Kategorie: News

News

Mal überlegen ob überlegen: Erste „Quanten-Supremacy“ erreicht

Nachdem bereits vor einer Weile die erste tatsächlich erreichte „Quanten-Supremacy“ verkündet worden war, hat Google nun endlich den offiziellen Bericht zu dem Erfolg in der Grundlagenforschung herausgebracht. Supremacy (Überlegenheit) bedeutet hier, dass ein Quantencomputer ein praktisches Problem schneller als jeder konventionelle Computer löst. Objektiv ist dies eindrucksvoll gelungen: Der supraleitende Quantenrechner konnte in 200 Sekunden eine Aufgabe berechnen, für die ein konventioneller Supercomputer 10.000 Jahre brauchen würde. Der Konkurrent IBM behauptet zwar, das Problem in einem theoretisch möglichen Supercomputer in 2 ½ Tagen bewältigen zu können, aber an der Überlegenheit ändert dies nichts.

Allerdings war das zu berechnende Problem aus der theoretischen Chemie so speziell auf den Erfolg geschneidert, dass es keinerlei sinnvolle Anwendung hat. Insofern ist Supremacy nicht gleich sinnvolles Ergebnis. Trotzdem ist hiermit ein technischer und theoretischer Meilenstein erreicht worden, den einige Kritiker den Quantencomputern bzw. ihren Konstrukteuren nie zugetraut hatten. Bis zum Brechen von Verschlüsselung ist noch ein längerer Weg – von dem allerdings ein wichtiger Schritt nun geschafft wurde.

https://www.heise.de/newsticker/meldung/Jetzt-auch-offiziell-Googles-Quantencomputer-zeigt-Quantum-Supremacy-4565771.html

News

Selbstvertrauen oder klein bei? Browser geben XSS-Schutz auf

In der aktuell verteilten Version des Chrome-Browsers ist der sogenannte XSS-Auditor, der seit 2010 (Chrome Version 4) versucht hatte, Nutzer vor Cross-Site Scripting (XSS) zu schützen, nicht mehr enthalten. Das Katz- und Maus-Spiel mit den Angreifern war zu schwierig, immer wieder wurden Lücken in dem Filter gefunden. Nun hat Google an dieser Front aufgegeben, so wie schon Microsoft letztes Jahr in Edge. Zwar stehen Web-Standards wie Content Security Policy (CSP) bereit, die XSS weitgehend einschränken können. Diese müssten jedoch von Seitenbetreibern viel konsequenter eingesetzt werden.

Für den Selbstschutz des Browsers ist ein Neubeginn angekündigt. Ein neuer offener Standard „Trusted Types API“ soll angeblich in der Lage sein, zumindest DOM-basiertem XSS ein für alle Mal den Garaus zu machen.

https://www.zdnet.com/article/google-to-remove-chromes-built-in-xss-protection-xss-auditor/

News

Mixed Feelings: Mixed Content zum Abschuss freigegeben

„Mixed Content“ im WWW bedeutet, dass sich auf einer verschlüsselten Seite auch unverschlüsselte Elemente befinden. Bisher erlaubten Browser dies noch – in der Rege mit Warnung – oder ließen es zumindest freischalten. In Chrome 80 (1/2020) werden zunächst audio+video von http: zu https: auto-remapped. Mixed Content kann immer noch freigeschaltet werden. Ab Chrome 81 (2/2020) werden auch Bilder auf https: zwangsgemapped. Mixed Content kann dann nicht mehr freigeschaltet werden. Andere Browser dürften nachziehen. Höchste Zeit also, alten Seiten mit diesem archaischen und unsicheren Überbleibsel das Gnadenbrot zu entziehen.

https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html

News

Google petzt gegen Google: GP0 findet Android Zeroday

Eine Sicherheitslücke in Android-Telefonen wird offenbar bereits aktiv von Kunden des berüchtigten Anbieters NSO Group ausgenutzt. Das geht aus einem Bericht von Maddie Stone, einer Sicherheitsforscherin von Googles Project Zero, hervor. Es handelt sich um einen Use-after-Free-Bug im Linux-Kernel, mit dem sich auf Android-Telefonen Rechte ausweiten lassen. Ausgenutzt werden kann er von einer bösartigen Applikation oder im Zusammenspiel mit weiteren Bugs auch im Browser.

https://www.golem.de/news/linux-kernel-android-bug-wird-von-nso-group-angegriffen-1910-144250.html

News

Lesetipps Oktober 2019

Klima der Unsicherheit

Beim Lesen des folgenden Kommentars in der New York Times wird klar, dass die Begrenzung des Klimawandels und die Schaffung nachhaltiger Security zum Teil vor vergleichbaren Herausforderungen stehen – wenn auch die Auswirkungen auf unser Leben sehr unterschiedlich sind. Insbesondere die Bepreisung zukünftiger, bisher nicht eingetretener Risiken ist ein schweres Problem. Zu wünschen wäre, dass die zwei Felder voneinander lernen können.

https://www.nytimes.com/2019/10/23/opinion/climate-change-costs.html


Sinnkrise der Security

Heute hörens- und sehenswerter denn je ist Thomas Dulliens (Hackerhandle @halvarflake) Keynote „Why We are Not Building a Defendable Internet“ von der Black Hat Asia 2017. Er stellt darin genau die Fragen, die wir alle beantworten müssen, um zu begründen, warum und auf welche Weise wir heute weiter Security betreiben wollen, um unseren Beitrag zur Verbesserung der Welt zu leisten.

https://www.youtube.com/watch?v=PLJJY5UFtqY

News

It’s Magic: Wieder Fortinet-Backdoor

In der FortiGate SSL-VPN-Appliance des kalifornischen Security-Hardware-Herstellers Fortinet ist eine kritische Backdoor gefunden worden. Durch einfaches Setzen eines „magic“-Parameters konnte jeder Unbefugte die Passwörter ändern. Fortinet, schon 2016 in einen Backdoor-Skandal verwickelt, ist um Schadensbegrenzung bemüht. Allerdings lässt sich solch eine gravierende Lücke nur durch Vorsatz oder ganz grobe Mängel in der Qualitätssicherung erklären – beides keine guten Aussichten für einen Security-Vendor. Fortinet selbst deutet in sozialen Medien vielsagend-nebulös an, dass „ein bestimmter Kunde“ diese Backdoor gefordert habe, die nur „versehentlich“ in den Master für alle Appliances gelangt sei. Das Vertrauen wird man nun erst wieder herstellen müssen.

https://www.securitynewspaper.com/2019/08/29/fortinet-backdoored-fortios-or-hackers-did-for-monitoring-since-last-5-years/

News

Security für die Biotonne? Bioterrordatenpanne

Das US-Department für Homeland Security hat Daten des nationalen „Bioterrorismus-Verteidigungsprogramms“ über zehn Jahre auf einer unsicheren Website im Internet gehostet. Informationen wie die Lokationen bestimmter Luftsensoren in U-Bahn-Stationen und an weiteren öffentlichen Orten in mehr als 30 Städten waren ebenso verfügbar wie Testergebnisse und Listen von Stoffen, die erkannt werden können. Auch Response-Pläne für den Ernstfall hätten Interessierte jederzeit relativ leicht herunterladen können. Es ist unklar, ob die Daten tatsächlich in falsche Hände gelangt sind.

https://www.latimes.com/science/sciencenow/la-sci-biowatch-20190402-story.html

News

Messbasher: Cyberangriff auf Stuttgarter Messe

Ein Angriff auf die IT der Messe Stuttgart hat auch Prozesse bei drei Tochterfirmen der Stadt Stuttgart lahmgelegt, welche von der Messe-IT mitversorgt werden. Die Stadtwerke Stuttgart, in.stuttgart und Stuttgart-Marketing waren für einige Tage nicht per E-Mail erreichbar. Das Landeskriminalamt Baden-Württemberg und die Kriminalpolizei Esslingen ermittelten. Laut offiziellen Angaben sind keine Daten abhandengekommen.

https://www.stadtwerke-stuttgart.de/aktuelles-presse/news/2019/sep/04/cyber-attacke-auf-die-landesmesse-stuttgart/

News

Und alle so: No Hackback. Gutachten des Bundestags rät ab

Ein nicht öffentliches Gutachten, das Oberstleutnant John Zimmermann, Historiker am Zentrum für Militärgeschichte und Sozialwissenschaften der Bundeswehr, für den wissenschaftlichen Dienst des Bundestags erstellt hat, rät dringend von „Hackback“ ab. Zu hoch sei das Eskalationsrisiko, viel zu gering die abschreckende Wirkung. Das Geld sei in der Absicherung von Systemen besser angelegt.

https://www.heise.de/newsticker/meldung/Geheimgutachten-zu-Hackbacks-Eindringliche-Warnung-vor-digitalem-Gegenschlag-4512930.html