Security
-
Anonymität: Sicher wie eine Hintertür mit neun Schlössern
Wie kann eine Verschlüsselung gleichzeitig sicher sein und eine Hintertür für Ermittler beinhalten? Die Krypto-Koryphäe David Chaum macht einen gefährlichen Vorschlag.
https://www.golem.de/news/anonymitaet-sicher-wie-eine-hintertuer-mit-neun-schloessern-1601-118424.html -
Firefox: Mozilla schmeißt SHA 1 raus - und gleich wieder rein
Das Ende von SHA 1 naht - doch jetzt gibt es einen Rückschritt beim Abschied von dem alten Algorithmus. Weil es in Firmennetzwerken Probleme mit TLS-Man-In-The-Middle-Proxys wie Antivirenscannern und Firewalls gibt, hat Mozilla die Zertifikate wieder aktiviert - vorerst.
https://www.golem.de/news/firefox-mozilla-schmeisst-sha-1-raus-und-gleich-wieder-rein-1601-118438.html -
Support-Scam: Dell-Nutzer werden mit falschen Support-Anrufen belästigt
Gefälschte Support-Anrufe sind ein großes Ärgernis für viele PC-Nutzer. Jetzt gibt es eine neue Masche, die gezielt Dell-Nutzer anspricht. Möglicherweise hängen die Anrufe mit den von Dell im vergangenen Jahr installierten SSL-Zertifikaten zusammen.
https://www.golem.de/news/support-scam-dell-nutzer-werden-mit-falschen-support-anrufen-belaestigt-1601-118435.html -
CMS: Kritische Lücken im Update-Prozess von Drupal
Die automatischen Updates von Drupal können so manipuliert werden, dass recht leicht Malware eingeschleust werden kann. Bekannt ist dies wohl schon seit Jahren, Lösungen dafür werden nun erneut diskutiert.
https://www.golem.de/news/cms-kritische-luecken-im-update-prozess-von-drupal-1601-118431.html -
XMPP: Jabber könnte neue PGP-Verschlüsselung bekommen
Das Chat-Protokoll Jabber, offiziell XMPP, könnte endlich eine native Ende-zu-Ende-Verschlüsselung auf Basis von OpenPGP bekommen. Die Entwickler arbeiten bereits an einer Referenzimplementierung.
https://www.golem.de/news/xmpp-jabber-koennte-neue-pgp-verschluesselung-bekommen-1601-118429.html -
Android: Sicherheits-Patches für viele Nexus-Geräte angekündigt
Google hat eine Reihe älterer Sicherheitslücken in Android geschlossen und bietet entsprechende Patches für etliche Nexus-Geräte an. Die drahtlos verteilten Updates sollen diese Woche beginnen.
https://www.golem.de/news/android-sicherheits-patches-fuer-viele-nexus-geraete-angekuendigt-1601-118399.html -
Let's Encrypt: Kostenlose Zertifikate angeblich auch für Malware
Let's Encrypt erstellt vermeintlich Zertifikate für Domains, über die Malware verteilt wird. Das zumindest behauptet ein Anti-Viren-Hersteller, der gleichzeitig eine konkurrierende Zertifizierungsstelle ist. Das beschriebene Problem scheint jedoch ganz andere Hintergründe zu haben.
https://www.golem.de/news/let-s-encrypt-kostenlose-zertifikate-angeblich-auch-fuer-malware-1601-118398.html -
Gerichtsurteil: Eltern erben Facebook-Konto des Kindes
Auch die Kommunikation mit Dritten ist betroffen, wenn der Zugang zu einem Facebook-Konto übertragen wird - und damit möglicherweise sensible Daten. Trotzdem haben Eltern grundsätzlich ein Recht auf Einblick in den Account eines verstorbenen Kindes, urteilt ein Gericht in Deutschland.
https://www.golem.de/news/gerichtsurteil-eltern-erben-facebook-konto-des-kindes-1601-118389.html -
MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus
Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.
https://www.golem.de/news/md5-sha1-sloth-angriffe-nutzen-alte-hash-algorithmen-aus-1601-118381.html -
Tschechien: Rechte Hacker knacken E-Mail-Konto von Regierungschef
Tschechiens Ministerpräsident Sobotka hat wieder Ärger mit rechten Hackern. Offenbar war sein privates E-Mail-Postfach nicht ausreichend geschützt.
