Datensicherheit

Der Kryptographie-Spezialist und Hacker Karsten Nohl hat bei der Sicherheitskonferenz Black Hat gezeigt, wie sich GSM-Telefonate mit Standardhardware entschlüsseln lassen. Die entsprechende Software stellt seine Berliner Firma Security Research Labs frei zur Verfügung.

Gnome-Entwickler fordern einen Umbruch für den Gnome-Desktop: Er solle künftig auf HTML und CSS setzen statt auf GTK+ und Python. Das sagte Luis Villa, Mitglied im Gnome-Beirat, auf der Entwicklerkonferenz GUADEC.

Die Android-App Jackeey Wallpaper sammelt persönliche Daten und verschickt sie an einen Server in Shenzhen in China, darunter auch die Nummer der SIM-Karte und das Voicemal-Passwort. Die App wurde bereits millionenfach heruntergeladen und installiert.

Ab Herbst 2010 will sich Adobe am Microsoft Active Protections Program (MAPP) beteiligen. Damit sollen vor allem Hersteller von Sicherheitsprodukten vor der Allgemeinheit auf Sicherheitsrisiken in Produkten hingewiesen werden.

Ein besonders weit verbreiteter Schädling setzt auf eine neue Angriffsmethode: Per E-Mail verteilt das Zeus-Botnetz jetzt Verknüpfungen, die den angegriffenen Rechner in einen Zombie-PC für weitere Aktionen verwandeln.

In Apples Quicktime ist ein Sicherheitsloch gefunden worden, über das Angreifer beliebigen Schadcode einschleusen und ausführen können. Ein befallenes Windows-System kann von Unbefugten kontrolliert werden.

Bots werden es künftig leichter haben, Facebook-Nutzer mit Spam und Phishing-Einladungen zu überhäufen. Grund ist ein neuer Crawler, mit dem sich die Namen und Links zu Facebook-Konten auslesen lassen. Ein 10-GByte-Datensatz mit 170 Millionen Links liegt Golem.de vor.

Googles erweiterte Sicherheitsinitiative für Chrome zeigt Erfolg: Die Entdecker zweier Sicherheitslücken in Googles Browser erhielten die vom Anbieter ausgelobten 1.337 US-Dollar. Vier weitere Sicherheitslecks in Chrome wurden mit jeweils 500 US-Dollar prämiert.

Das Solarflugzeug Zephyr hat einen neuen Langstreckenrekord aufgestellt: Das vom britischen Unternehmen Qinetiq gebaute unbemannte Fluggerät kreiste 14 Tage lang über dem US-Bundesstaat Arizona.

Es ist möglich, ein WPA2-geschütztes WLAN von innen zu kompromittieren, ohne den Schlüssel zu knacken. Das Unternehmen Airtight Security will die Hole196 genannte Sicherheitslücke auf den Sicherheitskonferenzen Black Hat und Defcon demonstrieren.

Erste Schädlinge, die eine offene Sicherheitslücke in Windows ausnutzen, sind gesichtet worden. Ein Fehler bei der Anzeige von Verknüpfungen sorgt dafür, dass Schadcode ohne Zutun des Opfers ausgeführt werden kann. Microsoft bietet immer noch keinen Patch an.

Dell geht davon aus, das nur wenige Austausch-Mainboards mit Malware infiziert sind. Vor wenigen Tagen hatte ein Dell-Mitarbeiter im Forum einem Kunden gegenüber bestätigt, das Spyware in der Konfigurationssoftware von Mainboards der Server-Reihe Poweredge R410 ausgeliefert worden war.

Mit PHP 5.3.3 und 5.2.14 veröffentlicht das PHP-Team zwei Bugfixupdates der freien Scriptsprache, die diverse Sicherheitslücken schließen. Eine Änderung in PHP 5.3 ist nicht abwärtskompatibel.

