31C3 Ein USB-Stick, der als Datentresor dient: Das war die ursprüngliche Idee hinter USB Armory. Daraus entstand ein winziger, sicherer Rechner, auf dem ein VPN-Tunnel oder sogar eine Tor-Brücke eingerichtet werden kann.
Update Das IT-Sicherheitsgesetz soll eigentlich die kritische Infrastruktur schützen. Neue Vorschriften gibt es aber auch für alle kommerziellen Betreiber von Internetseiten wie Webshops und Medien. Noch bleiben viele Fragen offen.
Canonical stellt mit Ubuntu Core eine minimale Version seines Betriebssystems bereit. Damit sollen beispielsweise Docker-Anwendungen genutzt werden können. Die erste unterstützte Cloud-Plattform ist Microsofts Azure.
Um die Sicherheit in der IT-Infrastruktur bei Sony soll es bereits seit längerem schlecht bestellt gewesen sein. Die Malware, vor der das FBI im Zuge des Sony-Hacks gewarnt hat, wurde von Kaspersky analysiert und hat jetzt einen Namen.
Update Wie viele Nutzerdaten dürfen zum Schutz der IT-Sicherheit gespeichert werden? Die geplanten Regelungen des neuen Gesetzes stiften Verwirrung und werden heftig kritisiert.
Für eine schwere Sicherheitslücke in sämtlichen Windows-Versionen hat Microsoft einen Patch veröffentlicht. Betroffen sind Windows-Rechner, die einen Web- oder auch einen FTP-Server betreiben.
Das in C++ geschriebene Framework Proxygen von Facebook unterstützt HTTP/1 und SPDY, HTTP/2 soll folgen. Einen Ersatz für Apache oder Nginx bietet der Open-Source-Code trotz Server aber nicht.
Apple liefert jetzt einen Patch für Shellshock aus. Der behebt zwar nicht alle bekannten Bugs im Funktionsparser von Bash, aber das ist vermutlich kein Sicherheitsproblem.
Update Inzwischen wird die Bash-Sicherheitslücke Shellshock zur Verbreitung von Malware ausgenutzt. Die erste Korrektur war offenbar unvollständig. Wir haben die wichtigsten Hintergründe zu Shellshock zusammengefasst.
In Apples Supportforen häufen sich Berichte von Anwendern, die über langsame oder gar ausbleibende WLAN- und Datenverbindungen bei ihren iPhones klagen: Sie haben auf iOS 8 aktualisiert und besitzen vornehmlich ältere Geräte.
Das Entwicklerboard Linkit One im Arduino-Look basiert auf dem SoC Aster von Mediatek und bietet Wifi, GSM und GPS. Darauf läuft das echtzeitfähige Betriebssystem Linkit.
Keine Plug-Ins, aber immerhin iOS-8-Extensions werden von der neuen Chrome-Version unterstützt, die Google für das iPhone und das iPad veröffentlicht hat.
Bei der mobilen Version der Sendungsverfolgung von DHL führte ein falsch konfigurierter Webserver dazu, dass fremde Paketdaten einsehbar waren. Die Post hat einen Bericht dazu bestätigt.
Das FreeBSD-Team hat eine Sicherheitslücke im TCP-Stack des Kernels geschlossen. Sie hat sich über eine seit zehn Jahren bekannte Schwachstelle im TC-Protokoll ausnutzen lassen.
Qnaps Mini-NAS für die Hosentasche sieht aus wie ein alter iPod mit zu kleinem Display. QGenie soll deutlich mehr Flexibilität bieten als viele WLAN-Festplatten und USB-Sticks - fast wie ein Heim-Netzwerk. Doch scheitert das an sich gute Konzept vor allem an einem.
Nach dem ersten ARM-Chip von AMD denkt das Unternehmen über kundenspezifische Lösungen nach. Wie schon bei den SoCs für Xbox One und PS4 sollen die Gerätehersteller bestimmen können, welche Leistung und welche Schnittstellen sie benötigen.
Black Hat 2014 Antoine Delignat-Lavaud präsentierte auf der Black Hat 2014 mehrere neue Sicherheitsprobleme in HTTPS, die zum Großteil auf bekannten Schwächen basieren. Es sind Ergebnisse eines Forschungsprojekts, das versucht, die Sicherheit von TLS mathematisch zu formalisieren.
Die Vision des Internets der Dinge ist die Steuerung technischer Geräte von überall und unabhängig von bestimmten Werkzeugen. Golem.de zeigt einen flexiblen Weg, fernbedienbare Geräte von überall zu steuern.
Der Webmail-Client Rainloop benutzt moderne Webtechniken und steht als Standalone-Version oder für die Integration in Owncloud bereit. Die gewählte Creative-Commons-Lizenz ist aber eher ungewöhnlich für ein derartiges Projekt.
