Nach wie vor verwenden Juniper-Geräte einen Zufallszahlengenerator, der vermutlich eine Hintertür eingebaut hat. Juniper will diesen zwar entfernen, sieht aber keine akute Gefahr. Dabei gibt es sehr klare Hinweise darauf, dass er böswillig eingebaut wurde.
Bisher gibt es in Deutschland kein nationales Cert, dabei wäre es nicht schwer zu erschaffen. Ein neu geschaffenes Cert müsste jedoch eine klare Distanz zu Regierungsstellen wahren, um ernst genommen zu werden - eine lösbare Aufgabe.
Wie kann eine Verschlüsselung gleichzeitig sicher sein und eine Hintertür für Ermittler beinhalten? Die Krypto-Koryphäe David Chaum macht einen gefährlichen Vorschlag.
Das Ende von SHA 1 naht - doch jetzt gibt es einen Rückschritt beim Abschied von dem alten Algorithmus. Weil es in Firmennetzwerken Probleme mit TLS-Man-In-The-Middle-Proxys wie Antivirenscannern und Firewalls gibt, hat Mozilla die Zertifikate wieder aktiviert - vorerst.
Gefälschte Support-Anrufe sind ein großes Ärgernis für viele PC-Nutzer. Jetzt gibt es eine neue Masche, die gezielt Dell-Nutzer anspricht. Möglicherweise hängen die Anrufe mit den von Dell im vergangenen Jahr installierten SSL-Zertifikaten zusammen.
Die automatischen Updates von Drupal können so manipuliert werden, dass recht leicht Malware eingeschleust werden kann. Bekannt ist dies wohl schon seit Jahren, Lösungen dafür werden nun erneut diskutiert.
Das Chat-Protokoll Jabber, offiziell XMPP, könnte endlich eine native Ende-zu-Ende-Verschlüsselung auf Basis von OpenPGP bekommen. Die Entwickler arbeiten bereits an einer Referenzimplementierung.
Die Kopierschutzsysteme für PC-Spiele werden immer besser - das sagen nicht nur deren Hersteller, sondern auch eine berühmt-berüchtige Cracker-Gruppe, die sich offenbar seit mehreren Wochen frustriert mit dem Knacken von Just Cause 3 beschäftigt.
Let's Encrypt erstellt vermeintlich Zertifikate für Domains, über die Malware verteilt wird. Das zumindest behauptet ein Anti-Viren-Hersteller, der gleichzeitig eine konkurrierende Zertifizierungsstelle ist. Das beschriebene Problem scheint jedoch ganz andere Hintergründe zu haben.
Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.
Auf den Installationsimages für Server der Firma Hetzner fanden sich für mehrere Monate vorinstallierte SSH-Keys. Die betroffenen Server sind somit für Man-in-the-Middle-Angriffe anfällig.
Nach den schwerwiegenden Problemen von Steam an den Weihnachtstagen äußert sich Valve erstmals ausführlich zu den Hintergründen. Ursache war offenbar ein Caching-Fehler als Folge von DoS-Angriffen.
32C3 Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.
32C3 Der Geheimdienstausschuss des US-Senats plant offenbar eine gesetzliche Pflicht für Hintertüren in Verschlüsselungsprogrammen. Aktivisten sind aber der Ansicht, auch die nächsten Crypto Wars gewinnnen zu können.
Das Hasso-Plattner-Institut hat im Jahr 2015 fast 35 Millionen neu geleakte Identitätsdaten untersucht. Wie die Sicherheitsforscher feststellten, verwenden immer noch sehr viele Nutzer unsichere Passwörter.
32C3 Mit einer Browsererweiterung wollen sich die Entwickler von Checkmyhttps gegen Man-in-the-Middle-Angriffe wehren. Sie gleicht die Fingerabdrücke von Zertifikaten mit anderen Nutzern der Erweiterung ab.
32C3 Talks, die Albträume über mobile Kommunikation auslösen, haben beim CCC Tradition. Dieses Mal haben zwei koreanische Studenten Angriffe auf Voice over LTE vorgeführt. In Deutschland soll das angeblich nicht möglich sein.
