Categorie archieven: Beveiliging

Bedrijven werpen dammen op tegen afluisteren NSA

Geplaatst op door
Beantwoorden

NSA
Het lijkt er op alsof het de grote (internet)bedrijven als Apple, Facebook of Google niks kan schelen of de gegevens van hun klanten door de NSA worden onderschept, maar volgens het webblad Wired is dat niet waar. De toegang tot Facebook via apps en webrauzers zou nu gecodeerd zijn (SSL). Het programma dat NSA gebruikte om het web af te struinen, X-Keyscore, is in de eerste plaats bedoeld om ongecodeerde informatie op te pikken. Als de NSA weer met een gerechtelijk bevel langs zou komen, zouden de gebruikers gewaarschuwd worden dat hun berichten mogelijk zouden worden onderschept.
Er zijn veel barrières in te bouwen voor een al te nieuwsgierige veiligheidsdienst. Zelfs met het oude SSL-codering wordt het al lastig voor de NSA. Vroeger kon de overheid zich verlaten op certificaatuitgevers, die de dienst, al of niet gedwongen, de decoderingssleutel zouden verstrekken, maar Google heeft al iets veranderd aan Chrome om dat risico te neutraliseren en ook Microsoft, heeft met zijn webrauzer Internet Explorer  plannen in die richting.
Ook op andere fronten wordt het steeds lastiger voor de arme geheime agenten, stelt Wired. Er zijn bedrijven die zich er op toeleggen de toegang tot informatie uitzonderlijk lastig te maken. De Amerikaanse overheid wil al lang wetten invoeren die bedrijven dwingen hun producten ‘onderschepbaar’ te maken. Dat lijkt me een vreemde wetgeving, die eist dat bedrijven niet hun best mogen doen. Maar ja, we hebben het wel over Amerika. Ook Apple zou in een handomdraai iets in elkaar kunnen zetten om de NSA (e.a.) de voet dwars te zetten door bijvoorbeeld de coderings- en verificatietechniek OTR in te bouwen in hun berichtenprotocol voor mobieltjes als iMessage. Nu is het voor de NSA geen enkel probleem berichten te onderscheppen als ze eenmaal met een gerechtelijk bevel kunnen zwaaien. Een nieuwe aangepaste versie van iOS, het besturingssysteem van de iPhone, en dag NSA. Tot nu toe is er nog geen wet die het Facebook, Apple, Microsoft en Google verbiedt. De wetten zijn wel in de maak om dat ‘ongeluk’ voor de NSA’s te verminderen, maar Obama heeft sedert het begin van het NSA-schandaal heel wat gas moeten terugnemen en het is de vraag of het Congres nog wel aan wil aan (nog) ruimere bevoegdheden voor veiligheidsdiensten.

Bron: Wired

Pagina Facebook-baas gekraakt

Geplaatst op door
Beantwoorden
Zuckerbergs pagina gekraakt (videobeeld CNN)

Zuckerbergs pagina gekraakt (videobeeld CNN)

De persoonlijke pagina van Facebook-baas Mark Zuckerberg is gekraakt door de Palestijnse e-kraker Chalil Shreateh, die wilde laten zien dat er beveili-gingslekken in Facebook zitten. Hij ging met die wetenschap naar het sociale netwerk, maar hij werd genegeerd. Daarop besloot hij de eigen pagina van de grote baas zelf te kraken.
Hij vertelt op zijn blog hoe hij een manier vond de beveiliging te omzeilen en de berichten van een gebruiker op een Facebook-pagina te veranderen. Hij postte een video van Enrique Iglesias op het Facebook-profiel van een bekende van Zuckerberg. Nadat hij dat Facebook meldde en  nul op het rekest kreeg, besloot hij een bericht op de Facebook-pagina van Zuckerberg zelf te zetten.
“Beste Mark Zuckerberg, het spijt me dat ik de vertrouwelijkheid van Uw pagina  heb moeten doorbreken om er een bericht op te zetten, maar er bleef me geen andere keus over nadat ik het veiligheidslek gemeld had aan het team van Facebook. Ik heet Chalil en kom uit Palestina.”
De pagina werd onmiddellijk van het web genomen. Zondag schreef veiligheidsingenieur Matt Jones van Facebook in een forum dat het gemelde lek dinsdag ervoor al was gerepareerd. Nu blijkt Facebook wel belangstelling voor de vindingen van Chalil te hebben. Volgens een woordvoerder heeft Facebook Chalils melding niet genegeerd, maar de Palestijn had te weinig gegevens verstrekt. Bovendien is het kraken van pagina’s om veiligheidslekken aan te tonen, niet aanvaardbaar, aldus de woordvoerder.

