Podcasts about die sicherheitsl

Unsere Sommer-Konferenzreihe 2024 geht mit einem Knall zu Ende, oder eher gesagt mit ein paar mehr – im Hintergrund unserer Aufnahme. Denn das USENIX Security Symposium 2024 in Philadelphia war ziemlich gut besucht und einen geeigneten Ort für die Aufnahme zu finden, nicht ganz so einfach. Aber hey, das ist live. Adrian und Gabriel haben uns Einblicke in ihre Forschung zu zum Mobilfunkprotokoll Voice over WiFi gegeben, das sogenanntem WLAN-Calling zugrunde liegt. WLAN-Calling ermöglicht in modernen Smartphones, dass Telefonverbindungen nicht nur über das Mobilfunknetz, sondern auch über WLAN aufgebaut werden können. Ziel ist es, so auch an Orten mit schlechter Mobilfunkqualität wie etwa Tunneln, Kellern oder auf Bahnfahrten Erreichbarkeit zu garantieren. Zwei kritische Sicherheitslücken haben solche Calls aber leider in der Vergangenheit zu einer etwas unsicheren Angelegenheit gemacht. Die Sicherheitslücken sind inzwischen aber dank der Forscher geschlossen. Was bei den Calls von Seiten verschiedener Hersteller und Mobilfunkanbieter schief lief, wie die beiden darauf aufmerksam geworden sind und wie es dann weiter ging, erzählen Adrian und Gabriel uns in dieser deutschen Sonderausgabe von CISPA TL;DR.

Welchering, Peterwww.deutschlandfunk.de, Forschung aktuellDirekter Link zur Audiodatei

Eine geplante neue „Sicherheitsstrategie“ wird von den Grünen mit dem NATO-Konzept der Abschreckung in Verbindung gebracht. Dieses Konzept der Abschreckung umfasst auch eine „nukleare Teilhabe“ – darum werden auch in Büchel bei Koblenz US-Wasserstoff-Arsenale für den Atomkrieg bereitgehalten. Außerdem wird die Atomgefahr im Ukrainekrieg unterschätzt. Eine solche „Sicherheitsstrategie“ ist abzulehnen. Von Bernhard Trautvetter. Dieser BeitragWeiterlesen

Kloiber, Manfredwww.deutschlandfunk.de, Forschung aktuellDirekter Link zur Audiodatei

