Mit einem Arduino und Hardware im Wert von 40 US-Dollar lassen sich fast alle Modelle der VW-Gruppe aus den vergangenen 15 Jahren öffnen - sagen Sicherheitsforscher. Das Unternehmen hat die Lücke eingeräumt. 14 weitere Autohersteller sind betroffen.

Wer im Dota-2-Forum aktiv ist, muss kreativ werden und sich ein neues Passwort ausdenken. Ein Fehler in der Datenbanksoftware ermöglichte den Zugriff auf die Datenbank.

Einige alte Technologien sollen verschwinden: Google will Flash weitgehend aus Chrome verbannen und Microsoft entfernt die unsichere RC4-Cipher aus Edge und dem Internet Explorer.

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

Black Hat 2016 Der Messengerdienst Telegram gilt vielen als sichere Alternative zu Whatsapp. Doch es ist durchaus möglich, Sicherheitsvorkehrungen auszuhebeln und an Accounts zu gelangen.

Eine Sicherheitslücke der TLS-Zertifizierungsstelle Comodo hat es unter Umständen erlaubt, Zertifikate für fremde Domains auszustellen. Angriffspunkt waren dabei die Verifikationsmails, die an den Domaininhaber gesendet werden.

Ein Satellitenexperiment soll erstmals Quantenkryptographie zwischen Orbit und Bodenstationen demonstrieren. China könnte damit zum Pionier eines weltweiten quantenverschlüsselten Internet werden.

Kabellose Tastaturen sollten eigentlich so gebaut sein, dass die darauf getippten Informationen nur verschlüsselt übertragen werden. Millionen Geräte von mindestens acht großen Herstellern patzen dabei aber heftig, wie Forscher entdeckt haben.

Von Mittwoch an soll es losgehen: Mit dem neuen Gesetz zur Störerhaftung hofft die Koalition auf eine größere Verbreitung von offenen WLANs. Verbraucherschützer warnen aber Privatpersonen weiterhin davor, ihr Netz zu öffnen.

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

James Maynard, 29, wird gerade für seine Forschung zu Primzahlen gefeiert. Ehrfurcht? Bremst einen nur. Warum junge Mathematiker mit uralten Problemen besser klarkommen.
Von Andreas Loos

Geräte des Netzwerkausrüsters Juniper akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur findet schlicht nicht statt.

Niemals zahlen! Diese Warnung bei Ransomware-Angriffen ist bei einem neuen Vertreter der Spezies besonders angebracht - denn die Malware hat gar keine Wiederherstellungsfunktion.

Der Umsatz mit den auf Sicherheit optimierten Blackphone Android-Smartphones von Silent Circle bleibt offenbar deutlich hinter den Erwartungen zurück. Das Unternehmen steht möglicherweise vor der Insolvenz und wird mittlerweile sogar von einem ehemaligen Geschäftspartner verklagt.

In der kommenden Android-Version will Google mit einer umstrittenen Maßnahme verhindern, dass verschlüsselte Daten von Angreifern mitgelesen werden. Außerdem soll das Betriebssystem vor Erpressungstrojanern schützen.
Von Hauke Gierow

Das Mining von Bitcoin ist nur noch halb so lukrativ: Wie erwartet hat der in die virtuelle Währung integrierte Code am Samstag die Belohnung für Mining halbiert.

Mit Secret Communications sollen künftig auch Facebook-Nutzer verschlüsselt chatten können. Wie Whatsapp setzt der Messenger dabei auf das Signal-Protokoll, Nutzer müssen aber einige Entscheidungen treffen.

In einem Experiment sichert Google verschlüsselte Verbindungen zwischen Chrome und einigen Google-Domains mit einem Schlüsselaustausch ab, der Sicherheit vor Quantencomputern bieten soll. Der neue New-Hope-Algorithmus kommt in Kombination mit einem bewährten Verfahren zum Einsatz.

Was tut man, wenn ein Hacker Sicherheitslücken in einer Funksteckdose findet, und diese in einer Amazon-Bewertung offenlegt? Bloß nicht reparieren, lieber den Botschafter drangsalieren. So macht es derzeit eine chinesische Internet-of-Things-Firma.

