The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • zdnet logoEen hacker heeft zichzelf toegang verschaft tot de Belgische website van ZDnet. Er verscheen een nieuwsbericht op de website waarin wordt gemeld dat een Koerdische hacker de verantwoordelijkheid voor de inbraak claimt.

    De voorpagina van ZDnet.be lijkt grotendeels intact gebleven te zijn, maar de hackers lijken een nieuwsberichtdat al sinds vrijdag online staat te hebben aangegrepen om hun boodschap te plaatsen. De hacker noemt zichzelf MuhmadEmad, en claimt verbonden te zijn aan de Koerdische peshmerga-strijders. Verder heeft de inbreker het font op de webpagina veranderd, maar lijkt de website verder gewoon te blijven functioneren.

  • dlink logoVorig jaar ontdekte een onderzoeker in Zuid-Korea een backdoor en allerlei andere kwetsbaarheden in een router van fabrikant D-Link, maar de update die volgde blijkt een deel van de problemen niet te verhelpen. Zo is de backdoor nog steeds aanwezig, meldt onderzoeker Pierre Kim.

    Kim analyseerde de firmware-update voor de D-Link DWR-932B-router en ontdekte dat niet alleen de backdoor nog steeds aanwezig is, maar ook de eerder aangetroffen backdoor-accounts, alsmede verschillende andere kwetsbaarheden waardoor het apparaat is aan te vallen. "D-Link had vijf maanden nodig om de beveiligingsupdate te ontwikkelen en nu blijkt dat slechts één kwetsbaarheid is verholpen."

  • wordpress securityWordPress informeerde zijn gebruikers woensdag over een ernstig lek, dat het een week geleden samen met drie andere kwetsbaarheden heeft gedicht. De organisatie zegt gebruikers nu pas in te lichten, omdat de veiligheid van miljoenen websites op het spel stond.

    In een blogpost schrijft Aaron Campbell van WordPress dat vorige week naast de patch voor drie bekende kwetsbaarheden de update ook een oplossing voor een vierde kwetsbaarheid bevatte. Deze was aanwezig in versies 4.7 en 4.7.1 en maakte het mogelijk om op afstand de inhoud van een WordPress-pagina of -post aan te passen of te verwijderen. Volgens de organisatie zijn er geen pogingen vastgesteld om het lek te misbruiken.

  • Het blijkt eenvoudig om rf-dongels voor draadloze toetsenborden en muizen om de tuin te leiden: een aanvaller kan ze toetsaanslagen laten accepteren en zo malware een systeem binnensmokkelen. De dongels van veel fabrikanten zijn kwetsbaar.

    De aanval kan met een usb-dongel van 15 dollar worden uitgevoerd en werkt tot op een afstand van 100 meter, constateerde Bastille Networks, die de kwetsbaarheid beschrijft en hem MouseJack genoemd heeft. Dongels van invoerapparatuur van onder andere Logitech, Dell, HP, Lenovo en Microsoft zijn kwetsbaar. Bij Logitech gaat het om de Unifying Receiver in combinatie met de K360, K400r, K750 en K830. Logitech heeft een softwareupdate uitgebracht om het probleem te verhelpen.

  • nissan leaf hackHet is mogelijk om zonder autorisatie de klimaatcontrole van de Nissan Leaf op afstand te bedienen en om informatie over de auto te onderscheppen. Dat ontdekte beveiligings­onderzoeker Troy Hunt. Samen met een compagnon demonstreert hij de bevindingen.

    Hunt ontdekte het lek tijdens een workshop die hij gaf in Noorwegen. Tijdens de workshop behandelt hij zestien verschillende manieren om in te breken op systemen waar ontwikkelaars rekening mee moeten houden. Een van de zaken die hij onder de loep neemt, is het onderzoeken, onderscheppen en besturen van api-requests tussen applicaties zoals op een smartphone en services die op een andere server draaien en iets uitlezen of aansturen. Dat is waar de workshop interessant begon te worden, schrijft hij op zijn blog.

  • simplisafe logoEen beveiligingsonderzoeker heeft een kritieke kwetsbaarheid in een draadloos inbraakalarm ontdekt (pdf), waardoor het mogelijk is om het systeem op afstand uit te schakelen. Het gaat om het inbraakalarm van fabrikant SimpliSafe. Het systeem bestaat uit allerlei sensoren, zoals rook- en bewegingsmelders, en is via een smartphone-app te bedienen. Om het SimpliSafe-systeem in of uit te schakelen moet er een pincode worden ingevoerd.

    De pincode wordt draadloos en onversleuteld via de keypad naar het basisstation verstuurd, zo ontdekte onderzoeker Andrew Zonenberg van beveiligingsbedrijf IOActive. Hij slaagde erin om met apparatuur van zo'n 250 dollar de verstuurde data met de pincode op te slaan en op een later moment af te spelen. Zo is het mogelijk om het alarm op afstand uit te schakelen.

  • Trane ComfortLink IIBeveiligingslekken in een slimme thermostaat van Trane maakten het mogelijk om met een standaardwachtwoord in te loggen het apparaat en om via een bufferoverflow-aanval willekeurige code uit te voeren. Het duurde meer dan een jaar voordat er een oplossing kwam.

    Volgens de tijdlijn van het Talos-beveiligingsteam van Cisco werd de eerste kwetsbaarheid in april 2014 aan het Amerikaanse bedrijf Trane gemeld. Het bedrijf had een voorgeprogrammeerd standaardwachtwoord gebruikt in zijn ComfortLink II-thermostaat, waarmee een aanvaller via een ssl-verbinding op afstand op het apparaat kon inloggen. Ook was het mogelijk om via twee bufferoverflow-kwetsbaarheden specifieke geheugensegmenten te overschrijven, waardoor mogelijk willekeurige code kon worden uitgevoerd. Trane kwam echter pas in april 2015 met een oplossing voor twee van de drie kwetsbaarheden en voerde in januari nog een ronde updates door om ook het laatste probleem op te lossen.

  • skype logoEen Trojaans paard dat bij gerichte aanvallen tegen onder andere Amerikaanse organisaties is ingezet, heeft het vooral op Skype-gebruikers binnen deze organisaties voorzien. Dat meldt beveiligingsbedrijf Palo Alto Networks. De T9000 Trojan, zoals de malware wordt genoemd, verspreidt zich via kwaadaardige rtf-documenten. De documenten maken gebruik van bekende kwetsbaarheden in Microsoft Office die in 2012 en 2015 door Microsoft werden gepatcht.

  • contactloos betalenMet contactloos betalen blijken veel grotere bedragen ongemerkt te kunnen worden afgeschreven dan banken en consumenten denken. Dat blijkt na een test met een mobiele pinautomaat door de Consumentenbond. Volgens de Consumentenbond is het eenvoudig een mobiel betaalapparaat aan te vragen en hier misbruik van te maken.

    "Volgens de banken en de instructievideo van Betaalvereniging Nederland kunnen consumenten boven de 50 euro niet meer contactloos betalen, maar kunnen ze alleen betalen door de pas in de betaalautomaat te steken en de pincode te gebruiken. Maar dat blijkt niet zo te zijn", aldus de consumentenorganisatie. "In principe kunnen consumenten ieder bedrag contactloos betalen en dus voor elk bedrag contactloos gerold worden door criminelen die naast de pas ook de pincode in handen hebben."

  • torEen instelling van de webserversoftware Apache kan ervoor zorgen dat informatie van Tor-servers lekt, zo waarschuwt een beveiligingsonderzoeker. Voor het opzetten van een server op het Tor-netwerk kan Apache worden gebruikt. In veel gevallen wordt Apache geleverd met een feature genaamd 'mod_status'.

    Het is een pagina die allerlei statistieken weergeeft, zoals uptime, verkeer, ingeschakelde virtuele hosts en actieve http-verzoeken. Het is standaard alleen toegankelijk voor localhost. De Tor-software draait echter op localhost. Daardoor is de statuspagina van de Tor-server via het internet toegankelijk. Volgens de onderzoeker zou een aanvaller in dit geval gevoelige requests kunnen monitoren, de lengtegraad van de server kunnen bepalen als de tijdszone is ingesteld en mogelijk zelfs het ip-adres achterhalen als een clearnet Virtual Host aanwezig is.

  • slimstat pluginWordPress website beheerders die de WP Slimstat Web analytics plugin gebruiken worden geadviseerd om deze zo spoedig mogelijk te updaten. De plugin wordt geteisterd door een ernstige kwetsbaarheid die kan worden benut om in te breken in de database van de site.

    WP Slimstat maakt gebruik van een geheime sleutel om de gegevens tussen de client en de server te versleutelen. Het probleem, volgens onderzoekers van Sucuri, is dat de geheime sleutel een hash is van de installatie 'timestamp'. Deze kan gemakkelijk worden gekraakt met een bruteforce aanval.

    Een aanvaller kan diensten zoals het Internet Archive gebruiken het jaar waarin de website gelanceerd werd te bepalen. De onderzoekers merkten op dat zodra het jaar wordt vastgesteld, de aanvaller zo ongeveer 30 miljoen waarden moet testen. Dit is een taak die een moderne CPU binnen 10 minuten kan uitvoeren.

  • samsungstv logoDe stemopdrachten die slimme televisies van Samsung opslaan en naar een derde partij doorsturen worden onversleuteld verstuurd, zo heeft een beveiligingsonderzoeker ontdekt. Onlangs ontstond er grote ophef over de stemherkenning van de Samsung SmartTV, waarmee consumenten via stemopdrachten de televisie kunnen besturen.

    Beveiligingsonderzoeker David Lodge besloot het verkeer dat van de televisie afkomstig is te onderzoeken. Hij zag daarbij een verbinding over poort 443, dat normaliter HTTPS aangeeft. Vervolgens besloot Lodge de inhoud van de datastroom te bekijken en zag dat het helemaal niet om versleutelde data ging. Het was zelfs geen HTTP-data, maar een combinatie van XML en een binair datapakket.

  • hackerNadat Sony Pictures gehackt is en door bedreigingen de film 'The Interview' niet uitbrengt staat hacken weer volop in de schijnwerpers. Door de jaren heen heeft de wereld een aantal joekels van hackschandalen gezien. Veel daarvan waren gericht tegen banken, maar ook bedrijven als supermarktketen 7-Eleven werden slachtoffer. Een overzichtje van vijf van de grootste hacks aller tijden:

    • In 2013 kwam aan het licht dat vijf Russen en een Oekraïener ruim zeven jaar lang grote Amerikaanse bedrijven als supermarktketen 7-Eleven en Nasdaq hackten. Ze wisten zo meer dan 160 miljoen creditcardnummers en 800.000 bankrekeningen buit te maken. Ook wisten de zes zich toegang te verschaffen tot de servers van de Amerikaanse technologiebeurs Nasdaq. De schade bedroeg meer dan 300 miljoen dollar. 
  • mongodbOnderzoekers hebben op internet duizenden MongoDB-databases ontdekt die direct via het internet toegankelijk zijn, waardoor gevoelige informatie gevaar kan lopen. MongoDB is een opensource NoSQL-database die door verschillende grote websites en diensten wordt gebruikt, alsmede tal van kleinere sites.

    Volgens onderzoekers van het Duitse Center for IT-Security, Privacy, and Accountability (CISPA) kan een minder ervaren systeembeheerder bij het opzetten van een MongoDB-webserver vergeten om belangrijke beveiligingsmaatregelen in te stellen. "Dit leidt tot een volledig open en kwetsbare database die iedereen kan benaderen, en erger, kan manipuleren."

    Standaard draait MongoDB op TCP-poort 27017. Een aanvaller zou alleen een poortscan hoeven uit te voeren om de databases te vinden.

  • Een overzicht van de  top 10 Security tools (2014) gekozen door ToolsWatch.org lezers.

    01 – Unhide (Nieuw)
    02 – OWASP ZAP – Zed Attack Proxy Project (-1↓)
    03 – Lynis (+3↑)
    04 – BeEF – The Browser Exploitation Framework (-2↓)
    05 – OWASP Xenotix XSS Exploit Framework (0→)
    06 – PeStudio (-2↓)
    07 – OWASP Offensive (Web) Testing Framework (Nieuw)
    08 – Brakeman (Nieuw)
    09 – WPScan (0→)
    10 – Nmap (Nieuw)

     

    logo_ghostbuster

    01 – Unhide

    Unhide is a forensic tool to find hidden processes and TCP/UDP ports by rootkits / LKMs or by another hidden technique. Unhide runs in Unix/Linux and Windows Systems. It implements six main techniques.

  • Verschillende routers van netwerkfabrikant D-Link bevatten een kwetsbaarheid waardoor een aanvaller op afstand en zonder inloggegevens de DNS-instellingen van de apparaten kan aanpassen. Op deze manier kan de aanvaller het verkeer van de gehackte router via zijn servers laten lopen, zo meldt PC World.

    De kwetsbaarheid bevindt zich in de ZynOS-routerfirmware, ontwikkeld door fabrikant ZyXEL. Naast D-Link wordt de firmware ook door andere fabrikanten gebruikt, waaronder TP-Link en ZTE.

  • pirate bayThe Pirate Bay is weer begonnen met het serveren van torrents. Op de site stond lange tijd een timer die aftelde naar 1 februari. Nu blijkt dat deze verwees naar de terugkeer van de piraterijwebsite. Volgens geruchten is het team achter de site wel 'afgeslankt' na een ruzie.

    De site lijkt verder volledig functioneel. Met het terugbrengen van de piraterijwebsite lijkt The Pirate Bay het aflopen van de teller niet te hebben afgewacht: de terugkeer werd pas in de nacht van zaterdag op zondag verwacht. De originele hoofdpagina van de site, met zoekfunctie, was al hersteld maar was voor zaterdag nog niet te gebruiken.

  • WhatsApp-logoDe WhatsApp overname door facebook heeft de reputatie van het bedrijf niet goed gedaan. Veel gebruikers lijken van plan om te switchen waar een aantal dit al gedaan hebben.