Bron: Le Monde

Code versleutelde bestanden gekraakt

Geplaatst op door
Beantwoorden

Amerikaanse opsporingsambtenaren zijn er in geslaagd de code te kraken van versleutelde harde schijven die vol stonden met kinderporno. Tot nu toe stond de Amerikaanse justitie op het standpunt dat de verdachte mee moest werken aan de ontsleuteling, maar dat leverde protesten op omdat verdachten, ook in Amerika, niet hoeven mee te werken aan hun eigen veroordeling. De verdachte, Jeffrey Feldman, werd dinsdag gearresteerd op verdenking van het in bezit hebben van kinderporno.  Enkele maanden geleden verklaarde de opsporingsautoriteiten voor een federale rechtbank dat zij niet in staat was de code te kraken en dat ze de hulp daarbij van de aangeklaagde nodig had. De FBI, die bij de zaak betrokken was, wilde niet zeggen welke versleuteling Feldman had gebruikt, maar dit geval zou volgens het weblad Wired aantonen dat versleuteling niet onkraakbaar is. De FBI werkt nog aan het decoderen van nog zeven harde schijven van de verdachte. Eerder had een federale rechter Feldman  opgedragen de schijven te decoderen, maar herzag zijn beslissing op procedurele gronden. Gerechtelijke bevelen om de sleutel tot de code te geven spelen nu alleen nog maar voor lagere rechtbanken in de VS. Het Hooggerechtshof heeft daar nog nooit een uitspraak over gedaan.

Bron: Wired

 

Pirate Bay lanceert eigen webrauzer

Geplaatst op door
Beantwoorden

Pirate Bay-embleem Pirate Bay heeft een eigen webrauzer (PirateBrowser) ontwikkeld. Hiermee zouden websurfers blokkades moeten kunnen omzeilen die op het wereldwijde web zijn opgeworpen om het gratis binnenhalen van auteursrechtelijk beschermde bestanden (muziek, boeken e.d.) te voorkomen. Die blokkades zijn opgeworpen in notoir kwalijke landen als Noord-Korea of Iran, maar ook democratisch bestuurde landen als Denemarken, België, Engeland en Nederland hebben hindernissen opgeworpen om wat gezien wordt als ‘gegevensdiefstal’ te voorkomen. Pirate Bay werd in 2003 in Zweden opgericht om het mensen mogelijk te maken bestanden uit te wisselen via de  BitTorrent-techniek. De oprichters werden in 2009 veroordeeld tot gevangenisstraf van een jaar en een boete van 2,7 miljoen euro (later veranderd in 5 miljoen met een lagere gevangenisstraf). Sindsdien zwerft de uitwisselstek, onder hoede van de Zweedse Piratenpartij, over het wereldwijde web. Sedert mei dit jaar heeft de piratenbaai domicilie gevonden op het Frans/Nederlandse eiland Sint-Maarten (.sx) en is van de Torrent-techniek overgestapt op het simpeler Magnet-systeem. Dat zou Pirate Bay moeten vrijwaren van gedoe met betaling voor digitale bestanden.
De webrauzer, gebaseerd op de mobiele versie van het open Firefox (meer bepaald de FoxyProxy-extensie, is nadrukkelijk bedoeld om de opgeworpen webbarricades te omzeilen en er kan niet anoniem mee gesurfd worden. Voorlopig is de webrauzer alleen nog voor Windows beschikbaar.

