Alex Stamos bei TrustyCon (Bild: News.com)
Yahoos neuer Chief Information Security Officer Alex Stamos hat in einem Blogbeitrag eine Verschlüsselung für Yahoo Messenger „in den nächsten Monaten“ angekündigt. Yahoo war – ebenso wie ICQ – in der Vergangenheit dafür gerügt worden, dass es auf eine Verschlüsselung von Chats verzichtete.
Stamos, der kürzlich als Mitveranstalter von TrustyCon den Protest gegen RSA und dessen bombastische Sicherheitskonferenz anführte, sieht dies aber nur als ersten Schritt: „Die Überwachung von Millionen Menschen gleichzeitig zu verhindern, liegt absolut innerhalb unserer Möglichkeiten“, sagte er Journalisten bei einer Veranstaltung in den Büros der Yahoo-Tochter Flickr. „Fünfzehn Jahre lang galt, ‚ich vertraue dir meine Daten an‘, aber das ändert sich gerade.“
Die bisherigen Maßnahmen fasste Stamos zusammen: Zum 31. März war der Datenverkehr zwischen Yahoos Rechenzentren „voll verschlüsselt“. HTTPS-Verschlüsselung für Yahoo Mail ist seit Januar standardmäßig aktiv. Und im vergangenen Monat wurde Stamos zufolge auch der Datenaustausch zwischen Yahoo und anderen Mail-Servern stärker verschlüsselt, etwa denen von Google. Die Partner müssen dazu den Standard SMTPS unterstützen (Transport Layer Security fürs Simple Mail Transfer Protocol, das E-Mail-Pendant zu HTTPS). Außerdem nutzen „fast alle“ Suchabfragen, die von der Yahoo-Homepage oder anderen Yahoo-Seiten ausgehen, standardmäßig HTTPS.
Noch habe man aber nicht gleichmäßig starke Verschlüsselung aller Dienste, räumte Stamos ein. Am weitesten seien die Homepage, Mail und die digitalen Zeitschriften, die alle TLS 1.2, Perfect Forward Secrecy und einen 2048-Bit-RSA-Schlüssel einsetzten. Auf Yahoo News, Sports, Finance und Good Morning America for Yahoo müsse man das „http“ in der URL noch selbst um ein „s“ ergänzen, wenn man Verschlüsselung wünsche.
Schwieriger sei es, Mobil-Apps und von anderen integrierte Yahoo-Suchboxen abzusichern, da eben die App umgebaut oder der Partner von der Notwendigkeit überzeugt werden müsse. Dennoch gibt der Datensicherheitsbeauftragte als Ziel „99 Prozent des Traffics zu Yahoo“ als Ziel aus. „Es ist denkbar, dass es immer einige uralte Dienste geben wird, die uns Traffic senden. Kleine Änderungen können in ganzen Unternehmen starke Effekte auslösen. Wir haben nur begrenzte Kontrolle über das Ökosystem.“
Bis Februar war Stamos noch dafür zuständig, Websites auf ihre Sicherheitsimplementierungen abzuklopfen. „Ich war ein professioneller Software-Kritiker.“ Jetzt sei es für ihn so, als müsste ein Filmkritiker plötzlich selbst einen Film drehen. Das sei zwar „ziemlich großartig“, aber auch „vielleicht ein größeres Projekt, als ich erwartet habe“.
[mit Material von Seth Rosenblatt, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