    Mobile messaging apps worden vaak gebruikt om gevoelige gegevens uit te wisselen, dit zowel prive als zakelijk.  Het is belangrijk de gegevens die worden opgeslagen door de dienstverlener end-to-end zijn geencrypt. Dit is nog niet in het geval van WhatsApp!

    Er zijn veel verschillende mobiele messaging-apps, zoals in het Japan gevestigde Line, China's WeChat, Korea-based KakaoTalk, Canada's Kik en het in India gevestigde Hike.eEr zijn er nog veel meer maar ze zijn niet end-to-end geencrypte 'messengers'.
    Het wordt hoog tijd om over te schakelen naar een aantal plaatsvervangers die wel met end-to-end encryptie werken! Er zijn een aantal oplossingen beschikbaar zoals - Telegram, Surespot, Threema, TextSecure, RedPhone etc.

  • iPhone-KeyloggerBeveiligingsonderzoekers hebben een methode ontwikkeld die hun in staat stelt via een app alle iOS-handelingen van een gebruiker te registreren en naar een server te sturen. De app werkt ook op iPhones zonder jailbreak omdat de onderzoekers de App Store kunnen omzeilen.

    Medewerkers van het beveiligingsbedrijf FireEye tonen op hun blog een proof-of-concept-app die ze buiten de App Store om kunnen distribueren. De app draait op de achtergrond en is in staat informatie over alle handelingen van de gebruiker op te slaan, zo worden ook aanrakingen van het touchscreen opgeslagen inclusief schermcoördinaten. De app is getest op iOS 7.0.4 maar zou volgens de onderzoekers ook op versies 7.0.5, 7.0.6 en 6.1.x moeten werken.

  • fritz!boxHet lek in FRITZ!Box modems waardoor onder andere klanten van XS4ALL werden aangevallen is veel ernstiger dan gedacht, aldus een Duitse website. Via het lek kregen criminelen toegang tot de modems, die er vervolgens telefoonfraude mee pleegden, wat voor hoge rekeningen zorgde.

    In eerste instantie werd gesteld dat het probleem zich alleen voordeed bij gebruikers die Remote Access of de MyFRITZ! service op de modem hadden ingeschakeld. Het Duitse Heise Security meldt dat het probleem in principe alle gebruikers van een FRITZ!Box treft en dat het niet vereist is dat Remote Access is ingeschakeld. "Het probleem is dus veel ernstiger dan eerst werd gedacht", zo laat Heise weten.

  • magento-logoHet lijkt erop dat geen dag voorbij gaat zonder dat je iets hoort over het hacken van een website of het stelen van creditcardgegevens of andere gevoelige informatie.
    De markt van E-commerce is booming business, en dat biedt nog meer mogelijkheden voor hackers. Er zijn veel kant en klare e-commerce platforms beschikbaar, die gemakkelijk te installeren en eenvoudig te beheren zonder extra kosten. Daarbij is 'Magento' een van de meest populaire.
    Onlangs hebben security onderzoekers van Securatary een kritische cross-store kwetsbaarheid in het Magento platform gemeld. Hierbij verkrijgen aanvallers 'escalation privileges' door het creëren van een gebruiker met beheerdersrechten op elke 'Gostorego' online winkel.
    De 'authentication bypass' kwetsbaarheid is van toepassing op ongeveer 20.000 sites. Om het lek te misbruiken, zal de aanvaller de HOST header moeten modificeren. Een envoudige aanpassing van de URI het GET-request volstaat.
  • linksys2Een worm genaamd TheMoon infecteert op dit moment Linksys-routers en laat besmette routers vervolgens naar andere kwetsbare routers zoeken. Een aantal dagen geleden waarschuwde een Amerikaanse provider al voor de aanvallen, die op meer modellen zijn gericht dan eerst werd aangenomen.

    De worm maakt verbinding met poort 8080, al dan niet via SSL. Vervolgens wordt de "/HNAP1/" URL opgevraagd, die een lijst met routerfeatures en firmwareversies oplevert. Hierna stuurt de worm een exploit naar een kwetsbaar CGI-script dat op deze routers draait en waarvoor geen authenticatie is vereist. Het script controleert namelijk niet het opgegeven admin-wachtwoord, waardoor elk willekeurig admin-wachtwoord werkt.

  • mailEen nieuw ontdekt spionagevirus wordt door de ontdekkers omschreven als één van de meest geavanceerde spionagecampagnes ooit, maar de infecties verliepen voor zover bekend op traditionele wijze. De nieuwe malware heet 'The Mask' en heeft meer dan 380 slachtoffers in 31 landen gemaakt.

    Slachtoffers ontvingen een spear phishingmail met een linkje dat naar een filmpje of nieuwsartikel leek te wijzen. Zodra de ontvanger de link opende werd die naar een website doorgestuurd die de computer probeerde te infecteren. Vervolgens werd de website geladen waar de link in de e-mail in eerste instantie naar leek te wijzen. Eenmaal actief probeerde The Mask allerlei informatie van de besmette computer te stelen, zoals documenten, encryptiesleutels, SSH-sleutels, VPN-configuraties en RDP-bestanden.

    De malware werd door Kaspersky Lab ontdekt toen het een lek in de virusscanners van het Russische anti-virusbedrijf probeerde te misbruiken. Door van dit lek gebruik te maken zou de malware onzichtbaar voor de virusscanner zijn. Het lek in de anti-virussoftware werd in 2008 door Kaspersky gepatcht. De spionagecampagne zou echter al sinds 2007 actief zijn. Tijdens het onderzoek naar de malware in januari van dit jaar werd de campagne opeens gestopt.

    Verspreiding

  • Een Duitse beveiligingsexpert gaat de komende twee weken allerlei beveiligingslekken in routers en andere netwerkapparaten voor consumenten onthullen en D-Link, Linksys en Netgear bijten het spits af. Via de kwetsbaarheden kunnen kwaadwillenden op afstand toegang tot de apparaten krijgen. In het geval van D-Link gaat het om de DIR-300 en DIR-600 routers

    Via de kwetsbaarheden kan een aanvaller zonder al teveel moeite willekeurige opdrachten op de apparaten uitvoeren. Daardoor is het mogelijk om de instellingen te wijzigen en het verkeer via een kwaadaardige server te laten lopen. 

    Hiervoor is geen wachtwoord of andere authenticatie vereist. Zelfs in het geval een router niet direct via het internet benaderbaar is, is het mogelijk om de router via Cross-Site Request Forgery aan te vallen. Daarbij wordt de aanval tegen de router vanaf de computer van het slachtoffer uitgevoerd. 

    Het probleem werd op 14 december door onderzoeker Michael Messner ontdekt en aan D-Link gerapporteerd. Een week later reageerde het bedrijf dat het de bevindingen zou verifiëren. 

    Toen bleef het stil en na meerdere pogingen van Messner stelt D-Link dat het een beveiligingsprobleem met de browser betreft en er geen update komt. Ondanks aanvullende informatie om de kwetsbaarheden beter te onderzoeken bleef het daarna stil, waarop Messner tot Full-disclosure overging. 

    Linksys
    In het geval van Linksys gaat het om de Linksys E1500 en E2500. Via een ontbrekende input validatie kan een aanvaller willekeurige shell-opdrachten injecteren. Zo is het mogelijk om Telnet te starten of een backdoor op een kwetsbare router te installeren. Ook is het mogelijk om het huidige wachtwoord te wijzigen zonder dat het ingestelde wachtwoord bekend hoeft te zijn. 

    Het lek werd op 21 oktober aan Linksys gerapporteerd, waarna er een lange mailwisseling tussen de beide partijen volgde. Linksys vroeg Messner om verschillende firmware-versies te testen, maar die bleken toch kwetsbaar te zijn. Er is dan ook nog geen oplossing beschikbaar. 

    Netgear
    Netgear-gebruikers moeten zich zorgen maken in het geval van de N150 Wireless ADSL2+ Modem Router DGN1000B. Wederom is het door ontbrekende input validatie mogelijk willekeurige shell-opdrachten uit te voeren of een backdoor te uploaden. Het probleem werd op 15 oktober vorig jaar gemeld. Na negen dagen kreeg de onderzoeker antwoord, maar een week later werd de melding door Netgear gesloten. 

    Na een moeizame mailwisseling kon Messner uiteindelijk een firmware bètaversie testen. Op 22 januari gaf hij zijn bevindingen door aan Netgear, waarna het stil bleef. Daarom besloot hij vandaag tot openbaarmaking over te gaan. Er is nog altijd geen oplossing voorhanden.

     

    Bron: security.nl

  • security-computer-doctorVijf Amerikaanse ziekenhuizen hebben de dossiers van meer dan 30.000 patiënten een jaar lang via de zoekmachines van Google en Yahoo op het internet gelekt. Door een verkeerde beveiligingsinstelling werd de informatie door de zoekmachines geïndexeerd. Het gaat om namen, body-mass index (BMI), bloeddruk, laboratoriumonderzoeken, of de patiënt rookte of niet, medische allergieën, wilsverklaring en demografische informatie. De gegevens werden begin 2011 voor het eerst geïndexeerd. 

    Zoektermen
    Om de informatie te vinden zou er volgens ziekenhuis CIO Clyde Wesp een "complexe verzameling van termen" moeten worden gebruikt. De ziekenhuizen ontdekten het lek nadat ze door de advocaat van een patiënt werden gewaarschuwd. Hoe de patiënt zijn gegevens op het web ontdekte is onbekend. Alle overige patiënten werden via de post ingelicht. 

    De gegevens zijn inmiddels niet meer online te vinden. "Ik denk dat het belangrijkst is dat we snel hebben gereageerd", aldus Wesp.

    bron: Security.nl

  • defensieEen standaard wachtwoord zorgde ervoor dat de videoconferentiesystemen van Defensie voor iedereen toegankelijk waren. Dat ontdekte beveiligingsblogger Rickey Gevers na een tip van Twitteraar Antisec. Daarnaast was het systeem ook niet tegen brute force-aanvallen beschermd. "In dit geval kunnen we stellen dat vrijwel alle routers in Nederland -dus ook die bij u thuis- beter beveiligd zijn. Want die is namelijk vrijwel altijd geheel niet toegankelijk via het internet", aldus Gevers. 

    Het IP-adres dat hij van Antisec kreeg doorgespeeld kwam uit op het videoconferentiesysteem van de directeur van het Marinebedrijf CDRT. Daar vandaan werden IP-adressen en telefoonnummers van verschillende andere Defensiesystemen ontdekt. 

    "Het is zo goed als uitgesloten dat iemand dit voor de lol in elkaar heeft geknutseld. 4 sites geven een login mogelijkheid, en ook deze sites hangen dus blijkbaar aan het internet. De sites geven daarbij keurig weer welke software er achter draait, en in alle gevallen was dit inderdaad videoconference software", stelt Gevers. 

    Onderhoudsbedrijf
    Volgens een woordvoerder van Defensie worden de systemen zelden gebruikt. "Een onderhoudsbedrijf van Defensie heeft ooit zeven vtc-systemen aangeschaft voor zichzelf. Deze systemen draaien op het reguliere, publieke internet. De cyber-veiligheidsafdeling van Defensie waarschuwt tegen dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En dat blijkt. Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar is geweest." 

    my contacts
    bron:  security.nl

  •  

    pirate-keyboardAanvallers zijn erin geslaagd om de server van klokkenluidersite Cryptome te hacken en daar malware op te plaatsen. Het zou gaan om de Blackhole exploit-kit, die bezoekers met ongepatchte software automatisch infecteert. Dit programma misbruikt vooral lekken in Adobe Reader, Java en Flash Player. Cryptome maakte de infectie op de eigen website bekend

    Uit de loggegevens zou blijken dat de malware vier dagen op de website heeft gedraaid, voordat een bezoeker alarm sloeg. Verder onderzoeks wees uit dat de kwaadaardige code op 6.000 HTML-pagina's van de website was geplaatst. Inmiddels zijn alle besmette pagina's door schone bestanden vervangen, hoewel de klokkenluidersite niet uitsluit dat er nog directories zijn waar de malware actief is.

     

    bron: security.nl

  • Philips Electronics got hacked Database Stolen by Hackers
    Een webserver van elektronicagigant Philips is gehackt, waarbij een database met persoonsgegevens is gestolen en vervolgens online gezet. De aanval werd uitgevoerd door 'bch195' en 'HaxOr', die lid zijn van een groep die zich Team INTRA noemt. Op Pastebin.com werd de aanval aangekondigd en verschillende links geplaatst. Het gaat onder andere om een screenshot van verschillende Philips-sites en subdomeinen die op de server draaiden. 

    Datadiefstal
    Tevens staan er links naar informatie die in de database werd gevonden. Het lijkt om gegevens van klanten te gaan die iets in een webshop hebben aangeschaft en een overzicht van Philips-personeel. In de lijst staat ook het privé e-mailadres van Kees Schep, Vice President Innovation en Development bij Philips Consumer Lifestyle. 

    Als laatste plaatsten de aanvallers een link met een overzicht van 100 e-mailadressen. De totale lijst zou uit 200.000 e-mailadressen bestaan, maar die willen de aanvallers niet openbaren, aangezien ze van plan zijn om die te verkopen. Waar deze e-mailadressen precies vandaan komen is onduidelijk.

  • google walletHet blijkt kinderlijk eenvoudig om toegang te krijgen tot een account van Googles mobiele betaaldienst Wallet. Door de data die in de app is opgeslagen weg te gooien wordt om een nieuwe pincode gevraagd, waardoor een hack niet nodig is.

    De applicatiedata kan gemakkelijk weggegooid worden door naar de instellingen van het Android-apparaat te gaan. Wanneer een kwaadwillende dan een prepaid betaalkaart van Google met Wallet koppelt, wordt er toegang verkregen tot het geld dat de gebruiker al via prepaid op zijn telefoon had gezet. Omdat prepaidtegoed gekoppeld is aan de telefoon en niet aan een account, blijft het geld beschikbaar ondanks het resetten van de applicatiedata.

    Google raadt Wallet-gebruikers die hun telefoon hebben verloren aan om te bellen met de klantenservice om de prepaidkaarten die het bedrijf aanbiedt te laten blokkeren. Daardoor zou de truc niet meer werken. Er wordt gewerkt aan een software-update die volgens de internetgigant snel wordt uitgerold.

