Categorie archieven: Beveiliging

Digitale bankroof levert $ 35 mln op

Geplaatst op door
Beantwoorden
Cybercriminelen maken 35 miljoen euro buit
Twee van de criminelen poseren met een stapel geld die ze hebben buitgemaakt. De foto werd gevonden op de telefoon van een van de mannen. Foto: AP

In New York zijn acht mannen aangeklaagd voor een cyberkraak die zo’n 35 miljoen euro opleverde (ongeveer $ 45 miljoen). De webboeven pasten de gegevens van bankkaarten aan en haalden in een gecoördineerde aanval honderden betaalautomaten leeg, zo valt te lezen in De Standaard.
De Amerikaanse cyberkraak was een onderdeel van een grotere wereldwijde aanval, gericht op banken in Oman en de Verenigde Arabische Emiraten. De overvallers kraakten bankkaarten met saldo, trokken de limieten op en haalden tussen oktober 2012 en april 2013 honderden betaalautomaten leeg. Dat leverde hen naar schatting zo’n 35 miljoen euro op.
Volgens de Amerikaanse aanklager in Boston Loretta Lynch is deze aanval de grootste in zijn soort. Er zijn zeven arrestaties verricht. Een achtste lid van de Amerikaanse tak van de bende is volgens de politie vorige maand vermoord in de Dominicaanse republiek.

Bron: De Standaard (foto: AP)

‘Hengelen’ in België groeit

Geplaatst op door
Beantwoorden

‘Hengelen’ naar toegangscodes blijkt in België steeds populairder te worden, zo meldt De Standaard, al is de totale schade nogal bescheiden. Waren er in heel 2012 1003 gevallen, waarbij in het totaal € 3 miljoen werd buitgemaakt, het eerste kwartaal van dit jaar werden al 473 gevallen genoteerd, waarbij de totale buit € 1,27 bedroeg. Hengelen, ook wel phishing genoemd, is een tamelijk doorzichtige methode waarin het slachtoffer via een e-bericht wordt gevraagd op een (nep)stek van bank of andere financiële instelling in te loggen, om zo de inlogcodes te achterhalen.

Bron: De Standaard

VS beschuldigen China weer van webspionnage

Geplaatst op door
Beantwoorden

Amerika beschuldigt de Chinese overheid en Chinese militairen er van regelmatig in commputersystemen van de Amerikaanse overheid rond te neuzen, zo blijkt uit het jaarverslag van het Pentagon. De Chinezen zouden daar op zoek zijn naar informatie over economische, militaire en diplomatieke zaken, zo meldt de BBC. De Chinese overheid wijst, eens te meer, de beschuldigingen verontwaardigd van de hand. Het persbureau Xinhua citeert kolonel Wang Xinjun, een onderzoeker van het Volksleger, die stelt dat zowel China als de VS slachtoffer zijn van webspionnage en dat het beter zou zijn als beide landen zouden samenwerken om die ‘inbraken’ in de toekomst te voorkomen.
Hoewel de VS China al veel langer verdenken van het inbreken in Amerikaanse computersystemen, kwam het tot dit jaar maar zelden tot expliciete beschuldigingen. Die Amerikaanse voorzichtigheid schijnt nu tot het verleden te behoren. Eerder dit jaar zou een gebouw van de Chinese militaire overheid zijn gelokaliseerd, van waaruit het Amerikaanse web zou zijn belaagd.
Volgens Jonathan Marcus, diplomatiek correspondent van de BBC, zullen de VS niet willoos toezien hoe China zijn computersystemen binnentrekt, maar in de tegenaanval gaan. Eerder hebben Amerikanen via het web een deel van het Iraanse kernenergieprogramma ‘onklaar’ gemaakt. Volgens Marcus een kleine voorproef van wat ons te wachten staat in deze webwereldoorlog.

