Verschlüsselung

Microsoft soll Adallom gekauft haben. Die Firma ist aus Geheimdienstkreisen gegründet worden und erstellt Profile zu Verhaltensmustern von Mitarbeitern.

Zu Proxyham gibt es mittlerweile eine Reihe von Mythen und Verschwörungstheorien. Dabei erfordert das Konzept weder geheime Hardware noch spezielle Software. Einen Nachbau gibt es bereits.

Im Tor-Netzwerk sind Hunderte gefälschte Webseiten entdeckt worden. Über diese könnten Dritte persönliche Daten abgreifen.

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

Ifa 2015 Einige Funktionen des neuen Betriebssystems werden Windows-10-Nutzer nicht sofort nutzen können, denn dafür wird neue Hardware benötigt. Microsoft will mit seinen Partnern vor allem die Internationale Funkausstellung in Berlin zur Vorstellung nutzen.

SSLv3 ist aus Firefox 39 endgültig entfernt worden, und RC4 ist nur noch temporär für einige wenige Seiten erlaubt. Das Mozilla-Team erweitert den Schutz des Browsers vor Malware, daneben gibt es noch viele kleinere Neuerungen.

Smartphones von LG sind aufgrund einer schlecht umgesetzten SSL-Verschlüsselung anfällig für Man-in-the-Middle-Attacken. Offenbar weiß der Hersteller schon länger davon, ein Patch soll das Problem beheben - auf manchen Geräten ist dieser aber noch nicht angekommen.

Mastercard experimentiert mit einer besseren Absicherung von Kreditkartenzahlungen und will ab Herbst mittels Smartphone Gesichtsscans durchführen. Das soll Betrügern das Handwerk legen. Die Selfie-Begeisterung soll dabei helfen.

Seit der Poodle-Attacke ist klar, dass das uralte Protokoll SSL 3 nicht mehr sicher ist. Mit RFC 7568 gibt es jetzt ein offizielles Dokument, das den Einsatz des ursprünglich von Netscape entwickelten Verschlüsselungsprotokolls verbietet.

Mangelnde Verschlüsselung und gefälschte Zertifikate können dazu führen, dass Zugangsdaten beim Einloggen von Fremden abgegriffen werden können. Eine App will vor anderen, unzureichend abgesicherten Apps in Googles Play Store warnen - eine Aufgabe, die eigentlich Google übernehmen sollte.

Bei der Installation wird die Benutzerdatenbank in SAPs Hana mit dem stets gleichen Standardschlüssel abgesichert. Weil dieser nur selten geändert wird, könnten sich Unberechtigte leicht Zugriff auf die dort gespeicherten Administratorkonten verschaffen.

Mangelnde Sicherheitsüberprüfungen in Mac OS X und iOS machen es Malware einfach, Passwörter oder andere kritischen Daten auszulesen. IT-Sicherheitsforschern ist es sogar gelungen, Schadsoftware in Apples App Store zu platzieren.

Ab Mitte September sollen alle Nutzer gratis Zertifikate von Let's Encrypt erhalten können. Bereits in einem Monat will das Team Zertifikate für ausgesuchte Webseite verteilen.

Wer die Online-Passwortverwaltung Lastpass verwendet, wird demnächst aufgefordert, sein Masterpasswort zu ändern. Der Grund ist ein Einbruch in die Server des Unternehmens. Die bei Lastpass gespeicherten Kennwortlisten seien nicht betroffen. Es ist nicht der erste Einbruch bei Lastpass.

Um den Zugriff vor Zensur zu schützen und abzusichern, will die Wikimedia künftig alle ihre Webseiten standardmäßig über verschlüsselte Verbindungen anbieten. Die grundlegenden Arbeiten an der HTTPS-Unterstützung sind bereits vor Jahren begonnen worden.

Update OpenSSL veröffentlicht Updates für kleinere Sicherheitslücken - dabei ist den Entwicklern ein Fehler unterlaufen: Durch eine veränderte Datenstruktur ändert sich die Binärschnittstelle der Bibliothek, was zu Fehlfunktionen führen kann.

Entwickler von Apps für iOS und OS X sollten "so schnell wie möglich" auf sichere Verbindungen per HTTPS wechseln, empfiehlt Apple. Das Unternehmen könnte die Verschlüsselung gar für die Aufnahme im App Store erzwingen.

