“Lekke apps ontwerpersfout”

Geplaatst op 17 april 2013 door arno s

Weibo

Veel apps ‘lekken’ gegevens en zouden een achterdeur kunnen zijn waardoor onverlaten zich toegang tot je slimme telefoon (slimtel) kunnen verschaffen. Dat is de conclusie van Liang (Dennis) Xu, student aan de universiteit van Californië (Davis), bij een globale analyse van een groot aantal (hij verzamelde er 120 0000) telefoonprogjes voor de Google-telefoon (Android). Dat is geen boos opzet, maar eerder onhandigheid, is het idee van de student. “Dat zijn ontwerpersfouten”, zegt Xu. “De code is bedoeld afgeschermd te zijn, maar is in werkelijkheid openbaar.” Xu heeft niet naar de apps van dde iPhone van Apple gekeken, maar vermoedt dat daar hetzelfde probleem speelt.
Om toegang te krijgen tot de apps moet de onverlaat eerst een stukje code op het beoogde toestel zien te krijgen. Die kan, bijvoorbeeld, verborgen in een overigens handige app zijn, als bijlage voor een e-bericht of via een webkoppeling.
Xu heeft met zijn hoogleraar informatica Zhendong Su en bezoekend hoogleraar Linfeng Liu van de Chinese Xi’an Jiatong-universiteit een aantal relatief veel gebruikte progjes die heftig ‘lekten’ nader onderzocht. Handcent SMS is een berichten-app. Xu ontdekte dat een onverlaat ook toegang tot persoonlijke info van de app kan krijgen, inclusief de, met wachtwoord ‘beveiligde’, privéberichten.
WeChat is een babbeldienst die vooral in China populair is en die lijkt op soortgelijke diensten van Yahoo en AOL (America on Line). De dienst werkt op de achtergrond en meldt als er berichten zijn. De dienst kan met een kwaadaardige code uitgezet worden, terwijl de gebruiker denkt dat die nog steeds werkt.
Weibo, de Chinese tegenhanger van Twitter, blijkt ook gevoelig voor kwaadaardige code. Eenmaal op het beoogde toestel maakt de code de kwaadwillende mogelijk zelf berichtjes te sturen.

Kun je vliegtuigen met Android kapen?

Geplaatst op 11 april 2013 door arno s

Beantwoorden

Blijkens een bericht in de Volkskrant zijn Kamerleden bang dat ook vliegtuigen elektronisch te kapen zijn.
Wassila Hachchi (D66) heeft staatssecretaris Wilma Mansveld gevraagd daar uitsluitsel over te geven.
De kwetsbaarheid van het vliegverkeer is de wereld in gekomen door uitspraken van beveiligingsdeskundige en opgeleid piloot Hugo Teso op het Hack in the Box-congres in Amsterdam, dat je met een app op een simpele Android-telefoon (PlaneSploit) het ‘roer’ van een vliegtuig kunt overnemen. Hij maakt daarbij misbruik van twee notoir onbetrouwbare communicatiesystemen in een vliegtuig: ADS-B dat informatie over het vliegtuig naar de luchtverkeersleiding stuurt en waarover het vlucht- en weergegevens ontvangt en ACARS dat berichten uitwisselt tussen vliegtuigen onderling en met vluchtleiders via radio en satelliet. Die systemen zijn gevoelig voor passieve en actieve aanvallen. Teso gebruikte ADS-B om doelen te kiezen en ACARS om gegevens te verzamelen over de boordcomputer en voor het afleveren van berichten om het ‘gedrag’ van het vliegtuig te beïnvloeden. Zo liet hij het vliegtuig een aantal opdrachten uitvoeren zoals “Ga hier heen’ en ‘Be punckish’ (een manier om vliegers aan te geven dat er stront aan de knikker is, compleet met knipperende lichten en alarmgeluid). Teso liet in zijn verhaal niet het achterste van zijn tong zien over de manier waarop hij was ingebroken. Vliegtuig te kapen met telefoon
Volgens Hachchi zou Teso beweert hebben dat hij de automatische piloot van het vliegtuig zou kunnen overnemen of laten neerstorten. Zij begrijpt niet waarom er in de luchtvaart met zulke oude en onbetrouwbare systemen wordt gewerkt, soms wel 40 jaar oud. Belangrijke barrière bij vernieuwing van dergelijke systemen in de luchtvaart is juist die veiligheid. De bestaande systemen hebben bewezen te werken en van de nieuwe moet dat nog maar eens worden aangetoond. Problemen bij de introductie van min of meer revolutionaire innovaties in de luchtvaart, zoals de A-380 van Airbus en de Dreamliner van Boeing, laten zien hoe gevoelig vernieuwing in die branche ligt.
Hachchi vindt dat Nederland in Europa moet aandringen op een snelle verbetering van de veiligheid van vliegtuigsystemen. “Nederland heeft een van de drukste luchthavens ter wereld, met onze veiligheid in de lucht moet niet gesjoemeld worden”, laat de Volkskrant haar zeggen.