Insgesamt 38 US-Bundesstaaten haben sich einer Untersuchung von Googles Datenschutz-Panne im Zusammenhang mit Street View angeschlossen. Google hatte bei seinen Fotofahrten WLAN-Daten aufgezeichnet, einschließlich E-Mails und Passwörtern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der gefährlichen Sicherheitslücke in Windows in Verbindung mit Verknüpfungen. Die bereits ausgenutzte Lücke erfordert Workarounds, die Microsoft als einfach zu bedienendes Fix it anbietet.

Dell hat eine Warnung an Kunden ausgegeben, die den Poweredge R410 Rack Server verwenden: In der Firmware des Mainboards, das auch eine Konfigurationssoftware mitbringt, hat sich Spyware eingenistet.

Im ersten Halbjahr 2011 will Microsoft die Arbeiten am Service Pack 1 für Windows 7 und Windows Server 2008 R2 abgeschlossen haben. Seit über einer Woche kann die Betaversion des Service Pack 1 ausprobiert werden.

Die aktuelle Version 1.5 der Linux-Distribution Damn Vulnerable Linux - Codename Infectious Disease - bietet ein vollkommen unsicheres System mit kaputten Anwendungen, an dem sich Hacker-Lehrlinge austoben können. Beigelegte Anleitungen informieren angehende Sicherheitsexperten über Buffer-Overflows, Shellcode-Entwicklung, Web-Exploits oder SQL-Injection.

Für das Finden gefährlicher Sicherheitslücken in Chrome oder Chromium hat Google die Prämie erhöht. Künftig werden bis zu 3.133,70 US-Dollar für eine Lücke bezahlt. Auch Mozilla hatte diesen Monat die Prämie für gefundene Sicherheitslücken aufgestockt.

De-Mail ist nicht sicher, meldet die Frankfurter Rundschau. De-Mails würden bei dem System nicht durchgängig verschlüsselt, sondern auf den Servern entschlüsselt und neu verschlüsselt.

Mit der Veröffentlichung von Firefox 3.6.7 und Thunderbird 3.1.1 schließen Mozilla und Mozilla Messaging diverse Sicherheitslücken in der Software. Parallel dazu erschienen Firefox 3.5.11, Thunderbird 3.0.6 sowie Seamonkey 2.0.6, um vor allem Sicherheitslecks zu beseitigen.

Apple hat sich zu den Änderungen der Datenschutzbestimmungen für iPhone- und iPad-Besitzer geäußert und nennt Details. Wenn der Nutzer zustimmt, sammelt Apple umfassend Standortdaten von iPhone- und iPad-Kunden, aber auch von Nutzern von Mac OS und Safari.

Anonymität, Schutz der Privatsphäre, Netzneutralität, neues Urheberrecht - das sind Bedingungen, um das Netz lebenswert zu machen, sagt der Chaos Computer Club. Die Organisation hat elf Thesen zusammengestellt. Ein Gegenentwurf zu dem Internet, das Innenminister Thomas de Maizière vorschwebt.

Die freie Verschlüsselungssoftware Truecrypt unterstützt in der Version 7.0 Hardwarebeschleunigung, wenn es um das Verschlüsseln mit AES geht. Zudem bietet die Software weitere Verbesserungen.

Apple hat eine neue Version von iTunes veröffentlicht. Sie beseitigt kleinere Fehler und eine Sicherheitslücke, die für Angriffe genutzt werden könnte.

Mozilla zahlt jetzt 3.000 US-Dollar für eine gefundene Sicherheitslücke. Damit erhalten Sicherheitsforscher deutlich mehr Geld als bisher, wenn sie ein Sicherheitsleck in einem Mozilla-Produkt finden und melden.

Die Schufa erfüllt die seit 1. April 2010 geltenden weitgehenden Transparenzregeln beim Scoring nicht, kritisiert das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein. Sparkassen, Banken und andere Unternehmen in Schleswig-Holstein dürften daher die Scoringwerte der Schufa nicht verwenden.

Diverse Heimrouter enthalten eine Sicherheitslücke, die sie anfällig für eine neue Form von DNS Rebinding-Angriffen machen. Der Sicherheitsexperte Craig Heffner will bei der Black-Hat-Konferenz eine Software veröffentlichen, die die Schwachstelle in verschiedenen, weitverbreiteten Modellen ausnutzt.

