Categorie archieven: Kraak

Twitter zet extra slot op deur

Geplaatst op door
Beantwoorden

Tweede slot op Twitter Het was al aangekondigd nadat Barack Obama volgens een AP-twitterbericht gewond was geraakt bij een aanval (maar niet heus): Twitter gaat de boel beter beveiligen. Naast gebruikersnaam en wachtwoord moet er een aparte code worden ingevuld die de gebruiker krijgt toegestuurd naar je mobiel (iets als een TAN-code bij banktransacties op het web). Als je die extra beveiliging op je kwetterplaats wil hebben dan je die mogelijkheid zelf aanvinken (“om een verificatiecode vragen als ik inlog”). Gevoelig punt is dat je dan weer je mobiele nummer aan Twitter kwijt bent….

Bron: Wired

Google weer gekraakt

Geplaatst op door
Beantwoorden

En weer is er bij Google ingebroken door Chinezen. Nadat in 2010 de Amerikaanse zoekgigant heeft toegegeven dat er digitaal was ingebroken, zwijgt Google nu in alle talen. Volgens de Washington Post zou het gaan om dezelfde krakers. Die waren op zoek naar gegevens over Chinese industriespionnen in Amerika. Google heeft een databank met gegevens (ook gerechtelijke bevelen) over zaken die bij de Amerikaanse overheid onderzocht worden, waarbij Google een rol speelt. Kennelijk wilden de krakers weten of de Amerikaanse opsporingsdiensten hun spionnen al in de smiezen hadden. De inbrekers vonden Google kennelijk een makkelijker doelwit dan de gerechtelijke databanken. Onduidelijk is hoeveel de krakers hebben meegekregen, maar de Washington Post haalt anonieme deskundigen aan die zeggen dat ze op het punt stonden belangrijke informatie te verzamelen, wat nog niet hetzelfde is dat ze die informatie ook gekregen hebben. Als krakers eenmaal binnen zijn in zo’n databank, zouden ze ook gegevens kunnen wissen of valse informatie kunnen plaatsen.
Ook de servers van Microsoft zouden zijn belaagd. Ook daar waren de krakers op zoek naar informatie over gerechtelijke stappen tegen mensen met een hotmail-abonnement. Microsoft reageerde wel, anders dan de FBI en, zoals gezegd, Google. Reageerders zeiden het vreemd te vinden dat Google dat soort informatie in een databank stopten die ‘gehangen is aan een publiek netwerk (namelijk internet).

Bron: Washington Post

VS beschuldigen China weer van webspionnage

Geplaatst op door
Beantwoorden

Amerika beschuldigt de Chinese overheid en Chinese militairen er van regelmatig in commputersystemen van de Amerikaanse overheid rond te neuzen, zo blijkt uit het jaarverslag van het Pentagon. De Chinezen zouden daar op zoek zijn naar informatie over economische, militaire en diplomatieke zaken, zo meldt de BBC. De Chinese overheid wijst, eens te meer, de beschuldigingen verontwaardigd van de hand. Het persbureau Xinhua citeert kolonel Wang Xinjun, een onderzoeker van het Volksleger, die stelt dat zowel China als de VS slachtoffer zijn van webspionnage en dat het beter zou zijn als beide landen zouden samenwerken om die ‘inbraken’ in de toekomst te voorkomen.
Hoewel de VS China al veel langer verdenken van het inbreken in Amerikaanse computersystemen, kwam het tot dit jaar maar zelden tot expliciete beschuldigingen. Die Amerikaanse voorzichtigheid schijnt nu tot het verleden te behoren. Eerder dit jaar zou een gebouw van de Chinese militaire overheid zijn gelokaliseerd, van waaruit het Amerikaanse web zou zijn belaagd.
Volgens Jonathan Marcus, diplomatiek correspondent van de BBC, zullen de VS niet willoos toezien hoe China zijn computersystemen binnentrekt, maar in de tegenaanval gaan. Eerder hebben Amerikanen via het web een deel van het Iraanse kernenergieprogramma ‘onklaar’ gemaakt. Volgens Marcus een kleine voorproef van wat ons te wachten staat in deze webwereldoorlog.

