Ausgerechnet das Ministerium, das für den Bereich IT-Sicherheit in den USA verantwortlich ist, hat zahlreiche systemische Schwachstellen in seinem Netzwerk, wie ein Audit festgestellt hat. Es gibt falsch konfigurierte Windows-Systeme und zum Teil uralte Softwareversionen.
Mit einem neuen Spectre-Angriff können vertrauliche Daten ausgelesen werden, die mit Intels Software Guard Extensions geschützt werden. Der Angriff ist derzeit nur schwer zu entdecken, Intel will aber neue Software nachliefern.
Europäische Verlegerverbände und Startups wollen weniger Daten-, dafür aus ihrer Sicht aber mehr Verbraucherschutz. In einem offenen Brief kritisieren sie den bisherigen Entwurf der E-Privacy-Verordnung.
Adobe Flash ist chronisch mit Sicherheitslücken durchsetzt. Vor allem Browserhersteller versuchen daher, die Risiken zu minimieren. Offenbar mit Erfolg: Nur noch acht Prozent der Chrome-Nutzer laden einmal am Tag eine Seite mit Flash-Inhalten.
Die Malware auf den Rechnern des Auswärtigen Amtes soll per E-Mail mit den Command-und-Control-Servern der Angreifer kommuniziert haben. Die erste Infektion der Rechner erfolgte offenbar über eine manipulierte E-Learning-Plattform.
Die Business Software Alliance hat in diesem Jahr 24 Länder auf ihre Bereitschaft für Cloud-Dienste untersucht - Deutschland liegt vor Japan an der Spitze. Als Grund dafür werden solide Datenschutzgesetze genannt. Die Infrastruktur ist hingegen weit abgeschlagen.
Update Der E-Mail-Client sollte mit Bedacht gewählt werden. Mehrere Apps für Android haben die Kennwörter an den Anbieter der App übermittelt, wie der Sicherheitsexperte Mike Kuketz entdeckt hat.
Update Ab dem 25. Mai gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Trotz der nahenden Frist sind viele IT-Firmen schlecht vorbereitet. Wir erklären, was auf Geschäftsführung und Admins zukommt.
Facebook wird künftig alle Links auf der Plattform automatisch auf HTTPS umstellen, wenn dies möglich ist. Dafür nutzt das Unternehmen HTTP Strict Transport Security auf innovative Weise.
US-Strafverfolger haben Anklage gegen mehrere russische Staatsbürger wegen Beeinflussung der US-Präsidentschaftswahl 2016 erhoben. Vor Gericht werden sie sich dafür kaum verantworten müssen.
Angreifer können aus bereits trainierten Deep-Learning-Modellen private und sicherheitskritische Informationen extrahieren. Das funktioniert besonders gut mit kurzem Text, zeigt eine Forschungsarbeit der UC Berkeley.
Update Der Angriff auf das Netzwerk der Bundesregierung soll sich über eine Hochschule des Bundes bis hin zum Außenministerium gezogen haben. Der Bundestag hat in mehreren Sondersitzungen offenbar widersprüchliche Angaben von der Regierung erhalten.
Der stärkste je gemessene DDoS-Angriff hat Github getroffen. Einige Dienste sind kurz offline gewesen. Schuld sind unsicher konfigurierte Memcached-Server. Ein Patch steht bereit.
Windows-Nutzer sind künftig nicht mehr auf die Gunst der Mainboardhersteller angewiesen, wenn sie ihre CPU gegen Spectre patchen wollen. Zum Start gibt es die Microcode-Updates aus dem Windows-Catalog allerdings nur für eine Prozessorgeneration von Intel.
Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.
Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.
Update Mutmaßlich russische Hacker haben das Netzwerk der Bundesbehörden infiziert - sagen Sicherheitsbehörden. Doch viele Details zu dem Angriff sind zurzeit noch unklar. Die Opposition fordert Aufklärung.
Bei den Berliner Verkehrsbetrieben ist die Status-Seite des Apache-Webservers offen einsehbar gewesen, wie Golem.de entdeckt hat. Dort zu sehen gab es IP-Adressen von Webseitenbesuchern und E-Mail-Adressen von Kundenaccounts.
Update Angreifern soll es gelungen sein, in das vertrauliche Kommunikationsnetz der Regierung einzudringen. Verdächtigt wird die Gruppe APT28, auch bekannt unter dem Namen Fancy Bear. Die Opposition wirft der Bundesregierung Versäumnisse bei der IT-Sicherheit vor.
Die Mustang-GT-Verstärker von Fender bieten dank digitaler Emulation toll klingenden Sound, Internetanbindung und eine Bluetooth-Verbindung mit Smartphones. Diese ist offenbar ungesichert, weshalb Gitarristen andere Musik untergejubelt werden kann. Auch Presets sollen sich ändern lassen.
Das Startup Zifra aus Göteborg will erreichen, was Kamerahersteller seit Jahren verweigern: die verschlüsselte Speicherung von Bildern und Videos auf dem Gerät. Wir haben mit den Unternehmensgründern über ihre Pläne und die weitere Entwicklung gesprochen.
Der Europäische Gerichtshof in Luxemburg muss klären, ob Gmail ein Telekommunikationsdienst ist oder nicht. Google begrüßte dieses Urteil. Man strebe eine grundsätzliche Klärung der "einmaligen" deutschen Rechtslage an.
Was passiert, nachdem ein Unternehmen gehackt wurde - und welche Mechanismen werden dafür genutzt? Das Sicherheitsunternehmen F-Secure hat Zahlen des eigenen Incident-Response-Teams veröffentlicht und stellt fest: Besonders im Gaming-Sektor und bei Behörden gibt es gezielte Angriffe.
Wie werden die Informationen auf dem RFID-Chip im Reisepass auf Richtigkeit überprüft? In den USA bislang offenbar gar nicht, wie zwei Senatoren schreiben.
Was hält länger durch: das Smart-Home-Gerät oder der Server des Anbieters? Weil sie sich nicht auf den Hersteller verlassen wollen, haben zwei Hacker damit begonnen, Xiaomi-IoT-Geräte aus der Cloud zu befreien.
Bei HaveIBeenPwned können Nutzer aktuell rund eine halbe Milliarde Passwort-Hashes herunterladen. Damit könnten sie Dienste in die Lage versetzen, geleakte Passwörter abzulehnen.
Gefilmt werden und eine Frage mündlich beantworten: Ein neues biometrisches Captcha-System soll verhindern, dass Algorithmen die Abfragen austricksen. Die Lösungszeit macht dabei den Unterschied zwischen Mensch und Maschine.
Zusätzlich zu Iptables und Nftables könnte der Linux-Kernel mit Bpfilter künftig einen weiteren Mechanismus für Firewalls und Paketfilter bekommen. Die neuen Technik basiert auf BPF, das von einem Paketfilter zu einer universellen VM im Kernel gewachsen ist.
Update Eigentlich soll der CDU-Politiker Axel Voss versuchen, im EU-Parlament einen Kompromiss zum Urheberrecht zu finden. Doch nach Ansicht von Kritikern macht sein Vorschlag alles noch schlimmer.
Mit 50 Millionen US-Dollar soll die Weiterentwicklung von Signal vorangetrieben werden. Das Geld kommt von einem Mitgründer von Whatsapp - dem Messenger, der vor ein paar Jahren die Signal-Verschlüsselung übernommen hat.
Tesla hat einen Kubernetes-Pod ohne Kennwortschutz laufen lassen - und sich damit Kryptomining-Malware eingefangen. Derzeit wird außerdem eine Sicherheitslücke in Jenkins-Servern für eine weitere Kampagne ausgenutzt.
Dating-Apps wissen mehr über ihre Nutzer als mancher enge Freund. Doch viele Apps schützen diese Informationen nicht ausreichend. Im Gegenteil: Einige Anbieter teilen sogar intimste Details mit der Werbeindustrie.
Ein Flugsimulator-Addon hat bei einigen Nutzern Malware installiert, um einen Cracker zu finden. Das problematische Vorgehen soll auch erfolgreich gewesen sein - wurde aber mittlerweile trotzdem eingestellt.
Deutlich später als Linux und Windows hat nun auch das freie Unix-System FreeBSD Patches gegen die Meltdown- und Spectre-Angriffe bekommen. Die BSD-Entwickler sind erst sehr spät informiert worden und nutzen nun ähnliche Strategien wie bei den anderen Systemen.
In den vergangenen Tagen ist Facebook damit aufgefallen, dass das soziale Netzwerk die Telefonnummer für die Zwei-Faktor-Authentifizierung des Nutzers für das Verschicken seiner Benachrichtigungen missbraucht. Mittlerweile bestätigt Facebook dies und gibt einem Fehler im System die Schuld.
Die TLS-Arbeitsgruppe der IETF hat ihre Arbeit an Version 1.3 des Verschlüsselungsprotokolls abgeschlossen. Jetzt muss noch der Rest des Standard-Gremiums zustimmen, was aber noch dauern könnte.
Um seine Entwicklung an Ubuntu zu verbessern, will der Linux-Distributor Canonical automatisch Kenndaten der Hardware seiner Nutzer sammeln und ebenso Informationen zu installierten Paketen und Absturzberichten.
Update Wie genau kommt der Schufa-Score eigentlich zustande? Das wollen Algorithm Watch und die Open Knowledge Foundation zusammen herausfinden und bitten dafür um Geld - und später um Daten.
Vertreter der US-Geheimdienste und vom FBI meinen, dass US-Verbraucher keine Smartphones von Huawei oder ZTE verwenden sollten. Dies würde das Risiko für Spionage und Datenmanipulation erhöhen und China in die Lage versetzen, eine "Machtbasis im Netzwerk" aufzubauen. Huawei widerspricht.
Die bei den Olympischen Winterspielen in Pyeongchang eingesetzte Malware kann lernen - und gibt ihr Wissen an andere Installationen weiter. Die Schadsoftware ist darauf ausgerichtet, Windows-Systeme unbenutzbar zu machen.
Speicherfehler im Kernel, in der Scripting-Engine und in Outlook - das sind nur einige der Probleme, die Microsoft mit dem aktuellen Patchday behebt. Admins sollten die Updates umgehend einspielen.
Die Palmsecure genannte Anmeldetechnik von Fujitsu soll bald ordentlich in Windows 10 integriert werden. Bisher muss die Software noch separat installiert und angesteuert werden und ist damit nicht so komfortabel wie andere Methoden, die Windows Hello unterstützen.
Eigentlich ist Microsofts Sicherheitssoftware Windows Defender ATP ein auf Windows 10 beschränktes Programm. Kunden können dies bald aber auch für die Versionen 7 und 8.1 installieren. Anscheinend gibt es wohl doch noch sehr viele Geräte mit den älteren Betriebssystemen.
Spectre und Meltdown dominieren weiterhin die Arbeit der Kernel-Hacker. Mit der Freigabe der ersten Testversion des kommenden Linux-Kernels 4.16 gibt es zusätzliche Patches gegen die Schwachstellen, die auch in Kernel-Versionen 4.15.2 und 4.14.18 eingeflossen sind.
Die Konsolenhacker von Fail0verflow haben wieder einmal eine populäre Spielekonsole gehackt, um darauf ein Linux zu booten. Ein Hack für die Nintendo Switch soll dabei unabhängig von der Firmware und dauerhaft funktionieren.
Eine Sicherheitslücke in Cisco-Geräten wird nach Angaben des Herstellers ausgenutzt, Admins sollten die verfügbaren Patches daher umgehend einspielen. Es sind Angriffe bis hin zur Ausführung von Code möglich.
War es ein Angriff über das Internet? Die Organisatoren der Olympischen Winterspiele suchen nach der Ursache eines Computerausfalls während der Eröffnungsfeier. Die Webserver waren die Nacht zum Samstag über nicht erreichbar.
Die kommende EU-Datenschutzgrundverordnung ist für Cisco ein Anlass, Unternehmenseffizienz mit dem dadurch nötigen Datenschutz in Verbindung zu bringen. Das Ergebnis scheint eindeutig: Schlecht optimierte Branchen verzögern ihren Verkaufszyklus um Wochen. Schlusslicht sind Regierungsbehörden.
Google will mehr Webseitenbetreiber unter Druck setzen, auf HTTPS-Verbindungen umzusteigen. Ab Sommer 2018 sollen Webseiten ohne Verschlüsselung generell als unsicher markiert werden.
