Die Bundesregierung hat erläutert, wie das Bundeskriminalamt und die Zollverwaltung versuchen, Passwörter herauszufinden oder Verschlüsselung zu brechen.
Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern.
Um vor Ransomware und schädlichen Links zu schützen, verbessert Microsoft sein Office 365 und Onedrive mit Funktionen wie einer Datenwiederherstellung, passwortgeschützten Sharing-Links und verschlüsseltem E-Mail-Verkehr in der Cloud. Die Maßnahmen kommen nicht nur für Business-Konten.
Nach dem letzten Problem rund um die Klartextspeicherung von Passwörtern zu verschlüsselten APFS-Datenträgern stellt sich nach weiteren Untersuchungen heraus, dass die Passwörter mit 10.13.4 weiter lesbar sind. Die Passwörter verbleiben auch nach dem Patch in den Logs.
Apple hat mit 10.13.4 ein Update für MacOS High Sierra veröffentlicht, das zwar nach wie vor 32-Bit-Anwendungen ausführt, aber vor ihnen warnt, einen Chatkanal für Firmen eröffnet und Fehler behebt.
Aus einem Schreiben der Bundesrechtsanwaltskammer geht hervor, dass bei einem Sicherheitsaudit des BeA-Systems noch mehr Sicherheitslücken gefunden wurden. Die Sicherheitsüberprüfung soll Mitte Mai abgeschlossen sein und dann auch veröffentlicht werden.
Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update.
Neue Nutzungsbedingungen für Microsofts Clouddienste sorgen derzeit für Aufregung. Es dürfen keine Inhalte mehr hochgeladen werden, die Nacktheit, Pornografie oder "offensive Sprache" enthalten. Microsoft könnte außerdem bei Skype-Gesprächen zuhören.
Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen.
Wenn ein Anwalt per Elektronischem Gerichts- und Verwaltungspostfach (EGVP) eine Klage einreicht, reicht eine automatische Empfangsbestätigung aus, auch wenn die Daten aus technischen Gründen nicht ankommen. Die Bundesrechtsanwaltskammer empfiehlt aber trotzdem das Ausdrucken von Fehlermeldungen.
Troopers 2018 Ein Hersteller von Yacht-Vernetzungssystemen hat offenbar nicht auf die Sicherheit geachtet. So wurden Konfigurationsdateien mit Passwörtern über eine unverschlüsselte FTP-Verbindung übertragen.
Auf der IETF-Tagung in London ist TLS 1.3 beschlossen worden. In wenigen Wochen dürfte der Standard für Verschlüsselung im Web dann auch als RFC erscheinen.
Update Der umstrittene Messenger Telegram soll den russischen Behörden seine Verschlüsselung offenlegen. Experten warnen allerdings ohnehin vor der Nutzung der Software.
Die neue Version 1.14.0 des Multimedia-Frameworks Gstreamer unterstützt nicht nur WebRTC, sondern auch zahlreiche neue Codecs wie AV1 und die Protokolle RTSP 2.0 und SRT. Auch die Rust-Bindings hat das Team verbessert.
Das besondere elektronische Anwaltspostfach (BeA) lässt weiter auf sich warten. Jetzt fordern Anwälte, dass das System nur mit einer Ende-zu-Ende-Verschlüsselung online gehen darf - und wollen das auch einklagen.
Über eine bezahlte Studie haben Nutzer eine App installiert, welche die Daten ihrer Facebook-Profile und die der Facebook-Kontakte sammelte. Ein Analysetool konnte dann ihre Vorlieben und Ängste vorhersehen. Trump konnte das wohl zu seinem Vorteil nutzen. Ein Gründer von Cambridge Analytica verriet Details.
Nach der Ankündigung im vergangenen Jahr und einigen Verzögerungen hat die Zertifizierungsstelle Let's Encrypt damit begonnen, Wildcard-Zertifikate zu vergeben. Das geht aber nur mit Version 2 des ACME-Protokolls.
