Verschlüsselung

Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.

Eine Wiener Apotheke testet den Einsatz von Biometrie: Die Mitarbeiter sollen sich mit dem Muster der Venen in ihrer Hand identifizieren.

In den vergangenen Monaten häufen sich Berichte über Sicherheitslücken bei Routern. Nicht nur die NSA, auch kriminelle Hacker können offenbar problemlos in viele Geräte eindringen. Muss das so sein?

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Wer eine eigene Webseite betreibt, überträgt sie meist per FTP zum Webhoster. Dabei kommt häufig keine Verschlüsselung zum Einsatz. Kein einziger großer Provider weist seine Kunden auf diese Risiken adäquat hin; bei manchen Providern ist eine verschlüsselte Verbindung überhaupt nicht möglich.

Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple-Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.

Das Team des Anonymisierungswerkzeugs Tor arbeitet an einem Instant Messenger, der im Tor-Netzwerk verwendet werden kann. Er basiert auf Instantbird und soll OTR unterstützen.

Die Entwickler des Messengers Telegram werben damit, dass derjenige, der ihre Verschlüsselung knackt, 200.000 US-Dollar erhält. Doch in der Praxis relevante Angriffe werden von dem Contest überhaupt nicht erfasst.

Über seinen Bürgerservice informiert das Bundesamt für Sicherheit in der Informationstechnik über die gravierenden Lücken in Apples Betriebssystemen. Patches für iOS 6 und 7 und das Apple TV gibt es, ein Update für OS X steht aber immer noch aus.

Ein Entwurf für eine Erweiterung des künftigen HTTP-Protokolls entfacht viel Aufregung, denn er sieht vor, dass Internetzugangsprovider verschlüsselte Datenströme mitlesen und verändern können.

Update Seit der Übernahme von Whatsapp durch Facebook verzeichnet der Messenger Telegram einen Nutzeransturm. Jede Sekunde kämen 100 neue Mitglieder hinzu, schreiben dessen Entwickler.

Threema, Telegram und MyEnigma: Nach der Whatsapp-Übernahme durch Facebook sind die Nutzer des Messengers auf der Suche nach Alternativen. Wir haben uns einige davon angesehen.

Es sollen wohl Tausende Zugangsdaten zu FTP-Servern im Umlauf sein, darunter auch Zugänge für bekannte Webseiten. Erste Fälle, in denen Schadinhalte auf Webseiten wie der New York Times untergebracht wurden, gab es schon.

Die Crowdfinanzierungsplattform Kickstarter hat am Samstagabend bekanntgegeben, dass die Datenbank mit den Kundendaten gehackt und einige Kundendaten entwendet worden sind. Kreditkartendaten seien nicht gestohlen worden, die Passwörter seien verschlüsselt gewesen.

Seit der Schließung von Silk Road, die nur über Tor erreichbar war, hatten Black Market Reloaded (BMR) und dessen Nachfolger Utopia mehr Zugriffe. Jetzt wurde der mutmaßliche Admin in Bad Nauheim verhaftet und ein Bitcoin-Wallet mit rund 1.000 Bitcoins (rund 428.000 Euro) sichergestellt.

Update Strato bietet seinen Kunden Perfect Forward Secrecy für E-Mail und Hosting. Doch das Verfahren ist noch nicht auf den eigenen Seiten implementiert.

Wir haben genug über die Machenschaften der Geheimdienste gehört, sogar zu viel. Die Verantwortlichen hoffen darauf, dass aus Überdruss am Thema unser Protest gering bleibt - und aus dem "Day we fight back" kein langfristiger Gegenangriff wird.

Mit einem neuen Ansatz kann die Verschlüsselung von Smartphones sicherer und bequemer werden. Damit sollen mehr Nutzer für eine abhörsichere Kommunikation begeistert werden. Dazu wird der Schlüsselaustausch mit den Vorzügen sozialer Netzwerke verknüpft.

Auf der International Solid State Circuits Conference (ISSCC) stellt Intel einige neue Grundlagentechniken für moderne Prozessoren vor. Darunter ist unter anderem eine Funktion für sichere Schlüssel, die auch Angriffen auf Chips widerstehen soll.

Im Lauf des Wochenendes hat AVM die Sicherheitslücke beim Fernzugang für rund 30 Modelle geschlossen. Nutzer von Kabelmodems müssen sich noch etwas gedulden.

Update AVM hat auf seinen Routern offenbar die Sicherheitslücke entdeckt, über die sich Unbekannte Zugang zu zahlreichen Fritzboxen verschafft haben. Es gibt inzwischen mehrere Patches. Benutzer sollten weiterhin den Fernzugriff deaktivieren und Passwörter ändern.

Auf dem Internetschwarzmarkt trifft die digitale die analoge Welt. Zu kaufen gibt es gecrackte Youtube-Videos, gebrauchte Passwörter und Cloud-Space in Form von Zuckerwatte.

Hersteller AVM sucht immer noch nach einer Erklärung für den Hack von Zugangsdaten zur Fritzbox. Betroffene berichten von extrem hohen Telefonrechnungen.