32C3 Der Start der neuen Certificate Authority Let's Encrypt hat offenbar recht gut funktioniert. Nach nur rund einem Monat im Betabetrieb ist das Projekt schon die fünftgrößte CA der Welt. Doch es gibt noch einige Aufgaben zu bewältigen.
Update32C3 Die Banken preisen das pushTAN-Verfahren als sicher an. Dabei ist es hochgefährlich, Onlinebanking mit zwei Apps auf demselben Smartphone zu verwenden. Die Sparkasse verteidigt ihr Angebot.
32C3 Chinas Internetzensoren sind offenbar erfindungsreich: Statt stumpf alle verschlüsselten Verbindungen zu blockieren, suchen die Zensoren aktiv nach Tor-Bridges, um diese zu unterbinden. Doch es gibt Möglichkeiten, die Zensur zu trollen.
32C3 Nicht nur die Protokolle zur Abwicklung des EC-Zahlungsverkehrs sind schwach, auch die verwendete Hardware ist offenbar nicht besonders gut gegen Angriffe abgesichert. Auf dem 32C3 stellten Berliner Hacker jetzt vor, wie sich das Hardware-Security-Modul eines EC-Terminals hacken lässt.
Brandneue Spielfilme wie der jüngste Western von Quentin Tarantino sind im Internet aufgetaucht. Eine Reihe weiterer Stars hat ganz andere Probleme: Ein Hacker ist an Sexvideos und persönliche Daten von ihnen gelangt - er wurde allerdings nun verhaftet.
Zu Weihnachten reparieren wir alljährlich die IT der gesamten Familie. Wir fluchen, lästern - und fühlen uns gebraucht. Was für ein Schock, wenn man plötzlich feststellt, dass sich die Angehörigen hinterrücks digitalisiert haben!
Wegen einer anonymen Bombendrohung mussten kürzlich alle Schulen in Los Angeles schließen. Nun haben deutsche Behörden offenbar Amtshilfe bei der Suche nach dem Urheber der Drohmails geleistet.
Eine der in Juniper-Firewalls gefundenen Hintertüren nutzt offenbar einen Zufallszahlengenerator, der mutmaßlich von der NSA kompromittiert ist. Bei der Analyse der Änderungen gibt es Hinweise, dass hier mehrere Akteure am Werk waren - und dass die Hintertür gar nicht wirklich geschlossen worden ist.
Eine MongoDB-Datenbank mit den privaten Informationen zahlreicher Hello-Kitty-Fans wurde veröffentlicht. Vor allem Kinder dürften davon betroffen sein - und sollten ihre Passwörter bei anderen Diensten überprüfen.
Mit Let's Encrypt können Webseitenbetreiber kostenfreie SSL-/TLS-Zertifikate erstellen. Wir haben bei großen deutschen Webhostern nachgefragt, ob sie den Dienst nutzerfreundlich in ihre Angebote integrieren wollen. Spoiler: Es wird wohl noch etwas dauern.
Update Whatsapp-Nutzer in Brasilien mussten sich für mehrere Stunden nach einem anderen Chat-Programm umsehen, denn die Justiz des Landes hatte eine temporäre Sperre des Dienstes verfügt. Die Sperrung wurde früher als erwartet beendet. Sie dauerte insgesamt 14 Stunden an.
Nach dem Vtech-Hack vor zwei Wochen wurde in Großbritannien ein Verdächtiger festgenommen. Auch wenn der Hacker die Daten nicht veröffentlicht hat und wohl keine kriminelle Motivation hatte, muss er mit einer Strafe rechnen.
Zahlreiche interne Datensätze der Europäischen Raumfahrtagentur Esa sind gehackt worden und jetzt im Internet einsehbar. Offenbar benutzen viele der Esa-Nutzer kurze und unsichere Passwörter.
Offenbar sind Erpresser in den USA jetzt dazu übergegangen, ehemalige Ashley-Madison-Nutzer per Post zu erpressen - und nicht mehr nur per Mail. Das könnte jedoch zum Problem für die Kriminellen werden.