Trainiere dein Hörverstehen mit den Nachrichten der Deutschen Welle von Mittwoch – als Text und als verständlich gesprochene Audio-Datei.NATO-Krisenkräfte wegen Ukraine in erhöhter Alarmbereitschaft Wegen der russischen Truppenbewegungen an der Grenze zur Ukraine hat die NATO nach Informationen der Zeitung "Die Welt" mit einer ersten konkreten militärischen Maßnahme reagiert. Die Einsatzbereitschaft der schnellen Eingreiftruppe sei erhöht worden, berichtet das Blatt unter Berufung auf NATO-Diplomaten. Demnach müssen die als sogenannte NATO-Speerspitze bekannten Einsatztruppen seit diesem Montag innerhalb von fünf Tagen einsatzbereit sein für die Verlegung in ein Krisengebiet. Bislang mussten die Soldaten innerhalb von sieben Tagen bereitstehen. Belgisches Militär über IT-Sicherheitslücke angegriffen Das belgische Militär ist Ziel eines Cyberangriffs über die IT-Schwachstelle Log4j geworden. Ein Sprecher des Verteidigungsministeriums in Brüssel bestätigte, die mit dem Internet verbundenen Systeme des Ministeriums und der Armee seien am 16. Dezember kontaminiert worden. Teilweise seien sie weiterhin lahmgelegt. Die Sicherheitslücke ist vor knapp zwei Wochen entdeckt worden. In Deutschland rief das Bundesamt für Sicherheit in der Informationstechnik zuletzt Alarmstufe Rot wegen der Schwachstelle aus. Die Sicherheitslücke befinde sich in einer "unüberschaubar großen Zahl von Programmen". Deutscher Ethikrat mehrheitlich für Ausweitung der Impfpflicht Der Deutsche Ethikrat hält eine Ausweitung der gesetzlichen Impfpflicht gegen das Coronavirus für vertretbar - aber nur in bestimmten Ausnahmesituationen. Eine solche Maßnahme sei "nur zu rechtfertigen, wenn sie gravierende negative Folgen möglicher künftiger Pandemiewellen abzuschwächen oder zu verhindern vermag", heißt es in einer Stellungnahme, die der Ethikrat mit 20 Ja- und vier Gegenstimmen angenommen hat. Bei der Ausgestaltung sind die Mitglieder unterschiedlicher Meinung. Sieben Ratsmitglieder wollen die Impfpflicht nur auf Ältere und vorerkrankte Erwachsene ausweiten.13 Ratsmitglieder wollen sie auf alle impfbaren Erwachsenen ausdehnen. Biden ruft eindringlich zum Impfen auf Angesichts der rasanten Ausbreitung der Omikron-Variante des Coronavirus in den USA hat Präsident Joe Biden nochmals zum Impfen aufgerufen. Insbesondere, wenn man einen Booster bekommen habe, sei der Schutz sehr gut, sagte Biden im Weißen Haus. Er stellte gar seinen umstrittenen Amtsvorgänger Donald Trump als Vorbild hin. Dieser hatte am Sonntag in Texas erklärt, er sei geboostert worden. Die US-Regierung will den Bürgern 500 Millionen kostenlose Corona-Tests zur Verfügung stellen. Zudem sollen Mitglieder der Streitkräfte in Krankenhäusern aushelfen und so mehr Impfmöglichkeiten schaffen. Israel rät über 60-Jährigen zu vierter Corona-Impfung Die israelische Regierung rät Menschen über 60 Jahren und medizinischem Personal nun zu einer vierten Corona-Impfung. "Die Bürger Israels waren die ersten in der Welt, die die dritte Dosis des COVID-19-Impfstoffs erhalten haben, und wir leisten auch mit der vierten Dosis Pionierarbeit", sagte Ministerpräsident Naftali Bennett in Jerusalem. Das Kabinett beschloss wegen der Ausbreitung der Omikron-Variante auch neue Beschränkungen. Israel hat die vierte Corona-Welle hinter sich. Zuletzt stiegen die Infektionszahlen wieder. Nur rund 59 Prozent der 9,4 Millionen Israelis gelten noch als vollständig geimpft. Bis zu 100 Kumpel in Jade-Mine in Myanmar vermisst Nach einem Erdrutsch in einem Jade-Bergwerk im Norden Myanmars werden bis zu 100 Menschen vermisst. Die Minenarbeiter hatten laut Augenzeugen Steine in der jadereichen Gegend von Hpakant im Bundesstaat Kachin gesammelt, als sie von einer Schlammlawine begraben wurden. Zuvor seien Bergbauabfälle in einen See gestürzt und hätten den Erdrutsch ausgelöst. Myanmar ist einer der weltgrößten Lieferanten der grünen Schmucksteine. Die Branche ist kaum reguliert, tödliche Unfälle kommen daher immer wieder vor. 2020 kamen infolge einer Schlammlawine mehr als 170 Bergarbeiter ums Leben.

Selten kommt es vor, dass Sicherheitslücken in Software den Weg von Fachseiten zu Seiten der "Mainstream" Medien. Die Auswirkung der Lücke in log4j ist jedoch so groß und wichtig, dass man sie einfach erwähnen musste. Natürlich möchte ich dieses Thema auch hier im Podcast behandeln. Ich erkläre euch was dieses log4j eigentlich ist und wie die Sicherheitslücke ausgenützt wird. Weiters gibt es noch ein paar kleinere Tipps wie man sich schützen kann bzw. was man besser nicht tun sollte.

Selten kommt es vor, dass Sicherheitslücken in Software den Weg von Fachseiten zu Seiten der "Mainstream" Medien. Die Auswirkung der Lücke in log4j ist jedoch so groß und wichtig, dass man sie einfach erwähnen musste. Natürlich möchte ich dieses Thema auch hier im Podcast behandeln. Ich erkläre euch was dieses log4j eigentlich ist und wie die Sicherheitslücke ausgenützt wird. Weiters gibt es noch ein paar kleinere Tipps wie man sich schützen kann bzw. was man besser nicht tun sollte.

Die Sicherheitslücke, die Unternehmen weltweit in Gefahr gebracht hat, ist nach wie vor nicht geschlossen. Was genau ist eigentlich das Problem? Außerdem: Wie eine Streaming-Serie die Aktie eines Fitnessgeräteherstellers in Bedrängnis bringt.

