Skip to content

Der SIM-Karten-Hack und Lenovos MitM-Zertifikat - Schlimmer geht immer!

Es gibt neue Informationen zum SIM-Karten-Hack und der ein MitM-Zertifikat installierenden Adware auf Lenovo-Notebooks. Und wie üblich keine guten, denn Sie wissen ja: Schlimmer geht immer. Das schreit natürlich nach einem Kommentar.

Gemalto meint, der SIM-Karten-Hack hat gar nicht stattgefunden

"Der SIM-Karten-Hack und Lenovos MitM-Zertifikat - Schlimmer geht immer!" vollständig lesen

Kryptodebatte? Hatten wir doch schon!

Da die Überwachungsfanatiker mal wieder nach Hintertüren in Verschlüsselungen schreien, sei an den folgenden Artikel des leider viel zu früh verstorbenen Andreas Pfitzmann anlässlich der ersten Krypo-Debatte erinnert:

Andreas Pfitzmann:
Wie es zum Schlüsselhinterlegungs- und Aufbewahrungs-Gesetz (SchlAG) kam;
PIK, Praxis der Informationsverarbeitung und Kommunikation, 18/4 (1995) 246.

Zu finden im Archiv der SIRENE-Gruppe (in dem es auch noch einige weitere Texte zur ersten Krypo-Debatte gibt) als Pfit10_95SchlAG.ps.gz.

"Kryptodebatte? Hatten wir doch schon!" vollständig lesen

Microsofts erster Patchday 2015 bringt den ersten 0-Day-Exploit

Am ersten Patchday des Jahres 2015 hat Microsoft auch schon die erste für Angriffe genutzte Schwachstelle gemeldet: Ein lokal ausnutzbare Privilegieneskalation. Und zwei weitere 0-Day-Schwachstellen der gleichen Kategorie behoben. Und das sind nicht die einzigen 0-Day-Schwachstellen im noch so neuen Jahr 2015: Auch in mehreren Corel-Programmen wurden 0-Day-Schwachstellen gemeldet.

Schwachstelle und Proof-of-Concepts veröffentlicht, aber keine Angriffe

"Microsofts erster Patchday 2015 bringt den ersten 0-Day-Exploit" vollständig lesen

2014 - Das Jahr, in dem die Schwachstellen Namen bekamen

2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.

Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht? Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben alles. Im Jahr 2014 auch für Schwachstellen.

Aber fangen wir vorne an. Die erste "berühmte" Schwachstelle war der im April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es Schwachstellen mit Namen. Jedenfalls irgendwie:

21. Februar - Apples "GOTO FAIL"-Schwachstelle

"2014 - Das Jahr, in dem die Schwachstellen Namen bekamen" vollständig lesen

Vor Weihnachten ist noch einiges zu tun...

Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu sind", sondern einige Aufgaben rund um die IT (die natürlich auch außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber im allgemeinen Trubel gehen sie jetzt schnell unter):

1. Sind alle Passwörter sicher?

"Vor Weihnachten ist noch einiges zu tun..." vollständig lesen

Die aktuelle 0-Day-Schwachstelle im IE - kein Grund zur Panik!

Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF

Das ist alles total übertrieben. Wieso? Weil es "nur" eine 0-Day-Schwachstelle ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik. Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was machen Sie denn dann wegen der womöglich zig hundert noch gar nicht entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!

Die Details zur aktuellen Schwachstelle ...

"Die aktuelle 0-Day-Schwachstelle im IE - kein Grund zur Panik!" vollständig lesen

Ein Worst Case Szenario: Wenn über E-Zigaretten die Passwortmanager des IoT ausgespäht werden

Die Überschrift kann ja gar nicht passieren? Wieso denn nicht? Die einzelnen Bestandteile sind schon "in the Wild" im Umlauf, es muss sie nur noch irgend ein Cyberkrimineller kombinieren, und schon geht es los...

Angriffsvektor USB

"Ein Worst Case Szenario: Wenn über E-Zigaretten die Passwortmanager des IoT ausgespäht werden" vollständig lesen