Podcasts about schadcode

In dieser Folge von Shape of Tomorrow sprechen wir über die bedrohliche Verbindung zwischen Künstlicher Intelligenz und Cyberkriminalität. Eine neue Studie zeigt, wie Cyberkriminelle Sprachmodelle wie GPT-3.5-turbo oder Open-Source-Modelle nutzen, um Schadcode zu erstellen und Phishing-Angriffe zu starten. Besonders besorgniserregend: Einige dieser Angriffe bleiben unentdeckt. Wir beleuchten, welche Sprachmodelle von Kriminellen bevorzugt werden und diskutieren die Risiken und möglichen Gegenmaßnahmen. Erfahre mehr über die dunkle Seite der generativen KI und wie sie die Bedrohungslandschaft verändert.

Anthropic-CEO erwartet explodierende Kosten für Top-KI-Modelle Neuer KI-Musikgenerator Udio xAI stellt multimodales KI-Modell Grok-1.5 Vision vor und Angriffe mit KI-generiertem Schadcode heise.de/ki-update https://www.heise.de/thema/Kuenstliche-Intelligenz https://the-decoder.de/ https://www.heiseplus.de/podcast https://www.ct.de/ki

Kurzfristiger Hype oder nachhaltiger Praxisnutzen? Mit ChatGPT wurde KI-Technologie erstmalig einer breiten Masse zugänglich gemacht und Large Language Models haben Ihren Weg in unsere Arbeits– und Alltagswelt gefunden. Die KI erstellt passgenaue Inhalte von Kochrezepten über Hausarbeiten bis hin zu Schadcode – der Anwendungsbreite sind kaum Grenzen gesetzt. Im vierten Teil unserer Sonderreihe let's talk KI diskutieren wir mit unseren Gästen Andrea Ibisch und Anna Wilhelm (BSI) über die Cybersicherheitsaspekte, Chancen und Risiken von ChatGPT und Co. Neugierig? Let's talk KI.

Schadcode schnell und einfach per Sprachanweisung generieren und gleich noch die passende Phishing-Mail dazu – ChatGPT und anderer GenAI-Tools machen‘s möglich. „Hacker werden die neuen KI-Werkzeuge nutzen“, warnt Florian Dalwigk, Sicherheitsexperte der Developer Academy in München, „und sie können damit erheblichen Schaden anrichten“. Doch hören Sie selbst, wie diese Angriffe funktionieren und was Sie dagegen unternehmen können …

Die Anforderungen an Sicherheit werden stetig größer. Zugegeben, die Cloud-Native-Welt bietet uns Möglichkeiten, Applikationen mittels Open Source "On Scale" zu entwickeln und zu betreiben. Doch leider birgt dies das Risiko, dass Schadcode im gleichen Maße verbreitet wird. Bei Red Hat ist dieser Aufwand gar nicht nötig. Denn OpenShift bietet Security by Default. Was genau darunter zu verstehen ist, wollten wir von den Red Hat-Kollegen ganz genau wissen. Enrico spricht in dieser Folge mit Sebastian Zoll, Sebb Dehn und Steffen Lützenkirchen über die Relevanz und Etablierung von Security in der Container-Plattform sowie über klassische Cluster-Härtung, Operatoren, Security-Profile, Advanced Cluster Security und durchgängige Security von der Supply Chain bis zur Runtime.

Was ist in der KW39 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Wir geben einen kurzen Überblick der aktuellen Themen: Meta nutzt In-App-Browser für Tracking bei iOS-Geräten LinkedIn führt heimliches Experiment an Millionen Nutzern aus Schwachstelle in Sophos Firewall von Angreifern ausgenutzt Neue russische Schadsoftware wird über Powerpoint ausgeführt Australischer Telekommunikationsanbieter Optus am Pranger IT-Lücke durch Boarding-Pass bei Lufthansa oder: Lufthansa-Chef Opfer eigenes IT-Systems Bußgeld in Spanien gegen Zeitungsverlag für Kinder und Jugendliche Auskünftsansprüche gem. Art. 15 DSGVO ohne Formbindung, DSB als Erfüllungsgehilfe (LArbG BaWü:Az.: 2 Sa 16/21)

Thema heute:    Augen auf beim Autoverkauf Rund sieben Millionen Gebrauchtwagen wechseln laut Kraftfahrtbundesamt jährlich den Besitzer. Für Verkäufer haben sich Online-Plattformen wie mobile.de oder autoscout24 etabliert, denn sie geben Anbietern und Interessenten die Möglichkeit deutschlandweit Fahrzeuge anzubieten bzw. zu kaufen. Doch auf diesen Marktplätzen tummeln sich auch Betrüger, unseriöse Händler und Online-Kriminelle. Von seinen Erlebnissen und Erfahrungen beim Autoverkauf berichtet ESET Sicherheitsexperte Thorsten Urbanski in seinem neuesten Artikel auf WeliveSecurity. "Die Lieferengpässe in der Automobilindustrie haben die Preise für Gebrauchtwagen nach oben schnellen lassen. Auf den entsprechenden Online-Plattformen sind allerdings viele schwarze Schafe unterwegs, daher gilt es genau hinzusehen und misstrauisch zu bleiben", sagt ESET Sicherheitsexperte Urbanski. "Bei meinem Autoverkauf hatte ich in kürzester Zeit zahlreiche Anfragen unseriöser Interessenten. Eine gängige Masche war es, zu versuchen mich bereits bei der ersten Kontaktanfrage von der Plattform zu locken und mich ausschließlich zur Kommunikation per Mail oder Telefon zu bewegen." Davon kann der Experte nur abraten, da es sich nach seiner Einschätzung häufig um zweifelhafte Autohändler oder Online-Betrüger handelt. "Bei Online-Inseraten sollten Verkäufer nicht die sicheren Kommunikationswege der Anbieter verlassen. Das gleiche gilt für Messages mit Links zu Internetseiten mit angeblichen Fahrzeugbewertungen. Hier kann es sich im Zweifelsfall auch um manipulierte Schadcode- oder Phishing-Seiten handeln." Eine besonders beliebte Masche, um den Kaufpreis zu drücken, sind standardisierte Bettelnachrichten. "Ein Interessent gab sich als armer Student aus und versuchte mein Mitleid zu erwecken, um den Kaufpreis nach unten zu drücken. Auch hier gilt: Diese Mails unbeantwortet lassen und direkt löschen." Böses Erwachen vermeiden Wenn der Interessent das Gespräch direkt via E-Mail, SMS oder WhatsApp sucht, ist Vorsicht geboten. "Antworten Sie auf keinen Fall mit Ihrer echten E-Mail-Adresse, denn damit haben Sie diese für mögliche Spammer als echt verifiziert", warnt Thorsten Urbanski. Ebenso sollte auf gar keinen Fall beim Verkauf des Fahrzeugs eine Zahlung per Schuldschein, Überweisung oder Teil- oder Ratenzahlungen akzeptiert werden. Nur wer den vollen Kaufpreis bar übergibt, bekommt Schlüssel und Papiere!  Ebenso sollten Musterverträge der Plattformanbieter oder der großen Automobilclubs genutzt werden. So vergessen Verkäufer nichts Wichtiges. Diesen Beitrag können Sie nachhören oder downloaden unter:

Was haben die JavaScript Pakete left-pad, color, faker und cross-env gemeinsam? Alle waren in npm Package Sicherheits-Incidents involviert.Wenn man sich die Anzahl von Javascript Abhängigkeiten bei Mittelgroßen Projekten ansieht, ist eine dreistellige Anzahl an JavaScript Paketen nicht unüblich. Das liegt primär an der überschaubaren Größe der Pakete und somit der Funktionalität. Alles nur, um Pakete verwaltbarer zu halten. Doch dieser Umstand macht das JavaScript-Ecosystem so attraktiv für Angreifer oder kann zu extremen Seiteneffekten führen. In dieser Episode sprechen wir drei npm Package Incidents durch, was es damit aufsich hatte, welche Attack-Möglichkeiten es noch gibt und wie man sich als Software Entwickler dagegen schützen kann.Bonus: Was Bademeister, Blubberwasser und eine ASCII-Repräsentation von Uncle Sam und der amerikanischen Flagge mit JavaScript zu tun haben.Feedback an stehtisch@engineeringkiosk.dev oder via Twitter an https://twitter.com/EngKioskLinksFilm "Die Bademeister": https://www.imdb.com/title/tt0202806/Open Source Studien: https://t3n.de/news/wirtschaft-open-source-nutzt-5-1451923/ und https://www.bitkom.org/Presse/Presseinformation/Open-Source-ist-in-der-deutschen-Wirtschaft-angekommen Media Tech Lab: http://jump.engineeringkiosk.dev/media-tech-lab Buch "Working in Public: The Making and Maintenance of Open Source Software": https://www.amazon.de/Working-Public-Making-Maintenance-Software/dp/0578675862Auch Python und PHP sind betroffen: https://twitter.com/s0md3v/status/1529005758540808192 und https://twitter.com/s0md3v/status/1529049336268869633JavaScript left-pad: https://www.npmjs.com/package/left-padMessaging-App Kik: https://www.kik.com/E-Mail-Verkehr zwsichen npm, Kik und Azer Koçulu zum left-pad Paket: https://medium.com/@mproberts/a-discussion-about-the-breaking-of-the-internet-3d4d2a83aa4dStatement vom npm CTO "Laurie Voss" zur Wiederherstellung des left-pads Paket: https://twitter.com/seldo/status/712414588281552900Zalgo Text: https://en.wikipedia.org/wiki/Zalgo_textDev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps: https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/node-ipc: Open Source Maintainer Sabotages Code to Wipe Russian, Belarusian Computers: https://www.vice.com/en/article/dypeek/open-source-sabotage-node-ipc-wipe-russia-belraus-computerstyposquatting-Attacke mit npm Paketen (u.a. cross-env): https://snyk.io/blog/typosquatting-attacks/Bank pushed privaten Code mit npm: https://twitter.com/seldo/status/110515328771872358412 Factor App: https://12factor.net/de/GitHub DMCA Takedowns: https://github.com/github/dmcanpm package scopes: https://docs.npmjs.com/about-scopesDependabot: https://github.blog/2020-06-01-keep-all-your-packages-up-to-date-with-dependabot/ Harden GitHub Actions - Pin actions to a full length commit SHA: https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions#using-third-party-actionsWeitere nicht behandelte Incidentsua-parser.js (malicious code / account hijack): https://github.com/advisories/GHSA-pjwm-rvh2-c87wcoa (malicious code): https://github.com/advisories/GHSA-73qr-pfmq-6rp8rc (malicious code): https://github.com/advisories/GHSA-g2q5-5433-rhrfpurescript (malicious code by dependencies): https://harry.garrood.me/blog/malicious-code-in-purescript-npm-installer/event-stream (new maintainer injected code to steal bitcoins / social engineering): https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incidentgetcookies (backdoor): https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies.htmlSprungmarken(00:00:00) Intro(00:00:35) Intro: 10.000 Downloads und Die Bademeister(00:01:42) Wie viele Firmen setzen (bewusst) Open Source ein?  (00:04:09) Wie viele Firmen unterstützen Open Source finanziell?(00:06:22) Open Source Funding via Media Tech Lab(00:08:11) Das Management von Software-Dependencies anhand des JavaScript-Ecosystems via npm(00:08:59) Warum JavaScript als Beispiel genutzt wird und die Theorie warum JavaScript Pakete so klein sind und viele Abhängigkeiten haben(00:15:06) npm Package Incident: Das Paket "left-pad" wurde aus der npm Registry entfernt (unpublished)(00:23:06) npm Package Incident: Die Pakete "color" und "faker" geben Textmüll auf der Konsole aus(00:27:29) npm Package Incident: Das Paket "cross-env" und der typosquatting-Angriff mit "crossenv"(00:33:01) Weitere Angriffs-Vektoren in Bezug auf Software Dependencies: Böswilliger Maintainer, Schadcode in Sub-Dependency, Account-Übernahme und die falsche Package Registry(00:40:23) Ein Lösungsweg: npm package scopes(00:42:02) Weitere Lösungswege: Schadcode und frühere Fraud-Detection auf Plattform-Seite, die Überwachung von direkten Dependencies und Version-Pinning(00:47:40) Dependabot: Versionen von Dependencies automatisch updaten und auf neue Dependencies achten(00:53:44) Der gesunde Streit: Zanken und Bierchen(00:54:17) OutroHostsWolfgang Gassler (https://twitter.com/schafele)Andy Grunwald (https://twitter.com/andygrunwald)Engineering Kiosk Podcast: Anfragen an stehtisch@engineeringkiosk.dev oder via Twitter an https://twitter.com/EngKiosk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit dem 15. März 2022 vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Mit dem Hintergrund des russischen Angriffskriegs auf die Ukraine hat sich die Vertrauenssituation gegenüber der russischen Firma verändert. Dadurch dass Antivirensoftware weitreichende Systemrechte hat, kann diese großen Schaden anrichten. Auch wenn der Hersteller selbst alle Vorwürfe von sich weist, kann nicht ausgeschlossen werden, dass durch unmittelbaren Zwang die russischen Behörden über die Software Cyber-Angriffe ausführen. Außerdem besteht das Risiko, dass Mitarbeiter des Softwareherstellers gezielt unter Druck gesetzt werden,  um Backdoors zu installieren oder Schadcode zu verteilen. Wir empfehlen daher den Wechsel auf andere Produkte. Noch offene Fragen? Dann noch heute einen persönlichen Gesprächstermin vereinbaren. https://www.hagel-it.de/termin!

Fragen und Vorschläge wie immer bitte an @opensourcecouch bei allen Sozialen Netzwerken. Am kommenden Samstag, dem 21.8. sind wir in Farbe (und bunt) beim FrOSCon mit einem Jahresrückblick zu sehen: https://programm.froscon.de/2021/events/2632.html Jubiläen 25 Jahre Smartphone https://www.spiegel.de/netzwelt/gadgets/nokia-communicator-der-klobige-auftakt-der-smartphone-aera-a-5a1522da-2601-4894-87d5-d07ba3b02fb2#ref=rss 40 Jahre IBM PC https://www.heise.de/hintergrund/40-Jahre-IBM-PC-der-Computer-der-ungewollt-die-IT-Revolution-einlaeutete-6163767.html 40 Jahren PC-Spiele https://www.heise.de/hintergrund/Microsoft-Adventure-Vor-40-Jahren-erscheint-das-erste-PC-Spiel-6163868.html Roger Penrose wird 90 https://www.heise.de/news/Kosmologe-Mathematiker-und-Zeichner-Roger-Penrose-wird-90-6158132.html 40 Jahre Chaos Computer Club https://www.golem.de/news/40-jahre-chaos-computer-club-herz-seele-und-stimme-der-nerds-2107-158512.html Themen Excel wandelt Genbezeichnungen in Datumsangaben um https://www.heise.de/news/Excel-wandelt-Genbezeichnungen-in-Datumsangaben-um-Problem-groesser-als-gedacht-6165902.html Impfzertifikate-Chaos https://www.heise.de/news/Apotheken-kaempfen-mit-digitalen-Impfzertifikaten-Sperrungen-per-Blacklist-6154498.html https://www.apotheke-adhoc.de/nachrichten/detail/panorama/impfzertifikate-so-kann-man-das-portal-austricksen/2/ Schadcode infizierte E-Books https://www.heise.de/news/Kindle-Mit-Schadcode-infizierte-E-Books-konnten-Amazon-Account-kapern-6157512.html Security-Oscars: And the Pwnie goes to … https://www.heise.de/news/Security-Oscars-And-the-Pwnie-goes-to-6157581.html Kräuterlikör-Kühlung für PC https://www.golem.de/news/fluessigkeitskuehlung-jaegermeister-kuehlung-fuer-pc-gebaut-2108-158868.html Das Klo ist schuld: Verrücktes Hardware-Problem https://www.gamestar.de/artikel/klo-internet-problem,3372315.html Wie ein Programmierer den Journalistenpreis gewann https://www.golem.de/news/pulitzer-preis-wie-ein-programmierer-den-journalistenpreis-gewann-2108-158372.html --- Send in a voice message: https://anchor.fm/opensourcecouch/message

Zu den gefährlichsten Phänomenen der modernen Informatik gehören so genannte Supply Chain Angriffe. Bei dieser Form der Cyberkriminalität schmuggeln Angreifer manipulierten Code in die Lieferkette (Supply Chain) von Software-Herstellern. Diese verbreiten dann ungewollt den Schadcode zusammen mit Updates, Patches oder neuen Lösungen. So hat etwa Solarwinds, ein US-Hersteller von Systemmangement-Lösungen, ungewollt Malware bei Kunden installiert. Der Internet-Gigant Google hat nun ein neues Framework vorgestellt, mit dem der Prozess der Software-Herstellung und -Verteilung sicherer gemacht werden soll. Im zweiten Beitrag geht es um Systeme für maschinelle Gesichtserkennung. Die EU will den Gebrauch solcher Systeme stärker regulieren. Wir diskutieren, wer welche Forderungen stellt und analysieren, was künftig im europäischen Raum verboten und was erlaubt sein soll.

Bußgeld wegen Weiterleitung von E-Mails aus Mitarbeiterkonten an Firmenmailadresse EU-Abgeordnete wollen vorerst keinen vorübergehenden Angemessenheitsbeschluss für die UK Folgen der Snowden-Affäre: EGMR schränkt Massenüberwachung ein Fahrer-Überwachung bei Lieferando "klar rechtswidrig" Beschluss angenommen: "Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien" LfDI BaWÜ eröffnet Verfahren gegen PimEyes und Max Schrems wendet sich Clearview Al zu Urteil vom österreichischen obersten Gerichtshof: hinzugespeicherte statistische Informationen sind personenbezogene Daten Der Europäische DSB leitet zwei Untersuchungen im Anschluss an das "Schrems II"-Urteil ein Luca-App könnte Schadcode bei Gesundheitsämtern eingeschleust haben Klarna: 90.000 Betroffene bei Datenleck des Zahlungsdienstleisters Workingpaper des europäischen DSB und der spanischen Aufsichtsbehörde: 10 Missverständnisse zum Thema „Anonymisierung“ Tätigkeitsbericht 2020 aus Bayern veröffentlicht Tätigkeitsbericht 2020 aus Niedersachen - Stellungnahme der Landesbeauftragten für den Datenschutz

Ärger wegen Corona-App / Neue Emotet-Welle / Bildchen statt Schadcode

Grüne Justizminister: Freiwilligen Einsatz der Corona-App gesetzlich verankern, Offene Listen von Gästedaten in Gaststätten: Verletzung des Rechts, selbst zu entscheiden, an welche Privatpersonen Handynummern und Mailadressen weitergeben werden, Sammelklage gegen Google in den USA, Orientierungshilfe der DSK für datenschutzkonforme Nutzung von E-Mail, YouTuber deckt auf: Tausende Krankenhausakten frei zugänglich, In Finanzgerichtsverfahren Akteneinsicht nur in Räumen eines Gerichts oder einer Behörde aktuelle Bußgelder, Sicherheitsupdate: Angreifer könnten Schadcode in Zoom-Meetings schieben

Wir senden aus dem Homeoffice und geben Tipps wie man dort produktiv bleibt. Außerdem reden wir über Avast führt Schadcode aus, Mozilla unterstützt KaiOS, YouTube und Netflix reduzieren Streamingqualität in der EU, neues MacBook Air und iPad Pro von Apple und vieles mehr!

Vor einigen Wochen hat Project Zero von Google eine nicht unerhebliche Sicherheitslücke in iOS aufgedeckt - sie soll jahrelang offen gestanden sein. Dritte hatten nahezu vollen Zugriff auf das System, der Schadcode konnte direkt über Webseiten ausgeliefert werden. Jetzt hat Apple reagiert - endlich - aber wie! Schon vor einiger Zeit haben wir hier im Podcast die Kommunikationsabteilung von Apple schwer kritisiert. Die Affäre rund um die Drosselung von iPhones war vor allem eines: Ein Kommunikationsdesaster. Anscheinend hat der Konzern nicht dazu gelernt, das zeigen die letzten Wochen mehr denn je. Wir wollen Einblick geben In einer Pressemitteilung will Apple einen detaillierten Einblick in dieses Thema geben, tut es aber nicht. Google hat einen länglichen Blogbeitrag veröffentlicht, Apple nur ein paar Absätze. Darin wird das Thema runtergespielt. Nur Uiguren seien betroffen gewesen - eine Minderheit in China. Dazu waren es ja nur ein paar Webseiten ,...! All das ändert nichts daran, dass Android Sicherheitslücken auf dem Markt erstmalig mehr wert sind als jene in iOS. Auch eine Aussage zum Status quo ,... Der Kommunikationschef Es ist nicht die erste Pleite was Apples Kommunikation rund um ihre Kernthemen Sicherheit und Datenschutz betrifft. Auch die Information zum Thema Siri und Datenschutz war mehr als lächerlich. Letzte Woche hat Steve Downling, der Communications-Chef, das Unternehmen verlassen. Ob es da vielleicht einen Zusammenhang gibt?

Siemens streicht 1400 Stellen in Deutschland Siemens will in seiner kriselnden Energiesparte 2700 Arbeitsplätze abbauen, davon 1400 in Deutschland. Die Standorte Erlangen und Berlin seien am stärksten betroffen, teilte der Konzern mit. Überkapazitäten von Gasturbinen und die Energiewende machen der Sparte seit langem zu schaffen. Langfristige Wartungsverträge werfen zwar weiterhin gute Gewinne ab, aber der Umsatz sank im vergangenen Quartal um 4 Prozent. Die IG Metall lehnt die Abbaupläne grundsätzlich als ideenlos ab. Stromtrasse "NordLink" geht auf die Zielgerade Die Trasse "NordLink" verbindet Tonstad in Norwegen und Wilster in Schleswig-Holstein und soll den Austausch erneuerbarer Energien zwischen beiden Ländern ermöglichen. Nun wurde ein weiterer wichtiger Schritt gemacht. Bei Büsum im Kreis Dithmarschen wurde das Endstück des 516 Kilometer langen Seekabels unter dem Deich hindurch an Land gezogen. Ende des Jahres sollen die letzten Arbeiten erledigt sein. Das "grüne Kabel" hat eine Kapazität von 1400 Megawatt und kann mehr als 3,6 Millionen deutsche Haushalte mit erneuerbarer Energie versorgen. Attacken gegen Firefox Derzeit haben es Angreifer aktiv auf die Webbrowser Firefox und Firefox ESR abgesehen. Dabei haben sie eine Sicherheitslücke im Visier, über deren Ausnutzung sie Browser zum Absturz bringen und Schadcode ausführen könnten. So wie es aussieht, sind davon alle Betriebssysteme bedroht. Mozilla hat nun reparierte Ausgaben von Firefox und Firefox ESR zum Download bereitgestellt. Facebook plant die Weltwährung Facebook will im kommenden Jahr die Finanzwelt umkrempeln: Das Online-Netzwerk hat eine neue globale Währung erfunden. Das Digitalgeld mit dem Namen Libra basiert ähnlich wie der Bitcoin auf der sogenannten Blockchain-Technologie, soll aber ohne Kursschwankungen auskommen. Um das große Ziel einer digitalen Vollwährung zu erreichen, hat Facebook eine Allianz geschmiedet: die Libra Association und nicht Facebook selbst soll das Digitalgeld verwalten. Unter den aktuell 28 Mitgliedern sind die Finanzdienstleister Visa, Mastercard, Paypal und Stripe – was die Integration in andere Bezahlsysteme erleichtern dürfte. Diese und weitere aktuelle Nachrichten finden Sie ausführlich auf heise.de

Außenminister verbittet sich Einmischung in Entscheidungen zu 5G-Ausrüstern Die Auseinandersetzungen um den Einsatz von Huawei-Technik beim Aufbau der 5G-Netze nehmen an Schärfe zu. Außenminister Heiko Maas hat sich eine Einmischung in innere Angelegenheiten Deutschlands verbeten. "Deutschland ist niemals erpressbar, egal um was oder wen es geht", sagte der SPD-Politiker in einem Interview. Die Neue Berliner Redaktionsgesellschaft hatte Maas auf die US-Drohung angesprochen, Geheimdienst-Informationen mit Deutschland zurückzuhalten, falls China am 5G-Ausbau beteiligt wird. EU-Wettbewerbshüter verdonnern Google zu Milliarden-Strafe Die EU-Wettbewerbshüter haben eine Strafe von 1,49 Milliarden Euro gegen den US-Internetriesen Google verhängt. Bei Suchmaschinen-Werbung im Teildienst "AdSense for Search" seien andere Anbieter unerlaubterweise behindert worden, teilte die EU-Kommission mit. Im Vorfeld hatte Google Zugeständnisse wie eine Änderung an seiner Suchmaschine und eine Browserauswahl-Möglichkeit für Android-Nutzer bekannt gegeben. Mehr als 20 Sicherheitslücken in Firefox geschlossen Angreifer könnten Firefox, Firefox ESR und den auf Firefox ESR aufbauenden anonymisierenden Tor Browser attackieren. Dadurch sind via DoS-Attacken Abstürze oder sogar die Ausführung von Schadcode vorstellbar. In Firefox hat Mozilla jetzt 21 Sicherheitslücken geschlossen. In Firefox ESR sind es zehn Schwachstellen. Bei Firefox hat Mozilla aber nicht nur die Sicherheit verbessert, sondern beispielsweise auch nervigen Autoplay-Videos einen Riegel vorgeschoben. Einzelhandel in New Jersey muss Bargeld akzeptieren Der US-Bundestaat New Jersey verpflichtet praktisch alle Einzelhändler und Dienstleister dazu, Bargeld als Zahlungsmittel zu akzeptieren. Anlass für die neuen Bestimmungen ist eine wachsende Zahl an Betrieben, die ausschließlich bestimmte Formen Plastikgeld oder App-basierte Zahlung akzeptieren. Das Gesetzt soll nun jene schützen, die keine Kredit- oder Debitkarte bekommen. Diese und alle weiteren aktuellen Nachrichten finden Sie auf heise.de

Security - Trends 2019 1. Es gibt mehr Einfallstore durch immer mehr IP verbundene Geräte, 2. Es wird mehr Schadcode produziert und 3. Die Schädlinge werden durch KI immer schlauer. Zusammengefasst ist das nach meinen Recherchen in vielen aktuellen Publikationen die Securitylage 2019. Daher habe ich über die Herausforderung nachgedacht, wie ich Euch über das sicherlich wichtige Managed Service Trendthema Security noch etwas Neues und Spannendes berichten kann. Kurzzeitig habe ich sogar überlegt, ob zu Security nicht schon alles gesagt ist und dann habe ich mir gedacht, dass ich mir einige Aspekte rausnehme und bespreche, die vielleicht weniger häufig publik sind und die uns im Kundendialog zu Security helfen können. Auf die allgemein als wesentlich eingestuften Securitythemen für 2019 werde ich mit einem kurzen Abriss des Reports des Tüv Süd eingehen, damit das nicht ganz wegfällt. Danach geht es dann in meinen Schwerpunkten um die Unterscheidung von Security-Erwartungen nach Kundengrößen, das Thema KI sowohl für die Guten als auch für die Bösen, den Menschen als so genannte Human Firewall und das Thema HomeOffice im Kontext neuer Arbeitsausgestaltungen.

Bundestag befreit Gas- und Elektro-Lkw von der Mautpflicht Das Parlament hat einen Gesetzentwurf beschlossen, der neue Ausnahmen von der Lkw-Mautpflicht sowie höhere Gebühren für sehr schwere und laute Laster vorsieht. Lkw mit Elektro- oder Gasantrieb sowie land- und forstwirtschaftliche Fahrzeuge mit einer Höchstgeschwindigkeit von bis zu 40 Stundenkilometern sollen von den Abgaben befreit werden. Die Anfang 2019 greifenden neuen Gebührensätze sehen zudem vor, dass besonders schwere Lastwagen stärker zur Kasse gebeten werden. Millionen fremder Namen zur Abschaffung der Netzneutralität missbraucht Die New Yorker Staatsanwaltschaft geht Hinweisen auf bis zu 9,5 Millionen Identitätsanmaßungen nach. Lobbyisten sollen im Verfahren zur Abschaffung der Netzneutralität Millionen Stellungnahmen eingereicht haben, wofür sie fremde Namen und Adressen missbraucht haben. Ein wichtiger Teil des Verfahrens bei der US-Regulierungsbehörde FCC im Vorjahr war eine öffentliche Konsultation. Von den 22 Millionen Stellungnahmen waren nur etwa 800.000 einzeln abgefasst, wie Forscher der Stanford Universität festgestellt haben. Der Rest bestand aus vielfach wiederholten gleichlautenden Schreiben oder einer Melange aus recycelten Phrasen. Die Staatsanwaltschaft möchte nun herausfinden, wie die nie dagewesene Lawine an Textbausteinen zustande gekommen ist. Irreführende Nutzung sowie Missbrauch fremder Identitäten ist in den USA strafbar. US-Behörde TSA will massenhafte Gesichtserkennung einführen Die Transportation Security Administration setzt auf Biometrie, insbesondere Gesichtserkennung. Entsprechende Pläne hat die US-Behörde, die für die Sicherheit im kommerziellen Flugverkehr zuständig ist, diese Woche vorgestellt. Flugreisende sollen zunehmend anhand biometrischer Merkmale erkannt und verfolgt werden, möglichst schon von der Buchung bis zum Boarding. Kritische Lücken in Drupal gefährden ganze Websites Aufgrund von mehreren Schwachstellen sollten Web-Admins zügig ihre Drupal-Installation auf den aktuellen Stand bringen. Derzeit ist nicht viel über die Angriffsszenarien bekannt. Offenbar kann allein der Versand von präparierten Mails zur Ausführung von Schadcode führen. Diese und alle weiteren aktuellen Nachrichten finden Sie auf heise.de

In Kalenderwoche 36 geht es im CISO Summit um eine ZeroDay Lücke, die bereits ausgenutzt wird. Außerdem geht es um die diskutierte Magento-Malware und die gekaperte MEGA Chrome Erweiterung. Windows ZeroDay-Exploit ———————————————————————— Ende August wurde eine Sicherheitslücke in Windows-Betriebssystemen bekannt, über die die Rechte des Benutzers ausgeweitet werden können (Privilege Escalation). Die Lücke kann über die Aufgabenplanung ausgenutzt werden. So kann ein Benutzer mit niedrigen Berechtigungen ausführbare Dateien im Verzeichnis C:WindowsTask verändern, welche anschließend mit (im schlimmsten Fall) administrativen Berechtigungen ausgeführt werden. Dieses Verhalten wird nun in einer Kampagne von Angreifern ausgenutzt um sich Zugriff auf die Systeme zu verschaffen. In der Kampagne werden E-Mails mit Schadcode verschickt, die sich dann in das System einnisten. Betroffen sind alle Windows-Betriebssysteme ab Windows 7. Es gibt noch keine Patches für die Sicherheitslücke. Da die Sicherheitslücke nur mit Zutun des Benutzers ausgenutzt werden kann, sollte hier Aufgepasst werden. E-Mail-Anhänge beherbergen häufig gefahren. Deshalb sollten Anhänge von Mails immer mit bedacht geöffnet werden. Quellen: https://www.welivesecurity.com/deutsch/2018/09/05/powerpool-malware-windows-zero-day-exploit-durchleuchtet/ Tags: #ZeroDay #PrivilegeEscalation #Windows #PowerPool Magento-Malware ———————————————————————— Aktuell wird viel über gehackte Magento Webshops gesprochen. Es läuft aktuell eine automatisierte und großangelegte Kampagne gegen diese Webshops. Dabei verändert die Malware den Shop so, dass kompromittierte Shops ein JavaScript nachladen, welches Zugangsdaten zu verschiedenen Diensten, sowie Kreditkarten-Daten abgreift. Außerdem verändert die Malware die Cronjobs der Shops, sodass weiterer Schadcode nachgeladen werden kann und es werden Passwörter von Adminaccounts verändert. Ende August waren laut Bericht 7339 Shops bereits infiziert. Täglich wurden zu dem Zeitpunkt 50 bis 60 weitere Shops infiziert. Das schlimme bei dieser Kampagne ist, dass die Malware keine Sicherheitslücke im Shopssystem ausnutzt, sondern lediglich schwache Passwörter von Adminaccounts ausprobiert. Sobald dann ein Admin-Zugang vorliegt, verbreitet sich die Malware im Shop. Es sollte also darauf geachtet werden, dass Passwörter sicher sind. Außerdem sollte der Backend-Zugang auf bestimmte IP-Adressen beschränkt werden. Falls Sie einen Magento-Shop betreiben, können Sie im Quellcode der Seite nach der Domain "magentocore.net" suchen. Darüber wird das schadhafte JavaScript geladen. Falls sie das finden, können Sie in dem verlinkten Beitrag Maßnahmen finden, wie sie den Schadcode entfernen. Quellen: https://gwillem.gitlab.io/2018/08/30/magentocore.net_skimmer_most_aggressive_to_date/ Tags: #Magento #MagentoCore Mega Chrome Erweiterung ———————————————————————— Die Chrome Erweiterung vom Dienst MEGA wurde zeitweise kompromittiert. Dabei wurde die Erweiterung zeitweise mit Schadcode ausgeliefert. Während den automatischen Updates wurde die Erweiterung aktualisiert und somit der Schadcode ausgeliefert. Die verseuchte Erweiterung war am 04.09. ab ca. 16.30 (deutsche Zeit) für ca. 5 Stunden online. Wie die verseuchte Version in der Verteilungsprozess eingespielt wurde ist noch unklar. Das grundsätzliche Problem dabei ist aber, dass Erweiterungen von Google unzureichend geprüft werden. Schadcode in Erweiterungen oder sogar in Apps für Android kamen in der Vergangenheit häufig vor. Falls die MEGA-Erweiterung im Chrome-Browser installiert ist, sollte darauf geachtet werden, dass die Versionsnummer 3.39.5 ist. Quellen: https://mega.nz/blog_47 Tags: #mega #chromeErweiterung #chromeExtension Diese Woche wurde das CISO Summit von Alexander Dörsam präsentiert. Den Podcast gibt es auch als Video bei YouTube: https://www.youtube.com/watch?v=dAiLpljEzzA Besuchen Sie uns auf https://antago.info

In Kalenderwoche 34 geht es im CISO Summit um um ein neues kritisches Problem bei GhostScript, USBHarpoon und wichtigen Patches. #CisoSummit #Ghostscript #USBHarpoon GhostScript ———————————————————————— // ImageMagick, Evince, GIMP, and most other PDF/PS tools Im Ghostscript-Interpreter wurden kritische Sicherheitslücken entdeckt. Diese sind auch vergleichsweise leicht auszunutzen und Proof of Concept Quellcode wird von den Entdeckern gleich mitgeliefert. Laut den Entdeckern wird die Sicherheitslücke auch bereits aktiv ausgenutzt. Über die Lücken können Dateien ausgelesen und Schadcode ausgeführt werden. Die Sicherheitslücke tritt in dem Ghostscript-Interpreter auf. Somit sind Programm wie ImageMagick, Gimp und viele weitere PDF/PS-Tools betroffen. Besonders gefährlich wird die Lücke bei Webservern. Dort kann ein Angreifer Informationen auslesen, oder direkt Systemfunktionen ausführen. Patches gibt es noch nicht, aber das Sicherheitsproblem kann behoben werden, indem die policy.xml von ImageMagick angepasst wird. Dort sollten die Dateitypen PS, EPS, PDF und XPS durch folgende Zeilen deaktiviert werden: Quellen: https://bugs.chromium.org/p/project-zero/issues/detail?id=1640 https://www.kb.cert.org/vuls/id/332928 Tags: #RemoteCodeExecution #ImageMagick #GhostScript #USBHarpoon ———————————————————————— USBHarpoon ist ein Angriffsvektor, der auf dem im Jahr 2014 vorgestellten BadUSB basiert. Bei BadUSB wurde die Firmware von USB-Geräten wie zum Beispiel USB-Sticks manipuliert. So konnte der Stick nicht nur Daten speichern, sondern auch Befehle ausführen und somit Code auf dem Rechner ausführen. Da USB-Ladekabel seit einiger Zeit nicht nur Kabel sind, sondern auch Microcontroller implementiert haben, wurde nun festgestellt, dass diese das gleiche Problem aufweisen. Der Sicherheitsforscher hat auch gleich den Schutzmechanismus von sogenannten USB-Kondomen ausgehebelt. Dadurch soll die Datenübertragung via USB deaktiviert werden und nur noch reines Laden erlaubt sein. Da mittlerweile auch Laptops über einfache USB-Kabel geladen werden und Smartphones sowieso, ist die Angriffsfläche recht groß. Jedoch muss das USB-Kabel aktiv eingesteckt werden. Es sollte also darauf geachtet werden, dass keine Fremden und als unsicher erscheinden USB-Kabel verwendet werden. Dazu könnten zum Beispiel öffentliche Ladestationen zählen. Quellen: https://vincentyiu.co.uk/usbharpoon/ http://mg.lol/blog/badusb-cables/ Tags: #USBHarpoon #BadUSB #CodeExecution Patches ———————————————————————— Auch diese Woche wurden einige wichtige Patches veröffentlicht. Apache Struts, Photoshop CC und OpenSSH sollten gepacht werden. Der Patch für den Apache Struts Webserver beseitigt eine gefährliche Remote-Code-Execution Lücke. Hier schließt der Patch lediglich die Sicherheitslücke und sollte deshalb keine Probleme bereiten. Auch der Patch für Photoshop CC schließt eine kritische Remote Code Exection Lücke. Die Lücke betrifft die Windows- und macOS-Version. Der SSH-Patch schließt eine 19 Jahre alte Sicherheitslücke in OpenSSH. Darüber kann herausgefunden werden, ob ein Benutzer existiert oder nicht. Somit ist es ein Informationsabfluss, wodurch ein Angreifer im Anschluss versuchen kann das Passwort durch Bruteforcen zu knacken. Quellen: https://cwiki.apache.org/confluence/display/WW/S2-057 https://helpx.adobe.com/security/products/photoshop/apsb18-28.html http://seclists.org/oss-sec/2018/q3/124 Tags: #Patchen #ApacheStruts #RemoteCodeExecution #SSH #OpenSSH #PhotoshopCC Diese Woche wurde das CISO Summit von Alexander Dörsam präsentiert. Besuchen Sie uns auf https://antago.info

Neues Fach macht Schüler fit für Digitalisierung Deutsch, Sport – Doppelstunde IMP: Im neuen Schuljahr können Schüler in Baden-Württemberg das neue Profilfach "Informatik, Mathematik, Physik" belegen. Das Fach soll die Schüler besser auf die Herausforderungen in der digitalen Gesellschaft vorbereiten, meint Kultusministerin Susanne Eisenmann. Im IMP-Unterricht setzen sich die Schüler beispielsweise mit der Verschlüsselung von Daten auseinander. Im Rahmen des Informatikunterrichts analysieren sie die Verfahren, während der Mathe-Unterricht die notwendigen mathematischen Grundlagen vermittelt. Runderneuerung für Herzzellen bei Babys Kinderherzchirurgen am Boston Children's Hospital haben erstmals eine Organtransplantation im Kleinen vorgenommen. Dabei sollen Mitochondrien Neugeborenen mit Herzschwäche helfen, berichtet Technology Review in seiner September-Ausgabe. Die Bostoner Chirurgen hatten bis Redaktionsschluss elf Kinder auf diese Weise behandelt. Anschließend erholten sich bei zehn Babys die Herzen so weit, dass die Ärzte die Pumpe abnehmen konnten. Unumstritten ist die Methode nicht. Drei Kinder starben trotzdem einige Zeit später, drei weitere brauchten trotz der Transplantation ein Spenderherz. Patchday für Adobe, Microsoft und Oracle In diversen Anwendungen von Adobe klaffen zum Teil kritische Sicherheitslücken, für die es nun Patches gibt. Nutzen Angreifer die Lücken aus, könnten Sie Speicherfehler initiieren und Schadcode ausführen. Microsoft veröffentlicht in diesem Monat Sicherheitsupdates für 60 Lücken in Windwos und Co. Auch einige Versionen von Oracle Database weisen eine Sicherheitslücke auf, die die Systemübernahme aus der Ferne ermöglicht. Ein Notfall-Patch steht jetzt bereit. Dr. Watson enttäuscht Erwartungen im Kampf gegen Krebs 2013 vermarktete IBM das hauseigene Watson-Computersystem als innovative Hilfe bei der "Mission, den Krebs auszurotten". Fünf Jahre später ist die Enttäuschung im medizinischen Bereich groß: Im Kampf gegen Tumorerkrankungen kann Watson laut übereinstimmenden Berichten bislang kaum punkten. Zumindest bietet die KI-Software demnach keinen Mehrwert gegenüber den Diagnosen von Krebsspezialisten. Diese und alle weiteren aktuellen Nachrichten finden Sie auf heise.de

