Black Hat 2017 Mittels Caches von Content-Delivery-Netzwerken und Loadbalancern lassen sich geheime Daten aus Webservices extrahieren. Dafür müssen jedoch zwei Fehler zusammenkommen. Unter anderem Paypal war davon betroffen.
DNS-Anfragen werden bei Cloudflare künftig immer auch in IPv6 möglich sein. Kunden des DNS-Anbieters können die entsprechende Option jetzt nicht mehr deaktivieren. In Kooperation mit OpenDNS soll ein Request für IPv6 und IPv4 gleichzeitig entstehen.
Update Wer heute eine Einladung für ein Google-Docs-Dokument bekommen hat, sollte dieser auf keinen Fall Folge leisten - denn es dürfte sich in den meisten Fällen um eine Phishing-Kampagne handeln. Wer klickt, gibt seine Kontakte frei und bekommt Scareware-Anzeigen. Die Macher scheinen vom Erfolg überrascht.
Update Amazon wollte zuerst nicht von einem Ausfall sprechen, die Nutzer schon: Das AWS-Rechenzentrum US-East-1 meldete "erhöhte Fehlerraten" beim Cloud-Dienst S3. Zahlreiche Webdienste waren nicht erreichbar, auch die Fire-TV-Dienste und Amazon Music konnten nicht genutzt werden.
Durch einen Bug im HTML-Parser des CDN-Anbieters Cloudflare verteilte dieser private Nachrichten von Datingbörsen, Passwörter und interne Keys über unzählige Webseiten. Vieles davon fand sich in den Caches von Suchmaschinen wieder.
Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.
Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
Update Das Einreiseverbot für Bürger aus sieben muslimischen Staaten hat im Silicon Valley Proteste hervorgerufen. Doch für die IT-Firmen könnten sich weitere Einreisebeschränkungen der Trump-Regierung als gravierender erweisen.
Der DDoS-Schutzanbieter Cloudflare konnte im Jahr 2013 einen National Security Letter abwehren, darf aber erst jetzt darüber sprechen. Unterstützt wurde das Unternehmen von der EFF.
Ein Computerchaos wegen der Schaltsekunde in der vergangenen Silvesternacht blieb zwar aus, der CDN-Anbieter Cloudflare berichtet trotzdem von einem kuriosen Fehler: Eines seiner DNS-Systeme zählte für einen Augenblick rückwärts.
Wer eine große Domain per DNS-Hijacking übernehmen will, sollte sich vorher Gedanken um die nötigen Hosting-Kapazitäten machen - wie eine Attacke auf Blockchain.info zeigt.
Cloudflare hat sich die aktuellen DDoS-Angriffe genauer angeschaut - und berichtet, dass einige Angriffe 1,75 Millionen HTTP-Anfragen pro Sekunde erzeugen.
Der Denial-of-Service-Angriff gegen den Journalisten Brian Krebs zeigt, welche Gefahren das Internet der Dinge für die Meinungsfreiheit birgt. Bislang deutet alles darauf hin, dass es noch viel schlimmer wird.
Nach der Enttarnung eines israelischen DDoS-Anbieters ist der Sicherheitsexperte Krebs selbst Opfer eines ungewöhnlichen Angriffs geworden. Seine Website ist vom Netz genommen worden.
Der Hack eines DDoS-Anbieters zeigt: Die Vermietung von Angriffskapazitäten ist ein einträgliches Geschäft. Ironischerweise versuchen die Anbieter, sich hinter dem DDoS-Schutz Cloudflare zu verstecken. Die Betreiber wurden mittlerweile in Israel festgenommen.
Gmane, ein wichtiges Archiv für Entwicklungs-Mailing-Listen, ist zurzeit nicht erreichbar. Der Betreuer hatte zuvor angekündigt, das Projekt eventuell komplett einzustellen, es aber möglicherweise auch anderen zu übergeben.
Update Kritiker sprechen von unbegrenzten Überwachungsmöglichkeiten, Symantec und Bluecoat von internen Tests: Dass Bluecoat mit einem neuen TLS-Zertifikat faktisch als Zertifikatsausgabestelle handeln kann, sorgt für Diskussionen.
Der Fehler in der Bildbearbeitung Imagemagick wird offenbar aktiv ausgenutzt. Die Sicherheitslücke wurde bereits kurz nach der Entdeckung publiziert, viele Serverbetreiber haben offenbar noch nicht gepatcht.
Cloudflare warnt derzeit vor dem Armada Collective. Allerdings nicht vor deren DDoS-Angriffen - sondern weil diese nur vorgetäuscht werden. Ordentlich Gewinn haben die Kriminellen trotzdem gemacht.
Lohnt es sich, einen eigenen Tor-Hidden-Service anzubieten? Facebook schreibt jetzt, dass die Zahl der aktiven Tor-Nutzer sich seit dem letzten Sommer verdoppelt hat.