Kommentare und Themenvorschläge gerne an @opensourcecouch bei allen sozialen Netzwerken. Jubiläen 50 Jahre Diskette https://www.heise.de/news/Donnerstag-50-Jahre-Diskette-WD-vor-Milliardenfusion-illegales-Bitcoin-Mining-6174643.html https://www.heise.de/hintergrund/Zahlen-bitte-3-75-Megabyte-Speicher-auf-der-ersten-Festplatte-der-Welt-6188203.html Der ewige Optimist https://www.golem.de/news/zum-tod-von-sir-clive-sinclair-der-ewige-optimist-2109-145862.html Themen Nightscout - Open Source Diabetes Monitoring http://www.nightscout.info/ Getting GPL compliance from a Chinese company - in person https://www.youtube.com/watch?v=Vj04MKykmnQ https://www.reddit.com/r/linux/comments/p8gnno/getting_gplv2_compliance_from_a_chinese_company/ Münster: Prozess um Betrug mit Kryptowährung https://www1.wdr.de/nachrichten/westfalen-lippe/prozess-kryptowaehrung-onecoin-104.html Leverage Article 17 to build a public repository of Public Domain and openly licensed works https://www.communia-association.org/2021/09/21/a-proposal-to-leverage-article-17-to-build-a-public-repository-of-public-domain-and-openly-licensed-works/ OMIGOD: Microsoft lässt Azure-Admins mit Linux-Lücke allein https://www.heise.de/news/OMIGOD-Microsoft-laesst-Azure-Admins-mit-Linux-Luecke-allein-6194618.html Travis-CI könnte Secrets Tausender Projekte geleakt haben https://www.golem.de/news/security-travis-ci-koennte-secrets-tausender-projekte-geleakt-haben-2109-159610.html Mehr NFT-Unfug: Smiley wird versteigert https://www.heise.de/news/Bitte-laecheln-Das-erste-Smiley-wird-versteigert-6189717.html --- Send in a voice message: https://anchor.fm/opensourcecouch/message