Bron: BBC

Open software veiliger onder de miljoen regels

Geplaatst op door
Beantwoorden

Open programmatuur (‘open source software’) bevat gemiddeld minder beveiligingskwetsbaarheden en codefouten dan commerciële software. Tenminste, zo lang het programma de 1 miljoen coderegels niet overschrijdt. Daarna wint de betaalde programmatuur het van de ‘ideële’: 0,75 codefouten per 1000 regels tegen 0,66. Dat blijkt uit een onderzoek van het Amerikaanse bedrijf Coverity, dat zich bezig houdt met het testen van nieuwe software.
Het onderzoek is een initiatief van het Amerikaanse ministerie voor binnenlandse veiligheid. Het eerste onderzoek werd uitgevoerd in 2006. Open programma’s worden gratis getest, commerciële programma’s worden getest tegen betaling. In het totaal zijn 68 miljoen regels open programmatuur getest (118 projecten) en 380 miljoen regels commerciële programmatuur (250 projecten).
Tot dit jaar bleek het niet uit te maken of een programma gratis of betaald was als het ging om beveiligingslekken en fouten in de code. Dit jaar lijken de commerciëlen het te gaan winnen bij de grote programma’s, terwijl de minder grote de open programmeurs het beter doen. Het zou wel eens kunnen zijn dat de groei van de open protuur de ‘ideëlen’ parten speelt. Nu hebben nog maar 13 open projecten meer dan 1 miljoen regels code. Maar de neiging is naar groter. In 2008 bedroeg de gemiddelde programmalengte 425 179 regels, dit jaar 580 000. Het foutengetal bij alle open programma’s steeg dan ook van 0,45 in 2008 naar 0,69 nu. Overigens is het verschil met de commerciële programma’s niet erg veel lager: 0,68. Bij programma’s tussen 500 000 en 1 miljoen regels scoren de ‘ideëlen’ twee keer zo goed: 0,44 tegen 0.98.

Bron: Wired

AP-profiel Twitter gekraakt, extra code moet krakers temmen

Geplaatst op door
Beantwoorden

Twitter gevoelig voor inbraakHet Witte Huis is met bommen bestookt en Obama is gewond, dat stond gister op het Twitter-profiel van het Amerikaanse persbureau Associated Press te lezen. Groot nieuws, maar later bleek het onzin te zijn. Het profiel was gekraakt door het Syrische elektronische leger, dat al eerder op elektronisch oorlogspad is geweest. Die stek blijkt nu uit de lucht te zijn.
Twitter wil beveiliging vergroten
Twitter heeft aangekondigd de profielen van de kwetteraars beter te zullen beveiligen tegen kraken, zo meldt het Amerikaanse webblad Wired. De gebruiker moet in de nieuwe situatie niet alleen een wachtwoord intikken, maar ook een soort TAN-code, die hij/zij krijgt toegestuurd via, bijvoorbeeld, sms. Volgens AP zou het wachtwoord zijn ‘opgevist’, maar met de nieuwe procedure zou dat geen, onoverkomelijk, probleem zijn. Het gaat nog om een proef. Onduidelijk is wanneer het nieuwe beveiligingsprotocol algemeen wordt. Hoogstwaarschijnlijk zullen ‘gevoelige’ profielen zoals die van AP of het Witte Huis het eerste aan bod zijn.

Bronnen: Le Monde, Wired

Politie beloert burgers

Geplaatst op door
Beantwoorden

Het afluister- en filmkastje dat vorige week door Ziggo in de Haagse Schilderswijk is ontdekt, blijkt van de politie te zijn, zo meldt De Volkskrant. Het kastje wordt gebruikt voor opsporingsonderzoek naar vermogenscriminaliteit, zo gaat de krant verder. Vermogensdelicten kunnen van alles zijn waar geld mee te maken heeft: van diefstal tot witwassen van geld. De politie zou toestemming hebben van het OM om burgers in de Haagse wijk te mogen bespieden, zegt de Volkskrant, maar dit voorval laat weer eens zien hoe makkelijk er toestemming gegeven wordt voor het registreren van handel en wandel van de burgers onder het mom van misdaadbestrijding. Bovendien dient een rechter-commissaris toestemming te geven. Laten we het er op houden dat De Volkskrant met dat OM in de fout gaat, maar dit voorval laat maar weer eens zien dat de Nederlandse overheid is, zeker in vergelijking met andere Europese landen, bijzonder makkelijk in het verlenen van vergunningen dit soort ‘bijzondere’ opsporingsmethoden.