    Kortgeleden kwam Wallet al in het nieuws doordat een beveiligingsbedrijf er in was geslaagd de pincode te achterhalen. Er werd daarbij een brute force-aanval gebruikt om hashes van de pincode uit te lezen. Deze techniek bleek alleen te werken op Android-toestellen die roottoegang hebben, waardoor de impact beperkt blijft. De nieuwere methode is echter een stuk simpeler en werkt bij alle gebruikers van Wallet. Wel moeten kwaadwillenden het Android-apparaat van de Wallet-gebruiker in handen hebben en toegang tot het toestel hebben.

    Bron: tweakers.net

  • Android Bmaster Exploits

    A new piece of Android malware named Android.Bmaster, first highlighted by researcher Xuxian Jiang at North Carolina State University, was uncovered on a third-party marketplace and is bundled with a legitimate application for configuring phone settings, Symantec researcher Cathal Mullaney wrote in a blog.

    This Malware is estimated to affect between 10,000 and 30,000 phones on any given day. The malware, mostly found on Chinese phones, works by using GingerBreak, a tool that gives users root access to Android 2.3 Gingerbread. RootSmart is designed to escape detection by being named "com.google.android.smart," which the same name as a settings app included by default with Android operating systems.

    Mullaney explained that once the malware is installed on the Android phone, an outbound connection from the infected phone to a remote server is generated.“The malware posts some user and phone-specific data to the remote address and attempts to download and run an APK file from the server. The downloaded file is the second stage in the malware and is a Remote Administration Tool (RAT) for Android, detected as Android.Bmaster. This type of malware is used to remotely control a device by issuing commands from a remote server”.

    To counter the rising tide of threats, Google last week announced it had launched an app prescreening tool called Bouncer that runs a server-based simulation to check apps for malicious behavior such as attempts to access or send personal data, or simply send out pricey text messages. Google blocks them before they get into the official Android Market.Bouncer has been used quietly for several months; in the second half of 2011, the Android market saw a 40 percent decrease in malware apps identified as potentially malicious, compared to the first half of the year.

    Google spokesperson Nancarrow points out that Rootsmart wasn’t found in the official Android Market and so falls outside the zone of protection that Google is trying to enforce with its new malware scanner. And the fact that Gingerbreak was already patched, he adds, points to Android’s “defense in depth approach, not a reliance on any specific user protection measure."

    Source: thehackernews.com

  •  

    XSS


    Today Ucha Gobejishvili ( longrifle0x ) a Pentester from Georgia reported 3 More important Cross Site Scripting Vulnerabilities in Sun Microsystem's and Java Printer Webpages.

    Java's Vulnerable Link   : Click Here
    Sun's Vulnerable Link 1 : Click Here
    Sun's Vulnerable Link 2 : Click Here
     
    Cross-Site Scripting occurs when an attacker can send a malicious script to a different user by relaying the script from an otherwise trusted or innocuous server. These flaws are extensive on the Web and allow an attacker to place malicious code that can execute attacks against other users in the security context of the web servers of the trusted host.


    Source: thehackersnews.com

     

  •  

    php2De zeer populaire scripttaal PHP heeft een nieuwe versie uitgebracht die een ernstig beveiligingslek verhelpt, waardoor aanvallers op afstand willekeurige code konden uitvoeren. PHP zou door 77% van alle websites worden gebruikt en draait zodoende op tal van webservers, die nu risico lopen. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Stefan Esser

    Ironisch
    De kwetsbaarheid werd geïntroduceerd door door de patch voor het hash-collision-lek dat in december werd gemeld en januari gepatcht. Via de hash-collision-kwetsbaarheid was het mogelijk voor aanvallers om webservers vanaf één laptop plat te leggen. 

    Het feit dat een beveiligingsupdate een beveiligingslek veroorzaakt is erg ironisch,aldus Dustin Schultz. Inmiddels is er ook een proof-of-concept exploit verschenen. Gebruikers wordt dan ook geadviseerd om zo snel als mogelijk PHP 5.3.10 te installeren.

     

  • Aanvallers gebruikers een nieuwe manier om vertrouwelijke gegevens van internetgebruikers te stelen. Daarvoor waarschuwt beveiligingsbedrijf Imperva. Het gaat om een vereenvoudigde versie van de Man-in-the-Browser-aanval, genaamd Boy-in-the-Browser. De aanval wordt niet alleen voor internetbankieren, maar ook andere applicaties gebruikt.

    De aanval gebruikt exploitcode om toegang tot het systeem van het slachtoffer te krijgen en wijzigt daar het HOSTS-bestand. Hierdoor wordt het slachtoffer naar een andere website doorgestuurd, ook al tikt hij zelf het adres in de adresbalk in. Vervolgens wordt de exploitcode van het systeem verwijderd, wat detectie voor virusscanners moet bemoeilijken.

    Virusscanner
    In tegenstelling tot een Man-in-the-Browser, is een Boy-in-the-Browser eenvoudig uit te voeren eneffectief voor kleinschalige operaties. De aanval is zeer lastig door consumenten te herkennen en moeilijk door virusscanners te voorkomen. Vanwege de eenvoud van de code kunnen de makers zeer snel nieuwe varianten uitbrengen. "Tegen de tijd dat signatures voor virusscanner beschikbaar zijn, staat de exploitcode niet meer op de machine", aldus Imperva.

    De beveiliger waarschuwt dat vanwege de lage kosten van een Boy-in-the-Browser, aanvallers ze voor allerlei doelwitten kunnen gebruiken. "Het vermijden van infecties door dit soort Proxy Trojans is naar verluid de verantwoordelijkheid van consumenten, deze aanvallen worden echter een steeds groter probleem voor online service providers."

    Bron: Security.nl
  • Gegevens die via de Android-apps voor Facebook, Twitter of Google Calendar over het internet worden verstuurd, worden niet versleuteld, ontdekte een Amerikaanse hoogleraar. Op publieke wifi-hotspots is dat een risico.

    Gebrek aan sslDan Wallach, universitair hoofddocent computerwetenschappen in Houston, ontdekte dat bepaalde Android-apps gegevens onversleuteld verzenden. De ontdekking werd gedaan toen Wallach tijdens zijn lessen netwerkverkeer van en naar een Android-telefoon liet sniffen met Wireshark en de tcp/udp-proxy Mallory.

    Daarbij bleken de sociale-netwerkapps onbeveiligd gegevens te versturen. Het is nog onbekend of het bij Twitter enkel om de officiële client gaat of om alle apps die de Twitter-api gebruiken. In het geval van Twitter betekende het gebrek aan versleuteling dat alle verzonden tweets konden worden bekeken; dat zou bij privéberichten een privacyprobleem kunnen opleveren. Omdat Twitter gebruikmaakt van oauth was login-informatie niet te achterhalen.

    Het is onduidelijk of dat bij Facebook wel kan; die app gebruikt in ieder geval geen oauth. Opvallend genoeg werd een instelling in de smartphone van de hoogleraar, waardoor al het netwerkverkeer met ssl zou moeten worden versleuteld, genegeerd. Ook Google Calendar synchroniseerde zijn gegevens zonder encryptie; Google Voice- en Gmail-gegevens werden weer wel versleuteld. Het gebrek aan een beveiligde verbinding maakt dat gegevens op publieke wifi-hotspots kunnen worden afgeluisterd. Ook bestaat het gevaar van man in the middle-aanvallen.

    bron: tweakers.net

  • This post will serve tohacker collect new attack techniques as they are published. If you think something should be added, please comment below and I'll add them.

    "Every year the Web security community produces a stunning amount of new hacking techniques published in various white papers, blog posts, magazine articles, mailing list emails, etc. Within the thousands of pages are the latest ways to attack websites, Web browsers, Web proxies, and so on. Beyond individual vulnerability instances with CVE numbers or system compromises, we're talking about actual new and creative methods of Web-based attack. The Top Ten Web Hacking Techniques list encourages information sharing, provides a centralized knowledge-base, and recognizes researchers who contribute excellent work."

    Current 2011 List

    1. Bypassing Flash’s local-with-filesystem Sandbox
    2. Abusing HTTP Status Codes to Expose Private Information
    3. SpyTunes: Find out what iTunes music someone else has
    4. CSRF: Flash + 307 redirect = Game Over


    Previous Winners
    2010 - 'Padding Oracle' Crypto Attack
    2009 - Creating a rogue CA certificate
    2008 - GIFAR
    2007 - XSS Vulnerabilities in Common Shockwave Flash Files
    2006 - Web Browser Intranet Hacking / Port Scanning

    Source: jeremiahgrossman.blogspot.com

  • A new Android Trojan - dubbed HongTouTou or ADRD - has been spotted targeting Chinese-speaking users.

    Repackaged with popular Android applications and games, it is being distributed via unregulated app markets and online forums.

    "When an app containing HongTouTou starts, it sends encrypted data containing the device IMEI and the IMSI to a remote host," explains Lookout's Tim Strazzere. "In response, the HongTouTou receives a set of search engine target URIs and a set of search keywords to send as queries."

    Once it has submitted the queries to a search engine and has received the results, it clicks on specific ones. To the search engine, this looks like normal user behavior.

    According to Strazzere, it can also process a command instructing it to download an Android package file which can monitor SMS conversations and insert content related to specific keywords (potentially spam) into them.

    A number of security firms have already analyzed the Trojan and some of them classified it as a variant of Geinimi. But, F-Secure researchers think otherwise: "From our point of view, Geinimi and Adrd differ due to the fact that Geinimi can be classified as a a classic Backdoor for its vast command and control commands, whereas Adrd can be classified as a classic Trojan-Clicker."

    Source: helpnetsecurity.com

  • motorola_atrix_338Het is hackers gelukt root-toegang te krijgen op Motorola's Atrix 4G-smartphone. Het root-account geeft gebruikers meer rechten, wat de mogelijkheden tot tweaken bevordert. Het toestel ligt pas over enkele dagen in de winkels.

    Nog voor Motorola's nieuwste Android-smartphone in de winkels ligt, is het leden van het xda-forum al gelukt om root-toegang op het toestel te verkrijgen. Een gebruiker die het toestel vroegtijdig wist te bemachtigen maakte een dump van de systeembestanden, waarna romontwikkelaar designgears het root-account wist te ontsluiten. Gebruikers kunnen met root-toegang bepaalde applicaties draaien die meer rechten vereisen dan Android standaard biedt.

    De Android-toestellen van Motorola hebben de reputatie moeilijk te hacken te zijn. Dit komt omdat de fabrikant de bootloaders op veel van zijn smartphones versleutelt, waardoor het onmogelijk is om zelf kernels te compileren en deze te flashen. In het verleden zijn pogingen gedaan deze versleuteling met een brute force-methode te kraken, zonder succesvol resultaat. Of de bootloader van de Atrix 4G ook een versleuteling bevat, is nog niet bekend. Er is een kans dat Motorola met zijn nieuwe telefoons voor een andere aanpak omtrent zijn bootloaders kiest; vorige maand liet het via Facebook weten dat het op zoek is naar een oplossing om softwareontwikkelaars tegemoet te komen.

    De Atrix 4G ligt in Amerika op 22 februari in de winkels, en is gekoppeld aan de provider AT&T. Het Android-toestel gooide hoge open op de CES en het MWC, vanwege de accessoires die Motorola aanbiedt. Het bedrijf levert een speciale laptopbehuizing waar het toestel ingeschoven kan worden, waarna de interface zich aanpast aan het 11,5"-scherm. Daarnaast is ook nog een multimedia-dock beschikbaar. Of het toestel ook naar Nederland komt is nog niet bekend.

    Bron: tweakers.net

  • Wondering how secure your browser is? Today at the RSA Conference in San Francisco, Qualys CTO Wolfgang Kandek presented their research which clearly shows that browser security is alarmingly bad.

    Results show that browsers and plug-ins are frequently outdated and easily attackable. To make things worse, malware authors adapt quickly and most of their new attacks are against browser plug-ins.

     

    java_chart

    Data was gathered by Qualys BrowserCheck, a tool that scans your browser looking for potential vulnerabilities and security holes in your browser and its plug-ins.

    Around 200,000 people took the test in the past six months, with the top users being from the United States, Brazil and Germany. As browser popularity goes, Internet Explorer usage is big in the U.S., while Firefox dominates in Europe.

    Even though browser patching is very established and user awareness is growing, the basic data shows that roughly 70% of all BrowserCheck users were using a vulnerable browser.

    Detailed analysis of the data showed that only about 20% of security vulnerabilities are in the browsers and the great majority of security issues comes from the plug-ins installed in them. These plug-ins are typically not updated by the browser. Top examples are Adobe Flash and Reader, Sun Java and Windows Media Player.

    While everybody knows about the hackers' predilection for targeting Adobe Flash, data shows that Sun Java is by far the most vulnerable plug-in installed in browsers. "While Adobe has been evidently stepping up their security efforts, we still haven't seen the same from Sun," commented Kandek.

     

    java_chart2

    The simplest advice for end users would be to take a look at BrowserCheck and make sure their browsers and plug-ins are updated.

    IT departments should try to follow patching cycles - it's the least they can do in order to be safe. This naturally won't protect them from targeted attacks, but it will at least keep those using automated tools at arm's length.


    Source: HelpNetSecurity

  • Nieuwe en traditionele manieren om netwerkbeveiliging te omzeilen, de zogenaamde 'advanced evasion techniques', zijn nog steeds een groot probleem. Ze worden niet goed opgelost door fabrikanten van netwerkapparatuur, waardoor bedrijven risico lopen. Dit zeggen onderzoekers van het Finse onderzoeksbedrijf Stonesoft. Zij vonden vanaf oktober 2010 welgeteld 124 nieuwe 'advanced evasion techniques' en hebben deze gerapporteerd aan het Finse CERT. De eerste 23 gevallen die gemeld werden aan CERT-FI, zijn openbaar gemaakt.

