Der Youtuber Unge hatte bei seinem Twitter-Account Zwei-Faktor-Authentifizierung aktiviert. Doch sie half ihm nichts, sein Account wurde trotzdem gehackt. Der Twitter-Support schaltete diese einfach auf Anfrage hin ab.
Die Web-Entwicklung mit lokalem HTTPS ist nicht immer einfach und auch nicht ohne weiteres möglich. Um den eigenen Code dennoch leicht lokal mit einer HTTPS-Verbindung zu testen, hat ein Google-Sicherheitsforscher das Werkzeug Mkcert vorgestellt.
Das Datenleck bei zahlreichen Politikern und Prominenten hat die Bundespolitik aufgeschreckt. Innenminister Seehofer verspricht "volle Transparenz". Grünen-Chef Habeck zieht drastische Konsequenzen.
Wer steckt hinter dem Leak persönlicher Daten von Politikern und Promis? Die aufwendige Aufbereitung der Daten lässt eine Nutzung für politische Kampagnen vermuten. Doch ein Youtuber soll dahinter stecken, der lediglich Aufmerksamkeit wollte.
Hamburgs Verfassungsschutzchef Torsten Voß sieht den 5G-Standard als Risiko für die Demokratie: Extremisten und Terroristen könnten die systemimmanente Verschlüsselung ausnutzen, der Staat sollte entsprechend eine Zugriffsmöglichkeit erhalten.
35C3 Anbieter von Krypto-Wallets versprechen, in diesen seien Bitcoins sicher verstaut. Sind sie nicht, zeigten nun Sicherheitsforscher auf dem Kongress des Chaos Computer Clubs.
Die ursprünglich von der NSA entwickelte Chiffre Speck wird im Linux-Kernel nun offiziell durch die Google-Implementierung Adiantum ersetzt. Dem vorausgegangen waren viele Diskussionen, dafür bekommen nun aber auch schwache Android-Geräte eine gute Verschlüsselung.
Die freie VPN-Technik Wireguard entsteht zwar für den Linux-Kernel und soll dort eingepflegt werden. Als Client entsteht unter anderem auch eine iOS-App, die nun offiziell in Apples App Store verfügbar ist. Stabil ist die App wohl aber noch nicht.
35C3
Venenerkennungssysteme gelten als eines der sichersten biometrischen Verfahren und kommen im Hochsicherheitsbereich zum Einsatz. Doch sie können mit einfachen Mitteln umgangen werden.
Hyundai baut in den Stadtgeländewagen Santa Fe ab 2019 einen Fingerabdruckscanner ein, mit dem das Fahrzeug gestartet werden kann. Ein Autoschlüssel oder eine Schlüsselkarte sind überflüssig. Auch die Türen lassen sich per Fingerabdruck öffnen und verriegeln.
Schluss mit Google+, Cambridge Analytica und Microsofts deutscher Cloud.
Im Jahr 2018 wurden viele Programme eingestellt, Unternehmen mussten aufgeben und Raketen stillgelegt werden.
Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.
Die aktuelle Ubuntu-Version 18.04 mit Langzeitsupport bekommt demnächst die aktuelle OpenSSL-Version 1.1.1 und damit Langzeitsupport der Hauptentwickler für die wichtige Krypto-Bibliothek. Damit kann auch TLS 1.3 genutzt werden. Pakete wie Apache sollen ebenfalls angepasst werden.
Bundesinnenminister Horst Seehofer will jetzt jede Woche nachfragen, wo die Meldepflicht für Sicherheitslücken bleibt. Golem.de hat ebenfalls beim Ministerium nachgefragt und eine eher ausweichende Antwort erhalten.
Das US-Raketenabwehrsystem ist nur unzureichend gegen Angriffe geschützt. Fehlende Antiviren-Software, mangelhaft umgesetzte Zwei-Faktor-Authentifizierung und eine seit 28 Jahren offene Sicherheitslücke sind nur einige der Schwachpunkte, die ein Untersuchungsbericht offenlegt.