Bron: De Volkskrant/net-security.org

FBI peilt verdachte met ‘nepmast’

Geplaatst op 9 april 2013 door arno s

Beantwoorden

De Amerikaanse identiteitsdief David Rigmaiden heeft onthuld hoe de FBI met behulp van een nepmast zijn doen en laten heeft kunnen achterhalen. Rigmaiden, die in 2010 berecht werd omdat hij de belastingen voor $ 4 miljoen getild zou hebben, schreef een dik rapport over de techniek van de FBI. Die geheime dienst had, in samenwerking met webaanbieder Verizon, de wifi-kaart van Rigmaidens computer gemanipuleerd, zodat de nepmast die de FBI had opgesteld om Rigmaidens locatie te Telecom-masten achterhalen, als normaal onderdeel van de infrastructuur werd gezien door Rigmaidens computer. Bovendien accepteerde de gemanipuleerde kaart gesprekken van de FBI, die op de achtergrond verliepen, waardoor de geheime dienst informatie over de locatie van de computer kreeg, maar ook het unieke ID-nummer en communicatiegegevens.
Om dat te kunnen doen had Verizon de kaart zo geprogrammeerd, dat als de FBI ‘belde’ het contact met een reguliere open webaansluiting werd verbroken, waarna de informatie werd verzonden naar Verizon, die die weer doorspeelde naar de FBl. Die kon dan in de buurt van de plaats waar de verdachte zich ophield een nepmast inrichten (in feite een simulator), die de communicatie van de legale aansluiting ‘stal’.
Om er voor te zorgen dat de wifi-kaart de nepmast accepteerde was die kaart zo aangepast dat de nepmast voor echt werd versleten.
De informatie van Rigmaiden in zijn 369 pagina’s tellende rapport, kwam, onder meer, van de Amerikaanse overheid. Die stond oorspronkelijk op het standpunt dat voor een dergelijke onderzoeksmethode geen vergunning van de rechter nodig was, omdat geen gespreksinhoud of teksten konden worden onderschept met deze techniek, maar schijnt in dit geval toch een handtekening bij een rechter gehaald te hebben, omdat Rigmaiden tot in zijn huis werd ‘achtervolgd’.
Amerikaanse burgerorganisaties zijn niet blij met de trapatsen van de FBI en vooral Verizon. “Het toont alleen maar hoe gek de technologie is en dat er heel wat aan de rechter uit te leggen valt”, zegt Hanni Fakhoury van Electronic Frontier Foundation in webblad Wire. “Dit is meer dan tegen Verizon zeggen “Geef ons wat belgegevens. Hier gaat het om het manipuleren van de eigendommen van een verdachte zonder de rechter te vertellen wat er aan de hand is.”
Bron: Wire

