Verschlüsselung

Eine wissenschaftliche Studie belegt, dass Tor-Nutzer leichter zu identifizieren sind als weitläufig vermutet. Die Wahrscheinlichkeit, einen Nutzer spätestens nach sechs Monaten zu enttarnen, liegt bei 80 Prozent.

Ein Javascript-Bookmarklet ist in der Lage, den privaten Schlüssel zu einem Account des Filehosters Mega zu extrahieren. Die Frage ist: Ist das eine Sicherheitslücke?

Neuere Versionen des TLS-Standards verbessern die Verschlüsselung und verhindern bestimmte Angriffe. Das nützt aber praktisch nichts, denn ein aktiver Angreifer kann die Nutzung eines älteren TLS-Standards erzwingen.

Der Whistleblower Edward Snowden soll auch geheime Unterlagen entwendet haben, zu denen er selbst als Administrator keinen Zugang hatte - mit Hilfe von gekaperten Profilen. Die NSA überprüft weiterhin interne Sicherheitsmaßnahmen, hat aber keine Ahnung, welche Dokumente der Whistleblower mitgenommen hat.

Draytek hat den gut ausgestatteten Router Vigor 2860 vorgestellt. Der kann dank eines integrierten Controllers kostengünstig bis zu 20 WLAN-Access-Points zentral verwalten. Zudem beherrscht er Multi-WAN für Load-Balancing und bessere Ausfallsicherheit, auch mit externen Modems.

Der Chef von Lavabit macht Andeutungen, was die Geheimdienste wirklich von ihm wollten. Er sollte den verschlüsselten E-Mail-Dienst, den auch Edward Snowden nutzte, komplett für deren Zugriff öffnen.

Update Über einen Trojaner lässt sich ein Rechner angreifen, um dann die PIN des elektronischen Personalausweises abzugreifen. Die Lücke hat der Chaos Computer Club dem ARD-Magazin Report München präsentiert.

Die Geheimdienstskandale führen dazu, dass die Menschen in Deutschland Big Data oft ablehnen. Nutzer sozialer Netzwerke sind zu 58 Prozent gegen das Aggregieren und Analysieren von Kundendaten.

In einer symbolischen Machtdemonstration haben Geheimdienstler den britischen Guardian gezwungen, Festplatten zu zerstören, um die Berichterstattung aus dem Snowden-Archiv zu beenden. "Wir können die schwarzen Hubschrauber wieder zurückziehen", witzelte ein GCHQ-Agent.

Ein Experte von Kaspersky Lab erzählt im Gespräch mit Golem.de, welche Möglichkeiten Geheimdienste haben, um SSL anzugreifen.

IBM hat den Hersteller von Sicherheitssoftware Trusteer für 1 Milliarde US-Dollar gekauft. In das 2006 gegründete Unternehmen wurden nur 10 Millionen US-Dollar investiert. Die Software Rapport kommt bei Banken zum Einsatz.

Die Firma Verance hat einen akustischen Kopierschutz entwickelt, der erkennt, ob das Bild- und Tonmaterial im Kino abgefilmt wurde. Ist dies der Fall, schaltet sich der Blu-ray-Player nach 20 Minuten ab.

Für die De-Mail ist End-to-End-Verschlüsselung nicht im neuen Gesetz vorgeschrieben. Doch die Bundesregierung will jetzt ein Gütesiegel für Verschlüsselung entwickeln und vergeben, um dem Mittelstand sichere Produkte an die Hand zu geben. Der Minister geht davon aus, dass sich ein normaler Mittelständler mit Verschlüsselung nicht so gut auskennt.

Auf Druck der US-Regierung im NSA-Skandal haben Lavabit und Silent Circle ihre verschlüsselten E-Mail-Dienste eingestellt. Nun will Mega Ende-zu-Ende-Verschlüsselung anbieten und die Nachrichten trotzdem durchsuchbar machen.