Das bisher von Google gepflegte Apache-Modul für das SPDY-Protokoll ist nun offizieller Teil des Webservers. Das Modul soll Kernbestandteil der Version 2.4 und kommender Veröffentlichungen werden.
Wer nicht will, dass seine Daten irgendwo auf fremden Servern liegen, sollte sie nach Hause holen. Wir erklären, wie ein eigener kleiner Server für Cloud-Daten eingerichtet wird. Er könnte auch E-Mails sammeln und als Media-Server dienen.
Fast unbemerkt haben Entwickler eine weitere Sicherheitslücke in der Kryptobibliothek GnuTLS geschlossen. Anwendungen, die die Bibliothek nutzen, müssen jedoch ebenfalls angepasst werden.
Cocktails zuzubereiten, ist roboterleicht: Bar Mixvah zieht sich die Zutaten aus fünf Flaschen und mischt sie zu einem schmackhaften Getränk. Der Roboter ist explizit zum Nachbau empfohlen.
Das Repräsentantenhaus der USA hat mit großer Mehrheit den "USA Freedom Act" akzeptiert. Wenn das Gesetz auch den Senat passiert, müssen Telefongesellschaften Metadaten speichern - und nicht mehr die NSA selbst. Geplant war aber eine viel weiter gehende Reform.
Update Die Deutsche Telekom warnt vor gefälschten Rechnungen, die in ihrem Namen verschickt werden. Sie fordern zum Download einer Schadsoftware auf, die noch nicht von allen Virenscannern erkannt wird. Dabei ist es sehr leicht, das Schreiben als Fälschung zu erkennen.
Shells Bonusprogramm mit der Möglichkeit, ein Kindle Paperwhite günstig gegen Prämienpunkte zu tauschen, hat in einem Shitstorm geendet, weil die Server dem Ansturm nicht standgehalten haben. Schließlich hieß es, dass der E-Book-Reader vergriffen sei. Die Aktion wurde ein PR-Desaster für Shell.
Seafile ist neben Owncloud eine weitere bekannte Alternative zu Dropbox. Damit lassen sich Dateien auf einem zentralen Server zur Synchronisierung mit verschiedenen Geräten ablegen. Wir haben uns die Installation genauer angesehen.
Die neue "Stable"-Version 1.6 des Webservers Nginx unterstützt das Protokoll SPDY 3.1 sowie IPv6 für DNS. Für diese Version behebt das Team nur kritische Fehler.
Fitness-Armbänder, Heimautomation und Überwachung: BluetoothLE scheint der omnipotente Funkstandard zu sein. Golem.de zeigt, wie mit wenig Aufwand BluetoothLE erkundet und genutzt werden kann.
Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.
Im Zuge von Heartbleed sollen Serverbetreiber ihre Zertifikate erneuern und die alten zurückziehen. Das Problem dabei: Das bringt fast nichts, denn kein einziger Browser prüft die Gültigkeit der Zertifikate auf sichere Weise.
Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.
Ein Systemadministrator hat angeblich in einem Logfile vom November letzten Jahres Exploit-Code für den Heartbleed-Bug gefunden. Die EFF ruft andere Administratoren zu Nachforschungen auf.
Update Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.
Update Ein Fehler in OpenSSL lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist nicht mehr gewährleistet. Der Bug betrifft sehr viele Web- und Mailserver im Internet.
Der Tesla Model S ist mit einem industriellen LAN-Anschluss ausgerüstet, den ein Bastler an seinen Rechner angeschlossen hat. Auf dem 100-MBit-Netzwerk laufen Standardprotokolle. Tesla hat den Zugriffsversuch allerdings bemerkt und den versuchsfreudigen Autobesitzer kontaktiert.
Mit Voglperf lassen sich die Frameraten von Spielen unter Linux aufzeichnen und so analysieren. Valve hat nun eine erste Version veröffentlicht und will ein Paket für SteamOS erstellen.
Die Passwort Hashing Competition (PHC) sucht nach neuen Verfahren, um Passwörter sicherer zu speichern. 24 Vorschläge wurden in der ersten Runde eingereicht.
Mehr als 10.000 Linux- und Unix-Server sollen mit unterschiedlicher Malware infiziert worden sein und zusammen unter dem Namen Operation Windigo Spam weitere Malware sowie zweifelhafte Werbung ausliefern.
Derzeit läuft ein komplexer Phishing-Angriff auf Google-Docs-Nutzer. Damit wollen Angreifer möglichst viele Zugangsdaten von Google-Nutzern abgreifen. Die betreffende Anmeldeseite ist der von Google sehr ähnlich - samt SSL-Verschlüsselung.
Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.
In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.
Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple-Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.