Trainiere dein Hörverstehen mit den Nachrichten der Deutschen Welle von Samstag – als Text und als verständlich gesprochene Audio-Datei.Demokratie-Aktivistin Chow aus Haft entlassen Die Hongkonger Demokratie-Aktivistin Agnes Chow ist nach fast sieben Monaten im Gefängnis freigekommen. Zusammen mit ihrem langjährigen Mitstreiter Joshua Wong war sie für die Beteiligung an Protesten im Jahr 2019 verurteilt worden. Chow wurde auch vorgeworfen, mit ausländischen Kräften zusammengearbeitet zu haben. In diesem Punkt gab es noch keine Anklageerhebung. Die Anschuldigungen basieren auf einem umstrittenen Sicherheitsgesetz, das China trotz internationaler Proteste verabschiedet hatte. Freiheitsrechte der Bürger in der Sonderverwaltungszone Hongkong werden hierdurch stark beschränkt. Millionen Impfdosen von Johnson & Johnson unbrauchbar wegen Verunreinigung Die US-Gesundheitsbehörde FDA hat die Entsorgung von Millionen Impfdosen des Herstellers Johnson & Johnson angeordnet, die in einer Fabrik in Baltimore hergestellt wurden. Die "New York Times" berichtete unter Berufung auf informierte Kreise, dass 60 Millionen Impfdosen betroffen seien. Die Produktion an dem Standort war von der FDA bereits im April gestoppt worden, nachdem die Inhaltsstoffe des Präparats aus Versehen mit denen des Vakzins von AstraZeneca vertauscht worden waren. Hacker stehlen drei Millionen Kundendaten bei VW in Nordamerika Unbekannte Täter haben nach einem Datenleck bei VW in Nordamerika persönliche Informationen von mehr als drei Millionen Menschen abgegriffen. Die Sicherheitslücke betreffe einen Kooperationspartner in den USA und Kanada, der online Daten zu Verkaufs- und Marketingzwecken gesammelt habe, teilte Volkswagen mit. In den USA waren zuletzt mehrere Unternehmen ins Visier von Hackern geraten. Im Mai wurde das US-Versorgungsunternehmen Colonial Pipeline Opfer eines Cyberangriffs mit einem Erpressungstrojaner. Das FBI konnte die Hacker fassen und fast das gesamte gezahlte Lösegeld sicherstellen. Ehemaliger kolumbianischer Staatschef bittet um Vergebung für Tötung von Zivilisten durch das Militär Vor der sogenannten Wahrheitskommission in Bogotá hat der ehemalige kolumbianische Staatschef Juan Manuel Santos die unrechtmäßige Tötung von Tausenden Zivilisten durch das Militär in den Jahren 2002 bis 2008 zugegeben. Damals waren mindestens 6402 zu Unrecht als Guerillakämpfer beschuldigte Menschen umgebracht worden, um die Rebellenorganisation FARC unter Druck zu setzen. Santos war von 2006 bis 2009 Verteidigungsminister und von 2010 bis 2018 Präsident Kolumbiens. Für den von ihm vermittelten Friedensvertrag mit der FARC hatte Santos 2016 den Friedensnobelpreis erhalten. Bundesentwicklungsminister Müller warnt vor Zunahme von Kinderarbeit Zum Internationalen Tag gegen Kinderarbeit an diesem Samstag hat Bundesentwicklungsminister Gerd Müller vor einem weltweiten Anstieg der Ausbeutung von Kindern gewarnt. Der CSU-Politiker nannte in den Zeitungen der Funke-Mediengruppe die steigenden Zahlen alarmierend. Müller wies darauf hin, dass viele der weltweit 160 Millionen arbeitenden Kinder für Produkte des täglichen Konsums der westlichen Welt im Einsatz seien, etwa auf Kaffee- und Kakaoplantagen oder in Minen, in denen Metalle für Smartphones gefördert werden. Am schlimmsten sei die Lage in Afrika. Dort müsse fast jedes fünfte Kind arbeiten. Pulitzer-Preise würdigen Berichte über Corona und Polizeigewalt in den USA Bei der Bekanntgabe der diesjährigen Pulitzer-Preise standen die Themen Corona und Polizeigewalt in den USA im Mittelpunkt. Die "New York Times" gewann die besonders wichtige Kategorie "Dienst an der Öffentlichkeit" mit ihrer Pandemie-Berichterstattung. Für journalistische Beiträge rund um den Tod des Afroamerikaners George Floyd bei einem Polizeieinsatz in Minneapolis erhielt die Lokalzeitung "Star Tribune" einen Preis. Mit einem Sonderpreis würdigte die Jury den Mut der damals 17-jährigen Darnella Frazier, die das Video des brutalen Vorgehens der Polizei aufnahm und ins Internet stellte. Italien gewinnt EURO-Auftaktspiel gegen die Türkei Mit einem deutlichen Sieg ist Turnierfavorit Italien in die Fußball-Europameisterschaft gestartet. Im Olympiastadion von Rom gewann der viermalige Weltmeister mit 3:0 gegen die Türkei. Die Italiener sind damit seit fast drei Jahren in 28 Spielen ungeschlagen. Zuvor war die wegen der Corona-Pandemie um ein Jahr verschobene EURO 2020 mit einer 15 Minuten kurzen Zeremonie eröffnet worden. Das pan-europäische Turnier mit 24 Mannschaften wird in den kommenden vier Wochen in insgesamt zehn Ländern ausgetragen. Das erste Spiel der deutschen Mannschaft soll am Dienstag gegen Frankreich stattfinden.

Für viele ist ein Leben ohne Bluetooth undenkbar. Zu Hause, im Auto, am Flughafen oder in der Bahn egal wo, wir nutzen Bluetooth für Kopfhörer, Lautsprecher oder den Fitnesstracker. Aber Vorsicht! Es gibt Sicherheitslücken bei Bluetooth. Jiska Classen, Informatikerin an der TU Darmstadt, sucht diese Sicherheitslücken und konfrontiert danach die Hersteller mit dem Problem. ►► Mehr Netzagent zum Anhören • Bei SWR Aktuell: http://x.swr.de/s/netzagent • In der ARD Audiothek: https://www.ardaudiothek.de/netzagent/62037366 • Bei Spotify: https://open.spotify.com/show/6m6x8uhR2TwQzJsO7GNHnj • Bei Apple Podcasts: https://podcasts.apple.com/de/podcast/swr-aktuell-netzagent/id1466938159 • Bei Google Podcasts: http://x.swr.de/s/netzagentgooglepodcasts ►► #netzagent Neues und Hintergründiges zu Cybercrime und Cyberwar, Datenschutz und Datensicherheit - Wir reden mit Experten über Technik, Politik und Gesetze, die das Internet bedrohen oder sicherer machen.

