Sicherheitslücke

Derzeit werden Fritzboxen wieder verstärkt attackiert. Das ist laut AVM aber normal. Generell sind Router in Werkseinstellung sicher.

Mit dem 5G-Standard ist der Sicherheitsforscher Karsten Nohl zufrieden. Die Sicherheitsprobleme im Mobilfunk haben eine andere Ursache.
Ein Interview von Moritz Tremmel

Ein klassischer Fehler führte zu einem Datenleck bei einem Gewinnspielportal. Betroffen sind 85.000 Teilnehmer.

Private Nachrichten und Accountdaten von Nutzern der Plattform Gab sind mit einer SQL-Injection extrahiert worden.

Der Code-Hoster Github hat erstmals einen Sicherheitschef, der dem Entwicklungsteam vor allem mehr Werkzeuge an die Hand geben will.

Eine schwerwiegende Sicherheitslücke in der Virtualisierungslösung vCenter von VMware ermöglicht es Angreifern, den Server zu übernehmen.

Nicht nur The Shadow Brokers haben Exploits der NSA entwendet, auch eine chinesische Hackergruppe nutzte über Jahre eine Zero Day der NSA.

Die neue Zitis-Behörde soll bei Staatstrojanern eine wichtige Rolle spielen. Quantennetzwerke zum eigenen Schutz lehnt die Regierung ab.
Ein Bericht von Friedhelm Greis

Eine Sicherheitslücke in einem Überwachungssystem für Kindergärten erlaubte Dritten den Zugriff auf die Kameras.

Der fast 30 Jahre alte Xscreensaver gilt immer noch als Lockscreen-Referenz in Linux-Systemen und bekommt nun einen Rewrite.

Die Justiz hat mit ihrer Statistik zum Einsatz von Staatstrojanern völlig daneben gelegen.

Der Passwortmanager Lastpass schränkt seinen kostenlosen Dienst massiv ein. Wir zeigen Alternativen, die obendrein sicherer sind.
Von Moritz Tremmel

Die Angestellten der gehackten Wasseraufbereitungsanlage nutzten das gleiche Teamviewer-Passwort für den Fernzugriff.

Eine wichtige Python-Bibliothek nutzt künftig teilweise Rust-Code. Bald wird es möglicherweise schwer, Linux-Systeme ohne Rust zu betreiben.
Eine Analyse von Hanno Böck

Eindringlinge haben den Natriumhydroxid-Wert in einem Wasserwerk um ein Vielfaches erhöht. Der Angriff wurde rechtzeitig bemerkt.

Ob eigene Software oder Abhängigkeiten von Sicherheitslücken betroffen ist, ist teils nicht leicht herauszufinden. Google will hier helfen.

Eine Nespresso-Karte mit 167.772,15 Euro Guthaben hat sich ein Sicherheitsforscher über eine Sicherheitslücke generiert.

Was am 5. Februar 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Golem.de ist es gelungen, auf einer Webseite zur Verifikation von digitalen Impfausweisen unsinnige Daten als gültig anzeigen zu lassen.
Eine Recherche von Hanno Böck

Apple hat die trivial ausnutzbare Sicherheitslücke in Sudo offenbar noch nicht in MacOS behoben. Darauf weisen Sicherheitsforscher hin.

Googles Project Zero hat Angriffe mit Zeroday-Exploits analysiert. In einem Viertel der Fälle ähneln diese deutlich früheren, bereits geschlossenen Bugs.

Was am 02. Februar 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Das Team von GnuPG missachtet grundlegende Sicherheitspraktiken und reagiert bei Hinweisen obendrein pampig. Zum Glück gibt es Ersatz.
Ein IMHO von Sebastian Grüner

Die jüngste Version der Verschlüsselungsbibliothek Libgcrypt, die unter anderem von GnuPG verwendet wird, soll eine schwere Sicherheitslücke haben.

Doch das IT-Sicherheitsgesetz 2.0 löse die Probleme nicht, kritisierte die Opposition in einer Bundestagsdebatte. Es sei sogar kontraproduktiv.

