Datensicherheit

Die SEA hat erneut westliche Medien angegriffen, darunter die Tageszeitung Washington Post und der Fernsehsender CNN. Die Cracker verschafften sich über einen Empfehlungsdienst Zugang zu den Seiten der US-Medien.

IBM hat den Hersteller von Sicherheitssoftware Trusteer für 1 Milliarde US-Dollar gekauft. In das 2006 gegründete Unternehmen wurden nur 10 Millionen US-Dollar investiert. Die Software Rapport kommt bei Banken zum Einsatz.

Die EU ist gefordert, und einen kleinen Gipfel gibt es auch: Die Bundesregierung hat im Kabinett Maßnahmen für den Schutz der Privatsphäre beschlossen. Dabei gibt es aber nur ein konkretes Ergebnis und einen Aufruf an die deutsche IT-Branche.

Erstmals, seit Adobe seinen eigenen Patchday zum Microsoft Patch-Tuesday synchron geschaltet hat, muss Adobe keine Sicherheitslücken schließen. Windows-Anwender müssen dennoch patchen, denn Microsoft hat ein paar gefährliche Sicherheitslücken in seinen Betriebssystemen - inklusive Rechteausweitung.

Für die De-Mail ist End-to-End-Verschlüsselung nicht im neuen Gesetz vorgeschrieben. Doch die Bundesregierung will jetzt ein Gütesiegel für Verschlüsselung entwickeln und vergeben, um dem Mittelstand sichere Produkte an die Hand zu geben. Der Minister geht davon aus, dass sich ein normaler Mittelständler mit Verschlüsselung nicht so gut auskennt.

Die Website der tibetischen Exilregierung ist gehackt und mit Schadsoftware infiziert worden. Der Angriff richtet sich gegen chinesische Besucher des Webangebots.

Das Verschlüsseln der Daten vor dem Verschicken über das Internet ist nichts wert, wenn das System, auf dem verschlüsselt wird, schon vom Angreifer beherrscht wird. Darum stellt Ubuntu-Privacy-Remix eine abgeschottete Umgebung für vertrauliche Korrespondenz bereit.

Die Xbox One funktioniert auch ohne Kinect: Das hat Microsoft bekanntgegeben und damit erneut eine dramatische Kehrtwende bei der Vermarktung seiner Konsole hingelegt. Eine Xbox One ohne Kinect solle es aber nicht geben - sagt der Hersteller jedenfalls derzeit.

Update Auf Grund einer Schwachstelle in dem Zufallszahlengenerator in Android gelten sämtliche dort verwendeten virtuellen Geldbörsen als unsicher.

In der Innenstadt Londons stehen öffentliche Mülltonnen, die mit einem WLAN-Modul und einem Bildschirm ausgestattet sind. Die Renew Orbs tracken die WLAN-Geräte der Passanten, um ihnen darauf zielgenaue Werbung zu präsentieren.

Update Egal ob Festnetz oder Mobilfunk: Mit computergesteuerten Überwachungssystemen wertet die Telekom alle Telefonate aus. Laut einem Bericht gibt es Überlegungen, künftig "unwirtschaftliche Kunden" mit Flatrate-Verträgen in teurere Tarife zu drängen. Die Telekom weist diese Darstellung zurück.

Update Seit den Enthüllungen von Edward Snowden gilt die Verschlüsselung von E-Mails plötzlich als angesagt. Doch von einem Boom kann trotz aller Kryptopartys noch lange keine Rede sein. Wie Teenagersex, sagen Netzpolitiker.

Bei ihren Durchsuchungen von Internetdaten gehen die Mitarbeiter der NSA auch Informationen über Dritte nach, die bereits überwachte Personen erwähnen. Das kann auch US-Bürger betreffen. Einen Durchsuchungsbefehl benötigen sie dafür nicht.

Das US-Unternehmen Keyme hat eine iOS-App veröffentlicht, die digitale Kopien von Schlüsseln erstellt und speichert. Mit diesen Kopien kann bei Verlust eines Schlüssels ein neuer Schlüssel nachgemacht werden.