Viele arbeiten privat oder in der Firma mit Intel Prozessoren. Doch leider werden bei diesen Prozessoren immer wieder Sicherheitslücken entdeckt. Meltdown und Spectre hießen sie im Jahr 2018. In diesem Jahr kam Zombieload hinzu. Der Angriff passiert still und leise, doch der Angreifer kann fast alles auf unseren Rechnern mitlesen. Wie funktioniert so ein Angriff, wo sitzt die Schwachstelle, wie kann man sich schützen und wer wäre ein lohnenswertes Ziel für einen solchen Angriff, das hören Sie in unserem Netzagent. Interviewpartner: Werner Haas, CTO bei cyberus technology in Dresden. Die Firma war an der Entdeckung der Sicherheitslücken Meltdown und Spectre beteiligt. ►► Mehr Netzagent zum Anhören • Bei SWR Aktuell: http://x.swr.de/s/netzagent • In der ARD Audiothek: https://www.ardaudiothek.de/netzagent/62037366 • Bei Spotify: https://open.spotify.com/show/6m6x8uhR2TwQzJsO7GNHnj • Bei Apple Podcasts: https://podcasts.apple.com/de/podcast/swr-aktuell-netzagent/id1466938159 • Bei Google Podcasts: http://x.swr.de/s/netzagentgooglepodcasts ►► #netzagent Neues und Hintergründiges zu Cybercrime und Cyberwar, Datenschutz und Datensicherheit - Wir reden mit Experten über Technik, Politik und Gesetze, die das Internet bedrohen oder sicherer machen.

Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer Eine Sicherheitslücke in WhatsApp ermöglicht es, ein Smartphone mit einem einzigen Video-Call zu kapern. Die Sicherheitslücke schlummert im Code des Messengers. Googles Project Zero, ein Team von Elite-Hackern, hat diesen Fehler entdeckt und jetzt veröffentlicht. WhatsApp-Nutzer sollten jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Pixel 3 und Pixel 3 XL: Googles neue Flaggschiffe für Android-Puristen Die neuen Pixel-Handys von Google haben Top-Hardware und lassen sich kabellos laden. Technisch sind beide Pixel-3-Smartphones bestens ausgestattet und können mit den Flaggschiffen der anderen Hersteller mithalten. Mit nur einer einzigen Kamera auf der Rückseite ignoriert Google konsequent den Trend der Dual- und Multikameras. Die Smartphones sollen am 2. November in den Handel kommen und in den 64-GByte-Varianten 849 Euro beziehungsweise 949 Euro kosten. Paypal jetzt als Bezahlmöglichkeit bei Google Pay Der Bezahldienst Paypal unterstützt nun auch Google Pay.Das geht aus einer Hilfeseite von Paypal hervor, laut der die kontaktlosen Zahlungen von jedem im Paypal-Account bestätigten Bankkonto abgehen können. Sollte direkt im Paypal-Account Guthaben vorhanden sein, werde aber immer erst von diesem abgebucht. ARD/ZDF-Onlinestudie 2018: Erstmals über 90 Prozent der Deutschen online In diesem Jahr sind 63,3 Millionen Menschen in der deutschsprachigen Bevölkerung ab 14 Jahren online, dies entspricht einem Anteil von 90,3 Prozent. Damit liegt der Anteil der "Onliner" in diesem Bevölkerungsteil erstmals über 90 Prozent, wie aus der ARD/ZDF-Onlinestudie 2018 hervorgeht. Im Vergleich zum vorherigen Jahr sind demnach noch einmal knapp eine Million Internetnutzer hinzugekommen. Auch die tägliche Nutzungszeit nimmt weiter zu, sie liegt jetzt bei 3 Stunden und 16 Minuten, das sind im Vergleich zum Vorjahr 47 Minuten mehr. Diese und alle weiteren aktuellen Nachrichten finden Sie auf heise.de

