Quelleninformationen

Ein Android-Schädling bittet seine Opfer inklusive Personalausweis vor die Kamera.

Der Online-Dienst entfernte kommentarlos die Liste eines Sicherheitsforschers mit URLs zu Online-Shops mit Skimming-Malware. Auch Gitlab löschte die Auflistung, gestand kurz darauf aber einen Fehler ein.

Vom 18. bis zum 20. Oktober präsentieren im Messezentrum Nürnberg mehr als 470 Aussteller ihre Produkte und Dienstleistungen aus Bereichen wie Cloud Computing, IT Forensik, Datensicherung oder Hosting. Auch die c't-Krypto-Kampagne ist vor Ort.

Die Schweizer pEp-Stiftung hat das Code-Audit der pEp-Engine durch die Kölner Firma Sektioneins veröffentlicht. Sektioneins entdeckte einige Fehler und wurde beauftragt, bei jedem relevanten Update den Code neu zu prüfen.

Rund die Hälfte der Webseiten wird mittlerweile per HTTPS verschlüsselt zum Nutzer übertragen. Das ergeben Zahlen von Google und Mozilla.

Durch eine ungeschützte MongoDB-Datenbank des texanischen Dienstleisters Modern Business Solutions sind mindestens 58 Millionen Einträge aus der Automobilbranche und Personalvermittlung geleakt.

Die nächsten IoT-Gerätchen werden von Botnets vereinnahmt: Die Modems von Sierra Wireless werden aber nicht über eine Sicherheitslücke übernommen, sondern über unverändert gelassene Standard-Passwörter.

Erneut steht der Kryptowährung ein harter Fork bevor. Der soll zum Schutz vor DOS-Attacken dienen, die seit rund drei Wochen das Ethereum-Netzwerk verlangsamen.

Um an eine gehackte Version von Pokemon Go heranzukommen, installieren anscheinend immer mehr Jugendliche den dubiosen "Tutuapp"-Store auf ihren iPhones und Android-Smartphones. Der Weg für Malware ist dann frei.

Aktuell warnen einige Webbrowser davor, dass Verbindungen zu Webseiten wie etwa Wikipedia nicht mehr gesichert sind, da mit dem Zertifikat der Seite etwas nicht stimmt.

13.500 Soldaten und Zivilisten soll die neue Cyber-Truppe der Bundeswehr umfassen, zu deren Chef nun der Generalmajor Ludwig Leinhos ernannt wurde. Zuvor leitete er den Aufbaustab der Truppe.

Akamai warnt davor, dass Kriminelle unvermindert Millionen IoT-Geräte für DDoS-Attacken missbrauchen. Die dafür ausgenutzte Schwachstelle ist älter als ein Jahrzehnt. Viele Geräte sollen sich nicht patchen lassen.

Vor fünf Jahren hat Facebook sein Bug-Bounty-Programm gestartet und seitdem tausenden von Sicherheitsforschern Prämien gezahlt. Das Programm umspannt immer mehr Produkte des Unternehmens.

Sicherheits-Patches für das Shop-System schließen mehrere Lücken. Zwei davon gelten als kritisch.

Ein Forscherteam hat aufgezeigt, dass man durch geschickte Konstruktion einer Primzahl eine Hintertür in Verschlüsselungsverfahren einbauen kann. Nicht auszuschließen, dass dies bei etablierten Verfahren längst passiert ist.

Die DARPA lässt für 1,8 Millionen US-Dollar eine Sicherheitstechnologie prüfen, die auf dem dezentralen Datenbankregister Blockchain basiert und künftig Raketen oder Satelliten abschirmen könnte.

Online-Kriminelle greifen derzeit vermehrt Kreditkarten-Daten auf Webseiten von Online-Shops ab, berichtet ein Sicherheitsforscher.

Über ein Schlupfloch könnten Angreifer im Namen von legitimen Nutzern chatten. Neben dieser kritischen Lücke stopft der Netzwerk-Ausrüster noch fünf mittelschwere Schwachstellen.

Eine Analyse des Chaos Computer Club Hannover offenbart, was die neue WLAN-Technik in ICEs über eingeloggte Nutzer preisgibt. Der für die Technik verantwortliche Anbieter Icomera hat offensichtlich einige Sicherheits-Grundlagen nicht berücksichtigt.