Mehrere Schwachstellen in Android ermöglichen Angreifern, Zugriff auf Verschlüsselungskeys zu bekommen. Google hat die konkreten Lücken gepatcht, doch das Grundproblem bleibt: Die Schlüssel sind für die Software zugänglich. Nutzer können nur wenig tun.

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

Die neue Version von Hashcat führt die bislang getrennten Versionen mit CPU- und GPU-Support zusammen. Außerdem können neue Hashes angegriffen werden.

Mit der Volksverschlüsselung soll jeder verschlüsseln können - also zumindest jeder, der einen E-Perso, einen Telekom-Festnetz-Account oder einen Registrierungscode besitzt. Zum offiziellen Start des Projektes gibt es aber weder Quellcode noch ein Written Offer im Sinne der GPL.
Von Hauke Gierow

Der öffentliche Druck durch die Community hat offenbar gewirkt: Comodo hat sich entschlossen, keine Markenrechte für "Let's Encrypt" mehr zu beantragen. Zuvor hatte der Comodo-Chef die Aktion noch mit merkwürdigen Argumenten verteidigt.

Der Erfolg von Let's Encrypt ist spektakulär, es wurden bereits mehr als fünf Millionen Zertifikate ausgestellt. Jetzt will die Sicherheitsfirma Comodo Markenrechte an dem Namen durchsetzen. Let's Encrypt reagiert empört.

Mit RFC 7905 gibt es nun eine Spezifikation, um den Verschlüsselungsalgorithmus ChaCha20 im Poly1305-Modus in TLS zu nutzen. Der von Dan Bernstein entwickelte Algorithmus ist insbesondere auf Geräten ohne Hardware-AES-Unterstützung schneller als mögliche Alternativen.

PGP ist sicher, aber in der Handhabung oft kompliziert, gerade in größeren Unternehmen. Die EU-Kommission will die Technik in einem Pilotprojekt für alle Mitarbeiter einführen. Eine Angst geht dabei um: die vor verschlüsselten Spammails.
Ein Bericht von Jan Weisensee

Er wollte der Bitcoin-Erfinder sein, jetzt will er die Kryptowährung offenbar besitzen - jedenfalls Patente, mit denen die Verwendung der Technik lizenziert werden könnte. Craig Wright hat in Großbritannien offenbar schon mehr als 50 Patente angemeldet.

Ransomware kommt neuerdings im Paket: Die RAA-Schadsoftware ist komplett in Javascript geschrieben und installiert zusätzlich einen Passworttrojaner. Das Erpressergeld wurde an den hohen Bitcoin-Kurs angepasst.

Ist er John Doe? Ein IT-Mitarbeiter der Kanzlei Mossack Fonseca wurde in der Schweiz verhaftet. Ihm wird die massenhafte Weitergabe geheimer Informationen vorgeworfen.

Ein Routermodell von Netgear weist eine gravierende Schwachstelle auf: Auf dem Gerät befinden sich ein hartcodierter Verschlüsselungskey und ein Zertifikat, die von Angreifern missbraucht werden können. Für das Update braucht Netgear mehr als sechs Monate.

Let's Encrypt will Verbindungen im Internet besser absichern und so die privaten Daten der Nutzer besser schützen. Doch jetzt hat das Projekt durch eine Panne selbst zahlreiche Mailadressen preisgegeben.

Forscher haben einen beschädigten Festplatten-Firmware-Chip mit aufwendigen Methoden wiederhergestellt, um an den individuellen Hardware-Schlüssel der gesicherten Daten zu kommen.

Fast alle Antiviren-Apps für Smartphones haben Fehler, stellt eine neue Studie fest. Eine App von Kaspersky soll sogar mit Malware infizierte Werbung heruntergeladen haben. Die meisten Hersteller haben die Lücken mittlerweile gepatcht.

