30C3 Die Hacker Delroth und Shuffle2 konnten in die WPA-Kommunikation zwischen Wii U und Wii U Gamepad eindringen. Was sie dort fanden, überraschte sie.
Update30C3 "Österreich ist sicher", heißt es vollmundig auf der Webseite des Begehsystems. Doch Häuser, die ihren Eingang mit der Begehcard sichern, sind leicht zu öffnen. Alles, was man dazu braucht, ist ein neu programmierbarer RFID-Skipass.
30C3 In seinem Vortrag warnt Stephen Balaban vor Wearables wie Google Glass. Sie lassen sich nicht nur als Überwachungsgeräte einsetzen, mit aktueller Technik können auch Privatpersonen Massendaten leicht verarbeiten.
30C3 Die Wii U ist noch immer nicht vollständig gehackt, trotz teilweise drastischer Fehler, die Nintendo beging. Schuld daran ist anscheinend das schwindende Interesse. Homebrew-Projekte werden aufwendiger als Schwarzkopieprojekte.
30C3 SR Labs hat eine Android-App veröffentlicht, die auf wenigen Telefonen dafür geeignet ist, die Qualität der Sicherheit der Netzbetreiber zu erforschen. Ein aktualisierter Report zeigt zudem, dass sich O2 in Deutschland für sichere Telefonate weiterhin nicht eignet.
Rückschlag für Datenschützer in den USA: Ein Bezirksrichter erklärt die massenhafte Speicherung von Verbindungsdaten für legal. Nur so sei der Terrorismus wirkungsvoll zu bekämpfen.
30C3 Karsten Nohl und Luca Melette haben erneut auf Schwachstellen beim Mobilfunk hingewiesen. Sie infizierten auf einem iPhone 5S eine SIM-Karte, die dann alle fünf Minuten die Position verriet. Nur ein uraltes Nokia-Telefon fragt, ob die infizierte SIM-Karte Nachrichten verschicken darf.
Die Bundesregierung hat immer noch keine Antworten auf ihre Fragenkataloge zur NSA-Affäre erhalten. Dennoch ist nur leise Kritik an den Verbündeten zu hören, von Konsequenzen ganz zu schweigen.
30C3 Die Hacker sind sprachlos. Die Enthüllungen zur Massenüberwachung der vergangenen Monate sorgen bei ihnen für Entsetzen. Deswegen gibt es zum 30. Hackerkongress kein Motto und eine Rückbesinnung auf alte Techniken.
Sicherheitsforscher haben für den Kurznachrichtendienst Snapchat eine zuvor undokumentierte Programmierschnittstelle und den Quellcode von zwei Sicherheitslücken veröffentlicht. Damit lassen sich Nutzerdaten abfangen und Fake Accounts herstellen. Die Betreiber wurden bereits vor vier Monaten informiert.
Im Sender Channel 4 fordert Edward Snowden in einer Weihnachtsansprache ein Überdenken der Überwachung und vor allem das Ende der Massenüberwachung. Er warnt davor, dass Kinder in dieser Zeit ohne ein Verständnis für Privatsphäre aufwüchsen.
30C3 Das Programm des alljährlichen Chaoskongresses ist fertig. Er soll in diesem Jahr größer werden, das Programm wird auf vier Säle verteilt. Die Enthüllungen rund um Edward Snowden sollen einen besonderen Stellenwert haben.
Seine Entscheidung, an die Öffentlichkeit zu gehen, habe er jahrelang überdacht. Und er bereue es nicht, sagte der NSA-Whistleblower Edward Snowden. Die Öffentlichkeit habe ein Recht darauf zu entscheiden, wie sie beherrscht werden will.
Ein Bundesrichter soll daran gehindert werden, ein Urteil über die Verfassungskonformität der massenhaften Kommunikationsüberwachung durch die NSA zu fällen. Dabei bestätigt die NSA erstmals, dass die Überwachung ohne Gerichtsbeschluss durch Ex-Präsident George W. Bush genehmigt wurde.
Das Tor-Projekt hat die Version seiner Software auf 0.2.4.19 und das Browser-Bundle samt Firefox 24 auf 3.5 aktualisiert. Der neue Client verspricht bessere Verschlüsselung auch dank elliptischer Kurven.
Das Sicherheitsunternehmen RSA Security hat dementiert, in einem geheimen Vertrag mit der NSA dafür zu sorgen, dass Verschlüsselung mit Hintertüren in ihren Produkten eingesetzt wird.
