Topthemen:

Heartbleed - der GAU für Verschlüsselung im Internet

Die weit verbreitete Krypto-Bibliothek OpenSSL enthielt einen Programmierfehler, der es erlaubte, von betroffenen Systemen geheime Schlüssel, Passwörter und andere Daten auszulesen. Krypto-Guru Bruce Schneier stuft den Fehler als "Katastrophe" ein: "Auf einer Skala von 0 bis 10 ist das eine 11".

OpenSSL hört nicht auf zu bluten

Eine Analyse der öffentlich im Internet erreichbaren Systeme zeigt, dass immer noch Hunderttausende für die OpenSSL-Lücke Heartbleed anfällig sind. Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud.

23. Januar 2017, 15:16 Uhr
115 Kommentare
Eine Meldung von: heise security

Sicherheit für Open Source: Mozilla spendiert SOS-Fonds

Damit Lücken wie Heartbleed und Shellshock künftig frühzeitig behoben werden, hat Mozilla einen SOS-Fonds für freie Software ins Leben gerufen. Erste Fehler haben Sicherheitsexperten bereits in PCRE, libjpeg-turbo und phpMyAdmin gefunden.

10. Juni 2016, 18:00 Uhr
1 Kommentare
Eine Meldung von: iX

Ministerium für digitale Infrastruktur pfuscht beim eigenen Web-Server

Der Web-Server des Bundesministeriums für Verkehr und digitale Infrastruktur war bis Donnerstag morgen anfällig für Datenklau via Heartbleed. Das ist so ziemlich einer der übelsten Fehler, die man beim Einrichten eines sicheren Web-Servers machen kann.

29. April 2016, 06:30 Uhr
208 Kommentare
Eine Meldung von: heise security

Aviva-Hacker zu 18 Monaten Haft verurteilt

Der Mitgründer einer Sicherheitsfirma hatte rund 900 iPhones der britischen Versicherung Aviva gelöscht, um sich an seinen ehemaligen Kollegen zu rächen.

26. August 2015, 17:15 Uhr
8 Kommentare
Eine Meldung von: heise security

Freie Software finanzieren: ISC unterstützt die Konkurrenz Nlnet Labs

Das ISC will den niederländischen Kollegen von NlNet Labs mit seinem Sales-Team unter die Arme greifen. Das schlägt ISC-Chef Jeff Osborn zu der Frage vor, wie freie Software sicher finanziert werden kann.

06. November 2014, 12:44 Uhr
7 Kommentare

Black Hat 2014: Und das Pwnie geht an...

Jedes Jahr werden auf der Black-Hat-Konferenz mit einer glamourösen Zeremonie die Pwnie Awards verliehen. Dieses Jahr ging der Security-Oscar unter anderem an Heartbleed, Apple, den Hacker Geohot und Mt.Gox-Chef Mark Karpeles.

08. August 2014, 13:59 Uhr
8 Kommentare
Eine Meldung von: heise security

Oracles Juli-Update mit Heartbleed-Fix und einem Déjà-vu

Die Firma schließt mit ihrem monatlichen Critical Patch Update (CPU) diesmal 113 Lücken. Eine ganze Reihe davon ist kritisch. Ein Bug wurde zum zweiten Mal ausgemerzt.

16. Juli 2014, 15:14 Uhr
55 Kommentare
Eine Meldung von: heise security

Verschlüsselung: LibreSSL wird flügge

Die Entwickler des OpenSSL-Forks LibreSSL haben die erste Version ihrer Software veröffentlicht, die andere Plattformen als OpenBSD unterstützt. Damit schickt sich die SSL-Bibliothek an, eine echte Alternative zum Heartbleed-geplagten OpenSSL zu werden.

14. Juli 2014, 11:50 Uhr
116 Kommentare
Eine Meldung von: heise security

OpenSSL legt Sanierungsplan vor

Nach der Heartbleed-Katastrophe hat das OpenSSL-Projekt nun eine Roadmap veröffentlicht, die helfen soll, organisatorische Mängel im Entwicklungsprozess auszubessern.

02. Juli 2014, 16:01 Uhr
132 Kommentare
Eine Meldung von: heise security

Heartbleed-Aufräumaktion kommt zum Erliegen

Der SSL-GAU ist gut zweieinhalb Monate her und immer noch sind Hunderttausende von Servern verwundbar. Die Patchwelle scheint zum Erliegen gekommen zu sein; das kann fatale Konsequenzen nach sich ziehen.

23. Juni 2014, 17:05 Uhr
72 Kommentare
Eine Meldung von: heise security

Noch mehr Herzbluten bei OpenSSL

Der Verursacher der Heartbleed-Lücke hat weiteren Code zum Open-Source-Projekt beigetragen. Und auch der hat offensichtliche Sicherheitslücken.

06. Juni 2014, 12:52 Uhr
706 Kommentare
Eine Meldung von: heise security

1Password für OS X mit besseren Sicherheitswarnungen

Seit der vorletzten Version kann der Passwortmanager anzeigen, ob ein Server aktuell gefährdet ist. Das Feature wurde nun sinnvoll erweitert. Zudem gibt's Bugfixes.

05. Juni 2014, 11:14 Uhr
Eine Meldung von: Mac & i

Linux Foundation finanziert OpenSSL-Entwickler

Die Core Infrastructure Initiative der Linux Foundation bezahlt zwei Entwicklerstellen für das OpenSSL-Projekt. Auch einige weitere Open-Source-Projekte erhalten Geld.

02. Juni 2014, 14:00 Uhr
50 Kommentare

SSL-Gau: Heartbleed-Angriff über WLAN

Ein Proof-of-Concept-Tool zeigt, dass der Heartbleed-Angriff auch im WLAN funktioniert, wenn zur Authentifizierung EAP genutzt wird. Davon sind Access Points und Clients gleichermaßen betroffen.

02. Juni 2014, 13:51 Uhr
44 Kommentare
Eine Meldung von: heise security

Experte: Gesundheits-IT ist unsicher

Fred Trotter von Open Source Health erwartet, dass es in absehbarer Zeit bei digitalen Patientenakten zu größeren Leaks kommt. Bei Sicherheitslücken in Gesundheits-IT-Systemen sei ein dynamisches Reagieren wie bei Heartbleed eher schwer.

27. Mai 2014, 07:41 Uhr
72 Kommentare

Meinung: Herzbluten bei den Gesundheitsdaten

Meinung: Patienteninformationssysteme sind unsicher

IT-Security-Forscher warnen, dass sensible Patienteninformationssysteme nicht selten Sicherheitslücken aufweisen, die spät oder gar nicht gestopft werden. Das könnte bald fatale Folgen haben.

27. Mai 2014, 06:00 Uhr
Eine Meldung von: Technology Review

Nach SSL-GAU Heartbleed: LibreSSL sieht sich auf dem richtigen Weg

Die Macher des OpenSSL-Forks ziehen nach 30 Tagen Entwicklung eine positive Bilanz. Man habe viel "schrecklichen Code" gesehen, aber auch viele Fortschritte gemacht. Trotzdem gäbe es noch viel zu tun, wenn man einen neuen Heartbleed-GAU verhindern wolle.

21. Mai 2014, 11:20 Uhr
221 Kommentare
Eine Meldung von: heise security

Heartbleed-Betroffene stecken Kopf in den Sand

Wer einen Server mit einer für Heartbleed anfälligen OpenSSL-Version betrieben hat, muss damit rechnen, dass seine Private Keys kompromittiert wurden. Trotzdem sind diese in den meisten Fällen immer noch im Einsatz.

14. Mai 2014, 15:11 Uhr
121 Kommentare
Eine Meldung von: heise security

lost+found: Was von der Woche übrig blieb

Heute unter anderem mit: Einem DCF77-Hack, Diamanten gegen Krypto, Fingerabdrücken im Netzwerk, Pawlowschen Hunden, Ende-zu-Ende-Verschlüsselung für Gruppenchats, etwas Herzblut und spiegelnden Glasflächen.

09. Mai 2014, 17:51 Uhr
Eine Meldung von: heise security

1Password mit Heartbleed-Warnfunktion

Die Mac-Version des Passwort-Managers informiert Nutzer auf Wunsch darüber, ob sie ein Kennwort auf einer von der Heartbleed-SSL-Schwachstelle betroffenen Seite ändern sollten.

05. Mai 2014, 19:17 Uhr
2 Kommentare
Eine Meldung von: Mac & i

Heartbleed: US-Regierung hält IT-Schwachstellen geheim

Nachdem die SSL-Lücke Heartbleed bekannt geworden war, wurde berichtet, die NSA habe von der Lücke gewusst. Das bestreitet die US-Regierung weiter, gibt aber zu, gefundene Sicherheitslücken nicht immer zu veröffentlichen.

29. April 2014, 11:20 Uhr
70 Kommentare
Eine Meldung von: heise security

lost+found: Was von der Woche übrig blieb

Heute unter anderem mit: Heartbleed macht bei Servern das Licht aus, einem Exploit für Gegenangriffe, einem Tool das IPs ausspuckt und einem selbst gebauten Passwort-Safe.

25. April 2014, 15:41 Uhr
2 Kommentare
Eine Meldung von: heise security

SSL-Gau Heartbleed: Linux Foundation organisiert Millionen für OpenSSL

Die Linux Foundation hat jede Menge namhafter Unternehmen organisiert, die Millionen für OpenSSL und ähnlich wichtige Open-Source-Projekte bereitstellen wollen. Vorher hatte das OpenSSL-Projekt um Geld für die eigene Arbeit gebeten.

24. April 2014, 15:57 Uhr
157 Kommentare

Android-Apps mit Heartbleed-Lücke, aber ...

Heartbleed bringt nicht nur Server, sondern auch Clients in Gefahr. FireEye hat nun potenziell verwundbare Android-Apps aufgespürt. Grund zur Panik ist das allerdings nicht.

24. April 2014, 14:43 Uhr
19 Kommentare
Eine Meldung von: heise security

Unverhofftes Update für Webbrowser Opera 12

Ja, er lebt noch: Opera kredenzt seinem alten Browser ein Sicherheits-Update. Den Hoffnungen auf Freigabe oder Weiterentwicklung des Codes gibt dies aber keine neue Nahrung.

24. April 2014, 13:41 Uhr
110 Kommentare

OpenBSD-Team arbeitet an OpenSSL-Fork

Nach dem Heartbleed-Bug konzentriert sich das OpenBSD-Team auf einen eigenen Fork und startet das LibreSSL-Projekt. Noch arbeiten die Programmierer am Aufräumen des Codes, worunter die Website leidet.

22. April 2014, 17:27 Uhr
1 Kommentare
Eine Meldung von: iX

Heartbleed und das Sperrproblem von SSL

Nach dem Beseitigen des Heartbleed-Problems sperrten viele Admins vorsorglich ihre SSL-Zertifikate und besorgten sich neue. Trotzdem bedeuten geklaute Server-Schlüssel auch weiterhin ein Problem – denn das Sperren funktioniert eigentlich nicht.

22. April 2014, 16:42 Uhr
333 Kommentare
Eine Meldung von: heise security

OpenBSD-Team bereinigt und forkt OpenSSL

OpenSSL ist historisch gewachsen und unübersichtlich. Das OpenBSD-Team hat deshalb einen Fork namens LibreSSL gestartet, der von Ballast befreit werden soll.

22. April 2014, 16:21 Uhr
265 Kommentare
Eine Meldung von: heise security

Zugriff auf SMS-Nachrichten und Tor-Traffic dank Heartbleed

Hackern ist es gelungen, die von SMS-Gateways verschickten Nachrichten auszulesen – Tokens zur Zwei-Faktor-Authentisierung inklusive. Und auch Tor-Exitnodes geben beliebige Speicherinhalte preis.

17. April 2014, 15:55 Uhr
31 Kommentare
Eine Meldung von: heise security

lost+found: Was von der Woche übrig blieb

Wegen Ostern schon am Donnerstag: Webseiten-Gruselkabinett, CSRF, Key-Klau durch Heartbleed, drei Security-Tools in neuen Version, eine Adobe-Reader-Lücke für Android und Entwickler-Tipps für sichere Apps.

17. April 2014, 12:43 Uhr
mit Video
Eine Meldung von: heise security