Ein Problem in der Browser-Extension des eigenen Passwortmanagers ist für den Hersteller Keeper nur eine "potentielle" Sicherheitslücke - ein Begriff, der so nicht existiert. Sicherheitsforscher haben außerdem ein neues Problem bei Keeper Security entdeckt.
Die Webseiten der Arbeitsagentur waren für den ROBOT-Angriff auf TLS verwundbar. Damit hätte ein Angreifer Datenverkehr entschlüsseln können. Verantwortlich dafür waren vermutlich uralte Cisco-Loadbalancer.
Das Librem 5 von Purism soll eine alltagstaugliche Verschlüsselung auf Basis von GPG bekommen. Dazu arbeitet das Projekt mit Werner Koch zusammen. Die Verschlüsselung wird per Smartcard implementiert.
Flugkarte und Ausweis müssen Passagiere der British Airways an einigen Flughäfen in den USA am Gate nicht mehr vorzeigen. Stattdessen scannt die Fluglinie ihre Gesichter. Die Biometrie soll die Abfertigung effizienter machen.
Update Besitzer von Rift müssen momentan mit der Echtwelt vorliebnehmen: Das VR-Headset ist wegen eines abgelaufenen Zertifikats unbenutzbar. Für Hersteller Oculus VR kommt das Problem zur Unzeit.
Facebook wird künftig alle Links auf der Plattform automatisch auf HTTPS umstellen, wenn dies möglich ist. Dafür nutzt das Unternehmen HTTP Strict Transport Security auf innovative Weise.
Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.
Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.
Die Laptops von Purism legen einen Fokus auf Sicherheit und freie Software. So deaktiviert der Hersteller auf seinen Geräten unter anderem Intels Management Engine und nutzt die freie Firmware Coreboot. Künftig integriert die Firma auch die TPM-Firmware Heads.
Das Startup Zifra aus Göteborg will erreichen, was Kamerahersteller seit Jahren verweigern: die verschlüsselte Speicherung von Bildern und Videos auf dem Gerät. Wir haben mit den Unternehmensgründern über ihre Pläne und die weitere Entwicklung gesprochen.
Wie werden die Informationen auf dem RFID-Chip im Reisepass auf Richtigkeit überprüft? In den USA bislang offenbar gar nicht, wie zwei Senatoren schreiben.
Bei HaveIBeenPwned können Nutzer aktuell rund eine halbe Milliarde Passwort-Hashes herunterladen. Damit könnten sie Dienste in die Lage versetzen, geleakte Passwörter abzulehnen.
Parallel betriebene, virtuelle Netze beim Network Slicing - auf dem Mobile World Congress 2018 in Barcelona soll es dazu einiges zu sehen geben, von Ericsson, Swisscom, Adva Optical Networking und BT.
Tesla hat einen Kubernetes-Pod ohne Kennwortschutz laufen lassen - und sich damit Kryptomining-Malware eingefangen. Derzeit wird außerdem eine Sicherheitslücke in Jenkins-Servern für eine weitere Kampagne ausgenutzt.
Ein Flugsimulator-Addon hat bei einigen Nutzern Malware installiert, um einen Cracker zu finden. Das problematische Vorgehen soll auch erfolgreich gewesen sein - wurde aber mittlerweile trotzdem eingestellt.
In den vergangenen Tagen ist Facebook damit aufgefallen, dass das soziale Netzwerk die Telefonnummer für die Zwei-Faktor-Authentifizierung des Nutzers für das Verschicken seiner Benachrichtigungen missbraucht. Mittlerweile bestätigt Facebook dies und gibt einem Fehler im System die Schuld.
Die TLS-Arbeitsgruppe der IETF hat ihre Arbeit an Version 1.3 des Verschlüsselungsprotokolls abgeschlossen. Jetzt muss noch der Rest des Standard-Gremiums zustimmen, was aber noch dauern könnte.