    Hoewel veel fabrikanten claimen de problemen met de 'advanced evasion techniques' te hebben opgelost, toont onderzoek van Stonesoft aan dat deze nog wel degelijk door de systemen heen weten te komen. Met kleine aanpassingen, zoals het veranderen van de byte-grootte, en 'segmentation offset', omzeilen de technieken het detectiesysteem van de apparaten.

    "Het lijkt erop dat fabrikanten die beweren 100% beveiligd zijn tegen 'advanced evasion techniques', zich niet bewust zijn van de omvang van het probleem. Noch hebben zij voldoende gedaan om dit probleem te onderzoeken. Tot nog toe zijn de ontdekkingen het topje van de ijsberg", aldus Joona Airamo, topman van Stonesoft.
  • iphonedeathLosing your iPhone or iPad equals having your passwords compromised - even if the device is protected with a passcode.

    The results of an experiment conducted by Jens Heider and Matthias Boll, two researchers from the Fraunhofer Institute for Secure Information Technology, have proven that the combination of a modified jailbreaking technique and the installation of an SSH server on a device running iOS results in a complete circumvention of the passcode.
    lost-pass-keychain-ios

    According to the researchers, this is not the first time that someone managed to access great portions of the data stored in these devices without having to know the passcode. "Tools are available for this tasks that require only small effort. This is done by tricking the operating system to decrypt the file system on behalf of the attacker. This decryption is possible, since on current iOS devices the required cryptographic key does not depend on the user’s secret passcode," they explain.

    So, they chose to concentrate their efforts on gaining access to the data stored in the keychain, which usually contains various user accounts and passwords for e-mail, VPN, WiFi, various websites and sometimes also passwords and certificates used in 3rd party applications.

    This data is also encrypted, and for the sake of the experiment, they assumed the device is in the hands of a thief or someone who found it, that it is protected by a strong passcode and that it's not jailbroken.

    After having bypassed the passcode using the previously mentioned procedure, software on the device can be used to access the encrypted keychain database. A specially crafted script is then copied into the device via the SSH connection and, when executed, it reveals information concerning the found accounts in the shell screen.

    The script decrypts the keychain with the help of functions provided by the operating system itself, but there are some passwords that remain protected and inaccessible, and some that can only be accessed if the attacker knows the passcode:


    "We judge the effort for the shown attack method as low, since the used jailbreaking tools are freely available and the additional steps to decrypt the keychain requires only moderate programming skills," conclude the researchers, and advise everyone who lost their iPhone or iPad or had it stolen to immediately change all the passwords stored on it.


  • Tal van energiebedrijven zijn de afgelopen jaren het doelwit van cyberaanvallen geworden, afkomstig uit China. McAfee waarschuwt vandaag voor Operatie Night Dragon, een verzameling van aanvallen die in november 2009 begonnen en verschillende globale olie-, petrochemische- en energiebedrijven als doelwit hadden. Het was de aanvallers te doen om informatie over projectfinancieringen en biedingen voor olie- en gasvelden. "Deze informatie is zeer gevoelig en kunnen miljardendeals in deze zeer competitieve industrie breken of maken", zegt CTO George Kurtz.

    De aanvallers gebruikten traditionele aanvalsmethoden, zoals social engineering, spear-phishing, Windows exploits, Active Directory hacks en remote administration tools (RATs). McAfee omschrijft de in de aanvallen gebruikte tools, technieken en netwerkactiviteiten als Night Dragon. De aanvallen, die voornamelijk vanuit China worden gelanceerd, vinden nog steeds plaats.

    China
    Bij sommige aanvallen werd de extranet webserver via SQL-injectie gecompromitteerd. Vervolgens werd er aanvullende malware geüpload, waardoor de aanvallers toegang tot het intranet, belangrijke desktops en servers kregen. Via wachtwoordkrakers en 'pass-the-hash tools' werden aanvullende gebruikersnamen en wachtwoorden buitgemaakt. Voor de aanvallen gebruikten de aanvallers gehuurde servers in de Verenigde Staten en gehackte servers in Nederland. Naast energiebedrijven waren ook individuen en topbestuurders in Kazachstan, Taiwan, Griekenland en de VS het doelwit.

    Volgens McAfee zijn verschillende partijen bij de aanvallen betrokken, maar heeft het één individu weten te identificeren. Deze persoon uit Heze in de Chinese Shandong provincie, zou waardevolle informatie over de Command & Control infrastructuur aan de aanvallers hebben doorgespeeld. De virusbestrijder denkt niet dat dit individu het meesterbrein achter de aanvallen is, toch zou hij of zij tenminste een deel van de aanvallers kunnen identificeren.

    Bron: security.nl

  • This episode of the OWASP appsec tutorial series describes the #1 attack on the OWASP top 10 - injection attacks.
    The video illustrates SQL injection, discusses other injection attacks, covers basic fixes, and then recommends resources for further learning.


  • Linksys WAP610NEr zit een ernstig beveiligingslek in het Linksys WAP610N WiFi Access Point, waardoor aanvallers willekeurige code kunnen uitvoeren en het apparaat kunnen overnemen. Het probleem is al maanden bij Linksys bekend, maar een patch is nog altijd niet verschenen. Via de kwetsbaarheid kan een aanvaller zonder authenticatie met een console op het access point verbinding maken, zonder dat hiervoor authenticatie is vereist, om vervolgens systeemopdrachten uit te voeren. Het enige wat een aanvaller hiervoor nodig heeft is een telnet client.

    Beveiligingsonderzoekers van Secure Network waarschuwden Linksys, onderdeel van Cisco, op 14 juni van vorig jaar. Op dezelfde dag bevestigde Linksys het probleem, maar daarna bleef het stil. Zes maanden later gaf de netwerkleverancier antwoord op een e-mail van de onderzoekers, waarin ze om een update vroegen. Aangezien er inmiddels acht maanden zonder update zijn verstreken, besloten ze tot full-disclosure over te gaan.

    Als oplossing adviseert Secure Network om access points op een apart draadloos netwerk te zetten en al het netwerkverkeer van en naar TCP poort 1111 te filteren.

    Bron: security.nl

  •  

    Volgens beveiligingsbedrijf McAfee hebben Chinese hackers toegang gekregen tot systemen van oliebedrijven. Zeker tien bedrijven zouden zijn getroffen. De hackers gebruikten servers in Nederland om de aanvallen uit te voeren.

    De hackers gebruikten onder andere beveiligingslekken in Windows, sql injection en phishing om toegang te krijgen tot geheime documenten. Gigabytes aan documenten over olievelden, financieringen en proposities zouden zijn buitgemaakt. Volgens McAfee gebruikten de hackers gekaapte servers in Nederland om hun aanvallen uit te voeren, naast in de Verenigde Staten gehuurde servers.

    De waarschijnlijk uit China afkomstige aanvallen, door McAfee onder de noemer Night Dragon geschaard, zouden sinds november 2009 voorkomen en een tiental bedrijven hebben getroffen. McAfee wil niet aangeven om welke bedrijven het gaat. De hackers zouden niet hebben geprobeerd om systemen te saboteren, maar alleen op informatie uit zijn geweest.

    Volgens McAfee waren de aanvallen weinig complex, maar desondanks succesvol. De buitgemaakte informatie zou 'zeer gevoelig' zijn en kan bedrijven veel geld kosten, denkt het beveiligingsbedrijf. Eerder leden Iraanse kerncentrales onder aanvallen van hackers, waarbij wel werd gesaboteerd: de Stuxnet-worm zou de frequentieregelaars in de kerncentrales hebben ontregeld. Volgens sommigen zitten de Amerikaanse en Israëlische overheden achter het virus.

    nightdragon

    Bron: tweakers.net
  • EFacebook-logor is een toolkit online verschenen waarmee iedereen kwaadaardige Facebook applicaties kan maken. De "Tinie app" kost een kleine twintig euro en bestaat uit een stap-voor-stap handleiding die gebruikers precies vertelt wat ze moeten doen. De gebruiker heeft geen enkele ervaring met het ontwikkelen van Facebook apps te hebben. Het volgen van de instructies volstaat om een eigen virale Facebook applicatie te ontwikkelen. De Tinie app zou ook gebruikt zijn voor het ontwikkelen van de "Profile Creeps" en "Creeper Tracker" apps, die het vorige week op Facebook-gebruikers hadden voorzien.

    De "maker" van de app verdient uiteindelijk weer geld als Facebook-gebruikers die installeren en een online enquête volgen. Voor Facebook-gebruikers die zich tegen URLs en spam op hun profiel willen beschermen is er de gratis Defensio app, aldus beveiligingsbedrijf Websense.

    bron: security.nl

  • De nieuwe manier van adverteren op Facebook wordt bekritiseerd door privacyvoorvechters.

    De nieuwe manier van adverteren op Facebook wordt bekritiseerd door privacyvoorvechters. Bedrijven kunnen sinds kort advertenties uit naam van gebruikers plaatsen die een product met "vind ik leuk" hebben gemarkeerd. Vrienden van deze gebruikers kunnen vervolgens een reclame verwachten in hun scherm, waar deze gebruiker het product aanprijst.

    Deze 'Sponsored Stories' vallen bij veel internetjuristen in het verkeerde keelgat. Zo ook bij Kevin Bankston, senior advocaat van de Electronic Frontier Foundation. Hij zegt dat Facebook hiermee niet de privacy schaadt van gebruikers, maar wel misbruik maakt van hun vertrouwen. "Er moet een opt-out functie bij komen" aldus Bankston. Andere privacyexperts zeggen dat deze functie niet zoveel om handen heeft wat betreft privacy als eerdere functies, zoals de incheck-applicatie Facebook Places, die laat zien waar gebruikers zich op dat moment bevinden.

    Facebook laat via woordvoerder Brandon McCormick weten dat het gebruik van profielen in combinatie met reclame juist gemakkelijker is. "We pakken op wat er gebeurt in je nieuwsfeed en geven dit opnieuw uit, zodat het makkelijker is voor jouw vrienden om te zien. Het is een andere manier voor vrienden om vrienden te laten zien wat zij aanraden." McCormick legt wel nadruk op het feit dat de "Sponsored Story" dezelfde privacyinstellingen krijgt als de originele inhoud en alleen wordt gebruikt binnen een specifieke groep vrienden.

    Bron: security.nl

  • Er is een nieuwe applicatie in omloop die OV-chipkaarten binnen een minuut kan aanpassen.

    Door Anoniem:Ja, ik zoek ook de download link *en een goedkope ov chipkaart card reader/writer (NERGENS MEER NORMAAL TE KRIJGEN

    Nou, vooruit, voor al diegenen die blijkbaar niet weten waar ze het zoeken moeten:

    N.B: Lees altijd eerst de mee verzonden ReadMe!!!

    - 0 -Installeer een BitTorrent-client/server naar keuze: http://nl.wikipedia.org/wiki/Bittorrent
    - 1 -http://thepiratebay.org/torrent/6128466/OVSaldo_software_for_adding_credit_to_your_OV-chipkaart
    - 2 -http://www.tsl.utwente.nl/projects/OV%20MFOC%20Port.zip
    - 3 -http://www.nooitstipt.nl/nooit-stipt/2011/01/gratis-met-de-trein/
    - 4 -<== 32 bit ==> http://www.microsoft.com/downloads/en/details.aspx?familyid=A7B7A05E-6DE6-4D3A-A423-37BF0912DB84&displaylang=en
    - 4 -<== 64 bit ==> http://www.microsoft.com/downloads/en/details.aspx?familyid=BD512D9E-43C8-4655-81BF-9350143D5867&displaylang=en
    - 5 -http://libnfc.googlecode.com/files/libnfc-1.3.9.msi

    Voor deze speciale gelegenheid heb ik vorige week zaterdag tot & met woensdag j.l. een van mijn computers geinstalleerd als BT-client, & in die tijd is OV-Saldo.rar meer dan 1000 keer vanaf die computer gedownload (!).

    Heb ook nog drie Card-Readers in de aanbieding, iets sjieker merk & model dan waar momenteel woekerprijzen voor worden gevraagd. :-) Roept U maar!!!

    Blij dat ik fiets... ;-)

    P.S: Waarom is het zo stil over dit onderwerp in zowel het Mac- alswel het Linux-rijk? Ach, het Mac-rijk begrijp ik nog wel, duur spul, voor niks gaat de zon op, niets is gratis.

    Maar het Linux-rijk, de voorstanders van alles open, vrij & gratis? Niets...
    Ok, Linux is dan ook eigenlijk niet gratis, & nooit geweest, want de clienten worden nog steeds betaald door de servers...

    Couldn't resist... ;-)

    Bron: security.nl

  • Meer consumenten moeten WPA2 als beveiliging voor hun draadloos netwerk instellen, zo pleit de Wi-Fi Alliance.

    Meer consumenten moeten WPA2 als beveiliging voor hun draadloos netwerk instellen, zo pleit de Wi-Fi Alliance. Uit onderzoek van de non-profit organisatie blijkt dat het meeliften op andermans WiFi-netwerken regelmatig voorkomt. 32% van de ondervraagden heeft weleens geprobeerd mee te liften op een netwerk dat niet van henzelf was. Bijna een verdubbeling ten opzichte van 2008.

    "Een geschatte 201 miljoen huishoudens gebruiken WiFi-netwerken en wereldwijd zijn er 750.000 hotspots beschikbaar, meer persoonlijke wordt over deze netwerken verstuurd, waardoor WiFi-beveiliging van essentieel belang is", aldus de organisatie. Die ontdekte verder dat 40% eerder de huissleutel aan een iemand toevertrouwt dan het WiFi-wachtwoord. Volgens een kwart van de respondenten voelt een WiFi-wachtwoord persoonlijker dan het delen van een tandenborstel.

    Hotspots
    "De meeste consumenten weten dat het open laten van hun WiFi-netwerk niet verstandig is, maar in werkelijkheid nemen velen geen maatregelen om zichzelf te beschermen", zegt marketingdirecteur Davis-Felner. Naast het instellen van WPA2 doen consumenten er verstandig aan om geen vertrouwelijke informatie via publieke hotspots te versturen en het automatisch verbinding maken uit te schakelen.