Hacker verschafften sich Zugriff auf das E-Mail-Postfach eines Angestellten der Kinderhilfsorganisation und legten dessen Kollegen mit gefälschten Zahlungsanweisungen herein. Dabei sind sie nicht alleine.
Vor dem Anwaltsgerichtshof in Berlin fand heute die erste Verhandlung zu einer Klage statt, bei der Rechtsanwälte eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen wollen. Das Gericht sieht aber noch viel Klärungsbedarf.
Wer würde schon einen Haustürschlüssel von außen an die Türklinke hängen, nachdem er die Tür abgeschlossen hat? Die Idee ist absurd, doch einige Banken bieten ein solches Verfahren ihren Kunden als E-Mailverschlüsselung an.
In der neuen Version der freien Kollaborationsplattform Nextcloud können Nutzer direkt in den Twitter-Konkurrenten Mastodon posten und Admins Zwei-Faktor-Authentifizierung erzwingen. Außerdem wurde das gemeinsame Bearbeiten von Dokumenten mit Videochat angereichert.
Die IETF ist verärgert, dass von der ETSI unter dem Namen ETLS oder Enterprise-TLS ein Protokoll mit Überwachungsschnittstelle veröffentlicht worden ist. Eigentlich hat die ETSI versprochen, auf den Namensbestandteil TLS zu verzichten.
Ab Januar müssen Unternehmen australischen Geheimdiensten und Strafverfolgungsbehörden Zugriff auf verschlüsselte Inhalte wie zum Beispiel Kommunikations- oder Bestandsdaten geben. Das ist der Anfang vom Ende des IT-Standorts Down Under - und Deutschland debattiert fröhlich in die gleiche Richtung.
Das Schweizer Filehosting-Unternehmen Tresorit bietet einen kostenlosen Dienst zum Teilen großer Dateien per Webbrowser an. Bis zu fünf Gigabyte große Dateien sollen damit möglich sein, ohne dass das Unternehmen auf die Dateien zugreifen kann.
Update Beim Online-Fragedienst Quora haben Unbekannte Zugriff auf die persönlichen Daten von 100 Millionen Nutzern gehabt. Neben Zugangsdaten sind auch Direktnachrichten und andere von Nutzern generierte Inhalte betroffen.
Deepsec Forscher aus Österreich versuchen herauszufinden, welcher Typ Mensch hinter der steigenden Onlinekriminalität steckt. Dabei identifizieren sie Tätergruppen und können diese bestimmten Straftatbeständen zuordnen.
Die FDP im Bundestag fordert ein "Recht auf Verschlüsselung". Während viele Abgeordnete die Idee prinzipiell gut finden, warnen CDU-Innenpolitiker vor den Nachteilen für die Sicherheitsbehörden.
Jemand hatte es auf die Kundeninformationen von Dell.com abgesehen. Laut dem Unternehmen besteht kein Risiko, Passwörter seien nicht im Klartext gespeichert. Trotzdem müssen alle ihre Passwörter zurücksetzen.
Beim Aufruf der App der Comdirect-Bank erhielten Nutzer in den vergangenen Tagen eine Fehlermeldung aufgrund eines Zertifikatswechsels. Der Twitter-Account der Bank empfiehlt daraufhin Nutzern, diese einfach zu ignorieren.
Nach einem schweren Datenleck ist der Chatanbieter Knuddels noch einmal glimpflich davongekommen. Das Bußgeld nach der DSGVO fiel niedrig aus, weil das Unternehmen gut mit dem Datenschutzbeauftragten kooperierte.
BKA-Chef Münch will nicht nur die tatsächliche, sondern auch die gefühlte Sicherheit verbessern. Das gilt auch bei der Bekämpfung von Internetkriminalität.
