In einem Gespräch mit Wired bemüht sich Präsident Obamas Chef der Cybersecurity, Michael Daniel, das Bild der Geheimdienste zu verbessern. Diese würden Sicherheitslücken nicht in großer Zahl sammeln, sondern oft melden. An Transparenz darüber haben die Dienste aber kein Interesse.
Ein populäres jQuery-Plugin liefert Code mit einer Cross-Site-Scripting-Lücke aus. Der verwundbare Code stammt ursprünglich von einem Beispielskript für Captchas, das auf sehr vielen Webseiten zu finden ist.
Wer einen Windows-Server betreibt, sollte dringend von Hand nach Updates suchen: In allen unterstützten Versionen gibt es eine Lücke, durch die sich Systeme bis zum Domänencontroller übernehmen lassen. Auch für die Desktopversionen gibt es bereits Patches.
Ein neues Windows-Tablet für professionelle Anwender hat Fujitsu vorgestellt. Das Q555 bietet zwei USB-Ports vom Typ A, einen Smartcard-Reader, und eine optionale Tastatur. Obwohl in dieser kein Akku steckt, soll die Laufzeit lang sein.
Ein älteres Ubisoft-Spiel namens Cubic Ninja ist offenbar unfreiwillig der Schlüssel: Ein Hacker hat es damit geschafft, Homebrew-Software auf der 3DS-Plattform von Nintendo auszuführen - auch auf neuen Geräten.
Er sollte den Patriot Act reformieren, doch der USA Freedom Act scheiterte überraschend im US-Senat. Die Senatoren argumentieren mit der Bedrohung durch die Terrorgruppe Islamischer Staat.
Eine neue, gemeinnützige Zertifizierungsstelle soll die Verbreitung von HTTPS-Verbindungen fördern. Beteiligt sind neben Mozilla und der EFF auch große Unternehmen wie Akamai und Cisco.
Biometrie enttarnt nicht nur kriminelle Passfälscher, sondern auch Agenten. Ironischerweise sucht deshalb auch der BND nach Wegen, um Gesichtserkennung zu umgehen.
Das jüngste Whatsapp-Update liefert eine Ende-zu-Ende-Verschlüsselungsfunktion mit. Die kommt ausgerechnet vom freien Konkurrenten Textsecure und gilt als besonders sicher.
Das BSI soll Zero-Day-Exploits nicht nur sammeln, sondern auch veröffentlichen. Nur so könnten sich Unternehmen und Privatpersonen gegen die ständig zunehmenden IT-Angriffe schützen, fordert Hartmut Pohl von der Gesellschaft für Informatik.
Vor 30 Jahren gelang Mitgliedern des Chaos Computer Clubs ein spektakulärer Hack, bei dem sie der Hamburger Sparkasse mit Hilfe des Btx-Systems 135.000 Mark in Rechnung stellten. Über den genauen Ablauf sind sich Hacker und Btx-Verantwortliche bis heute uneinig.
Das Rooten von Android-Geräten wird mit Android 5 deutlich schwieriger. Google hat das Sicherheitsframework SE Linux systemweit aktiviert. Nutzer müssen jetzt noch mehr zwischen der Kontrolle über ihr Gerät und der Sicherheit des Systems abwägen.
Die Pläne zur Einführung einer Pkw-Maut hängen an nötigen Abstimmungen mit dem Finanzministerium. Nun droht eine Blockade des Gesetzentwurfs in der Koalition.
Der BND will Millionen für ein Gerät zur Analyse von Kryptochips ausgeben. Ob es ihm damit gelingt, verschlüsselte Nachrichten nachträglich zu entziffern, ist fraglich.
Der BND vertritt eine eigene Rechtsauffassung, wie im NSA-Untersuchungsausschuss deutlich wurde. Offenbar späht er aus, auch wenn er es eigentlich nicht dürfte.
Chinesische Behörden haben die Verhaftung dreier Männer gemeldet. Sie sollen die Malware Wirelurker programmiert und verbreitet haben. Außerdem wurde der Maiyadi App Store vom Netz genommen.