Das Startup Sirin verspricht ein supersicheres Smartphone zum Luxuspreis. Für 9.500 britische Pfund plus Steuern soll es verschlüsselte Kommunikation geben. Der zugrundeliegende Krypto-Standard dürfte aber nicht jedem gefallen, dafür gibt es Wigig-WLAN.
Von Hauke Gierow

Die australische Regierung lässt Bitcoins im Wert von über elf Millionen Euro versteigern. Das virtuelle Geld wurde mutmaßlich mit illegalen Transaktionen auf der Plattform Silk Road verdient.

Was unverdächtig nach einem USB-Ladegerät aussieht, verbirgt eine ausgefeilte Spionagetechnik mit einem Arduino. Nun warnt das FBI vor dem Datendieb, den ein "White Hat" vor mehr als einem Jahr entwickelt hat.

Der Webmailer Roundcube ist in einer neuen Version erschienen und bringt native PGP-Unterstützung in gleich zwei Versionen mit. Außerdem wurden die Bibliotheken weiterentwickelt und die Usability verbessert.

Moderne TLS-Verbindungen nutzen üblicherweise das AES-GCM-Verschlüsselungsverfahren. Das benötigt einen sogenannten Nonce-Wert, der sich nicht wiederholen darf. Ansonsten ist die Sicherheit dahin.

Google I/O IMHO Google wollte einen Whatsapp-Konkurrenten vorstellen. Leider hat man sich in Mountain View nicht getraut, was im wenige Kilometer entfernten Palo Alto offenbar kein Problem war. Denn die Verschlüsselung deckt nur einen Teil der Gespräche ab.
Von Hauke Gierow

Kriminelle bitten um Entschuldigung und stellen den Betrieb ihrer Ransomware ein. Was nach einem Traum klingt, ist wirklich passiert. Mit dem Masterschlüssel können jetzt alle Opfer von Teslacrypt ihre Dateien kostenfrei entschlüsseln.

IMHO Mit "eigenen, abgelegenen Servern in den Bergen von Colorado" will John McAfee verschlüsselte Whatsapp-Nachrichten gehackt haben. Leider alles Unsinn. Übrig bleiben tote Links bei Medienhäusern und ein bisschen Fremdschämen.
Von Hauke Gierow

Eine neue Version der Ransomware Jigsaw verschlüsselt Dateien mit der Endung .porno und hat auch einen Hintergrundbildschirm mit pornographischem Material. Wessen Rechner befallen ist, kann jetzt auch ohne Zahlung der geforderten Bitcoin seine Dateien retten.

Es ist ein bizarres Hin und Her: Signal-Entwickler Moxie Marlinspike soll den Gründern von Wire GPL-Urheberrechtsverletzungen vorgeworfen haben, diese beschuldigten ihn vor Gericht der Erpressung. Der Streit landete vor einem US-Gericht - und ist jetzt beendet.

Quantenkommunikationsnetze und sogar ein Quanteninternet: Die EU hat große Pläne für eine Technologie, die mit großspurigen Behauptungen beworben wird. Doch die dahinterstehenden Quantenschlüsselaustauschsysteme sind weder so sicher wie versprochen, noch lösen sie praktische Probleme.
Von Hanno Böck

Die jüngste Version von OpenSSL behebt eine kritische Sicherheitslücke: eine Neuauflage des sogenannten Padding-Oracle-Angriffs. Mehrere ältere Bugs ermöglichen außerdem zusammen eine Memory-Corrpution-Lücke.

Die brasilianische Justiz geht schon wieder gegen Whatsapp vor und sperrt den Dienst. Die eigentlich für drei Tage vorgesehene Sperre wurde nach einem Tag wieder beendet.

Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

Auch Android-Nutzer sind von Exploit-Kits bedroht. Eine kriminelle Gruppe nutzt mehrere bekannte Sicherheitslücken, um eine Ransomware auf den Smartphones zu installieren. Bezahlt werden soll über Itunes.

Ein supersicheres, superteures Smartphone: Das will das Startup Sirin ab dem kommenden Monat anbieten. Doch noch gibt es von dem Unternehmen nur eine schöne Webseite - keine Fakten über Gerät, Software oder Verschlüsselung.