In Kalenderwoche 37 geht es im CISO Summit um das Passive Keyless Entry and Start welches auch Tesla einsetzt. Außerdem geht es um den Hack bei Knuddels, eine ZeroDay-Lücke im Safari unter iOS und Hinweise zu Patches. #CISOSummit #Antago Keyless-Entry-Systeme ———————————————————————— In den Medien wird aktuell viel über unsichere Schlüssel beim Tesla Model S gesprochen. Dieses Problem ist allerdings weitreichender, es betrifft nicht nur Tesla, es betrifft viel mehr die Technik des Lieferanten für Passive Keyless Entry and Start (PKES) Systeme - Pektron. Somit sind neben Tesla auch McLaren, Karma und Triumph betroffen. Die Sicherheitslücke betrifft das Verschlüsselungsverfahren DST40, welches in den Schlüsseln verwendet wird. Aufgrund des unsicheren Verfahrens kann der Schlüssel innerhalb von Sekunden imitiert werden, wodurch sich das Fahrzeug aufließen und der Motor starten lässt. Allerdings ist zum imitierten eine ca. 6-TB große Datenbank oder sehr leistungsfähige Hardware notwendig. Ansonsten ist das imitieren zwar möglich kann aber mehrere Stunden dauern. Die Sicherheitsforscher haben für ihren Versuch mit Leistungsstarker Hardware die möglichen Schlüssel vorberechnet und fragen diese anschließend nur noch in der fertigen Datenbank ab. Aktuell gibt es keine Möglichkeit dieses Sicherheitsproblem zu beheben, da die Schlüssel zu wenig Hardware-Ressourcen haben. Tesla bietet jedoch die Möglichkeit das Auto durch einen einen zweiten Faktor zu sichern. Um das Auto zu bewegen, muss dann ein Pin eingegeben werden (Pin-to-Drive). Quellen: https://www.esat.kuleuven.be/cosic/fast-furious-and-insecure-passive-keyless-entry-and-start-in-modern-supercars/ Tags: #Tesla #McLaren #Triumph #Fiska #Karma #Sicherheitslücke #Verschlüsselung Knuddels ———————————————————————— Bei dem Chatportal Knuddels wurden Nutzerdaten von insgesamt fast 1,9 Millionen Benutzern geleakt. Dabei waren mehr als 800.000 E-Mail-Adressen sowie weitere personenbezogene Daten wie die Stadt und der echte Name. Besonders schwerwiegend bei diesem Leak ist nicht die Menge an Daten, es ist die Tatsache, dass Passwörter im Klartext gespeichert wurden und diese nun geleakt wurden. Das Unternehmen schreibt, dass seit 2012 die Passwörter in gehashter Form gespeichert werden, aber zusätzlich eben auch im Klartext. Der Grund dafür war eine Filter-Funktion von Knuddels, die das versenden des eigenen Passwortes verhindern soll. Diese Funktion sei mittlerweile abgeschaltet und die Klartextpasswörter aus der Datenbank gelöscht. Eine genaue Ursache des Leaks ist noch nicht bekannt, aber das Unternehmen hat einen veralteten Backupserver gefunden. Aufgrund der DSGVO drohen dem Unternehmen jetzt hohe Strafen. Wie in diesem Fall deutlich wird, können solche Sicherheitsmaßnahmen um einzelnen Benutzer zu schützen, sehr gefährlich für die Gesamtheit werden. Die 100 prozentige Sicherheit von Systemen wie Webservern kann, aufgrund der Komplexität, nie gewährleistet werden. Somit muss man immer mit der Gefahr rechnen, dass ein Angreifer in Zukunft in der Lage sein wird Zugriff auf den Server zu erlangen und somit auch Nutzerdaten sehen kann. Deshalb sollten Passwörter niemals im Klartext gespeichert werden. Quellen: https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916081 Tags: #Knuddels #Leak #Passwort #Sicherheitslücke ZeroDay im Safari unter iOS ———————————————————————— Im Safari unter iOS klafft aktuell ungepachte eine Sicherheitslücke, die Angreifer für sehr glaubwürdige Spoofing-Attacken ausnutzen können. Der Sicherheitsforscher Rafay Baloch zeigt das Verhalten auf seiner Webseite. Dort gibt es eine URL und wenn Sie diese mit einem ungepachten Browser besuchen sehen Sie den Seiteninhalt des Sicherheitsforschers, aber im URL-Feld sehen Sie eine URL von gmail.com. Betroffen war auch der Edge-Browser, welcher allerdings mittlerweile gefixt wurde. Für iOS gibt es aktuell noch keinen Patch für diese Sicherheitslücke, somit ist das Mithelfen der Benutzer gefragt, indem Sie die URLs vor dem Aufrufen genau prüfen. Quellen: https://www.rafaybaloch.com/2018/09/apple-safari-microsoft-edge-browser.html Tags: #ZeroDay #ios #spoofing Patches ———————————————————————— Auch diese Woche gibt es wieder Patches für kritische Sicherheitslücken. Administratoren sollten einen Blick auf die Patchnotes von Windows, SAP und Adobe werfen. Windows schließt mit den Patches auch die Sicherheitslücke in der Aufgabenverwaltung, über die wir letzte Woche berichtet haben. Links in den Quellen. Quellen: https://portal.msrc.microsoft.com/en-us/eula https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=499356993 Tags: #Patches #SAP #Microsoft #Adobe Diese Woche wurde das CISO Summit von Alexander Dörsam präsentiert. Besuchen Sie uns auf https://antago.info