Die bei den Olympischen Winterspielen in Pyeongchang eingesetzte Malware kann lernen - und gibt ihr Wissen an andere Installationen weiter. Die Schadsoftware ist darauf ausgerichtet, Windows-Systeme unbenutzbar zu machen.
Die Palmsecure genannte Anmeldetechnik von Fujitsu soll bald ordentlich in Windows 10 integriert werden. Bisher muss die Software noch separat installiert und angesteuert werden und ist damit nicht so komfortabel wie andere Methoden, die Windows Hello unterstützen.
Google will mehr Webseitenbetreiber unter Druck setzen, auf HTTPS-Verbindungen umzusteigen. Ab Sommer 2018 sollen Webseiten ohne Verschlüsselung generell als unsicher markiert werden.
Die neue Version 3.0 des freien VLC-Players ist nach fast vier Jahren Entwicklungszeit endlich stabil und enthält Funktionen, die längst in Android oder iOS getestet werden. Das Hardware-Decoding sollte nun immer funktionieren. Die Builds für alle Plattformen sind einheitlich.
Github-Nutzer sollten ihre Clients auf Kompatibilität prüfen: Ab dem 22. Februar werden alte TLS-Versionen und einige Diffie-Hellman-Gruppen deaktiviert. Am Donnerstagabend wurde die Abschaltung schon einmal getestet.
Perfect Forward Secrecy, AEAD und keine Anfälligkeit für Robot sind künftig wichtige Kriterien im SSL-Test von Qualys. Wer diese Kriterien nicht unterstützt, wird ab März schlechter bewertet. Auch Nutzer von Symantec-Zertifikaten werden gewarnt.
Huawei hatte sich in den vergangenen Wochen etwas zurückgehalten mit neuen Ankündigungen im 5G-Netzwerkausbau. In London holt das Unternehmen heute einiges nach. In zehn Städten würden von Huawei gegenwärtig 5G-Netzwerke errichtet.
Nach 2013 sind bei der Swisscom erneut Nutzerdaten weggekommen: Über den Account eines Vertriebspartners kopierten Unbekannte 800.000 Daten. Immerhin sollen keine Passwörter betroffen sein.
In Kürze wird Chrome vielen alten Symantec-Zertifikaten nicht mehr trauen, eine Testversion zeigt schon jetzt Warnmeldungen. Doch viele Seiten haben noch nicht umgestellt - darunter auch prominente Seiten wie Wechat oder Spiegel Online.
Die aktuelle Version 13 des Kollaborationsservers und der Cloud-Speicher-Lösung Nextcloud enthält standardmäßig den Videochat Talk und die Ende-zu-Ende-Verschlüsselung. Zudem gibt es nun schnellers LDAP und Storage sowie verbesserte Groupware-Funktionen.
Gut drei Monate nach der Veröffentlichung von Assassin's Creed Origins haben Cracker offenbar die PC-Version geknackt - die besonders aufwendig geschützt wurde. Allerdings soll es für neue Spiele schon wieder eine neue Version von Denuvo geben.
Union und SPD haben ihre bislang vagen Pläne zur Digitalisierung mit mehr Inhalten gefüllt. Beim Aufbau des Mobilfunkstandards 5G und des Glasfasernetzes kommen die Parteien den kleinen Anbietern entgegen.
Zu kaum einem IT-Sicherheits-Thema gibt es so viele unsinnige Tipps wie zu Passwörtern. Auch Behörden wie das BSI und Forschungseinrichtungen wie das Hasso-Plattner-Institut veröffentlichen jede Menge Unfug.
Update Ebay holt sich mit Adyen einen neuen Partner für Zahlungsabwicklungen auf die Handelsplattform. Die Beziehungen zwischen Ebay und Paypal, die früher zusammengehörten, könnten auch ganz enden.
Das Smartphone oder den Rechner entsperren viele Anwender bereits mit ihrem Fingerabdruck. Canon will nun einen Fingerabdruckscanner für Kameras und Objektive patentieren.