Amerikaanse Congres-leden halen ‘loervoorstel’ van stal

Geplaatst op 9 april 2013 door arno s

Beantwoorden

Twee leden van het Amerikaanse Huis van Afgevaardigden, de Democraat Dutch Ruppersberger en de Republikein Mike Rogers, stellen pogingen in het werk een gesneefd wetsvoorstel over het inzien van internetgegevens weer op de rol te krijgen, zo meldt De Volkskrant. Als het voorstel wet wordt, kunnen de overheid en bedrijfsleven probleemloos gegevens uitwisselen, waarbij de bedreiging van de webveiligheid het alibi zou moeten zijn. Eerder strandde het voorstel omdat de beoogde wet te veel een bedreiging zou zijn voor de privésfeer van internetgebruikers.
Het tweetal doet weer een poging omdat de laatste tijd veel Amerikaanse bedrijven en overheidsinstanties het slachtoffer zijn geworden van massale cyberaanvallen. Bij die aanvallen zou ook het Chinese leger een rol gespeeld hebben.
Tegenstanders van de wet merkten vorig jaar op dat gegevens over het internetverkeer van Amerikaanse staatsburgers na invoering van de nieuwe wet eenvoudig toegankelijk zouden worden voor inlichtingendiensten als de FBI en de nationale beveiligingsdienst NSA. De Amerikaanse overheid heeft al een grote greep op de informatiestromen op het web in, onder meer, de bankwereld.
Bron: De Volkskrant

Webkrakers hyperactief

Geplaatst op 8 april 2013 door arno s

Beantwoorden

Of ze vervelen zich de klere of er is wat anders aan de hand (alleen is dan onduidelijk wát): de aanval op Nederland is geopend, op cyber-Nederland. Nadat afgelopen week enkele banken, met als grootste slachtoffer de ING-bank, is getroffen door massa-aanvallen van webkrakers, lijkt nu De Telegraaf het slachtoffer te zijn van hackers, zo meldt het Parool. De Telegraaf was afgelopen zaterdag twee uur niet bereikbaar en heeft aangifte gedaan bij de politie. Overigens zouden de maaatregelen die de ING heeft getroffen tegen massaaanvallen succesvol zijn. Nieuwe aanvallen op de ING-stek zouden binnen 20 minuten (in plaats van uren voor eerdere aanvallen) zijn verholpen, zo meldt Trouw op 10 april j.l.
Massa-aanval op Nederlandse banken Ondertussen bericht dezelfde krant dat Belgische banken veel beter beschermd zouden zijn tegen cyberaanvallen dan de Nederlandse. Volgens de Belgische beveiligingsdeskundige Eddy Willems hebben in België de banken de informatie op verschillende servers gezet, waardoor een massawebaanval iets makkelijker te pareren is. Helemaal voorkomen kun je het niet, aldus de webdeskundige, omdat dat niet alleen afhangt van de infrastructuur en aanwezige beveiligingsfilters. “Het lijkt erop dat de aanval bij ING vooral werd veroorzaakt doordat heel veel machines op het zelfde moment inlogden op het internetbankieren-systeem. Daartegen kun je je echt heel moeilijk beveiligen.”, zei Willems in Het Parool. Toch loopt België wat Willems betreft wel voor op het gebied van internetbeveiliging. De kaartlezer die bij veel banken gebruikt moet worden bij internetbankieren is er al veel langer dan in Nederland en, volgens hem, daar ook net iets geavanceerder. De fraudecijfers met internetbankieren liggen er veel lager dan in Nederland: € 3 miljoen euro voor België tegen bijna € 35 miljoen in Nederland, aldus het Parool. Overigens moet hier wel bij worden opgemerkt dat de Belgische banken veel kleiner zijn dan de Nederlandse en dus minder aantrekkelijk voor webkrakers.

