Speicherbereiche zugegriffen werden, indem die spekulative Ausführung des Befehls ausgenutzt wird. Betroffen sind alle Intel-CPUs seit Ivy Bridge von 2012, von Microsoft gibt es bereits Patches für Windows 10.
Im Realtime-Betriebssystem VxWorks sind mehrere schwere Sicherheitslücken im Netzwerkstack gefunden worden. Offenbar verwendet VxWorks in der Standardkonfiguration keinerlei gängige Sicherheitsmechanismen wie ASLR, daher sind die Lücken leicht ausnutzbar.
Das iPhone gilt als vergleichsweise sichere Plattform. Mitglieder von Googles Project Zero haben mehrere Sicherheitslücken entdeckt, mit denen sich Code auf einem iPhone ohne Nutzerinteraktion ausführen lässt.
Ein Kanal, der Anleitungen zum Aufspüren von Sicherheitslücken gab, bekam von Youtube eine Verwarnung. Auch wenn diese mittlerweile zurückgenommen wurde, sieht die IT-Security-Community darin eine Gefahr.
Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Der Klang des Tastendrucks und die Wärmespuren unserer Finger hinterlassen Spuren unserer Passwörter auf der Tastatur. Sicherheitsforscher haben die beiden Informationen kombiniert, um Passwörter zu erraten. Viel Zeit haben sie dafür nicht.
Nachdem Sicherheitsforscher Vollzugriff auf Intels Management Engine erlangt haben, haben diese nun eine bisher nicht bekannte Debug-Schnittstelle in Intel-CPUs entdeckt. Dabei handelt es sich um einen Logikanalysator, mit dem die Hardware noch weiter analysiert werden kann.
In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.
26 Geldautomaten testete die Sicherheitsfirma Positive Technologies, bei allen fand sie Sicherheitsprobleme. Viele der Probleme sind lange bekannt, doch noch immer sind die Geräte unzureichend geschützt.
Auf der Black-Hat-Konferenz in Las Vegas sind zum elften Mal die Pwnie Awards für die besten Hacks und schlimmsten Misstritte der IT-Sicherheitsindustrie verliehen worden.
Google-Sicherheitsexpertin Parisa Tabriz eröffnet in Las Vegas die Black-Hat-Konferenz. Sie wünscht sich mehr Transparenz und Zusammenarbeit und erläutert anhand der Site-Isolation in Chrome, welche Herausforderungen manchmal bei größeren Sicherheitsverbesserungen zu überwinden sind.
Eine kritische Sicherheitslücke in Microsofts Credential Security Support Provider versetzt Angreifer in die Lage, beliebigen Code auszuführen. Deswegen unterbindet das Unternehmen demnächst Verbindungsversuche ungepatchter Clients, Admins sollten also schnell handeln.
2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig.
CES 2018 In seiner Keynote auf der CES versprach Intel-Chef Krzanich erneut, Intel-CPUs schnell gegen Meltdown und Spectre zu patchen. Krzanich betonte die Zusammenarbeit innerhalb der Industrie - wohl auch, um von Intels eigenen Fehlern abzulenken.
Die Gründerin von Qubes OS, Joanna Rutkowska, erklärt die grundlegenden Ideen und Konzepte des auf Sicherheit fokussierten Projektes. Außerdem verrät die Entwicklerin im Gespräch mit Golem.de weiter Pläne für Qubes.
Als Reaktion auf die öffentlich bekannten Lücken in Intels Management Engine (ME) will Intel das Ausnutzen derartiger Lücken künftig erschweren. Dazu sollen in den kommenden Hardware- und ME-Generationen Downgrades in der Firmware verhindert werden. Das hilft wohl aber nicht immer.
Forscher demonstrieren auf der Konferenz Black Hat Europe ähnliche Sicherheitsprobleme für das LTE Roaming, wie diese auch für das vollkommen veraltete SS7 existieren. Schlimmstenfalls lassen sich damit Sprachnachrichten analysieren.
Sicherheitsforscher demonstrieren einen Angriff auf Intels ME zum Ausführen von beliebigem Code, gegen den weder das sogenannte Kill-Bit noch die von Google geplanten Sicherheitsmaßnahmen für seine Server helfen. Theoretisch lassen sich Geräte so auch aus der Ferne angreifen.
Backdoor oder sinnvolle Technik? Die Diskussion um Intels Management Engine dürfte nach dem Bekanntwerden weiterer Sicherheitslücken an Schärfe zunehmen. Bei den meisten Fehlern handelt es sich um Buffer Overflows.
Sicherheitsforscher, die Intels Management Engine (ME) seit mehr als einem Jahr analysieren, melden nun: "Game over!" für Intel. Die Forscher haben vollen Debug-Zugriff auf die ME über eine spezielle USB-Schnittstelle.
Erneut soll es eine Sicherheitslücke in Intels Management Engine (ME) geben. Experten ist es nach eigenen Angaben gelungen, unsignierten Code auszuführen und Sicherheitsmechanismen zu umgehen.
Eine Einbruchsserie in Hotels in den USA im Jahr 2012 war offenbar umfangreicher als bislang angenommen. Der inzwischen in Haft sitzende Mann hat offenbar Zimmer in über 100 Hotels mit einem selbst gebauten Gerät auf Arduino-Basis geöffnet.
"Nicht schuldig" - so sieht der Hacker Marcus Hutchins sich selbst. Er habe nicht an der Entwicklung des Bankentrojaners Kronos mitgewirkt. Bis zur Gerichtsverhandlung darf Hutchins nun das Internet nutzen und in den USA umziehen.
Der in den USA inhaftierte britische Hacker soll vorerst auf Kaution freikommen. Weil seine Bekannten das nötige Geld nicht am Freitag aufbringen konnten, musste er das Wochenende in Haft verbringen.
Update Ein britischer Sicherheitsforscher und Hacker ist in den USA verhaftet worden. Der 23-Jährige hatte unabsichtlich dazu beigetragen, die Ausbreitung von Wanna Cry zu verlangsamen. Er soll an der Entwicklung des Kronos-Bankentrojaners beteiligt gewesen sein.
Black Hat 2017 Durch geschickt gewählte HTTP-Header ist es Sicherheitsforschern gelungen, zahlreiche Lücken bei Yahoo, beim Department of Defense und bei der British Telecom zu identifizieren.