Bron: De Volkskrant

CBP maant AH en Whatsapp, NS en RET moeten dokken

Geplaatst op door
Beantwoorden

CBP-voorzitter Jacob Kohnstamm CBP-voorzitter Jacob Kohnstamm


Vervoersmaatschappijen NS en de Rotterdamse Elektrische Tram (RET) zijn het vorig jaar stevig aan hun taas getrokken vanwege overtreding van de wet bescherming persoonsgegevens, zo blijkt uit het onlangs verschenen jaarverslag van het College Bescherming Persoonsgegevens (CBP). De RET moest € 120 000 en NS € 125 000 betalen omdat ze de reisgegevens van hun klanten langer dan 24 maanden bewaarden. Beide bedrijven zouden de illegale gegevens hebben gewist en de boete hebben betaald. Het Amsterdamse vervoersbedrijf GVB heeft bezwaar aangetekend tegen de dwangsom. Die rechtzaak loopt nog.
Het vorig jaar heeft het CBP in 58 gevallen onderzoek gedaan naar overtreding van de wet bescherming persoonsgegevens en in 15 gevallen was het raak. Albert Heijn ging volgens het CBP te ver door in “Mijn bonus” gepersonifieerde aanbiedingen te doen op basis van het aankoopgedrag van de klant. Daar had AH toestemming van de klant voor moeten vragen. De winkelketen lijkt zijn leven gebeterd te hebben en is vooralsnog gestopt met de actie. Ook bleek dat AH anonieme bonuskaarten op naam bracht, nadat een houder van de anonieme kaart een webaankoop bij het bedrijf had gedaan en zijn anonieme kaart had gebruikt. Ook dat achtte het College niet in de haak en AH heeft nu op het web gezet wanneer anoniem niet meer anoniem is.
Ook de populaire mobiele dienst Whatsapp moest er aan geloven. Via het progje verstuurde berichten zijn niet versleuteld en kunnen, zonder dat de verzender of ontvanger dat merkt, door derden worden gelezen. Ernstiger is dat Whatsapp eist toegang te hebben tot het hele telefoonboek van de gebruikers (dus ook die van niet-whatsappers). Die kunnen niet kiezen. Alleen in iOS 6 van de iPhone van Apple is de gebruiker de baas. De versleuteling is inmiddels een feit, maar hoe en of Whatsapp de telefoonroof gaat beteugelen moet nog worden afgewacht. Het CBP en zijn Canadese collega-instituut, die samen het onderzoek hebben uitgevoerd, houden de vinger aan de pols.
Het jaarverslag maakt duidelijk hoe wijdverbreid het probleem van de bescherming van de privesfeer ligt. Dat geldt voor politiediensten zoals de centrale inlichtingeneenheden (cie) waar gegevens van ‘cliënten’ van de politie (te lang) worden bewaard, voor de gezondheidszorg, maar ook voor particuliere bedrijven en de belastingdienst, die onbekommerd inkomensgegevens verstrekt om het scheefwonen tegen te gaan. Uit het jaarverslag rijst het beeld op dat er veel verzameld, gekoppeld en ingezien wordt.
Het CBP zal het lopende jaar speciale aandacht besteden aan de transparantie van gegevensverwerkingen, toestemming van burgers, doelbinding en beveiliging. Daarnaast richt het College zich op profilering, bescherming van medische gegevens, gegevensverwerking binnen de arbeidsrelatie en bescherming van persoonsgegevens van kinderen, zo meldt de webstek.
We blijven het CBP met grote aandacht volgen.
Bron: Jaarverslag CBP

“Lekke apps ontwerpersfout”

Geplaatst op door
Beantwoorden
Het Chinese equivalent van Twitter Weibo

Veel apps ‘lekken’ gegevens en zouden een achterdeur kunnen zijn waardoor onverlaten zich toegang tot je slimme telefoon (slimtel) kunnen verschaffen. Dat is de conclusie van Liang (Dennis) Xu, student aan de universiteit van Californië (Davis), bij een globale analyse van een groot aantal (hij verzamelde er 120 0000) telefoonprogjes voor de Google-telefoon (Android). Dat is geen boos opzet, maar eerder onhandigheid, is het idee van de student. “Dat zijn ontwerpersfouten”, zegt Xu. “De code is bedoeld afgeschermd te zijn, maar is in werkelijkheid openbaar.” Xu heeft niet naar de apps van dde iPhone van Apple gekeken, maar vermoedt dat daar hetzelfde probleem speelt.
Om toegang te krijgen tot de apps moet de onverlaat eerst een stukje code op het beoogde toestel zien te krijgen. Die kan, bijvoorbeeld, verborgen in een overigens handige app zijn, als bijlage voor een e-bericht of via een webkoppeling.
Xu heeft met zijn hoogleraar informatica Zhendong Su en bezoekend hoogleraar Linfeng Liu van de Chinese  Xi’an Jiatong-universiteit een aantal relatief veel gebruikte progjes die heftig ‘lekten’ nader onderzocht. Handcent SMS is een berichten-app. Xu ontdekte dat een onverlaat ook toegang tot persoonlijke info van de app kan krijgen, inclusief de, met wachtwoord ‘beveiligde’, privéberichten.
WeChat is een babbeldienst die vooral in China populair is en die lijkt op soortgelijke diensten van Yahoo en AOL (America on Line). De dienst werkt op de achtergrond en meldt als er berichten zijn. De dienst kan met een kwaadaardige code uitgezet worden, terwijl de gebruiker denkt dat die nog steeds werkt.
Weibo, de Chinese tegenhanger van Twitter, blijkt ook gevoelig voor kwaadaardige code. Eenmaal op het beoogde toestel maakt de code de kwaadwillende mogelijk zelf berichtjes te sturen.