Bron: Parool; foto Parool

Ethische hackers VS achter tralies

Geplaatst op 20 maart 2013 door arno s

Beantwoorden

Andrew Auernheimer, een ‘ethische hacker’, heeft in beroep een celstraf gekregen van 3,5 jaar te volgen door drie jaar ondertoezichtstelling. In november vorig was Auernheimer, in hackerskringen bekend als weev, al door een lagere rechtbank schuldig bevonden aan identiteitsdiefstal en ongeautoriseerde toegang tot een computer. Auernheimer had in 2010 samen met compaan Phil Spitler een lek in een webstek van AT&T gevonden, waardoor ze het elektronisch @dres en de unieke identificatiecode (het ICC-ID) van meer dan 100 000 iPad-bezitters verkregen, waaronder de burgemeester van New York Bloomberg, zo laat webblad Wired weten.
Etisch hacker Andrew Auernheimer Via die verbinding kregen de iPad-bezitters toegang tot internet via het 3G-netwerk van AT&T. Om toegang te krijgen moesten de iPadders persoonlijke gegevens invullen, zoals hun @dres. AT&T koppelde het @dres aan de ICC-ID en elke keer als de gebruiker de stek gebruikte en de ICC-ID werd herkend, werd het @dres getoond. Door ICC-ID te geven, kregen ze automatisch het bijbehorende @dres. De webkrakers schreven een script (iPad 3G Account Slurper) om normale internetcontacten met de stek na te bootsen en wisten zo de bijbehorende gegevens te achterhalen.
Zoals ethische krakers betaamt, melden ze hun bevindingen. Dat deden ze niet bij AT&T maar bij gawker.com. AT&T verweet de krakers niet eerst naar het bedrijf te zijn gestapt met hun ontdekking en uit te zijn op eigen roem en het beschadigen van de reputatie van AT&T. Spitler bekende eind vorig jaar schuld, maar weev, de bijnaam van Auernheimer, ging in beroep.
De webkrakers zijn veroordeeld op basis van een wet die computerfraude en -misbruik moet tegengaan. Beveiligingsdeskundigen in de VS vrezen dat die wet zich tegen mensen keert die zwakke plekken in het systeem willen blootleggen.

Bron: Wire

‘Sovjets’ stelen gegevens van Michelle Obama

Geplaatst op 13 maart 2013 door arno s

Beantwoorden

Michelle Obama's pg gestolen Op een webstek met als extensie .su (van Sovjetunie) staan tal van gevoelige gegevens van Michelle Obama, vice-president Jo Biden en andere Amerikaanse beroemdheden zoals Mell Gibson en Beyoncé, zo meldt Le Monde. Het Amerikaanse OM en de FBI gaan een onderzoek instellen.
Van Obama’s echtgenote staan, voor Amerikanen zeer gevoelige, gegevens als haar sociale verzekeringsnummer, telefoonnummers en bankgegevens van TransUnion op de stek, zo meldt het Franse blad. De Amerikaanse president wilde in een gesprek met ABC niet toegeven dat persoonsgegevens van zijn vrouw waren gestolen, maar gaf wel aan dat diefstal van dat soort informatie een groot probleem is. Volgens TransUnion zijn er geen bankgegevens gestolen. Desalniettemin gaat het bedrijf een onderzoek instellen. Equifax, een ander slachtofferbedrijf, geeft toe dat onbevoegden toegang hebben gehad tot niet voor hen bedoelde gegevens. Noch Le Monde, noch ABC melden het webadres van de gewraakte stek.
Bron: Le Monde

Geplaatst in Gegegevensopslag, Gegevensdiefstal, Kraak, Persoonsgegevens | Getagged .su, Michelle Obama | Geef een reactie

Zijn slimme apparaten wel zo slim?