Update Seit den Enthüllungen von Edward Snowden gilt die Verschlüsselung von E-Mails plötzlich als angesagt. Doch von einem Boom kann trotz aller Kryptopartys noch lange keine Rede sein. Wie Teenagersex, sagen Netzpolitiker.

Die Ankündigung von T-Online, GMX und Web.de zur E-Mail-Sicherheit ist laut CCC ein Sommermärchen. Den Nutzern der E-Mail-Dienste wird vorenthalten, dass eine Verschlüsselung der Verbindung zwischen den Anbietern noch nicht bedeutet, dass die E-Mails dort auch verschlüsselt abgelegt werden.

Als Reaktion auf den NSA-Skandal wollen die Telekom und United Internet die E-Mails zwischen ihren Rechenzentren verschlüsselt übertragen. Und ab 2014 sollen nur noch SSL-verschlüsselte Mails transportiert werden. Eine Ende-zu-Ende-Verschlüsselung kann das nicht ersetzen.

Nach Angaben von Whatsapp gibt es 20 Millionen aktive Anwender in Deutschland. Whistle.im will eine 2.048-Bit-End-To-End-verschlüssselte Alternative sein, bei der das Adressbuch nicht bei der NSA abgegeben wird.

Update Eltern in Hamburg sind wütend, weil ihre Kindern trotz Chipkarte ihren Fingerabdruck abgeben mussten. Ohne biometrische Erkennung soll es für die Grundschüler kein Essen gegeben haben.

Der Softwareentwickler Elliott Kember hat eine Diskussion über Chromes Umgang mit gespeicherten Passwörtern angestoßen und kritisiert, dass Chrome diese im Klartext anzeigt. Justin Schuh, der für die Sicherheit von Chrome verantwortlich ist, sieht darin kein Problem.

Der über den Webhoster Freedom Hosting verteilte Schadcode dient tatsächlich der Identifizierung von Tor-Nutzern. Das hat das Anonymisierungsprojekt bestätigt. Der Schadcode wird über eine Schwachstelle in Firefox eingeschleust.

Mit dem NSA-Skandal ist bei Firmen die Furcht vor Cyber-Attacken aus den USA stark gestiegen. Doch viele vertrauen weiter auf Firewalls und schwierige Passwörter.

Update Freedom-Hosting-Seiten haben Schadcode über eine Schwachstelle in der Unternehmensversion von Firefox ausgeliefert, auf der der Tor-Browser basiert. Mit dem Angriff sollten offenbar Nutzer, Besucher und Administratoren von kinderpornografischen Seiten identifiziert werden.

Ein Team von Wissenschaftlern um den Ucla-Professor Amit Sahai soll eine Möglichkeit gefunden haben, Code zu erzeugen, bei dem Reverse-Engineering nicht möglich ist. Die Arbeit ist aber theoretischer Natur.

Beiträge von Facebook können künftig in Webseiten und Blogs eingebettet werden. Die Embedded Posts können aus Bildern, Videos, Hashtags und anderen Inhalten bestehen. Außerdem hat das Unternehmen HTTPS als Standard für alle Nutzer definiert.

Beim Aufbau von TLS-Verbindungen kann Firefox künftig Informationen über die Gültigkeit eines Zertifikats mitliefern. Das sogenannte OCSP Stapling wird damit von allen großen Browsern unterstützt, aber bei den Servern gibt es noch Probleme.

Mit Tox soll eine freie Alternative zu Skype entstehen, die sicherer für die Nutzer ist. Das will das Team durch verschlüsselte Peer-to-Peer-Kommunikation erreichen. Noch ist das Programm aber in der Entstehung.

Apple hat die vierte Betaversion von iOS 7 für Entwickler veröffentlicht. Darin befindet sich ein Ordner namens "BiometricKitUI" sowie einige Texte, die auf einen Fingerabdrucksensor im Home-Button schließen lassen. Gerüchte um eine Authentifizierungsfunktion gibt es schon lange.