DigID moet veiliger

Geplaatst op door
Beantwoorden

DigID, de digitale toegangspoort van de overheid moet veiliger worden. Ronald Plasterk presenteerde woensdag zijn versie: de eID (waar het bedrijf e-ID in Vianen niet blij mee is). De eID-kaart is een identiteitskaart met chip die werkt volgens het principe van internetbankieren, zo meldt volkskrant.nl. Identiteitsfraude zou een groeiend probleem zijn waar het vorig jaar zo’n 800 000 mensen het slachtoffer zouden zijn geweest en die gezamenlijk een schade van een half miljard euro zouden hebben geleden. De nieuwe kaart zou die vorm van fraude moeten inperken. De eID-kaart is een persoonlijke kaart die bij elektronische transacties met de overheidsinstellingen als een ‘nagelvaste’ identificatie moet dienen, vergelijkbaar met de verzending van de elektronische handtekening voor een banktransactie TAN via sms.
D66 maakt zich zorgen over de privacygevoeligheid van het systeem. Amerikaanse bedrijven kunnen door hun eigen overheid gedwongen worden privacygevoelige gegevens te verstrekken. Het zou volgens Kamerlid Gerard Schouw beter zijn als er geen Amerikaanse bedrijven bij de totstandkoming van de eID-kaart zouden worden betrokken, maar volgens Plasterk kunnen die niet uitgesloten worden van een openbare aanbesteding, al wil hij wel uitzoeken of daar een juridische mouw aan te passen is.

Bron: volkskrant.nl

Kun je vliegtuigen met Android kapen?

Geplaatst op door
Beantwoorden

Blijkens een bericht in de Volkskrant zijn Kamerleden bang dat ook vliegtuigen elektronisch te kapen zijn.
Wassila Hachchi (D66) heeft staatssecretaris Wilma Mansveld gevraagd daar uitsluitsel over te geven.
De kwetsbaarheid van het vliegverkeer is de wereld in gekomen door uitspraken van beveiligingsdeskundige en opgeleid piloot Hugo Teso op het Hack in the Box-congres in Amsterdam, dat je met een app op een simpele Android-telefoon (PlaneSploit) het ‘roer’ van een vliegtuig kunt overnemen. Hij maakt daarbij misbruik van twee notoir onbetrouwbare communicatiesystemen in een vliegtuig: ADS-B dat informatie over het vliegtuig naar de luchtverkeersleiding stuurt en waarover het vlucht- en weergegevens ontvangt en ACARS dat berichten uitwisselt tussen vliegtuigen onderling en met vluchtleiders via radio en satelliet. Die systemen zijn gevoelig voor passieve en actieve aanvallen. Teso gebruikte ADS-B om doelen te kiezen en ACARS om gegevens te verzamelen over de boordcomputer en voor het afleveren van berichten om het ‘gedrag’ van het vliegtuig te beïnvloeden. Zo liet hij het vliegtuig een aantal opdrachten uitvoeren zoals “Ga hier heen’ en ‘Be punckish’ (een manier om vliegers aan te geven dat er stront aan de knikker is, compleet met knipperende lichten en alarmgeluid). Teso liet in zijn verhaal niet het achterste van zijn tong zien over de manier waarop hij was ingebroken. Vliegtuig te kapen met telefoon
Volgens Hachchi zou Teso beweert hebben dat hij de automatische piloot van het vliegtuig zou kunnen overnemen of laten neerstorten. Zij begrijpt niet waarom er in de luchtvaart met zulke oude en onbetrouwbare systemen wordt gewerkt, soms wel 40 jaar oud. Belangrijke barrière bij vernieuwing van dergelijke systemen in de luchtvaart is juist die veiligheid. De bestaande systemen hebben bewezen te werken en van de nieuwe moet dat nog maar eens worden aangetoond. Problemen bij de introductie van min of meer revolutionaire innovaties in de luchtvaart, zoals de A-380 van Airbus en de Dreamliner van Boeing, laten zien hoe gevoelig vernieuwing in die branche ligt.
Hachchi vindt dat Nederland in Europa moet aandringen op een snelle verbetering van de veiligheid van vliegtuigsystemen. “Nederland heeft een van de drukste luchthavens ter wereld, met onze veiligheid in de lucht moet niet gesjoemeld worden”, laat de Volkskrant haar zeggen.

Bron: De Volkskrant/net-security.org