In Kalenderwoche 34 geht es im CISO Summit um um ein neues kritisches Problem bei GhostScript, USBHarpoon und wichtigen Patches. #CisoSummit #Ghostscript #USBHarpoon GhostScript ———————————————————————— // ImageMagick, Evince, GIMP, and most other PDF/PS tools Im Ghostscript-Interpreter wurden kritische Sicherheitslücken entdeckt. Diese sind auch vergleichsweise leicht auszunutzen und Proof of Concept Quellcode wird von den Entdeckern gleich mitgeliefert. Laut den Entdeckern wird die Sicherheitslücke auch bereits aktiv ausgenutzt. Über die Lücken können Dateien ausgelesen und Schadcode ausgeführt werden. Die Sicherheitslücke tritt in dem Ghostscript-Interpreter auf. Somit sind Programm wie ImageMagick, Gimp und viele weitere PDF/PS-Tools betroffen. Besonders gefährlich wird die Lücke bei Webservern. Dort kann ein Angreifer Informationen auslesen, oder direkt Systemfunktionen ausführen. Patches gibt es noch nicht, aber das Sicherheitsproblem kann behoben werden, indem die policy.xml von ImageMagick angepasst wird. Dort sollten die Dateitypen PS, EPS, PDF und XPS durch folgende Zeilen deaktiviert werden: Quellen: https://bugs.chromium.org/p/project-zero/issues/detail?id=1640 https://www.kb.cert.org/vuls/id/332928 Tags: #RemoteCodeExecution #ImageMagick #GhostScript #USBHarpoon ———————————————————————— USBHarpoon ist ein Angriffsvektor, der auf dem im Jahr 2014 vorgestellten BadUSB basiert. Bei BadUSB wurde die Firmware von USB-Geräten wie zum Beispiel USB-Sticks manipuliert. So konnte der Stick nicht nur Daten speichern, sondern auch Befehle ausführen und somit Code auf dem Rechner ausführen. Da USB-Ladekabel seit einiger Zeit nicht nur Kabel sind, sondern auch Microcontroller implementiert haben, wurde nun festgestellt, dass diese das gleiche Problem aufweisen. Der Sicherheitsforscher hat auch gleich den Schutzmechanismus von sogenannten USB-Kondomen ausgehebelt. Dadurch soll die Datenübertragung via USB deaktiviert werden und nur noch reines Laden erlaubt sein. Da mittlerweile auch Laptops über einfache USB-Kabel geladen werden und Smartphones sowieso, ist die Angriffsfläche recht groß. Jedoch muss das USB-Kabel aktiv eingesteckt werden. Es sollte also darauf geachtet werden, dass keine Fremden und als unsicher erscheinden USB-Kabel verwendet werden. Dazu könnten zum Beispiel öffentliche Ladestationen zählen. Quellen: https://vincentyiu.co.uk/usbharpoon/ http://mg.lol/blog/badusb-cables/ Tags: #USBHarpoon #BadUSB #CodeExecution Patches ———————————————————————— Auch diese Woche wurden einige wichtige Patches veröffentlicht. Apache Struts, Photoshop CC und OpenSSH sollten gepacht werden. Der Patch für den Apache Struts Webserver beseitigt eine gefährliche Remote-Code-Execution Lücke. Hier schließt der Patch lediglich die Sicherheitslücke und sollte deshalb keine Probleme bereiten. Auch der Patch für Photoshop CC schließt eine kritische Remote Code Exection Lücke. Die Lücke betrifft die Windows- und macOS-Version. Der SSH-Patch schließt eine 19 Jahre alte Sicherheitslücke in OpenSSH. Darüber kann herausgefunden werden, ob ein Benutzer existiert oder nicht. Somit ist es ein Informationsabfluss, wodurch ein Angreifer im Anschluss versuchen kann das Passwort durch Bruteforcen zu knacken. Quellen: https://cwiki.apache.org/confluence/display/WW/S2-057 https://helpx.adobe.com/security/products/photoshop/apsb18-28.html http://seclists.org/oss-sec/2018/q3/124 Tags: #Patchen #ApacheStruts #RemoteCodeExecution #SSH #OpenSSH #PhotoshopCC Diese Woche wurde das CISO Summit von Alexander Dörsam präsentiert. Besuchen Sie uns auf https://antago.info

