Verschlüsselung

Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

Zwischendurch gab es ein wenig Aufregung, doch jetzt sind alle Bedingungen erfüllt: Let's Encrypt hat die für eine CA notwendigen unabhängigen Audits veröffentlicht. Offensichtlich lagen diese schon seit September vor.

Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.

Um Nutzer vor dem Diebstahl virtueller Güter auf Steam zu schützen, führt Valve neue Regeln für den Verkauf ein. Das scheint nötig: Seitdem der Handel etwa mit Gegenständen aus Dota 2 möglich ist, sind immer mehr Nutzer ins Visier von Hackern geraten.

McAfees Enterprise Security Manager soll Firmennetzwerke vor Datenverlust und Angriffen schützen. Eine schwere Sicherheitslücke ermöglicht den Login mit einem Standard-Benutzernamen - es gibt bereits ein Update.

Die Versuchung war zu groß: Ein Agent des Secret Service hat während der Silk-Road-Ermittlungen mit dem Account eines Informanten 820.000 US-Dollar in Bitcoin veruntreut - und damit dessen Leben gefährdet.

Mit einem manuell zu installierenden TLS-Root-Zertifikat will Kasachstan offenbar alle verschlüsselten Verbindungen ins Ausland mitlesen: Das stand auf der Webseite des nationalen Telekom-Anbieters. Die Meldung ist wieder weg - die Pläne auch?

Sichere Kommunikation - jetzt auch mit zehn Fingern. So wirbt Open Whispersystems für die Betaversion des Crypto-Messengers Signal für den Desktop. Wer an der Beta teilnehmen will, muss jedoch einige Hürden überwinden.

Eigentlich sollte sie eine Sicherheitslücke schließen: Mit der neuen Version der Dell Foundation Services können über das Netz Informationen über die Hardware, laufende Prozesse, Metadaten von Dateien und vieles mehr ausgelesen werden.

Ein Patenttroll treibt sein Unwesen gegen Unternehmen, die die HTTPS-Verschlüsselung einsetzen. Technologieunternehmen haben sich bereits verbündet, um sich gegen den Missbrauch von Patenten zu wehren.

Lassen sich Polizeibeamte durch Phishing-Versuche täuschen? Offensichtlich schon - bei einem Test haben Beamte ihre Zugangsdaten in einem "sicheren Passwortportal" hinterlegt. Außerdem gab es einen ungewöhnlichen DDoS-Angriff auf die Berliner Polizei.

Update Kinder und Eltern schlecht geschützt: Der Hacker des Spielzeugherstellers Vtech hat offenbar nicht nur Zugriff auf Zugangsdaten und Adressen, sondern auch auf Porträtfotos, Chatprotokolle und Audiodateien gehabt. "Das macht mich krank", sagt er.

Auf die gefährlichen Root-Zertifikate hat Dell inzwischen reagiert, doch zu einer weiteren Sicherheitslücke in vorinstallierter Dell-Software ist die Informationslage ausgesprochen verwirrend: Die Dell Foundation Services erlauben eine eindeutige Identifizierung von Dell-Nutzern.

Update Der App-Store des asiatischen Spielzeugherstellers Vtech ist gehackt worden, Informationen von rund 200.000 Kindern sind in die Hände eines Unbekannten gelangt. Auch Kunden aus Deutschland sind betroffen.

Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

Einige Amazon-Kunden in den USA und Großbritannien müssen sich ein neues Passwort ausdenken. Amazon hat die Passwörter zurückgesetzt - eine reine Vorsichtsmaßnahme, wie es heißt. Doch das Statement von Amazon ist teilweise widersprüchlich und lässt viele Fragen offen.

Ein Sicherheitsbericht des Bezirksstaatsanwalts von Manhattan berichtet von einer Hintertür, durch die Google auf richterlichen Beschluss in den USA auf bestimmte passwortgeschützte Android-Smartphones zugreifen können soll. Dem widerspricht jetzt ein Mitarbeiter des Android-Sicherheitsteams.

Offenbar gibt es eine weitere von Dell bereitgestellte Software, die ein Root-Zertifikat samt privatem Schlüssel installiert. Das Tool namens Dell System Detect ist schon früher als Sicherheitsrisiko aufgefallen.

Update Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

Die Bundesregierung hält an ihrer Position in Sachen Backdoors fest. Hintertüren in Verschlüsselungsprogrammen seien nicht nötig. Es gebe andere Möglichkeiten.

Update Regierung, Forschung und IT-Wirtschaft wollen die Ende-zu-Ende-Verschlüsselung in Deutschland vorantreiben. Die sichere Kommunikation solle zum Standard werden, heißt es in einer gemeinsam unterzeichneten Charta.