    Bron: security.nl

  • Sony heeft een nieuwe firmware voor de PlayStation 3 uitgebracht waarin een rootkit zit verstopt, zo beweert ontwikkelaar Mathieulh.

    denk even na, dit is helemaal niet bedoelt om mensen hun rechten af te nemen. het is illegaal om homebrew software gratis op internet aan te bieden. U mag dit alleen voor u zelf doen (het zelfde als films downloaden voor persoonlijk gebruik)

    als mensen homebrews online beginnen aan te bieden heeft Sony het recht om consoles met die software te bannen van Playstation network, de nieuwste firmware automatisch te laten downloaden en installeren en om playstation accounts van betreffende console te verbannen.

    Sony heeft dit recht, en hoewel ik de hackers van dit soort dingen haat vind ik het ook wat ver gaan, maar het is allemaal binnen de wet. Verder is die mathieuj gewoon een middelmatig blog schrijvertje op een jailbreak website, lijkt me duidelijk..

    Bron: security.nl

  • adobeAdobe patcht vandaag een kritiek lek in de download tool van Flash en Reader. Wie even de laatste updates wilde binnenhalen kon daarmee potentieel juist slachtoffer worden van zijn eigen voorzichtigheid.

    Het is de tweede keer in zes weken dat de download tool van Adobe gepatcht moet worden. Het programma is niet van Adobe zelf overigens. Het is een alternatieve versie van de getPlus+ Download Manager. Voor de duidelijkheid: het gaat hier dus niet om de Adobe Updater, maar om het programma dat Adobe gebruikt om de downloads van de site van Adobe te reguleren.

    De Israelische beveiligingsonderzoeker Aviv Raff kwam vorige week naar buiten met de melding dat cyberaanvallers de download manager konden gebruiken om een willekeurig uitvoerbaar bestand te downloaden en installeren, dus ook malware.

    De update heeft het label ‘kritiek’ gekregen, ondanks het feit dat de download manager automatisch weer van een pc wordt gehaald bij het opnieuw opstarten na het updaten. Sommige pc’s blijven echter enorm lange tijd achter elkaar aanstaan, waardoor het alsnog behoorlijk mis kan gaan volgens Raff.

    Adobe raadt gebruikers aan om te checken of de lekke versie van het programma niet meer op hun pc staat. Gebruikers wordt aangeraden om daarom even op de harde schijf te kijken of er een 'NOS' folder in de Program Files Map staat. Wat Adobe Reader en Flash betreft hoeven gebruikers niets te doen, die staan er buiten.

    bron: techworld.nl

  • Onderzoekers van de Amerikaanse Rutgers University hebben een rootkit voor smartphones ontwikkeld, waarmee het onder andere mogelijk is om gesprekken af te luisteren. Rootkits zijn al jaren een probleem voor computers, maar inmiddels beschikken smartphones over dezelfde mogelijkheden. "Ze draaien hetzelfde soort besturingssysteem als desktops en laptops, dus zijn ze net zo kwetsbaar voor malware", aldus informaticaprofessor Vinod Ganapathy. De rootkit die de onderzoekers deze week demonstreren, kan stiekem de telefoon inschakelen en zo met gesprekken meeluisteren. Ook is het mogelijk om de locatie van de eigenaar te traceren of de batterij leeg te maken.

    "Vandaag geven we een waarschuwing. We laten zien dat mensen met algemene computerkennis een rootkit voor smartphones kunnen ontwikkelen. De volgende stap is het ontwikkelen van de verdediging", zegt informaticaprofessor Liviu Iftode. Bij één van de tests stuurden de onderzoekers een onzichtbaar sms-bericht naar de telefoon, om zo de microfoon in te schakelen.

    De onderzoekers merken op dat ze niet hebben gekeken hoe kwetsbaar bepaalde telefoons zijn. Ook is er geen beveiligingslek gebruikt om de malware te installeren. Het onderzoek is gesponsord door de National Science Foundation en het Amerikaanse leger.

    bron: security.nl
  • Anti-virusbedrijf Trend Micro waarschuwt voor een nieuwe Twitter-worm die zich via de microbloggingdienst verspreidt. Geïnfecteerde gebruikers sturen naar volgers een bericht met de tekst: "This you???? [link]". Wie op de link klikt eindigt op een vervalste Twitter inlogpagina die de gebruiker vraagt om in te loggen. Zodra slachtoffers dit doen, worden hun inloggegevens gebruikt om het bericht met linkje naar andere Twitteraars te sturen. "Ongetwijfeld zullen de criminelen achter deze aanval de gestolen inloggegevens gebruiken om in de toekomst kwaadaardige content van een groot aantal gehackte Twitter accounts te versturen. Vergeet niet mensen, denk voordat je klikt", aldus analist Robert McArdle.

    bron: security.nl
  • Onderzoekers van SRI International zullen binnenkort een tool vrijgeven die drive-by aanvallen moet tegenhouden.

    Dat meldt Brian Krebs op Technology Preview en op zijn weblog. De nieuwe software heet Blade en het zorgt ervoor dat er geen malware op jouw systeem of dat van je gebruikers wordt geïnstalleerd als er een geïnfecteerde website wordt bezocht. Volgens Dasiant zijn er op dit moment meer dan 5,5 miljoen van die sites bekend en er komt elke dag een groot aantal bij.

    Alles tegengehouden

    De nieuwe software is in januari getest door virtuele machines met verschillende configuraties, browsers en plugins langs alle nieuw bekende geïnfecteerde sites te sturen. Volgens de makers blokkeerde Blade tot nu toe alle 5579 soorten malware van 1318 sites.

    Daarbij is het interessant om op te merken dat de aanvallen in meer dan de helft van de gevallen gericht waren op lekken in Adobe Reader. Een kwart werd opgeeist door Java, de rest voornamelijk door Flash en Internet Explorer.

    Problemen

    Overigens wordt het succes van deze tool ook direct gerelativeerd. Nu is de methode effectief, aldus Robert Hansen van SecTheory. Maar als die mainstream wordt gaan aanvallers er rekening mee houden en wordt de tool gewoon onderdeel van de beveiligingsmaatregelen. Bovendien ziet hij problemen als zo’n tool ingezet wordt in een productieomgeving, omdat het effect kan hebben op andere delen van het systeem.

    Volgens Eric Howes van Sunbelt Software zou de software problemen kunnen geven met legitieme downloads. Daarnaast kan zulke software niets doen tegen social engineering, geeft ook Phil Porras van het SRI toe. Ook is Blade machteloos tegen malware die zich in het geheugen nestelt, omdat het is ontworpen om te voorkomen dat er malware op de harde schijf wordt geïnstalleerd.

    Hoe nuttig deze software is, moet dus blijken als het pakket vrijgegeven wordt voor verdere tests.

    bron: techworld.nl
  • firefoxEen exploit voor een lek in de nieuwste Firefox op Windows XP en Vista is beschikbaar gesteld door de Russische beveiliger Intevydis.

    Intevydis heeft het lek al twee jaar geleden gevonden, maar begin deze maand heeft het bedrijf de exploit beschikbaar gemaakt in hun exploit toolkit. Van Evgeny Legerov, de man achter het bedrijf, is bekend dat hij het niet zinvol vindt om samen te werken met software ontwikkelaars. Onlangs organiseerde hij nog de 0-day weken, waarin hij lekken publiceerde zonder dat eerst met de ontwikkelaars te overleggen.

    Nu heeft hij dus een exploit beschikbaar gemaakt voor Firefox 3.6, en aangezien het lek al twee jaar oud is, zal de exploit waarschijnlijk ook werken met oudere versies. Tot nu toe heeft de exploit nog niet heel erg in het oog gelopen, onder andere doordat de aankondiging ergens achteraf gebeurde en niet op het wat zichtbaardere blog van Legerov, waar toch heel wat exploits, zero days en andere 'pret' voorbij komen.

    Buitensporig veel crashes

    Mozilla heeft nog geen officiële verklaring uitgebracht. Secunia klassificeert het lek als 'highly critical', maar geeft verder geen bijzonderheden. Volgens een analyse van het Extraexploit blog crashte Firefox 3.6 op 12 en 13 februari buitensporig veel. En daarbij moet worden opgemerkt dat leden van de redactie op die dagen zijn overgestapt op een andere browser, aangezien er met Firefox nauwelijks te werken viel. Maar of die crashes werkelijk iets te maken hebben met de exploit is nog niet duidelijk.

    Legerov zelf meldt dat het een heel mooie bug is. Het was een heel interessante uitdaging om hem te vinden en uit te buiten. Aan de exploit moet nog wat geschaafd worden, maar hij werkt al heel betrouwbaar.

    Bron:  techworld.nl

  • Recently I was concered to know how secure my website is. I wasn’t so sure about if anything I can do to make it more secure beside updating to the last version of the Wordpress, so I researched a bit on the subject and soon found out that not only it is far from being secure but it has the potensial to become a playground for harckers. So here is the results. Below are some security tips that can easily be implemented on a WordPress blog:

    1- Host

    Choose a good and reliable host. It is so important because you are only as secure as your host.

    2- Host on a machine with Linux/Unix operating system

    That is important too because as opposed to WIndows which you have access to any place unless explicitly restricted, it just does not let any unauthorised access.

    3- Stay up-to-date

    Everything plugin/widget, themes, and Wordpress versions should be updated. That is one of the most important too. If you stay behind, after sometime hackers learn how to find the seurity holes.

    4- Remove any version info

    A large number of WordPress theme include the WordPress version info in the meta tag. Hackers can easily plan attack targeting the security vulnerability for that version. This tag is in the header.php file that displays your current version of wordpress.

    <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

    5- Change your login name

    The default username is admin. Do not use it. make it more difficult for the hacker to crack your login credential by changing the login name. In your WordPress dashboard, go to Users and set up a new user account. Give this new user administrator role.

    Log out and log in again with the new user account. Go to Users again. This time, check the box beside admin and press Delete. When it asks for deletion confirmation, select the “Attribute all posts and links to:” and select your new username from the dropdown bar. This will transfer all the posts to your new user account. Press Confirm Deletion.

    6- Stop brute force attack

    Hackers can easily crack your login password and credential using brute force attack. To prevent that from happening, you can install the login lockdown plugin. This plugin records the IP address and timestamp of every failed WordPress login attempt. Once a certain number of failed attempts are detected, it will disable the login function for all requests from that range.

    7- Use a strong password

    Make sure you use a strong password that is difficult for others to guess. Use a combination of digits, special characters and upper/lower case to form your password. And try to change it regularly. Of course, who done that !? ;)

    8- Directories should not be left open for public browsing

    There is a potential problem letting people know what plugins you have, or what versions they are. If there is some known exploit that is linked to a plugin, it could be easy enough for someone to use it to their advantage. just add this line in your .htaccess file in your root:

    Options All -Indexes

    9-Hide your plugins folder

    If you go to your http://yourwebsite.com/wp-content/plugins, you can see a list of plugins that you are using for your blog. You can easily hide this page by uploading an empty index.html to the plugin directory.

    10- Protect your wp-admin folder

    Attackers can use bots for a brute force style of attack that simply guesses the admin password until they come up with the correct one and login. There are a couple of solutions:

    Limit access to wp-folder by IP address: This solution is to restrict which IP’s can access the wp-admin folder via .htaccess. This has one drawback is you may have to update your .htaccess folder if your internet provider assigns you a dynamic IP address, you move to another location or you have authors at other locations. Create a file and name it .htaccess with the content below:

    order deny,allow
    deny from all
    allow from 888.888.888.888

    change 888.888.888.888 to your ip and any other ip that you want to grant access and then put the file inside the wp-folder. note: for some reason you must give the permission to this file to be read by world. or you will have problem to access to wp-folder from your browser.

    11- Nobody should be able to to search your entire site

    WPdesigner advices not to use this search code in the search.php

    <?php echo $_SERVER ['PHP_SELF']; ?>

    and

    Block WP- folders from being indexed by search engines, the best way to block them in your robots.txt file. Add the following line to your list:

    Disallow: /wp-*

    12- Protect your wp-config.php file

    this is the best trick that I have seen. Create a separate PHP file in a non-WWW accessible location and use the WP-Config to include that file. Say for example that your web include path for your server was /home/yourname/public_html/. You can actually save a file in the /home/yourname/ area and it won’t be web accessible. Meaning that even if somebody were able to read your wp-config, they wouldn’t get anything valuable. Here are the steps: Move the original wp-config.php file to a non-WWW readable location. Normally this should be the directory one level above the “public_html” or “www”. you can also change the name to whatever you like. Then modify the “wp-config.php” file to include the file. If somebody were to somehow read the contents of my WP-Config, all they would see is this:

    <?php include('/home/yourname/config.php');
    define ('WPLANG', '');
    define('ABSPATH', dirname(__FILE__).'/');
    require_once(ABSPATH.'wp-settings.php'); ?>

    13- Take regular backup of your site and database

    You always have to take regular backups of your file directories as well as the database. WordPress Database Backup plugin creates backups of your core WordPress tables as well as other tables of your choice in the same database.

    14- Use SSH/Shell Access instead of FTP

    It is one of the best tips i found here.If someone gets a hold of your FTP login information (which is usually not encrypted and easy to get), they can manipulate your files and add spam to your site without you even knowing about it! Using SSH, everything is encrypted including the transfer of files, etc.

    15-Encrypt your login

    Whenever you try to login to your website, your password is sent unencrypted. If you are on a public network, hacker can easily ‘sniff’ out your login credential using network sniffer. The best way is to encrypt your login with the Chap Secure Login plugin. This plugin adds a random hash to your password and authenticate your login with the CHAP protocol.
    16- Do a regular security scan

    Install the wp-security-scan plugin and perform a regular scan of your blog setting for any security loopholes. This plugin can also help you to change your database prefix from wp_ to a custom prefix.

    17- Change the prefix of your WordPress table in the database file

    here is a good guide to how to do that in 6 steps.

     

    Source: www.omidsakhi.com

  • hackDe ftp-accounts van duizenden klanten bij Yourhosting zijn gehackt. Dit probleem speelt niet alleen bij die hoster. "Er zijn meerdere grote hostingproviders met exact hetzelfde probleem."

