Je kunt in WhatsApp en Telegram foto’s veranderen

Onderzoekers van het digitale-beveiligingsbedrijf Symantec hebben aangetoond dat je in de berichtendiensten WhatsApp en Telegram foto’s en andere bestanden kunt veranderen op telefoons van derden. Ze veranderden bij wijze van demonstratie gezichten op foto’s door er de kop van Nicholas Cage op te plakken. Lees verder

Code maken zonder lekken door wiskundige verificatie

Het schrijven van geverifieerd veilige code

Karthik Bhargavan:…bewezen veilig …

Programmeren is mensenwerk, maar de wiskunde is onverslaanbaar. Als je het programmeren wiskundiger zou maken zou je daarmee voorkomen dat er fouten in de code sluipen die kunnen worden misbruikt door e-krakers en veiligheidsdiensten, denken informatici. Een stap in die richting is de manier waarop de kryptobieb EverCrypt is ontwikkeld. De onderzoekers die daaraan gewerkt hebben konden bewijzen dat hun code geheel ongevoelig is voor de belangrijkste webaanvallen die in het verleden slachtoffers hebben gemaakt. “Als we zeggen bewijs dan bedoelen we dat onze code geen last heeft van zulke aanvallen”, zegt Karthik Bhargavan, een informaticus die in Parijs bij Inria werkt. Dat zou moeten smaken naar meer. Lees verder

Facebook slaat wachtwoorden onversleuteld op

Versleuteling (afb: CNet)Facebook is een miljardenbedrijf dat geld verdient over de rug van zijn gebruikers, maar niet het flauwste benul heeft (wil hebben?) van veiligheid en privacy. Volgens de webstek Krebs on security bewaarde Facebook tussen 2012 en 2019 honderden miljoenen wachtwoorden van zijn gebruikers als gewone tekst (onversleuteld dus). Daardoor konden duizenden Facebookwerknemers zonder al te veel problemen je wachtwoord achterhalen. Bedankt, Mark (Zuckerberg). Lees verder

Kwantumcomputer wordt gevaar voor veiligheid op het web

Versleuteling (afb: CNet)In een recent rapport over kwantumrekenen waarschuwt de  de Amerikaanse akademie van wetenschappen voor de bedreiging die kwantumcom-puters kunnen zijn voor de veiligheid op het web. Die zouden in staat zijn in een wip moderne versleutelingen te kraken. Lees verder

Versleutelaars e-mail blijken lek

S/MIME en OpenPGP zijn lek

Jörg Schwenk: …onveilig… (afb: univ. van Bochum)

Onderzoekers van de universiteiten van Bochum en Münster (beide in Duitsland) en van Leuven (Be) hebben ontdekt dat twee versleutelingsnormen voor elektronische post lek zijn. De onderzoekers wisten door de verdedigingslinie van 25 van de 35 mailprogramma’s te breken die gebruik maakten van S/MIME en 10 van de 28 die OpenPGP als versleutelaar gebruikten. Inmiddels zouden de lekken zijn gedicht, maar de onderzoekers roepen om nieuwe normen. Lees verder

Is de blokketen een oplossing voor het vertrouwensprobleem?

Blokketentransacties kosten veel energie en rekenkracht

Vertrouwen is een belangrijk ingrediënt van een gezonde maatschappij, maar daar schort het steeds meer aan in het samenleving die steeds ‘slimmer’ wordt (dus niet). De digitalisering van de maatschappij heeft het wantrouwen alleen maar doen toenemen, vooral sedert Edward Snowden ons in 2013 onthulde dat de Amerikaanse veiligheidsdienst NSA alles bespioneerde wat er digitaal te bespioneren viel. Die dienst kan daar zo’n tienmiljard dollar  per jaar aan besteden. Vertrouwen wordt een schaars goed. Misschien kan de blokketen, vooral bekend geworden door de kryptomunt bitcoin, dat vertrouwen herstellen. Technologie als oplossing van een technisch probleem, het klinkt niet goed… Lees verder

Google maakt nieuwsgierige WhatsApp-variant Allo

Google berichtendienst AlloGoogle heeft het al een aantal keren geprobeerd om een eigen berichtendienst op te zetten (zoals Google+), maar heeft de dominante positie van WhatsApp en Facebook nooit kunnen benaderen, laat staan bedreigen. Nu doet de gigant een nieuwe poging met Allo en koppelt er meteen wat kunstmatige intelligentie aan vast. De toepassing blijkt nieuwsgieriger dan Google heeft beloofd dat die zou zijn. Voor het resultaat, is de smoes. Lees verder

Miljoenen auto’s zijn uiterst pikbaar

Radio-ontvanger voor het stelen van auto's

Met zo’n ontvanger kun je de code van auto onderscheppen. Kost nog geen vier tientjes (afb: Wired)

In 2013 ontdekten Flavio Garcia en mede-onderzoekers van de universiteit van Birmingham (Eng) , dat Volkswagens konden worden gestart zonder dat ze daarvoor een sleuteltje nodig hadden. Een rechtszaak kwam er aan te pas waardoor ze gedwongen werden de publicatie twee jaar op te houden. Nu komt de onderzoeksgroep met de ontdekking (pdf-bestand) dat het niet erg problematisch is Volkswagens en andere auto’s te openen zonder (elektronische) sleutel. Dat zou voor elke Volkswagen gelden die sedert 1995 is gemaakt.  De apparatuur voor de diefstal is vrij te koop en kost een paar tientjes. Ook andere merken uit de Volkswagenstal zoals Skoda en Audi schijnen makkelijk steelbaar te zijn. Ook andere merken zijn kwetsbaar voor diefstal op afstand zoals Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel en Peugeot  Alles bij elkaar zou het om zo’n 100 miljoen auto’s gaan. Overigens lijkt dit verhaal sprekend op een eerder gemelde ontdekking. Lees verder

Veiligheidsprotocol TLS wordt danig verbouwd

Netscape-logoBeveiliging van het webverkeer is nog steeds mensenwerk en dat betekent dat er fouten in zitten waar louche types als NSA-spionnen en webboeven misbruikt van kunnen maken om hun euvele daden uit te voeren.  Zo bleek ook het protocol voor communicatiebeveiliging TLS niet waterdicht. Het wordt nu Transport Layer Security-protocol drastisch op de schop genomen worden. De versie zal dit of komend jaar beschikbaar komen. Lees verder