Man-in-the-Middle-Attacke

Zu einem Zertifikat für verschlüsselte HTTPS-Verbindungen gehört ein privater Schlüssel. Doch was, wenn der Schlüssel auf dem Webserver landet - und dann nicht mehr privat ist? Wir fanden zahlreiche Webseiten, die ihren privaten Schlüssel zum Herunterladen anbieten.
Von Hanno Böck

12.07.201770 Kommentare

Zwei Schwachstellen in einem Programm der öffentlichen Verwaltung können unter Umständen dazu genutzt werden, die rechtssichere Signatur und Verschlüsselung von Behördenkommunikation zu umgehen. Ein Patch steht zwar zur Verfügung, wird aber nur langsam eingespielt.

04.07.20172 Kommentare

Eine Sicherheitslücke in einer Sicherheitslösung für Geldautomaten konnte von Angreifern ausgenutzt werden, um illegal Geld auszuzahlen. Der Hersteller beschwichtigt und hat einen Patch bereitgestellt.

04.05.201714 Kommentare

Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

21.04.201758 Kommentare

Auch die zweite Version der Trutzbox überzeugt im Test - selbst wenn wir Kleinigkeiten bei der Einrichtung zu bemängeln haben. Letztlich ist das Gerät ein umfassender Heimserver mit einfacher Konfiguration. Für das WLAN müssen die Nutzer Hand anlegen.
Ein Test von Hauke Gierow

12.04.201786 KommentareVideo

Wer HTTPS-Verbindungen aufmacht, schadet der Sicherheit der Nutzer. Dieser Ansicht ist Forschern zufolge jetzt auch das US-Cert und fordert Unternehmen auf, verwendete Geräte zu testen.

22.03.201720 Kommentare

Ein Messenger namens Confide scheint vor allem bei Mitarbeitern des Weißen Hauses beliebt zu sein. Dabei ist das Protokoll alles andere als sicher und der Confide-Server verriet zeitweise die Daten aller Nutzer.

08.03.20174 Kommentare

Die Entwickler von Chrome wollten eine Vorabversion von TLS 1.3 ausliefern - und mussten sie kurz danach wieder deaktivieren. Schuld daran sind fehlerhafte Bluecoat-Geräte.

28.02.20175 Kommentare

Auch für Google sind 20 Millionen Dollar nicht wenig Geld. Ein US-Gericht verurteilte das Unternehmen zur Zahlung dieser Summe, weil es Patente zur Sicherung vor Malware im Chrome-Browser unrechtmäßig verwendet haben soll.

14.02.201716 Kommentare

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
Von Hanno Böck

09.02.201722 Kommentare

Protonmail bezeichnet sich als sicherster E-Mail-Dienst der Welt. In der Praxis zeigt sich, dass der Dienst zwar durchaus durchdacht ist, aber mangels vollständiger PGP-Kompatibilität eine Insellösung bleibt.
Ein Praxistest von Hauke Gierow

07.02.201725 KommentareVideo

Die aktuelle Version 51 des Firefox-Browsers warnt vor unverschlüsselt übertragenen Logins und vor kaputten Zertifikaten mit SHA-1-Signatur sowie jenen von Wosign und Startcom. Der Browser nutzt außerdem WebGL 2 und ermöglicht eine bessere Videowiedergabe ohne GPU.

24.01.20179 Kommentare

33C3 Forschern ist es gelungen, Tor-Nutzer mit Hilfe von Cross-Device-Tracking via Ultraschall zu identifizieren. In einem Livetest zeigten sie, wie auch staatliche Angreifer die Infrastruktur der Werbefirmen nutzen können.

06.01.201789 Kommentare

33C3 In beeindruckender Feinarbeit hat ein Hacker die Hard- und Software von Amazons Dash-Button auseinandergenommen, um zu verstehen, wie das Gerät funktioniert. Sein Lohn: die Ausführung von Code auf dem Gerät. Warum? Weil es geht!
Von Hauke Gierow

04.01.2017184 KommentareVideo

Die Antivirensoftware von Kaspersky liest bei TLS-Verbindungen mit und sorgt nebenbei dafür, dass die Zertifikatsprüfung ausgehebelt wird. Wieder einmal konnte Tavis Ormandy von Google damit zeigen, wie löchrig sogenannte Sicherheitssoftware ist.

