Categorie archieven: Kryptografie

Nu weer een lek in SSL 3.0 ontdekt: poedel

Geplaatst op door
Beantwoorden
Poedel

Foto: PinQerton.com

In het 15 jaar oude versleutelingsssyteem SSL 3.0 is een lek ontdekt, waardoor een kraker informatie uit versleutelde verbindingen kan stelen. Hiermee zou die, bijvoorbeeld, de sessie van een regulier gebruiker kunnen overnemen. Ondanks zijn hoge leeftijd wordt SSL 3.0 nog veel gebruikt. Alle surfprogramma’s ondersteunen het. Het verdient de voorkeur de mogelijkheid te blokkeren SSL 3.0 in je websurfer te gebruiken. Met Chrome had ik problemen. met Firefox was het een fluitje van een cent (beide op de Mac). Overigens zit de oplossing van het probleem vooral bij de beheerders van de servers van kwetsbare instellingen als banken. Lees verder

FBI-baas noemt versleutelen telefoons ‘gevaarlijk’

Geplaatst op door
Beantwoorden
James Comey

FBI-directeur James Comey

FBI-directeur James Comey heeft kritiek op de beslissing van Apple en Google om hun slimtels te versleutelen, zodat onverlaten als de FBI niet meer ongenood in het toestel kunnen rondneuzen. Volgens Comey is dat gevaarlijk en er daardoor zouden zelfs levens op het spel worden gezet. De Amerikaanse overheid zou met de twee bedrijven in gesprek zijn over hun plannen met versleuteling. De FBI-hotemetoot zei dat in een gesprek met journalisten donderdag op  het hoofdkwartier van de FBI. Lees verder

Nieuwe lek(jes) in OpenSSL ontdekt

Geplaatst op door
Beantwoorden

OpenSSL lekt weerNadat enige tijd geleden bekend werd dat het open versleutelings-systeem OpenSSL al jaren lek was, blijken er maar liefst zes kwetsbare plekken in het systeem te zijn ontdekt door een Japanse onderzoeker. Dat is een paar dagen geleden bekend gemaakt door de OpenSSL Foundation. Het zou gaan om kwetsbaarheden waarbij iemand tussen computer en server kan dringen (het middenmanscenario). Het lek zou minder ernstig zijn dan Heartbleed en ook zou er nog geen code openbaar zijn gemaakt waarmee van dit lek gebruik gemaakt kan worden, wat overigens niet betekent dat er geen misbruik van deze nieuwe kwetsbaarheid is gemaakt. De fout zou al aanwezig geweest zijn vanaf de lancering van OpenSSL aan het eind van de jaren ’90. Lees verder

Rus zou via web $ 100 mln hebben geroofd

Geplaatst op door
Beantwoorden
Evgeni Bogasjev

Het arrestatiebevel

Een bekende Russische e-kraker is er door de Amerikaanse justitiële autoriteiten van beschuldigd samen met handlangers via het web voor meer dan $ 100 miljoen (ruim € 70 miljoen) te hebben geroofd. De man, Evgeni Bogasjev, zou wachtwoorden en rekeningnummers hebben achterhaald. Hij zou handlangers hebben gehad in Rusland, Oekraïne en het Verenigd Koninkrijk. H Lees verder

Camera Nokia gebruikt als toevalsgenerator

Geplaatst op door
Beantwoorden
Nokia N9

De Nokia N9, of althans het fototoestel van 8 megapixels, blijkt een nuttige en goedkope kwantumgetallengenerator te zijn

Nicolas Gisin en collega’s aan de universiteit van Genève hebben het fototoestel van Nokia N9 gebruikt bij wijze van willekeurige-kwantumgetallengenerator. Zo’n systeem wordt gebruikt in de cryptografie ter bescherming van (digitale) communicatie en andere gegevensoverdracht, zo legt de onderzoeker uit in arxiv, maar is nogal duur. De N9-camera heeft een ‘resolutie’ van 8 miljoen beeldpunten. Daarmee is deze vorm van gegevensbescherming uiterst betaalbaar geworden, zegt Gisin. Lees verder

Is zaak Heartbleed veel heisa om weinig?

Geplaatst op door
Beantwoorden
Wachtwoord weggeven

Heartbleed, veel gedoe om niks?