Popup-Werbung gaukelt ein ernstes Computerproblem vor und führt auch gleich zur angeblichen Abhilfe: Teurer Tech-Support, der keiner ist. Alleine in den USA gibt es Tausende Opfer pro Jahr. Der US-Behörde FTC reicht es jetzt.

D-Link will mehrere Hintertüren im LTE-Alptraum-Hotspot DWR-932 (Revision B1) schließen. Andere Lücken will die Firma allerdings nicht angehen, da sie diese nicht für beachtenswert hält.

Alternatives Betriebssystem will Android-Geräte sicherer machen.

Durch die Kombination von zwei Lücken lassen sich Passwörter abgreifen und eigene Kommandos ausführen.

Diesen Monat stopft Adobe insgesamt 83 Sicherheitslücken in Acrobat, Flash und Reader. Das Flash-Update sollte man zügig installieren.

Ab diesem Monat verteilt Microsoft Updates (fast) nur noch als kumulative Rollup-Pakete. Mit verschiedenen Patches flickt der Konzern Lücken in Windows & Co. Aktuell sollen fünf Lücken aktiv unter Beschuss stehen.

Nach dem Einspielen einer falschen Firmware, die Windows 10 automatisch per Windows Update installiert, booten Mini-PCs von Typ Minix NEO Z64W mit Atom Z3735F nicht mehr.

Nach der Razzia gegen Deutschlands größten Untergrund-Shop für Drogen hat die Staatsanwaltschaft Anklage gegen sechs Personen erhoben ? darunter auch ein ehemaliger Fußball-Profi.

Die beiden Kostenlos-CAs bekommen jeweils eine neue Firmenspitze und sollen komplett voneinander getrennt werden. Damit soll das verlorene Vertrauen zurückgewonnen werden.

In einem Hacker-Forum ist der Code aufgetaucht, mit dem Angreifer ein riesiges IoT-Botnet versklavt haben, um die bisher größte dokumentierte DDoS-Attacke auszuüben.

Die Hintermänner der Ransomware haben ihren Schädling optimiert und das kostenlose Entschlüsselungs-Tool unbrauchbar gemacht. Zudem verspotten Sie Sicherheitsforscher öffentlich.

Vor zwei oder drei Jahren sollen Hacker ein unbekanntes Atomkraftwerk gestört haben. Wie oder warum weiß alleine die Internationale Atomenergie-Organisation.

Nachdem es ursprünglich im Sommer losgehen sollte, lieferte der Hersteller cz.nic doch erst Ende September die ersten Turris-Omnia-Router aus. Vor ein paar Tagen wurde bereits das tausendste Exemplar verschickt.

Ein Pen-Testing-Tool kann nicht nur Sicherheitslücken finden, sondern auch selbst welche haben.

Die Computeruhr, die von mehreren Ministern getragen wird, könne als Spionageinstrument von russischen Angreifern verwendet werden, fürchtet die Regierung.

Wichtige Sicherheits-Updates sollen VMware Horizon View unter Windows sicherer machen.

Die vernetzten Geräte des Internet of Things (IoT) sammeln und verarbeiten immer mehr Daten, versagen jedoch häufig beim Schutz dieser Daten. Ein ausführlicher Leitfaden will bei der Entwicklung sicherer Geräte helfen.

Der Sicherheitsforscher Patrick Wardle hat einen Demo-Exploit entwickelt, der Kamera- und Mikrofondaten mitschneiden kann, während Chats laufen.

Mit Apples neuem Betriebssystem macOS Sierra werden zahlreiche Lücken gestopft, die in der Vorversion stecken. Doch ein eigenes Update für OS X El Capitan hat der Hersteller noch nicht publiziert.

Der Netzwerkausrüster kümmert sich um zwei als kritisch eingestufte Sicherheitslücken in Switches der Nexus-Serie und verteilt Sicherheits-Patches für 15 weitere Schwachstellen in verschiedenen Produkten.

Nach der Konferenz vom Fleck weg engagiert.

Der Johns-Hopkins-Professor Matthew Green will ein Buch über aktuelle Schutzmechanismen schreiben - beispielsweise von Geldautomaten. Das könnte Probleme mit dem Digital Millennium Copyright Act provozieren.

Eigentlich soll die Knox-Plattform Samsung-Smartphones sicherer und so für den Einsatz in Unternehmen tauglich machen. Doch mehrere Sicherheits-Lücken untergraben das Konzept.

Eine App auf Goole Play gab sich als Helferlein für das erfolgreiche Spiel "Clash Royale" aus. Doch statt der versprochenen Juwelen gab es teure Rechnungen. Olivia von Westernhagen analysiert den Trojaner.

