Security

Cloudflare erzählt in einem ausführlichen Blogpost die Geschichte des vergangenen Ausfalls, der einen Teil der Internetinfrastruktur belastete und sogar das eigene Team bei der Fehlersuche behinderte. Das Unternehmen schämt sich für den Fehler.

Google ist nicht begeistert, dass ein Mitarbeiter aufgezeichnete Google-Assistant-Gespräche von Kunden an die Presse weitergeleitet hat. Ermittlungen dazu laufen - und Google rechtfertigt und verteidigt das Vorgehen.

Nach mehreren Monaten hat sich die US-Behörde FTC festlegen können: Facebook muss fünf Milliarden US-Dollar Strafe zahlen, wegen Cambridge Analytica und anderen Vorfällen. Nach Ansicht einiger Kritiker ist diese Summe im Verhältnis zum Einkommen des Unternehmens zu niedrig - der Aktienkurs steigt.

Eigentlich haben Nutzer sich vom aktuellen Sicherheitspatch für Windows 7 erhofft, nur Security-Fixes zu erhalten. Allerdings hat ein anonymer Nutzer entdeckt, dass Microsoft auch ein Diagnosetool verteilt, das Daten an das Unternehmen schicken kann. Zdnet hält das nicht für einen Zufall.

Angreifer verteilen wahllos Schadcode auf Amazon-S3-Buckets. Sie infizieren jeden Bucket, der ungeschützt im Netz hängt. Bislang sollen 17.000 Domains betroffen sein. Obwohl die Angriffe nur in einem Bruchteil der Fälle effektiv sein dürften, offenbaren sie ein größeres Problem.

Ein Entwickler stellt eine neue Version einer Zip-Bombe vor, die sehr effizient entpackt. Den Trick dokumentiert er anschaulich in einem Artikel. Dabei wird die immer gleiche gepackte Information beliebig oft aufgerufen.

Jeder 500. Sprachbefehl wird von Google-Mitarbeitern ausgewertet. Ein Leak aus Belgien zeigt, dass sich darunter auch viele ungewollt aufgenommene Gespräche und Telefonanrufe befinden - mit privaten und intimen Inhalten.

Mit einer neuen Methode können Daten von Air-Gapped-Computern, die nicht an das Internet angeschlossen sind, ausgeleitet werden. Dafür verwendet ein Sicherheitsforscher die LEDs einer Tastatur.

Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben.

Der Juli-Patchday von Adobe betrifft dieses Mal keine populären Endanwender. Weder der Flash Player noch die PDF-Werkzeuge haben Sicherheitslücken, die beseitigt werden müssen. Dafür gibt es Lücken in anderen Werkzeugen.

Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.

Zum Erstellen illegaler Kopien von Inhalten der Streaminganbieter Netflix oder Amazon greifen die zuständigen Gruppen offenbar direkt die genutzte Verschlüsselung an. Das geht aus einem Medienbericht hervor, der Insider zitiert.

Nach einer langen Diskussion hat sich Mozilla entschieden, TLS-Zertifikaten der Firma Dark Matter nicht mehr zu trauen. Dark Matter war laut Medienberichten in Spionage der Vereinigten Arabischen Emirate verwickelt.

Der Landesdatenschutzbeauftragte aus Hessen warnt vor Microsofts Cloud: Der Zugriff von Dritten könne nicht ausgeschlossen werden, daher dürften Schulen die Software Office 365 nicht einsetzen. Das ist aber nicht der einzige Grund.

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusiv-Meldung von Hanno Böck

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Wer die aktuellen Betaversionen von iOS 13, iPad OS oder MacOS Catalina installiert hat, kann sich auf der Beta-Webseite von iCloud mit Gesichtsscan oder Fingerabdruck einloggen. Dabei kommt wohl kein Webauthn zum Einsatz.

Das Github-Konto von Canonical wurde zwischenzeitlich von Angreifern übernommen, diese hätten die dort gehostete Software verändern können. Ubuntus Infrastruktur soll nicht betroffen sein.