10 Millionen US-Dollar zahlte die NSA an das Sicherheitsunternehmen RSA Security, um Dual_EC_DRBG in seiner BSafe-Bibliothek als Standard einzusetzen. Bereits im September 2013 hatte RSA davor gewarnt, die Bibliothek zu nutzen.
Das OpenSSL-Team hat einen fatalen Fehler in der Umsetzung eines Verschlüsselungsalgorithmus entdeckt. Er betrifft ausgerechnet das ins Verruf geratene Dual_EC_DRBG. Da der betroffene Standard kaum Verwendung findet, wird er nicht repariert.
Israelische Forscher haben nachgewiesen, dass sich mit Smartphones und anderen Audiogeräten auf Distanzen bis vier Meter Verschlüsselungen belauschen lassen. Bis zu 4096 Bit lange RSA-Schlüssel konnten so abgefangen werden. Beteiligt war einer der Entwickler des RSA-Algorithmus selbst.
Mitten im Feiertagsgeschäft haben Unbekannte die Daten von 40 Millionen Kreditkarten gestohlen. Noch ist unklar, wie sie an die Daten von Kunden der Handelskette Target kommen konnten.
Der Untersuchungsausschuss zur NSA-Überwachung fordert Konsequenzen: Europa müsse das Safe-Harbor-Abkommen mit den USA suspendieren und schnellstmöglich eine eigene Cloud aufbauen.
Update Enthüllungsjournalist Greenwald wirft der NSA die weltweite Eliminierung der Privatsphäre vor. Der Geheimdienst wolle jede mögliche Art der Kommunikation überwachen. Die Entscheidung über eine Befragung Snowdens durch den EU-Ausschuss fällt erst im Januar.
Der Bundesrichter Richard Leon hält das massenhafte Speichern von Telefondaten für verfassungswidrig und lässt damit eine Klage zweier Verizon-Kunden zu. Die Kläger hätten eine gute Aussicht auf Erfolg. Das Gericht erwartet jedoch einen Einspruch von der US-Regierung.
Experten wie Florian Grunow zeigen sich besorgt über die mangelnde Sicherheit in medizinischen Geräten. Mit immer mehr Konnektivität steigen auch die Angriffsflächen. Die Sicherheit spielt bei Herstellern und Kunden kaum eine Rolle.
Die große Koalition verteilt die Kompetenzen für die Netzpolitik auf mehrere Ministerien. Es gibt weder einen Internetminister noch eine Bündelung der Aufgaben durch einen Staatssekretär. Die genaue Kompetenzverteilung ist noch unklar.
Das Programmierteam von Cyanogenmod hat bereits die aktuelle Android-Version 4.4.2 in die täglich erscheinenden Nightly Builds eingebaut. Mit dem Update wird unter anderem eine kürzlich entdeckte Sicherheitslücke geschlossen.
Samsung bestätigt, dass das Sicherheitssystem Knox verschlüsselte Informationen nach einem Root-Vorgang sperrt. Dank einer durchgebrannten E-Fuse erkennt der Hersteller zudem sofort, dass am Smartphone herumgebastelt wurde - was eventuelle Garantieleistungen ausschließen kann.
Google hat eine Gerätemanager-App für Android veröffentlicht. Damit kann ein anderes Android-Gerät geortet werden. Im Falle eines Diebstahls können aus Sicherheitsgründen sogar alle Daten auf dem entwendeten Smartphone oder Tablet gelöscht werden.
Update Die Kanzlei U+C, die im Moment zahlreiche Abmahnungen wegen des Streamings von Pornovideos verschickt, wehrt sich gegen gefälschte Abmahnungen in ihrem Namen. Dabei geben die Anwälte aber riskante Tipps, die man keinesfalls befolgen sollte.
Künftig werden Zufallszahlen in FreeBSD nicht mehr direkt von der Hardware von Intel oder Via berechnet. Nach der Enthüllung durch NSA-Dokumente seien sie nicht mehr sicher, so die Entwickler.
Das kanadische Unternehmen Secdev schlägt mit seinem Produkt Zeropoint vor, dass große Netzwerkunternehmen Botnetze und andere Malware schon auf Ebene des Netzwerks erkennen sollen. Das erfordert jedoch ein gehöriges Maß an Vertrauen durch die Nutzer.
