RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.
Der Krack-Angriff auf die WLAN-Verschlüsselung WPA2 erfährt derzeit ein Medienecho wie kaum eine Sicherheitslücke. Anlass zur Panik besteht dabei für Privatanwender nicht und auch die wenigsten Unternehmen sind gefährdet. Administratoren sollten die Lage trotzdem im Blick behalten.
Eine Analyse von Hauke Gierow und Andreas Sebayang
Es ist erst der zweite bekannte Angriff dieser Art: Microsofts interner Bugtracker ist im Jahr 2013 gehackt worden. Unklar ist, ob und welche Informationen über Sicherheitslücken die Angreifer dabei erbeuten konnten.
Am 17. Oktober um 19 Uhr gibt Mirosoft mit dem Fall Creators Update eine neue große Version von Windows 10 frei. Verbesserungen wird es vor allem beim Design, Cortana und dem Datenschutz geben. Das Update ist Voraussetzung für Windows Mixed Reality.
Auch Intel hat Patches für seine Hardware veröffentlicht, um über neue Treiber Krack-Angriffe auf das WLAN zu verhindern. Betroffen sind zahlreiche WLAN-Karten von Notebooks, Intels AMT, aber auch ein Atom müssen gepatcht werden. Bei AMT dauert es aber noch ein paar Wochen.
Ein neues Gewand für Windows 10: Das Fluent Design soll sich in allen Microsoft-Apps und UWP-Programmen wiederfinden. Kleine Änderungen und die Rückkehr zur halbtransparenten Milchglasoptik werden schrittweise eingeführt - zum Teil sogar schon im Fall Creators Update.
Ubiquiti hat binnen eines Tages seinen WLAN-Router Amplifi gepatcht. Die neue Firmware soll verschiedene Schwächen bei der Verwendung von WLAN-Schlüsseln beheben und dürfte damit der erste Patch gegen Krack für ein Endkunden-Gerät sein. Die Profi-Geräte wurden ebenfalls mit einer neuen Firmware ausgestattet.
Schwachstellen in der Implementierung von WPA2 ermöglichen das Mitlesen verschlüsselter Kommunikation per WLAN - ohne Zugriff auf das Passwort. Linux- und Windows-Nutzer können patchen, Android-User müssen hoffen.
Von Hauke Gierow und Sebastian Grüner
Egal ob Fifa 18, Warhammer 2 oder Mittelerde - Schatten des Krieges: Wenige Stunden nach der Veröffentlichung sind die PC-Versionen illegal in Tauschbörsen erhältlich. Das Schutzsystem Denuvo wird offenbar in kürzester Zeit ausgehebelt.
Ein Sturz aus 1,20 Meter Höhe und eine kalte Dusche können der Bolt B80 anscheinend nichts anhaben. Die externe SSD fasst maximal 480 GByte und soll durch den USB-C-3.1-Gen2-Anschluss besonders schnell sein. Außergewöhnlich sieht sie auf jeden Fall aus.
Autoschlüssel mit Funkverbindung sind ein beliebtes Ziel für Sicherheitsforscher - und oft eher Opfer als Gegner. Aktuell ist Subaru betroffen, zahlreiche Fahrzeuge des Herstellers sind für einen Angriff verwundbar. Das Unternehmen hat bislang nicht reagiert.
Auch Hidden-Services können per Denial-of-Service-Angriff empfindlich gestört werden - wie derzeit die Betreiber von vier großen Darknet-Plattformen merken. Seit Freitag sind die Seiten nicht oder nur über Umwege erreichbar.
Oneplus lenkt ein bisschen ein und will künftig weder die IMEI, noch die Telefonnummer der Nutzer erheben. Andere Informationen sollen aber auch nach einem Opt-out weiter übertragen werden.
Seit Mai 2017 können Root-User die Netflix-App nicht mehr aus Googles Play Store laden - seit einigen Tagen taucht die App aber wieder bei manchem betroffenen Nutzer auf. Nicht alle Root-Nutzer sehen die Anwendung aber, die Hintergründe der erneuten Verfügbarkeit bleiben unklar.
Nach Meinungsverschiedenheiten hatten sich ein Systemadministrator und sein Arbeitgeber getrennt. Das hielt den Admin aber nicht davon ab, noch zahlreiche Dateien und Konten zu löschen oder deren Passwörter zu ändern. Dafür wurde der US-Amerikaner nun verurteilt.
Golem.de-Wochenrückblick Kaspersky gerät zwischen die Fronten, Microsoft distanziert sich von seinem mobilen Betriebssystem und wir ärgern uns mit APFS herum - obwohl wir MacOS High Sierra im Test eigentlich gut finden. Sieben Tage und viele Meldungen im Überblick.
Die Entdeckung einer Jobausschreibung für einen Media Screener der BVG macht die Gewerkschaft Verdi stutzig. Es stellt sich die Frage, ob das Unternehmen damit die eigenen Mitarbeiter kontrollieren will. Das sei nicht das erste Mal, heißt es.
Mit einer vorgeschlagenen Erweiterung für das kommende TLS 1.3 könnte die Verschlüsselung effektiv gebrochen werden. Internet-, Mobilfunk- und Cloud-Provider wollen dazu aber nicht öffentlich Stellung nehmen. Und die nächste ähnliche Idee steht schon wieder auf der Agenda.
Von Sebastian Grüner
Die Webseite Pornhub hat in den vergangenen Monaten bösartige Werbeanzeigen verteilt, die Nutzer zu einem Browserupdate aufforderten. Wer der Aufforderung nachkam, installierte sich weitere Adfraud-Malware. Deutsche Nutzer waren wohl nicht betroffen.
Über neun Jahre lang jagten das FBI und Symantec eine kriminelle Gruppe, die gefälschte Auktionen durchführte und mit einem Botnetz Kryptomining betrieb. Erst im vergangenen Jahr konnten die mutmaßlichen Hintermänner verhaftet werden.
Ein Bericht von Hauke Gierow
Mit Aeroscope sollen unter anderem Behörden Multicopter identifizieren und in Echtzeit auf einer Karte anzeigen lassen können, ohne dass Veränderungen an den Geräten vorgenommen werden müssen. Der Aeroscope-Empfänger nutzt die Kommunikationsverbindung von DJI-Drohnen, um die Geräte zu identifizieren.
MacOS mit Apple-PFuSch? Wenn es um das neue Dateisystem APFS geht, hat Apple zwar etwas Robustes abgeliefert, doch das Drumherum stimmt überhaupt nicht, wie ausführliche Tests gezeigt haben. Ansonsten gibt es für Endanwender in MacOS 10.13 alias High Sierra nicht viel zu sehen, was aber gar nicht so schlecht ist.
Ein Test von Andreas Sebayang und Hauke Gierow
Wieder einmal schlecht konfigurierte AWS-Server - mit brisantem Inhalt: Vier Instanzen des Beratungsunternehmens Accenture enthielten ungeschützt vertrauliche Daten wie Passwörter und geheime Schlüssel. Mittlerweile soll das Problem behoben sein.
5G-Mobilfunk mit sehr viel höheren Datenraten und sehr niedriger Latenzzeit steht kurz bevor. Doch ist dafür wirklich ein ganzer Wald neuer Antennen nötig?
Unter Linux ist EXT4 Standard, moderne Features fehlen dem Dateisystem allerdings. Mit ZFS existiert eine Alternative. Die zwingt den Nutzer aber zur Umgewöhnung, wie wir herausgefunden haben.
Ein Test von Matthias Riegler
Erkenntnisse israelischer Geheimdienstkreise sollen hinter der Kaspersky-Blockade in den USA stecken. Die Geheimdienste des Landes sollen russische Dienste in den Servern von Kaspersky gefunden haben.
Besser spät als nie: Alibaba will reichlich in die Forschung von Quantencomputern, Machine Learning und IoT investieren - mit Hilfe von renommierten Instituten wie dem MIT und Princeton. Sich gegen bereits etablierte Konkurrenten wie Microsoft und Google durchzusetzen, wird trotzdem nicht leicht.
Aus Angst vor Spionage will die Sicherheitsfirma Symantec nach Angaben ihres CEO keine Regierungen mehr in den eigenen Code schauen lassen. Anlass war offenbar eine Anfrage der russischen Regierung.
Nach dem Update auf das aktuelle Fritz OS 6.84 kommen manche Kunden von Vodafone nicht mehr ins Internet. AVM hat die Version inzwischen gestoppt und arbeitet an einer grundsätzlichen Lösung mit dem Netzbetreiber.
Eine Sicherheitslücke in Outlook hat zur Folge, dass per S/MIME verschlüsselte Mails auch im Klartext mitgesendet werden. Microsoft hat den Fehler am Patchday behoben.
Big Data bei der Polizei: Der Film Pre-Crime porträtiert das sogenannte Predictive Policing in Chicago, London und München - und zeigt die Gefahren, die entstehen, wenn Algorithmen zu Ermittlern werden. Ab Donnerstag im Kino.
Eine Rezension von Jan Bojaryn
Menschen scheinen nicht dafür gemacht, sich sehr viele komplizierte Passwörter zu merken. Abhilfe schaffen Passwortmanager. Wir haben die Lösungen von Keepass, Lastpass, 1Password und Dashlane verglichen - und bei allen Stärken gefunden.
Ein Test von Hauke Gierow
Kurz nach der Veröffentlichung von Nintendos Konsole SNES Classic Mini lassen sich per Hack eigene Spiele auf dem Gerät installieren. Das ist nicht besonders aufwendig - aber wegen des schwierigen Ersatzes im Schadensfall dennoch ein größeres Risiko.
Wenn der Passworthinweis das Kennwort im Klartext liefert, läuft etwas falsch. Das hat auch Apple gemerkt und liefert ein Update für High Sierra, das auch weitere Probleme beheben soll.
Die neue Version 10 des Datenbanksystems PostgreSQL bringt Verbesserungen bei der Parallelisierung und Replikation von Datenbanken. Außerdem wird das MD5-Hashverfahren durch SHA-256 ersetzt. In Zukunft sollen Versionen anders nummeriert werden.
Während die Grünen auf Bundesebene gegen den Einsatz von Staatstrojanern wettern, hat die hessische Landespartei damit kein Problem. Die Frage der Umsetzung wird einfach ausgeblendet.
Virus Bulletin 2017 Einen Hack bis zu seinem Ursprung zurückzuverfolgen, gilt im IT-Sicherheitsbereich als schwieriges Geschäft. Neue Forschungen von Kaspersky zeigen, dass die Situation noch verfahrener ist, als bislang angenommen.
Ein Bericht von Hauke Gierow
Der deutsche IT-Sicherheitsforscher Tillmann Werner hat der US-Behörde FBI geholfen, einen gefährlichen Hacker zu jagen.
Von Hakan Tanriverdi
Das hat lange gedauert: Nach vier Jahren Untersuchungen hat sich die Bundesanwaltschaft entschieden, nicht gegen die Geheimdienste NSA und GCHQ zu ermitteln.
Erstmals müssen alle Chefs der deutschen Nachrichtendienste öffentlich dem Bundestag Rede und Antwort stehen. Sie nutzten die Gelegenheit weidlich, um ihre Überwachungswünsche loszuwerden.
Ein Bericht von Friedhelm Greis
Mehr Microsoft bei Google und Apple: Der Edge-Browser kommt für mobile Geräte und bringt das Teilen von Webseiten auf Windows-Desktops gleich mit. Android-Nutzer bekommen auch einen Microsoft Launcher geboten.
Kaspersky hat seinen kostenfreien Virenscanner für Deutschland freigegeben. Die Software hat einige Beschränkungen, soll Nutzer aber nicht ausspionieren oder tracken.
Virus Bulletin 2017 Die Malware in einer Ccleaner-Version hatte mindestens drei Stufen - von der ersten waren 1,65 Millionen Personen betroffen. Wer ein 64-Bit-Windows nutzt, soll allerdings nichts zu befürchten haben.
Nach dem Ende des Safe-Harbor-Abkommens haben Firmen wie Facebook ihre Nutzerdaten auf einer anderen rechtlichen Grundlage in die USA übermittelt. Darüber soll nun ebenfalls der EuGH entscheiden.
Eine erheblich höhere Datenrate als LTE und eine bessere Latenzzeit bringt die Non-Stand Alone 5G-Technologie. Wenn alles wie geplant verläuft, geht es 2019 los.
Eine Schule im Brandenburger Land, The Pirate Bay und etliche Webseiten aus der Alexa-Top-1-Million-Liste schürfen ungefragt Kryptowährungen auf den Rechnern der Nutzer. Der Anbieter Coinhive will das Verfahren künftig anpassen, damit es weniger Ärger gibt.
Von Hauke Gierow
Der Hackerangriff auf Yahoo im Jahr 2013 ist noch größer als bisher bekannt gewesen: Alle drei Milliarden Kunden sind betroffen gewesen. Zusammenhänge mit anderen Angriffen schließt Yahoo aber aus.
Apple hat mit iOS 11.0.2 das zweite Update für sein neues Betriebssystem iOS 11 veröffentlicht. Es soll Tonprobleme beim iPhone 8 und ein Problem mit der Fotoverwaltung beheben. Derweil gibt es weiter Berichte über zu kurze Akkulaufzeiten im Vergleich zu iOS 10.
Um gegen nordkoreanische Hackerangriffe vorzugehen, soll US-Präsident Donald Trump Denial-of-Service-Angriffe auf die Infrastruktur des dortigen Geheimdienstes befohlen haben. Die Staatschefs beider Länder beleidigen sich derweil in verschiedensten Foren.
Wer Internet Explorer nutzt und aus der Adressleiste Suchanfragen startet, verrät der aktuell geöffneten Webseite unter Umständen seine Suchworte - oder anderen eingegebenen Text. Microsoft will sich das Problem anschauen.
Security