Nach Empfehlungen der US-Behörde Nist darf der Hash-Algorithmus SHA-1 für digitale Signaturen 2014 nicht mehr genutzt werden, das Nist hielt sich aber selbst nicht daran. Auch das BSI kennt offenbar seine eigenen Empfehlungen in Sachen Hash-Funktionen nicht.

Millionen Nutzer sind vom Hack eines Onlinekontos betroffen. In vielen Fällen würde es Betroffenen helfen, auch das Passwort des benutzten Kontos zu wissen. Doch die zuständige Staatsanwaltschaft will sich darauf nicht einlassen.

Schon einige Dutzend Fälle von Missbrauch sind bekannt. Über Fernzugriff auf die Fritzbox lassen sich teure Telefondienste einrichten. Die jüngste BSI-Sicherheitswarnung könnte damit in Verbindung stehen.

Mozilla hat die Version 27 seines Browsers Firefox veröffentlicht. Sichtbare Veränderungen gibt es zwar kaum, bei der Verschlüsselung schließt Firefox aber zu seinen Konkurrenten auf und aktiviert TLS 1.2 in der Standardeinstellung.

Der Betreiber eines britischen Online-Shops behauptet, auf Silk Road nur legale Waren verkauft zu haben. Nun möchte er sein durch die Abschaltung des Online-Marktplatzes verlorenes Bitcoin-Geld wieder. Silk Road diente vor allem dem Drogenhandel und wurde im letzten Jahr vom FBI abgeschaltet.

Das OpenSSH-Team hat OpenSSH in der Version 6.5 veröffentlicht. Die neue Version der Secure Shell bietet bessere Verschlüsselungsverfahren als der Vorgänger.

Aus Gerichtsdokumenten von US-Behörden geht hervor, dass die Bundespolizei FBI offenbar umfangreiche Datenbestände des Mitte 2013 eingestellten anonymen Dienstes Tor Mail besitzt. Auf Basis der Daten wurde nun ein Vertreiber von gefälschten Kreditkarten angeklagt.

Der Chrome-Browser von Google wird künftig für TLS-Verbindungen auf allen Plattformen die Bibliothek OpenSSL verwenden. Die ursprünglich von Netscape entwickelte Bibliothek NSS könnte dadurch an Bedeutung verlieren.

Mehr als 50 Kryptographie-Experten aus den USA warnen vor den Praktiken der NSA. Spionage dürfe nicht dazu führen, die Sicherheitsstandards der Kommunikation zu untergraben.

Die Warnung des BSI vor gehackten Onlinekonten geht auf die Analyse von Botnetzen zurück. Wie sich diese effektiv bekämpfen lassen, erforscht ein Team des Fraunhofer-Instituts in Wachtberg bei Bonn.

Update US-Whistleblower Edward Snowden hat sich fast zwei Stunden lang den Fragen aus dem Netz gestellt. Er nahm zu politischen Themen Stellung, äußert sich aber auch zu technischen und persönlichen Fragen.

Ein von Huawei hergestellter Router, den T-Mobile Austria vertreibt, hat eine schwere Sicherheitslücke, die sich auch über das Internet ausnutzen lässt. Abhilfe schafft eine neue Firmware, welche der Provider bereits vertreibt.

Nintendo hat in einem Rechtsstreit eine Niederlage erlitten: Der Europäische Gerichtshof hat entschieden, dass die Umgehung von Kopierschutzsystemen etwa für selbst erstellte Programme legal sein kann.

Mit seiner Warnung zu Millionen gehackten Onlinekonten hat das BSI viel Verwirrung gestiftet. Golem.de beantwortet die wichtigsten Fragen der Nutzer.

Update Obwohl sich das BSI einige Wochen Zeit für die Vorbereitung gelassen hat, können die Server die Vielzahl der Anfragen nicht verarbeiten. Weiter schweigen BSI und BKA zu den Hintergründen des merkwürdigen millionenfachen Identitätsdiebstahls.

Behörden haben bei der Analyse von Botnetzen rund 16 Millionen betroffene Benutzerkonten entdeckt. Das BSI bietet einen Sicherheitstest an, um E-Mails auf Identitätsdiebstahl zu überprüfen.

Mit Datzing soll ein Android-Konkurrent für Apples iBeacon entstehen: Über ein Smartphone mit Bluetooth oder WLAN können Werbeangebote, Coupons und Mitteilungen an andere Smartphones von Passanten geschickt werden. So sollen Händler einfach für ihre Produkte werben können.

In einem Tweet hat Whatsapp-Gründer Jan Koum verraten, wie viele Nutzer sein Dienst in Deutschland hat. Über 30 Millionen Menschen nutzten den Messenger hierzulande - trotz Alternativen.

Die kommende Version 6.5 von OpenSSH wird zahlreiche verbesserte Verschlüsselungsverfahren enthalten, darunter die elliptische Kurve Curve25519 und die Stromverschlüsselung Chacha20. Die bisher verwendeten elliptischen Kurven stammten von der NSA.

Morgan Marquis-Boire enttarnt Staatstrojaner, mit denen Regimekritiker im Mittleren Osten verfolgt werden. Die Methoden der NSA findet der Google-Ingenieur "verstörend".