Bron: Futura-Sciences

Hoe we een huis of auto e-kraken

Geplaatst op door
Beantwoorden

12disrupt-span-tmagArticleHet inbreken in je privésfeer kan betrekking hebben op je e-correspondentie of op je bankrekening. Dat laatste kost je zeer waarschijnlijk geld. Er zijn echter veel profijtelijker zaken die je kunt e-kraken: een huis of een auto, bijvoorbeeld. Hoe zou het voelen als je met een gangetje van 100 km/u opeens de macht over je stuur kwijtraakt? Niet doordat je in een onbeheersbare slip terechtkomt, maar doordat iemand je auto elektronisch overneemt. De Amerikaanse krant de New York Times voert twee mannen op, die op een Blackhat-congres over computerbeveiliging in Las Vegas uit de doeken deden hoe je elektronisch het ‘stuur’ van een auto kunt overnemen. Charlie Miller, beveiligingsonderzoeker bij Twitter, en Chris Valasek, hoofd beveiligingsintelligentie bij beveiligingsbedrijf IOActive, lieten de congresgangers zien hoe ze de bestuurder het stuur ‘uit handen’ sloegen: de auto remde niet meer en reageerde vreemd op het stuur. Dat alles met een druk op de knop. Ze deden dat bij hybride auto (verbrandingsmotor/elektrisch), maar ze vertelden hun gehoor dat tientallen modellen dat ook had kunnen overkomen. Inbreken in je in-vak is leuk, maar leuker en (mogelijk) lucratiever is het elektronisch inbreken in auto of huis. “Als je een enkele computer in een auto hebt overgenomen, dan verdwijnt veiligheid door het raam”, zegt Miller. Moderne auto’s hebben zo’n 10 tot 40 computersystemen. Tot voor kort waren er mogelijkheden om in die systemen in te breken beperkt, maar doordat steeds meer auto’s met het wereldwijde web worden verbonden, wordt het allemaal een stuk makkelijker, aldus Miller. Het wordt natuurlijk helemaal link als de zelfbesturende auto’s hun entree maken, maar Miller en Valasek deden hun kunstjes met een Toyota Prius een een Ford Escape. We hoeven niet op die zelfstuurders te wachten (grappig is dat automobiel zelfbewegend betekent).
De auto is niet het kwetsbaarst volgens veiligheidsdeskundigen, maar het eigen huis, dat is voorzien van een elektronisch slot . Neem de Lockitron, een slot dat je kunt openen met je slimtel. Dat is een leuke klus voor handige inbrekers. Het bedrijf moet erkennen dat geen e-slot onfeilbaar is, ook al heeft het er alles aan gedaan, ook volgens onafhankelijke veiligheidskundigen, om maximale veiligheid te verwezenlijken.
De e-krakers kunnen ook tv’s en webcamera’s gebruiken om de bewoners van een huis af te luisteren en te zien wat ze aan het doen zijn. Belichting, ijskasten, wc-potten, niets is veilig voor e-krakers als die eenmaal in huis in hun ‘slimme’ uitvoering zijn geïntroduceerd. Bij de ‘slimme’ wc-pot  INAX Satis kunnen e-krakers het spoelwater omhoog laten spuiten in plaats van omlaag. Grappig, maar dat lijkt alleen op het treiteren van de bewoners. Het bedrijf heeft al een ‘pleister’ voor dat beveiligingslek gemaakt.
Ja en dan zijn er natuurlijk de inmiddels gebruikelijke gaten in de ‘defensie’ van de slimtels. Op het Blackhat-congres liet Kevin McNamee, directeur van beveiligingsbedrijfKindsight Security Labs, zien hoe je via het spel Angry Birds een Android (de slimtel van Google) kan overnemen. Op die manier kon hij foto’s wissen of contactgegevens veranderen, zonder dat de eigenaar begreep wat er gebeurde. Je kunt wachtwoorden en e-berichten stelen van de Apple-simtel iPhone met de besturingsversie iOS7 via de voedingsadapter (het witte stroomdraadje). Je kunt rustig verder fantaseren: alle elektronische systemen die op de een of andere manier communiceren met de buitenwereld (en meestal doen ze dat, zeker de ‘slimme’) zijn kraakbaar. Hartgangmakers, vaak pacemakers genoemd, zijn dat, bijvoorbeeld ook. Barnaby Jack, die in de VS bekendheid kreeg doordat hij een geldautomaat zijn kostbare inhoud ontfutselde zonder daarbij het saldo van zijn bankrekening te verminderen, zou de congresgangers laten zien hoe je met een e-kraak van een hartgangmaker of een ander implantaat met communicatiemogelijkheden, iemand zou kunnen vermoorden. Jack, een dertiger, stierf voor hij zijn verhaal kon houden. Hoe is niet duidelijk. Het lijkt op het begin van een spannende thriller.
Is het dan allemaal zo link? De soep wordt meestal niet zo heet gegeten als ie wordt opgediend, maar onvermijdelijk lokken de ‘slimme’ systemen e-krakers met aanzienlijk mindere edele motieven dan die van Barnaby Jack (hij werd voor ethische kraker versleten). Volgens Miller hebben we de aanvallen tegen webrauzers nog steeds niet kunnen voorkomen, ondanks dat al vele jaren vele bedrijven bezig zijn een manier te vinden dat euvel met wortel en tak uit te roeien.”We zouden iets moeten doen voordat het echt fout gaat en ondertussen gebruik ik wel mijn auto en mijn koelkast.” Ik heb geen auto en mijn koelkast is, gelukkig, niet ‘slim’: hij koelt, heeft een thermostaat en voert het dooiwater af. Niks slims aan.

