Brute-Force-Methode

Microsoft hat mehrere staatliche Hackergruppen bei Angriffen auf Pharmafirmen und Forscher ertappt, die an COVID-19-Impfstoffen arbeiten.

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

Mit den Lücken war ein Zugriff auf das interne Netzwerk von Apple möglich, es konnten aber auch Daten aus der iCloud kopiert werden - per E-Mail.

Der Ladesäulen-Hersteller Compleo musste ein zweites Mal die Sicherheit von Anzeigemodulen erhöhen. Dabei offenbart sich die Absurdität des Eichrechts.
Ein Bericht von Friedhelm Greis

Die Sicherheitslücke Zerologon nutzt einen Fehler in Netlogon aus und involviert die Zahl Null auf kreative Weise - um Passwörter zu ändern.

Was am 30.07.2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Sicherheitsforscher haben Hunderte Youtube-Tutorials ausgewertet und immer wieder Zugangsdaten entdeckt - mit diesen konnten sie sich auf AWS einloggen.
Von Moritz Tremmel

Um eine neu eingeführte Funktion des Messengers Signal ist in den sozialen Medien Streit entbrannt.
Von Moritz Tremmel

Die Corona-App der Bundesregierung könnte schon am Montagabend in den App-Stores bereitstehen.

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?
Eine Analyse von Friedhelm Greis und Moritz Tremmel

Über eine Konferenz-ID können viele Gäste per Video- und Sprachchat kommunizieren. Das ist schnell und einfach, erinnert aber an Zoom.

Gehackte Router leiten bekannte Domains auf eine gefälschte Warnung der WHO um und versuchen, ihren Opfern eine Schadsoftware unterzujubeln.

Sechs Monate hatten Angreifer Zugriff auf das interne Netz Citrix und konnten dabei umfangreich Daten kopieren. Mitbekommen hatte der Netzwerkdienstleister den Angriff erst nach einem Hinweis des FBI. Rund ein Jahr später informiert Citrix nun die Betroffenen - zumindest in den USA.

Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Zwar will die Bundesjustizministerin nun ihren Gesetzentwurf ändern, doch ganz verzichten will sie auf die Herausgabe nicht.

Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Der Bundesdatenschutzbeauftragte Kelber sieht sogar den elektronischen Bankenverkehr gefährdet.
Von Friedhelm Greis

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

Äußerlich unterscheidet es nicht viel von einem sauberen Android 10 - nur die Google-Apps fehlen. Doch im Inneren von GrapheneOS stecken einige Sicherheitsfunktionen. Wir haben den Nachfolger von Copperhead OS ausprobiert.
Ein Test von Moritz Tremmel und Sebastian Grüner

Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.

Mit dem SMS-Nachfolger RCS werden SMS und Telefonanrufe über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen.

Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.

Der Stromverbrauch und CO2-Ausstoß bei der Erstellung von Deep-Learning-Modellen ist erheblich, wie eine jetzt veröffentlichte Studie zeigt.

Laut eigenen Aussagen konnten sich anscheinend die Angreifer fast sechs Monate lang im Firmennetzwerk bewegen und personenbezogene Daten abgreifen, nachdem sie auf Citrix unbefugten Zugriff erhalten haben. Schuld am Angriff habe keine Sicherheitslücke, sondern Brute-Forcing von Passwörtern.

Ein Hacker hat auf knapp 30.000 Kundenkonten von zwei GPS-Tracker-Apps zugreifen können. Neben umfangreichen Einblicken hätte er bei manchen Fahrzeugen auch den Motor während der Fahrt ausschalten können - per App oder Webclient.

Eigentlich sollte WPA3 vor Angriffen wie Krack schützen, doch Forscher konnten gleich mehrere Schwachstellen im neuen WLAN-Verschlüsselungsprotokoll finden. Über diese konnten sie das Verschlüsselungspasswort erraten.

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

Das US-Softwareunternehmen Citrix Systems ist ins Visier von Hackern geraten. Die Unbekannten haben sich möglicherweise Zugriff auf Geschäftsdokumente verschafft.

Aldi Talk hat offenbar Zugriff auf die ersten vier Zeichen der Kundenpasswörter im Klartext.

35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Von Moritz Tremmel

Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.
Von Moritz Tremmel

Der Virenspezialist Kaspersky fand Hardware-basierte Attacken über das lokale Netzwerk in mindestens acht osteuropäischen Bankhäusern. Der Schaden geht in die Millionen Euro. Potenziell gefährdet sein sollen jedoch alle Arten von Unternehmen.

Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden.