    Na een tip van een lezer bevestigt Yourhosting, een van de grootste hosting providers van Nederland, dat het bedrijf worstelt tegen een stroom van duizenden succesvolle cyber-inbraken op ftp-accounts van klanten. Ftp wordt gebruikt om bestanden te uploaden voor publicatie op een website.

    "De ftp-hacks nemen echt hele bizarre vormen aan", zegt Valentijn Borstlap, directeur van Yourhosting tegen Webwereld. Volgens hem zijn er duizenden ftp-accounts van Nederlandse sites gehackt. Yourhosting heeft alle wachtwoorden van zijn klanten gewijzigd en heeft aangifte gedaan bij de Digitale Recherche.

    Nu is het verder puinruimen: "Met het terugplaatsen van backups komen we een heel eind." De hackers komen binnen via malware die op de computers van thuisgebruikers wordt geïnstalleerd, vervolgens wordt er toegang verschaft tot de server. De boosdoeners plaatsen bijvoorbeeld php-bestanden op de server of verwerken code in een bestaand bestand. De hackers kunnen de inhoud van de server in principe wissen, maar doen dit in de regel niet.

    Botnets en backlinks

    De hacks worden gebruikt om een botnet uit te breiden en soms om een site te defacen, het plakken van een plaatje over de voorpagina van de site. Ook worden er links geplaatst naar bepaalde websites om zo de Google ranking omhoog te krijgen. De autoriteit van een site wordt door Google voornamelijk gemeten door de hoeveelheid andere sites die linken naar een bepaalde site. Voor sommigen is het interessant om dit proces te beïnvloeden, dit gebeurt bijvoorbeeld bij sites die (illegale) medicijnen willen slijten.

    Inmiddels is de storm enigszins gaan liggen en is er volgens het concern al een paar dagen niet meer ingebroken in een ftp-server. Maar dat zou zo weer kunnen gebeuren, zegt Borstlap. Bij de mail waarin gebruikers werd uitgelegd waarom de wachtwoorden zijn gewijzigd, geeft het bedrijf tips om malware tegen te gaan, en inbraken in de toekomst te voorkomen. Het gaat dan om het gebruiken van een goede virusscanner en het niet lokaal opslaan van wachtwoorden. Ook moeten gebruikers beter in de gaten houden of er ongeautoriseerd wordt ingelogd, en als dit gebeurt direct het wachtwoord wijzigen.

    Yourhosting, een van de grootste hosters van ons land, is ook op zoek naar betere oplossingen. Daarvoor passeert de provider de huidige leverancier omdat die de eisen niet aankan. "We hebben beheer voor het serverpark ook voor een deel uitbesteed en we gaan nu toch het heft in eigen handen nemen op dat gebied."

    Breed probleem

    Volgens Borstlap is Yourhosting zeker niet de enige partij die last heeft van deze praktijken. "We zijn benaderd door een aantal partijen, ook grotere hostingproviders, die met exact hetzelfde probleem te maken hebben", aldus Borstlap. "Daar zijn ze ook aan het puinruimen." Volgens hem is het dan ook een marktbreed probleem. De providers wisselen in detail onderling informatie uit en hieruit blijkt dat geen enkel probleem uniek is.

    De eerste providers kregen er in december vorig jaar last van. Volgens Borstlap houden die hosters de problemen liever onder de pet omdat ze bang zijn voor negatieve publiciteit. Volgens de directeur is dat echter niet de oplossing. Door het probleem breed aan te kaarten kan er ook actie worden ondernomen. De Digitale Recherche is meestal niet zo happig op dergelijke problemen. Maar ook daar is men volgens Borstlap inmiddels wakker geschud. "Zij onderschrijven ook dat het een wat breder probleem is."

    Aandacht verhogen

    Volgens de directeur wordt de urgentie hoger als meer providers toegeven dat ze dezelfde problemen hebben. "Ik ben blij dat er nu eindelijk wat gebeurt, en ik zou andere collega's willen oproepen ook aangifte te doen", zegt Borstlap. "De stroperigheid van de politie op dit gebied kan in de toekomst wel veranderen als er wat meer politieke druk op wordt gezet."

    Bron: Techworld.nl

  • Steeds meer mensen lopen rond met een (hardware) token aan hun sleutelbos. Ik ook. Met behulp van zo’n hardware token  - waarop een dynamische pincode te lezen is - kun je, in combinatie met je persoonlijke pincode, bijvoorbeeld toegang krijgen tot het beveiligde netwerk van je organisatie. Er kleven echter de nodige nadelen aan zo’n token. Ik stel een alternatieve oplossing voor die deze problemen niet heeft. Deze oplossing is gebaseerd op twee ideeën.

    De nadelen van een hardware token zijn:

    1. Als je overal toegang wil hebben, dan moet je het hardware token overal mee naar toe nemen (en als deze zoals bij mij aan je sleutelbos hangt en je partner leent deze even dan ben je ook je token even kwijt);
    2. Mensen verliezen dingen (ook tokens);
    3. Tokens kosten (veel) geld (en moeten ook nog eens regelmatig worden vervangen);
    4. Tokens kunnen out-of-sync. raken;
    5. Iemand kan misbruik maken van het token door mee te kijken of het even te ‘lenen’.

    Het eerste idee waarop de oplossing is gebaseerd is heel simpel en eenvoudig uit te voeren. Voor wie het token niet de hele tijd op zak wil dragen, maar wel een goede internetverbinding heeft (en een beetje handig is), hangt zijn token voor de webcam en publiceert het beeld met de dynamische pincode op een ‘geheime’ plek (bijvoorbeeld ergens verstopt op de eigen homepage). Met deze eenvoudige oplossing zijn we in ieder geval af van problemen 1. en 2. Je heb je token altijd bij de ‘hand’ en het hangt veilig thuis (voor de webcam).

    Voor de problemen 3,4 en 5 is meer nodig. Het tweede idee is wat ingewikkelder en vereist een (publieke) infrastructuur. De oplossing hiervoor bouwt voort op het vorige idee. Maak een publiek plein van ‘geheime’ plekjes van dynamische pincodes (want dat is de primaire functie van een hardware token) – het ‘tokenplein’. Oftewel vervang het hardware token door het steeds verspringende cijfer te publiceren op een website. Op het tokenplein kunnen gebruikers hun eigen token bekijken. Ik stel me deze plek voor als het parkeerterrein van de Efteling, je hoeft alleen te onthouden waar je je auto hebt geparkeerd (bv. op het kaboutertje 2 de 6e auto). Het toewijzen van een plek kan heel veilig bijvoorbeeld door deze per post te sturen of – nog beter – de verzegelde envelop met de geheime plek te overhandigen (met fysieke verificatie van de identiteit). De plek is eenvoudig uit het hoofd te leren (zeker niet lastiger dan de gebruikelijke 4 cijferige pincodes).

    Nu moet deze plek natuurlijk wel voldoende geheim zijn. Tot op zekere hoogte is de waarborg al inherent aan het feit dat het gaat om een virtueel plein; alleen jij weet waar je op het plein (een internetpagina) moet kijken. Op een fysieke parkeerplaats kun je zien wie zijn auto waar parkeert; op een virtuele plek in principe niet. Daarnaast moet de virtuele plek natuurlijk wel aan een paar basale randvoorwaarden voldoen; op de eerste plaats moeten er voldoende plekjes op een pagina staan om de kans van een toevalstreffer – ook als er een poging wordt gedaan door bijvoorbeeld een bende - voldoende klein te maken (minstens zo goed als de kans van het hardware token waar we te maken hebben met probleem 5). Hoe groot laat ik graag over aan de experts. Daarnaast moet het heel lastig zijn om de cijfers er met een computer voldoende snel vanaf te halen. Dit kan door de code visueel zodanig te vervormen dat de code wel voor mensen leesbaar is maar niet voor computers. Natuurlijk moet dit op basis van een random vervorming gebeuren. Tot slot zal het mechanisme voor het genereren van de unieke dynamische pincodes voldoende sterk moeten zijn (in tegenstelling tot de hardware tokens kan het algoritme eenvoudig worden vervangen).

    Nu is de praktijk van security – in het bijzonder encryptie - dat dit een gebied is waar heel knappe koppen zich mee bezig houden. Dus mogelijk is deze oplossing binnen no time gekraakt. Hierbij dan ook de oproep aan de experts om deze oplossing met de vloer gelijk te maken of – en dat heb ik natuurlijk liever – deze oplossing te realiseren en te perfectioneren. Het leent zich in ieder geval uitstekend als Software as a Service concept.

    Bron: http://www.via-nova-architectura.org/blogs/erik-vermeulen

  • Een heel simpele programmeerfout kan hackers een mogelijkheid geven om Google Buzz accounts over te nemen. Dat beweert een beveiligingsexpert.

    De fout is een “middelgroot probleem” met de Buzz for Mobile website, zei Robert Hansen, CEO van SecTheory, die het gat als eerste rapporteerde.

    Cross-site scripting

    Het is een cross-site scriptingfout, waardoor de aanvaller zijn eigen code in webpagina’s kan plaatsen die toebehoren aan vertrouwelijke websites zoals Google.com. De fout komt vrij vaak voor, maar kan wel grote gevolgen hebben als hij wordt misbruikt op veelgebruikte sites.

    De aanvaller “kan je dwingen om dingen te zeggen die je niet wilt zeggen, tegen mensen die je volgen”, zei Hansen. “Wat jij met Google Buzz kunt doen, dat kan die aanvaller jou aandoen.”

    Phishing

    Omdat aanvallers de fout kunnen gebruiken om hun eigen content op Google.com te zetten, kunnen ze phishing-aanvallen opzetten tegen gebruikers van Google, zei Hansen verder. “Als dit ongepatcht blijft, dan kan dat nare gevolgen hebben voor elke gebruiker van de site”, ging hij verder. “Het kan makkelijk worden gebruikt om mensen te laten denken dat ze aan het typen zijn in een echte Google sign-on pagina, terwijl ze daar niet echt zijn.”

    Oplossing

    De bug is ontdekt door de hacker TrainReq, die de details van de fout naar Hansen heeft gemaild, zonder enige verklaring. Ondertussen heeft een woordvoerder van Google bevestigd dat het bedrijf aan een oplossing werkt. Hij voorspelde dat die binnen een paar uur klaar zou zijn.

    “We zijn ons ervan bewust dat een kwetsbaarheid gevolgen kan hebben voor veel gebruikers van Google Buzz for mobile, en we zijn de fix nu aan het maken”, zei Jay Nancarrow in een e-mail. “We hebben geen aanwijzingen dat de kwetsbaarheid actief wordt misbruikt.”

    Google Buzz is vorige week gelanceerd, en werd direct aangevallen omdat het automatisch en zonder van tevoren goed te waarschuwen lijsten van Gmail contacten publiceerde. Daar is Google nu verandering in aan het aanbrengen.

    Niet in staat te beschermen

    Maar het beveiligingslek onderstreept een ander belangrijk punt, zei Hansen. “Vertrouwelijke informatie kan echt niet worden toevertrouwd aan Google, omdat ze hun eigen applicaties niet eens kunnen beschermen.”

    bron: techworld.nl

  • In het laatste kwartaal van vorig jaar vond 98% van de drive-by downloads plaats via lekken in Adobe Reader of Adobe Flash, zo blijkt uit cijfers van ScanSafe. Tachtig procent van de exploits zat in PDF-bestanden verstopt tegenover 18% in Flash-bestanden. Het aantal Flash-exploits halveerde ten opzichte van het eerste kwartaal, toen 40% van de aanvallen via lekke Flash Players verliep. Aanvallen via PDF-exploits stegen van 56% naar 80%.
    flash-pdf
    De stijging is volgens het beveiligingsbedrijf te danken aan het toegenomen gebruik van PDF-bestanden op zowel de werkvloer als thuis. Tussen 2005 en 2010 werden in de software van Adobe 268 beveiligingslekken ontdekt, waarvan 107 in 2009. Exploits in Word of Excel waren goed voor slechts één procent van de drive-by download aanvallen.

    bron: security.nl
  • chip_pinBeveiligingsonderzoekers zijn erin geslaagd het EMV-protocol te kraken, dat beter bekend staat als "Chip en PIN" en wereldwijd wordt gebruikt. Tijdens een uitzending van BBC Newsnight demonstreerden de onderzoekers van de Cambrigde Universiteit hoe ze een betaalautomaat met een valse pincode kunnen foppen. De man-in-the-middle aanval maakt gebruik van een fundamentele fout in het Europay, MasterCard, Visa (EMV) protocol, dat debit- en creditcards valideert. "Chip en PIN is gekraakt", zegt professor Ross Anderson. "Banken en winkels vertrouwen op de woorden "Geverifieerd door PIN" op hun bonnetjes, maar ze betekenen niets."

    Pincode
    Om de betaalautomaat een transactie zonder geldige pincode goed te te laten keuren, heeft een aanvaller wel een geldige pas nodig. Vervolgens moet er een apparaatje tussen de kaart en de betaalautomaat worden geplaatst. Het is niet nodig om de kaart te kopiëren, zoals bij een eerdere aanval werd gedemonstreerd. Het onderliggende probleem is dat het EMV-protocol de betaalpas en betaalautomaat allerlei "dubbelzinnige" gegevens over het verificatie proces laat genereren, die de bank vervolgens als geldig accepteert.

    De betaalautomaat meldt bijvoorbeeld dat de PIN verificatie heeft plaatsgevonden, terwijl de betaalpas een verificatie bericht ontvangt waarin staat dat er geen PIN is gebruikt. De bank accepteert de autorisatie door de betaalautomaat en keurt de transactie goed. Elke willekeurige pincode die de onderzoekers invoeren is dan ook geldig. "We hebben deze aanval getest tegen de pinpassen van de meeste Britse banken. Ze waren allemaal kwetsbaar", aldus onderzoeker Steven J. Murdoch.