Zahlreiche Sicherheitslücken plagen die Standards zum Verschlüsseln und Signieren von XML-Daten. Obwohl die Lücken schon viele Jahre bekannt sind, finden sich nach wie vor viele verwundbare Produkte.

Der Sicherheitsforscher Raphaël Rigo hat sich das Betriebssystem von Geräten der Firma Blue Coat angesehen. Dem proprietären System fehlen moderne Sicherheitsmechanismen wie Stack Canaries oder ASLR.

Ein Forschungszentrum, das Ermittlungen des FBI unterstützt? In den USA ist das offenbar möglich. Gerichtsdokumente belegen jetzt, dass ein im vergangenen Jahr entdeckter Angriff auf das Tor-Netzwerk von einer universitären Einrichtung durchgeführt wurde - die dafür vielleicht sogar vom FBI bezahlt wurde.

Knapp ein halbes Jahr nach der offiziellen Ankündigung steht der Firefox nun offiziell auch für iOS bereit. Der Browser ist in Swift geschrieben, nutzt Webkit für das Rendering und bietet bekannte Funktionen der Desktop- oder Android-Varianten.

Eine Malware für Linux verschlüsselt zurzeit die Daten von Nutzern des Magento-Shopsystems. Für die Entschlüsselung sollen die Opfer zahlen, doch die Angreifer haben geschlampt: Die Verschlüsselung lässt sich knacken.

Zur Aufgabe der NSA gehört neben Spionage auch, amerikanische Computersysteme zu schützen. Doch die NSA hält Sicherheitslücken geheim - und gefährde so die eigenen Bürger, warnen Kritiker. Der Geheimdienst versucht nun, mit einer Statistik den Vorwurf zu entkräften. Doch es bleiben Zweifel.

Das Bundesinnenministerium plant eine neue Sicherheitsbehörde mit dem Schwerpunkt Abhörtechnik. Damit soll die Internetkommunikation effektiver und umfassender überwacht werden können.

Mit BayernWLAN fließen 10 Millionen Euro in freie Hotspots überall in Bayern. Der WLAN-Ausbau beginnt noch dieses Jahr. Den laufenden Betrieb müssen die Kommunen selbst bezahlen.

Der Deutsche Bundestag will Mitarbeitern und Abgeordneten den Einsatz des Flash Players und anderer Browsererweiterungen künftig verbieten - das soll aus einem internen Dokument der Bundestagsverwaltung hervorgehen. Außerdem sollen sich die Abgeordneten und ihre Mitarbeiter längere Passwörter ausdenken.

Update Die Streaming-Plattform Kinox.to war zwischenzeitlich nicht erreichbar. Schuld waren offenbar Zahlungsprobleme der Betreiber.

Android-Nutzer können die Funktionen von Textsecure und Redphone jetzt in einer einzigen App nutzen: Signal für Android ist erschienen.

Der private Modus in Firefox 42 enthält einen Trackingschutz, der laut Firefox-Chef Mark Mayo "alles blocken" soll, was Nutzer verfolgen kann. Die neue Browser-Version vereinfacht den Umgang mit Passwörtern, kann Tabs stumm schalten und bietet einen halb-offiziellen 64-Bit-Build für Windows.

Über den Dienst Pagefair sollen Websitebetreiber die Adblocker-Rate messen und unaufdringliche Werbung ausspielen. Was passiert, wenn solche Dienste selbst gehackt werden, mussten zahlreiche Nutzer nun erleben.

Apple-Entwickler können künftig den Quellcode verschiedener sicherheitsrelevanter Komponenten von iOS und OS X überprüfen. Das Security-Framework und die Common-Crypto-Bibliothek stehen unter Open-Source-Lizenz. Eine weitere Komponente kann jedoch nur angesehen werden.

Kinox.to wird weiter aktualisiert, weil die Inhaber des Passworts untergetaucht sind. Der Verteidiger eines der mutmaßlichen Mitbetreiber hat die Plattform heute mit einem Bus verglichen, der Menschen zu einer Videothek fahre, wo sie Filme ansähen.

Das Tor-Projekt stellt seit langem das Tor-Browser-Bundle für einfaches anonymes Surfen im Internet bereit. Jetzt gibt es auch eine Chatsoftware, die sich automatisch über Tor verbindet. Noch ist das Projekt aber im Beta-Stadium.

Symantec hatte im September mehrere Tausend unberechtigte TLS-Zertifikate ausgestellt, verschweigt aber zunächst das Ausmaß des Vorfalls. Google zeigt dafür wenig Verständnis und stellt einige Bedingungen für den Verbleib der Symantec-Rootzertifikate im Chrome-Browser.