"Feuert sie und stellt mich ein oder werdet stückchenweise vernichtet": Ein Mann hat in den USA einer Softwarefirma mit einem Hack gedroht, um eingestellt zu werden. Statt eines neuen Jobs bekam er jedoch eine Gefängnisstrafe.

Das Jahr 2017 brachte vielen Unternehmen Millionenschäden durch Malware ein, ohne dass diese aktiv Fehler gemacht hatten. Wanna Cry, NotPetya und auch der CCleaner-Vorfall zeigen, dass die Frage der eingesetzten Software deutlich wichtiger ist als verwendete Virenscanner oder Firewall-Appliances.
Von Hauke Gierow

34C3 Bei Nintendos Switch baut Nvidia sich eine eigene Backdoor im Grafikprozessor, und Nintendo mapped den Kernel aus Versehen ausführbar in den Userspace. Trotzdem ist es gar nicht so leicht, eigenen Code zur Ausführung zu bringen - für einen Angriff werden sogar Kondensatoren getauscht.

Das alte Auto ist kaputt und verschrottet. Jetzt muss der Blechhaufen nur noch bei der zuständigen Kraftfahrzeugebehörde abgemeldet werden. Gut, dass es dafür eine tolle eGovernment-Infrastruktur gibt! Leider funktioniert sie ungefähr so gut wie die Fertigstellung des Hauptstadtflughafens BER oder die Demokratie in Nordkorea.
Ein Erfahrungsbericht von Hauke Gierow

34C3 Obwohl Xiaomi in puncto Security viel richtig macht, lassen sich Staubsauger der Firma rooten - mit einem Stück Alufolie. Das ermöglicht dann den Zugriff auf zahlreiche Sensoren und die Nutzung eines eigenen Cloudinterfaces.
Von Hauke Gierow

Das Update 52.5.2 behebt einen Fehler, der zum Absturz des E-Mail-Programms führen kann. Windows-Nutzer sollten sich das Update installieren. Auch mehrere Sicherheitslücken im RSS Feed werden behoben - das gilt für alle Betriebssysteme.

34C3 Wie schwierig ist es, einen Raum zu verwanzen und jemanden abzuhören? Zwei argentinische Hacker haben es getestet - und einen billigen Wanzendetektor entwickelt.
Von Patrick Beuth

34C3 Das Thema IT-Sicherheit spielt bei der Infrastruktur von Ladestationen bislang eine sehr geringe Rolle. Wie leicht sich Karten klonen und Ladesäulen hacken lassen, zeigte ein Sicherheitsexperte auf dem diesjährigen Chaos Communication Congress.

Nachdem Golem.de über Schwachstellen im besonderen elektronischen Anwaltspostfach berichtet hat, bleibt das System vorerst offline. In einer Mitteilung räumt die Bundesrechtsanwaltskammer Sicherheitslücken ein.
Von Hanno Böck

Eine Sicherheitslücke in Apache Struts soll dazu geführt haben, dass 33.000 Daten von Schweizer Kunden des Inkassodienstes Eos kompromittiert wurden. Darunter sollen sich neben Ausweiskopien auch ganze Krankenakten befinden.

Hacker, Spionage und Diebstahl von Geschäftsgeheimnissen: Um die deutsch-chinesische Freundschaft ist es gerade nicht so gut bestellt. Berlin sucht den Cyber-Dialog, Peking mauert. Was ist da los?

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.
Von Hanno Böck

Golem.de hat den Serverhoster Webtropia über eine kritische Schwachstelle informiert: Über eine Lücke in den Ports der Kontrollserver hätten Angreifer ohne Passwort die Kontrolle übernehmen können - zumindest bei einigen Systemen.
Von Hanno Böck

München verliert das Limux-Projekt, Berlin seine Fluglinie und die USA verlieren ihre Netzneutralität. 2017 sind viele Unternehmen und Produkte gescheitert - manche erwartungsgemäß, andere überraschend.
Von Oliver Nickel

Ein Zertifikat, dass vom Localhost signiert wird: Blizzard installiert ein Zertifikat mit Root-Rechten auf den Rechern seiner Nutzer - ohne Begründung oder Information. Auf Reddit erhitzen sich die Gemüter, sodass Blizzard sich doch noch erklären muss.

