Cloudflare

Mit Matrix.org ist einer der am meisten genutzten Server des Messengers Matrix gehackt worden. Betroffene sollten umgehend ihr Passwort ändern. Auch der mutmaßliche Angreifer gibt Sicherheitstipps auf Github.

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

Die Nutzer von Cloudflare sollen eine zuverlässige VPN-Technik bekommen. Deshalb baut der Anbieter sein VPN mit dem Namen Warp in seine DNS-App ein. Grundlage der Technik ist das freie Wireguard-Protokoll.

Der für den Firefox-Browser zuständige Technikchef Eric Rescorla erklärt noch einmal zusammenfassend die Pläne zur Nutzung von DNS über HTTPS (DoH). Demnach soll die Technik definitiv mit einigen Startpartnern ausgerollt werden, wann, ist jedoch noch nicht klar.

Die CDN- und Netzwerkspezialisten von Cloudflare haben mit Boring-TUN eine eigene Userspace-Implementierung des Wireguard-VPN in Rust erstellt. Diese soll plattformübergreifend funktionieren und vor allem schnell sein.

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

In Demokratien brauche es kein Darknet, meint der Staatssekretär Günter Krings auf dem europäischen Polizeikongress. Sein Nachredner fordert, sich am Datenschutzabbau in China zu orientieren.

Die Übertragung von DNS-Informationen über HTTPS sei nicht nur sicherer als Alternativen, sondern vor allem gut für den Endnutzer, sagt Curl-Entwickler Daniel Stenberg. Noch seien aber nicht alle Probleme mit der Technik gelöst.

Ab 1. Februar wollen Anbieter von DNS-Software und Betreiber von Internetinfrastruktur aufhören, auf fehlerhafte DNS-Server Rücksicht zu nehmen. Wer die DNS-Erweiterung EDNS nicht unterstützt, soll zumindest mit einer korrekten Antwort reagieren.

Der öffentliche DNS-Dienst von Google unterstützt nun das Protokoll DNS-über-TLS zum Absichern der Abfragen. Genutzt werden kann das standardmäßig unter anderem mit Android 9 alias Pie oder einem eigenen Resolver.

Ein Hacker-Duo übernimmt Tausende Chromecasts. Darauf zeigen sie als Sicherheitshinweis ein Youtube-Video - mit Werbung für den bekannten Youtuber PewDiePie.

Die Seite Linux.org sah eine Zeit lang ziemlich anders aus als sonst. Statt News und Tipps zeigte die Domain Beleidigungen in Leetspeak und sexistische Inhalte. Der Grund: Eines der Administratorkonten wurde übernommen. Die Domainverwalter entschuldigen sich.

Für einen Zeitraum von etwa einer halben Stunde wurden Verbindungen zu zahlreichen Google-IP-Adressen falsch geroutet. Grund dafür waren fehlerhafte BGP-Routinginformationen. Doch dass es sich um einen gezielten Angriff handelt, ist unwahrscheinlich.

Um Nutzern die Einrichtung ihres DNS-Servers 1.1.1.1 zu erleichtern, hat Cloudflare eine gleichnamige App für Android und iOS auf den Markt gebracht. Dank der Anwendung müssen sich Nutzer um die Einrichtung nicht mehr kümmern, der Resolver soll schneller als der von Google und anderen Anbietern sein.

Mit der aktuellen Version 70 des Chrome-Browsers erhalten Nutzer die Wahl, ob der Google-Login an den Chrome-Login gekoppelt werden soll oder nicht. Außerdem gibt es nun PWAs auf Windows, TLS 1.3 und die Standardunterstützung für den AV1-Decoder.

Das aktuelle Android 9 alias Pie unterstützt bereits verschlüsselte DNS-Abfragen. Die App Intra bietet nun verschlüsselte DNS-Abfragen per DNS-over-HTTPS für alle Versionen ab Android 4.0, was so gut wie alle Android-Nutzer umfasst.