Die Sicherheitslücken Meltdown und Spectre gingen groß durch die Medien. In dieser Folge erfährst du, wobei es sich bei diesen Lücken handelt, welche Geräte betroffen sind und was du dagegen tun kannst. Podcast 7: Interview mit Sicherheitsexperten Jeremias Radke 5 unverzichtbare Sicherheitseinstellungen an deinem Mac So bist du sicher im Internet unterwegs Hol dir mein gratis E-Book "In 5 Schritten zum Mac-Profi" Wenn dir mein Podcast gefällt, freue ich mich über ein Abo und eine Bewertung bei iTunes!  Like Macmeister auf Facebook Macmeister im Web  

In der jüngsten Folge unseres Podcasts aus Nerdistan erklärt Ronald Eikenberg, wie leicht er Packstationen hacken konnte. Die Sicherheitslücke betraf Millionen DHL-Kunden und erlaubte es Betrügern etwa, relativ einfach anonym beispielsweise Drogen zu bestellen und sich liefern lassen. Ganz so viele Kunden hat ein anderer Fehler nicht getroffen, den Sven Hansen in vernetzten Alarmanlagen gefunden hat. Andererseits ist es sicher noch etwas beängstigender, dass damit Menschen potenziell ihre Heime für Einbrecher öffneten, wenn sie diese eigentlich schützen wollten. Der zugrunde liegende Fehler jedenfalls ist ein alter Bekannter. Zum Abschluss zeigt uns Alexander Spier mit dem Asus Zenfone 2 Deluxe und dem Zenfone Max noch zwei Smartphones mit jeweils einem ganz besonderen Alleinstellungsmerkmal. Das eine hat eine besonders großen Akku, das andere sehr viel internen Speicher. zeichnet sich hier ein neue Trend bei Smartphones ab? Mit dabei: Sven Hansen, Martin Holland, Ronald Eikenberg und Alexander Spier Die c't 14/16 gibts am Kiosk, im heise Shop und digital in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink

In der jüngsten Folge unseres Podcasts aus Nerdistan erklärt Ronald Eikenberg, wie leicht er Packstationen hacken konnte. Die Sicherheitslücke betraf Millionen DHL-Kunden und erlaubte es Betrügern etwa, relativ einfach anonym beispielsweise Drogen zu bestellen und sich liefern lassen. Ganz so viele Kunden hat ein anderer Fehler nicht getroffen, den Sven Hansen in vernetzten Alarmanlagen gefunden hat. Andererseits ist es sicher noch etwas beängstigender, dass damit Menschen potenziell ihre Heime für Einbrecher öffneten, wenn sie diese eigentlich schützen wollten. Der zugrunde liegende Fehler jedenfalls ist ein alter Bekannter. Zum Abschluss zeigt uns Alexander Spier mit dem Asus Zenfone 2 Deluxe und dem Zenfone Max noch zwei Smartphones mit jeweils einem ganz besonderen Alleinstellungsmerkmal. Das eine hat eine besonders großen Akku, das andere sehr viel internen Speicher. zeichnet sich hier ein neue Trend bei Smartphones ab? Mit dabei: Sven Hansen, Martin Holland, Ronald Eikenberg und Alexander Spier Die c't 14/16 gibts am Kiosk, im heise Shop und digital in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink

In der jüngsten Folge unseres Podcasts aus Nerdistan erklärt Ronald Eikenberg, wie leicht er Packstationen hacken konnte. Die Sicherheitslücke betraf Millionen DHL-Kunden und erlaubte es Betrügern etwa, relativ einfach anonym beispielsweise Drogen zu bestellen und sich liefern lassen. Ganz so viele Kunden hat ein anderer Fehler nicht getroffen, den Sven Hansen in vernetzten Alarmanlagen gefunden hat. Andererseits ist es sicher noch etwas beängstigender, dass damit Menschen potenziell ihre Heime für Einbrecher öffneten, wenn sie diese eigentlich schützen wollten. Der zugrunde liegende Fehler jedenfalls ist ein alter Bekannter. Zum Abschluss zeigt uns Alexander Spier mit dem Asus Zenfone 2 Deluxe und dem Zenfone Max noch zwei Smartphones mit jeweils einem ganz besonderen Alleinstellungsmerkmal. Das eine hat eine besonders großen Akku, das andere sehr viel internen Speicher. zeichnet sich hier ein neue Trend bei Smartphones ab? Mit dabei: Sven Hansen, Martin Holland, Ronald Eikenberg und Alexander Spier Die c't 14/16 gibts am Kiosk, im heise Shop und digital in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink