Softwareentwicklung

Mit Hypercore Linux steht ein Mini-Betriebssystem bereit, das eine Container-Umgebung auch auf OS X bereitstellt. Gedacht ist das Projekt vor allem, um wissenschaftliche Daten und Berechnungen leichter nachstellen zu können.

Eine Beta des Build-Tools Bazel von Google steht nun als Open Source bereit. Die Alternative für Programme wie CMake, Maven oder Ant benutzt das Unternehmen intern für den Großteil seiner Software. Bazel ist aber nicht für jeden Einsatzzweck gedacht.

Ein priviligierter Account für den Mozilla-Bugtracker ist unter der Kontrolle eines Angreifers gewesen. Dadurch gelang es diesem, Informationen über noch nicht behobene Sicherheitslücken in Firefox zu erhalten.

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

Geht es nach den Entwicklern des ersten DirectX-12-Spiels, so unterstützen Nvidias aktuelle Grafikkarten keine Asynchronous Shader. Je nach Programmierung rechnen Geforce-Chips langsamer, statt wie AMD-Modelle deutlich schneller zu werden. In den aktuellen Konsolen wird Asynchronous Compute daher bereits genutzt.

Die Schnüffelsoftware Regin bringt nicht nur Keylogger oder Passwort-Sniffer mit: Mit zahlreichen weiteren Modulen lässt sich nicht nur spionieren, sondern auch eine komplexe Infrastruktur innerhalb eines angegriffenen IT-Systems aufbauen.

Weil er nicht mehr für die Sicherheit seiner Nutzer garantieren kann, schließt der illegale Onlinemarktplatz Agora nach eigenen Angaben vorübergehend. Grund soll ein neuer Angriff auf die Hidden-Services im Tor-Netzwerk sein.

Nutzer haben gegenwärtig wenig Kontrolle darüber, über welche Regionen in der Welt ihre Daten geleitet werden. Das will das Alibi-Projekt ändern. Es soll ein Peer-to-Peer-Netzwerk entstehen, durch das Daten um zensurgefährdete Regionen herumgeleitet werden.

Die Forscher des MIT haben ein Dateisystem entwickelt, das besonders robust sein soll. Ein Absturz soll, mathematisch bewiesen, in keinem Fall zu einem Datenverlust führen können. Für den Einsatz in performanten Systemen eignet es sich allerdings noch nicht.

Der Hack des Impact Teams hat schwerwiegende Folgen: Zwei Nutzer haben sich laut der kanadischen Polizei das Leben genommen, nachdem ihre Daten veröffentlicht wurden. Damit sind auch Unbeteiligte wie Angehörige und Freunde der Ashley-Madison-Nutzer Opfer des Hacks geworden.

Ein ähnliches Modell wie Chrome und Opera soll die neue Firefox-API für Erweiterungen umsetzen. Damit sollen Addons einfacher portiert und gepflegt werden können. Zudem soll neue Technik forciert und alte entfernt werden.

Obwohl die Daten des Seitensprungportals Ashley Madison nicht verifiziert sind, bieten sie die Möglichkeit des Aussetzens der Unschuldsvermutung zur Anprangerung der vermeintlichen Sünder und mittlerweile sogar Erpressung. Erste Erpresssungsfälle hat Brian Krebs entdeckt.

Mit Bcache aus dem Linux-Kernel sollten SSDs als schneller Zwischenspeicher für langsame Festplatten genutzt werden. Nun sei die Technik ein vollwertiges Dateisystem, das die Vorteile von Ext4/XFS einerseits und Btrfs/ZFS andererseits vereinen solle, verspricht der Entwickler.

Die Sprachstatistik von Github zeigt langfristig einen deutlichen Popularitätsanstieg von Java in Open-Source-Projekten. Auch C# gewinnt an Beliebtheit. Noch vor Jahren galten die Sprachen als beste Wahl für rein interne und proprietäre Unternehmensanwendungen.

Mehr Sicherheit bei den E-Mail-Diensten GMX und Web.de: Ab sofort können Anwender ihre E-Mails per PGP verschlüsseln. Zusätzlich wollen die beiden Dienste den E-Mail-Verkehr zwischen Servern mit dem offenen Standard DANE absichern.

Mehrere Millionen Kundendaten des Seitensprungportals Ashley Madison sollen im Internet veröffentlicht worden sein. Unklar ist, ob die Datensätze echt sind. Die Täter wollten zuvor die Abschaltung des Portals erzwingen.

Eine Sicherheitslücke bei den E-Mail-Anbietern von United Internet, darunter Web.de, GMX und 1und1 hätten Angreifer ausnutzen können, um sich Zugriff auf Kundenkonten zu verschaffen. Die Lücke ist inzwischen geschlossen.

Mit Cyanogens Platform SDK sollen Entwickler leicht Erweiterungen für Cyanogen OS und Cyanogenmod entwickeln können, die tief in das Android-System eingreifen. Cyanogen hat erste Beispiele für kommende Funktionen vorgestellt.

CC-Camp Wie gefährlich sind Sicherheitslücken in aktuellen Fahrzeugen? Dieser Frage ging der IT-Sicherheitsexperte Thilo Schumann nach. Fahrzeuge würden zwar immer sicherer, Entwarnung gebe es aber nicht.

Die Beaglebone-Serie erhält Zuwachs. Seeeds Beaglebone-Nachbau ist preiswerter als das Original, verzichtet aber auf ein signifikantes Feature - das nach Angaben des Herstellers ohnehin niemand benutzt.

Mit Android Experiments stellt Google eine eigene Plattform bereit, auf der Entwickler ihre kreativen Android-Projekte präsentieren können. Sie werden der Gemeinschaft als Open-Source-Code zur Verfügung gestellt. Dadurch sollen Entwickler voneinander lernen.

Keine Versionssprünge mehr für Kali Linux: Ab Version 2.0 sollen einzelne Updates die Linux-Distribution für IT-Sicherheitsexperten stets auf dem aktuellen Stand halten. Die Pro-Variante von Metasploit mussten die Kali-Entwickler aber entfernen.

Ein Jahr, nachdem Canonical seinen Online-Speicherdienst Ubuntu One eingestellt hat, sind jetzt weite Teile des Codes unter der AGPLv3 freigegeben worden.

US-Sicherheitsexperten haben ein vernetztes Auto per SMS gehackt und gesteuert. Über einen Stick zur Nutzerabrechnung drangen sie in die Steuerung einer Corvette ein. Möglicherweise funktionierte der spektakuläre frühere Hack eines Cherokee Jeep ähnlich.

Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch.

Für ihren geplanten Hackathon im September 2015 in Randa sammelt die KDE-Community Geld. Auf dem sogenannten Randa Sprint soll vor allem die Entwicklung des Smartphone-OS Plasma Mobile vorangetrieben werden.

Am gestrigen Patch-Tuesday hat Microsoft eine gravierende Schwachstelle geschlossen, die das Einschleusen von Schadcode über USB-Sticks ermöglicht und bereits aktiv ausgenutzt wird. Außerdem wurden zahlreiche Speicherlücken im Browser Edge geschlossen.

Ein komplexer Angriff nutzt eine trickreiche Kombination aus Clientzertifikaten und einem statischen Diffie-Hellman-Schlüsselaustausch. Der Angriff ist nur in sehr speziellen Situationen relevant, doch es zeigt sich wieder einmal, dass das TLS-Protokoll selbst Sicherheitslücken hat.

Apple hat die Metal-Schnittstelle für iOS, Google wird für Android die Vulkan-API nutzen: Eine erste Demo, Gnome Horde genannt, zeigt eine sehr viel höhere Leistung verglichen mit OpenGL ES. Zudem sprach die Khronos Group über Feature Level, wie es sie auch bei DX12 gibt.

Black Hat 2015 Fingerabdruck-Scanner unter Android sind teils mit gravierenden Sicherheitsmängeln umgesetzt worden. Mit wenig Aufwand können Fingerabdrücke sogar gestohlen werden.

Def Con 23 Der Sicherheitsforscher Dan Kaminsky schlägt einen neuen Standard vor, mit dem Webseiten in Iframes kontrollieren können, ob sie gerade sichtbar sind. Viele unelegante Lösungen, die wegen sogenannter Clickjacking-Angriffe nötig sind, wären damit vermeidbar.

50 Sprachen beherrscht Microsofts Übersetzungs-App Translator. Jetzt gibt es sie auch für die Apple Watch und Android-Wear-Smartwatches. Eingaben können hier einfach per Spracheingabe erfolgen.

Insgesamt sechs Lücken haben IT-Sicherheitsforscher in der Software der Automobile von Tesla entdeckt. Über sie gelang es ihnen, die Kontrolle über das Fahrzeug zu übernehmen.

Entwickler von iOS-Apps können jetzt eine erste Version von Windows Bridge für iOS ausprobieren: Microsoft hat das Programm als Open Source zur Verfügung gestellt. Mit der Bridge sollen iOS-Anwendungen relativ einfach auf Windows 10 portiert werden.

Black Hat 2015 Chinesischen Forschern ist es gelungen, nach AES-128 verschlüsselte SIM-Karten zu duplizieren. Die Verschlüsselung mussten sie dazu aber nicht knacken.

Black Hat 2015 Auf der Black Hat weisen Sicherheitsforscher auf ein Problem mit TLS-Zertifizierungsstellen hin: Die Prüfung, wem eine Domain gehört, findet über ein ungesichertes Netz statt. Dieser Weg ist angreifbar - beispielsweise mittels des Routingprotokolls BGP.

Apple Music für Android war möglicherweise nur der Anfang: In einer neuen Stellenanzeige sucht Apple gezielt nach Android-Entwicklern. Geplant sind "spannende neue mobile Produkte" für das konkurrierende Betriebssystem.

Black Hat 2015 Das sogenannte Terracotta VPN bietet seinen Kunden ein international verzweigtes Netzwerk. Es leitet den Datenverkehr aber über gehackte Server - und soll so die Aktivitäten von Cyberkriminellen schützen.

Das US-Handelsministerium hat die Hashfunktion SHA-3 jetzt offiziell als Federal Information Processing Standard (FIPS) 202 anerkannt. Das Nist hatte den Entwurf vor mehr als einem Jahr eingereicht. Grundlegende Änderungen gab es seitdem nicht.

Black Hat 2015 Um Sicherheitsprobleme zu vermeiden, versucht die Programmiersprache Crema, viele problematische Dinge nicht zuzulassen. Crema verzichtet dabei bewusst auf die sogenannte Turing-Vollständigkeit, um die Analyse des Codes zu erleichtern.

Obwohl es seit Jahren das DNT-Headerfeld gibt, hat sich noch kein Standard für die Webseitenbetreiber durchgesetzt. Ein neuer Vorschlag für Do Not Track soll nun den Interessen von Werbeindustrie und Nutzern entgegenkommen.

Forscher haben eine weitere Möglichkeit entdeckt, Benutzerzugriffe auf Tors Hidden Services zu entlarven. Ihr Angriff benötige aber eine gehörige Portion Glück, schreiben sie. Auch die Tor-Betreiber wiegeln ab.