Bruce Schneier

Die Diskussion um Huawei und China greift laut dem Kryptographen Bruce Schneier zu kurz. Vielmehr habe 5G zentrale Sicherheitsprobleme, die nicht mehr gelöst werden könnten.

Telekommunikationsanbieter sollen nach Wunsch der Innenminister der Five-Eyes-Staaten Techniken zur Entschlüsselung ihrer Dienste entwickeln.

Bisher gibt es kaum Informationen zur Auswirkung der Lücke im Bluetooth-Pairing auf Linux-Systeme. Es gibt zwar einen Patch, der das Problem grundlegend löst - und damit auch für andere Verwendungszwecke als Bluetooth dienen kann. Bis der Patch die Nutzer erreicht, dauert es aber wohl noch mehrere Wochen.

Bürgerrechtler, Wirtschaftsverbände und Sicherheitsexperten unterstützen im Streit um den Zugang zu Daten auf Cloud-Servern im Ausland Microsoft. Sie warnen vor großer Rechtsunsicherheit und dem Ende der Privatheit im Netz.
Von Stefan Krempl

Unbekannte versuchen zurzeit, sich in ungesicherte IoT-Geräte zu hacken und diese aktiv zu zerstören. Offenbar ein Versuch, die Geräte unschädlich zu machen, bevor sie Teil von Botnetzen wie Mirai werden.

Ebenso wie die USA verschärft auch Großbritannien die Sicherheitsvorkehrungen im Flugverkehr. Deutschland sieht dafür derzeit keine Notwendigkeit.

Zwei Anbieter wollen den komplizierten Umgang mit PGP vereinfachen. Ox Guard bietet PGP auf dem Server des Mailanbieters an, Mailvelope über ein Browser-Plugin. Wir haben uns beide Alternativen angeschaut.
Von Hauke Gierow

Die Diskussion um die angebliche Backdoor in Whatsapp reißt nicht ab. Bekannte Sicherheitsforscher wie Bruce Schneier kritisieren die Berichterstattung des Guardian als unverantwortlich - und vergleichen die Autoren mit Impfgegnern.

Nach den verheerenden DDoS-Angriffen gegen Dyn am 21. Oktober spekulierten viele Analysten, es handle sich um einen möglicherweise durch Russland finanzierten Cyberangriff. Die Sicherheitsfirma Flashpoint hat nun eine ganz andere Theorie entwickelt.

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Das Tor-Projekt hat die Missbrauchs- und Vergewaltigungsvorwürfe gegen den Aktivisten und Hacker Jacob Appelbaum untersuchen lassen. Offenbar hatten viele in der Szene noch eine Rechnung mit ihm offen. Doch die schärfsten Beschuldigungen werden nicht mehr erwähnt.

Nach dem Weggang von Jacob Appelbaum erneuert das Torprojekt alle Direktoren. Unter anderen ersetzt der renommierte Kryptologe und Sicherheitsforscher Bruce Schneier zwei Tor-Gründer.

32C3Der Geheimdienstausschuss des US-Senats plant offenbar eine gesetzliche Pflicht für Hintertüren in Verschlüsselungsprogrammen. Aktivisten sind aber der Ansicht, auch die nächsten Crypto Wars gewinnnen zu können.

Auf die Frage, ob Yahoo auch Hintertüren für fremde Regierungen offenhalten solle, antwortete NSA-Direktor Mike Rogers betont ausweichend. Hintertür sei ohnehin der falsche Begriff.

FBI-Direktor Comey liefert weitere Indizien, die darauf hinweisen, dass Sony von Nordkorea aus gehackt wurde. Zweifel bleiben, aber Comey will nicht alles verraten.

Neue Enthüllungen über die US-Geheimdienste deuten darauf hin, dass es neben Edward Snowden weitere Quellen für die Berichte gibt. Auch die US-Regierung ist davon überzeugt.

Die Linux-Foundation sammelt Geld für Kern-Infrastruktur wie OpenSSL und gibt nun erste Pläne bekannt. Beraten sollen das Projekt Linux-Kernel-Hacker und Bruce Schneier sowie Eben Moglen.

Mehr als 50 Kryptographie-Experten aus den USA warnen vor den Praktiken der NSA. Spionage dürfe nicht dazu führen, die Sicherheitsstandards der Kommunikation zu untergraben.

Schon seit einiger Zeit ist bekannt, dass die Geheimdienste mit manipulierten Webseiten den überwachten Nutzern Spähprogramme unterschieben. Neue NSA-Dokumente zeigen nun detailliert das Vorgehen der Dienste, unter anderem mit "Fuchssäure".

10 Millionen US-Dollar zahlte die NSA an das Sicherheitsunternehmen RSA Security, um Dual_EC_DRBG in seiner BSafe-Bibliothek als Standard einzusetzen. Bereits im September 2013 hatte RSA davor gewarnt, die Bibliothek zu nutzen.