Seit kurzem verraten zwei blaue Häkchen, ob eine Nachricht bei Whatsapp gelesen worden ist. Bei den Nutzern ist das umstritten. Eine neue Version des Messengers überlässt dem Nutzer die Entscheidung.
Alle Parteien sind für ein möglichst flächendeckendes WLAN-Netz in Deutschland. Eine komplette Abschaffung der Störerhaftung wird es aber nach dem Willen der Koalition nicht geben.
Angriffe über die jüngst entdeckte Schwachstelle Masque Attack seien bisher nicht registriert worden, sagt Apple. Nutzer werden jedoch davor gewarnt, Software aus nicht vertrauenswürdigen Quellen zu installieren.
Einmütig sprechen sich die Datenschützer von Bund und Ländern gegen die Mautpläne der Regierung aus. Bis zu 13 Monaten könnten die Daten der Fahrzeuge gespeichert werden, kritisieren sie und befürchten eine "lückenlose Überwachung".
Mehr Sicherheit für persönliche Daten: Ab Android 5.0 aktiviert Google die automatische Verschlüsselung. Es ist nur eine von vielen zusätzlichen Sicherheitsfunktionen in Lollipop.
US-Marshals setzen Imsi-Catcher in Flugzeugen ein, um Mobiltelefone großflächig zu erfassen. Die mit der Technik ausgestatteten Kleinflugzeuge sind auf mindestens fünf Standorte in den USA verteilt.
Neue Datenschutzregeln bei Facebook: Das soziale Netzwerk will mehr Informationen von deutschen Nutzern auswerten, um ihnen relevantere Werbung zu zeigen. Gleichzeitig gibt Facebook seinen Mitgliedern mehr Kontrolle über die Inhalte der Anzeigen.
Der Bundesnachrichtendienst hat Details zur Überwachung am Internetknoten Frankfurt genannt. Die Weitergabe von 500 Millionen Daten aus Bad Aibling an die NSA sei eine "normale Größenordnung", sagte ein hochrangiger BND-Mitarbeiter dem NSA-Ausschuss.
Auf der Konferenz Pacsec hat der Berliner Sicherheitsforscher Karsten Nohl weitere Details zu dem von ihm BadUSB genannten Angriffsszenario auf PCs vorgeführt. Nicht nur USB-Sticks, sondern alle Geräte von der Webcam bis zum Hub lassen sich für BadUSB umprogammieren.
Update Wie viele Nutzerdaten dürfen zum Schutz der IT-Sicherheit gespeichert werden? Die geplanten Regelungen des neuen Gesetzes stiften Verwirrung und werden heftig kritisiert.
Für eine schwere Sicherheitslücke in sämtlichen Windows-Versionen hat Microsoft einen Patch veröffentlicht. Betroffen sind Windows-Rechner, die einen Web- oder auch einen FTP-Server betreiben.
Die Sicherheitslücken reichen von XSS-Fehlern über unsichere Formulare bis hin zu SQL-Injection-Schwachstellen: In drei weit verbreiteten E-Mail-Marketing- und Newsletter-Diensten haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie sind in Absprache mit den Herstellern inzwischen behoben worden.
Deutschland und Brasilien wollen mit einer gemeinsamen UN-Resolution die Überwachung von Bürgern einschränken. Vor allem die Speicherung von Metadaten soll schwieriger werden. Bindend ist der Vorschlag aber nicht.
Wie hat sich der mysteriöse Computerwurm Stuxnet verbreitet? Diese Frage will Kaspersky nun beantwortet haben. Und räumt dabei mit einem weitverbreiteten Mythos auf.
Das umstrittene Anonabox-Projekt hat eine neue Crowdfunding-Kampagne bei Indiegogo gestartet. Kickstarter hatte einen ersten Finanzierungsversuch des Projekts beendet - mangels Innovation.