Geplaatst op 12 maart 2013 door arno s

Beantwoorden

Het is een bekend fenomeen: sinds de opkomst van de TomTom kennen we de weg niet meer. We verlaten ons op de technologie en verleren hoe het zonder moet. Apparaten moeten tegenwoordig slim zijn (of ‘smart’ zoals de anglowane wereld dat noemt). Dat is natuurlijk allemaal prachtig, maar aan al dat slimme gedoe zitten wel wat enge kantjes. Kantjes die niet ons niet alleen dommer maken, maar die ook effect hebben op onze handelingsvrijheid, die niet langer gestuurd worden door ons eigen brein, hoe imperfect en ‘gepredestineerd’ ook, maar door door anderen bedachte technologie. In een stuk in de Wall Street Journal vraagt Jevgeni Morozov de lezer of slim niet dom maakt. Slimme vorken kunnen ons vertellen of we te snel eten en ‘slimme’ auto’s maken zelfs het besturen overbodig. Hoe lang duurt het dan dat we die slimme technologie niet meer zien als handig hulpmiddel, bijvoorbeeld bij het inparkeren, maar als een stuk technologie waar we niet langer meer buiten kunnen? Kijk maar eens hoe ontregeld mensen raken als ze even niet van hun slimtel (meestal ‘smartphone’ genoemd) gebruik kunnen maken of als de computer het laat afweten. Google-topman zei in 2010 tegen een Australisch nieuwsprogramma, dat wereld helemaal stuk is. In Googles visie is die wereldse imperfectie te helen met behulp van technologie. Slimme technologie, natuurlijk.
Nou is het zelden zo dat technologie alle problemen oplost (meestal komen er nieuwe voor in de plaats), maar daar wil ik het niet over hebben. Die slimme technologie zal steeds dieper in onze privesfeer ingrijpen, waarbij we gedwongen worden dingen te doen die niet in ons belang zijn. Een simpel voorbeeld is de koopdwang die uitgaat van al die leuke appjes op je slimtel, die je vertellen dat je in de buurt van een van je favoriete restaurants bent of dat je nog maar 100 m van een Apple Store bent verwijderd. Morozow geeft het voorbeeld van verzekeringsmaatschappijen die klanten de gelegenheid geven hun rijgedrag te laten controleren via allerlei bijdehante technologie. Hoe lang zal het nog duren voordat de verzekering zo’n controlesysteem verplicht stelt? Iets soortgelijks doet zich voor bij de gentechnologie. Prachtig dat we voor een ‘habbekrats’ nu ons DNA kunnen ‘lezen’, maar voor ziektekostenverzekeraars is die informatie natuurlijk een ‘goudmijn’. ‘Aanleg’ voor borstkanker?, dan kost je dat extra premie.
In Nederland wordt als het over gevaren voor de privésfeer gaat door veel mensen altijd gezegd dat ze niks te verbergen hebben (en dus ook niets te vrezen) als er overal allerlei gegevens (relatief) makkelijk zijn te bekijken, maar aan die uitspraak kan niet al te veel denkwerk aan vooraf zijn gegaan. En denkwerk, nu word ik een tikje dramatisch, is iets dat ons door de technologie dreigt te worden afgenomen.; een zogenaamd slimme technologie bedacht door mensen (hoe lang nog?) die niet dezelfde belangen hebben als wij. “Echt slimme technologieën herinneren ons er aan dat we geen automaten zijn die systemen helpen bij het stellen en beantwoorden van vragen.” Hij denkt zelfs dat als ontwerpers van ‘slimme’ technologie daar niet bij stilstaan, die in de ‘slimme afvalbak’ terecht zullen komen (Google op ‘SmartBin’ om te zien wat dat is). Ik waag het te betwijfelen.

Geplaatst in Gegegevensopslag, Gegevensdiefstal, Geld, Identiteitsdiefstal, Kraak, Persoonsgegevens, Slimme technologie, Sociale media, Sociale technologie | Getagged DNA, SmartBin | Geef een reactie

Wie berooft er nog stenen banken?

Geplaatst op 8 maart 2013 door arno s

Beantwoorden

BitInstant, een van de webdiensten van Bitcoin, is zo’n 12 500 dollar lichter gemaakt. De webboeven hoefden alleen maar de geboorteplaats en moedersnaam van een Bitcoin-deelnemer te hebben om toegang te krijgen tot de DomeinNaamServer. Via die server wisten ze een nieuw wachtwoord aan te maken, de boel om te leiden naar een server in Oekraïne en de BitInstant-rekening leeg te halen. Die was niet via een tweetrapssysteem beveiligd (zoiets als een gebruikersnaam en een wachtwoord en TAN-code). Een gebruikersnaam en wachtwoord voldeden. Bitcoin heeft beterschap beloofd. Het is niet de eerste keer dat Bitcoins werden geroofd. Het vorig jaar
BitCoinica zo’n 60 000 Bitcoins lichter gemaakt, het equivalent van een paar honderdduizend dollar.
Het aardige is dat de min of meer ideële organisatie zich beroemt op de veiligheid van dit directe webbetalingssysteem.
Bron: Wire