    Eenvoudig
    Het uitvoeren van de aanval zelf is volgens de onderzoekers helemaal niet zo complex als de banken doen geloven. Die lijken inmiddels aan een campagne te zijn begonnen om zoveel mogelijk verwarring te zaaien. Zo doen Franse banken de aanval af als een aanval die al eerder bekend was geworden en waarbij een crimineel een legitieme EMV-kaart kopieert. Deze "yes-card" aanval werkt alleen bij transacties waarbij de betaalautomaat pas na de transactie contact met de bank maakt, ook wel een offline transactie genoemd. De onderzoekers houden vol dat hun aanval geheel nieuw is en zowel tegen offline als online transacties werkt. De onderzoekers merken op dat de aanval niet bij Britse geldautomaten werkt, omdat die een andere PIN-verificatie methode gebruiken.

    Toch twijfelen de onderzoekers aan zowel het ontwerp van het Chip en PIN systeem als de veiligheid van pinbetalingen. De banken laten fraudeslachtoffers altijd weten dat hun systemen zijn te vertrouwen, maar de aanval demonstreert dat criminelen niet alleen klanten kunnen oplichten, maar ook de banksystemen kunnen misleiden zodat die aannemen dat de pincode is geverifieerd.

    Skimming
    De banken beweren verder dat de aanval te geraffineerd en complex voor criminelen is, maar ook dat bestrijden de onderzoekers. Voor het onderzoek werden kant en klare spullen gebruikt. Criminelen zouden daarnaast geen probleem hebben om het man-in-the-middle apparaatje te verbergen. Pinpasfraude met gemanipuleerde voorzetmondjes is volgens de onderzoekers veel lastiger dan hun aanval uit te voeren. "De technische kennis voor het uitvoeren van deze aanval is laag en het kleine apparaatje zal niet door het personeel worden opgemerkt. Een enkele crimineel kan een kit ontwikkelen die anderen gebruiken die zo niet hoeven te weten hoe de aanval werkt", merkt onderzoeker Saar Drimer op.

    De banken werden begin december vorig jaar ingelicht, maar hebben nog altijd geen contact met de onderzoekers opgenomen. "Dit is geen falen van banktechnologie. Het is een falen van bankregulatie. De ombudsman heeft banken gesteund en de toezichthouders hebben geweigerd iets te doen. Ze wilden gewoon te graag de banken geloven", gaat Ross verder.

    De onderzoekers vinden niet dat ze criminelen helpen, aangezien de veiligheid van systemen wordt verbeterd door het melden van lekken aan de personen die het probleem kunnen oplossen. Het EMV-protocol wordt ook door Nederlandse banken gebruikt of uitgerold. Het complete rapport is via deze link te downloaden.

     

    Bron: security.nl

  • De afgelopen weken zijn iPhone-gebruikers het doelwit van cybercriminelen geweest die informatie wilden stelen om telefoons te klonen en te witwassen. De phishingaanval deed ontvangers geloven dat ze de garantie op hun iPhone gratis met een jaar konden verlengen. Daarvoor moest men wel het serienummer, IMEI-nummer, soort iPhone en capaciteit van het toestel op een legitiem lijkende Apple website invullen.

    Voor het achterhalen van het IMEI-nummer hadden de phishers een link naar de officiële Apple pagina vermeld. Alle links op de website wijzen naar apple.com. "Dit is gedaan om achterdocht tegen te gaan, maar ook omdat het makkelijker voor de auteurs is om een deel van de echte site te kopiëren dan selectief of creatief te zijn", zegt Richard Cohen van anti-virusbedrijf Sophos. Hij vermoedt dat criminelen via de aanval telefoons willen witwassen.

    Klonen
    Volgens Fred Felman gebruiken cybercriminelen de gestolen informatie om Apple's smartphone te klonen. Vervolgens kan men lange-afstandsgesprekken op kosten van het slachtoffer voeren of de telefoon voor allerlei andere criminelen activiteiten te gebruiken. De aanval onderscheidt zich daarnaast wegens het gebruik van geavanceerde technologieën. Zo gebruikt de aanval server-side logica, die de phishingsite verbergt tenzij die door Apple Safari wordt bezocht. Daarnaast wordt de phishingsite via een fast-flux netwerk achter allerlei proxies verborgen. "Deze twee slimme technologieën demonstreren hoe cybercriminelen zich blijven inspannen om hun aanvallen gericht, stiekem en veerkrachtig te maken", aldus Felman.
  • Om systeembeheerders en testers de SSL ondersteuning van webservers te laten controleren, heeft het Luxemburgse beveiligingsbedrijf G-SEC een gratis tool ter beschikking gesteld. In tegenstelling tot andere tools is "SSL Audit" niet bepekt door de ciphers die SSL engines zoals OpenSSL of NSS ondersteunen, maar kan alle bekende cipher suites voor alle SSL en TLS versies herkennen.

    Naast het scannen beschikt het ook over een experimentele "Fingerprint" mode. Deze fingerprint probeert de gebruikte SSL Engine aan de server side te achterhalen, wat het doet door normale en misvormde SSL pakketten naar de server te sturen. SSL Audit kan IIS 6.0, 7.0 en 7.5, Apache, Certicom en RSA BSAFE fingerprinten. Meer informatie is op deze pagina te vinden.
  • blackhatVoor iedereen die vorige week de Black Hat hackerconferentie in Washington moest missen, is nu het media archief online gekomen. Het gaat om video's, white papers, presentaties en audio opnamen. Zo werd het informatielek in Internet Explorer onthuld, een ernstig zero-day lek in Oracle, Flash hacks, backdoors in Cisco routers, het hacken van hardware, de Russische cybermaffia, Metasploit, iPhone privacy, waarom black hat hackers altijd winnen en nog vele andere onderwerpen. In totaal gaat het om 29 presentaties en demonstraties.
  • Door het versturen van een enkele sms kunnen hackers Blackberry-berichten van anderen lezen, locatie van de gebruiker bekijken en de microfoon inschakelen om zo met gesprekken mee te luisteren. Tijdens hackerconferentie Shmoocon demonstreerde beveiligingsonderzoeker Tyler Shields de aanval. "Ons doel was te laten zien hoe Blackberry applicaties gevoelige informatie kunnen lezen, door alleen de door RIM aangeboden APIs te gebruiken en verder geen trucs of exploits", aldus collega onderzoeker Chris Eng. Het programma van Shields heet "TXSBBSpy" en de broncode staat inmiddels online. "Ik wilde laten zien hoe eenvoudig het is om mobiele spyware te ontwikkelen", zo liet de onderzoeker weten.

    "TXSBBSpy kan gegevens van de telefoon stelen, zowel in real-time als in snapshots, en het vervolgens via sms of e-mail naar elke webserver sturen of TCP of UDP netwerkverbinding", merkt Shields op. De spyware is niet alleen stiekem via een sms-berichten te installeren, ook het bezoeken van een e-mail of kwaadaardige website volstaat. De Blackberry beschikt wel over beveiligingsmaatregelen om bescherming tegen dit soort aanvallen te bieden. Zo kunnen gebruikers instellen tot welke gegevens een programma toegang heeft. Veel gebruikers zijn echter onbekend met de risico's, denken niet dat dit ernstig is of weten niet hoe ze hun toestel beter kunnen beveiligen.

    Onderstaande video demonstreert de aanval van Shields.

  • Onroerend goed veilingmonitor Veilingnotaris.nl lekt honderden paspoortnummers die staan vermeld in pdf-documenten. De nummers zijn gekoppeld aan persooonsgegevens.

    Op Veilingnotaris.nl staat een overzicht van zoveel mogelijk Nederlandse onroerend goed veilingen. Notarissen kunnen adverteren op de site.

    Hoewel de het register met documenten waarop de site is gebaseerd officieel niet bereikbaar is voor pottenkijkers, weet Google de pdf-documenten gewoon te vinden. Op deze manier liggen de namen en paspoortnummers van enkele honderden personen op straat.

    Geenstijl onthulde het datalek naar een tip van van twitteraar 'Contentonist'. Naast paspoortnummers zijn ook andere identiteitsnummers, zoals die van verblijfsvergunningen terug te vinden in de verschillende documenten.

    De site wuift elke vorm van kritiek op het lekken van de privacygevoelige informatie weg. "Dat doe ik niet alleen, dat doet elke onroerendgoedsite die gegevens vermeldt", zegt dagelijks bestuurder Stef van Dinther van Internetnotarissen B.V, initiatiefnemer van Veilingnotaris.nl, tegen Webwereld. "Dat gebeurt al zolang dit soort sites bestaan, ik snap de commotie niet."

    Niet verantwoordelijk

    Volgens Van Dinther is Veilingnotaris ook niet verantwoordelijk voor publicatie. De notaris die het pand veilt is aansprakelijk voor de gepubliceerde documenten. "Het enige dat wij in onze privacyverklaring hebben opgenomen is dat wij de persoonlijke gegevens van onze bezoekers zorgvuldig behandelen en beveiligen." Met bezoekers worden niet de personen bedoeld die worden opgevoerd in de kadasterstukken en andere documenten, benadrukt Van Dinther. Daarvoor zouden de meer dan 600 aangesloten notarissen verantwoording dragen.

    Hij noemt het 'kennelijk normaal' dat notarissen dergelijke gegevens publiceren. Verder wijst hij erop dat de kadasterstukken en splitsingsaktes ook in openbare registers worden opgenomen. "Het is allemaal openbaar."

    Strijdig met richtsnoeren CBP

    Het College Bescherming Persoonsgegevens stelt in de Richtsnoeren Publicatie Persoonsgegevens op Internet dat partijen zich bij publicatie op het internet aan vijf verplichtingen moeten houden. Hieronder valt het voorkomen van onnodige publicatie van persoonsgegevens én het afschermen van specifieke pagina's met persoonsgegevens voor zoekmachines. Ook dienen databases beveiligd te worden tegen onbevoegde toegang door derden.

    Van Dinther laat weten uit te zoeken 'hoe dat precies in elkaar zit'. "Ik ga er mee aan de slag", belooft hij.

    Servermap voor bezoekers afgesloten

    Van Dinther kan overigens niet uitleggen waarom de servermap met de gevoelige documenten op 'veilingsite.nl/downloads/veilingattachments' is afgeschermd voor gewone bezoekers.

    Volgens Van Dinther zijn de documenten opvraagbaar tot de dag waarop de veiling plaatsvindt. "En daarna, ik geloof een dag later, is dat niet meer opvraagbaar op de voorkant van de site", zegt Van Dinther. Via Google zijn er echter nog ruim honderd gedateerde pagina's terug te vinden. Bijvoorbeeld documenten uit 1997 en 2001, maar ook recente documenten zijn terug te vinden.

    bron: webwereld.nl

  • ciscoDe achterdeurtjes die Cisco in de apparatuur aanbrengt zodat inlichtingendiensten internetgebruikers kunnen aftappen, staan open voor hackers, zodat die ook mee kunnen kijken. Tijdens de Black Hat hackerconferentie demonstreerde IBM beveiligingsonderzoeker Tom Cross dat cybercriminelen de routers van internetproviders kunnen kraken.

    Bron: security.nl
  • Om Nigerianen voor een carrière

    als computercrimineel te behoeden, is deze week met steun van Microsoft een nieuw muzieknummer gelanceerd. Het nummer "Maga No Need Pay" is onderdeel van een grote sociale campagne die bewustzijn onder jonge Nigerianen moet bewerkstelligen. Het Afrikaanse land staat in de Top 3 van cybercrime plekken, daarnaast verschijnen er steeds meer mobiele diensten en online betaalplatformen, wat fraudeurs aantrekt.

    De eerste fase van het Microsoft Internet Safety, Security en Privacy Initiatief voor Nigeria (MISSPIN) bestond uit workshops en muziekconcerten. De tweede fase is nu van start gegaan en bestaat uit onder andere uit het sticker en radio campagnes, maar ook een rehabilitatieprogramma en de lancering van het eerder genoemde muzieknummer. "Dit maakt het publiek bewust en zal de energie van cybercriminelen ten goede aanwenden." Het rehabilitatieprogramma zal 25 veroordeelde cybercriminelen verschillenden trainingen, begeleiding en stageplaatsen geven. Zodoende zouden ze als rolmodel voor andere jongeren kunnen dienen.



  • De populariteit van Firefox begint ook bij computercriminelen door te dringen, die inmiddels onofficiële versies van de opensource browser aanbieden waarin spyware verstopt zit. Vervalste downloadsites bieden versie 3.5 van de browser aan, terwijl inmiddels versie 3.6 al uit is. Ook zijn er verschillende spelfouten te vinden, zoals “Anti-Pishing”. Wie de foute versie downloadt en opent, installeert ook de "Hotbar" toolbar van Pinball Corp, voorheen bekend als Zango, dat eerder als 180Solutions te boek stond.
    fake_ff

    Gebruikers krijgen niet alleen met een irritante toolbar te maken, ze worden ook bestookt met pop-up advertenties en een "Hotbar" weerapplicatie die in de taakbalk draait. Voor elke installatie van de Hotbar, krijgen partners één euro van Pinball Corp. "Wees altijd voorzichtig met het installeren van software en zorg ervoor dat je de software direct van de leverancier zijn website downloadt wanneer mogelijk", zegt Lee Graves van beveiligingsbedrijf eSoft.
  • Als het gaat om informatiebeveiliging zijn er verschillende manieren om informatie te beschermen, maar sommige gebruikte maatregelen waren, zijn en zullen nooit effectief zijn. Aan de andere kant kunnen deze maatregelen voor problemen zorgen, IT-afdelingen op kosten jagen en uiteindelijk meer kwaad dan goed doen. Fred Cohen, één van de eerste "virusschrijvers", verzamelde tien van de ergste "security practices."