Mit einer Art Dementi reagiert Yahoo auf einen Bericht, wonach es für einen US-Geheimdienst widerstandslos alle Kundenmails gescannt haben soll. Die beschriebene Software existiere in Yahoos Systemen nicht. Ob sie 2015 installiert war, lässt Yahoo of...

Mit Hilfe des Banking-Trojaners Dridex haben sich zwei Männer 2,5 Millionen Pfund beschafft. Nun wurden sie von einem Londoner Gericht für einige Jahre ins Gefängnis geschickt.

Die Horst Görtz Stiftung vergibt zum sechsten Mal 200.000 Euro für zukunftsweisende umsetzbare Ideen. Erster Preisträger wird dieses Jahr Harvester, eine Software zur vollautomatischen Extraktion von Laufzeitwerten aus Android-Apps.

Aktuell häufen sich Hinweise, dass Kriminelle verstärkt über gekaperte Steam-Accounts Links zu Webseiten mit Trojanern verschicken.

Der Hacker oder die Hackergruppe OurMine hat in den vergangenen Monaten einige Social-Media-Accounts von Prominenten übernommen und darauf gepostet. Nun will Buzzfeed seine Identität enttarnt haben und wurde daraufhin gleich selbst zum Ziel.

Mit Hilfe des Banking-Trojaners Dridex haben sich zwei Männer 2,5 Millionen Pfund beschafft. Nun wurden sie von einem Londoner Gericht für einige Jahre ins Gefängnis geschickt.

Sicherheitsforscher warnen vor einer neuen Version der Ransomware, die nun unter anderem auch bestimmte laufende Prozesse beenden kann, um so Datenbanken in ihre Fänge zu bekommen.

Eine Lücke im Parser für das JPEG2000-Format bedroht vor allem PDF-Anwendungen.

Aus einem Entwurf für eine Kooperationsvereinbarung zwischen Innenministerium, BSI und noch nicht benannten Firmen geht hervor, dass Firmen IT-Spezialisten für Notfalleinsätze bereitstellen sollen.

Die Entwickler schließen mehrere kritische Lücken in den Linux-, OS-X- und Windows-Versionen.

Animas verkauft Diabetes-Patienten eine Insulinpumpe, die per Fernbedienung gesteuert werden kann. Die dafür nötige Funkverbindung ist jedoch nicht sicher, warnt das US-Unternehmen nun.

Mehrere tausend Mal werden die Netzwerke des Bundes täglich aus dem Internet attackiert. Verteidigungsministerin von der Leyen stellt nun eine Cyber-Armee zur Verteidigung auf. Andere Länder sind schon viel weiter.

Worst Case für die chinesische Zertifizierungsstelle WoSign: Apple hat ihr und ihrem israelischen Ableger StartCom das Vertrauen entzogen. Mozilla könnte bald folgen.

Sicherheitsforscher warnen vor getarnten Android-Spionage-Apps, die aus Firmen-Netzwerken Informationen absaugen sollen.

Die im Jahr 2012 von Hackern kopierte Dropbox-Datenbank ist online aufgetaucht. Die darin enthaltenen Passwörter sind zwar geschützt, etwa die Hälfte jedoch nur mit dem als nicht mehr sicher geltenden SHA1-Verfahren.

Während Yahoo nach der jüngsten Überwachungsenthüllung lediglich darauf verweist, sich an geltendes US-Recht zu halten, distanziert sich die Konkurrenz klar. Microsoft, Google, Apple und andere versichern, nicht in derartiger Weise E-Mails zu scannen...

Der Messenger Signal genießt in der Kryptogemeinde einen guten Ruf, weil er bisher vielen Suchen nach Schwachstellen standgehalten hat. Nun haben die Entwickler öffentlicht gemacht, wie sie an anderer Front den Überwachern entgegentreten.

Yahoo soll für US-Dienste neue Software geschrieben, sie hinter dem Rücken der eigenen Security-Abteilung installiert und damit alle Kundenmails gescannt haben. Juristische Gegenwehr gab es offenbar keine. Ob die Überwachung andauert, ist nicht bekan...

Online-Zahlungen können bald biometrisch bestätigt werden. Einen Fingerabdruck oder ein Selfie hätte Mastercard gerne. Los geht es in Deutschland, Österreich und zehn weiteren europäischen Ländern.