Prism, Acta, Totalüberwachung: Themen, mit denen die Netzszene punkten könnte. Sie ist aber zersplittert und geschwächt wie lange nicht mehr. Was ist passiert? Und was muss geschehen, damit sie wieder an Bedeutung gewinnt? Ein Auszug aus "Das Netz - Jahresrückblick Netzpolitik 2013-2014" von iRights.Lab.

Hacker haben bei Adobe eine Datei mit den Passwörtern von mindestens 38 Millionen Kunden gestohlen. Die hätten sie aber auch erraten können: Das beliebteste war 123456.

Mikko Hypponen hat in einer Rede die Dominanz der USA bei Internetdiensten kritisiert. Mit der Übernahme von Skype habe Microsoft ein sicheres System unsicher gemacht.

Eine offene Gesellschaft braucht Whistleblower, und die brauchen Schutz. Ein neuer anonymer Briefkasten bietet ihn. Der Programmierer und Netzaktivist Aaron Swartz hat ihn entwickelt, sein Code ist quelloffen.

Das BSI fordert, in den Regierungsstellen TLS 1.2 mit Perfect Forward Secrecy einzusetzen. Bis alles umgestellt ist, ginge auch noch übergangsweise TLS 1.0, wenn Maßnahmen gegen bekannte Angriffe ergriffen würden.

Nach den jüngsten Enthüllungen fragen sich Kryptographen, welche Algorithmen von der NSA beeinflusst sein könnten. Zweifel bestehen auch bei elliptischen Kurven, die für Public-Key-Kryptographie eingesetzt werden.

Die NSA soll auch in der Lage sein, verschlüsselte Verbindungen zu knacken. Ein Überblick über kryptographische Algorithmen und deren mögliche Probleme.

Der Zufallsgenerator von OpenSSL liefert unter bestimmten Umständen bei mehreren Aufrufen identische Werte, wenn er aus mehreren parallel ablaufenden Prozessen desselben Programms aufgerufen wird.

Die amerikanischen Behörden überwachen nicht nur den E-Mail-Verkehr in großem Stil. Auch von allen Briefumschlägen werden Fotos abgespeichert.

Die USA wollen Whistleblowern Angst machen: Wir kriegen euch alle, lautet die Botschaft. Dabei sollten ihnen Orden verliehen werden, kommentiert K. Biermann.

Wir werden ständig überwacht, ob wir wollen oder nicht. Schlimm genug, und noch dazu gibt es keinen Ausweg, sagt der Sicherheitsforscher Bruce Schneier.

Das US National Institute of Standards and Technology (NIST) hat den Hash-Algorithmus SHA-3 festgelegt. Von 63 eingereichten Kandidaten kamen 5 in die finale Auswahl, aus der "Keccak" als Sieger hervorging.

Research In Motion (RIM) will einen Blackberry-Server in Saudi-Arabien in Betrieb nehmen. Damit will RIM eine Abschaltung der Blackberry-Dienste in dem Land verhindern. Saudi-Arabien erhält dafür Zugriff auf die Blackberry-Daten.

Der Argon Verlag will neben einer kommerziellen, gekürzten Version eines Hörbuches von Cory Doctorow eine ungekürzte Version unter einer freien Lizenz im Internet veröffentlichen. Die Netzgemeinde soll über Spenden die Kosten für die Aufnahme fehlender Textstellen aufbringen.

Ein Sicherheitsexperte verweist auf pikante Details: Erst eine auf Wunsch der US-Regierung eingebaute Hintertür hat das Ausspionieren der Google-Konten möglich gemacht.

Amazon hat zwei E-Books von George Orwell von den Kindle-Geräten seiner Kunden gelöscht. Die betroffenen Bücher seien illegale Kopien gewesen, so Amazon. In Zukunft will Amazon aber keine gekauften E-Books mehr von den Geräten entfernen.

Forscher der Universität Luxemburg haben eine neue Angriffsmethode auf AES vorgestellt. Damit lässt sich das bisher als sicher geltende AES schneller knacken als mit einem Brute-Force-Angriff.

Die Electronic Frontier Foundation (EFF) hat die Gewinner der Pioneer Awards 2008 bekanntgegeben. Mitchell Baker, Michael Geist und Mark Klein erhalten die diesjährige Auszeichnung, die an Personen und Organisationen vergeben wird, die zur Entwicklung der Kommunikation per Computer beitragen und Menschen damit befähigen, Computer und das Internet zu nutzen.

BT, ehemals British Telecom, übernimmt die vom Sicherheitsexperten Bruce Schneier gegründete Firma Counterpane. Sowohl Bruce Schneier (CTO) als auch Paul Stich (CEO) bleiben in gleicher Position im Unternehmen.