Bron: New York Times (foto NYT)

Aanbieders versleutelde e-post VS stoppen er mee

Geplaatst op door
Beantwoorden

Twee Amerikaanse bedrijven die versleutelde e-post voor klanten versturen hebben zich genoodzaakt gevoeld hun activiteiten te staken. Een van de twee, het Texaanse Lavabit, werd door klokkenluider Edward Snowden gebruikt. Het andere, Silent Circle in Maryland, zou staatshoofden tot zijn klanten kunnen rekenen, zo meldt de New York Times. Beide bedrijven vrezen, waarschijnlijk terecht, dat ze niet immuun zijn voor de geheime gerechtelijke bevelen om de versleutelde berichten te ontsluiten voor overheidsdiensten als de NSA. Volgens de Amerikaanse krant zou Lavabit-eigenaar Ladar Levison hebben gesuggereerd, niet uitdrukkelijk gezegd, dat het bedrijf zo’n bevel had gekregen. Hij gaf aan dat hij niet mocht praten over de gebeurtenissen die tot zijn beslissing hebben geleid. “Zoals de zaken nu liggen, kan ik mijn ervaringen van de laatste zes weken niet delen, ook al heb ik twee keer een deugdelijk verzoek in gediend (dat wel te mogen: as)”. In een brief op de stek geeft Levison aan de strijd tegen de ingrijpende overheidsbemoeienis juridisch te willen voortzetten.

Oprichters Silent Circle De oprichters van Silent Circle. Links Mike Janke.

Silent Circle-eigenaar Mike Janke zei nog niet zo’n bevel te hebben gehad, maar het zekere voor het onzekere genomen te hebben. Dat gebeurde nogal drastisch door de server waarop de versleutelde berichten stonden te vernietigen. In juni gaf Janke in de Washington Post nog te kennen dat het NSA-schandaal hem veel klanten had opgeleverd. Opmerkelijk is dat Silent Circle ook klanten had bij de overheid. Over aantallen wilde hij niet praten. Lavabit had 140 000 klanten, waaronder 70 bedrijven. De Amerikaanse organisatie die de elektronische burgerrechten verdedigt, EFF, benadrukte nog maar eens dat er meer duidelijkheid moet komen voor internetgebruikers over de geheime gerechtelijke bevelen.