Wenige Tage, nachdem in der Browsererweiterung des Passwortmanagers Keeper eine kritische Sicherheitslücke gefunden wurde, verklagt dessen Hersteller den Journalisten Dan Goodin. Es ist offenbar nicht das erste Mal, dass Keeper juristisch gegen die Veröffentlichung von Schwachstellen vorgeht.

Eine neue Malware beteiligt Smartphones an DDoS-Attacken, bucht Bezahldienste, schürft heimlich eine Kryptowährung - und kann sogar Geräte beschädigen.

Schon wieder hat ein Unternehmen große Mengen persönlicher Daten auf einem öffentlich zugänglichen Amazon-S3-Bucket ins Netz gestellt. Betroffen sind Informationen wie Postadressen, Ausbildung, Kinderzahl und private Finanzinformationen.

Mozillas Secure Open Source Fund und der Berliner E-Mail-Anbieter Posteo haben einen Security-Audit für Thunderbird und die Erweiterung Enigmail in Auftrag gegeben. Dabei sind einige kritische und schwerwiegende Lücken gefunden worden.

Facebook verwendet künftig eine optionale, auf Maschinenlernen basierende Gesichtserkennung, um Nutzer zu benachrichtigen, wenn sie auf Fotos anderer User zu sehen sind. Das soziale Netzwerk will diese Technik auch zum Schutz der Identität der Nutzer verwenden und damit Fake-Profile entlarven.

Aus Sicherheitsgründen müssen neue Apps im Play Store künftig als Zielplattform das API-Level von Android 8.0 alias Oreo haben. Diese Bedingung soll Ende 2018 auch für Updates gelten. Außerdem müssen Apps die 64-Bit-Architektur unterstützen.

Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner - und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek.
Von Hanno Böck

Im Wall Street Journal macht ein Regierungsvertreter Nordkorea erstmals öffentlich für die Ransomware Wanna Cry verantwortlich. Dabei teilt er die Welt äußerst grob in gute und böse Cyberakteure ein.

Ein Foto aus dem Laserdrucker reicht, um Windows-Hello-Geräte zu entsperren. Tester der Syss GmbH konnten das bei einem Dell-Notebook und dem Surface Pro 4 bestätigen. Sicher sind nur aktuelle Geräte mit aktiviertem Anti-Spoofing.

Mit der Messenger-App Signal und dem auch von Whatsapp eingesetzten Signal-Protokoll ist Moxie Marlinspike ein großer Coup gelungen. Den will er nun mit einer Bitcoin-Alternative wiederholen.

Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen.

Für fast fünf Milliarden Euro übernimmt das französische Unternehmen Thales den Chipkarten-Hersteller Gemalto. Konkurrent Atos hatte mit seinem Angebot letztlich das Nachsehen.

Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

Die Bundesregierung ist sehr zufrieden mit der automatisierten Gesichtserkennung am Berliner Bahnhof Südkreuz. Nun soll der Test um sechs Monate verlängert werden.

Mit Hilfe einer falschen BGP-Konfiguration hat ein bisher unbekannter russischer Internetprovider für einen kurzen Zeitraum den Internetverkehr großer Unternehmen über russische Server umgeleitet. So könnten terabyteweise Daten abgeschöpft worden sein.

Die Gründerin von Qubes OS, Joanna Rutkowska, erklärt die grundlegenden Ideen und Konzepte des auf Sicherheit fokussierten Projektes. Außerdem verrät die Entwicklerin im Gespräch mit Golem.de weiter Pläne für Qubes.
Von Kristian Kißling

Ein Beratergremium der US-Regierung empfiehlt ihren Bundesbehörden, eigene IT-Lösungen aufzugeben und stattdessen stärker auf kommerzielle Cloud-Dienste zu setzen. Damit würden nicht nur Kosten gespart, die Cloud sei auch sicherer.

Ursprünglich behauptete der VBB einmal, dass Bewegungsprofile beim E-Ticket technisch unmöglich wären. 2015 wurden die BVG und andere dann erwischt, wie sie die Voraussetzungen schafften und schalteten ab. Zwei Jahre später gibt es Profile mit höherer Präzision. Schuld soll ein Dienstleister sein, dessen Arbeit die BVG nicht richtig prüfte.
Von Andreas Sebayang

Also doch nicht Russland: Drei amerikanische Studenten haben vor einem US-Gericht zugegeben, im vergangenen Jahr mit Mirai eines der größten Botnetze der Internetgeschichte aufgebaut zu haben. Ihr Ziel sollen konkurrierende Minecraft-Server gewesen sein.