https://www.golem.de/news/tschechien-rechte-hacker-knacken-e-mail-konto-von-regierungschef-1601-118339.html -
Matthew Garrett: Apple-Rechner eignen sich nicht für vertrauliche Arbeiten
Zwar kann mit UEFI Secure Boot und TPMs der Startprozess von Windows- und Linux-Rechnern einigermaßen abgesichert werden - dies ließe sich aber verbessern, sagt Security-Experte Matthew Garrett. Katastrophal sei die Lage dagegen bei Apple.
https://www.golem.de/news/matthew-garrett-apple-rechner-eignen-sich-nicht-fuer-vertrauliche-arbeiten-1601-118332.html -
Fail0verflow: Code von Linux-Port auf PS4 verfügbar
Auf Github stehen erste Teile des Codes der Linux-Portierung auf die Playstation 4 bereit, sogar die 3D-Beschleunigung funktioniert inzwischen. Jailbreaks sollen aber explizit nicht angeboten werden.
https://www.golem.de/news/fail0verflow-code-von-linux-port-auf-ps4-verfuegbar-1601-118305.html -
VBB-Fahrcard: Busse speichern seit mindestens April 2015 Bewegungspunkte
Die VBB-Fahrcard ist schon seit langem in der Lage, Bewegungsdaten zu speichern, wie wir anhand einer eigenen Karte nachvollziehen konnten und auflisten. Mitte des Jahres wurde das System für die BVG-Busse noch verändert. Seither speichern die Busse auch eine "Permit-ID".
https://www.golem.de/news/vbb-fahrcard-busse-speichern-seit-mindestens-april-2015-bewegungspunkte-1601-118269.html -
Ed25519: Mehrfach genutzte SSH-Keys auf Hetzner-Servern
Auf den Installationsimages für Server der Firma Hetzner fanden sich für mehrere Monate vorinstallierte SSH-Keys. Die betroffenen Server sind somit für Man-in-the-Middle-Angriffe anfällig.
https://www.golem.de/news/ed25519-mehrfach-genutzte-ssh-keys-auf-hetzner-servern-1512-118280.html -
Jailbreak: Linux und Pokémon auf der Playstation 4
Die bekannte Hackergruppe Fail0verflow hat es geschafft, auf der Playstation 4 sowohl Linux als auch - per Emulation - eine ältere Version von Pokémon auszuführen.
https://www.golem.de/news/jailbreak-linux-und-pokemon-auf-der-playstation-4-1512-118279.html -
W^X: Firefox nutzt Sicherheitsfunktion aus OpenBSD
Das OpenBSD-Projekt sichert seinen Browser ab, indem der genutzte Speicher entweder beschreibbar oder ausführbar (W^X) gemacht wird. Nach OpenBSD nutzt dies nun auch Firefox Nightly für Javascript-Code.
https://www.golem.de/news/w-x-firefox-nutzt-sicherheitsfunktion-aus-openbsd-1512-118276.html -
Zeitschriftenverleger: Adblock-Anbieter sind "erpresserische Geschäftemacher"
Der Verband der Zeitschriftenverleger wettert gegen die Anbieter von Werbeblockern. Trotz einer einstweiligen Verfügung ist das Programm Adblock weiter erhältlich.
https://www.golem.de/news/zeitschriftenverleger-adblock-anbieter-sind-erpresserische-geschaeftemacher-1512-118274.html -
E-Mail-Konten: Microsoft warnt Nutzer vor staatlichen Angriffen
Warnungen bei Hacking-Versuchen auf Outlook-Konten gibt Microsoft schon länger aus. Jetzt geht das Unternehmen noch einen Schritt weiter: Stecken mutmaßlich staatliche Stellen hinter dem Angriff, werden die Kunden ab sofort explizit darauf hingewiesen.
https://www.golem.de/news/e-mail-konten-microsoft-warnt-nutzer-vor-staatlichen-angriffen-1512-118272.html -
Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert
Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.
https://www.golem.de/news/epic-fail-collection-wie-man-einen-ddos-angriff-nicht-verhindert-1512-118268.html -
Crypto Wars II: Der neue Tanz um den Goldenen Schlüssel
Der Geheimdienstausschuss des US-Senats plant offenbar eine gesetzliche Pflicht für Hintertüren in Verschlüsselungsprogrammen. Aktivisten sind aber der Ansicht, auch die nächsten Crypto Wars gewinnnen zu können.
https://www.golem.de/news/crypto-wars-ii-der-neue-tanz-um-den-goldenen-schluessel-1512-118267.html
