security

Dr. Oliver Diedrich schreibt in »Gestohlener Azure-Master-Key: Microsofts Sicherheitsversagen ist jetzt amtlich« für heise.de Das Cyber Safety Review Board der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) hat seinen Bericht zu dem Diebstahl eines Master-Key für Azure im Sommer letzten Jahres veröffentlicht. Und der hat es in sich: Die US-Regierungsbehörde für Cybersecurity wirft Microsoft vielfaches Versagen bei der Cybersicherheit vor und empfiehlt, die Entwicklung neuer Features für die Cloud zurückzustellen, bis substanzielle Sicherheitsverbesserungen gemacht sind. ...

tagesschau.de schreibt in »Digitalisierung: Bund lässt sichere Cloud von Ionos aufbauen« Die “private Enterprise-Cloud”, die unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurde, soll in den Rechenzentren des Informationstechnikzentrums Bund (ITZBund) betrieben werden. Das Besondere an der Ionos-Lösung ist, dass diese Plattform nicht mit dem öffentlichen Internet verbunden ist. Dabei wird ein Konzept verwendet, das als “Air Gapping” bekannt ist. Das soll es für Außenstehende nahezu unmöglich machen, auf sensible Informationen zuzugreifen. ...

Ein möglicher staatlicher Akteur hat eine Backdoor in der liblzma-Bibliothek platziert, die möglicherweise die Authentifizierungsfunktion von OpenSSH beeinflusst.1 Die große Security-Community ist alarmiert und warnt vor potenziell betroffenen Linux-Distributionen und macOS-Anwendungen, während die genaue Funktionsweise und potenzielle Ausnutzung der Hintertür noch unklar ist. Diese Situation verdeutlicht die Risiken in der Open-Source-Entwicklung, die ich in den letzten Monaten im meinem Team thematisiere. Es wird deutlich, dass blinde Vertrauen allein nicht ausreicht und es keine absolute Sicherheit in der Softwareentwicklung geben kann. Dies liegt daran, dass es nahezu unmöglich ist, jeden einzelnen Code auf potenzielle Schwachstellen zu prüfen, insbesondere wenn es um versteckte Hintertüren geht, die von mächtigen Akteuren bewusst platziert werden können. ...

caschy schreibt in »Klarna: KI ersetzt 700 Vollzeitmitarbeiter« für stadt-bremerhaven.de In der Klarna-App integriert, soll der Assistent das Durchführen von Einkauf und Zahlung für die 150 Millionen Kunden von Klarna weltweit verbessern. Der Assistent ist in der Lage, eine Reihe von Aufgaben zu bewältigen, vom mehrsprachigen Kundenservice, über die Verwaltung von Rückerstattungen und Retouren, bis hin zur Unterstützung eines verantwortungsbewussten Finanzverhaltens. In naher Zukunft werden KI-Sicherheitslücken ein Thema von großer Bedeutung sein. Es ist nicht schwer vorstellbar, dass Angreifer durch die Überlistung von Chatbot in der Lage sein könnten, betrügerische Handlungen wie die Auszahlung von Erstattungen für nicht getätigte Einkäufe durchzuführen. Auch Fehler in der Implementierung könnten dazu führen dass Chatbots Schadecode ausführen. Die fortschreitende Integration von KI-Technologien in verschiedenen Bereichen unseres Lebens bringt zweifellos auch neue Sicherheitsrisiken mit sich. Es wird entscheidend sein, dass Entwickler und Sicherheitsexperten proaktiv daran arbeiten, robuste Sicherheitsmaßnahmen zu implementieren, um solche potenziellen Angriffe zu minimieren. ...

Marie-Claire Koch schreibt in »Forscher rekonstruieren Fingerabdruck-Muster anhand von Geräuschen« für heise.de Fingerabdrücke erfreuen sich als Kriterium zur Identitätsprüfung wachsender Beliebtheit. Jedoch lassen sich selbige aus Geräuschen rekonstruieren, die beim Wischen auf einem Touchscreen entstehen.