Als Reaktion auf die öffentlich bekannten Lücken in Intels Management Engine (ME) will Intel das Ausnutzen derartiger Lücken künftig erschweren. Dazu sollen in den kommenden Hardware- und ME-Generationen Downgrades in der Firmware verhindert werden. Das hilft wohl aber nicht immer.

Software des russischen Unternehmens Kaspersky darf endgültig nicht mehr auf Computern der US-Regierung installiert werden. US-Präsident Trump unterzeichnete am Dienstag ein entsprechendes Gesetz.

Mit dem Security Planner hat das CitizenLab der Universität Toronto einen einfachen Guide zur IT-Sicherheit für Otto-Normal-Nutzer veröffentlicht. Dabei genügt es, drei kurze Fragen zu beantworten, um fundierten Ratschlag zu erhalten.

Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal und Produkte von mindestens acht verschiedenen Herstellern.
Von Hanno Böck

Die neue Datenschutzvereinbarung mit den USA reicht den EU-Datenschützern weiterhin nicht aus. EU-Kommission und US-Regierung sollen "erhebliche Bedenken" bis Mai 2018 ausräumen.

Auch 2018 hat die Zertifizierungsstelle Let's Encrypt vor, weiter massiv zu wachsen. Dazu will das Projekt unter anderem die lang geforderten Wildcard-Zertifikate und weitere Neuerungen anbieten.

Mitarbeiter von Googles Project Zero haben mehrere Schwachstellen entdeckt, mit denen sich auf iPhones ab 5s, iPads, und iPods Apples aktuelles Betriebssystem jailbreaken lässt. Ein Patch steht bereits zur Verfügung.

Schon wieder wurde in einem vorinstallierten Treiber von HP ein Keylogger gefunden. Zwar ist die Schnüffelfunktion standardmäßig deaktiviert, ein Forscher fand allerdings einen Weg, das zu ändern.

Ein IoT-Botnetz greift derzeit weltweit Modems von Huawei über einen Wartungsport an, die Deutsche Telekom spricht von bis zu 100.000 infizierten Geräten. Huawei gibt Sicherheitstipps und will einen Patch bereitstellen.

Erneut trifft es Windows Defender: Ein Speicherfehler kann Angreifer in die Lage versetzen, den Virenscanner zum Ausführen von Code zu nutzen. Microsoft hält aktive Exploits allerdings für unwahrscheinlich, Patches werden verteilt.

Mit einer neuen Software sollen verschlüsselte E-Mails praxistauglicher werden: Proton stellt die Bridge vor. Diese übernimmt die Verschlüsselung und kommuniziert via IMAP und SMTP mit dem Mailclient.

Microsoft hat aus Versehen einen privaten Schlüssel für seinen Clouddienst Dynamics 365 veröffentlicht - und schaffte es über Monate nicht, auf Hinweise zu reagieren. Zwischenzeitlich empfahl der Support sogar, eine Krisenreaktionsfirma aus der Ölindustrie anzurufen, um das Problem zu beseitigen.
Von Hanno Böck

Die Werbewirtschaft läuft weiter Sturm gegen die geplante EU-Verordnung zum Schutz vor Nutzertracking. Doch die Bundesregierung geht in einer Studie offenbar bewusst von nicht belegten Zahlen aus und verkehrt die Nutzererwartungen in ihr Gegenteil.
Eine Analyse von Friedhelm Greis

Ein peinlicher Fehler, der dazu noch die ungeheure Datensammelwut des Herstellers zeigt: AI Type hat eine Datenbank mit mehr als 500 Gbyte Kundendaten ins Netz gestellt.

Forscher demonstrieren auf der Konferenz Black Hat Europe ähnliche Sicherheitsprobleme für das LTE Roaming, wie diese auch für das vollkommen veraltete SS7 existieren. Schlimmstenfalls lassen sich damit Sprachnachrichten analysieren.

Sicherheitsforscher demonstrieren einen Angriff auf Intels ME zum Ausführen von beliebigem Code, gegen den weder das sogenannte Kill-Bit noch die von Google geplanten Sicherheitsmaßnahmen für seine Server helfen. Theoretisch lassen sich Geräte so auch aus der Ferne angreifen.
Von Kristian Kißling und Sebastian Grüner