    • Het wijzigen van wachtwoorden: Vaak gehoord maar onnodig. Als aanvallers je wachtwoord niet kennen, is er ook geen reden om het te veranderen.
    • Een bron via reverse DNS lookup authenticeren: Veel mechanismen doen een reverse DNS lookup om de afzender van een e-mail te authenticeren, maar dit kan ervoor zorgen dat legitieme mail nooit aankomt, legitieme gebruikers worden gedwarsboomd en dat die uiteindelijk klagen.
    • Terugslaan uit zelfverdediging: Alleen militaire organisaties of inlichtingendiensten met toestemming mogen een vergeldingsaanval lanceren. En zelfs als het zou zijn toegestaan, is de aanval niet altijd de beste verdediging.
    • Gebruikers over technische zaken laten beslissen: De makers van beveiligingssoftware weten niet eens wat gebruikers moeten doen als hun software de een pop-up waarschuwing geeft. Hoe kun je dan verwachten dat de gebruiker de juiste beslissing maakt? vraagt Cohen zich af. Aangezien niemand dit kan moeten programma's dus stoppen met vragen.
    • We kunnen de stekker er bij een incident uittrekken: Er zijn nog altijd mensen die geloven dat ze binnen hun IT-infrastructuur zomaar systemen kunnen platleggen. In een "verbonden" omgeving is dat niet meer zo makkelijk, en zorgt dat er uiteindelijk voor dat bedrijven meer verliezen dan de aanvaller kan winnen.
    • Het gebruik van ontdekte lekken als graadmeter: Talloze bedrijven gebruiken nog altijd het aantal gevonden lekken in de organisatie als graadmeter van hun beveiliging. Cijfers zijn zinloos en niet alle lekken zijn hetzelfde.
    • Vertrouw wat de leverancier beweert: Geloof het of niet, mensen die beslissingen over de beveiliging maken, geloven wat beveiligingsaanbieders beweren. Zeker producten met teksten als "de laatste bescherming die je nodig hebt", zorgen ervoor dat je failliet zult gaan.
    • De NSA gebruikt het, dus kan ik het vertrouwen: De NSA koopt bijna alle beveiligingsproducten om te zien hoe ze die kunnen omzeilen. Ten tweede verzamelt de NSA informatie. Het beste systeem is dat waar alleen zij kunnen inbreken. En als laatste, de NSA vertelt niet waarvoor ze het gebruiken.
    • We gebruiken best practices: "Best practices bestaan niet, er is altijd iets dat beter kan. Volgens Cohen zijn de meeste "best practices" de minimale standaard.
    • Het is voor uw veiligheid: "Hoe maakt het mij veiliger als je me fouilleert? Dat is helemaal niet voor mijn veiligheid." Hetzelfde geldt voor het afstaan van persoonlijke informatie. Iets wat banken vaak bewaren. "Als je mijn wachtwoord niet kunt beschermen, waarom denk je dan wel dat je mijn persoonlijke informatie kan beschermen? En als je mijn persoonlijke informatie kan beschermen, waarom heb je dan alleen een wachtwoord nodig?"
    Naast de tien punten geeft Cohen ook nog een aantal "bonus items". Zo zijn er bedrijven die zeggen dat ze hun werknemers vertrouwen, en daarom niets tegen insiders hoeven te doen. "Ik vertrouw mijn personeel ook, maar dat betekent niet dat ik me er niet tegen bescherm." Een ander vaak gehoorde opmerking is dat bedrijven mensen voor hun loyaliteit betalen. "Vaak blijkt dat de best betaalde mensen de grotere misdrijven plegen."

    Het komt er volgens Cohen op neer dat security professionals de verantwoordelijkheid hebben om "bad practices" bloot te leggen en op zo'n manier, dat ze uiteindelijk verdwijnen. "Je mond houden zal de dwaasheid niet stoppen. Verzet je tegen bad practices of anders zullen we er allemaal onder lijden."

    bron: security.nl
  • DeletingYourAccount

    Ever want to delete a rusty online account but don't want to navigate a maze of unfamiliar preferences to do so? If you're drowning in social networking, blogging, and other sites, web site Delete Your Account shows you how to extricate yourself painlessly.

    Signing up for "just one more" social networking site always seems like a good idea at the time, but pretty soon it becomes yet another thing sapping our energy and attention. Delete Your Account helps you dig yourself out from under the time suck and get your life back.

    When you're ready to cut the cord from sites like Digg, MySpace, FriendFeed, Hotmail, or a menagerie of other sites, just jump over to Delete Your Account and look for it in the alphabetical list. You'll get a quick link that takes you right where you need to go on individual sites to nuke your account. You'll even get a couple of handy pointers for each site to make sure you get it right.

    Delete Your Account is a huge time-saver when you want to un-register yourself from one or several web sites but don't want to waste time poking around each one to figure out where to delist yourself. If you get wistful and start missing sites where you were connected, hit up Delete Your Account for how to resurrect your registration (if it's possible—because sometimes it won't be).

    Delete Your Account is a database of all the major social media and networking sites, with instructions for the following sites:
    • Amazon
    • AOL Instant Messenger (AIM)
    • Digg
    • eBay
    • Facebook
    • Flickr
    • FriendFeed
    • Google
    • Hotmail
    • iTunes
    • Last.fm
    • LinkedIn
    • Meebo
    • Monster
    • MySpace
    • PayPal
    • reddit
    • The Pirate Bay
    • Twitter
    • Wikipedia
    • WordPress
    • Yahoo
    • YouTube

    Details include how to remove yourself from these sites' database, but also how to add yourself back on if you've mistakenly deleted your account or if you've changed your mind, making this a great quick glance resource if you're moving on from a dead account, trying to erase your past follies or belong to the tinfoil hat brigade and are over this "internet thing". Complete listings and instructions over at Delete Your Account.

  • De Conficker worm heeft verschillende Britse politiesystemen geïnfecteerd, waardoor agenten al dagen niet meer bij de criminelendatabase kunnen. De infectie werd vrijdag opgemerkt en zorgde ervoor dat de politie van Manchester van de Police National Computer (PNC) werd afgesloten. Het systeem wordt onder andere gebruikt voor het controleren van kentekens, strafbladen en namen, iets dat nu andere politieregio's moeten doen. Er zouden in ieder geval geen gegevens zijn verloren.

    "Een team van experts is nu bezig met het verwijderen van het virus, en we worden pas aangesloten als we zeker weten dat er geen verdere dreiging is", zegt commissaris Dave Thompson. Hoe de worm het netwerk wist te infecteren wordt nog onderzocht. Wel zal de politie maatregelen nemen om herhaling te voorkomen.

    USB-stick
    Op 23 oktober 2008 verscheen er een beveiligingsupdate voor het lek in Windows waardoor Conficker zich verspreidt. Daarnaast infecteert de worm systemen ook via besmette USB-sticks en gedeelde netwerkmappen. Inmiddels zouden de meeste systemen weer schoon zijn. Of de worm via een USB-stick wist binnen te komen is onbekend. Toch werd personeel geadviseerd om geen "ongeautoriseerd USB-sticks" gebruiken.

    Het is niet de eerste keer dat Conficker in Manchester toeslaat. Vorig jaar werd het stadhuis geïnfecteerd, wat de belastingbetaler uiteindelijk 1,75 miljoen euro kostte.
  • In addition to all previously released updates, Windows Vista SP2 and Windows Server 2008 SP2 will contain changes focused on supporting new types of hardware and adding support for several emerging standards. SP2 will also continue to make it easier for IT administrators to deploy and manage large installations of Windows Vista and Windows Server 2008.

    Windows Vista Can
  • LockBreach Security announced that web attackers unleashed a new type of SQL injection attack in 2008 that successfully compromised more than 500,000 web sites, according to its Web Hacking Incidents Database (WHID) 2008 Annual Report. Marking a major event for the web application security landscape, the report found that SQL injection attacks planting malware on target web sites was the number one security attack for online criminals last year.


  • Bij sommige steppings van de Phenom II X3-processor is het mogelijk om de vierde kern in te schakelen. AMD wil dat moederbordfabrikanten een bios-fix uitbrengen die het inschakelen van de vierde kern tegengaat.

  • Het testen van de beveiliging van netwerken en applicaties kan een tijdrovende en lastige klus zijn, destijds reden voor David Kennedy om een oplossing te ontwikkelen en die van geavanceerde exploits te voorzien. Het resultaat was Fast-Track en vorige week verscheen versie 4.0. Met de tool is het mogelijk om het testen van netwerken en applicaties te automatiseren en geavanceerde aanvallen uit te voeren. Veel van de problemen die Fast-Track misbruikt worden veroorzaakt door onjuiste verwerking van client-side gegevens binnen webapplicaties, patch management of het gebrek aan hardening technieken. Zaken die eenvoudig zijn te verhelpen als je weet waar je naar moet zoeken, maar nog altijd vaak voorkomen.
  • Internetoplichters kiezen er liever voor om hun website op een gehackte webserver te plaatsen dan een gratis hostingprovider hiervoor te gebruiken. Onderzoekers ontdekten dat gecompromitteerde machines voor bijna 76% van de phishingaanvallen verantwoordelijk zijn, tegenover 17,4% die van gratis webhosting gebruik maakt. De resterende aanvallen zijn het werk van "specialistische bendes". Toch zijn zij voor het versturen van de meeste phishingberichten verantwoordelijk en daardoor waarschijnlijk ook voor het opstrijken van het meeste geld.
  • Het bekladden van websites, vaak vanuit ideologisch oogpunt, was de favoriete bezigheid van "hackers" in 2008, zo blijkt uit cijfers van de Web Hacking Incidents Database. De database hanteert strenge eisen voor het opnemen van incidenten, waardoor het overzicht en het aantal aanvallen mogelijk niet overeenkomt met de werkelijkheid. Zo werden er vorig jaar 57 incidenten vermeld, ten opzichte van 49 een jaar eerder. Defacements, het achterlaten van een boodschap of afbeelding, is de voornaamste reden (24%) om websites te hacken. Het stelen van vertrouwelijke gegevens is met 19% een goede tweede en het planten van malware is met zestien procent derde.

    Om toegang tot de website of vertrouwelijke informatie te krijgen passen aanvallers in de meeste gevallen (30%) SQL-injectie toe. Cross-site scripting (XSS) mag dan vaker op websites aanwezig zijn, de database richt zich alleen op echte incidenten. Uit het overzicht blijkt dat XSS bij slechts acht procent van de aanvallen werd gebruikt. In veel gevallen (29%) is het niet bekend hoe de website is gekraakt is of maakt de getroffen partij dit niet bekend.

    "Financieel gewin mag dan een belangrijk motief voor hackers zijn, ideologische hackaanvallen mogen niet genegeerd worden", zo stellen de onderzoekers. Die zagen dat overheidsinstanties het vaakst met defacements te maken kregen, terwijl hostingproviders vaker het doelwit van "hacking for profit" zijn. Wat betreft financiële instellingen zoals banken concludeert het rapport dat die vaker openheid van zaken geven of daadwerkelijk vaker worden aangevallen. Last but zeker not least blijkt dat aanvallers nog steeds oude vertrouwde technieken gebruiken, ook al ontdekken onderzoeker tal van nieuwe technieken. Daarnaast worden aanvallers steeds beter in het automatiseren van hun aanvallen.

    Bron: Security.nl

  • We searched far and wide collecting as many Web Hacking Techniques published in 2008 as possible -- ~70 in all. These new and innovative techniques were analyzed and ranked based upon their novelty, impact, and pervasiveness. The 2008 competition was exceptionally fierce and our panel of judges (Rich Mogull, Chris Hoff, H D Moore, and Jeff Forristal) had their work cut out for them. For any researcher, or "breaker" if you prefer, simply the act of creating something unique enough to appear on the list is no small feat. That much should be considered an achievement. In the end, ten Web hacking techniques rose head and shoulders above.
  • Nadat de vorige tot twee keer toe toe was gekraakt, is het nieuwe captcha-systeem voor Windows Live Hotmail ook alweer gebroken.

    Deze week was het weer raak. Slimme spammers hebben het allernieuwste Captcha-systeem van Windows Live Hotmail gekraakt en spugen via Hotmail-accounts spam uit over de wereld.

    Hiervoor ontwikkelden de spammers een ingenieuze en geautomatiseerde cyclus van nieuwe accounts aanmaken, het uitlezen van de captcha en het versturen van spam. Bij de nieuwste aanval versleutelden de spammers hun dataverkeer om detectie te omzeilen, meldt Websense.

  • Malwaremakers richten zich al op het gloednieuwe beveiligingsgat in de PDF-software van Adobe. Symantec waarschuwt dat er exploitcode rondwaart.

    Speciaal gemaakte PDF-bestanden met ingebouwde Trojan gaan rond op internet. De makers willen daarmee misbruik maken van een buffer overflow in de PDF-programma’s van Adobe. Die software, Acrobat en Adobe Reader, hebben een gat in de omgang met JavaScript in PDF-bestanden. De fout is aanwezig in de huidige versie 9, maar ook in voorgaande versies.

  • De omzeiling van SSL-beveiliging kan nu actief misbruikt worden. De ontdekker heeft zijn exploittool vrijgegeven.

    De hacker die een nieuwe man-in-the-middle-aanval op SSL heeft ontworpen, heeft zijn concept-tool SSLstrip vrijgegeven. De verschijning van daadwerkelijke malware voor dit beveiligingslek ligt daarmee op de loer.

    De hacker, met het alias Moxie Marlinspike, heeft zijn kraak van SSL vorige weekgedemonstreerd tijdens de Black Hat-conferentie. Zijn methode maakt misbruik van de overgang tussen http en https, waardoor SSL-verkeer op die overgang onderschept kan worden.

  •  

    I recall being pretty impressed with this augmented reality demo created by Boffswana last November. The basic idea is that you can use a webcam to track the real-world location and rotation of a special printed symbol. With this information, you can overlay a virtual object on top of the video stream and render it to match the position information of the symbol card. Called "augmented reality," the technique gives you a way to interact with digital entities as if they were physical objects.

    You can create your own augmented reality programs without having to roll your own tracking code. There's a library called FLARToolKit that takes care of the heavy lifting of symbol recognition and spatial tracking. The code for the Boffswana demo is also available, and you can see how they used FLARToolKit along with Papervision3D to pull their demo off.

    I should also mention that the FLARToolKit code could be used for purposes other than augmented reality. I'm sure there are other applications for a webcam-based input mechanism that can deliver accurate 3D location and orientation info.

    What would you use this for?

    FLARToolKit
    FLARToolKit Examples At Tarotaro.org
    Boffswana AR Papervision3D Demo and Source


Copyright © 2017. All Rights Reserved.