Ein neuer Digitizer-Stift von Livescribe, der Echo Smartpen, bietet mehr Speicherplatz für vertonte Mitschriften und Apps. Ab Herbst 2010 sollen der Echo und sein Vorgänger Pulse mit neuer Software im Funktionsumfang erweitert werden.

USB-Sticks, SD-Karten, externe Festplatten - all diese Datenträger können für eine neu entdeckte Sicherheitslücke verwendet werden, die durch gezielte Angriffe bereits ausgenutzt wird.

Fristgerecht hat ein Teil des Arbeitskreises Vorratsdatenspeicherung eine Verfassungsbeschwerde gegen die kommende Volkszählung abgegeben. Damit besteht die Möglichkeit, dass die Volkszählung in der geplanten Form nicht durchgeführt werden kann.

Die deutsche Backtrack-Community trifft sich zum Backtrack-Day am 6. und 7. November in Fulda. Die Veranstaltung bietet Vorträge und Workshops sowie den nächtlichen Hacking-Wettbewerb Hacking Night.

Schüler sind im Umgang mit dem Internet zu leichtsinnig, warnt der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD). Er weist auf einen brisanten Fall hin: Ein Cracker verschaffte sich mit Hilfe eines Trojaners Zugriff auf die Webcams von Schülerinnen.

An eine der am strengsten bewachten Grenzen der Welt werden möglicherweise bald Roboter geschickt: Südkorea testet den Einsatz von ferngelenkten Robotern. Sie sind mit Überwachungstechnik und einer Schnellfeuerwaffe ausgerüstet.

Wie angekündigt beseitigt Microsoft diesen Monat mit vier Patches fünf Sicherheitslöcher in Windows und Office. Wie zu befürchten war, bleibt das seit einer Woche bekannte Sicherheitsleck in Windows 2000 für alle Zeiten bestehen, weil es keinen Support mehr für Windows 2000 gibt.

Insgesamt 59 Sicherheitslücken schließt Oracle im Rahmen seines Juli-Patchdays in seinen diversen Produkten. Darunter sind insgesamt 36 Lücken, die sich aus der Ferne ausnutzen lassen.

Bisher wurde Microsofts Cloud-Computing-Angebot Windows Azure ausschließlich in Microsofts eigenen Rechenzentren betrieben. Das soll sich mit "Windows Azure Platform Appliance" ändern. Zudem veröffentlichte Microsoft Betas von Windows Server 2008 R2 SP 1 und Windows 7 SP 1.

Per Reverse Engineering hat der Kryptologe Sean O'Neil nach eigenen Angaben das Skype-Protokoll entschlüsselt - durch ein Versehen seien die Ergebnisse mittlerweile in die Hände von Hackern und Spammern gelangt.

Die Länder wollen Google Street View reglementieren und haben dazu im Bundesrat einen Gesetzentwurf verabschiedet, mit dem die Privatsphäre der Bürger besser gewahrt werden soll.

Diesen Monat will Microsoft insgesamt fünf Sicherheitslecks mit vier Patches beseitigen. Die Mehrzahl der zu schließenden Sicherheitslücken wird als gefährlich eingestuft. Es werden auch zwei bereits bekannte Sicherheitslücken beseitigt.

Die Passwortverwaltungssoftware 1Password ist nun auch in einer Android-Variante erhältlich. Damit lassen sich eine Vielzahl unterschiedlicher Passwörter zum Beispiel für Websites verschlüsselt sichern und zum Einloggen verwenden. Auf Android-Geräten gibt es allerdings eine herbe Einschränkung.

Facebooks Tool Friendfinder ist seit heute Gegenstand eines Bußgeldverfahrens in Deutschland. Hamburgs Datenschützer sieht in der Erfassung und Speicherung von Daten unbeteiligter Dritter ein erhebliches Problem. Er erklärte Golem.de die Hintergründe.

In Windows 2000 und XP wurde ein neues Sicherheitsleck entdeckt. Darüber können Angreifer beliebigen Programmcode ausführen. Derzeit untersucht Microsoft das Sicherheitsloch.