Auf einschlägigen Foren wird ein Banking-Trojaner für Linux verkauft. "Hand of Thief" soll unter anderem Code in Webseiten von Banken injizieren können.

Wegen Angeboten zum Hacken des Nintendo DS verklagt der Hersteller eine US-Hackingseite. Dabei geht es wohl auch darum, frühzeitig gegen die sogenannten Gateway-Karten zu kämpfen, mit denen sich der 3DS knacken lässt.

Update Eltern in Hamburg sind wütend, weil ihre Kindern trotz Chipkarte ihren Fingerabdruck abgeben mussten. Ohne biometrische Erkennung soll es für die Grundschüler kein Essen gegeben haben.

Die OpenX-Entwickler haben die Downloadpakete ihres gleichnamigen Adservers korrigiert. Die Version 2.8.10 hat eine gefährliche Hintertür, die Angreifer in die Serverpakete einschmuggelten. OpenX 2.8.11 korrigiert diesen Fehler, der nur die freie Version betraf.

Trotz des Informationsfreiheitsgesetzes gibt es keinen Einblick in den Vertrag, mit dem ein Staatstrojaner vom BKA angeschafft wurde. Begründung: Rückschlüsse auf das verwendete Gesamtsystem, dessen Hardware, eventuelle Schwachstellen sowie die polizeilichen Methoden wären durch eine Vertragseinsicht möglich.

Der frühere NSA-Chef Michael Hayden hat sein eigenes Bild über die Verteidiger von Edward Snowden. Dies seien "Nihilisten, Anarchisten, Aktivisten, Lulzsec, Anonymous und Twens, die seit fünf oder sechs Jahren nicht mit dem anderen Geschlecht gesprochen haben".

Der Softwareentwickler Elliott Kember hat eine Diskussion über Chromes Umgang mit gespeicherten Passwörtern angestoßen und kritisiert, dass Chrome diese im Klartext anzeigt. Justin Schuh, der für die Sicherheit von Chrome verantwortlich ist, sieht darin kein Problem.

In Putty 0.62 und früheren Versionen befinden sich insgesamt vier Sicherheitslücken. Entwickler Simon Tatham hat deswegen eine neue Version veröffentlicht, mit der Anwender ihre alte Version ersetzen sollten.

Seit rund zehn Monaten befindet sich im Adserver OpenX eine Hintertür, wie Heise Security herausgefunden hat. Angreifer nutzen die Lücke bereits fleißig aus. Wie der verschleierte Code in die OpenX-Pakete kam, ist noch unbekannt.

Von der Regierung unbemerkt, ist ein Teil des NSA-Skandals verpufft: Die millionenfache Übermittlung deutscher Daten an die NSA lässt sich wohl nicht belegen. Doch schon gibt es Verwirrung zu den nächsten Fragen.

Der über den Webhoster Freedom Hosting verteilte Schadcode dient tatsächlich der Identifizierung von Tor-Nutzern. Das hat das Anonymisierungsprojekt bestätigt. Der Schadcode wird über eine Schwachstelle in Firefox eingeschleust.

Mit dem NSA-Skandal ist bei Firmen die Furcht vor Cyber-Attacken aus den USA stark gestiegen. Doch viele vertrauen weiter auf Firewalls und schwierige Passwörter.

Der österreichische Sicherheitsforscher Stefan Viehböck hat einmal mehr eine kritische Sicherheitslücke in DSL-WLAN-Routern von Vodafone entdeckt. Die WPS-PIN der Router lässt sich anhand ihrer MAC-Adresse errechnen.

Update Freedom-Hosting-Seiten haben Schadcode über eine Schwachstelle in der Unternehmensversion von Firefox ausgeliefert, auf der der Tor-Browser basiert. Mit dem Angriff sollten offenbar Nutzer, Besucher und Administratoren von kinderpornografischen Seiten identifiziert werden.

