Zum Hauptinhalt Zur Navigation Zur Suche

Man-in-the-Middle

Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate. (Bild: Netgear) (Netgear)

TLS: Netgear verteilt private Schlüssel in Firmware

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.
/ 127 Kommentare
Die besten Tage von Sendmail sind wohl vorbei - trotzdem wäre es wünschenswert, wenn die Software seriös betreut werden würde. (Bild: Sendmail-Logo / Modifikation Hanno Böck) (Sendmail-Logo / Modifikation Hanno Böck)

Sendmail: Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
/ 111 Kommentare / Eine Analyse von Hanno Böck
Bei NordVPN kam es offenbar zu einem Vorfall, durch den ein Angreifer Zugriff auf einen Server hatte. (Bild: NordVPN) (NordVPN)

Leak: NordVPN wurde gehackt

Beim VPN-Anbieter NordVPN gab es offenbar vor einiger Zeit einen Zwischenfall, bei dem ein Angreifer Zugriff auf die Server und private Schlüssel hatte. Drei private Schlüssel tauchten im Netz auf, einer davon gehörte zu einem inzwischen abgelaufenen HTTPS-Zertifikat.
/ 92 Kommentare
Die Golem Newsletter : Das Wichtigste für Techies und IT-Leader auf einen Blick. Jetzt abonnieren
In manchen iOS-Apps steckt eine verwundbare Twitter-Software. (Bild: Tracy Le Blanc/Pexels) (Tracy Le Blanc/Pexels)

Twitter: iOS-Apps verwenden altes Twitterkit mit Sicherheitslücke

Das Fraunhofer SIT hat eine Sicherheitslücke im eingestellten Twitterkit entdeckt, die nicht mehr geschlossen werden soll. Über diese kann ein Man-in-the-Middle-Angriff durchgeführt werden. Einige iOS-Apps verwenden die Software noch, um auf Tweets zuzugreifen oder einen Login mit Twitter anzubieten.
/ Kommentare
Mit diesem Supercomputer könnte man einen Angriff auf die 8-Bit-Verschlüsselung des Bluetooth-Protokolls durchführen. (Bild: Pixabay / Pexels) (Pixabay / Pexels)

KNOB-Angriff: 8-Bit-Verschlüsselung mit Bluetooth

Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.
/ 15 Kommentare
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen. (Bild: reynermedia/Håkan Dahlström Photography) (reynermedia/Håkan Dahlström Photography)

Visa-Hack: Mehr bezahlen als erlaubt

Mit Visa-Karten können kleinere Beträge bis zu einem Limit ohne PIN und Unterschrift bezahlt werden. Sicherheitsforscher konnten auch größere Beträge ohne Autorisierung abbuchen. Das soll sogar mit Visa-Karten im Smartphone-Wallet funktionieren.
/ 39 Kommentare
Mit Riot.im kann auf das Matrix-Netzwerk zugegriffen werden. (Bild: Riot.im) (Riot.im)

Team-Messenger: Ab in die Matrix!

Es muss nicht immer Slack sein. Das Startup Parity nutzt seit zwei Jahren den freien, offenen und verschlüsselten Team-Messenger Matrix - und zieht eine positive Bilanz. Auch wenn nicht immer alles rundläuft.
/ 66 Kommentare / Von Moritz Tremmel
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons) (Kjetil Ree, Wikimedia Commons)

Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.
/ 17 Kommentare
Das Logo der RSA-Konferenz 2018 in San Francisco (Bild: RSA) (RSA)

RSA 2018: Sicherheitskonferenz mit Datenleck

Erneut hat die Sicherheitskonferenz RSA ein Problem mit der eigenen Infrastruktur. Über die API einer App hätten die Namen aller Teilnehmer ausgelesen werden können. Es ist nicht das erste Mal, das dort so ein Problem auftaucht.
/ Kommentare