Verschlüsselung

Der kleine Rechner von Kinko verspricht eine einfache Verschlüsselung von E-Mails. Es handelt sich um einen kleinen Imap-Server für zu Hause oder fürs Büro. Wir haben uns die Kinkobox genauer angeschaut.

Sicherheitsexperten haben den Browser des Tor-Bundles überprüft. Sie geben mehrere Hinweise, wie der Tor-Browser zu härten ist.

Ein irrtümlich nicht abgeschaltetes Tool hat beim Schweizer Maildienst Protonmail dafür gesorgt, dass Nachrichten von Kunden verloren gingen. 95 Prozent der gelöschten E-Mails sollen wiederhergestellt sein, und auch die Ursachenforschung dokumentiert das Unternehmen sehr offen.

Anonymes Surfen mit Tor ist noch sicherer, wenn die Software nicht auf dem eigenen Rechner läuft. Die Software Portal integriert Tor in die Firmware Openwrt und lässt sich so auf ausgewählten mobilen Routern nutzen.

Die Deutsche Post kündigt einen Messaging-Dienst an, der unter dem gewöhnungsbedürftigen Titel Sims Me End-to-End-Verschlüsselung und Nachrichten mit Selbstzerstörungsfunktion anbieten soll.

Für seinen Chrome-Browser führt Google eine Liste von Webseiten, die ausschließlich über HTTPS erreichbar sein sollen. Dort kann sich jeder Webseitenbetreiber eintragen, der die HSTS-Erweiterung nutzt.

Die neue Firmware FritzOS 6.20 ist für die Fritzbox 7490 erhältlich. Ein Upgrade für weitere Modelle solle in wenigen Wochen folgen, verspricht AVM.

Dem Schweizer E-Mail-Anbieter Protonmail ist eine erneute Panne unterlaufen. Ein Mitarbeiter habe aus Versehen mehrere E-Mails gelöscht. Protonmail entschuldigt sich für die "schrecklichen Fehler".

Def Con 22 Dan Kaminsky fordert, dass sichere Zufallszahlengeneratoren zum Standard in allen Programmiersprachen werden müssen. Als weitere große Baustellen in der IT-Sicherheit sieht er Denial-of-Service-Attacken und die Speicherverwaltung von Browsern.

Def Con 22 Schlüssel für PGP-verschlüsselte Mails werden üblicherweise über eine achtstellige ID gefunden. Doch mit trivialem Aufwand lässt sich ein Schlüssel mit derselben ID erzeugen. Oftmals lassen sich Nutzer dadurch verwirren.

Der Bundesjustizminister will die Hehlerei mit gestohlenen Onlinekontodaten härter bestrafen. Gesetzeslücken für die Angebote auf einschlägigen Plattformen sollen geschlossen werden.

Black Hat 2014 Durch die statistische Analyse des Netzwerkverkehrs eines verschlüsselten SSH-Tunnels gelang es Forschern, Rückschlüsse auf das verwendete Programm zu ziehen. Das entsprechende Tool wurde samt Quellcode veröffentlicht.

Black Hat 2014 In den vergangenen Jahren gab es verschiedene Projekte, die den gesamten IP-Adressraum im Internet scannten. Das Projekt Sonar will nun regelmäßig derartige Scans durchführen.

Black Hat 2014 Der Sicherheitschef von Yahoo kündigt an, dass das Unternehmen die Möglichkeit einer PGP-basierten Ende-zu-Ende-Verschlüsselung für Yahoo Mail umsetzen will. Dabei will man offenbar mit Google zusammenarbeiten.

Künftig wertet Google Webseiten besser, die ausschließlich über HTTPS erreichbar sind. Damit das neue Ranking greift, müssen Administratoren einiges berücksichtigen.

Black Hat 2014 Antoine Delignat-Lavaud präsentierte auf der Black Hat 2014 mehrere neue Sicherheitsprobleme in HTTPS, die zum Großteil auf bekannten Schwächen basieren. Es sind Ergebnisse eines Forschungsprojekts, das versucht, die Sicherheit von TLS mathematisch zu formalisieren.

Das FBI setzt bei der Suche nach Pädokriminellen im Tor-Netzwerk erfolgreich Malware ein. Die Fahndung soll auch auf Rechner im Ausland ausgedehnt werden. Datenschutzaktivisten befürchten Übergriffe auf Unschuldige.

Um Nutzer künftig vor falschen oder entwendeten Zertifikaten zu schützen, will Mozilla eine zentrale Sperrliste pflegen. Damit folgen die Firefox-Macher den Ideen Googles für Chrome.

Update Ein US-Unternehmen hat nach eigenen Angaben Milliarden Passwörter gefunden, die von russischen Hackern erbeutet worden sind. Für zunächst 120 US-Dollar sollten besorgte Anwender erfahren können, ob ihres dabei ist.

Forschern gelang es, durch kleine Veränderungen eine Variante der SHA-1-Hashfunktion mit einer Hintertür zu erzeugen. Die Sicherheit von SHA-1 selbst beeinträchtigt das nicht, es lassen sich aber Lehren für die Entwicklung von Algorithmen daraus ziehen.

Durch einen Fehler bei der Datenverarbeitung lagen E-Mail-Adressen und verschlüsselte Passwörter von Mitgliedern des Mozilla Developer Networks mehr als 30 Tage lang auf einem öffentlich zugänglichen Server.

