Sicherheit

• https://www.torproject.org/
  • https://www.torproject.org/download/download.html.en

• Video: Deine Software, die Sicherheitslücken und ich
• Formular: Schwachstellen beim BSI melden - Die melden das auch an Firmen weiter… ⇒ Denen besser keine Schwachstellen melden, die sich für den Staatstrojaner eignen!
• WWW: Schwachstellen an den CCC melden - Die melden das auch an Firmen weiter…
  • E-Mail:
    • mailto:disclosure@ccc.de
    • mailto:hallo@zerforschung.org

Wenn man die Suchmaschine Google (wird nicht umsonst als "Datenkrake" bezeichnet) benutzt, dann werden agressiv daten gespeichert, aus denen man indirekt diverse Rückschlüsse ziehen kann. Ehemalige Mitarbeiter von Facebook und Google haben die Suchmaschine Qwant als Alternative vorgeschlagen. Mir reagiert Qwant aber zu langsam, deshalb benutze ich Ecosia. Ecosia wird ebenfalls als Alternative Suchmaschine zu Google empfohlen und in meiner persönlichen Nutzung habe ich mit Ecosia genauso gute Treffer bekommen, wie mit Google. swisscows wird ebenfalls als Alternative Suchmaschine zu Google empfohlen, es ist die Suchmaschine für die ganze Familie, d.h. es werden alle nicht jugendfreien Inhalte rausgefiltert.

• Ecosia
• Qwant
• swisscows

Seit vor Startpage gewarnt, denn die haben exakt die gleichen Treffer wie Google, demnach ist das nur ein anderes Front-End, sie nutzt aber wohl das selbe Back-End wie Google.

Security Key

• Die FIDO Alliance ist ein offener Branchenverband
  • Die FIDO Alliance ist ein offener Branchenverband mit einer fokussierten Mission: Authentifizierungsstandards, um die weltweite Abhängigkeit von Passwörtern zu reduzieren. Die FIDO Alliance fördert die Entwicklung, Nutzung und Einhaltung von Standards für die Authentifizierung und Gerätebescheinigung. Passwörter bleiben trotz des wachsenden Konsens bestehen, ihre Verwendung muss reduziert, wenn nicht ersetzt werden. Aber obwohl es seit Jahren effektive PKI- und starke Authentifizierungslösungen gibt, bestehen weiterhin Hindernisse für eine breite Einführung. Verbraucher mögen die Benutzererfahrung nicht, und Online-Dienstleister möchten nicht die Kosten und die Komplexität der Entwicklung und Bereitstellung ihrer eigenen dedizierten Lösungen. Die FIDO Alliance arbeitet daran, die Art der Authentifizierung mit offenen Standards zu ändern, die sicherer als Passwörter und SMS-OTPs sind, für Verbraucher einfacher zu verwenden und für Dienstanbieter einfacher zu implementieren und zu verwalten sind.
  • FIDO2
    • FIDO2-Unterstützung des YubiKey 5C
  • Wie FIDO2 das Passwort ablösen will | nachgehakt
  • FIDO2 – Sind die Tage der Passwörter wirklich gezählt?
    • Was schon heute mit dem Passwort-Killer FIDO2 geht - 16.08.2019 06:01 Uhr c't Magazin
    • Logins für Websites mit WebAuthn erstellen - 16.08.2019 06:01 Uhr c't Magazin
    • Anmelden ohne Passwort mit FIDO2 - 16.08.2019 06:01 Uhr c't Magazin