Bron: New York Times

Motie NSA-schandaal te beëindigen verworpen

Geplaatst op door
Beantwoorden
Keith Alexander

NSA-baas Keith Alexander lobbyde om de NSA-motie van tafel te krijgen (foto: http://eyebama.onehumanbeing.com/2013/07/)

Het Amerikaanse Huis van Afgevaardigden heeft met een nipte meerderheid een motie van de Republikeinse afgevaardigde Justin Amash verworpen (205 voor 217 tegen), die beoogde de verzameldrift van de veiligheidsdienst NSA aan banden te leggen. Volgens Amash verzamelt de overheid gegevens van mensen die op geen enkele manier verdacht zijn. Volgens zijn partijgenoot Mike Rogers zou het aannemen van de motie Amerika weer terugwerpen naar 10 september (2001).
Obama heeft er hard aan getrokken om de motie verworpen te krijgen. Hij liet, onder meer, NSA-baas Keith Alexander lobbyen tegen de motie.  Een woordvoerder van het Witte Huis verklaarde dat de motie geen voorbeeld is van een geïnformeerd, open en vrij proces. De woordvoerder vergat daarbij te vermelden dat het afluisterprogramma van de NSA ook niet aan die criteria voldoet, zo meldt het webblad Wired.

De wet waarop de NSA zijn afluister’bevoegdheid’ op baseert is de, inmiddels, sterk omstreden Patriot Act en vooral sectie 215 daarvan. Die geeft een geheime veiligheidsrechtbank het recht veiligheidsdiensten te autoriseren massale afluistercampagnes uit te voeren (met in begrip van banktransacties, artsen en telefoonmaatschappijen). Eerdere pogingen om de wet aan te passen of af te voeren zijn steeds gestuit op hardnekkig verzet. Obama vindt de bevoegdheden nodig voor het bewa(k)(r)en van ’s lands veiligheid. Burgers hebben volgens de Amerikaanse regering niet het recht de Amerikaanse overheid hierover op het matje te roepen, betoogde de regering voor een federale rechtbank waar een zaak loopt die burgers tegen de regering hebben aangespannen over de rechtmatigheid van de massale afluisterpraktijken van de NSA. Dat zou in publieke belang zijn, aldus de regering.

Inmiddels lijkt de ‘aanstichter’ van het NSA-schandaal  een klein stukje gevorderd te zijn in zijn worsteling ergens ter wereld politiek asiel te krijgen. Hij mag voorlopig in Rusland blijven. Voorlopig is ie overigens nog niet van het luchthaventerrein af.
Wordt vervolgd.