Die EU weitet das Mandat der Behörde EU-Lisa stark aus, die über die IT-Systeme von Polizei und Migrationsbehörden wacht. Eine Suchmaschine soll die verschiedenen Datenbanken verbinden, die eigentlich getrennt voneinander entworfen wurden.
Die Netzwerkinstallation der österreichischen Banking-Software ELBA-business ließ sich übernehmen - mitsamt darunterliegendem System. Der Angriff war aufwendig, aber automatisierbar.
Das BSI hat mit einigen Monaten Verzögerung seine Richtlinie für die Router-sicherheit veröffentlicht. Neben vielen sinnvollen Punkten enthält sie aber auch Vorgaben, die den Herstellern und Providern sehr entgegenkommen.
Laut Mozilla nutzen inzwischen Hunderttausende Anwender den Warndienst Firefox Monitor, der über Daten-Hacks von Webseiten informiert. Mozilla integriert den Dienst nun direkt in den Firefox-Browser und hat das Angebot übersetzt.
Forscher der New York University haben ein Verfahren entwickelt, um biometrische Zugangssysteme auszutricksen. Sie nutzen die Arbeitsweise von Fingerabdruckscannern aus, um diese mit gefälschten Fingerabdrücken zu überlisten.
Der Desktop-Client von Nextcloud ist in Version 2.5 erschienen. Diese bringt unter anderem eine Ende-zu-Ende-Verschlüsselung mit und die aktuelle Version vereinfacht die Bedienung.
Alexander U. hat das Forum betrieben, über das die Waffe für den Amoklauf in München verkauft wurde. BKA-Ermittler schildern vor Gericht, wie sie ihm auf die Schliche kamen.
Die europäische Standardisierungsorganisation ETSI hat eine Variante von TLS spezifiziert, die eine Überwachungsschnittstelle und schwächere Sicherheitseigenschaften hat. Bei der IETF war man zuvor mit ähnlichen Vorstößen erfolglos.
Im Verschlüsselungsmodus OCB2 wurden in kurzer Abfolge zahlreiche Sicherheitsprobleme gefunden. Breite Verwendung findet dieser Modus nicht, obwohl er Teil eines ISO-Standards ist.
Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. In neueren Versionen ist die Lücke etwas weniger schlimm, einen Fix gibt es bisher nicht.
Die vergleichsweise neue VPN-Technik Wireguard entsteht unter anderem für den Linux-Kernel und soll dort endlich eingepflegt werden. Das zuständige Team hat darüber hinaus nun eine erste experimentelle Version einer Wireguard-App für iOS vorgestellt.
Eigentlich sollte die NSA-Chiffre Speck im Linux-Kernel landen. Doch Google hat seine Unterstützung dafür zurückgezogen und selbstständig einen Ersatz erstellt. Den zugrundeliegenden Modus hat Google nun abermals angepasst und damit massiv beschleunigt.
Ein Forscherteam zeigt, wie es mittels Seitenkanal-Angriffen private Schlüssel von OpenSSL stehlen kann. Der dahinter liegende Bug ist aber nicht neu und das Problem liegt auch im OpenSSL-Code.
Nach Beschwerden über eine Sicherheitslücke in der Berliner Polizeidatenbank Poliks hat die Berliner Datenschutzbeauftragte Maja Smoltczyk das System überprüft und die interne Passwortrichtlinie beanstandet.
Der verschlüsselte Messenger Signal unterstützt in der Betaversion ein Feature, bei dem Nachrichten so verschickt werden, dass der Server nicht weiß, von wem die Nachricht stammt. Wer der Absender ist, sieht nur der Empfänger.
Der neue Botschutz Recaptcha v3 blendet keine Bildabfragen mehr ein. Stattdessen läuft das auf Javascript basierende Tool im Hintergrund und analysiert Nutzerverhalten - es ist keine Interaktion mehr notwendig. Allerdings könnte ein so verstecktes System auf Misstrauen stoßen.
Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden.