• sudo
• 2018-09-20: Mit »Hacking & Security« ist im April diesen Jahres ein neues allgemeines Handbuch zum Thema Computersicherheit erschienen. - vom Rheinwerk-Verlag (vormals Galileo Press) in Bonn → … So ist ein breiter und kompetenter Überblick entstanden über die maßgeblichen Themen aus dem Bereich IT-Sicherheit in der gegenwärtigen Ausprägung, welche die Autoren in den drei Hauptkapiteln »Einführung und Tools«, "Hacking und Absicherung", sowie »Cloud, Smartphones, und IoT« abhandeln.
• 2018-01-03: Veröffentlichung von Spectre & Meltdown ⇒ Sicherheitsrisiko CPU: Wie gefährlich sind Spectre und Meltdown wirklich? / Meltdown and Spectre vulnerabilities
  • Eines ist diesmal aber neu: Die Schwachstellen befinden sich nicht in der Software, sondern in der Hardware. Konkret: Der CPU. Und nicht nur in einer, sondern gleich in mehreren; nicht nur von einem Hersteller, sondern von dreien. Als Hardwareproblem betreffen diese Schwachstellen nicht nur ein Programm oder ein System, sondern alle, die diese CPUs nutzen.
  • Sie erkennen das Problem? Viel schlimmer kann es eigentlich nicht mehr werden. Der einzige positive Punkt, den ich zur Zeit sehe: Über die Schwachstellen können „nur“ Daten ausgespäht werden, Code lässt sich hingegen nicht einschleusen. Aber auch das ist je nach Umgebung schon fatal genug.
• 2017-07-28: Google’s Project Zero hat die Schwachstellen Meltdown entdeckt ⇒ Meltdown ist m.A.n. gefährlicher als Spectre, weil da keine Software-Updates funktionieren → AMD ist nicht betroffen
  • Durch diese Sicherheitslücke kann man im Prinzip mit einem Verfahren, welches ein in der Kryptoanalyse als Seitenkanalattacke bekannt ist, auf Speicherabschnitt zugreifen für die man keine Rechte hat.
  • Intel → Potentiell sind alle Intel-Prozessoren betroffen, die Out-of-order execution implementieren, d. h. alle Prozessoren seit 1995 mit Ausnahme der Itanium- und der vor 2013 produzierten Atom-Prozessoren.
  • ARM
• 2017-06-01: Google’s Project Zero hat die Schwachstellen Spectre entdeckt ⇒ Spectre Attacks: Exploiting Speculative Execution → kann zum Teil durch Software-Updates behoben werden (CPU wird dadurch aber langsamer)
  • Intel
  • ARM …darunter sind z. B. die SoCs Snapdragon 845 von Qualcomm / …auch Apple-Produkte, die Prozessoren der ARM-Architektur verwenden z.B. der Apple A11, dazu zählen alle Geräte auf denen iOS als Betriebssystem läuft, etwa das iPad oder das Apple TV.
    • Nvidia Modelle der Tegra-Serie sind auch betroffen
    • ARM-Cortex-A7- und -A53-Designs wie z. B. im Raspberry Pi, sind nicht betroffen
  • AMD
  • IBM bestätigte die Anfälligkeit von POWER7+, POWER8 und POWER9
  • Oracle Auch Prozessoren von Oracle der ursprünglich von Sun entwickelten SPARC-Architektur sind offenbar von Spectre betroffen.
  • Grafikprozessoren sind von Spectre nicht betroffen
• 2015-05-21: IT-Experten wollen die NSA austricksen - Amerikanische Firmen müssen Stillschweigen bewahren, wenn sie mit Geheimdiensten kooperieren. Zwei Sicherheitsforscher haben nun ein Programm veröffentlicht, das die Unternehmen entlasten soll.
• 2015-05-20: Schwäche im TLS-Verfahren gefährdet Zehntausende Webseiten - Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden.
• 2015-05-19: http://www.golem.de/news/bordcomputer-flugzeuge-werden-immer-angreifbarer-1505-114129.html - Flugzeuge werden immer angreifbarer
• 2015-05-18: http://www.golem.de/news/fbi-untersuchung-hacker-soll-zugriff-auf-flugzeugtriebwerke-gehabt-haben-1505-114102.html - Hacker soll Zugriff auf Flugzeugtriebwerke gehabt haben
• 2014-10-06: Shellshock-Sicherheitslücke im Rückblick
• 2014-01-16: "Jeder Überwachungsapparat kann leicht missbraucht werden" - Morgan Marquis-Boire enttarnt Staatstrojaner, mit denen Regimekritiker im Mittleren Osten verfolgt werden. Die Methoden der NSA findet der Google-Ingenieur "verstörend".
• 2014-01-16: Krypto-Android vom PGP-Erfinder
  • Von Phil Zimmerman, bekannt durch PGP, und dem Projekt Geekphone soll ein abhörsicheres Android-Smartphone für jedermann kommen. Technische Daten zu dem Blackphone genannten Gerät gibt es noch kaum, aber eine Beschreibung der Funktionalität. - Erst am 24. Februar 2014 auf der Messe MWC soll das Blackphone ausführlich vorgestellt werden - doch schon jetzt wurde das Projekt angekündigt. Dahinter stehen das Unternehmen Silent Circle, das vom PGP-Erfinder Phil Zimmerman gegründet wurde, und die spanische Firma Geeksphone, die bisher vor allem auf Firefox OS setzte. - Das Blackphone soll aber mit einer modifizierten Version von Android arbeiten, welche die Entwickler "PrivatOS" nennen. Damit sollen verschlüsselte Telefonate und Textnachrichten ebenso wie sichere Videochats ermöglicht werden. Dennoch laufen nach den Angaben des Projekts herkömmliche Android-Apps auf dem Gerät. Wie dieser Spagat aus Sicherheit und Drittsoftware gelingen soll, ist noch unbekannt.
• 2014-01-14: Studie sieht wenig Erfolge durch Massenüberwachung
