Datenschutz & Sicherheit
Anonymisierungsdienst Tor: Bessere Verschlüsselung „Counter Galois Onion“
Das Tor-Projekt arbeitet an einer neuen Verschlüsselung für den Tor-Circuit-Traffic. Sie bekommt den Namen „Counter Galois Onion“ (CGO)und soll einige Angriffe verhindern können.
Weiterlesen nach der Anzeige
Die Änderungen betreffen die Verschlüsselung der Tor-Relays. Diese setzt auf TLS für die Kommunikationsverschlüsselung zwischen den Relays sowie zwischen Clients und Relays. Allerdings ist ein spezieller Algorithmus zur Verschlüsselung von Nutzerdaten nötig, während diese über mehrere Relays in einem Circuit laufen. Das bezeichnet Tor als Relay-Verschlüsselung. „Der Client teilt einen symmetrischen Schlüssel mit jedem Relay in seinem Circuit und verschlüsselt eine ausgehende Nachricht oder ‚Relay-Zelle‘ mit jedem dieser Schlüssel. Jedes Relay kann eine einzelne Verschlüsselungsebene entfernen, bis die Zelle des Clients das Exit-Relay erreicht“, schreiben die Entwickler.
Auf ihrem Weg durch den Circuit muss Tor sicherstellen, dass die Daten auf dem Weg vom Client nicht verändert werden. Im alten Design zur Prüfung gibt es einige Mängel, die Angriffe ermöglichen, etwa sogenannte „Tagging-Attacks“. Bösartige Akteure können dadurch Traffic im Onion-Netzwerk verfolgen. Sie können aber auch sicherstellen, dass sie beide Enden eines Circuit kontrollieren und den Verkehr gezielt leiten und deanonymisieren. Zwar lassen sich dabei erzeugte höhere Fehlerraten von den Clients erkennen, jedoch führen beispielsweise DDoS-Attacken auf Tor zu Fehlalarmen. Die Tor-Entwickler schätzen diese Attacke als besonders wichtig ein und wollen sie mit dem neuen CGO verhindern.
Weniger wichtige Probleme, die CGO löst
Mit CGO wollen die Programmierer auch weniger gravierende Probleme lösen. Einerseits geht es um Forward-Secrecy, also dem Verhindern davon, dass Sitzungen aus der Vergangenheit in Zukunft entschlüsselt werden können. Das alte Tor-Design nutzt denselben AES-Schlüssel für die gesamte Lebenszeit eines Circuits. Kommt der Key während der Lebenszeit eines Circuits abhanden, lässt sich die ganze Sitzung damit entschlüsseln. „Wenn die Lebensdauer eines Circuits nur wenige Minuten beträgt, ist das nicht weiter schlimm, aber manchmal bleiben Circuits tagelang bestehen“, führt das Tor-Projekt aus. Langlebige Circuits seien demnach sogar besser für die Anonymität, weshalb es eigentlich eine gute Idee sei, sie verstärkt zu nutzen. Ein weiteres Problem stellt ein 4-Byte-Digest für die Authentifizierung einer Zelle. Dazu kommt hier auch noch SHA-1 zum Zuge – „das zumindest sein Alter zeigt“, so die Autoren.
All das soll nun der Counter-Galois-Onion-Algorithmus (Spezifikation) lösen. Die Tor-Entwickler fassen knapp zusammen, dass CGO dafür sorgt, dass die vollständige Nachricht und alle künftigen Nachrichten nicht wiederherstellbar werden, sofern etwaige Stellen der verschlüsselten Daten verändert werden. Die Tor-Maintainer stellen den GCO-Krypto-Algorithmus in einem Paper vor. Detailliertere Informationen finden Interessierte im zugehörigen Blog-Beitrag auf der Tor-Projektseite.
Weiterlesen nach der Anzeige
Die Implementierung ist auf einem gutem Weg, versichern die Tor-Programmierer. Sie haben CGO bereits für Arti, eine Tor-Umsetzung in Rust, geschrieben. Auch in C liegt eine Umsetzung vor, außerdem ist das Arti-Projekt noch „Work-in-progress“ und unfertig. Als nächste Schritte wollen sie CGO standardmäßig in Arti aktivieren und die CGO-Aushandlung für die Onion-Dienste implementieren – aufgrund der Komplexität könnte das Feature aber Arti vorbehalten bleiben. Zudem wollen sie die Performance für moderne Prozessoren optimieren.
(dmk)
Datenschutz & Sicherheit
Jetzt handeln! Angreifer umgehen offenbar Fortinet-Sicherheitspatch
Derzeit gibt es Hinweise darauf, dass Angreifer ein jüngst veröffentlichtes Sicherheitsupdate umgehen und FortiOS, FortiProxy, FortiSwitchManager und FortiWeb attackieren. Die Lücke gilt als „kritisch“.