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

Webseiten, die hinter Cloudflares CDN stecken, können nun als Onion Service im Tor-Netzwerk abgerufen werden. Damit sollen die verhassten Captchas für Tor-Nutzer hinfällig werden.

Virtualisierungsspezialist VMware portiert seinen Hypervisor Esxi auf ARM64. Damit sollen sich ARM- auf ARM-Systemen hosten lassen. Gedacht ist das aber nicht als Ersatz für x86-Serverfarmen, sondern für sogenanntes Edge-Computing.

Mozilla stellt eine vorläufige Auswertung seines Test von DNS über HTTPS in Nightly-Versionen des Firefox-Browsers vor. Die typischen Geschwindigkeitsverluste sind demnach minimal und damit "akzeptabel", besonders langsame DNS-Anfragen werden aber klar beschleunigt.

In einem Kommentar bezeichnet ein Hostinganbieter die DNS-over-HTTPS-Experimente im Firefox als "gefährlich", Sicherheitsexperte Felix von Leitner stimmt dem zu. Die Kritik schießt dabei wohl aber über das Ziel hinaus, denn hinsichtlich der stabilen Umsetzung steht noch gar nichts fest.

Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.

Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.

Künftig wird das ARM-Server-Geschäft in die CDMA-Gruppe für Snapdragons integriert und soll stark auf Cloud-Anbieter ausgerichtet werden. Qualcomm betont die Zusammenarbeit mit chinesischen Anbietern.

Der Coautor des Entwurfs für DNS über HTTPS und Mozilla-Angestellte Patrick McManus beschreibt die seiner Meinung nach vielfältigen Vorzüge des neuen Protokolls. Zusätzlich zu dem Schutz und der Authentifizierung entscheidend sei demnach vor allem die Zukunftsfähigkeit und die einfache Umsetzung.

Gut sechs Jahre hatte Anand Chandrasekher für Qualcomm an deren ARM-Server-CPUs gearbeitet, nun geht er. Die Centriq-Sparte soll eingestellt oder verkauft werden, offenbar wegen geringer Erfolgsaussichten.

Mit einem neuen Bündnis will die IT-Branche sich weltweit gegen Übergriffe von Staaten und Kriminellen wappnen. Einige der Unterzeichner haben jedoch am umstrittenen Prism-Programm der US-Regierung teilgenommen.

Schnell und sicher, das verspricht Cloudflare für seinen neuen DNS-Server. Dieser ist von Nutzern weltweit unter den IP-Adressen 1.1.1.1 und 1.0.0.1 nutzbar. Allerdings gibt es Sicherheitsbedenken.

Mit Cloud Armor bietet auch Google ab sofort einen kommerziellen Schutz vor DDoS-Angriffen an. Bislang hatte Alphabet einen solchen Dienst nur für Nachrichtenseiten und Menschenrechtler im Angebot.

Der CDN-Betreiber Cloudflare testet derzeit in großem Stil ARM-Server. Der Wechsel weg von Intel-CPUs könnte dem Unternehmen sehr viel Geld einsparen, weshalb der Cloudflare-Chef Matthew Prince gar einen kompletten Wechsel hin zu ARM erwägt.

Auf der IETF-Tagung in London ist TLS 1.3 beschlossen worden. In wenigen Wochen dürfte der Standard für Verschlüsselung im Web dann auch als RFC erscheinen.

Aktuelle Nightly-Versionen des Firefox-Browsers unterstützen DNS über HTTPS. Das soll die Anfragen absichern. Die geplante, großangelegte Studie mit Cloudflare sorgt allerdings für Kritik aus der Community.

Der stärkste je gemessene DDoS-Angriff hat Github getroffen. Einige Dienste sind kurz offline gewesen. Schuld sind unsicher konfigurierte Memcached-Server. Ein Patch steht bereit.

