IT-Sicherheit

Sicherheitsexperten warnen vor einer konzertierten Aktion gegen Wordpress-Seiten: Über ein Botnetz versuchen Unbekannte, an die Admin-Passwörter zu kommen, um ein mächtiges Botnetz aus Servern aufzusetzen.

Angeblich aus Protest gegen die Bestandsdatenauskunft haben Unbekannte eine Plattform der FDP gehackt und sich Zugang zu Passwörtern und anderen persönlichen Daten verschafft - auch von Parteiprominenz. Von der Partei oder den Betreibern des Portals gibt es bislang keine Stellungnahme.

65 Prozent aller Admins in Firmen installieren Updates und Patches nicht automatisch auf ihrem IT-System. Zu groß sind Ängste, dass die Rechner dann zwar sicherer sein, aber nicht mehr richtig arbeiten könnten.

Drei junge Briten haben zugegeben, als Mitglieder des Kollektivs Lulzsec Distributed-Denial-of-Service-Attacken und Computereinbrüche auf Unternehmen und Behörden durchgeführt zu haben, darunter Sony, Nintendo und 20th Century Fox sowie die CIA.

Adobe hat Sicherheitspatches für den Flash Player und für Air sowie für den Shockwave Player veröffentlicht. In den vier Produkten werden je vier Sicherheitslücken geschlossen, die allesamt zur Ausführung von Schadcode missbraucht werden könnten.

Unbegrenzten Zugriff auf aktuelle und einen kommenden Titel - alle ohne Kopierschutz - haben sich offenbar russische Hacker bei Uplay verschafft. Ubisoft hat deswegen Downloads deaktiviert, bis das Problem behoben ist.

Ein ranghoher Whatsapp-Manager erklärt, dass es keine Verkaufsverhandlungen mit Google gebe. Weitere Fragen wollte er jedoch nicht beantworten.

Hacker versuchen, mit Malware fremde Rechner zur Erzeugung von Bitcoins zu missbrauchen. Die Schadsoftware wird bislang über Skype verbreitet. Sehr subtil gehen die Hacker dabei aber nicht vor.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen verstärkt beobachtet, dass Schadsoftware über Werbebanner auf etlichen populären deutschen Webseiten ausgeliefert wird. Nutzer sollten ihre Windows-Rechner schleunigst aktualisieren.

Der Dokumentendienst Scribd wurde Ziel eines Angriffs. Obwohl die Daten laut dem Unternehmen gesichert waren, gelang es den Angreifern trotzdem, bei einem Teil der Nutzer Passwörter zu erlangen.

Die Entwickler der freien Datenbank PostgreSQL haben eine kritische Sicherheitslücke in ihrer Software beseitigt, die es Angreifern erlaubt, beliebigen Code auf verwundbaren Servern auszuführen. Es ist die erste derart gefährliche Sicherheitslücke in PostgreSQL seit rund sieben Jahren.

Im Frühjahr 2013 hatten offenbar verärgerte Kunden das Zombie-MMOG The War Z lahmgelegt, jetzt ist es wieder offline: Nach Angaben der Entwickler haben sich Unbekannte Zugriff auf E-Mail-Adressen und verschlüsselte Passwörter der Spieler verschafft.

Die europäischen Datenschutzbeauftragten wollen sich genauer ansehen, wie Google mit Nutzerdaten umgeht. Sie haben dazu eine Task Force gegründet, der auch Hamburgs Datenschutzbeauftragter Johannes Caspar angehört.

Wegen einer sehr gefährlichen Sicherheitslücke hat sich das PostgreSQL-Team zu einem ungewöhnlichen Schritt entschieden. Die Quelltexte der freien Datenbank werden für eine Weile gesperrt. So soll verhindert werden, dass durch Codeänderungen ein Angreifer das Sicherheitsproblem zu früh entdeckt.

Mähdrescher werden längst automatisch per GPS über die Äcker gesteuert. Moderne Überwachungstechnik soll jetzt auch bei der Spargelernte Einzug halten, von Hand geerntet werden muss aber weiterhin.

Bei Facebook wird zum Osterfest statt Glückwünschen eine Schadsoftware verbreitet. Die Nachricht enthält den Text "Your Photos? Lol" und einen Link, hinter dem sich ein Verschlüsselungstrojaner verbirgt.

Der DDoS-Angriff auf die Spamhaus-Server soll so massiv gewesen sein, dass das weltweite Internet davon betroffen war. Tatsächlich waren die Angriffe zwar grafisch sichtbar, Ausfälle dürfte es aber kaum gegeben haben.

Einen massiven DDoS-Angriff auf das Spamhaus-Projekt hat Cloudflare mit Hilfe von Anycast abgewehrt. Die Umverteilung der DNS-Anfragen soll jedoch Dienste wie Netflix beeinträchtigt haben. Grund des Angriffs war das Blacklisting des Webhosters Cyberbunker durch Spamhaus.

Kaspersky Lab will einen Android-Trojaner gefunden haben. Doch "Backdoor.AndroidOS.Chuli.a" ist eine App, die der Angegriffene ausführen muss.

Die Schadsoftware Stuxnet gegen iranische Atomanlagen einzusetzen, war für die Autoren des Tallinn Manual ein Akt der Gewalt und damit ein Verstoß gegen das Völkerrecht. Ein US-Experte hält das für falsch.

Bei den Sony-Modellen Xperia Z und Xperia T lässt sich die Displaysperre des Android-Smartphones umgehen. Ein Unbefugter erhält dann vollen Zugriff auf das Gerät, kann Daten ausspähen oder auch Schadsoftware installieren.