Geplaatst in Beveiliging, Gegevensdiefstal, Geld, Kraak | Getagged BitCoins | Geef een reactie

Chinees leger verdacht van grootscheepse kraakacties

Geplaatst op 20 februari 2013 door arno s

Beantwoorden

Volgens het Amerikaanse bedrijf Mandiant is het Chinese leger betrokken bij grootscheepse cyberinbraken bij bedrijven in de VS. Deze zogeheten Sjanghai-groep (ook wel Comment Crew genoemd) kon weliswaar niet onomstotelijk gelokaliseerd worden in een gebouw van de Chinese legereenheid 61398, maar volgens Mandiant is er geen andere verklaring voor aanvallen van uit zo’n klein gebied zoals dat is getraceerd.
De groep heeft imiddels al vele terabytes aan informatie van bedrijven als Cocoa-Cola gestolen, maar richt zich de laatste tijd steeds meer op bedrijven die een rol spelen in de Amerikaanse nutsvoorzieningen zoals elektriciteitsbedrijven en de watervoorziening. De groep zou ook een rol gespeeld hebben bij de cyberaanval op beveiligingsfirma RSA, die vertrouwelijke informatie van commerciële en overheidsbedrijven afschermt.
De Chinese overheid laat weten dat zij zich niet onledig houdt met computerinbraak en dat die onwettig is. Ook wijst China er op dat ook in Amerika vele computerkrakers actief zijn. Volgens Amerikaans beveiligers zijn er in China zo’n 20 cyberinbreekgroepen actief die banden lijken te hebben met de legereenheid

Bron: NYT

Geplaatst in Gegevensdiefstal, Kraak | Getagged China, Militair | Geef een reactie

Bericht navigatie

← Oudere berichten

Nieuwere berichten →

januari 2026

M D W D V Z Z

1 2 3 4

5 6 7 8 9 10 11

12 13 14 15 16 17 18

19 20 21 22 23 24 25

26 27 28 29 30 31

« dec
Recente reacties
arno s op Vijf manieren om een bank te beroven via het web
henk op Vijf manieren om een bank te beroven via het web
henk op Vijf manieren om een bank te beroven via het web
lesson plans op Rekenmodel zou staatsondersteunde webaanvallen voorspellen
Thema’s
Thema’s

Koppelingen

Bits of Freedom

Gekwetter

Gezichtsherkenning (Engels)

Waarschuwingsdienst

In de wolken

achterdeurtjes

Amerika

Android

Apple

AVG

Barrack Obama

België

China

Donald Trump

Duitsland

e-krakers

Edward Snowden

EU

Facebook

FBI

Frankrijk

GCHQ

Google

Hengelen

Huawei

iOS

iPhone

Iran

kunstmatige intelligentie

kwaadaardige programmatuur

kwetsbaarheden

kwetsbaarheid

lek

lekken

losgeldaanvallen

Microsoft

Nederland

NSA

NSA-schandaal

Oekraïne

politie

Rusland

Telegram

TikTok

Twitter

versleuteling

VPN

VS

Whatsapp

Windows

Knoppen

Login

Berichten feed

Reacties feed

WordPress.org

Niks te verbergen

We worden steeds beter in de gaten gehouden

Categorie archieven: Kraak

“Lekke apps ontwerpersfout”

Kun je vliegtuigen met Android kapen?

FBI peilt verdachte met ‘nepmast’

Amerikaanse Congres-leden halen ‘loervoorstel’ van stal

Webkrakers hyperactief

Ethische hackers VS achter tralies

‘Sovjets’ stelen gegevens van Michelle Obama

Zijn slimme apparaten wel zo slim?

Wie berooft er nog stenen banken?

Chinees leger verdacht van grootscheepse kraakacties