04.01.201719 Kommentare

33C3 Die Playstation 4 ist alles andere als ein PC - dank eines ARM-SoC, das viele, aber nicht alle PC-Komponenten simuliert. Diese Doppelarchitektur und viele bis dato nicht gesehene Designentscheidungen erschweren die Analyse des Systems.

28.12.201648 Kommentare

Nach der schwerwiegenden Sicherheitslücke stellt Netgear erste Updates zur Verfügung. Für sieben betroffene Router liegen weiterhin nur Beta-Versionen vor.

20.12.20160 Kommentare

Zahlreiche Netgear-Router sind über manipulierte Webseiten angreifbar. Das Unternehmen hat für verschiedene Modelle bereits eine Beta-Firmware zum Patchen bereitgestellt.

13.12.201612 Kommentare

Im Streit über die Zulässigkeit kostenloser Zahlungsangebote haben Verbraucherschützer eine Niederlage vor Gericht erlitten. Das OLG Frankfurt empfiehlt den Nutzern, zur Vermeidung von Datenmissbrauch im stationären Handel einzukaufen.

02.12.2016162 Kommentare

In der Firmware chinesischer Billig-Handys haben Sicherheitsexperten erstaunliche Lücken entdeckt. Selbst ohne ausgefeilte Angriffsmethoden hätten Millionen Android-Handys gehackt werden können.

20.11.2016101 Kommentare

Single Sign-on ist praktisch, wird aber oft falsch implementiert. Sicherheitsforscher haben demonstriert, welche Fehler App-Entwickler dabei machen. Mehrere hundert Apps machten dabei Probleme.

15.11.201625 Kommentare

Mit Windows 10 will Microsoft im großen Stil an Nutzerdaten gelangen. Der Einsatz in Büros könnte daher aus rechtlichen Gründen unerlaubt sein. So sendet der Defender eine Liste aller installierten Programme in die Cloud.

27.10.2016213 Kommentare

Das Photo-Tan-Verfahren sollte ursprünglich als zweiter Faktor Überweisungen absichern. Weil das nicht mehr geschieht, und die Banken nachlässig programmierte Apps entwickeln, ist das Verfahren angreifbar.

18.10.2016131 Kommentare

E-Mails zu verschlüsseln gilt schon als kompliziert, doch wie verschlüsselt man eigentlich eine ganze Mailingliste? Das Tool Schleuder soll das ermöglichen, allerdings kann der Server dabei Nachrichten mitlesen.

10.09.201643 Kommentare

Zwei Hacker haben drei Viertel der von ihnen untersuchten Bluetooth-Smartlocks knacken können - mit stellenweise haarsträubend einfachen Mitteln. Die Reaktion der Hersteller zeugt nicht von großem Interesse, an den Problemen etwas ändern zu wollen.

09.08.201687 Kommentare

Ein anonymes Dokument beschreibt detailliert Sicherheitslücken im FreeBSD-Update-System. Betroffen sind Portsnap, Libarchive und Bspatch. Fixes gibt es bislang nur für wenige der Bugs. Möglicherweise existieren ähnliche Angriffe auch auf Linux-Systemen.

09.08.20169 Kommentare

Black Hat 2016 Durch die geschickte Kombination eines Timing-Angriffs in Javascript und der bereits bekannten Breach-Attacke ist es möglich, Geheimnisse in TLS-Verbindungen zu entschlüsseln. Anders als früher ist dafür kein Man-in-the-Middle-Angriff nötig.

04.08.201611 Kommentare

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

22.07.201648 Kommentare

Forscher haben entdeckt, dass der alternative Browser Maxthon sicherheitsrelevante Nutzerdaten an einen Server in Peking sendet. Die Daten ließen sich hervorragend für gezielte Angriffe nutzen. Und sie sind nur schlecht gegen Dritte abgesichert.

15.07.201615 Kommentare

In der kommenden Android-Version will Google mit einer umstrittenen Maßnahme verhindern, dass verschlüsselte Daten von Angreifern mitgelesen werden. Außerdem soll das Betriebssystem vor Erpressungstrojanern schützen.
Von Hauke Gierow

11.07.201618 KommentareVideo

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

04.07.20161 Kommentar

Google lässt sich in seiner Datenschutzerklärung das Recht einräumen, Metadaten beim Telefonieren und beim SMS-Versand zu speichern. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar kritisiert das Unternehmen. Mittlerweile hat Google Stellung genommen.
Von Hauke Gierow

30.06.2016116 Kommentare

Die große Koalition regelt den Einbau von elektronischen und vernetzten Stromzählern neu. Golem.de beantwortet die wichtigsten Fragen, die Verbraucher und Solaranlagenbetreiber betreffen.

