Schlüssel und Zertifikate: Nur eingeschränkte Reaktion von Unternehmen bei Angriffen

Ungesicherte Schlüssel und Zertifikate bieten Angreifern ungehinderten Zugriff auf die Netzwerke ihres Opfers und sorgen dafür, dass sie bei vertrauenswürdigem Status und Zugriff lange Zeit unentdeckt bleiben. Eine Umfrage von Venafi unter 850 Unternehmen zeigt, dass viele nicht wissen, wie sie Schwachstellen bei Schlüsseln und Zertifikaten erkennen und darauf reagieren können. Doch Unternehmen, die nicht…


Ein Jahr nach Heartbleed: Drei Viertel aller Unternehmen nicht vollständig geschützt

Die SSL-Sicherheitslücke “Heartbleed” stellt auch ein Jahr nach Bekanntwerden immer noch ein großes Risiko dar. Deutsche Unternehmen sind davon vergleichsweise wenig betroffen: Sie setzen im Vergleich nur wenig OpenSSL ein. Gleichzeitig setzen sie aber insgesamt immer noch zu wenig auf Verschlüsselung, wie aus einer Studie hervorgeht. Die Mehrheit der 2000 weltweit untersuchten Unternehmen ist auch…


Hacker missbrauchen Business-Anwendungen für Angriffe

Hacker nutzen zunehmend gängige Business-Anwendungen aus, um Sicherheitsmechanismen beim Angriff auf Unternehmensnetzwerke zu umgehen. Das ist eine der Erkenntnisse des “Application Usage and Threat Report 2014” von Enterprise-Security-Spezialist Palo Alto Networks. Die Studie basiert nach eigenen Angaben auf der Analyse erfasster Traffic-Informationen aus 5500 Netzwerken, 2100 Anwendungen und mehreren Milliarden Logdaten zwischen März 2013 und…


Cookie-Klau: Sicherheitslücke in WordPress

WordPress ist unbestritten das weltweit beliebteste Content Managementsystem für Blogs. Jetzt hat die US-IT-Expertin Yan eine neue Sicherheitslücke in WordPress entdeckt: Der „wordpress_logged_in“ genannte Cookie wird demnach unverschlüsselt per HTTP zum jeweiligen Endgerät gesendet, von dem aus sich der legitime Anwender einloggt. Dabei sollte die Eigenschaft “secure flag” bei sicherheitsrelevanten Cookies immer gesetzt sein, so…


Amazon-1-Click-Erweiterung für Chrome entsichert HTTPS-Verbindungen

HTTPS ist hoffentlich jedem bekannt: Die Verbindung zwischen Server und Endgerät wird verschlüsselt, Lauscher haben schlechte Karten. Zwar gibt es Wege, die Verschlüsselung auszuhebeln, diese setzen allerdings meist eine aufwändige Man-in-the-Middle-Umgebung voraus. Einfacher geht es, um es sarkastisch auszudrücken, zumindest laut dem Sicherheitsforscher Krzysztof Kotowicz, wenn das Opfer die Amazon-1-Click-Erweiterung (erhältlich für Firefox und Chrome)…


Ab August: RSA-Keys mit weniger als 1024 Bit werden blockiert

Am 14. August veröffentlicht Microsoft ein kritisches Update für Windows XP, Server 2003, Server 2003 R2, Vista, Server 2008, Windows 7 und Server 2008 R2. Dieses behebt zwar keine direkte Schwachstelle, erhöht aber die allgemeine Sicherheit für Windows – denn ab diesem Zeitpunkt werden kryptografische Schlüssel mit weniger als 1024 Bit blockiert. Uns ist allerdings…