Der Anti-DDoS-Spezialist Cloudflare schützt offenbar auch DDoS-Erpresser. Ein Problembewusstsein scheint es nicht zu geben. Cloudflares Antwort wirkt fast so, als würde man den Sinn des eigenen Geschäftsmodells infrage stellen.
Geht von Tor-Nutzern eine Gefahr aus? Das sagt zumindest Cloudflare und präsentiert Tor-Nutzern immer neue Captchas. Jetzt haben beide Seiten in dem Streit nachgelegt.
Die US-Regierung lädt zu einem Treffen mit ranghohen Managern aus dem Silicon Valley. Auf der Agenda: Wie die großen Technikfirmen bei der Terrorbekämpfung helfen können.
32C3 Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.
Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.
Die schwedische Domain der Torrent-Seite The Pirate Bay ist von der Staatsanwaltschaft beschlagnahmt worden. Dort soll künftig ein Warnhinweis erscheinen. Besucher werden bereits automatisch weitergeleitet.
Update Eine Cross-Site-Scripting-Sicherheitslücke gefährdet Nutzer von Wordpress-Blogs. Einen Fix gibt es noch nicht. Laut dem Entdecker der Lücke wurden seine Warnungen von Wordpress ignoriert.
Der Mozilla-Angestellte Daniel Stenberg vermutet, dass im kommenden Jahr Browser häufiger HTTP/2 als die alte Protokollversion verwenden werden. Dazu müsse die Webinfrastruktur aber noch verbessert werden, erklärt der Entwickler.
Die Webseiten unter der Domain Lenovo.com waren vorübergehend unter der Kontrolle der Hackergruppe Lizard Squad. Sie griff offenbar auch E-Mails ab. Es soll sich um Vergeltung für die von Lenovo eingesetzte Adware Superfish handeln.
Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.
Die illegale Plattform The Pirate Bay arbeitet mit einem Content Delivery Network in den USA zusammen. Zudem werfen die Betreiber dem jahrelang erprobten Team aus Moderatoren und Admins vor, ein Sicherheitsproblem zu haben.
Die Angriffe gegen Webseiten von Bundesregierung und Bundestag dauern unvermindert an und sind nicht leicht abzuwehren. Die SPD fordert erste technische Konsequenzen.
Cloudflare aktiviert künftig bei allen Kunden kostenlos verschlüsselte HTTPS-Verbindungen. Damit verdoppelt sich die Zahl der Webseiten im Netz, die verschlüsselt erreichbar sind.
Cloudflare bietet Kunden künftig ein neues Feature namens Keyless SSL, mit dem der Teil des TLS-Handshakes, der den privaten Schlüssel benötigt, ausgelagert werden kann. Damit können Unternehmen die Kontrolle über den Schlüssel behalten.
Es gab Gerüchte, Geheimdienste und Hacker hätten von der Heartbleed-Lücke längst gewusst und sie ausgenutzt, bevor sie publik wurde. Dafür gebe es keine Hinweise, heißt es jetzt in einer Studie.
Die Vagrant-Macher stellen mit Terraform ein Tool vor, mit dem sich die Infrastruktur etwa von Rechenzentren einfach in Code beschreiben und verwalten lassen soll.
Das bisher von Google gepflegte Apache-Modul für das SPDY-Protokoll ist nun offizieller Teil des Webservers. Das Modul soll Kernbestandteil der Version 2.4 und kommender Veröffentlichungen werden.
Der Datenverkehr zwischen den USA und Europa war gestört. Laut Seekabel-Betreiber Telia ging ein Update schief, ein größeres Content Delivery Network hat eine andere Erklärung.
Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.
Update Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.
Update Ein Fehler in OpenSSL lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist nicht mehr gewährleistet. Der Bug betrifft sehr viele Web- und Mailserver im Internet.
Wenige Wochen nach der Übernahme des Snort-Entwicklers Sourcefire hat Cisco die Schnittstelle zu dem Intrusion Detection System unter dem Namen OpenAppID öffentlich gemacht. Zudem wurde der Malware-Schutz des aufgekauften Unternehmens in Ciscos Sicherheitsportfolio integriert.
Der Netzwerksicherheitsanbieter Cloudflare hat in der Nacht einen massiven DDoS-Angriff auf einen seiner Kunden gemeldet. Es handele sich um einen NTP-Reflection-Angriff, der größer sein soll als der Angriff auf Spamhaus Mitte 2013.
In Spanien ist der mutmaßliche Sprecher der Gruppe verhaftet worden, die den großangelegten Angriff auf die Organisation Spamhaus initiiert haben soll. Die niederländischen Behörden werfen ihm vor, aktiv an dem DDoS-Angriff beteiligt gewesen zu sein.