23.06.2016207 Kommentare

PGP ist sicher, aber in der Handhabung oft kompliziert, gerade in größeren Unternehmen. Die EU-Kommission will die Technik in einem Pilotprojekt für alle Mitarbeiter einführen. Eine Angst geht dabei um: die vor verschlüsselten Spammails.
Ein Bericht von Jan Weisensee

22.06.201628 KommentareAudio

Ein Routermodell von Netgear weist eine gravierende Schwachstelle auf: Auf dem Gerät befinden sich ein hartcodierter Verschlüsselungskey und ein Zertifikat, die von Angreifern missbraucht werden können. Für das Update braucht Netgear mehr als sechs Monate.

15.06.20160 Kommentare

Vernetzte Autos werden immer anfälliger für Hackerangriffe. In einem aktuellen Beispiel gelang es Forschern, die Alarmanlage eines Mitsubishi-SUVs zu deaktivieren. Der Hersteller reagierte erst, nachdem sich Medien einschalteten und arbeitet daran, die Sicherheitslücke zu schließen.

07.06.201619 Kommentare

Der Computerhersteller Lenovo warnt vor einer Sicherheitslücke in einer Anwendung, die auf Windows-10-Rechnern vorinstalliert ist. Die Accelerator App soll den Start anderer vorinstallierter Lenovo-Anwendungen beschleunigen.

03.06.201639 Kommentare

Fast alle Antiviren-Apps für Smartphones haben Fehler, stellt eine neue Studie fest. Eine App von Kaspersky soll sogar mit Malware infizierte Werbung heruntergeladen haben. Die meisten Hersteller haben die Lücken mittlerweile gepatcht.

02.06.201612 Kommentare

Kritiker sprechen von unbegrenzten Überwachungsmöglichkeiten, Symantec und Bluecoat von internen Tests: Dass Bluecoat mit einem neuen TLS-Zertifikat faktisch als Zertifikatsausgabestelle handeln kann, sorgt für Diskussionen.

30.05.201661 Kommentare

Das dritthäufigste Desktop-Betriebssystem? Windows XP! Das veraltete und unsichere Betriebssystem kommt aktuellen Zahlen zufolge immer noch häufig zum Einsatz. Windows 10 belegt den zweiten Platz.

09.04.2016374 Kommentare

Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.

10.03.20169 Kommentare

Kein moderner Browser unterstützt das alte SSL-Protokoll Version 2. Trotzdem kann es zum Sicherheitsrisiko werden, solange Server es aus Kompatibilitätsgründen unterstützen. Es muss nicht einmal derselbe Server sein.
Von Hanno Böck

01.03.201620 Kommentare

Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

10.02.20162 Kommentare

Sogenannte Captive Portals, Vorschaltseiten, die in vielen WLANs zum Einsatz kommen, sind ein fragwürdiger Hack, der bald zu technischen Problemen führen wird. Trotzdem will die Bundesregierung ihnen jetzt Gesetzesrang verschaffen.

08.02.201699 Kommentare

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

27.01.201613 Kommentare

Treiber-Updates sollen einen Rechner sicherer machen, nicht verwundbarer. Im Fall von Intels Treiber-Update-Programm ist das leider misslungen - eine Schwachstelle ermöglicht es Angreifern, bösartigen Code auf dem Rechner der Nutzer auszuführen.

22.01.201610 Kommentare

Das Ende von SHA 1 naht - doch jetzt gibt es einen Rückschritt beim Abschied von dem alten Algorithmus. Weil es in Firmennetzwerken Probleme mit TLS-Man-In-The-Middle-Proxys wie Antivirenscannern und Firewalls gibt, hat Mozilla die Zertifikate wieder aktiviert - vorerst.

08.01.20167 Kommentare

Gefälschte Support-Anrufe sind ein großes Ärgernis für viele PC-Nutzer. Jetzt gibt es eine neue Masche, die gezielt Dell-Nutzer anspricht. Möglicherweise hängen die Anrufe mit den von Dell im vergangenen Jahr installierten SSL-Zertifikaten zusammen.

08.01.20162 Kommentare

Die automatischen Updates von Drupal können so manipuliert werden, dass recht leicht Malware eingeschleust werden kann. Bekannt ist dies wohl schon seit Jahren, Lösungen dafür werden nun erneut diskutiert.

08.01.20161 Kommentar

Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

07.01.20164 Kommentare