Schwere Sicherheitslücke beim Chat-Anbieter Knuddels: Im Internet sind gehackte Daten von 1,8 Millionen Nutzern aufgetaucht. Die Passwörter sind im Klartext zu lesen, bestimmte Accounts wurden deaktiviert.

Die auf Amazons Web Services spezialisierte Sicherheitsfirma Lacework hat im Netz mehr als 22.000 Managementoberflächen zur Containerverwaltung gefunden, die hauptsächlich zu Kubernetes gehören. Als wäre das nicht schon schlimm genug, waren einige auch völlig ungeschützt im Netz.

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

Die Linux Foundation sorgt sich schon länger um die Sicherheit des Codes in der Kernel-Entwicklung und macht Werbung für PGP-signierte Git-Tags und Code-Beiträge. Linux-Entwickler können nun auch kostenlos Kryptohardware beziehen, um ihre Schlüssel abzusichern.

GDC 2018 Nicht nur Microsoft und Nvidia, sondern auch AMD beschäftigt sich intensiv mit Raytracing. Das Unternehmen erwartet schon bald erste Spiele mit dem Verfahren - auch dank Fortschritten bei neuronalen Netzen.

34C3 Im Streit über die verbotene Volksabstimmung zur Autonomie Kataloniens hat die Blockade von Internetseiten eine wichtige Rolle gespielt. Doch es hat Möglichkeiten gegeben, die Sperrungen zu umgehen und neuartige Verfahren zu testen.
Ein Bericht von Friedhelm Greis

Das Team von Vicarious AI arbeitet an einem maschinellen Lernalgorithmus, der automatisch Captchas verschiedener Anbieter lösen kann. Anders als vegleichbare Systeme nutzt das Recursive Cortical Network (RCN) aber nur einzelne Klartextbuchstaben als Referenz. Das Ergebnis soll trotzdem besser sein.

Die Verschlüsselung privater Kommunikation soll auch auf europäischer Ebene angegriffen werden. Da der Einbau von Hintertüren offenbar vom Tisch ist, geht es nun um Schwachstellen bei der Implementierung und das Hacken von Passwörtern.

Menschen scheinen nicht dafür gemacht, sich sehr viele komplizierte Passwörter zu merken. Abhilfe schaffen Passwortmanager. Wir haben die Lösungen von Keepass, Lastpass, 1Password und Dashlane verglichen - und bei allen Stärken gefunden.
Ein Test von Hauke Gierow

Mit Hilfe eines Geräts soll es möglich sein, aktuelle iPhones ohne Wissen der Nutzer zu entsperren. Dazu wird eine Sicherheitslücke ausgenutzt, die nur wenige Nutzer betrifft. Apple will den Bug in iOS 11 schließen.

Die IoT-Apokalypse hört nicht auf: Erneut wurden zahlreiche Schwachstellen in einer IP-Kamera dokumentiert. Der Hersteller reagiert mehrere Monate lang nicht auf die Warnungen, bestreitet aber einige der Schilderungen.

Wer den Zugang zu seinem Github-Account verliert, kann sich künftig mit einem von Facebook bereitgestellten Token einloggen. Die interessante Funktion soll den Namen Delegated Recovery tragen und untermauert Facebooks Anspruch, die digitale Schaltzentale der Nutzer zu werden.

Die Antivirensoftware von Kaspersky liest bei TLS-Verbindungen mit und sorgt nebenbei dafür, dass die Zertifikatsprüfung ausgehebelt wird. Wieder einmal konnte Tavis Ormandy von Google damit zeigen, wie löchrig sogenannte Sicherheitssoftware ist.

Die aktuelle Version 11 von Nextcloud enthält einige neue Sicherheitsfunktionen und Nextcloud ist einem Security-Check der NCC Group unterzogen worden. Zudem erneuert das Projekt seinen Appstore, der Signaturen nutzt und der Server bietet eine experimentelle WebRTC-Integration mit Spreed.me an.

Die Übersicht über 256 Pins zu behalten, ist schwer. Deswegen greifen wir zum Malstift. Zur Belohnung zeigt uns Linux schließlich hübsche Sinuskurven.
Eine Anleitung von Christer Weinigel

Weil der zentrale Update-Server von Wordpress unsichere Hashfunktionen zulässt, hätten Angreifer Code ausführen und massenhaft Wordpress-Installationen angreifen können. Die Sicherheitslücke wurde mittlerweile geschlossen.

Eine neue Technik erlaubt es Angreifern, die Kontrolle über ferngesteuerte Drohnen und andere Geräte zu übernehmen. Verantwortlich sind Schwächen in den Funkprotokollen der Hersteller.