Bron: BBC

“Lekke apps ontwerpersfout”

Geplaatst op door
Beantwoorden
Het Chinese equivalent van Twitter Weibo

Veel apps ‘lekken’ gegevens en zouden een achterdeur kunnen zijn waardoor onverlaten zich toegang tot je slimme telefoon (slimtel) kunnen verschaffen. Dat is de conclusie van Liang (Dennis) Xu, student aan de universiteit van Californië (Davis), bij een globale analyse van een groot aantal (hij verzamelde er 120 0000) telefoonprogjes voor de Google-telefoon (Android). Dat is geen boos opzet, maar eerder onhandigheid, is het idee van de student. “Dat zijn ontwerpersfouten”, zegt Xu. “De code is bedoeld afgeschermd te zijn, maar is in werkelijkheid openbaar.” Xu heeft niet naar de apps van dde iPhone van Apple gekeken, maar vermoedt dat daar hetzelfde probleem speelt.
Om toegang te krijgen tot de apps moet de onverlaat eerst een stukje code op het beoogde toestel zien te krijgen. Die kan, bijvoorbeeld, verborgen in een overigens handige app zijn, als bijlage voor een e-bericht of via een webkoppeling.
Xu heeft met zijn hoogleraar informatica Zhendong Su en bezoekend hoogleraar Linfeng Liu van de Chinese  Xi’an Jiatong-universiteit een aantal relatief veel gebruikte progjes die heftig ‘lekten’ nader onderzocht. Handcent SMS is een berichten-app. Xu ontdekte dat een onverlaat ook toegang tot persoonlijke info van de app kan krijgen, inclusief de, met wachtwoord ‘beveiligde’, privéberichten.
WeChat is een babbeldienst die vooral in China populair is en die lijkt op soortgelijke diensten van Yahoo en AOL (America on Line). De dienst werkt op de achtergrond en meldt als er berichten zijn. De dienst kan met een kwaadaardige code uitgezet worden, terwijl de gebruiker denkt dat die nog steeds werkt.
Weibo, de Chinese tegenhanger van Twitter, blijkt ook gevoelig voor kwaadaardige code. Eenmaal op het beoogde toestel maakt de code de kwaadwillende mogelijk zelf berichtjes te sturen.

Kun je vliegtuigen met Android kapen?

Geplaatst op door
Beantwoorden

Blijkens een bericht in de Volkskrant zijn Kamerleden bang dat ook vliegtuigen elektronisch te kapen zijn.
Wassila Hachchi (D66) heeft staatssecretaris Wilma Mansveld gevraagd daar uitsluitsel over te geven.
De kwetsbaarheid van het vliegverkeer is de wereld in gekomen door uitspraken van beveiligingsdeskundige en opgeleid piloot Hugo Teso op het Hack in the Box-congres in Amsterdam, dat je met een app op een simpele Android-telefoon (PlaneSploit) het ‘roer’ van een vliegtuig kunt overnemen. Hij maakt daarbij misbruik van twee notoir onbetrouwbare communicatiesystemen in een vliegtuig: ADS-B dat informatie over het vliegtuig naar de luchtverkeersleiding stuurt en waarover het vlucht- en weergegevens ontvangt en ACARS dat berichten uitwisselt tussen vliegtuigen onderling en met vluchtleiders via radio en satelliet. Die systemen zijn gevoelig voor passieve en actieve aanvallen. Teso gebruikte ADS-B om doelen te kiezen en ACARS om gegevens te verzamelen over de boordcomputer en voor het afleveren van berichten om het ‘gedrag’ van het vliegtuig te beïnvloeden. Zo liet hij het vliegtuig een aantal opdrachten uitvoeren zoals “Ga hier heen’ en ‘Be punckish’ (een manier om vliegers aan te geven dat er stront aan de knikker is, compleet met knipperende lichten en alarmgeluid). Teso liet in zijn verhaal niet het achterste van zijn tong zien over de manier waarop hij was ingebroken. Vliegtuig te kapen met telefoon
Volgens Hachchi zou Teso beweert hebben dat hij de automatische piloot van het vliegtuig zou kunnen overnemen of laten neerstorten. Zij begrijpt niet waarom er in de luchtvaart met zulke oude en onbetrouwbare systemen wordt gewerkt, soms wel 40 jaar oud. Belangrijke barrière bij vernieuwing van dergelijke systemen in de luchtvaart is juist die veiligheid. De bestaande systemen hebben bewezen te werken en van de nieuwe moet dat nog maar eens worden aangetoond. Problemen bij de introductie van min of meer revolutionaire innovaties in de luchtvaart, zoals de A-380 van Airbus en de Dreamliner van Boeing, laten zien hoe gevoelig vernieuwing in die branche ligt.
Hachchi vindt dat Nederland in Europa moet aandringen op een snelle verbetering van de veiligheid van vliegtuigsystemen. “Nederland heeft een van de drukste luchthavens ter wereld, met onze veiligheid in de lucht moet niet gesjoemeld worden”, laat de Volkskrant haar zeggen.