Die von Wearables übertragenen Nutzerdaten sind häufig nicht verschlüsselt und deshalb oft einem Nutzer eindeutig zuzuordnen. Dabei handelt es sich nicht selten um sehr persönliche Daten.

Nach der Sommerpause hat der Snowden-Vertraute Greenwald im NSA-Ausschuss des Bundestags aussagen sollen. Doch er hat abgesagt und kritisiert das Gremium scharf wegen der Weigerung, Snowden in Deutschland zu vernehmen. Eine wirkliche Untersuchung der Vorgänge solle offenbar vermieden werden, um die USA nicht zu verärgern.

Black Hat 2014 Ein Angriff auf das Tor-Netzwerk ist fast ein halbes Jahr unentdeckt geblieben und könnte Nutzer der Hidden Services enttarnt haben. Wer dahinter steckt, ist unklar.

Behörden wollen in großer Zahl Telefone mit Verschlüsselungsfunktion kaufen. Deren Hersteller Secusmart wurde gerade von Blackberry gekauft, einer Firma mit ungeklärten Verbindungen zu einer NSA-Hintertür. Auch bei der Verschlüsselung gibt es viele ungeklärte Fragen.

Hersteller von vernetzten Geräten gehen sorglos mit deren Sicherheit um. Kaputte Webinterfaces, überflüssige Kreditkarteninformationen und zu einfache Passwörter wie 1234 machen viele Geräte angreifbar.

Künftig können auch iPhone-Besitzer verschlüsselt telefonieren. Open Whisper Systems hat Redphone auf iOS portiert und unter dem Namen Signal veröffentlicht.

Black Hat 2014 Ein Fehler in Apaches Harmony soll die Ursache für die fehlerhafte Zertifikatsprüfung in Android sein. Harmony war Apaches Java-Implementierung, das Google in Android einsetzt.

Black Hat 2014 Android prüft nur unzureichend die mit Apps installierten Zertifikate. Dadurch können sich bösartige Apps Zugriff auf Systemkomponenten verschaffen, die ihnen eigentlich verwehrt sind.

Blackberry kauft die deutsche Firma Secusmart, die das als Kanzlerhandy oder Merkelphone bekanntgewordene Mobiltelefon produziert. Secusmart-Chef Hans-Christoph Quelle betonte, dass die Geheimnisse der Kunden auch "weiterhin zuverlässig geschützt" seien.

Der Chef von Web.de und GMX will eine schnellere staatliche Einführung der umstrittenen De-Mail. Bislang hätten sich eine Million Nutzer für den Dienst registriert.

In der Linux-Distribution Tails befindet sich eine Sicherheitslücke, über die Nutzeridentitäten aufgedeckt werden können. Die Schwachstelle ist nicht in Tor, sondern im Invisible-Internet-Project-Netzwerk zu finden.

Die russische Regierung hat eine Prämie für die Deanonymisierung von Tor ausgeschrieben. Durch eine starke Zunahme der Internetzensur ist die Anzahl der Tor-Nutzer in Russland stark angestiegen.

Sicherheitspanne bei der Europäischen Zentralbank: Kriminelle drangen in den Webserver ein und verlangten Geld für die gestohlenen Daten.

Ein Hacker behauptet, sich Zugang zu den Seiten der US-Medien Wall Street Journal und Vice verschafft zu haben. Die gestohlenen Daten bietet er zum Kauf an.

Update Der iPhone-Hersteller Apple hat Vorwürfe zurückgewiesen, er habe heimliche Hintertüren in sein mobiles Betriebssystem iOS eingebaut. Die besagten Schnittstellen dienten Diagnosezwecken und seien bekannt.

Black Hat 2014 Ein Vortrag über Probleme des Anonymisierungsnetzwerks Tor wurde aus dem Programm der Black-Hat-Konferenz in Las Vegas gestrichen. Offenbar folgte die Streichung auf Wunsch der Anwälte der Universität, in der die Vortragenden arbeiten.

Die Electronic Frontier Foundation hat eine eigene Router-Software für sichere, teilbare Open-Wireless-Netzwerke vorgelegt. Noch befindet sich die Software allerdings in einer frühen Entwicklungsphase.

Auf der Linux-Kernel-Mailingliste wird ein Patch diskutiert, der Linux einen Systemaufruf für Zufallszahlen hinzufügt. Der Patch ist infolge einer Diskussion um ein kürzlich in LibreSSL entdecktes Problem entstanden.

Wegen der im Quellcode der NSA-Software gefundenen Tor-IP-Adresse will der CCC seine Strafanzeige gegen die US-Geheimdienste ausweiten. Der Generalbundesanwalt solle endlich tätig werden, heißt es.

Unter bestimmten Umständen lieferte LibreSSL unter Linux dieselben Zufallszahlen mehrfach. Das Problem wurde in einem neuen Release behoben, die OpenBSD-Entwickler sehen aber das eigentliche Problem beim Linux-Kernel.

LibreSSL ist in der Version 2.0.0 veröffentlicht worden. Es ist die erste Version des OpenSSL-Forks, die nicht nur unter OpenBSD läuft. Getestet wurde sie unter Linux, Solaris, Mac OS X und FreeBSD.

Das Chatprogramm Invisible.im verspricht eine fast komplett anonyme Kommunikation. Dazu sollen XMPP, OTR und PGP zum Einsatz kommen und die Kommunikation ausschließlich über das Anonymisierungsnetzwerk Tor erfolgen.