Die TLS-Arbeitsgruppe der IETF hat ihre Arbeit an Version 1.3 des Verschlüsselungsprotokolls abgeschlossen. Jetzt muss noch der Rest des Standard-Gremiums zustimmen, was aber noch dauern könnte.

2017 wurde viel Firmware und andere grundlegende Computertechnik produktiv auseinandergenommen und kaputt gemacht. Gut so, denn die Fundamente moderner Computer sind oft brüchig.
Eine Analyse von Hauke Gierow

34C3 Im Streit über die verbotene Volksabstimmung zur Autonomie Kataloniens hat die Blockade von Internetseiten eine wichtige Rolle gespielt. Doch es hat Möglichkeiten gegeben, die Sperrungen zu umgehen und neuartige Verfahren zu testen.
Ein Bericht von Friedhelm Greis

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

Immer mehr Webseiten nutzen heimliches Kryptomining. Neben dem Plugin von Coinhive gibt es jetzt weitere Anbieter. Bekannte Webseiten aus den Alexa Top 100.000 sollen gemeinsam auf eine Reichweite von einer halben Milliarde Nutzer kommen.

Mit einer vorgeschlagenen Erweiterung für das kommende TLS 1.3 könnte die Verschlüsselung effektiv gebrochen werden. Internet-, Mobilfunk- und Cloud-Provider wollen dazu aber nicht öffentlich Stellung nehmen. Und die nächste ähnliche Idee steht schon wieder auf der Agenda.
Von Sebastian Grüner

Private Schlüssel von Cloudflare-Kunden sollen künftig nur noch in bestimmten Regionen gespeichert werden - wenn die Nutzer das wollen. Außerdem soll es beim DDoS-Schutz keine Begrenzungen mehr geben.

Google hat ein DDoS-Botnetz aus Android-Geräten lahmgelegt - und dazu 300 Apps aus dem Playstore entfernt. Rund 70.000 Smartphones wurden infiziert.

Nach den rassistischen Ausschreitungen in Virginia und dem Terroranschlag gegen Demonstranten kündigen einige Betreiber von Domain- und DNS-Diensten den Nazis - aber auf welcher Basis? Und geschieht dies nicht eher aus PR-Gründen, als aus innerer Überzeugung?
Ein IMHO von Hauke Gierow

Black Hat 2017 Mittels Caches von Content-Delivery-Netzwerken und Loadbalancern lassen sich geheime Daten aus Webservices extrahieren. Dafür müssen jedoch zwei Fehler zusammenkommen. Unter anderem Paypal war davon betroffen.

DNS-Anfragen werden bei Cloudflare künftig immer auch in IPv6 möglich sein. Kunden des DNS-Anbieters können die entsprechende Option jetzt nicht mehr deaktivieren. In Kooperation mit OpenDNS soll ein Request für IPv6 und IPv4 gleichzeitig entstehen.

Wer heute eine Einladung für ein Google-Docs-Dokument bekommen hat, sollte dieser auf keinen Fall Folge leisten - denn es dürfte sich in den meisten Fällen um eine Phishing-Kampagne handeln. Wer klickt, gibt seine Kontakte frei und bekommt Scareware-Anzeigen. Die Macher scheinen vom Erfolg überrascht.

Wie schlimm war Cloudbleed wirklich? Mit Hilfe einer Analyse der eigenen Datensätze will Cloudflare das beantworten.

Amazon wollte zuerst nicht von einem Ausfall sprechen, die Nutzer schon: Das AWS-Rechenzentrum US-East-1 meldete "erhöhte Fehlerraten" beim Cloud-Dienst S3. Zahlreiche Webdienste waren nicht erreichbar, auch die Fire-TV-Dienste und Amazon Music konnten nicht genutzt werden.

Durch einen Bug im HTML-Parser des CDN-Anbieters Cloudflare verteilte dieser private Nachrichten von Datingbörsen, Passwörter und interne Keys über unzählige Webseiten. Vieles davon fand sich in den Caches von Suchmaschinen wieder.

Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
Von Hanno Böck