Weiterlesen nach der Anzeige
Laufende Attacken
Die IT-Nachrichtenwebsite Bleepingcomputer berichtet von Fortinet-Kunden bei denen Angreifer Fortinet-Produkte trotz installiertem Sicherheitspatch erfolgreich attackieren. Die Schwachstelle (CVE-2025-59718) ist seit Dezember vergangenen Jahres bekannt. Zu diesem Zeitpunkt erschienen auch Sicherheitsupdates.
Seitdem laufen auch Attacken und Angreifer nutzen die Lücke aktiv aus. Im Anschluss haben sie Zugriff auf Geräte. In welchem Umfang die Angriffe ablaufen, ist derzeit unklar. In einem Beitrag führen Sicherheitsforscher von Artic Wolf unter anderem Parameter auf, an denen Admins bereits attackierte Geräte erkennen können.
Instanzen sind aber nur angreifbar, wenn die Authentifizierung über SSO aktiv ist. Das ist standardmäßig nicht der Fall. Weil Fortinet zum jetzigen Zeitpunkt noch kein repariertes Sicherheitsupdate veröffentlicht hat, müssen Admins jetzt handeln und die Anmeldung via SSO deaktivieren. Das gelingt über das Command-Line-Interface mit folgenden Befehlen:
config system global
set admin-forticloud-sso-login disable
Weiterlesen nach der Anzeige
end
Verwundbare Instanzen in Deutschland
In einer Warnmeldung listet Fortinet weiterführende Informationen zu den bedrohten Produkten auf. FortiWeb 7.0 und 7.2 sollen von der Lücke nicht betroffen sein. Sicherheitsforscher von Shadowserver haben das Internet auf SSO-Instanzen gescannt. Sie kommen derzeit weltweit auf mehr als 11.000 Stück. Hierzulande sind es noch knapp mehr als 120 Instanzen.
Zusätzlich haben es Angreifer zurzeit auf FortiSIEM abgesehen und nutzen eine „kritische“ Sicherheitslücke (CVE-2025-64155) aus.
(des)
Datenschutz & Sicherheit
Projekt Aegis: Niedersächsicher Cyberschutzschild basiert auf US-Technologie
Die Aegis ist der mythische Schild des Zeus und der Athene – und nun auch des Landes Niedersachsen. Das verkündete Innenministerin Daniela Behrens am Mittwoch auf der Landespressekonferenz. Kernstück des „Projekts Aegis“ ist ein System zur automatischen Angriffserkennung und automatischen Abwehr, beigesteuert vom kalifornischen Unternehmen Palo Alto Networks. Das seit anderthalb Jahren laufende Projekt soll die Abwehrfähigkeit der Landeseinrichtungen, aber auch von Hochschulen und Kommunen im Flächenstaat erhöhen – zu einem stolzen Preis. Insgesamt habe man mit dreißig Millionen Euro „viel Geld in die Hand genommen“, sagten die Verantwortlichen.
Weiterlesen nach der Anzeige
Die Menge und Qualität von Cyberangriffen nehme stetig zu, erklärte die Ministerin – und auch die eigenen Systeme würden komplexer. Daher habe die Digitalisierungsabteilung des Innenministeriums gemeinsam mit der IT Niedersachsen den digitalen Schutzschirm konzipiert und eingeführt. Damit sei man im Vergleich mit den anderen Bundesländern führend, erläuterte Behrens. Till Beilstein von IT Niedersachsen zog für die Herausforderungen moderner IT-Sicherheit den bekannten Burg-Vergleich heran: Eine dicke Außenmauer genüge nicht mehr. Attacken durch mutmaßlich staatliche Akteure, etwa aus russischem Staatsgebiet, aber auch aus Südostasien und dem Nahen Osten, machten einen großen Anteil der Angriffe aus.
Man wolle, so die Verantwortlichen, schneller in Erkennung und Reaktion werden und bediene sich dafür auch KI- und Cloud-gestützter Verfahren. Das XSIAM (eXtended Security Intelligence and Automation Management) des US-Unternehmens Palo Alto Networks soll hier helfen. Es ist so großzügig ausgelegt, dass es durch Land, Hochschulen und Kommunen genutzt werden kann, ist sich Ministerin Behrens sicher. Interessenten würden ab dem zweiten Halbjahr 2026 sukzessive unter den „Cyber-Schutzschild“ geholt.
