IT-Sicherheit

Cebit 2014 Von Regierungen erstellte Malware muss nicht immer so schlecht sein wie 0zapftis, der bayerische Staatstrojaner. Für F-Secures Virenforscher Mikko Hypponen ist entscheidend, dass Anti-Malwareunternehmen auch künftig uneingeschränkt arbeiten können, wie er im Gespräch mit Golem.de sagte.

Google ist von Bundesjustizminister Heiko Maas von der Vorbereitung des IT-Gipfels ausgeschlossen worden. Das Unternehmen habe sich nicht durch geeignete Vorschläge hervorgetan, die persönlichen Daten besser zu schützen.

Neue Enthüllungen zeigen, mit welchen Werkzeugen die NSA VPN-Verbindungen und VoIP-Gespräche knacken will. Neue Details gibt es auch zur bereits bekannten Infiltration von Millionen Rechnern weltweit.

Das EU-Parlament wirft den Geheimdiensten eine Überwachung in "gigantischem Ausmaß" vor. Die geforderten Konsequenzen gehen Netzaktivisten aber längst nicht weit genug.

Die geplante EU-Datenschutzverordnung hat eine weitere Hürde genommen. Nach der Zustimmung des EU-Parlaments ist aber weiter unklar, wann die Reform kommen wird.

Wer wie die USA und Großbritannien selbst massenhaft Bürger ausspäht, "kann andere Regierungen kaum glaubwürdig zu mehr Achtung der Informationsfreiheit im Internet drängen", sagt die Organisation Reporter ohne Grenzen. Auch der deutsche Bundesnachrichtendienst wird kritisiert.

Auf Android-Geräten ist es für Angreifer ein Leichtes, an die Chatnachrichten in Whatsapp zu gelangen. Das Opfer muss nur eine Android-App mit den betreffenden Rechten installieren und schon hätten Unbefugte die Möglichkeit, die Whatsapp-Inhalte zu kopieren.

Wieder sind wichtige Sicherheitsupdates für Software von Adobe und Microsoft veröffentlicht worden. Während Microsoft einen gefährlichen Fehler im Internet Explorer beseitigen musste, schließt Adobe nach zwei Notfallpatches nur eine mittelschwere Sicherheitslücke.

Cebit 2014 Mit dem ETH40G aus der SITLine-Reihe verspricht Rohde & Schwarz SIT einen hohen verschlüsselten Datendurchsatz mit 40 Gigabit pro Sekunde in breitbandigen Netzen.

Cebit 2014 Neben der Ankündigung zahlreicher neuer Produkte, darunter Gigabit-Powerline und eine Glasfaser-Fritzbox, nahm AVM in Hannover erneut zur Lücke der Fritzboxen Stellung. Das LKA ermittelt, bisher gab es nur wenige Fälle.

Cebit 2014 Noch vor dem Beginn der Messe hat Fujitsu sein Notebook U904 gezeigt. Bemerkenswert ist nicht nur das matte Display mit 3.200 x 1.800 Pixeln, sondern vor allem der Venenscanner. Er arbeitet berührungslos und soll viel sicherer als Fingerabdruckleser sein.

Cebit 2014 Die Verschlüsselungstechnologie des Kanzlerhandys soll es künftig als App für Smartphones geben. Die Herstellerfirma Secusmart kooperiert dafür mit dem Mobilfunkanbieter Vodafone.

Die Frage nach dem freien WLAN ist sicher eine der meistgestellten von Besuchern Cafés, Restaurants oder Hotels. Doch Troels Oerting von der Europol warnt davor, die offenen Netzwerke zu nutzen.

Der Messenger Threema verspricht sichere Verschlüsselung und bietet eine sogenannte "Validation", bei der ein Nutzer angeblich überprüfen kann, ob eine Nachricht korrekt verschlüsselt wurde. Doch die Validation sagt wenig über die Sicherheit des Systems.

Die französische Suchmaschine Qwant will ihren Nutzern mehr Datenschutz als Google bieten. Ihr Versprechen, keine Cookies und kein Tracking einzusetzen, hält sie aber nicht ein. Zudem ist die Zahl der angezeigten Suchergebnisse äußerst gering.

Wer seine Fritzbox noch nicht aktualisiert hat, sollte das schleunigst tun - im Netz kursieren Anleitungen, wie sich die Hintertür nutzen lässt. Dazu reicht schon das Aufrufen einer manipulierten Webseite, danach kann der Router übernommen werden.

Update Neue Sicherheitslücke bei D-Link-Modems: Über ein Webinterface lassen sich offenbar die DNS-Einstellungen ändern. Ein neues Update soll Abhilfe schaffen.

Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.

Eine Wiener Apotheke testet den Einsatz von Biometrie: Die Mitarbeiter sollen sich mit dem Muster der Venen in ihrer Hand identifizieren.

Die Sicherheitsforscher des Fraunhofer AISEC haben Auszüge aus einer Untersuchung von 10.000 Apps für Android vorgelegt. 91 Prozent wollen auf eine Internetverbindung zugreifen, und die meisten kommunizieren unverschlüsselt. Ganz uneigennützig ist die Studie allerdings nicht.

Das Chatsystem Cryptocat kann jetzt auf dem iPhone genutzt werden. Apple hatte eine Veröffentlichung in seinem App Store zunächst abgelehnt.