Bron: De Volkskrant/net-security.org

FBI peilt verdachte met ‘nepmast’

Geplaatst op door
Beantwoorden

De Amerikaanse identiteitsdief David Rigmaiden heeft onthuld hoe de FBI met behulp van een nepmast zijn doen en laten heeft kunnen achterhalen. Rigmaiden, die in 2010 berecht werd omdat hij de belastingen voor $ 4 miljoen getild zou hebben, schreef een dik rapport over de techniek van de FBI. Die geheime dienst had, in samenwerking met webaanbieder Verizon, de wifi-kaart van Rigmaidens computer gemanipuleerd, zodat de nepmast die de FBI had opgesteld om Rigmaidens locatie te Telecom-mastenachterhalen, als normaal onderdeel van de infrastructuur werd gezien door Rigmaidens computer. Bovendien accepteerde de gemanipuleerde kaart gesprekken van de FBI, die op de achtergrond verliepen, waardoor de geheime dienst informatie over de locatie van de computer kreeg, maar ook het unieke ID-nummer en communicatiegegevens.
Om dat te kunnen doen had Verizon de kaart zo geprogrammeerd, dat als de FBI ‘belde’ het contact met een reguliere open webaansluiting werd verbroken, waarna de informatie werd verzonden naar Verizon, die die weer doorspeelde naar de FBl. Die kon dan in de buurt van de plaats waar de verdachte zich ophield een nepmast inrichten (in feite een simulator), die de communicatie van de legale aansluiting ‘stal’.
Om er voor te zorgen dat de wifi-kaart de nepmast accepteerde was die kaart zo aangepast dat de nepmast voor echt werd versleten.
De informatie van Rigmaiden in zijn 369 pagina’s tellende rapport, kwam, onder meer, van de Amerikaanse overheid. Die stond oorspronkelijk op het standpunt dat voor een dergelijke onderzoeksmethode geen vergunning van de rechter nodig was, omdat geen gespreksinhoud of teksten konden worden onderschept met deze techniek, maar schijnt in dit geval toch een handtekening bij een rechter gehaald te hebben, omdat Rigmaiden tot in zijn huis werd ‘achtervolgd’.
Amerikaanse burgerorganisaties zijn niet blij met de trapatsen van de FBI en vooral Verizon. “Het toont alleen maar hoe gek de technologie is en dat er heel wat aan de rechter uit te leggen valt”, zegt Hanni Fakhoury van Electronic Frontier Foundation in webblad Wire. “Dit is meer dan tegen Verizon zeggen “Geef ons wat belgegevens. Hier gaat het om het manipuleren van de eigendommen van een verdachte zonder de rechter te vertellen wat er aan de hand is.”
Bron: Wire

Amerikaanse Congres-leden halen ‘loervoorstel’ van stal

Geplaatst op door
Beantwoorden

Twee leden van het Amerikaanse Huis van Afgevaardigden, de Democraat Dutch Ruppersberger en de Republikein Mike Rogers, stellen pogingen in het werk een gesneefd wetsvoorstel over het inzien van internetgegevens weer op de rol te krijgen, zo meldt De Volkskrant. Als het voorstel wet wordt, kunnen de overheid en bedrijfsleven probleemloos gegevens uitwisselen, waarbij de bedreiging van de webveiligheid het alibi zou moeten zijn. Eerder strandde het voorstel omdat de beoogde wet te veel een bedreiging zou zijn voor de privésfeer van internetgebruikers.
Het tweetal doet weer een poging omdat de laatste tijd veel Amerikaanse bedrijven en overheidsinstanties het slachtoffer zijn geworden van massale cyberaanvallen. Bij die aanvallen zou ook het Chinese leger een rol gespeeld hebben.
Tegenstanders van de wet merkten vorig jaar op dat gegevens over het internetverkeer van Amerikaanse staatsburgers na invoering van de nieuwe wet eenvoudig toegankelijk zouden worden voor inlichtingendiensten als de FBI en de nationale beveiligingsdienst NSA. De Amerikaanse overheid heeft al een grote greep op de informatiestromen op het web in, onder meer, de bankwereld.
Bron: De Volkskrant