Die Enterprise-Storage-Systeme sind anfällig für Angriffe aus dem eigenen Netzwerk. Angreifer können die Kommunikation des Unisphere-Managers manipulieren und sich so vollen Zugriff zu den Netzwerkspeichern verschaffen.

Ein Sicherheitsforscher, der eine ganze Reihe schwerwiegende Sicherheitslücken in dem Gerät entdeckt hat, empfiehlt Besitzern, es zu entsorgen. D-Link verspricht Patches, sagt aber nicht, wann diese zu erwarten sind.

Das BKA will den Einsatz des Bundestrojaners auf Smartphones und Tablets ausweiten. Das geht aus Haushaltsunterlagen des Bundestages hervor, die Süddeutsche Zeitung, NDR und WDR einsehen konnten.

Ab 3. Oktober agieren beide Unternehmen unter dem Namen Avast. Dessen ehemaliger Chef leitet das Ganze; der AVG-CEO geht.

Die c't-Redaktion hat verschiedene Bugs in Desinfec't 2016 ausgemerzt. Davon profitiert auch die aktuelle Version Desinfec't 2016/17.

Im EU-Rat wird erneut darüber diskutiert, ob Verschlüsselung eingeschränkt werden sollte. Aus Sicht des Bundesinnenministeriums besteht derzeit aber für eine EU-weite Harmonisierung der Kryptopolitik kein Anlass.

Letztes Jahr zahlte die Firma, die ihre Bugs an Regierungen, Militär-, Finanz- und Technikfirmen verkauft, bereits eine Million für einen iOS-9.1/9.2-Einbruch.

Ein aktueller Patch für die Windows-Version von Street Fighter V bringt Maßnahmen gegen Cheater mit, deaktiviert dafür aber temporär einen essentiellen Sicherheits-Mechanismus von Computern. Mittlerweile soll ein Fix das Problem aus der Welt schaffen...

Ein aktueller Patch für die Windows-Version von Street Fighter V bringt Maßnahmen gegen Cheater mit, deaktiviert dafür aber einen essentiellen Sicherheits-Mechanismus von Computern. Mittlerweile soll ein Fix des Sicherheits-Problem aus der Welt schaf...

Das Hacker-Magazin 2600: The Hacker Quarterly will Donald Trumps Steuererklärung in die Finger bekommen. Wer das schafft, bekommt 10.000 US-Dollar. Auch der Präsidentschaftskandidat darf teilnehmen.

Unter bestimmten Voraussetzungen sollen Angreifer ohne viel Aufwand Email Security Appliances kapern können. Cisco stuft die Sicherheitslücke mit dem höchsten Bedrohungsgrad ein.

Die Sicherheitsfirma InfoArmor widerspricht der Aussage Yahoos, dass hinter dem Hack gegen das Internet-Unternehmen staatliche Akteure stecken. Außerdem gibt die Firma an, erste Passwörter geknackt zu haben.

Bei einer Kontaktaufnahme über Apples Nachrichten-App speichert das Unternehmen Informationen zum Absender und dem möglichen Empfänger, die Metadaten werden auch an Strafverfolger herausgegeben. Der Inhalt der Nachrichten ist Ende-zu-Ende-verschlüsse...

Höher, schneller, weiter: Ein stetig wachsendes IoT-Botnet soll die Server eines französischen Web-Hosters mit gewaltigen Datenmengen bombardiert haben. Dabei handelt es sich offensichtlich um den bisher größten dokumentierten DDoS-Angriff.

Sicherheitsforscher warnen vor einer Banking-Malware, deren Funktionsumfang sämtliche Träume von Kriminellen erfüllen dürfte: Der Trojaner kann im Grunde alles mit infizierten Android-Geräten anstellen.

Ein Verschlüsselungs-Trojaner nennt sich Donald Trump und macht seinen Job schlecht.

Bereits 2005 soll der Bundesnachrichtendienst auf eine Hintertür in Überwachungskameras gestoßen sein. Die sendeten wohl Daten an den US-Geheimdienst NSA. Konsequenzen hatte das keine, denn der BND habe das verheimlicht, berichten deutsche Medien.

Security-Blogger Brian Krebs war von einem der größten DDoS-Angriffe der Geschichte überrascht worden. Nachdem Akamai die Segel gestrichen hatte, schützt nun Google seine Webseite im Namen der Meinungsfreiheit.