Unbekannte nutzen offene Netzwerke im Hotel, um gezielt die Rechner hochrangiger Gäste anzugreifen. Sie nutzen dabei mehrere Angriffsmöglichkeiten, darunter 0-Days, und laden Spionagesoftware über P2P-Netzwerke herunter.
Die Entwickler der GPG Suite haben eine Betaversion ihrer Verschlüsselungssoftware für Apples aktuelles Betriebssystem Mac OS X 10.10 Yosemite veröffentlicht. Das ist die letzte kostenfreie Version.
Die Polaris-Initiative soll die Privatsphäre von Firefox-Nutzern weiter verbessern. Dafür kooperiert Mozilla mit dem Tor-Projekt und testet Maßnahmen gegen Tracking.
Vor einer weiteren Angriffsmethode auf iOS warnen Datenexperten. Mit Masque Attack lassen sich manipulierte Apps über bestehende installieren. Grund ist eine unzureichende Zertifikatsprüfung.
Kurze RSA-Schlüssel lassen sich schneller und günstiger brechen, wenn man einen Angriff auf viele Schlüssel gleichzeitig durchführt. Insbesondere bei DNSSEC sind RSA-Schlüssel mit 1.024 Bit noch in breitem Einsatz.
Update "An Dreistigkeit kaum zu überbieten": Der Chaos Computer Club kritisiert die angeblichen Pläne des BND zum Ankauf von bislang unbekannten Sicherheitslücken. Das Geld ließe sich viel besser verwenden.
Der BND hat Millionen Euro für Informationen über unbekannte Exploits eingeplant, um staatliche Malware zu schaffen. Damit will der Geheimdienst "auf Augenhöhe mit führenden westlichen Nachrichtendiensten" kommen. Das BSI war hier bereits aktiv.
Eine effizienten Art des Phishing hat Google untersucht. Die Studie zeigt, dass die Angriffe raffinierter werden, so dass viele Nutzer darauf hereinfallen. Das Ziel ist nicht mehr nur Identitätsdiebstahl, sondern konkreter finanzieller Schaden.
Neben Silk Road 2.0 wurden auch zahlreiche weitere illegale Handelsplattformen im Tor-Netzwerk gesperrt. Die Razzia war eine koordinierte Aktion zwischen europäischen und US-Behörden.
Die wichtigsten Funktionen zum Live-Patching des Linux-Kernels aus Kgraft und Kpatch könnten vereint werden. Der Code dazu steht nach einer Diskussion nun bereit.
Menschen zu Hause in ihrem Fernsehsessel oder bei der Arbeit am Rechner: Das zeigt eine Webseite - ohne dass die Betroffenen davon wissen. Die unbekannten Betreiber haben dafür weltweit Tausende Webcams angezapft.
Am 11. November 2014 will Microsoft eine ungewöhnlich hohe Anzahl an Sicherheitslücken per Windows-Update schließen. Allein fünf der Bugs stuft Redmond als kritisch ein, sie betreffen alle noch unterstützten Windows-Versionen, eine davon den Internet Explorer. Insgesamt gibt es 16 Patches.
Facebook räumt App-Anbietern den Zugriff auf den Chat ein und erlaubt das Posten auf der Seite des Nutzers. Die Einwilligung dazu ist unterhalb des Buttons in kleiner, hellgrauer Schritt versteckt. Das ist rechtswidrig, urteilt das Landgericht Berlin.
Update Der Onlineshop des Elektronikhändlers Conrad.de war von einer Datenpanne betroffen. Nach Hinweisen eines Kunden und später von Golem.de behob das Unternehmen umgehend die Schwachstelle.
Whatsapp, Facebook und Google sollen ihre Dienste öffnen, so dass Nutzer ihre Daten austauschen und kommunizieren können, wie es Netzbetreiber über Roaming erlauben. Das fordern Telekom, Vodafone und Telefónica.
Update Sicherheitsexperten warnen vor einer neuen Malware, die gezielt Produkte von Apple angreife. Wirelurker soll die bislang größte Attacke auf die Systeme des US-Konzerns sein.
