E-Mail-Provider Posteo unterstützt DANE/TLS
Damit erhöht das Berliner Unternehmen die Sicherheit in der E-Mail-Kommunikation. Unrechtmäßig erzeugte oder gestohlene Zertifikate stellen mit der DANE-Technik keine Gefahr mehr dar. weiter
Damit erhöht das Berliner Unternehmen die Sicherheit in der E-Mail-Kommunikation. Unrechtmäßig erzeugte oder gestohlene Zertifikate stellen mit der DANE-Technik keine Gefahr mehr dar. weiter
Das Programm läuft bis Ende Juni. Es steht jedermann offen. Die für Firefox 31 geplante neue Bibliothek pkix soll künftig auch in anderen Mozilla-Programmen zum Einsatz kommen. Sie ist robuster als ihr Vorgänger, ihr Code aber auch deutlich kürzer. weiter
ChaCha20 ist für symmetrische Verschlüsselung gedacht, Poly1305 für Authentifizierung. Beide hat Sicherheitsforscher Daniel Bernstein aus Chicago entwickelt. Eine Standardisierung ist in Arbeit. Sie profitieren von Hardware-Unterstützung auf ARM-Chips. weiter
Am 10. April waren es noch 220 Millionen, am 17. April 150 Millionen. Die Studie von FireEye berücksichtigt allerdings nur Apps aus Googles Play Store. Die meisten Heartbleed-Scanner für Android liefern offenbar keine zuverlässigen Ergebnisse. weiter
Die US-Normenbehörde schreibt nun: "NIST empfiehlt aktuellen Nutzern von Dual_EC_DRBG, sobald wie möglich zu einem der verbleibenden empfohlenen Algorithmen zu wechseln." Bis 23. Mai sind noch Kommentare und Widersprüche möglich. weiter
Die meisten Betreiber haben inzwischen reagiert und ihre Webserver abgesichert - aber nicht alle. Sicherheitsforscher berichten von einem erfolgreichen Angriff auf ein VPN, bei dem Heartbleed benutzt wurde. Das BSI sieht weiteren Handlungsbedarf, da Angriffe nun zunehmend auf andere Systeme erfolgen, die OpenSSL einsetzen. weiter
Google zufolge ist aber nur Android 4.1.1 betroffen, da in höheren Versionen der fragliche Code nicht aktiv ist. Insgesamt sind weniger als 5 Prozent der von Lookout getesteten Android-Smartphones betroffen. Die Hälfte davon kommt von HTC. weiter
Matt Cutts soll dies vorgeschlagen haben. Damit würde der Nachteil langsamerer Server-Reaktionszeiten aufgehoben und langfristig die Privatsphäre gestärkt. Es handelt sich allerdings nur um erste interne Diskussionen, weiter
CloudFlare hatte an der praktischen Durchführbarkeit eines solchen Angriffs gezweifelt und einen Wettbewerb ausgeschrieben. Übers Wochenende gelang es insgesamt vier Sicherheitsforschern, den Private Key des Unternehmens zu stehlen. weiter
Obamas Geheimdienstreform enthält laut New York Times ein Schlupfloch. Die NSA darf demnach Schwachstellen für sich behalten, wenn sie für die Überwachung oder die Strafverfolgung benötigt werden. Alle anderen von ihr gefundenen Anfälligkeiten muss sie jedoch offenlegen. weiter
Der US-Auslandsgeheimdienst ist laut Bloomberg seit mindestens zwei Jahren über den schwerwiegenden Fehler informiert, der Zugriff auf Server-Inhalte gibt. Er soll ihn regelmäßig für seine Spähprogramme genutzt haben. Das Dementi der National Security Agency stößt rundum auf Skepsis. weiter
Laut Unternehmensangaben hat zu keiner Zeit Gefahr für die von Nutzern hinterlegten Passwörtern bestanden. Diese verschlüsselt LastPass vor dem Transport über OpenSSL. weiter
Fixes liegen inzwischen für CentOS, Debian, Fedora, Red Hat, openSUSE, and Ubuntu vor. SUSE Linux Enterprise Server war von dem Fehler nicht betroffen, der den Zugriff auf den flüchtigen Speicher eines Webservers ermöglicht. OpenSSL hatte ihn am 7. April mit Version 1.01g korrigiert. weiter
Angreifer können ohne Berechtigung das Memory auslesen und ihm Usernamen und Passwörter oder gar Private Keys entnehmen. Ein Fix ist bereits erschienen. Ein Problem bleibt auch nach dem Einspielen: Eigentlich müsste jedes potenziell kompromittierte Passwort und jedes Zertifikat gewechselt werden. weiter
Der neue Datensicherheitsbeauftragte Alex Stamos hat große Ziele: "Die Überwachung von Millionen Menschen gleichzeitig zu verhindern liegt absolut innerhalb unserer Möglichkeiten." Bisher sind aber nur Homepage und Mail nach Stand der Technik abgesichert. weiter
RSA BSAFE Share für C/C++ macht den ohnehin angreifbaren Algorithmus Dual EC noch einmal um Faktor 65.000 schneller entschlüsselbar. Den universitären Forschern zufolge genügt dafür ein alter Laptop. Sie raten vom Einsatz von Dual EC dringend ab. weiter
Zwar ist HTTPS schon seit 2010 die Standardeinstellung, bisher konnten Nutzer aber auf eine HTTP-Verbindung umstellen. Diese Option hat Google jetzt entfernt. Die Verschlüsselung soll keine Auswirkungen auf die Performance haben und die Kommunikation abhörsicher machen. weiter
Sie soll Sprachverschlüsselung plattformunabhängig für große Firmen, Mittelständler und Privatpersonen verfügbar machen. Entwickelt wurde die App zusammen mit Secusmart, das bereits das "Kanzler-Phone" abgesichert hat. Eine Alternative zeigt in Hannover Digitrade mit "Chiffry". weiter
Sämtliche Kommunikation wird mit 128 Bit Schlüsselstärke abgesichert. Telefonie und SMS sind kostenlos, für Datenverkehr zahlen Amerikaner ab dem dritten Monat 10 Dollar. Das Smartphone selbst mit Hardware von 2011 kostet 189 Dollar weiter
Die betroffenen WeMo-Produkte sind auch hierzulande erhältlich. Ein Angreifer könnte aus der Ferne an die Steckdosen angeschlossene Geräte kontrollieren. [Update] Der Hersteller hat die Sicherheitsprobleme mit aktualisierten Firmwares inzwischen behoben. weiter
Sie fordern die Regierung auf, Versuchungen zu widerstehen: "Die Entscheidung besteht nicht darin, ob die NSA spioniert oder nicht. Die Entscheidung ist die zwischen einer im Kern anfälligen Kommunikationsinfrastruktur und einer, die im Wesentlichen sicher zu benutzen ist." weiter
Die Verstärkung der Sicherheitsmaßnahmen nach dem NSA-Skandal bereitet ihm zufolge China heute schon große Probleme. Google werde "den Menschen ihre Stimme zurückgeben". Von China gehen laut Schmidt 80 bis 85 Prozent aller Industriespionage aus. weiter
Sie verwendet den PGP-Standard mit 2048 respektive 4096 Bit. Die Bedienung erfolgt wie bei einem herkömmlichen Webmail-Dienst über den Browser. Außer einer Basisversion für Privatanwender und Kleinunternehmen wird es zum Start im Februar auch eine Enterprise-Variante geben. weiter
Vor einem Monat hatte es Entwickler erstmals informiert. Nach einem Blackout Day gab es gestern noch eine letzte Warnung. Ab heute werden Klartext-Zugriffe abgewiesen. Für Endanwender ist schon seit 2011 der Einsatz von HTTPS verpflichtend. weiter
HTTPS ist ihm zufolge nicht bei allen Yahoo-Servern gleich implementiert. Yahoo Mail setzt demnach noch auf das als schwach geltende Verschlüsselungsverfahren RC4. Die sicherere Alternative AES nutzt Yahoo für seinen Anmeldedienst - allerdings ohne Schutz vor bekannten Angriffen. weiter
Es führt die Verschlüsselung einen Tag früher ein als angekündigt. Die verwendeten Zertifikate sichert Yahoo mit 2048-Bit-Schlüsseln ab. Der Internetkonzern reagiert mit der erhöhten Sicherheit für seine Nutzer auf die Enthüllungen über die Spähprogramme der NSA. weiter
Für die Entwicklung eines Quantencomputers stehen bis zu 80 Millionen Dollar zur Verfügung. Die Technik soll auch helfen, die Kommunikation der US-Regierung zu schützen. Die NSA befürchtet, die EU oder die Schweiz könnten vor ihr über einen Quantencomputer verfügen. weiter
Die heutige EMC-Tochter widerspricht der Meldung von Reuters allerdings "kategorisch". Sie hat nie ein Geheimnis aus ihrer Zusammenarbeit mit dem Geheimdienst gemacht, aber keine Lücken eingebaut. Insbesondere geht es um eine im September durch Snowden-Dokumente bekannt gewordene Hintertür. weiter