Mit der Datenschutzgrundverordnung können Datenschutzverstöße und Datenlecks teurer werden. Die Fluggesellschaft British Airways gibt sich überrascht und will Widerspruch gegen eine Strafzahlung einlegen.

Ermittlungsbehörden sollen künftig viel einfacher auf elektronische Beweismittel in anderen EU-Staaten zugreifen können. Die Bundesregierung warnt intern vor den Gefahren für Presse- und Meinungsfreiheit.

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

Gleich mehrere Sicherheitslücken in kabellosen Tastaturen und Mäusen von Logitech ermöglichen nicht nur das Mitlesen der Eingaben, es kann auch Schadcode an den Rechner übermittelt werden. Logitech möchte nicht alle Lücken schließen.

Nutzer des aktuellen Windows-10-Updates 1903 könnten Probleme mit dem VPN-Dienst Rasman und dem Sandbox-Modus haben. Microsoft arbeitet an einer Lösung. Das Wirtschaftsmagazin Forbes hält die konstanten Fehler nach Updates für gefährlich. Windows 10 sei weiterhin eine Gefahrenzone.

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

Die japanische Einzelhandelskette 7-Eleven hat Anfang Juli 2019 ein eigenes Bezahlsystem eingeführt, das sich durch einfache Bedienung auszeichnet. Dummerweise ist der mit einer Kreditkarte verknüpfte Dienst nur unzureichend gesichert gewesen.

Die Daten von Millionen Smart-Home-Geräten und ihren Eigentümern waren öffentlich über das Internet abrufbar. Mit den Zugangsdaten hätten Angreifer die Konten und Geräte übernehmen können. Auch Einbrecher hätten leichtes Spiel gehabt.

Auf einem Flug von New York nach London hat es kurz nach dem Start ein Feuer in der Kabine gegeben. Ursache war ein zwischen zwei Sitzen steckendes Akkupack, das zum Aufladen mobiler Geräte verwendet wird. Die Maschine wurde nach Boston umgeleitet.

Mehrere Medien melden unter Berufung auf eine chinesische Sicherheitsfirma, dass Malware das DNS-over-HTTPS-Protokoll zur Verschleierung von Datenverkehr nutzt. Es ist eine Falschmeldung, aber selbst wenn sie stimmen würde, wäre es kein Argument gegen DoH.
Eine Analyse von Hanno Böck

Fast jeder Dritte nutzt laut einer Umfrage der KKH eine Gesundheitsapp oder einen Fitnesstracker. Deutlich mehr haben Bedenken beim Datenschutz. Die Krankenkasse KKH findet die Bedenken durchaus berechtigt.

Apple hat in iOS 12.3 eine Lücke geschlossen, die es Angreifern ermöglicht hat, mit einer einzigen iMessage ein iPhone oder iPad vorübergehend unbrauchbar zu machen.

Huawei wird laut Telekom-Vorständin Claudia Nemat nicht anders behandelt als Europäer wie Ericsson und Nokia, die in China produzieren. Sicherheit werde von allen Anbietern aus allen Richtungen gefordert.

Mit dem Juli-Update patcht Google wieder Sicherheitslücken aus seinem Android-Betriebssystem. Dieses Mal betrifft es vor allem Medien. Wegen Fehlern beim Bounds-Check lässt sich Schadsoftware in HEVC-Dateien verstecken.

Verteidigungsministerin Ursula von der Leyen ist überraschend als Kandidatin für das Amt der EU-Kommissionspräsidentin nominiert worden. Das Internet hat vor zehn Jahren keine guten Erfahrungen mit "Zensursula" gemacht. Zuletzt machte sie sich für die Entwicklung von Cyberwaffen für die Bundeswehr stark.
Ein Bericht von Friedhelm Greis

Täglich 60 Kilometer radeln, bei Hitze, Regen und im Berufsverkehr. Das sollte mit einem Pedelec auch ein untrainierter Golem.de-Redakteur schaffen. Wir haben einen Selbstversuch gestartet und dabei viel gelernt.
Ein Erfahrungsbericht von Martin Wolf

Microsoft gibt Pläne für das kommende Update 19H2 für Windows 10 bekannt. Es soll im September des Jahres erscheinen - diesmal schneller und kontrollierter. Das Update wird sich wohl auf die Verbesserung des Betriebssystems und weniger auf neue Funktionen konzentrieren.