Er is een hoop heisa ontstaan na het bekend worden van het Heartbleed-lek in het webbeveiligings-systeem OpenSSL. Dat lek zou er al minstens twee jaar zitten. Een lezer van Switch, het blog van de Amerikaanse krant Washington Post, stelde dat al die herrie nergens om gaat. Niemand heeft over schade gejammerd, zegt de anonymus, die zijn wachtwoorden kenbaar maakte die hij gebruikte voor toegang tot diverse webstekken en voor zijn e-post. Lees verder

Heartbleed zou geen simpele coderingsfout (kunnen) zijn

Geplaatst op door
Beantwoorden

HeartbleedToen vorige week bekend werd dat het veel op internet gebruikte beveiligings-systeem OpenSSL al jaren lek was, bekende de Duitse programmeur Robin Seggelmann deemoedig dat dat zijn fout was en hij maakte zijn excuses aan de hele webgemeenschap. In the Guardian twijfelt  of dat wel kan kloppen. OpenSSL is open programmatuur, dat wil zeggen dat iedereen over de hele wereld de broncode daarvan kan veranderen. Fouten in open programmatuur worden meestal razendsnel ontdekt. Er zouden mensen weet van hebben gehad van Heartbleed en het lek hebben misbruikt of voor het verzamelen van persoonsgegevens om die later te kunnen misbruiken. Lees verder

NSA zou niks van Heartbleed hebben geweten

Geplaatst op door
Beantwoorden
inspecteur Clouseau

Is NSA nog klunziger dan stuntel Clouseau?

De Amerikaanse geheime dienst NSA ontkent van het lek in Heartbeat (onderdeel van het veel gebruikte beveiligingssysteem OpenSSL) te hebben geweten. Nieuwsstek Bloomberg meldde dat de NSA de laatste twee jaar het lek zou hebben gebruikt. Het Witte Huis en de heet bureau van de baas van de veiligheidsdiensten meldde in navolging van wat de NSA verklaarde, dat ze niet van het lek gehoord hadden tot deze maand toen het nieuws naar buiten werd gebracht door een werknemer van Google.  “Als de federale overheid, met inbegrip van de veiligheidsdiensten, dit lek eerder dan vorige week hadden ontdekt, dan zouden we dat hebben doorgegeven aan de organisatie die verantwoordelijk is voor OpenSSL”, zei een woordvoerder van de Nationale Veiligheidsraad. De ontkenningen zouden behoorlijk krachtig zijn voor een organisatie die zich gewoontegetrouw hult in mist. Volgens de (anonieme) bronnen van Bloomberg News wist de NSA al minstens twee jaar dat het lek, Heartbleed gedoopt, de mogelijkheden biedt om gevoelige informatie te stelen. Privésfeerverdedigers zeiden dat als dat waar was, het ze niet zou verwonderen. Het klinkt ook bijzonder ongeloofwaardig dat een dienst die alles in het werk stelt om iedereen digitaal te bespioneren, dat kadootje niet zou hebben uitgepakt. Als ze er niks van zouden hebben geweten is deze dure dienst nog klungeliger dan Peter Sellers bekende alter ego Clouseau.

Bron: Washington Post

Webbeveiliging blijkt al twee jaar lek

Geplaatst op door
Beantwoorden
Heartbleed-stek

ing.nl blijkt niet kwetsbaar te zijn, evenals diverse andere Nederlandse banken

Er schijnt weer een groot en vreselijk lek te zijn ontdekt te zijn op internet. Het beveiligingssysteem OpenSSL, herkenbaar aan het slotje naast de adresbalk, waar ook banken gebruik van maken, is bedoeld te voorkomen dat er cruciale, persoonsgebonden gegevens ‘weglekken’. Volgens de Amerikaanse webstek The Verge zou een op de drie beveiligde stekken kwetsbaar zijn voor inbraak. Ook zou de SSL-sleutel voor het (de)coderen van berichten daarmee op straat liggen. Via dit lek kunnen onverlaten en andere boeven zich toegang tot de gegevensopslag van de server verschaffen of zelfs eigen programmatuur op de server plaatsen. Het lek schijnt al zo’n twee jaar te bestaan, maar is nu pas ontdekt. Wie of wat er van dat lek misbruik gemaakt heeft, is onbekend. Lees verder

Zwarte markt voor e-krakers groeit volgens Rand Corp

Geplaatst op door
Beantwoorden

cybermisdaadDe markt voor e-krakers-gereedschap bloeit volop, volgens een rapport van het Amserikaanse bedrijf Rand Corp. Die zou een toenemend gevaar zijn voor bedrijven, overheden en loslopende individuen. Nog in december afgelopen jaar werden via het Amerikaanse winkelbedrijf Target de creditkaartgegevens van 40 miljoen klanten gestolen en 70 miljoen gebruikersprofielen werden gekaapt. Binnen een paar dagen waren die gegevens te koop via het wereldwijde web. Lees verder