Die Lücke in Sudo ist trivial ausnutzbar und dürfte jede aktuelle Linux-Distribution betreffen. Updates stehen bereit.

Was am 26. Januar 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Mittels eines Telegram-Bots verkaufen Kriminelle die passende Telefonnummer zu Facebook-Nutzern.

Google berichtet über gezielte Angriffe auf IT-Sicherheitsforscher, die mit einigem Aufwand erfolgten und möglicherweise eine unbekannte Chrome-Lücke nutzten.

Was am 25. Januar 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Bessere Technologien statt alter Antworten: Auch im sensiblen Gesundheitsbereich können ausgedruckte Patientenakten nicht den Weg weisen.
Ein IMHO von Peter Steinlechner

Absolute Datensicherheit könne es nicht geben, erwiderte das Gericht auf Datenschutz- und Sicherheitsbedenken der Kläger.

Aus 53 wird 3: Die Statistiken zum Einsatz von Staatstrojanern wurden in Nordrhein-Westfalen völlig falsch erhoben.

DNS-Spoofing und Buffer Overflows: In Dnsmasq wurden viele Schwachstellen entdeckt. Die Software kommt häufig in Embedded-Geräten zum Einsatz.

Security as a Service (SECaaS) verspricht ein Höchstmaß an Sicherheit. Das Auslagern eines so heiklen Bereichs birgt jedoch auch Risiken.
Von Boris Mayer

Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
Von Moritz Tremmel

Mit einer bisher ungepatchten Schwachstelle im aktuellen Windows 10 lässt sich das Dateisystem über eine präparierte Datei beschädigen.

Die USA gehen von einem Risiko aus, das die nationale Sicherheit betrifft. IT-Experten haben viel Arbeit vor sich.

Die Staatsanwaltschaften im Land haben es nicht geschafft, eine einfache Frage richtig zu beantworten. Dabei geht es um nichts Geringeres als den Staatstrojaner.
Ein IMHO von Moritz Tremmel

Der privaten Schlüssel eines Hardware-Sicherheitstokens von Google lässt sich anhand der Strahlung rekonstruieren.

Etliche Behörden nutzten und nutzen Software von Solarwinds. Zu Verfassungsschutz und BND möchte sich das Innenministerium jedoch nicht äußern.

Das FBI warnt vor Swatting, bei dem die Täter die teils gefährlichen Polizeieinsätze über gehackte Kameras verfolgen oder streamen.

Die Schadsoftware nutzt offene Ports von Diensten wie MySQL aus und setzt darauf, dass sie mit schwachen Passwörtern gesichert sind.

Microsoft beruhigt aber. Codeeinsicht sei schließlich in der eigenen Open-Source-Strategie normal. Die Solarwinds-Aktie fällt indes weiter.

rC3 Röntgenbilder auf ungeschützten Servern und aus dem Internet erreichbare Praxen: Die Gesundheits-IT hat viele Sicherheitsprobleme.
Ein Bericht von Moritz Tremmel

rC3 Gerade erst hat sich der EU-Ministerrat auf eine Umgehung der Ende-zu-Ende-Verschlüsselung geeinigt, da taucht sie schon in einer Richtlinie auf. Die Crypto Wars gehen also weiter.
Ein Bericht von Moritz Tremmel

Eine aktiv ausgenutzte Sicherheitslücke in Windows ist trotz Hinweisen von Google und einem unzureichenden Patch immer noch nicht behoben.

rC3 Normalerweise stellt Jiska Classen neue Bluetooth-Lücken vor. Auf dem rC3 erklärte sie hingegen, warum Bluetooth für Corona-Apps sinnvoll ist.
Ein Bericht von Moritz Tremmel

Erstmals hat die Justiz eine Statistik zum Einsatz von Staatstrojanern veröffentlicht. Drei Bundesländer sind besonders aktiv.

Was am 17. Dezember 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.