Apple führt bei iOS 9 längere Pin-Codes ein, mit denen die mobilen Geräte vor unbefugtem Zugriff geschützt werden. Wer TouchID verwendet, muss ein sechsstelliges Kennwort eingeben und die Apple Watch erhält die geforderte Aktivierungssperre.

Die von Mozilla und EFF gegründete Zertifizierungsstelle Let's Encrypt hat ihre Wurzelzertifikate erstellt. Damit haben die Beteiligten einen wichtigen Schritt unternommen, um mit der Arbeit beginnen zu können. Zudem gibt es einen Plan, wie alle Browser die Zertifikate sofort akzeptieren.

Ein Debian-Bug aus dem Jahr 2008 hinterlässt immer noch Spuren. Eine Analyse der öffentlichen SSH-Schlüssel bei Github zeigt: Mittels angreifbarer Schlüssel hätten Angreifer die Repositories von Projekten wie Python und Firmen wie Spotify oder Yandex manipulieren können.

Mehr Anonymität für sich und andere im Tor-Netzwerk: Einen eigenen Tor-Relay aufzusetzen, ist nicht besonders schwierig, allerdings gibt es dabei einiges zu beachten.

Facebook-Nutzer können künftig in ihr Profil einen PGP-Key eintragen. E-Mails von Facebook an den Nutzer werden dann automatisch signiert und verschlüsselt.

Verschlüsselter Speicher und zugleich ein kleiner Computer für kryptographische Berechnungen: Google entwickelt mit Project Vault einen Rechner, der auf einer Micro-SD-Karte untergebracht ist.

Googles Forschungsabteilung ATAP will mit Project Abacus eine Authentifizierung entwickeln, die die Eingabe von Kennwörtern überflüssig macht. Dabei wird anhand des Nutzerverhaltens ständig geprüft, ob der Anwender wirklich der ist, für den er sich ausgibt.

Selbst ein Bittbrief half nichts: Der Silk-Road-Gründer Ross Ulbricht ist zu lebenslanger Haft verurteilt worden. Er war im Februar 2015 unter anderem wegen Drogenhandel und Geldwäsche schuldig gesprochen worden.

Hitb 2015 Das Tor-Protokoll erlaubt es Angreifern relativ einfach, die Kontrolle über die Verzeichnisserver sogenannter Hidden Services zu erlangen. Dadurch ist die Deanonymisierung von Traffic deutlich einfacher als beim Zugriff auf normale Webseiten.

Ein Sprecher der Bundestagsverwaltung hat zugegeben, dass die Angreifer im Mai Daten kopieren konnten. Mittlerweile seien "vereinzelte Datenabflüsse festgestellt worden", sagte er. Von dem Angriff sollen auch Rechner von Regierungsmitgliedern betroffen sein.

Digitale Erpressung leicht gemacht: Die Ransomware wird kostenlos und individuell zusammengeklickt, die Tox-Macher verlangen dafür aber 30 Prozent des erpressten Geldes.

Polizisten seien meist hilflos, wenn jemand einen "Datendiebstahl" meldet. Auch Fotos und Videos aus der Bevölkerung könnten nicht als Beweismittel verarbeitet werden, klagt der neue BKA-Chef.

Auf zurückgesetzten Android-Smartphones lassen sich Daten wiederherstellen, auch auf solchen, die zuvor verschlüsselt wurden. Anwender können kaum etwas dagegen tun.

Berechnung statt Zufall: Das Projekt Astoria soll es Schnüfflern künftig schwerer machen, Nutzer im Tor-Netzwerk zu identifizieren. Ein neuer Algorithmus soll die sicherste Route durch das Anonymisierungsnetzwerk berechnen, statt diese dem Zufall zu überlassen.

Hat der US-Geheimdienst NSA die EU-Kommission ausspioniert? EU-Digitalkommissar Günther Oettinger verlangt darüber Auskunft von der Bundesregierung. Die Kommission ergreift schon einmal Vorsichtsmaßnahmen.

Viele US-Bürger glauben laut einer Umfrage nicht, dass Behörden mit ihren Kommunikationsdaten verantwortungsvoll umgehen. Trotzdem geht ein Großteil der Befragten ohne besondere Sicherheitsmaßnahmen online.

Experten vermuten hinter dem aktuellen Angriff auf Rechner im Bundestag einen ausländischen Geheimdienst. Das gehe aus einer ersten Analyse der verwendeten Malware vor.

Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden. Forscher vermuten, dass eine Variante dieses Angriffs für das NSA-Programm Turmoil verantwortlich sein könnte.