Zwar fallen die Specs von Quantencomputern im Vergleich zu handelsüblichen „klassischen“ Rechnern immer noch bescheiden aus, allerdings wurden auf diesem Gebiet in den letzten zwei Jahren erhebliche Fortschritte erzielt. Ganze 256 „Qubits“ (Quanten-Bits) umfasst nun ein neu angekündigter Chip, und nächstes Jahr soll die Kilo-Qubit-Grenze fallen. Noch reicht dies nicht, um Algorithmen wie RSA, Diffie-Hellman und elliptische Kurven zu brechen. Sollte die Entwicklung allerdings in diesem Tempo weitergehen, müssen wir Schätzungen ernst nehmen, nach denen Quantencomputer in „5-15“ Jahren verfügbar […]

Die Sicherheit der Impfzertifikats-PKI ist in manchen Ländern noch eine Baustelle. So präsentierten Unbekannte Impfzertifikate, die sie auf den Namen „Adolf Hitler“ ausstellen konnten. Angeblich hatten sie Zugriff auf die privaten Schlüssel der CA-Zertifikate von Frankreich und Polen. Allerdings ist die Kompromittierung der Root-CA nur eine mögliche Erklärung dieses Zwischenfalls. Leider ist die Aufklärung des Sachverhalts erschwert, da das zuständige Gesundheitsministerium keine Details zum Sperrverfahren preisgeben möchte. https://www.golem.de/news/impfnachweise-covid-zertifikat-fuer-adolf-hitler-aufgetaucht-2110-160633.html

Die US-Bankenaufsicht hat hart durchgegriffen und die sogenannte „Final Rule“ veröffentlicht: Demnächst müssen US-Banken und ihre Dienstleister Security Incidents innerhalb von 36 Stunden melden. Zusätzlich sind „asap“ auch betroffene Kunden zu informieren, wenn es plausibel erscheint, dass ein Ausfall oder eine Störung durch einen Cyber-Vorfall mehr als vier Stunden dauern könnte. Die Regelung tritt am 1.5.2022 in Kraft. https://www.fdic.gov/news/board-matters/2021/2021-11-17-notational-fr.pdf

Aus den Verhandlungen Neue Forschung zum Thema Ransomware-Ökonomie inklusive Original-Beispielen aus Erpresserverhandlungen: Auf die Ohren Manuel Atug von HiSolutions zu Gast im Percepticon-Podcast von Matthias Schulze zum Thema Ransomware:

Forscher der „Deception“-Abteilung von Microsoft haben ihre Honeypots umfangreich ausgewertet und dabei interessante Erkenntnisse über Brute-Force-Angriffe gewonnen. So stellte sich heraus, dass Angreifer eher selten versuchen, Passwörter mit einer Länge von mehr als zehn Zeichen zu erraten. Zahlen als Teil des Passworts werden oft probiert, Sonderzeichen hingegen schon seltener. Geheimtipp: Leerzeichen als Teil des Passworts vermuten die Angreifer scheinbar nie. 😉 https://therecord.media/attackers-dont-bother-brute-forcing-long-passwords-microsoft-engineer-says/