Mit dem Facebook Messenger kann man jetzt verschlüsselte Chats führen. Das erhöht die Privatsphäre, wirkt sich aber negativ auf den Komfort aus. Und einen verschlüsselten Chat zu starten, ist etwas umständlich.

Admins sollten aufpassen, welche abgesicherten OpenSSL-Versionen sie einspielen: Die Patches aus der vergangenen Wochen haben zwei weitere Lücken aufgerissen. Aktualisierte Versionen stehen bereit.

iPhone-Nutzer können den Messenger mit Ende-zu-Ende-Verschlüsselung jetzt auch im Browser Chrome auf einem Notebook oder Desktop-Computer einsetzen.

Grund für das Update des Webframeworks ist eine Schwachstelle, die im Zusammenspiel mit Google Analytics Djangos CSRF-Schutz angreifbar macht. Das aktuelle Django 1.10 ist nicht betroffen, und ältere Varianten als 1.8 erhalten keine Security-Patches ...

Aktuell sind extrem gut gemachte Phishing-Mails unter dem Deckmantel des fünfzehnten Geburtstags von Payback im Umlauf. Doch dieser Geburtstag war schon im vergangenen Jahr.

Eine Schwachstelle macht Brute-Force-Angriffe auf verschlüsselte iTunes-Backups von iOS-10-Geräten weniger zeitintensiv. Apple ist das Problem bekannt ? und betont, dass iCloud-Backups davon nicht betroffen sind.

Heise Medien ermöglicht nun den verschlüsselten Zugriff auf ihre Online-Dienste mittels HTTPS. Eingeschlossen sind alle Seiten und alle üblichen Domains wie heise.de, ct.de oder ix.de. Damit werden etwa Zensur und Phishing-Angriffe erschwert.

Sicherheitsforscher haben eine Schwachstelle in passwortgeschützten iOS-10-Backups entdeckt, mit der sich Brute-Force-Attacken auf die iTunes-Backups von iPhones und iPads deutlich schneller ausführen lassen.

Ein Unbekannter hat britischen Boulevardzeitungen private Fotos von Pippa Middleton zum Kauf angeboten, die angeblich aus ihrem iCloud-Account stammen. Ein Verdächtiger wurde bereits festgenommen.

Wegen der Unterstützung terroristischer Organisationen soll der 20-jährige Kosovare Ardit Ferizi in den USA für 20 Jahre ins Gefängnis.

Der Bundesrat hat einen Gesetzentwurf zur "Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme" in den Bundestag eingebracht. Er will so wirksamer gegen kriminelle Botnetze vorgehen.

Die Denial-of-Service-Angriffe auf Brian Krebs wegen seiner Berichterstattung zu dem Thema reißen nicht ab. Jetzt musste mit Akamai sogar einer der größten Anti-DDoS-Anbieter die Segel streichen.

Vor einem Monat war die NSA von einer Hackergruppe bloßgestellt worden, als jede Menge Hacking-Werkzeuge im Netz landeten. Bei der Ermittlung der Hintergründe konzentriert sich das FBI nun angeblich auf eine Unachtsamkeit statt eines gezielten Angrif...

Im Herbst 2015 hat sich die Einheit Computernetzwerkoperationen (CNO) in die internen Netze eines afghanischen Mobilfunkbetreibers gehackt, berichtet der "Spiegel".

Vor Erscheinen der App hat Google den Privatsphäre-Fokus seines neuen Messengers Allo heftig beworben. Jetzt wird klar: Das war hauptsächlich heiße Luft. In der Praxis wird Google fast alle Nachrichten von Allo-Nutzern speichern und analysieren.

Als Dank für seine Berichterstattung über den Booter-Dienst vDoS bekam es Brian Krebs nun mit einem der größten DDoS-Angriffe der Geschichte zu tun. Krebs ist auf Grund seiner Recherchen allerdings Leid gewöhnt.

Bei Yahoo wurden Ende 2014 Daten von 500 Millionen Usern abgegriffen. Diesen GAU gestand Yahoo am Donnerstag ein. Das Unternehmen vermutet einen "staatlich finanzierten" Angreifer dahinter.

Kriminelle hieven ihre Geräte zum Abgreifen von Kartendaten offensichtlich auf ein neues Level: Schon heute sollen biometrische Erkennungsverfahren keine Hürde mehr für Skimming-Module darstellen.

Über mehrere Lücken können Angreifer Server lahmlegen, die OpenSSL einsetzen. Updates stehen bereit.