Die Bitcoin-Bank Flexcoin muss schließen. Sie kann die 896 Bitcoins nicht ersetzen, die aus ihrem Hot Wallet gestohlen wurden. Mit Mtgox gehört sie zu mehreren Bitcoin-Diensten, bei denen Bitcoins entwendet wurden.

In den vergangenen Monaten häufen sich Berichte über Sicherheitslücken bei Routern. Nicht nur die NSA, auch kriminelle Hacker können offenbar problemlos in viele Geräte eindringen. Muss das so sein?

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Eine neue Angriffsmethode nutzt Sicherheitslücken in vielen Heimroutern aus. Die Nutzer könnten durch veränderte DNS-Einstellungen auf manipulierte Seiten umgeleitet werden.

Wer eine eigene Webseite betreibt, überträgt sie meist per FTP zum Webhoster. Dabei kommt häufig keine Verschlüsselung zum Einsatz. Kein einziger großer Provider weist seine Kunden auf diese Risiken adäquat hin; bei manchen Providern ist eine verschlüsselte Verbindung überhaupt nicht möglich.

Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple-Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.

Die Medienserver des Projekts Plex weisen eine Lücke auf, die sich auch über das Internet ausnutzen lässt. Der Fehler ist bereits bereinigt, die Nutzer sollten auf die aktuelle Version umsteigen - auch wenn die Software auf einem NAS läuft.

Die Entwickler des Messengers Telegram werben damit, dass derjenige, der ihre Verschlüsselung knackt, 200.000 US-Dollar erhält. Doch in der Praxis relevante Angriffe werden von dem Contest überhaupt nicht erfasst.

Die Anti-Adblocker-Kampagne von 1&1 stößt beim BSI auf wenig Verständnis. Inzwischen gibt es eine Adblock Warning Removal List, zudem blockieren Virenscanner die Warnseiten von 1&1.

Update Mit Verweis auf eine vermeintliche Sicherheitsgefahr will United Internet seine Nutzer dazu bringen, Adblocker zu deinstallieren. Adblocker aus einer sicheren Quelle seien aber "total unproblematisch", sagte 1&1 auf Anfrage von Golem.de.

Unbekannte sollen präparierte Werbung bei Doubleklick eingeschleust haben. Die Flash-basierte Werbung wurde über Youtube.com ausgeliefert und leitete Opfer auf Webseiten um, die den Trojaner Caphaw verbreiten. Inzwischen wurde die Werbung abgesetzt.

Boeing geht mit seinem abhörsicheren Smartphone den wohl extremsten Weg: Wird das mit Epoxidharz versiegelte Gerät geöffnet, werden alle Daten und die komplette Software gelöscht und das Gerät unbrauchbar gemacht. Gedacht ist das Smartphone für Regierungsbehörden.

Wenige Wochen nach der Übernahme des Snort-Entwicklers Sourcefire hat Cisco die Schnittstelle zu dem Intrusion Detection System unter dem Namen OpenAppID öffentlich gemacht. Zudem wurde der Malware-Schutz des aufgekauften Unternehmens in Ciscos Sicherheitsportfolio integriert.

Eine Menge verschlüsselter Messenger-Dienste wie Threema buhlt zurzeit um Nutzer, die aufgrund der Whatsapp-Übernahme durch Facebook nach Alternativen suchen. Skepsis ist angebracht.

Mit Mempo will ein kleines Team Debian deutlich sicherer gestalten. Die Distribution soll auf einen gepatchten Linux-Kernel sowie starke Kryptographie und Virtualisierung setzen. Noch steht das Projekt aber erst am Anfang.

Britische Wissenschaftler haben unter dem Namen "Chameleon" einen vollständigen Router-Wurm geschaffen, der das Internet nicht braucht. Die Malware kopiert sich von einem Router zum anderen per WLAN und kann sich so epidemieartig ausbreiten. Aber auch Wege zur Abwehr solcher Gefahren sind absehbar.

Das Update für Mavericks auf OS X 10.9.2 steht zum Download bereit. Auch wenn Apple das nicht ausdrücklich betont, schließt der Patch die Lücke bei der Behandlung von SSL-Verbindungen. Jeder Mac-Nutzer sollte das Update also schleunigst installieren.

Dice hat die PC-Version von Battlefield 4 aktualisiert. Der Patch entfernt den Nebel-Bug, der bei der Mantle-Schnittstelle auftrat, und korrigiert einen als Sound Loop Crash bekanntgewordenen Fehler.

Die Sicherheitsexperten von Fireeye Labs haben eine iOS-App entwickelt, mit der sich alle Eingaben auf der Touchscreen-Oberfläche im Hintergrund mitschneiden und an einen Server übermitteln lassen.

Über seinen Bürgerservice informiert das Bundesamt für Sicherheit in der Informationstechnik über die gravierenden Lücken in Apples Betriebssystemen. Patches für iOS 6 und 7 und das Apple TV gibt es, ein Update für OS X steht aber immer noch aus.

Ein Entwurf für eine Erweiterung des künftigen HTTP-Protokolls entfacht viel Aufregung, denn er sieht vor, dass Internetzugangsprovider verschlüsselte Datenströme mitlesen und verändern können.

Update Apple hat eine neue Version von iOS 6 und iOS 7 zum Download bereitgestellt, die beide ein Sicherheitsproblem bei SSL-Verbindungen beheben sollen, das alle Vorversionen betrifft. In OS X scheint das Problem ebenfalls zu bestehen, doch hier gibt es noch kein Update.