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

Das Ultrabook Vaio Pro gehört zu den leichtesten Notebooks seiner Art und schafft dennoch lange Laufzeiten, hat Full-HD und einen Touchscreen. Bei der Software langt Sony leider daneben. Dafür ist der Klick-Router sehr praktisch und wir erlebten ein kleines Déjà-vu.

Flavio Garcia, der nach eigenen Angaben das Sicherheitssystem Megamos Crypto von VW zum Absichern von Luxuskarossen geknackt hat, darf sein Wissen nicht publizieren. Ein britisches Gericht untersagte die Veröffentlichung.

Australische Sicherheitsforscher zeigen einen neuen Angriffsvektor auf Verschlüsselung, die auf virtuellen Maschinen stattfindet. Durch Manipulation des Caches von Intel-Prozessoren können sie Schlüssel im Klartext auslesen. Die Abhilfe ist einfach, aber unbefriedigend.

Am Potsdamer Hasso-Plattner-Institut haben Forscher mit Fiberio ein biometrisches Multitouch-System entwickelt, das nicht nur die Finger, sondern auch deren Fingerabdrücke erkennt, wenn die Oberfläche berührt wird.

Einem Medienbericht zufolge setzen Behörden in den USA vor allem kleinere Unternehmen unter Druck, damit diese Generalschlüssel für SSL-Verschlüsselung herausrücken. Die großen wie Google und Facebook sollen da aber angeblich nicht mitspielen.

Wer seine E-Mails über ein offenes WLAN verschickt, sollte das über eine verschlüsselte Verbindung per TLS tun. Dennoch legen E-Mails danach oft einen größeren Teil ihres Weges durchs Internet unverschlüsselt zurück, hat Michael Kliewe beobachtet.

SPD-Parteichef Sigmar Gabriel will in Deutschland Verschlüsselung per Gesetz durchsetzen. Microsoft, Google oder Facebook hätten "sich willfährig von der NSA für deren Zwecke einspannen lassen."

Der Webhoster OVH wurde nach eigenen Angaben gehackt. Dabei könnten verschlüsselte Passwörter entwendet worden sein. Der Anbieter rät dazu, sie umgehend zu ändern. Zugang zu Kreditkarteninformationen sollen die Datendiebe aber nicht gehabt haben.

Hacker haben sich Zugang zur Datenbank des Ubuntu-Forums verschafft und sämtliche Nutzernamen, Passwörter und E-Mail-Adressen gestohlen. Die Passwörter lagen nicht im Klartext vor, teilen die Forenbetreiber mit.

Für Gpg4win 2.2.0 sind unter anderem die Unterstützung für Windows 8 und Outlook 2013 geplant. In der kürzlich veröffentlichten Beta gibt es bereits Funktionen für Outlook 2010. Zudem soll die portable Version von Gnupg in das Kryptographie-Werkzeugpaket integriert werden.

Das Hackerkollektiv Anonymous hat eine Liste von Mailadressen und Passwörtern veröffentlicht, die Mitarbeitern des US-Parlaments gehören. Der Kongress wiegelte gegenüber US-Medien ab: Viele Accounts seien erloschen und die Passwörter nicht aktuell.

Update Das E-Mail-Programm auf Blackberry-Smartphones überträgt Zugangsdaten für IMAP-Konten auf den Server des Herstellers. Dem Nutzer wird das nicht mitgeteilt.

Gleich mehrere Spielehersteller sind in den vergangenen Tagen ins Visier von Hackern geraten. Die haben sich teilweise auch Zugriff auf E-Mail-Adressen und Passwörter verschafft, etwa von Spielern von Pro Evolution Soccer.

Die von Mozilla entwickelte Verschlüsselungsbibliothek NSS unterstützt in der aktuellen Version den aktuellen TLS-Standard 1.2. Das könnte die in Firefox und Chrome verwendete SSL-Verschlüsselung verbessern. Die Unterstützung für AES im authentifizierten Modus GCM fehlt allerdings noch.