Die Telekom schenkt ihren Kunden ein Jahresabo für Evernote Premium. Wer die Notizzettelverwaltung bereits nutzt, muss ebenfalls ein Jahr lang nicht zahlen.

Seit einigen Tagen ist vermehrt sogenannte Ransomware in Umlauf, die Opfer zur Zahlung von Lösegeld auffordert. Dabei behauptet die Schadsoftware, die Computersperrung sei durch das Bundeskriminalamt veranlasst worden. Auf die Lösegeldforderung sollten Opfer aber keinesfalls eingehen.

Der Bundesnachrichtendienst hat eine spezielle Abteilung zur Abwehr von Hackerangriffen gegründet. Sie soll Computerattacken auf Behörden und die deutsche Industrie bekämpfen. Aber die Personalsuche gestaltet sich schwierig.

Wer sein Passwort für eine Apple ID vergessen hat, muss normalerweise einige Sicherheitsabfragen bestätigen. Kurzzeitig reichten aber wenige Informationen, um beliebige Zugänge zu übernehmen. Die Sicherheitslücke zeigt, wie wichtig es ist, sich für solche Fälle vorzubereiten.

Zivile Hacker sollen im Krieg als Kombattanten eingestuft und dürften in der Folge auch physisch angegriffen und sogar getötet werden. Das steht in einem Strategiepapier für die Nato, das die künftigen Regeln im Cyberkrieg definieren soll.

Ein Fehler im Zufallszahlengenerator von NetBSD kann dazu führen, dass kryptografische Schlüssel mit einer Entropie von lediglich 32 Bit erzeugt werden. Vor allem SSH-Schlüssel sind betroffen.

In Android-Geräten von Samsung sind eine Reihe von Sicherheitslücken gefunden worden. Angreifer können darüber unter anderem beliebigen Programmcode auf ein Android-Gerät schleusen. Das Schließen der Lücken wird wohl noch einige Zeit dauern.

Die Malware Crusaders sitzen in ihrer Freizeit am Rechner und spüren Schadsoftware auf. Ihr Motto: "Malware must die".

Cisco führt mit einem Update neue Passwort-Hashes ein. Was zur Erhöhung der Sicherheit dienen sollte, bewirkt das Gegenteil: Die neue Hash-Funktion lässt sich deutlich leichter angreifen, sie nutzt nur eine Iteration von SHA256 und kommt ohne Salt aus.

Nvidias Geforce GTX-690 lässt sich zu einer Quadro K5000 umbauen. Das hat Forenpostings zufolge nun ein Elektronikexperte nachgewiesen. Dazu musste er nur einige Widerstände auf der Grafikkarte verändern.

Wir werden ständig überwacht, ob wir wollen oder nicht. Schlimm genug, und noch dazu gibt es keinen Ausweg, sagt der Sicherheitsforscher Bruce Schneier.

Betrüger haben sich Zugang zu den Überwachungskameras eines australischen Spielkasinos verschafft. Dadurch konnten sie einen zweistelligen Millionenbetrag ergaunern.

Aktuelle Kameras bringen Netzwerkfunktionen mit. Sie lassen sich deshalb leicht hacken und in Überwachungsgeräte verwandeln.

Zum heutigen EU-Verbraucherschutztag greift die Telekom das Projekt Google Glass an, mit dem sich unbemerkt Fotos oder Videos aufnehmen und sofort online stellen ließen.

Die Teilnehmer der IT-Sicherheitskonferenz Troopers13 sehen sich als Kämpfer an zwei Fronten. Die Gegner: Kriminelle im Netz und diejenigen, die Angst schüren, um daraus Profit zu schlagen. Sie wollen aufklären statt aufregen.

Einem Social-Media-Redakteur bei Reuters drohen zehn Jahre Haft. Er soll Anonymous die Zugangsdaten für das Content Management System der Los Angeles Times gegeben haben.

Apple hat mit Mac OS X 10.8.3 ein Update für sein aktuelles Betriebssystem Mountain Lion veröffentlicht. Es enthält einige kleine neue Funktionen, beseitigt aber vor allem diverse Fehler. Darunter ist ein peinlicher Bug, der Apps mit der Eingabe von 8 Zeichen zum Absturz bringt.

Die Linux-Distribution Backtrack mit zahlreichen Werkzeugen für Sicherheitstests ist in Kali umbenannt worden. Gleichzeitig wurde die Benutzeroberfläche aufgeräumt und die Werkzeugsammlung ausgemistet. Auch Linux selbst wurde dabei aktualisiert.

Google muss wegen der Erfassung von Daten aus offenen WLANs eine Geldstrafe in Höhe von 7 Millionen US-Dollar zahlen und eine öffentliche Aufklärungskampagne zum Datenschutz machen. Darauf haben sich Anklagevertreter von 38 US-Bundesstaaten und das Unternehmen geeinigt.

Ein Team um den Kryptografen Dan Bernstein präsentiert neue Sicherheitsprobleme in der von TLS genutzten RC4-Stromverschlüsselung. Praktisch umsetzbar ist der Angriff nur in seltenen Fällen, die Autoren rechnen aber damit, dass er künftig noch verbessert wird.

Im Flash Player muss Adobe zwei Wochen nach dem vergangenen Notfall-Patch erneut vier Sicherheitslücken schließen, die als gefährlich eingestuft werden. Die Patches gibt es für alle Plattformen, sie sollten zügig eingespielt werden.

Sicherheitslecks im Windows-Kernel verschaffen einem Angreifer Zugriff auf einen fremden Computer. Dazu muss er lediglich einen präparierten USB-Stick an den Rechner anstöpseln, es muss nicht einmal ein Nutzer angemeldet sein. Der bereitgestellte Patch sollte schleunigst installiert werden.