Überdosis nicht mehr ausgeschlossen: Der Sicherheitsforscher Billy Rios kann eine in Krankenhäusern verwendete Infusionspumpe über das Intranet manipulieren.
IT-Sicherheitsexperten haben die Schwachstelle Redirect to SMB wiederentdeckt, die sämtliche Windows-Versionen betrifft. Sie lässt sich auch über zahlreiche Anwendungen ausnutzen. Unter Umständen geben Nutzer ihre Zugangsdaten zum Windows-Netzwerk preis.
Das Hamburger Entwicklerstudio hinter Goodgame Empires und Shadow Kings ist offenbar ins Visier von Hackern geraten. Spieler sollten ihre Passwörter ändern, teilt die Firma mit.
Durch Fuzzing-Technik können unter anderem Sicherheitslücken gefunden werden. Mit Libfuzzer stellt das LLVM-Projekt nun eine eigene Bibliothek dazu bereit und nutzt diese auch selbst für den Compiler Clang.
Mit Let's Encrypt soll jeder Webseitenbetreiber einfach und vor allem kostenlos ein TLS-Zertifikat bekommen. Die Linux Foundation will das Projekt nun unterstützen, was finanzielle und organisatorische Vorteile bringen soll.
Per Knopfdruck lassen sich bei Posteo nun ganze Postfächer verschlüsseln. Damit können sich Nutzer vor dem Zugriff von Behörden auf ihre E-Mails schützen. Allzu vergesslich sollten sie aber nicht sein.
Ein vermeintliches Verschlüsselungstool für Smartphones namens NQ Vault verschlüsselt offenbar seine Daten überhaupt nicht. Doch damit nicht genug: Es erstellt auch ungefragt Fotos des Nutzers.
Ein Landesdatenschützer will durchsetzen, dass Google ermöglicht, dass Nutzer die Profilbildung der Dienste abschalten können. Der Konzern habe "bereits substantielle Änderungen signalisiert" und müsse nun Vorgaben umsetzen.
Die aktuelle Beta des Chrome-Browser warnt bereits vor einigen Zertifikaten, die mit SHA-1 signiert sind. Mit dem kommenden Chrome 42 wird dies wahrscheinlich auch in der stabilen Version umgesetzt. SHA-1 gilt schon seit einigen Jahren als potenziell unsicher.
Kleine Drohnen stellen nach Meinung des ADAC eine Gefahr für Rettungshubschrauber dar, wenn sie ohne Bedacht geflogen werden. Der Automobilclub fordert strengere Regeln für die unbemannten Fluggeräte für den Hausgebrauch, die immer mehr Verbreitung finden.
Update Der Hackerangriff auf die US-Regierung vom vergangenen Oktober war offenbar gravierender als bislang bekannt. Laut CNN verdichten sich die Hinweise auf das Ursprungsland.
Update Vor einem Jahr machte der Heartbleed-Bug in OpenSSL Schlagzeilen - doch solche Bugs lassen sich mit Hilfe von Fuzzing-Technologien aufspüren. Wir haben das mit den Tools American Fuzzy Lop und Address Sanitizer nachvollzogen und den Heartbleed-Bug neu entdeckt.
Die Probleme im Protokoll SS7 lassen sich nicht ohne weiteres absichern, denn es wurden dafür nie entsprechende Sicherheitsmaßnahmen implementiert. Mit Firewalls können Provider Schwachstellen zumindest abmildern.
Die zweite Phase des Audits für die Verschlüsselungssoftware Truecrypt ist beendet. Dabei wurden die kryptographischen Funktionen untersucht. Einige Sicherheitsprobleme wurden entdeckt, sie treten aber nur in seltenen Fällen auf.
Update Das kürzliche Auftauchen von falschen Google-Zertifikaten hat für die verantwortliche Zertifizierungsstelle CNNIC Konsequenzen: Google wirft sie aus dem Chrome-Browser. CNNIC soll die Chance erhalten, wieder aufgenommen zu werden, wenn sie das System Certificate Transparency implementiert.
Künftig sollen Gruppen oder staatlich unterstützte Angreifer auf IT-Infrastrukturen in den USA mit finanziellen Sanktionen belegt werden. US-Präsident Obama hat einen entsprechenden Exekutiverlass verfügt.
Update Das DNS-Protokoll hat eine Funktion, mit der man umfangreiche Informationen zu einer Domain abfragen kann. Dieser sogenannte AXFR-Transfer ist normalerweise nicht für die Öffentlichkeit, aber erstaunlich viele DNS-Server erlauben ihn trotzdem.
Im aktuellen Firefox werden zentralisierte Zertifikatsperren, opportunistische Verschlüsselung für HTTP/2 und weitere TLS-Techniken umgesetzt. Zudem sollen Nutzer besser Feedback geben können sowie die MSE auf Youtube verwenden.
Die Malware der Operation Volatile Cedar ist nicht leicht aufzuspüren, auch wenn sie sich nicht mit ausgereifter Spionagesoftware vergleichen lässt - denn die Angreifer setzen sie nur gezielt ein und entwickeln sie akribisch weiter.
Der Mozilla-Angestellte Daniel Stenberg vermutet, dass im kommenden Jahr Browser häufiger HTTP/2 als die alte Protokollversion verwenden werden. Dazu müsse die Webinfrastruktur aber noch verbessert werden, erklärt der Entwickler.
Seit Donnerstag läuft die größte DDoS-Attacke auf Github seit dem Entstehen des Dienstes. Experten vermuten, der Angriff gehe von chinesischen Behörden aus, bestätigt wird das durch den Projekt-Hoster aber nicht.
Vorhersagen, wo Verbrecher das nächste Mal zuschlagen? Predictive Policing verspricht es. Doch ob die umstrittenen Programme Kriminalität bekämpfen können, ist unklar.
In einem offenbar automatisierten Angriff auf Konten des British Airways Executive Club ist es Einbrechern möglicherweise gelungen, die Bonusmeilen einiger Kunden abzugreifen.
Aus dem VRAM einiger Grafikkarten lassen sich Bilder des Desktops eines Rechners auslesen. Das funktioniert selbst nach einem Neustart. So lassen sich auch Fensterinhalte anzeigen.
Die von Facebook vorgestellte IDE Nuclide unterstützt den PHP-Dialekt Hack sowie die Javascript-Projekte Flow und React des Unternehmens. Der Code basiert auf dem Github-Editor Atom, steht aber noch nicht öffentlich bereit.
Hunderte WLAN-Gateways in Hotels haben offene Rsync-Ports. Darüber können Angreifer mühelos in deren Netzwerke einbrechen und beispielsweise Malware an Hotelgäste ausliefern.
Die G10-Kommission hat von der Operation Eikonal nichts gewusst. Selbst die Filterung von Daten deutscher Bürger sei ihm nicht bekannt gewesen, sagte der frühere Kommissionsvorsitzende de With dem NSA-Ausschuss.
Klaus Landefeld redet Klartext im NSA-Ausschuss. Der BND überwache seit 2009 den Frankfurter Internetknoten. Trotz schwerer Bedenken habe der DE-CIX die Anordnung akzeptiert.
Eine bislang wenig beachtete Schwäche von RC4 nutzt der Kryptograph Itsik Mantin für seine neue Angriffsmethode. Ein weiterer kürzlich vorgestellter Angriff betrifft IMAP-Verbindungen.
Forscher haben erfolgreich Daten mit Hilfe der Temperatursensoren von einem Rechner zu einem anderen übermittelt. Die Computer müssen nur ganz nah nebeneinander stehen - bislang.
Unsichere und veraltete Verschlüsselungen aus einer Linux-Distribution zu entfernen, sei wesentlich schwieriger als gedacht, berichtet ein Intel-Entwickler. Sein Team will die Probleme mit OpenSSL und anderer Software aber beheben.