Update Google integriert eine neue Sicherheitsfunktion in Android: Mit ihr können Nutzer verlegte oder verlorene Smartphones und Tablets wiederfinden. Ist das Gerät unwiderruflich verloren, können per Fernzugriff die Daten darauf gelöscht werden.

Das Internet der Dinge eröffnet auch ungeahnte Möglichkeiten für Bösewichte, die die Geräte hacken können, wenn sie Sicherheitslücken aufweisen. Jetzt hat es einen Hersteller von Toilettenschüsseln erwischt.

Der Hacker Sprite_tm hat sich Festplatten und deren Aufbau genauer angesehen. Da diese Zugriffe von außen auf die Embedded-Hardware erlauben, können Angreifer eine Firmware entwickeln, die Daten auf dem Weg von den Plattern zu dem Controller verändert.

Eine der beiden Datensammelstellen, über die die NSA allein in einem Monat 500 Millionen Metadaten erfasst hat, liegt in Bad Aibling auf dem Gelände des BND. Das hat der BND zugegeben.

Staatliche Stellen in den USA greifen auch auf die Profile deutscher Onlinekäufer zu. Das kann laut Peter Schaar im NSA-Skandal als sicher gelten.

Zum Schutz der Privatsphäre hat die Bundesregierung laut Guido Westerwelle das G-10-Abkommen Deutschlands mit den USA und Großbritannien von 1968 gekündigt. Dieses machte den BND und den Verfassungsschutz zu Dienstleistern für die Geheimdienste der drei Westmächte.

Liegen dem BND Daten über mich von ausländischen Geheimdiensten vor? Das zu erfahren, sei nahezu unmöglich, sagt der Experte für Geheimdienstrecht N. Gazeas im Interview.

Nach dem Bericht über Angriffe der NSA auf das interne Computernetzwerk der EU und Abhörgeräte in Gebäuden überlegt EU-Justizkommissarin Viviane Reding, was sie sagt. Sie ist "sehr vorsichtig mit dem", was sie im Büro oder am Telefon bespricht.

Ein Team von Wissenschaftlern um den Ucla-Professor Amit Sahai soll eine Möglichkeit gefunden haben, Code zu erzeugen, bei dem Reverse-Engineering nicht möglich ist. Die Arbeit ist aber theoretischer Natur.

Das ZDF berichtet, wie die NSA an die Daten am deutschen Internetknoten DE-CIX kommt. Level 3 erklärte: "Der Bericht ist falsch."

Der Bitkom rät: Unternehmen sollten den NSA-Skandal zum Anlass nehmen, grundsätzlich über ihre IT-Sicherheit nachzudenken und zu verschlüsseln.

Ein Netzteil birgt unerwartete Gefahren für iOS-Benutzer. Darüber kann unautorisiert Software auf dem iPhone oder iPad installiert werden. Das haben Forscher auf der Black-Hat-Konferenz demonstriert. Apple bietet erst ab iOS7 einen Abwehrmechanismus.

Das Programm XKeyscore erlaubt direkten Zugriff auf Nutzerdaten. Ein Analyst muss nur allgemeine Gründe für die Durchsuchung eingeben. Die Datenmenge ist so groß, dass sie nur drei bis fünf Tage gespeichert werden kann. Metadaten in 41 Milliarden Datensätzen bleiben bis zu 30 Tage vorrätig.

Wer sich wie Brian Krebs in illegalen Foren bewegt, um diese auszuforschen, hat viele Feinde. Einen Angriff auf seine Person konnte Krebs nun in Echtzeit verfolgen: Er entdeckte den "Helping Brian Fund", der Bitcoins sammelte, um ihm Heroin für seine angebliche Drogenabhängigkeit zu beschaffen.

Beim Aufbau von TLS-Verbindungen kann Firefox künftig Informationen über die Gültigkeit eines Zertifikats mitliefern. Das sogenannte OCSP Stapling wird damit von allen großen Browsern unterstützt, aber bei den Servern gibt es noch Probleme.