Bron: Wired

Ontwikkelstek Apple gekraakt

Geplaatst op door
Beantwoorden

Ibrahim Baliç Het ontwikkelingscentrum van Apple, Dev Center, is mogelijk gekraakt, zo valt te lezen op The Next Web. Apple heeft de stek, die gebruikt wordt om toepassingen te maken voor Mac OS X (computers) en iOS (mobiel) gesloten om de beveiliging te verbeteren, zo heeft Apple laten weten. Het is onduidelijk of er (persoons)gegevens of andere zaken zijn gestolen, maar tenminste een ethische (?) kraker heeft aangetoond dat dat probleemloos mogelijk was.
Het webblad Futura-Sciences vraagt zich af of het gevonden lek symptomatisch is voor Apple.  Onlangs werden er kwaadaardige programma’s voor de Mac aangetroffen met met officieel goedkeuringsstempel (Developer ID). Zijn onverlaten bezig Dev Center te gebruiken voor hun louche zaakjes?, vraagt Futura-Sciences zich af.
De verzekering van Apple dat er geen persoonlijke gegevens zijn ontvreemd wordt ontkend door Ibrahim Balic, een Turk werkzaam in Groot-Brittannië. Hij ontdekte 13 veiligheidslekken in Dev Center, waarover hij Apple infomeerde. Een van die lekken ging om de toegang tot gebruikergegevens. Ten bewijze daarvan had hij gegevens van 73 verzameld en naar Apple opgestuurd, allen Apple-medewerkers, stelt hij. De stek sloot abrupt vier uur nadat hij de lekken aan Apple had geopenbaard. Balic lucht zijn gal over het zijns inziens kwalijke gedrag van Apple op de stek TechCrunch. Hij zou gegevens van 100 000 gebruikers hebben kunnen verzamelen. Balic wil niet te boek staan als crimineel kraker en zegt de gegevens alleen maar te bewaren om te laten zien hoe de lekken kunnen worden misbruikt, maar, onder meer, de Australische nieuwsstek couriermail meldt dat Balic de kraker is. Noch Apple, noch Balic wilde op vragen van Futura-Sciences in gaan.

Bron: Futura-Sciences (foto couriermail.com.au)

Onderhuidse gezichtsherkenning laat zich niet bedotten.

Geplaatst op door
Beantwoorden

Wij, en dan vooral de overheid, is steeds driftiger op zoek naar methoden om een individu ‘nagelvast’ te koppelen aan een naam. We hebben vingerafdrukken, irisscans, gezichtsherkenning, maar die herkenningsmethoden zijn vrij makkelijk voor de mal de houden. Nu zou er een herkenningstechniek gevonden zijn niet met zich laat spotten: de onderhuidse gezichtherkenning. Het gaat dan om de structuur van de bloedvaten, waar, zo denken de Indiase ‘uitvinders’, moeilijk mee te rommelen valt.

Onderzoekers van de Jadavpur-universiteit  in India ontdekten dat dat bloedvatpatroon net zo individueel als de vingerafdruk of de iris. Gezichtsherkenning kun je ‘bedwelmen” met allerlei trucjes. Zo’n bloedvatafdruk (thermogram) is te maken met behulp een infraroodcamera. Ayan Seal en zijn collega’s ontwikkelden een algoritme, waarmee de details van het bloedvatpatroon zijn te analyseren. De thermogram laat zelfs de kleinste haarvaatjes zien met een nauwkeurigheid van 97%. Dat is ruim voldoende voor identificatie, zeker in combinatie met andere identificatiemiddelen als foto of burgerservicenummer. Gezichtsherkenning is een algemeen geaccpeteerde identificatiemethode, die nog eens verfijnd zou kunnen worden door de bloedvatafdruk. Je kunt nooit zeker genoeg zijn…

Bron: Eurekalert

Russische geheime dienst tikt weer

Geplaatst op door
Beantwoorden
De Russische geheime dienst FSO tikt weer (foto Le Monde)

Nieuw wapen Russische geheime dienst (foto Le Monde)

Het leven van een geheim agent wordt er met al die elektronische communicatiemiddelen niet eenvoudiger op. Jan en de NSA schijnen zich gulzig te goed te doen aan al dat elektronische lekkers. De Russische geheime dienst FSO heeft naarstig naar oplossingen gezocht om diefstal van geheim te blijven informatie te voorkomen. Die heeft de FSO nu: de tikmachine. Onlangs heeft de dienst 20 schrijfmachines gekocht, zo meldt het Russische dagblad Izvestia. Die beslissing is genomen na de heibel rond Wikileaks en het NSA-schandaal, zo schijnt het. Ook het Russische ministerie van defensie maakt nog volop gebruik van deze antieke manier van communiceren. “Alle elektronische communicatie is kwetsbaar”, zei Nikolaj Kovalev (ex-directeur van de FSB) tegen Izvestia. “Daarom krijgen de primitiefste communicatiemiddelen de voorkeur: de menselijke hand of de typemachine.”

Bron: Le Monde