Ein weiteres Ziel des Projekts ist ein ganzheitliches Lagebild der IT-Sicherheit für Niedersachsen. XSIAM soll das N-CERT (Niedersachsen Computer Emergency Response Team) bei Warn- und Meldeaufgaben unterstützen.
Digital wenig souverän – aus Sachzwang?
Von heise security gefragt, ob dies nicht dem Ziel der digitalen Souveränität widerspräche, entgegnete Ministerin Behrens: Zwar sei Palo Alto Networks ein US-Anbieter, doch habe die digitale Souveränität ihre Grenzen in der Anbieterqualität. In Ermangelung europäischer Alternativen habe man sich für den, so Behrens, weltweit führenden Firewall-Anbieter aus dem kalifornischen Santa Clara entschieden.
Fachbereichsleiter Beilstein sekundierte: Es sei über technisch-organisatorische Maßnahmen sichergestellt, dass keine Daten aus dem Landesnetz ins Ausland flössen, etwa in die Analysecloud von Palo Alto Networks.
Weiterlesen nach der Anzeige
(cku)
Datenschutz & Sicherheit
Sicherheitspatches: Atlassian sichert Confluence & Co. gegen mögliche Attacken
Atlassian hat für Bamboo, Bitbucket, Confluence, Crowd, Jira und Jira Service Management Data Center und Server wichtige Sicherheitsupdates veröffentlicht. Nach erfolgreichen Attacken können Angreifer in erster Linie DoS-Zustände und somit Abstürze auslösen.
Weiterlesen nach der Anzeige
In diesem Kontext wohl nicht kritisch
Aus einer Warnmeldung geht unter anderem hervor, dass die Entwickler zwei „kritische“ Lücken (CVE-2025-12383, CVE-2025-66516) geschlossen haben. Diese betreffen Eclipse Jersey und Apache Tika, die Bamboo und Confluence Data Center und Server einsetzen. Die Entwickler führen aus, dass die Schwachstellen die Atlassian-Anwendungen nicht unmittelbar betreffen und demzufolge ein geringerer Bedrohungsgrad gilt. Sind Attacken erfolgreich, können beispielsweise eigentlich nicht vertrauenswürdige Server als vertrauenswürdig eingestuft werden.
Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Hier können Angreifer etwa für DoS-Attacken (zum Beispiel CVE-2025-52999) ansetzen. Es kann aber auch Schadcode auf Systeme gelangen (etwa CVE-2025-55752). Außerdem können sich Angreifer als Man-in-the-Middle in Verbindungen einklinken (CVE-2025-49146).
In Atlassians Warnmeldung gibt es keine Hinweise, dass Angreifer die Lücken bereits ausnutzen. So etwas kann sich aber schnell ändern und Admins sollten zeitnah die zum Download stehenden Sicherheitsupdates installieren. Alle vorigen Versionen sind den Entwicklern zufolge verwundbar.
- Bamboo Data Center and Server:
12.0.2 Data Center Only
Weiterlesen nach der Anzeige
10.2.13 to 10.2.14 (LTS) recommended Data Center Only
9.6.21 to 9.6.22 (LTS) Data Center Only
- Bitbucket Data Center and Server:
10.1.1 to 10.1.4 Data Center Only
9.4.15 to 9.4.16 (LTS) recommended Data Center Only
8.19.26 to 8.19.27 (LTS) Data Center Only
- Confluence Data Center and Server:
10.2.2 (LTS) recommended Data Center Only
9.2.13 (LTS) Data Center Only
- Crowd Data Center and Server:
7.1.3 recommended Data Center Only
6.3.4 Data Center Only
- Jira Data Center and Server:
11.3.0 to 11.3.1 (LTS) recommended Data Center Only
11.2.1 Data Center Only
10.3.16 (LTS) Data Center Only
9.12.26 to 9.12.31 (LTS)
- Jira Service Management Data Center and Server:
11.3.1 (LTS) recommended Data Center Only
11.2.1 Data Center Only
10.3.16 (LTS) Data Center Only
5.12.29 to 5.12.31 (LTS)
(des)
-
Entwicklung & Codevor 2 MonatenKommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
-
UX/UI & Webdesignvor 3 MonatenArndt Benedikt rebranded GreatVita › PAGE online
-
Künstliche Intelligenzvor 3 WochenSchnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
-
Entwicklung & Codevor 1 MonatKommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
-
Künstliche Intelligenzvor 3 MonatenGoogle „Broadwing“: 400-MW-Gaskraftwerk speichert CO₂ tief unter der Erde
-
Apps & Mobile Entwicklungvor 2 MonatenHuawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
-
Social Mediavor 1 MonatDie meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
-
Apps & Mobile Entwicklungvor 2 MonatenFast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC