Auf diesem Blog können Mitarbeiter:innen von CERT.at Beiträge veröffentlichen. Da dies möglichst unbürokratisch abläuft, werden die darin vertretenen Meinungen nicht immer auch von CERT.at vertreten.
Der CERT.at Blog kann alternativ auch als Feed bezogen werden.
Feb 25
Gemalto Hack - nach der Pressekonferenz
Gemalto hat in einer Pressekonferenz im Detail auf die letzten Snowden Enthüllungen reagiert. Einige der Antworten zeigen sehr schön, dass die initiale Reaktion ("potentiell alle SIM Karten tauschen") vielleicht zu stark war. Allerdings müsste nun der langwierige Prozess der Supply-Chain-Security ...
Feb 25
Update: Gemalto hack - lessons learned
1. Update: 2015/2/25
In der Nacht auf FR, 20.2.2015 ist die nächste Bombe aus den Snowden leaks eingeschlagen: der niederländische Chipkartenhersteller Gemalto ist zumindest im Zeitraum Jänner 2010 bis März 2010 von GCHQ und NSA gehackt worden. Hierbei sind angeblich Millionen ...
Feb 24
In eigener Sache: CERT.at sucht Verstärkung
Wir suchen aktuell eine/n ProgrammiererIn - vorerst als Karenzvertretung bis Jahresende. Details siehe https://cert.at/about/jobs/jobs.html.Autor: Robert Waldner
Feb 20
Superfish - Eine Zusammenfassung
Die meisten im Handel erhältlichen Notebooks werden mit einer vorinstallierten Version von Windows in Kombination mit weiterer "nützlicher" Software - gemeinhin als "Bloatware" bezeichnet - ausgeliefert. Für die meisten Leute ist diese auf Notebooks vorinstallierte Bloatware eine rein ...
Feb 11
Offene Key-Value Stores
Wie Heise berichtet wurden in den letzten Tagen von einer Gruppe Studenten zehntausende vollständig ungesicherte Instanzen der NoSQL-Datenbank MongoDB im Internet entdeckt. In den meisten Fällen war nicht nur lesender Zugriff sondern auch die Manipulation von Datensätzen möglich.
Jan 28
In eigener Sache: kurze Service-Ausfälle heute, 28. Jänner 2015
Auch CERT.at ist von den aktuellen glibc/eglibc-Problemen betroffen, und wir müssen daher diverse Services neu starten. Dies kann zu kurzen Service-Ausfällen führen (jeweils im Bereich weniger Minuten). Es gehen dabei keine Daten (zb Emails) verloren, es kann sich nur die Bearbeitung etwas ...
Jan 13
Embedded Device Security - heute bez. diverser Geräte von Snom
Die Researcher von SEC Consult haben viele, viele Bugs - auch kritische - in VoIP-Telephonen der deutschen Firma Snom gefunden - das entsprechende Advisory findet sich hier.Solche Embedded Devices finden sich mittlerweile zu Hauf, vom Privathaushalt bis zum Grossunternehmen. Und wir können ...
Dez 11
Regin
Wir haben in der Woche ab dem 24. November 2014 zum Thema Regin regelmäßige Status-Updates an die GovCERT Constituency (in unserer Rolle als GovCERT Austria), die potentiell betroffenen Sektoren (im Rahmen des ATC) und den CERT-Verbund verschickt.Dieser Blogpost stellt unsere Timeline ...
Dez 09
Poodle-Attacke auch bei TLS
Die "Poodle"-Attacke ist ja nicht mehr wirklich neu (CERT.at Blog-Post dazu). Nun hat sich aber eine neue Facette dazu ergeben, wie das auch TLS-Verbindungen (Poodle war ja quasi ein SSLv3-Problem) betreffen kann.Auf Golem.de wird das gut&ausführlich beschrieben.Autor: Robert ...
Nov 28
Lesestoff: Ron Deibert
Wir leben nicht nur in einer technisch interessanten Zeit, sondern auch die gesellschaftliche Diskussion rund um Geheimdienste, Privatsphäre, Verschlüsselung, 0-Days bis hin zu "Cyberwar" ist für die Zukunft des Internets sehr relevant.Dazu wird viel geschrieben und publiziert, ich ...