40 Sekunden sind zu lang: Sony will die Ladezeiten von Bloodborne mit einem Update verkürzen. Eine Petition für eine PC-Fassung hat wohl nur geringe Chancen - trotz des Erfolges in ähnlicher Sache bei Dark Souls.
Ein Zwischenzertifikat eines ägyptischen Telekommunikationsanbieters hat für Google und diverse andere Domains unberechtigt Zertifikate ausgestellt. Signiert wurde das Zwischenzertifikat von der chinesischen CNNIC-Zertifizierungsstelle.
Troopers 2015 Das aktuelle KNX-Protokoll abzusichern, halten die Entwickler nicht für nötig. Denn Angreifer brauchen physischen Zugriff auf das System. Doch den bekommen sie leichter als gedacht - und können dann sogar Türöffner und Alarmanlagen steuern.
Die durch den Freak-Angriff ausgelöste schwache Verschlüsselung macht auch viele Apps unsicher. Betroffen sind laut ersten Untersuchungen mehrere populäre Anwendungen für Android und iOS.
Um sich gegen das Pixeltracking in E-Mails zu schützen, soll künftig die Chrome-Erweiterung Uglyemail helfen. Sie zeigt die von den drei größten Anbietern platzierten Pixel an, mit denen auch Standortdaten ermittelt werden können. Es gibt aber auch einfachere Lösungen, um sich dagegen zu schützen.
Ein Mitarbeiter der taz steht unter dem Verdacht, mittels eines Keyloggers seine Kollegen ausspioniert zu haben. Die Zeitung reagiert jetzt mit Schulungen und der Verschlüsselung interner Kommunikation. Gegen Keylogger dürfte das aber wenig helfen.
Der neue Chevrolet Malibu kann jugendliche Fahrer überwachen und zeichnet auf, wie oft die Geschwindigkeit überschritten wurde, das ESP angesprungen ist oder eine Notbremsung eingeleitet wurde. Aktiviert wird das Teen Driver System des Fahrzeugs über den Autoschlüssel.
Die Entwickler von OpenSSL haben ein Update veröffentlicht, das zahlreiche Sicherheitslücken behebt. Anders als von manchen befürchtet, ist allerdings keine gravierende Lücke wie Heartbleed dabei.
Zum fälschlicherweise ausgestellten Zertifikat für die Microsoft-Domain live.fi sind weitere Details bekannt. Demnach hatte sich Microsoft Wochen Zeit gelassen, um zu reagieren. In einem ähnlichen Fall ließ Microsoft sogar vier Jahre verstreichen.
In den USA gibt es Pläne, alle Webseiten von Bundesbehörden nur noch über HTTPS auszuliefern. Die Webseite des Weißen Hauses ist bereits ausschließlich verschlüsselt abrufbar.
Windows 10 wird neue Authentifizierungsmethoden abseits des Kennworts ermöglichen. Microsoft setzt dabei im Rahmen von Windows Hello auf biometrische Erkennungsmethoden per Fingerabdruck, Iris-Scan und Gesichtserkennung.
Cebit 2015 Das Projekt Volksverschlüsselung des Fraunhofer Instituts will die Einrichtung der E-Mail-Verschlüsselung auch für Laien verständlich gestalten. Es setzt aber auf S/MIME statt PGP.
Mit PHP 7 können skalare Typen wie Int oder Bool deklariert werden. Das hat das Entwicklerteam nach langer Diskussion und dem Ausscheiden der ursprünglichen Entwicklerin entschieden.
Update Für die Domain live.fi, die Microsoft für die finnische Version seiner Live-Services nutzt, ist ein unberechtigtes Zertifikat von Comodo ausgestellt worden. Dabei wird eine Reihe von Schwächen des Zertifikatssystems deutlich.
Wie Google bietet nun auch Yahoo ein Browser-Plugin für die E-Mail-Verschlüsselung an. Der Quellcode basiert auf dem von Google, steht frei zur Verfügung und kann somit von jedem überprüft werden.