Webkrakers hyperactief

Geplaatst op door
Beantwoorden

Of ze vervelen zich de klere of er is wat anders aan de hand (alleen is dan onduidelijk wát): de aanval op Nederland is geopend, op cyber-Nederland. Nadat afgelopen week enkele banken, met als grootste slachtoffer de ING-bank, is getroffen door massa-aanvallen van webkrakers, lijkt nu De Telegraaf het slachtoffer te zijn van hackers, zo meldt het Parool. De Telegraaf was afgelopen zaterdag twee uur niet bereikbaar en heeft aangifte gedaan bij de politie. Overigens zouden de maaatregelen die de ING heeft getroffen tegen massaaanvallen succesvol zijn. Nieuwe aanvallen op de ING-stek zouden binnen 20 minuten (in plaats van uren voor eerdere aanvallen) zijn verholpen, zo meldt Trouw op 10 april j.l.
Massa-aanval op Nederlandse bankenOndertussen bericht dezelfde krant dat Belgische banken veel beter beschermd zouden zijn tegen cyberaanvallen dan de Nederlandse. Volgens de Belgische beveiligingsdeskundige Eddy Willems hebben in België de banken de informatie op verschillende servers gezet, waardoor een massawebaanval iets makkelijker te pareren is. Helemaal voorkomen kun je het niet, aldus de webdeskundige, omdat dat niet alleen afhangt van de infrastructuur en aanwezige beveiligingsfilters. “Het lijkt erop dat de aanval bij ING vooral werd veroorzaakt doordat heel veel machines op het zelfde moment inlogden op het internetbankieren-systeem. Daartegen kun je je echt heel moeilijk beveiligen.”, zei Willems in Het Parool. Toch loopt België wat Willems betreft wel voor op het gebied van internetbeveiliging. De kaartlezer die bij veel banken gebruikt moet worden bij internetbankieren is er al veel langer dan in Nederland en, volgens hem, daar ook net iets geavanceerder. De fraudecijfers met internetbankieren liggen er veel lager dan in Nederland: € 3 miljoen euro voor België tegen bijna € 35 miljoen in Nederland, aldus het Parool. Overigens moet hier wel bij worden opgemerkt dat de Belgische banken veel kleiner zijn dan de Nederlandse en dus minder aantrekkelijk voor webkrakers.

Bron: Parool; foto Parool

Ethische hackers VS achter tralies

Geplaatst op door
Beantwoorden

Andrew Auernheimer, een ‘ethische hacker’, heeft in beroep een celstraf gekregen van 3,5 jaar te volgen door drie jaar ondertoezichtstelling. In november vorig was Auernheimer, in hackerskringen bekend als weev, al door een lagere rechtbank schuldig bevonden aan identiteitsdiefstal en ongeautoriseerde toegang tot een computer. Auernheimer had in 2010 samen met compaan Phil Spitler een lek in een webstek van AT&T gevonden, waardoor ze het elektronisch @dres en de unieke identificatiecode (het ICC-ID) van meer dan 100 000 iPad-bezitters verkregen, waaronder de burgemeester van New York Bloomberg, zo laat webblad Wired weten.
Etisch hacker Andrew Auernheimer Via die verbinding kregen de iPad-bezitters toegang tot internet via het 3G-netwerk van AT&T. Om toegang te krijgen moesten de iPadders persoonlijke gegevens invullen, zoals hun @dres. AT&T koppelde het @dres aan de ICC-ID en elke keer als de gebruiker de stek gebruikte en de ICC-ID werd herkend, werd het @dres getoond. Door ICC-ID te geven, kregen ze automatisch het bijbehorende @dres. De webkrakers schreven een script (iPad 3G Account Slurper) om normale internetcontacten met de stek na te bootsen en wisten zo de bijbehorende gegevens te achterhalen.
Zoals ethische krakers betaamt, melden ze hun bevindingen. Dat deden ze niet bij AT&T maar bij gawker.com. AT&T verweet de krakers niet eerst naar het bedrijf te zijn gestapt met hun ontdekking en uit te zijn op eigen roem en het beschadigen van de reputatie van AT&T. Spitler bekende eind vorig jaar schuld, maar weev, de bijnaam van Auernheimer, ging in beroep.
De webkrakers zijn veroordeeld op basis van een wet die computerfraude en -misbruik moet tegengaan. Beveiligingsdeskundigen in de VS vrezen dat die wet zich tegen mensen keert die zwakke plekken in het systeem willen blootleggen.

Bron: Wire

‘Sovjets’ stelen gegevens van Michelle Obama

Geplaatst op door
Beantwoorden

Michelle Obama's pg gestolenOp een webstek met als extensie .su (van Sovjetunie) staan tal van gevoelige gegevens van Michelle Obama, vice-president Jo Biden en andere Amerikaanse beroemdheden zoals Mell Gibson en Beyoncé, zo meldt Le Monde. Het Amerikaanse OM en de FBI gaan een onderzoek instellen.
Van Obama’s echtgenote staan, voor Amerikanen zeer gevoelige, gegevens als haar sociale verzekeringsnummer, telefoonnummers en bankgegevens van TransUnion op de stek, zo meldt het Franse blad. De Amerikaanse president wilde in een gesprek met ABC niet toegeven dat persoonsgegevens van zijn vrouw waren gestolen, maar gaf wel aan dat diefstal van dat soort informatie een groot probleem is. Volgens TransUnion zijn er geen bankgegevens gestolen. Desalniettemin gaat het bedrijf een onderzoek instellen. Equifax, een ander slachtofferbedrijf, geeft toe dat onbevoegden toegang hebben gehad tot niet voor hen bedoelde gegevens. Noch Le Monde, noch ABC melden het webadres van de gewraakte stek.
Bron: Le Monde