  • Die US-Geheimdienste und viele Politiker halten die Vorratsdatenspeicherung zum Kampf gegen den Terrorismus für unverzichtbar. Dem widerspricht nun eine Studie deutlich. - Der Behauptung von US-Präsident Barack Obama und NSA-Chef Keith Alexander, seit den Anschlägen vom 11. September 2001 seien durch die Vorratsdatenspeicherung rund 50 Attentatsversuche weltweit aufgedeckt worden, widerspricht nun eine Studie entschieden. Sie habe "keinen wahrnehmbaren Beitrag zur Verhinderung von Terrorakten und nur einen sehr marginalen Beitrag zur Verhinderung von Unterstützungsaktivitäten geleistet", heißt es in dem 32-seitigen Bericht. … Selbst die Behauptung der Sicherheitsbehörden, dass mit einer besseren Überwachung die Anschläge vom 11. September hätten verhindert werden können, lassen die Autoren der Studie nicht gelten. Die Geheimdienste hätten genügend Hinweise auf drohende Anschläge durch El Kaida gegeben, allerdings habe die Politik unter Präsident George W. Bush nicht angemessen reagiert. Auch in anderen Fällen hätten die Behörden versäumt, Hinweisen nachzugehen oder sie richtig zu deuten, um Anschläge zu verhindern. …
• 2013-12-31: Wie die NSA ihre Spähprogramme implantiert
• 2013-12-31: Verschlüsselung 2013: Das Jahr der Kryptokalypse
• 2013-12-30: Das Säurebad für die Internet-Füchse
• 2013-07-16: Chronologie der Enthüllungen von Edward Snowden
  • Seit Anfang Juni hält Whistleblower Edward Snowden mit seinen Enthüllungen über die Spähprogramme der Geheimdienste die Welt in Atem. Golem.de dokumentiert die wichtigsten Ereignisse im Überblick.
    • Udo Ulfkotte: Edward Snowden hat nichts neues offenbart
  1. 3. Januar 2014: Die NSA unterstützt nicht nur öffentliche Projekte zum Bau eines Quantencomputers. Für ein geheimes Projekt zum Knacken von Verschlüsselung gibt der Geheimdienst Millionen Dollar aus. Die Fortschritte halten sich offenbar noch in Grenzen.
  2. 30. Dezember 2013: Die NSA besitzt umfassende technische Möglichkeiten, um elektronische Kommunikation auf jeder Ebene zu belauschen. Dies geht aus einer Art Katalog hervor, in dem die Spezialisten einer Abteilung mit der Abkürzung ANT ihre Ausrüstung anbieten. Demnach lassen sich Router, Server, Firewalls und weitere Hardware-Komponenten zum Teil per Internet dauerhaft manipulieren.
  3. 30. Dezember 2013: NSA und GCQH ein "Schattennetz" aufgebaut, um Spähsoftware auf Computern von Verdächtigen installieren zu können. Das Programm "Quantumtheory" fängt dabei Internetanfragen ab und gibt manipulierte Seiten zurück, die Sicherheitslücken ausnutzen sollen.
  4. 27. Dezember 2013: Ein US-Bundesgericht erklärt die massenhafte Speicherung von Telefonverbindungsdaten durch die NSA für gesetzlich erlaubt. Diese ist nach Ansicht des Richters erforderlich, um das Terrornetzwerk Al-Kaida wirksam zu bekämpfen.
  5. 6. Dezember 2013: Eine unabhängige Expertenkommission empfiehlt US-Präsident Barack Obama eine umfassende Reform der Geheimdienstbefugnisse in den USA. Der mehr als 300 Seiten lange Bericht enthält 46 Empfehlungen, die einen besseren Schutz der Privatsphäre garantieren sollen.
  6. 16. Dezember 2013: Ein US-Bundesrichter hält das massenhafte Speichern von Telefondaten für verfassungswidrig und lässt damit eine Klage zweier Verizon-Kunden zu. Er könne sich kaum einen willkürlicheren und eigenmächtigeren Eingriff in die Privatsphäre fast jedes Bürgers vorstellen, als die systematische und hoch technische Erfassung und Speicherung persönlicher Daten zur späteren Analyse ohne richterlichen Beschluss, schreibt Richard Leon in seiner Begründung.
  7. 9. Dezember 2013: Die NSA und die britische GCHQ haben auch in World of Warcraft, Second Life, Xbox Live und weiten Spieleplattformen spioniert. In einem MMO sollen zeitweise so viele Agenten unterwegs gewesen sein, dass eine Gruppe zur Koordination der Aktivitäten gegründet werden musste.
  8. 9. Dezember 2013: Acht große Internetunternehmen, angeführt von Google und Microsoft, fordern US-Präsident Barak Obama und den US-Kongress dazu auf, die Befugnisse der Geheimdienste zu beschneiden. Die Konkurrenten tun sich zusammen und fordern einen besseren Schutz ihrer Nutzer.
  9. 4. Dezember 2013: Der US-Geheimdienst NSA greift weltweit Mobiltelefondaten ab und speichert sie für die spätere Verarbeitung. Es sollen bis zu fünf Milliarden täglich sein. Dafür werden Kabelverbindungen angezapft oder Daten direkt bei Providern gesammelt.
  10. 27. November 2013: Die EU-Kommission will weiterhin Bankdaten europäischer Bürger mit den USA austauschen. Gespräche mit US-Behörden hätten keine Hinweise auf einen Bruch des Swift-Abkommens gegeben. Das EU-Parlament hatte zuvor für einen Stopp des Abkommens votiert.
  11. 26. November 2013: Die NSA hat laut Unterlagen von Edward Snowden gezielt die Surf- und Lebensgewohnheiten von muslimischen "Radikalisierern" untersucht, um diese unglaubwürdig machen zu können. Onlinepornos und Veruntreuung von Geldern sieht die NSA als Ansatzpunkte.
  12. 22. November 2013: Die NSA hat im vergangenen Jahr in einem streng geheimen Papier den starken Ausbau ihrer Spähbefugnisse und Analysefähigkeiten angestrebt. Ein wichtiges Ziel in den Jahren 2012 bis 2016 soll darin bestehen, Verschlüsselungstechniken zu knacken.
  13. 11. November 2013: Um den belgischen Provider Belgacom zu attackieren, nutzt der britische Geheimdienst GCHQ ausgefeilte Methoden. Opfer wurden Nutzer von LinkedIn.
  14. 31. Oktober 2013: Der Grünen-Bundestagsabgeordnete Hans-Christian Ströbele trifft sich überraschend mit Edward Snowden in Moskau. In einem mehrstündigen Gespräch geht es um die Frage, unter welchen Bedingungen Snowden bei einer deutschen Staatsanwaltschaft oder einem Untersuchungsausschuss des Bundestages aussagen würde. Am nächsten Tag präsentiert Ströbele der Presse einen Brief Snowdens an die Bundesregierung.
  15. 30. Oktober 2013: Laut Dokumenten von Edward Snowden verschaffen sich NSA und GCHQ direkten Zugang zu den internen Clouds von Google und Yahoo. Sie zapfen die Leitungen zwischen den Rechenzentren an. Die Aktion läuft unter den Namen "Muscular" und "Windstop".
  16. 29. Oktober 2013: Die US-Geheimdienste gehen im Streit über ihre Spionagepraktiken in die Offensive. Die Europäer selbst hätten Millionen Daten an die NSA geliefert. Auch spähten sie amerikanische Politiker aus, sagen die Geheimdienstchefs in einer Anhörung im US-Kongress.
  17. 28. Oktober 2013: Der britische Premierminister David Cameron warnt die Medien vor weiteren Enthüllungen über Geheimdienstaktivitäten. Er ziehe es vor, mit den Zeitungen zu reden, statt sie vor Gericht zu holen, dies sei aber nur schwer zu vermeiden, wenn die Ratschläge der Regierung nicht beherzigt würden.
  18. 28. Oktober 2013: Ein Sprecher des Auswärtigen Amtes betont in Berlin vor Journalisten, dass gegen die vom Spiegel aufgedeckte Spionage aus der US-Botschaft der Hauptstadt kaum vorgegangen werden könne. Nach Angaben des Justizministeriums befasst sich die Bundesanwaltschaft inzwischen mit dem Fall.
  19. 27. Oktober 2013: Der US-Geheimdienst NSA soll nach einer internen Überprüfung die Handyüberwachung von Bundeskanzlerin Angela Merkel im Sommer dieses Jahres beendet haben. Wie das Wall Street Journal unter Berufung auf Regierungsbeamte berichtet, ordnete US-Präsident Barack Obama die Revision der US-Geheimdienstpraktiken an und erfuhr und erst dadurch von dem Spähangriff auf Merkel sowie auf 35 weitere internationale Spitzenpolitiker.
  20. 23. Oktober 2013: Die NSA hat offenbar ein Mobiltelefon von Bundeskanzlerin Angela Merkel abgehört. Weil ein entsprechender Verdacht dem BSI und dem BND plausibel erscheint, beschwert sich Merkel in einem Telefonat bei US-Präsident Barack Obama. Die US-Regierung behauptet, "dass die USA die Kommunikation von Kanzlerin Merkel weder überwachen noch überwachen werden".
  21. 15. Oktober 2013: Die NSA greift massenhaft E-Mail-Adressen und Kontakte aus Buddy-Listen ab. Täglich sollen es mehrere Hunderttausend Daten sein, wie aus Dokumenten aus dem Bestand von Edward Snowden hervorgeht. Die NSA kooperiert dabei mit ausländischen Geheimdiensten und Telekommunikationsfirmen.
  22. 6. Oktober 2013: Der Bundesnachrichtendienst (BND) lässt sich offenbar seit mindestens zwei Jahren das Anzapfen von Kommunikationsleitungen deutscher Internetprovider genehmigen. Einem Medienbericht zufolge führt der BND 25 Internet Service Provider auf, von deren Leitungen er am Datenknotenpunkt DE-CIX in Frankfurt einige anzapft. Betroffen sind demnach auch die deutschen Internetprovider 1&1, Freenet, Strato AG, QSC, Lambdanet und Plusserver.
  23. 2. Oktober 2013: Die Gerichtsakten über den Rechtsstreit zwischen den US-Behörden und dem Maildienst Lavabit werden veröffentlicht. Demnach wollte Lavabit-Gründer Ladar Levison die Metadaten von Edward Snowdens Account an das FBI liefern, jedoch nicht den Master SSL-Key herausrücken.
  24. 30. September 2013: In einer Anhörung des EU-Parlaments wird eine Rede von Edward Snowden verlesen. Auch der frühere hochrangige NSA-Mitarbeiter Mitarbeiter Thomas Drake gibt ein Statement ab. Er verweist auf das "krankhafte Bedürfnis" der Stasi, alles wissen zu wollen. Er habe sich niemals vorstellen können, dass die USA die Stasi als Vorbild für ihre Überwachungsprogramme benutzen würden.
  25. 27. September 2013: Das größte Rechenzentrum der NSA in Utah soll bereits in Betrieb gegangen sein. Allerdings hat der US-Auslandsgeheimdienst bei der Inbetriebnahme seines neuen Datenzentrums offenbar mit technischen Schwierigkeiten zu kämpfen. Einem Medienbericht zufolge soll es in den vergangenen 13 Monaten regelmäßig Vorfälle gegeben haben, bei denen durch Überspannungen in der Stromversorgung Geräte zerstört wurden.
  26. 24. September 2013: Die brasilianische Präsidentin Dilma Rousseff nutzt die Vollversammlung der Vereinten Nationen, um im Beisein von US-Präsident Barack Obama die bekanntgewordenen Spähattacken der US-Geheimdienste auf ihr Land anzuprangern. Es sei ein Bruch des internationalen Rechts, sich auf diese Weise in die Angelegenheiten anderer Staaten einzumischen, sagt die Präsidentin des größten südamerikanischen Landes in ihrer Rede.
  27. 20. September 2013: Der britische Geheimdienst GCHQ soll den halbstaatlichen belgischen Telekommunikationsanbieter Belgacom gehackt haben. Zu den Großkunden der Belgacom gehören unter anderem Institutionen wie die EU-Kommission, der Rat der Mitgliedstaaten und das Europaparlament. Sie hatten im Zusammenhang mit Edward Snowdens Enthüllungen zur NSA eine interne Untersuchung veranlasst, einen Angriff festgestellt und Anzeige gegen unbekannt erstattet.
  28. 10. September 2013: Das National Institute of Standards and Technology (Nist) rät von der Nutzung des Zufallszahlenstandards Dual_EC_DRBG ab, nachdem aus den Dokumenten von Edward Snowden bekanntwurde, dass der Algorithmus eine mögliche Hintertür der NSA enthält. Der Standard soll nun neu überprüft werden.
  29. 8. September 2013: Dem US-Geheimdienst NSA ist es offenbar gelungen, in die Netzwerke großer Unternehmen und ausländischer Regierungen einzudringen. Einem Medienbericht zufolge gehören zu den Überwachungszielen der Suchmaschinenkonzern Google, der brasilianische Ölkonzern Petrobras, das französische Außenministerium und der Finanzdienstleister Swift.
  30. 7. September 2013: Der US-Geheimdienst NSA kann sich Zugang zu Nutzerdaten auf Smartphones verschaffen. In den Unterlagen von Edward Snowden, auf die sich das Nachrichtenmagazin Der Spiegel beruft, ist ausdrücklich von Apples iPhone, Blackberry-Geräten und Googles Android die Rede. Demnach ist es der NSA möglich, Kontaktlisten, den SMS-Verkehr, Notizen und Aufenthaltsorte des Besitzers auszulesen.
  31. 6. September 2013: Die NSA ist in der Lage, verschlüsselte Datenübertragungen im Internet zu knacken. Dazu nutzt sie offenbar große Rechenkapazitäten, arbeitet mit Herstellern zusammen, um Hintertüren zu platzieren, und schwächt gezielt Verschlüsselungsstandards. Das berichten mehrere Medien unter Berufung auf Unterlagen von Edward Snowden.
  32. 29. August 2013: Die US-Geheimdienste geben Milliarden Dollar jährlich für Überwachungsprogramme und Entschlüsselungstechniken aus. Das geht aus dem geheimen Haushaltsentwurf für 2013 hervor, den die Washington Post veröffentlicht. Das geheime Budget enthält auch Angaben zu den Schwerpunkten sowie Defiziten der Geheimdienstaufklärung.
  33. 25. August 2013: Nicht nur Einrichtungen der EU-Kommission, sondern auch die Zentrale der Vereinten Nationen soll von der NSA abgehört worden sein. Dem US-Geheimdienst ist es laut Spiegel gelungen, die Verschlüsselung der internen Videokonferenzanlage zu hacken.
  34. 24. August 2013: Der Guardian berichtet, dass die NSA an US-Internetunternehmen seit 2011 Millionenbeträge an Schadenersatz gezahlt hat. Grund ist ein Urteil aus dem Jahr 2011, wonach Firmen Ansprüche für den Aufwand geltend machen können, der durch die Anforderungen der Überwacher entsteht. Da der Guardian unter Druck der britischen Regierung steht, will das Medium in Zukunft enger mit der New York Times zusammenarbeiten.
  35. 20. August 2013: Der Chefredakteur der Tageszeitung Guardian berichtet, dass die Redaktion vom britischen Geheimdienst bereits im Juni 2013 gezwungen wurde, Festplatten und ein Notebook mit den Unterlagen von Edward Snowden zu zerstören. Dies soll unter Aufsicht witzelnder Geheimdienstler geschehen sein. Schon zuvor wurde massiver Druck auf die Redaktion ausgeübt.
  36. 18. August 2013: Das US-Geheimgericht Fisc hat ein Dokument freigegeben, das die Behandlung von Telefonverbindungsdaten beschreibt. Demnach sind diese in den USA nicht rechtlich geschützt, da Nutzer damit rechnen müssten, dass Behörden Zugriff auf zentral gespeicherte Daten erhalten können.
  37. 18. August 2013: Der Partner des Enthüllungsjournalisten Glenn Greenwald, David Miranda, wird auf dem Londoner Flughafen Heathrow neun Stunden lang festgehalten. Die Polizei beruft sich auf den Terrorism Act 2000 und beschlagnahmt die komplette elektronische Ausrüstung Mirandas. Dieser hatte sich in Berlin mit der US-Filmemacherin Laura Poitras getroffen, die zusammen mit Greenwald an dem Archiv von Edward Snowden arbeitet.
  38. 15. August 2013: Die NSA verstößt bei der Kommunikationsüberwachung in tausenden Fällen gegen die gesetzlichen Vorschriften. Das geht aus internen Berichten hervor, die die Washington Post veröffentlicht. Demnach werden die Agenten auch angewiesen, ihre Berichte an die US-Aufsichtsbehörden zu schönen.
  39. 14. August 2013: Die Bundesregierung nimmt ausführlich Stellung zu Fragen der Opposition in der NSA-Affäre. Von den Antworten auf 115 Fragen der SPD stuft sie jedoch 27 als geheim ein. Der Einsatz des Überwachungsprogramms XKeyscore durch die deutschen Nachrichtendienste wird umfassend bestätigt.
  40. 12. August 2013: Deutschland und die USA verhandeln über ein No-Spy-Abkommen. Zudem hätten US-amerikanische und britische Geheimdienste versichert, sich an "Recht und Gesetz in Deutschland" zu halten, sagt Kanzleramtsminister Ronald Pofalla (CDU) nach einer Sitzung des Parlamentarischen Kontrollgremiums.
  41. 9. August 2013: Die Provider Lavabit und Silent Circle zerstören ihre Kunden-E-Mails. Damit wollen die Betreiber verhindern, dass die Geheimdienste einen Zugriff auf die verschlüsselt abgespeicherten Mails erhalten. Auch Whistleblower Edward Snowden benutzte Lavabit.
  42. 7. August 2013: Die Kooperation zwischen BND und NSA bei der Fernmeldeaufklärung im bayerischen Bad Aibling geht auf eine Vereinbarung aus dem Jahr 2002 zurück. Nach Angaben der Bundesregierung unterzeichnete der damalige Kanzleramtschef Frank-Walter Steinmeier (SPD) am 28. April 2002 ein "Memorandum of Agreement", auf dessen Basis der BND nun monatlich Millionen Verbindungsdaten aus der Auslandsaufklärung an die NSA weiterleitet.
  43. 4. August 2013: Der BND bestätigt die Weitergabe von Millionen Metadaten an die NSA. Die Daten stammten aus der Auslandsaufklärung und basierten auf einer 2002 getroffenen Vereinbarung. Vor der Weiterleitung würden die Daten "in einem gestuften Verfahren um eventuell darin enthaltene personenbezogene Daten deutscher Staatsangehöriger bereinigt". Der BND ist damit offenbar die Datenquelle, die angeblich millionenfach Daten deutscher Bürger an die NSA liefert.
  44. 2. August 2013: Die Bundesregierung setzt eine Kooperationsvereinbarung mit ausländischen Geheimdiensten aus dem Jahr 1968 außer Kraft. Die westlichen Alliierten hatten in der Bundesrepublik Deutschland Sonderrechte erhalten, was mit der Sicherung ihrer Truppen mit geheimdienstlichen Mitteln begründet worden war.
  45. 31. Juli 2013: Der Guardian veröffentlicht ausführliche Dokumente zu Spähprogramm XKeyscore. Demnach erlaubt das NSA-Programm den Zugriff auf "fast alles, was ein typischer Nutzer im Internet so macht". Dabei greifen die NSA-Analysten auf Milliarden Daten zu, die wegen der schieren Menge teilweise nur 30 Tage gespeichert werden können.
  46. 27. Juli 2013: Unter dem Motto "#StopWatchingUs" gehen in deutschen Städten Tausende Bürger auf die Straße, um gegen die flächendeckende Überwachung durch Programme wie Prism zu demonstrieren. Die Demonstranten danken Edward Snowden in Sprechchören und zeigten sich von deutschen Politikern tief enttäuscht.
  47. 24. Juli 2013: Im US-Kongress scheitert ein Antrag knapp, die Überwachungsaktivitäten der NSA einzuschränken. Mit 217 zu 205 Stimmen - bei zwölf Enthaltungen - lehnen die Abgeordneten des Repräsentantenhauses den Antrag des Republikaners Justin Amash und des Demokraten John Conyers ab.
  48. 24. Juli 2013: Die US-Behörden fragen angeblich nach den Master-Keys für SSL-Verbindungen. Einem Medienbericht zufolge werden vor allem kleinere Unternehmen unter Druck gesetzt, damit diese Generalschlüssel für SSL-Verschlüsselung herausrücken. Konzerne wie Google und Facebook sollen dabei aber angeblich nicht mitspielen.
  49. 20. Juli 2013: Einem Medienbericht zufolge setzen die deutschen Geheimdienste die NSA-Software XKeyscore ein. BND und Verfassungsschutz bestätigen anschließend, die Software, mit der Suchanfragen eines Verdächtigen ermittelt werden können, lediglich zu testen. Eine millionenfache Weitergabe von Daten an die NSA gebe es nicht.
  50. 19. Juli 2013: Die USA verlängern die Überwachung von Telefonverbindungsdaten. Ein zuvor geheimer Beschluss des Foreign Intelligence Surveillance Court dazu wurde freigegeben.
  51. 17. Juli 2013: Die Bundesregierung weist Berichte zurück, wonach die Bundeswehr in Afghanistan auf das Prism-Programm der NSA zugreifen kann. Es handle sich um ein gleichnamiges Programm das US-Militärs, das zur Einsatzkoordinierung genutzt werde.
  52. 17. Juli 2013: Die NSA gibt eine noch ausgedehntere Suche zu. Vor dem US-Justizausschuss räumen Mitarbeiter der NSA ein, dass weitaus mehr Menschen von ihren Überwachungsmaßnahmen betroffen sind als bisher bekannt. Ex-US-Präsident Jimmy Carter verteidigt den Whistleblower Snowden.
  53. 16. Juli 2013: Yahoo feiert einen Etappensieg gegen Prism. Ein US-Gericht hat entschieden, dass die US-Regierung Details zu einem Verfahren vor einem Fisa-Gericht preisgeben muss. In dem Verfahren hatte sich Yahoo gegen die Preisgabe von Kundendaten an die NSA gewehrt.
  54. 15. Juli 2013: Nach seinem Besuch in den USA zur Aufklärung der NSA-Affäre erntet Bundesinnenminister Hans-Peter Friedrich (CSU) viel Kritik. Einem Medienbericht zufolge soll es bei dem Besuch auch darum gegangen sein, die weitere Zusammenarbeit zur Nutzung der Prism-Daten zu sichern.
  55. 12. Juli 2013: Edward Snowden nimmt das Asylangebot von Russland an. Mit Hilfe von Human Rights Watch will Snowden während eines temporären Asyls in Russland seine Reise nach Lateinamerika vorbereiten. Venezuela und Nicaragua haben dem Whistleblower Asyl angeboten. Einem Bericht des Guardian zufolge soll Microsoft mit der NSA und dem FBI zusammengearbeitet haben, um bestimmte Produkte für Prism zugänglich zu machen. Ziel sei gewesen, "Daten vor der Verschlüsselung einzusammeln".
  56. 5. Juli 2013: Die Präsidenten von Nicaragua und Venezuela bieten Snowden Asyl an. Die rechtliche Konfrontation mit den USA suchen beide Staatschefs nicht, sie sprechen von "humanitären Gründen".
  57. 4. Juli 2013: Auch Frankreich überwacht offenbar nicht nur Ausländer, sondern auch seine eigenen Bürger systematisch. Wie die französische Tageszeitung Le Monde berichtet, sammelt der französische Geheimdienst DGSE (Direction Générale de la Sécurité Extérieure) Metadaten von Telefonaten, E-Mails und aus sozialen Medien und wertet sie aus, um Verknüpfungen zwischen Teilnehmern zu analysieren.
  58. 3. Juli 2013: Die deutschen Sicherheitsbehörden und die Bundesregierung haben nach eigenen Angaben keine Kenntnis über die Überwachung des deutschen Internetverkehrs durch die US-Geheimdienste.
  59. 2. Juli 2013: Der Fall Snowden weitet sich zu einer diplomatischen Affäre aus. Boliviens Staatspräsident Evo Morales muss mit seiner Maschine aus Moskau kommend in Wien notlanden, weil mehrere europäische Länder ihm die Überflugrechte verweigern. Es wird fälschlicherweise vermutet, dass Snowden an Bord ist. Unterdessen beantragt Snowden Asyl in 21 Ländern. Die deutsche Bundesregierung lehnt das Ersuchen noch am selben Tag ab.
  60. 30. Juni 2013: Die NSA überwacht angeblich massenhaft Telefon- und Internetverbindungsdaten in Deutschland. Das soll aus internen Dateien des Geheimdienstes hervorgehen, die dem Nachrichtenmagazin Der Spiegel vorliegen. Monatlich werden demnach 500 Millionen E-Mails, SMS oder Chats in Deutschland bespitzelt. Anfang August stellt sich heraus, dass der BND die Quelle für die Daten ist und die Verbindungsdaten seiner Auslandsaufklärung übermittelt.
  61. 29. Juni 2013: Die NSA spioniert offenbar gezielt die Europäische Union (EU) aus. Das geht aus geheimen Dokumenten hervor, die Snowden dem Magazin Der Spiegel vorgelegt hat.
  62. 28. Juni 2013: Unter dem Projektnamen Stellarwind sammelt die NSA seit Jahren Metadaten von Telefon- und Internetverbindungen, darunter auch E-Mails. Das belegen neue Dokumente, die der Guardian unter Berufung auf Snowden enthüllt.
  63. 25. Juni 2013: Russlands Präsident Wladimir Putin beendet das Rätselraten um Snowdens Aufenthaltsort. Er bestätigt, dass sich Snowden im Transitbereich des Moskauer Flughafens Scheremetjewo aufhält. Russland werde ihn nicht an die USA ausliefern.
  64. 24. Juni 2013: Posse um Snowdens Aufenthalt in Moskau. Nach stundenlangen Spekulationen über einen Flug des Whistleblowers nach Kuba fliegt die Maschine ohne Snowden ab. Es bleibt unklar, wo er sich stattdessen aufhält.
  65. 23. Juni 2013: Edward Snowden fliegt von Hongkong nach Moskau. Von dort aus will er Medienberichten zufolge in ein Land weiterreisen, das ihm Asyl gewährt. Im Gespräch sind Island und Ecuador. Snowden reist mit einem Dokument der ecuadorianischen Botschaft in London, das offenbar auf Drängen von Wikileaks-Gründer Julian Assange ausgestellt wurde.
  66. 21. Juni 2013: Der britische Geheimdienst zapft den globalen Internetverkehr an. Der GCHQ wertet dem Guardian zufolge unter dem Codenamen Tempora große Mengen an persönlichen Daten aus, die mit dem US-Geheimdienst NSA ausgetauscht werden.
  67. 20. Juni 2013: Die NSA hört offenbar Telefone ohne Gerichtsbeschluss ab. US-Bürger können Dokumenten zufolge, die der Guardian enthüllt, in gerichtlich ungenehmigte Abhöraktionen geraten.
  68. 19. Juni 2013: Beim Besuch von US-Präsident Obama in Berlin protestieren etwa 200 Menschen gegen die US-Überwachungsprogramme. Bundeskanzlerin Angela Merkel (CDU) fordert Verhältnismäßigkeit und Balance bei der Ausspähung, räumt jedoch ein: "Das Internet ist für uns alle Neuland."
  69. 18. Juni 2013: Nach Angaben von NSA-Chef Keith Alexander wurden durch Prism weltweit etwa 50 Anschläge verhindert. Dies sagt er in einer Anhörung im US-Kongress.
  70. 17. Juni 2013: Snowden stellt sich den Fragen der Guardian-Leser. Er behauptet, dass die Geheimagenten an die Daten eines jeden Nutzers herankommen.
  71. 16. Juni 2013: Der britische Geheimdienst GCHQ soll 2009 die Teilnehmer des G-20-Gipfels in London ausgespäht haben. So seien falsche Internetcafés eingerichtet worden, um Teilnehmer auszuhorchen, berichtet der Guardian unter Berufung auf Snowden.
  72. 14. Juni 2013: Die USA erheben Anklage gegen Snowden wegen Spionage und Diebstahls von Regierungseigentum. Ihm drohen bis zu 30 Jahre Haft.
  73. 9. Juni 2013: Edward Snowden ist der Whistleblower. Der 29 Jahre alte IT-Techniker Snowden hat das NSA-Überwachungsprogramm Prism öffentlich gemacht. Der Guardian enthüllt seinen Informanten auf dessen ausdrücklichen Wunsch. Snowden hält sich in Hongkong auf, um der US-Justiz zu entgehen.
  74. 8. Juni 2013: Die NSA verrät Details zu Prism. US-Geheimdienstchef James Clapper bestätigt dabei die Darstellung der US-Internetkonzerne. Unterdessen legt der Guardian nach und veröffentlicht weiteres Beweismaterial.
  75. 7. Juni 2013: Die US-Konzerne Microsoft und Facebook leugnen ihr Wissen über das Ausspähprogramm der NSA. US-Präsident Barack Obama verteidigt Prism als Mittel im Kampf gegen den Terror. Er verweist auf die gerichtliche Überwachung des Programms durch den sogenannten Fisa-Court. Auch der britische Geheimdienst GCHQ soll von den NSA-Daten profitiert haben.
  76. 6. Juni 2013: Der britische Guardian und die Washington Post berichten über ein umfangreiches Überwachungsprogramm des amerikanischen Geheimdienstes NSA. Demnach hat die NSA direkten Zugriff auf die Nutzerdaten von Computerfirmen wie Microsoft, Yahoo, Google und Facebook, einschließlich gespeicherter Suchanfragen, Inhalten von E-Mails, übertragener Dateien und Live-Chats. Das Programm Prism existiert seit 2007.

• 2013-11-05: http://www.heise.de/security/artikel/Warum-123456-als-Passwort-okay-ist-2039860.html

Quelle (2011-08-04): http://www.golem.de/1108/85476.html

Mobilfunkmodule in GPS-Geräten mit GSM-Einheit oder Autos sind anfällig für GSM-Angriffe. Das haben die Sicherheitsexperten Don Bailey und Matthew Solnik auf der Konferenz Black Hat demonstriert und warnen: Auch wichtige Industrieanlagen sind gefährdet.

Mit Kurznachrichten, die per SMS verschickt werden, lassen sich auch Geräte hacken - das hat der Sicherheitsforscher Don Bailey zusammen mit Matthew Solnik demonstriert. Dazu müsse nur ein Mobilfunkmodul in diesen Geräten stecken, erklärten sie in dem Blackhat-Vortrag "War Texting: Identifying and Interacting with Devices on the Telephone Network".

Solche Module gibt es mittlerweile in vielen Geräten: in GPS-Geräten, mit denen sich beispielsweise Eigentum verfolgen lässt, in 3G-Sicherheitskameras oder Scada-Sensoren. Mit solchen Geräten kann der Anwender per SMS kommunizieren, um herauszufinden, ob das Gerät da ist, um Daten anzufordern oder ein Firmwareupdate durchzuführen.

Einige Systeme erhalten Firmware-Updates über GSM-Netzwerke (Firmware Over The Air, FOTA). Solche FOTA-Updates muss und kann der Anwender allerdings nicht bestätigen, sie kommen automatisch. Entsprechend lassen sich Angriffe auf GSM-Hardware konstruieren aber nur schwer verhindern.

Den Sicherheitsforschern gelang so nicht nur der Hack an einem GPS-Trackinggerät Zoombak, sondern auch an einem Kraftfahrzeug, wie SC Magazine berichtet. Vor Publikum wurde ein Sicherheitssystem in einem Subaru Outback gehackt. Von wem das Sicherheitssystem stammt, wurde nicht gesagt, um dem Hersteller Zeit zu geben, das Problem zu beseitigen. Zunächst wurden per Mobilfunk die Türen entsperrt, dann wurde der Motor angelassen.

Nur zwei Stunden soll es gedauert haben, ein eigenes GSM-Netzwerk aufzubauen und herauszufinden, wie mit dem Fahrzeug direkt kommuniziert werden kann. Dem Auto wurde ein Server vorgegaukelt, der mit ihm kommunizieren durfte. Der Angriff selbst war laut der Präsentation dann allerdings komplizierter, da Reverse Engineering betrieben werden musste und beispielsweise eine Firmware geschrieben werden musste. Angriffe auf einen Basebandprozessor gingen auch, setzen aber voraus, dass eine Sicherheitslücke gefunden wird.

Angreifer könnten ohne Schwierigkeiten in Mobilfunknetzen angreifbare Systeme identifizieren, berichtet das SC Magazine. Sind diese erst einmal gefunden, lassen sich die Nachrichten zwischen dem System und Server abfangen und eigene Nachrichten absetzen.

CNN sagte Bailey, er könne mit dieser Methode tausende Fahrzeuge öffnen, das sei aber nicht das Spannende an dem Angriff. Gefährlich sei vielmehr der Umstand, dass sich dieselben Systeme in Telefonen, Energiesystemen und Verkehrsleitsystemen befänden. Gerade die Angreifbarkeit solcher Industriesysteme sei gefährlich. Experten warnen bereits ausdrücklich vor weiteren Sicherheitsproblemen in Scada-Systemen. Im Jahr 2010 wurde die Angreifbarkeit von Industrie-Systemen durch den Hack einer iranischen Atomanlage eindrucksvoll demonstriert. Der professionelle Angriff auf ein Scala-System wurde mit dem Stuxnet-Wurm durchgeführt.

Bailey und Solnik haben die Präsentation des Vortrags veröffentlicht und wollen in Kürze zusätzliche Analysewerkzeuge auf der noch nicht funktionierenden Webseite wartexting.org veröffentlichen.

In meiner Lehre hatte ich gelernt, dass in 1MB Binärkode mind. ein unentdeckter Fehler steckt.

• National Vulnerability Database

Auf Wikipedia steht zum Thema Sicherheitslücken folgendes:

… Sicherheitslücken sind symptomatisch für Programme, welche mit Programmiersprachen geschrieben wurden, die in Hinblick auf Performance optimiert sind (beispielsweise C oder Assembler) und aufgrund ihres Programmiermodells anfällig für Fehler sind (Stichwort: Zeigerarithmetik). Durch die weite Verbreitung von derartigen Programmiersprachen, dem hohen Zeitdruck in der Softwareerzeugung, verbunden mit dem ausgeprägten Kostendruck der Softwareerzeugerfirmen und dem wenig sensiblen Umgang mit dem Thema sichere Software sind Sicherheitslücken eher die Regel als die Ausnahme. … Einige massive Probleme und Fehler könnten heute einfach vermieden werden, wenn statt den sehr systemnahen Sprachen, die eine direkte Adressierung von Speicherbereichen zulassen, Programmiersprachen wie zum Beispiel Modula-2, Eiffel, Oberon oder Component Pascal, in den jeweils entsprechenden Versionen, verwendet würden; nachweislich können Betriebssysteme und Treiber damit ebenfalls sehr effizient geschrieben werden.

Ich möchte noch hinzufühgen, dass sich für die Entwicklung von "sauberem" Kode insbesondere die Vertreter der Deklarativen Programmiersprachen (4. Generation) gut eignen.

1. eine Programmiersprache der 1. Generation ist z.B. Assembler;
2. eine Programmiersprache der 2. Generation (Imperative Programmiersprache) ist z.B. C
3. Programmiersprachen der 3. Generation (Objektorientierte Programmiersprachen) sind z.B. C++ und Java
4. Programmiersprachen der 4. Generation (Deklarative Programmiersprachen) sind z.B. LISP, Scheme, Racket und Haskell

Wird von „Programmierung in Maschinensprache“ gesprochen, ist heute üblicherweise die Programmierung in Assemblersprache gemeint.