Vor zwei Jahren formulierte das Bundesamt für Sicherheit in der Informationstechnik Anforderungen an sichere Browser. Nun soll das Dokument aktualisiert werden, um Kommentierung wird gebeten.

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

Apple-Nutzer können sich künftig mit einem eigenen Anmeldedienst in Apps anmelden, Apple zwingt die App-Anbieter zu entsprechender Mitarbeit. Die OpenID Foundation sieht bei Sign in with Apple einige Probleme und ruft Apple auf, bei OpenID Connect mitzuarbeiten.

Dass SKS-Keyserver anfällig für Spam-Angriffe sind, ist seit langem bekannt. Nachdem sie angegriffen wurden, raten zwei OpenPGP-Entwickler nun davon ab, das Netzwerk für PGP-Schlüssel weiter zu nutzen. Das kommt überraschend spät.

Der Chief Technology Officer von Nokia hat in einem Interview die Sicherheit des Konkurrenten Huawei kritisiert. Davon hat sich Nokia öffentlich distanziert, was sehr ungewöhnlich ist.

Die russische Suchmaschine Yandex ist laut Reuters mit der westlichen Schadsoftware Regin angegriffen worden. Die Angreifer hatten es auf technische Informationen abgesehen.

Qwant Maps steht in einer ersten Betaversion für Nutzer zur Verfügung: Der französische Suchmaschinenbetreiber verwendet Material von Openstreetmap und will auf das Speichern persönlicher Daten und Orte verzichten. Wer dennoch Orte speichern möchte, kann dies verschlüsselt tun.

Der Bundestag hat den Schwellenwert für die Ernennung eines betrieblichen Datenschutzbeauftragten verdoppelt. Eine Lockerung der Datenschutzbestimmungen ist damit jedoch nicht verbunden.

Google möchte die Apps im Play Store automatisch optimieren - braucht dazu aber Zugriff auf die Signierschlüssel der App-Entwickler. Kritiker sehen darin ein Sicherheitsproblem.

Die Mozilla Foundation arbeitet an einer neuen Version des mobilen Firefox-Browsers. Dieser basiert auf Geckoview und soll wie Firefox Klar erweiterte Privatssphäreeinstellungen und Tracking-Schutz bieten. Eine erste Previewversion kann als separate App getestet werden.

Handvenenscanner sind eine recht sichere Anmeldemethode, die obendrein hygienisch ist, wenn auch seit Neuem nicht mehr unknackbar. Neben Fujitsu verwendet jetzt auch Dell diese Technik - vorerst in Desktopsystemen, Rugged-Geräten und Serverräumen.

Heimliche Videoaufnahmen in Airbnb-Wohnungen sind verboten, dennoch entdecken Mieter in ihren Unterkünften immer wieder versteckte Überwachungskameras. Es kann sich also lohnen, gezielt nach solchen Kameras zu suchen. Wir erklären, wie man das am besten macht.
Von Moritz Tremmel

Wer sich gegen einen Drohnenüberflug über das eigene Grundstück mit Waffengewalt wehrt, kann unter Umständen nicht wegen Sachbeschädigung belangt werden, heißt es einem Amtsgerichtsurteil.

Noch vor der Sommerpause will die Koalition viele Datenschutzvorgaben an die DSGVO anpassen. Bei umstrittenen Themen soll es vorerst jedoch keine Klarstellung geben. Kritik gibt es zu einer Änderung bei betrieblichen Datenschutzexperten.

Die Subdomain eaplayinvite.ea.com des Spieleherstellers Electronic Arts ist von Sicherheitsfirmen übernommen worden. Über einen weiteren Angriff konnten die Firmen auch an Nutzerdaten gelangen.