Leica hat für seine teure, spiegellose Systemkamera SL ein Firmware-Update veröffentlicht, das die Fotoqualität im niedrigen ISO-Bereich verbessern soll. Für Videofilmer wurde die L-Log-Funktion verbessert, die das nachträgliche Color Grading erlaubt. Sie funktioniert nun bei internen Aufnahmen.
Qubes gilt als innovatives, sicherheitsfokussiertes Betriebssystem. Das größte Problem bislang: kompatible Hardware finden. Das Librem-Projekt bietet seine Rechner jetzt auf Wunsch mit Qubes 3.1 an. Ganz billig ist das jedoch nicht.
Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.
Zwischendurch gab es ein wenig Aufregung, doch jetzt sind alle Bedingungen erfüllt: Let's Encrypt hat die für eine CA notwendigen unabhängigen Audits veröffentlicht. Offensichtlich lagen diese schon seit September vor.
Eine bessere interne Organisationsstruktur und die Erschließung alternativer Finanzierungsquellen - das dürften die größten Aufgaben für die neue Geschäftsführerin des Tor-Projekts werden.
Die Franzosen müssen nicht um ihre offenen WLAN-Hotspots bangen. Auch das Tor-Netzwerk soll nicht blockiert werden, sagt Premierminister Manuel Valls. Tor auf technischer Ebene zu blockieren, wäre ohnehin eine ambitionierte Aufgabe, wie Beispiele zeigen.
Der Hacker Morgan Marquis-Boire war bei Google für den Schutz der Netzwerke verantwortlich, enttarnte zahlreiche Überwachungstechnologie-Unternehmen und ist jetzt für die IT-Sicherheit von Glenn Greenwald und die seiner Kollegen zuständig. Ein Porträt.
Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.
Um Nutzer vor dem Diebstahl virtueller Güter auf Steam zu schützen, führt Valve neue Regeln für den Verkauf ein. Das scheint nötig: Seitdem der Handel etwa mit Gegenständen aus Dota 2 möglich ist, sind immer mehr Nutzer ins Visier von Hackern geraten.
McAfees Enterprise Security Manager soll Firmennetzwerke vor Datenverlust und Angriffen schützen. Eine schwere Sicherheitslücke ermöglicht den Login mit einem Standard-Benutzernamen - es gibt bereits ein Update.
Windows 10 sieht nicht nur anders aus als seine Vorgänger, auch im Inneren hat sich viel geändert: Besonders beim Thema Security im Consumer- und Enterprise-Segment hat Microsoft für Anwender einige Neuerungen wie eine Zwei-Faktor-Authentifizierung entwickelt.
Die Versuchung war zu groß: Ein Agent des Secret Service hat während der Silk-Road-Ermittlungen mit dem Account eines Informanten 820.000 US-Dollar in Bitcoin veruntreut - und damit dessen Leben gefährdet.
Zertifikate für alle, und zwar kostenfrei! Let's Encrypt hat die öffentliche Beta gestartet. Jetzt kann jeder Webseitenbetreiber eigene Zertifikate für seine Domain erstellen - wenn sein Server die Voraussetzungen erfüllt.
Update Vodafones neuer E-Mail-Dienst Secure E-Mail soll den Austausch verschlüsselter E-Mails kinderleicht machen. Das Unternehmen macht jedoch in seiner Ankündigung kaum Angaben zur Sicherheit der verwendeten Verfahren. Deshalb haben wir nachgefragt - und sind verwirrt.
Updates sollen Systeme sicherer machen - im Falle der Scada-Systeme der Firma EKI ist das jedoch offenbar gründlich misslungen. Ein Update, das fest codierte SSH-Schlüssel entfernen sollte, macht die Systeme für Shellshock und Heartbleed verwundbar.
Mit einem manuell zu installierenden TLS-Root-Zertifikat will Kasachstan offenbar alle verschlüsselten Verbindungen ins Ausland mitlesen: Das stand auf der Webseite des nationalen Telekom-Anbieters. Die Meldung ist wieder weg - die Pläne auch?