Der Peter Mack ist mit dabei und wir reden über elementary OS 5.0, Apple Pay, Schadcode bei Gentoo & Arch, Linux Distros im Browser testen, Verbraucherschutz, DSGVO Panne bei Domainfactory, Google bannt ÖPNV App, neue Hardware von Microsoft & Apple und vieles mehr!

Fitnesstracker Polar stellte Militärangehörige und Agenten bloß Das finnische Unternehmen Polar hat ein Internetangebot deaktiviert, in dem die Fitnessaktivitäten von unzähligen Nutzern in aller Welt gesammelt waren und das so Militärangehörige in aller Welt bloßstellte. Der Schritt erfolgte im Vorfeld der Veröffentlichung von Berichten der niederländischen Zeitung De Correspondent und der Investigativreporter von Bellingcat. Diese haben über die öffentlich einsehbaren Daten rund 6500 Individuen identifiziert, die an militärischen Standorten Sport getrieben haben. Die Details gleichen dem Skandal rund um die Fitness-App von Strava, Polar war den Reportern zufolge aber noch einmal ergiebiger. Ausbau von Windenergie in Deutschland geht zurück Die besten Jahre für die Erbauer von Windparks in Deutschland sind vielleicht schon wieder vorbei. Wurden im vergangenen Jahr an Land noch 1792 neue Windräder aufgestellt mit einer Leistung von 5,3 Gigawatt, so dürfte die Ausbauleistung in diesem Jahr um rund ein Drittel auf weniger als 3,5 Gigawatt zurückgehen. Das erwartet der Bundesverband Windenergie in Berlin. Ursache für den rückläufigen Ausbautrend sind politische Vorgaben und Regelungen. Flash-Datei kann VLC Player in Bedrängnis bringen Die freie Mediaplayer-Software VLC ist verwundbar. Nutzen Angreifer die Sicherheitslücke aus, sollen sie Schadcode mit den Nutzerrechten des Opfers ausführen können, warnen die Entwickler. Damit eine Attacke erfolgreich ist, muss ein Angreifer einem Opfer eine präparierte Flash-Datei unterjubeln und das Opfer muss diese mit einer angreifbaren Version des VLC Players öffnen. Auch das Öffnen eines Flash-Streams kann einen Angriff einleiten. Davon sind den Entwicklern zufolge alle Systeme und Versionen betroffen. Sie haben die Lücke in der Ausgabe 3.0.2 geschlossen. Chinesen bauen Batteriezellen-Fabrik in Thüringen Bisher kaufen Autobauer Batteriezellen für Elektroautos im fernen China ein. Ein neues Werk des chinesischen Herstellers Contemporary Amperex Technology soll die Produktion nach Deutschland bringen. Das neue Werk in Thüringens größtem Industriegebiet "Erfurter Kreuz" soll in mehreren Etappen aufgebaut werden. Langfristig könnten bis zu 1000 Arbeitsplätze entstehen. Diese und alle weiteren aktuellen Nachrichten finden Sie auf heise.de

Eine bunte Thementüte aus dem c't-Keller: In der neuesten uplink-Folge gibt Ulrike Kuhlmann Hilfestellung vor der Fußball-WM und erklärt, wie man die Spiele in Großbild auf der WM-Party in den Garten holt: Passende Beamer gibt es schon ab 360 Euro. Außerdem erläutert Ulrike die Verzögerungen der einzelnen Empfangswege – einige hängen bis zu 55 Sekunden nach. Wie man sich Schadcode, Werbung und Tracking-Cookies komfortabel vom Hals hält, erklärt Peter Siering: Man braucht lediglich einen preisgünstigen Raspberry Pi Zero und die Software Pi-hole. Bonus für uplink-Hörer und -Gucker*innen: Wir verlosen ein Pi Zero W-Starterset. Die DSGVO hat nicht nur einen zungenverrenkenden Namen, sondern ist auch sonst ziemlich verwirrend. Holger Bleich hilft mit einer einfach verständlicher Nachhilfe-Viertelstunde zur EU-Datenschutz-Grundverordnung – die auch für Nicht-Website-Betreiber interessant sein dürfte. Mit dabei: Holger Bleich, Ulrike Kuhlmann, Jan-Keno Janssen und Peter Siering Die c't 11/18 gibt's am Kiosk, im Browser und in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink.

Eine bunte Thementüte aus dem c't-Keller: In der neuesten uplink-Folge gibt Ulrike Kuhlmann Hilfestellung vor der Fußball-WM und erklärt, wie man die Spiele in Großbild auf der WM-Party in den Garten holt: Passende Beamer gibt es schon ab 360 Euro. Außerdem erläutert Ulrike die Verzögerungen der einzelnen Empfangswege – einige hängen bis zu 55 Sekunden nach. Wie man sich Schadcode, Werbung und Tracking-Cookies komfortabel vom Hals hält, erklärt Peter Siering: Man braucht lediglich einen preisgünstigen Raspberry Pi Zero und die Software Pi-hole. Bonus für uplink-Hörer und -Gucker*innen: Wir verlosen ein Pi Zero W-Starterset. Die DSGVO hat nicht nur einen zungenverrenkenden Namen, sondern ist auch sonst ziemlich verwirrend. Holger Bleich hilft mit einer einfach verständlicher Nachhilfe-Viertelstunde zur EU-Datenschutz-Grundverordnung – die auch für Nicht-Website-Betreiber interessant sein dürfte. Mit dabei: Holger Bleich, Ulrike Kuhlmann, Jan-Keno Janssen und Peter Siering Die c't 11/18 gibt's am Kiosk, im Browser und in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink.

Eine bunte Thementüte aus dem c't-Keller: In der neuesten uplink-Folge gibt Ulrike Kuhlmann Hilfestellung vor der Fußball-WM und erklärt, wie man die Spiele in Großbild auf der WM-Party in den Garten holt: Passende Beamer gibt es schon ab 360 Euro. Außerdem erläutert Ulrike die Verzögerungen der einzelnen Empfangswege – einige hängen bis zu 55 Sekunden nach. Wie man sich Schadcode, Werbung und Tracking-Cookies komfortabel vom Hals hält, erklärt Peter Siering: Man braucht lediglich einen preisgünstigen Raspberry Pi Zero und die Software Pi-hole. Bonus für uplink-Hörer und -Gucker*innen: Wir verlosen ein Pi Zero W-Starterset. Die DSGVO hat nicht nur einen zungenverrenkenden Namen, sondern ist auch sonst ziemlich verwirrend. Holger Bleich hilft mit einer einfach verständlicher Nachhilfe-Viertelstunde zur EU-Datenschutz-Grundverordnung – die auch für Nicht-Website-Betreiber interessant sein dürfte. Mit dabei: Holger Bleich, Ulrike Kuhlmann, Jan-Keno Janssen und Peter Siering Die c't 11/18 gibt's am Kiosk, im Browser und in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink.

Deutschlands Maschinenbauer unzureichend vor Cyberattacken geschützt Wenn die Produktions-IT gehackt wird, kann es teuer werden. Die deutschen Maschinenbauer sind noch nicht genügend gegen Cyberangriffe abgesichert, sagt eine Umfrage des Branchenverbandes der Maschinenbauer VDMA. Demnach arbeitet knapp die Hälfte der Unternehmen mit einem veralteten Schutz vor Angriffen aus dem Netz. Das liegt unter anderem daran, dass die Verantwortung für die IT-Sicherheit nicht überall klar geregelt ist. Die deutliche Mehrheit der Befragten ist bislang noch nicht gegen Hackerangriffe versichert. Mail-Client Thunderbird ist für Schadcode empfänglich Wer den E-Mail-Client Thunderbird nutzt, sollte sicherstellen, dass er die aktuelle abgesicherte Ausgabe 52.7 installiert hat. In vorigen Versionen klaffen insgesamt fünf Sicherheitslücken. Nutzen Angreifer diese aus, können sie Speicherfehler auslösen und so Schadcode auf Computer schieben und ausführen. Aufgrund der kritischen Einschätzung ist davon auszugehen, dass das aus der Ferne ohne Authentifizierung klappt. Nutzer sollten das Sicherheitsupdate zügig installieren. Wie will die Große Koalition die IT in Deutschland voranbringen Blockchain, Industrie 4.0, FinTech, Smart City oder Cybersicherheit: Im Koalitionsvertrag hat die GroKo nicht mit IT-Phrasen gegeizt. Aber was hat sich die neue Regierung konkret vorgenommen? Tobias Haar schlüsselt in der neuen iX 4/2018 die wichtigsten Vorhaben auf. Unter anderem soll der Breitbandausbau endlich vorankommen. Gleichzeitig sollen die Bürger dank kommender 5G-Netze auch mobil schnell ins Internet gehen können. Schulen und Universitäten der Länder will der Bund bis 2021 mit insgesamt 3,5 Milliarden Euro fördern, um die IT-Infrastruktur in allen Fächern auszubauen und die Cloud in die Schulen zu bringen. Israelische Diamantenbörse will Kryptowährung "Carat" auf den Markt bringen Die neue Cyberwährung Carat soll Investements im israelischen Diamantengeschäft erleichtern. Der Wert der Kryptowährung wird mindestens zur Hälfte über Diamanten abgedeckt sein. Dies soll Investoren mehr Sicherheit geben und das Vertrauen in die neue Währung stärken. Carat sollen jederzeit gegen Diamanten eingetauscht werden können. Diese und alle weitere aktuellen Nachrichten finden sie auf heise.de

Sicherheitsforscher warnt vor Schadcode für Meltdown und Spectre Sicherheitsforscher Anders Fogh von G Data hat entscheidend zur Entdeckung der Sicherheitslücken Meltdown und Spectre beigetragen. Er schätzt, dass es schon in Kürze erste Angriffe auf Computer geben wird. Funktionierende Werkzeuge, um die Meltdown-Lücke auszunutzen, kursierten bereits im Netz. Es sei deshalb sehr wichtig, die verfügbaren Updates zu installieren, betont Fogh. Je leistungsfähiger ein Chip ist, desto wahrscheinlicher sei er von einem Angriff bedroht. Neue Algorithmen für Facebook: Weniger Nachrichten, mehr Persönliches Facebook-Chef Mark Zuckerberg verordnet dem sozialen Netzwerk einen Kurswechsel. Die Algorithmen sollen seinen Nutzern künftig vor allem persönliche Mitteilungen von Freunden und Familie vorsetzen. Auch Livestreams, etwa von Sportereignissen, bekommen Raum. Das geht jedoch zu Lasten öffentlicher Inhalte, also auch Beiträgen von Medien wie heise online. Ziel soll sein, das Wohlbefinden der Facebook-User zu stärken, sie sollen sich weniger einsam fühlen. Parkkosten meiden mit autonomen Autos Statt teuer in der Innenstadt zu parken, könnten selbstfahrende Autos in Gratis-Parkzonen fahren. Die City bräuchte kaum noch Parkraum. Der zusätzliche Verkehr wäre überschaubar, wie eine Simulation für die Stadt Seattle jetzt ergeben hat. Für den Fahrzeugbesitzer würde sich der Aufwand rechnen, sagte Umweltingenieur Corey Harper von der Carnegie Mellon Universität im Gespräch mit heise online. Die Kosten der Leerfahrten würden nur ein Bruchteil der üblichen Tagesgebühren für einen Innenstadtparkplatz betragen. Julian Assange ist jetzt Staatsbürger Ecuadors Seit mehr als fünf Jahren lebt Julian Assange in der ecuadorianischen Botschaft in London. Nun hat ihm das Land die Staatsbürgerschaft zuerkannt. Großbritannien lehnte jedoch die Bitte der ecuadorianischen Regierung ab, Assange den Diplomatenstatus zuzuerkennen. Damit hätte er Immunität genossen und die Botschaft verlassen können. Assange fürchtet, nach Verlassen der Botschaft festgenommen und an die USA ausgeliefert zu werden. Diese und alle weiteren aktuellen Nachrichten finden sie auf heise.de

Apple aktualisiert iCloud für Windows In Apples HTML-Rendering-Engine WebKit klaffen kritische Sicherheitslücken. Mehrere Speicherfehler erlauben das Ausführen von Schadcode beim Aufruf manipulierter Webinhalte, erklärt Apple in einer Sicherheitsmitteilung. Um die Schwachstellen zu beseitigen, hat das Unternehmen iCloud für Windows in Version 7.2 zum Download bereitgestellt – Nutzer sollten das Update umgehend einspielen. Cybersoldaten sollen an die Front "Cybersoldaten" der US-Armee sollen nicht nur aus gesicherten Stellungen heraus operieren, sondern auch direkt im Schlachtfeld tätig werden. Über entsprechende Pläne haben Offiziere der US-Streitkräfte am Mittwoch gesprochen. Die elektronische Kriegsführung unmittelbar vor Ort dient der Verteidigung der eigenen Kommunikation und Einrichtungen, Überwachung und Störung jener des Gegners, und dem Verändern von Kommunikationsinhalten des Gegners. Letzteres kann Verwirrung stiften oder feindliche Kämpfer sogar in einen Hinterhalt locken. Datenschutzbeauftragte überprüft Amazon-Logistikzentrum Die niedersächsische Datenschutzbeauftragte Barbara Thiel nimmt ein neues Logistikzentrum des Internet-Händlers Amazon in Winsen/Luhe unter die Lupe. Dort soll es laut Medienberichten eine lückenlose Leistungskontrolle und Videoüberwachung geben. Amazon dementierte den Bericht und hat bis Ende des Jahres Zeit, den Fragenkatalog der Datenschutzbeauftragten zu beantworten. Neues Display macht Fusion von realer und virtueller Welt realistischer Forscher an der University of Arizona haben den Prototypen für ein Augmented-Reality-Display gebaut, bei dem virtuelle Objekte reale verdecken können und umgekehrt. Erst auf diese Weise entsteht ein überzeugender Eindruck von der gemischten Welt. Noch ist es allerdings nur für ein Auge geeignet und relativ sperrig, weil die Optik-Professorin Hong Hua und ihr Doktorand Austin Wilson sich zunächst darauf konzentriert haben, das System preisgünstig statt kompakt zu machen. Diese und alle weiteren aktuellen Nachrichten finden sie auf heise.de

LTE-Abdeckung weiterhin lückenhaft Schnelles Internet immer und überall in Deutschland: Damit werben die Mobilfunkanbieter. Vor allem in ländlichen Regionen herrscht jedoch nach wie vor häufig Funkstille. "Aus wirtschaftlichen und topographischen Gründen wie Hügeligkeit, Berge oder Bewaldung ist der Bau einer LTE-Sendestation nicht überall möglich", erklärt ein Vodafone-Sprecher die Lücken. Auch in Zukunft könnten daher nicht alle Löcher geschlossen werden. Drop-Catch: Teures Wettrennen um abgelaufene Domains Spezialisierte Registrare investieren Millionen in den Wettlauf um Internetdomains, die abgelaufen sind und freigegeben werden. Wie eine Studie zeigt, fluten sie mittels Briefkastenfirmen die Registry-Server mit Bestellversuchen. Das Domainrecycling hat Nachteile für Dritte: Die User wissen nichts vom Inhaberwechsel und schicken E-Mails, die dann in falsche Hände geraten, oder rufen eine Webseite auf, die im schlimmsten Fall mit Schadcode verseucht ist oder Zugangsdaten abphisht. Restaurant in China erlaubt Bezahlung per Gesichtserkennung In China können Kunden in einem Fast-Food-Restaurant jetzt lediglich per Gesichtserkennung und Eingabe ihrer Telefonnummer bezahlen. Der chinesische E-Commerce-Konzern Alibaba hatte die Bezahlmethode „Smile to Pay“ 2015 auf der CeBIT bereits angekündigt. Die Technik sei so ausgelegt, dass erkannt würde, wenn lediglich das Foto oder Video einer Person vor die Kamera gehalten wird. Die Partei kapert Facebook-Gruppen der AfD Am Sonntag hat "Die Partei" 31 bisher geschlossene Facebook-Gruppen der AfD übernommen. Die Mitglieder der Satire-Partei haben dabei keine Sicherheitslücken ausgenutzt, sondern sich als AfD-Sympathisanten ausgegeben. Die Admin-Rechte bekamen sie dann von den bisherigen Administratoren übertragen. Nun wurden die Gruppen öffentlich gestellt und umbenannt – etwa von „Heimat-Liebe“ in „Hummus-Liebe“. Diese und alle weiteren aktuellen Nachrichten finden sie auf heise.de

Schon wieder konnten sich mehrere hundert Apps ueber Googles Play Store auf unzaehlige Smartphones verbreiten und diese mit Schadcode infizieren, um alle Geraete zu einem fernbedienbaren Botnetz zu buendeln. Wozu der Aufwand gut und auch lukrativ ist, erzaehle ich in dieser kurzen Folge.

Kritische Lücke nicht richtig geschlossen: Erneut Acrobat-Updates von Adobe Adobe hat beim August-Patchday eine kritische Lücke in seinem PDF-Reader nicht ausreichend abdichten können. Dabei handelt es sich um einen Speicher-verwaltungsfehler vom Typ Use After Free, den Angreifer missbrauchen können um Schadcode per PDF in den Reader einzuschleusen und dann auszuführen. Jetzt legt die Firma ein Update nach, das Anwender unbedingt installieren sollten. Region Aachen sorgt für Atom-Ernstfall vor Experten zweifeln die Sicherheit belgischer Atommeiler bei einem Störfall an. Keine 70 Kilometer liegen zwischen Aachen und dem wegen Sicherheitsbedenken umstrittenen Kernkraftwerk Tihange. In der Grenzregion gibt es große Zweifel, dass im Ernstfall die Zeit reicht, die Menschen mit hoch dosierten Jodtabletten zu versorgen. Ab Freitag beginnt deshalb die Versorgung der Bevölkerung mit den Tabletten, die verhindern sollen, dass die Schilddrüse radioaktives Jod aufnimmt. Radikale Wende in der Verkehrspolitik von Greenpeace gefordert Weniger Autos, höhere Steuern, keine neuen Fahrzeuge mit Verbrennungsmotoren mehr ab 2025 – das sind zentrale Punkte von Greenpeace für eine radikale Wende in der Verkehrspolitik. Nur dann könnten die Klimaschutzziele erreicht werden, heißt es in einer Studie des Wuppertal Instituts im Auftrag des Umweltverbandes. Es sei möglich, bis 2035 beim Verkehr in Deutschland ohne Öl auszukommen. Dies würde einen deutlichen Beitrag zum Klimaschutz und für bessere Luft leisten. Google Maps informiert über Parkplatzsituation Das Parkplatz-Feature von Google Maps ist ab sofort auch in 25 Städten außerhalb der USA verfügbar. In Deutschland sind Darmstadt, Düsseldorf, Köln, München und Stuttgart dabei. Das Icon am unteren Rand gibt an, wie schwer es sein könnte, am Zielort der Route einen freien Parkplatz zu finden. Diese und alle weiteren aktuellen Nachrichten finden sie auf heise.de

Im Podcast aus Nerdistan stellt Holger Bleich in der aktuellen Folge die Privacy-Checklisten aus der aktuellen c't vor. Nutzer können damit ohne viel Aufwand oder Komfortverlust Geräte, Anwendungen und Internetdienste datenschutzfreundlicher nutzen. Besonders umfangreich ist das bei Windows 10, aber auch Android, iOS, Facebook, Google & Co. lassen sich deutlich anpassen. Dennis Schirrmacher blickt dann zurück in die Vergangenheit und erneuert die lange für obsolet gehaltene Warnung vor Makro-Viren. Mit perfiden Tricks gelingt es Angreifern wieder vermehrt, Word- und Excel-Dokumente für die Verbreitung von Schadcode zu nutzen. Aber Gegenwehr ist möglich. Zuletzt suchen wir mit Jan-Keno Janssen kleine Bluetooth-Tags die eigentlich dabei helfen sollen, den Schlüssel, das Portemonnaie und andere wichtige Utensilien jederzeit wiederzufinden. Die kleinen Helfer versprechen jede Menge, aber wirklich hilfreich scheinen sie häufig trotzdem nicht. Mit dabei: Holger Bleich, Martin Holland, Jan-Keno Janssen, Dennis Schirrmacher Die c't 5/17 gibt's am Kiosk, im heise Shop und digital in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink.

Im Podcast aus Nerdistan stellt Holger Bleich in der aktuellen Folge die Privacy-Checklisten aus der aktuellen c't vor. Nutzer können damit ohne viel Aufwand oder Komfortverlust Geräte, Anwendungen und Internetdienste datenschutzfreundlicher nutzen. Besonders umfangreich ist das bei Windows 10, aber auch Android, iOS, Facebook, Google & Co. lassen sich deutlich anpassen. Dennis Schirrmacher blickt dann zurück in die Vergangenheit und erneuert die lange für obsolet gehaltene Warnung vor Makro-Viren. Mit perfiden Tricks gelingt es Angreifern wieder vermehrt, Word- und Excel-Dokumente für die Verbreitung von Schadcode zu nutzen. Aber Gegenwehr ist möglich. Zuletzt suchen wir mit Jan-Keno Janssen kleine Bluetooth-Tags die eigentlich dabei helfen sollen, den Schlüssel, das Portemonnaie und andere wichtige Utensilien jederzeit wiederzufinden. Die kleinen Helfer versprechen jede Menge, aber wirklich hilfreich scheinen sie häufig trotzdem nicht. Mit dabei: Holger Bleich, Martin Holland, Jan-Keno Janssen, Dennis Schirrmacher Die c't 5/17 gibt's am Kiosk, im heise Shop und digital in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink.

Im Podcast aus Nerdistan stellt Holger Bleich in der aktuellen Folge die Privacy-Checklisten aus der aktuellen c't vor. Nutzer können damit ohne viel Aufwand oder Komfortverlust Geräte, Anwendungen und Internetdienste datenschutzfreundlicher nutzen. Besonders umfangreich ist das bei Windows 10, aber auch Android, iOS, Facebook, Google & Co. lassen sich deutlich anpassen. Dennis Schirrmacher blickt dann zurück in die Vergangenheit und erneuert die lange für obsolet gehaltene Warnung vor Makro-Viren. Mit perfiden Tricks gelingt es Angreifern wieder vermehrt, Word- und Excel-Dokumente für die Verbreitung von Schadcode zu nutzen. Aber Gegenwehr ist möglich. Zuletzt suchen wir mit Jan-Keno Janssen kleine Bluetooth-Tags die eigentlich dabei helfen sollen, den Schlüssel, das Portemonnaie und andere wichtige Utensilien jederzeit wiederzufinden. Die kleinen Helfer versprechen jede Menge, aber wirklich hilfreich scheinen sie häufig trotzdem nicht. Mit dabei: Holger Bleich, Martin Holland, Jan-Keno Janssen, Dennis Schirrmacher Die c't 5/17 gibt's am Kiosk, im heise Shop und digital in der c't-App für iOS und Android. Alle früheren Episoden unseres Podcasts gibt es unter www.ct.de/uplink.