Lücke in PGP: Efail
Klingt wie e-Mail, und fail steckt drin. Englisch "to fail" – schiefgehen. Und genau darum geht’s. Wissenschaftler der FH Münster haben herausgefunden, dass wenn Gauner verschlüsselte Mails abfangen, dass sie sie dann auch relativ leicht entschlüsseln können. Fast alle Mail-Programme sind betroffen. Efail! Das Problem ist dabei nicht die eigentliche Verschlüsselung, S/MIME oder PGP heißt die. Das Problem ist die Form, in der Mails oft verschickt werden: HTML, also Mails, die aussehen wie Web-Seiten. Verschlüsselte Mails kann nur der Empfänger entschlüsseln, niemand sonst. Also könnten Gauner hergehen, eine Mail abfangen, ein bisschen HTML-Code dranhängen und weiterleiten. Der Empfänger würde die Mail entschlüsseln und der drangeklebte HTML-Code würde die entschlüsselte Mail dann an die Gauner weiterleiten. Das ist, wie wenn man in einem Haus mit einer teuren Schließlage wohnt, Räuber kommen, klingeln – und man drückt auf den Türöffner. Demnächst gibt’s sicherlich viele Updates für Mailprogramme, die muss man installieren. Und man sollte mal ausprobieren, ob man ohne den HTML-Quatsch auskommt. Der hat in Mails nicht verloren. Bloß Werbe-Mails brauchen das. Das Bundesamt für Sicherheit der Informationstechnik beschreibt auf seiner Seite, wie der Verzicht auf HTML funktioniert und wie man verhindert, dass Inhalte aus dem Web nachgeladen werden.
Der Staatstrojaner vergaloppiert sich mal wieder
Hat auch mit Verschlüsselung zu tun. Der Staatstrojaner ist ein Stück digitales Ungeziefer, das im hoheitlichen Auftrag auf dem Smartphone Chats und Telefonate abgreift, bevor die für die Übermittlung verschlüsselt werden. Der deutsche Staatstrojaner hört auf den Namen Finfisher. Und das Bundeskriminalamt hat ihn in München bei der gleichnamigen Firma eingekauft. Aber Finfisher ist nicht nur im Auftrag des Rechtsstaats unterwegs. Auf Rechnern von bahrainischen Oppositionellen wurde er schon entdeckt und jetzt aktuell – das berichtet die Süddeutsche Zeitung - infiziert er Rechner von Gegnern des türkischen Präsidenten Erdogan.
Meltdown und Spectre abgefedert
Meltdown und Spectre, die Sicherheitsprobleme von fast allen Prozessoren, die am Jahresanfang für Aufregung gesorgt haben. Microcode soll diese und ähnliche Probleme ja etwas abmildern. Aber bisher hat sich der Anwender diesen Microcode auf den Web-Sites von irgendwelchen Hardware-Herstellern zusammensuchen müssen. Also: eigentlich eine einzige Unverschämtheit. Ein Unternehmen, das es in der Hand hat, Abhilfe zu schaffen, hat sich jetzt endlich eines Besseren besonnen: Microsoft. Microsoft liefert Microcode, der die Spectre-V2-Lücke entschärft, jetzt per Windows-10-Update. Betriebssystem-Updates kennt man. Damit kann man umgehen. So muss das auch mit Microcode-Updates gehen.