Die Macher von Cyanogenmod haben eine erste Nightly Build der alternativen Android-Distribution mit integrierter SMS-Verschlüsselung veröffentlicht. Die Verschlüsselungstechnik wurde aus der Android-App Textsecure übernommen. Damit lassen sich verschlüsselte SMS auch mit Textsecure-Anwendern austauschen.
Eine neue Firmware von Siemens stopft eine Sicherheitslücke in Industriesteuerungen der Sinamics-Familie. Die Steuerungsanlagen mit integriertem Webserver hatten bisher offene FTP- und Telnet-Ports.
Die NSA und die britische GCHQ haben auch in World of Warcraft, Second Life, Xbox Live und weiten Spieleplattformen spioniert. In einem MMO sollen zeitweise so viele Agenten unterwegs gewesen sein, dass eine Gruppe zur Koordination der Aktivitäten gegründet werden musste.
Das Fraunhofer-Institut für Sichere Informationstechnologie hat mehrere Android-Apps ausfindig gemacht, bei denen die fehlerhafte Prüfung des SSL-Zertifikats den Zugriff auf Zugangsdaten möglich macht. Nur etwa die Hälfte aller kontaktierten Hersteller hat die Sicherheitslücke bisher geschlossen.
Für die DDoS-Angriffe auf Paypal 2010 haben sich 13 mutmaßliche Mitglieder der Gruppe Anonymous vor einem kalifornischen Gericht schuldig bekannt. Ihnen drohen bis zu zehn Jahre Haft und Geldbußen in Höhe von 250.000 US-Dollar.
Falsche digitale Zertifikate sind gegenwärtig im Umlauf. Sie wurden irrtümlicherweise von der französischen Zertifizierungsstelle IGC/A signiert. Dort wurden die Zertifikate bereits widerrufen.
Der Bundestag will seine Gebäude komplett mit drahtlosen Internetzugängen ausstatten. Allerdings können normale Bürger auf die 2.500 Access Points nicht zugreifen.
Eine neue Android-App des japanischen Netzbetreibers Docomo erkennt, wenn bei der Smartphone-Nutzung gelaufen wird. Das Display wird dann mit einem Warnhinweis blockiert, der erst verschwindet, wenn der Nutzer stehen bleibt.
Eine Taschenlampen-App sammelt Daten zum Standort sowie die Gerätekennnummer und leitet diese für Werbezwecke weiter, ohne dass der Nutzer darüber informiert wird. Eine US-amerikanische Aufsichtsbehörde hat dies festgestellt und fordert, dass alle gesammelten Daten gelöscht werden müssen.
Was in Deutschland noch diskutiert wird, hat das Europäische Parlament schon geschafft: US-Whistleblower Edward Snowden will vor dem dortigen Untersuchungsausschuss zur NSA-Affäre aussagen.
Update Akademie.de nannte die Zählpixel der VG Wort, mit denen die Klicks auf Artikel in Onlinemedien gezählt werden, "Wanzen" und warnte vor ihrem Einsatz. Doch das Bayerische Landesamt für Datenschutzaufsicht sieht das anders.
Der Trick ist alt, der Schaden aber unter Umständen erheblich: Derzeit kursieren wieder Phishing-Mails, die zur Installation eines Gratis-Plugins für Wordpress auffordern. Dahinter steckt aber Malware, die nicht nur den Server des Blog-Administrators befallen kann.
Auch die Windows-Version von Chromium schützt gespeicherte Kennwörter und Login-Daten nun besser. Um die Daten anzuzeigen, muss sich der Anwender am PC vorher identifizieren.
In Android 4.3 befindet sich eine Sicherheitslücke, die es anderen Apps ermöglicht, den Sperrbildschirm-Mechanismus abzuschalten. Unbefugte könnten damit Zugriff auf die Gerätedaten erhalten, müssten dazu aber das betreffende Smartphone oder Tablet in die Hände bekommen.
Zwei Updates schließen mehrere Sicherheitslücken im populären CMS Drupal 6 und 7. Betroffen ist etwa der Pseudozufallszahlengenerator, der unter anderem von OpenID genutzt wird. Die Updates sollten unbedingt eingespielt werden.
Eine schnelle Einigung auf einen europaweiten Datenschutz scheint weiter unwahrscheinlich. Die Bundesregierung hält "noch viel handwerkliche Arbeit" für erforderlich, um der Regelung zustimmen zu können.