Ross Andersons Buch "Security Engineering" kann ab sofort kostenlos heruntergeladen werden. Das im Jahr 2001 bei Wiley erschienene Buch gehört zu den Standardwerken zum Thema Software- und System-Sicherheit.

"Sonys digitaler Hausfriedensbruch", so der Titel eines Vortrags zum XCP-Kopierschutz, mit dem Sony in diesem Jahr Schlagzeilen machte. Markus Beckedahl und "fukami" zeichneten dabei den zeitlichen Ablauf des Debakels nach, das geprägt war von langsamen Reaktionen seitens Sony. Sammelklagen gegen Sony wurden allerdings erst kürzlich beigelegt.

Sicherheitsexperte Bruce Schneier geht mit Herstellern von Sicherheitssoftware in Bezug auf den von Sony BMG eingesetzten XCP-Kopierschutz hart ins Gericht. Mit geschätzten 500.000 infizierten Systemen handle es sich um eine der schlimmsten Epidemien, doch die Hersteller von Anti-Viren-Software bemerkten davon offenbar nichts.

Bereits im Februar wurde bekannt, dass drei chinesische Forscher den Hash-Algorithmus SHA-1 geknackt haben. In einem weiteren Schritt gelang es nun Xiaoyun Wang, die schon an der Veröffentlichung aus dem Februar 2005 beteiligt war, mit zwei Mitstreitern die Komplexität der Angriffe auf SHA-1 weiter zu senken, auf ein Niveau, bei dem Angriffe mit aktueller Hardware möglich werden, erklärt der IT-Sicherheitsexperte Bruce Schneier.

Nachdem in der letzten Woche bekannt wurde, dass der Hash-Algorithmus SHA-1 wahrscheinlich geknackt wurde, d.h. dass sich Kollisionen viel einfacher finden lassen, als bislang geglaubt, wird nun eine Migration weg von SHA-1 gefordert. Aber auch ganz neue Ansätze stehen zur Diskussion.

Der Hash-Algorithmus SHA-1 wurde jetzt von drei chinesischen Forschern geknackt, das berichtet der IT-Sicherheitsexperte Bruce Schneier in seinem Blog. Dabei handle es sich nicht um eine verkürzte oder vereinfachte Version, sondern "das wahre Ding".

Die Dokumentenverschlüsselung in Word und Excel lässt sich leicht umgehen, weil Microsoft bei der Implementierung der entsprechenden Verschlüsselungstechnik geschlampt hat. Entgegen den üblichen Gepflogenheiten verwendet Microsoft bei der Dokumentenverschlüsselung den gleichen Initialisierungsvektor für zwei unterschiedliche Dokumente. Pikanterweise wurde der gleiche Fehler auch schon vor rund fünf Jahren bei der Verschlüsselung in Windows NT 4.0 gemacht.

Laut eines Artikels der New York Times hat Google bekannt gegeben, dass eine von der Rice University entdeckte Sicherheitslücke in der seit Oktober 2004 erhältlichen "Google Desktop Search" geschlossen wurde. Die kostenlose Windows-Software erlaubte es Dritten bis vor kurzem, über das Internet unentdeckt die Inhalte fremder PCs zu durchsuchen.

Seit Jahren schafft es das kleine norwegische Unternehmen Opera einen kommerziell erfolgreichen Browser anzubieten. Mit Firefox gerät der Browser-Markt langsam wieder in Bewegung und auch Opera zeigt sich über die Erfolge des Open-Source-Browsers erfreut. Im Interview mit Golem.de spricht Opera-CEO Jon S. von Tetzchner über Microsoft, Firefox und die Möglichkeiten, Opera als Open Source anzubieten. In einem zweiten Teil des Gesprächs, der am Donnerstag den 11. November 2004 folgt, spricht von Tetzchner über den Browser-Markt auf Handys und anderen mobilen Endgeräten sowie der Zukunft von Web-Standards und Browsern.

Die Computer & Communications Industry Association, ein Verband der US-Computer-Industrie, warnt in einem Diskussionspapier von Sicherheitsexperten vor den Gefahren einer IT-Monokultur, wie sie heute durch Microsoft-Software existiere. Die durch Windows hervorgerufenen Gefahren für die internationale Sicherheit seien signifikant und müssten möglichst schnell angegangen werden.

Aufregung in der IT-Security-Gemeinde: Scott Culp, Manager des Microsoft Security Response Team, forderte in einem langen offenen Brief, die "Information Anarchy" künftig zu beenden und stattdessen nur noch nach Absprache unter verschiedenen Unternehmen Sicherheitslücken zu veröffentlichen. Der renommierte Krypto- und Sicherheitsexperte Bruce Schneier antwortete auf Fragen von Golem.de.