Categorie archieven: Mobiele technologie

Bedrijven werpen dammen op tegen afluisteren NSA

Geplaatst op door
Beantwoorden

NSA
Het lijkt er op alsof het de grote (internet)bedrijven als Apple, Facebook of Google niks kan schelen of de gegevens van hun klanten door de NSA worden onderschept, maar volgens het webblad Wired is dat niet waar. De toegang tot Facebook via apps en webrauzers zou nu gecodeerd zijn (SSL). Het programma dat NSA gebruikte om het web af te struinen, X-Keyscore, is in de eerste plaats bedoeld om ongecodeerde informatie op te pikken. Als de NSA weer met een gerechtelijk bevel langs zou komen, zouden de gebruikers gewaarschuwd worden dat hun berichten mogelijk zouden worden onderschept.
Er zijn veel barrières in te bouwen voor een al te nieuwsgierige veiligheidsdienst. Zelfs met het oude SSL-codering wordt het al lastig voor de NSA. Vroeger kon de overheid zich verlaten op certificaatuitgevers, die de dienst, al of niet gedwongen, de decoderingssleutel zouden verstrekken, maar Google heeft al iets veranderd aan Chrome om dat risico te neutraliseren en ook Microsoft, heeft met zijn webrauzer Internet Explorer  plannen in die richting.
Ook op andere fronten wordt het steeds lastiger voor de arme geheime agenten, stelt Wired. Er zijn bedrijven die zich er op toeleggen de toegang tot informatie uitzonderlijk lastig te maken. De Amerikaanse overheid wil al lang wetten invoeren die bedrijven dwingen hun producten ‘onderschepbaar’ te maken. Dat lijkt me een vreemde wetgeving, die eist dat bedrijven niet hun best mogen doen. Maar ja, we hebben het wel over Amerika. Ook Apple zou in een handomdraai iets in elkaar kunnen zetten om de NSA (e.a.) de voet dwars te zetten door bijvoorbeeld de coderings- en verificatietechniek OTR in te bouwen in hun berichtenprotocol voor mobieltjes als iMessage. Nu is het voor de NSA geen enkel probleem berichten te onderscheppen als ze eenmaal met een gerechtelijk bevel kunnen zwaaien. Een nieuwe aangepaste versie van iOS, het besturingssysteem van de iPhone, en dag NSA. Tot nu toe is er nog geen wet die het Facebook, Apple, Microsoft en Google verbiedt. De wetten zijn wel in de maak om dat ‘ongeluk’ voor de NSA’s te verminderen, maar Obama heeft sedert het begin van het NSA-schandaal heel wat gas moeten terugnemen en het is de vraag of het Congres nog wel aan wil aan (nog) ruimere bevoegdheden voor veiligheidsdiensten.

Bron: Wired

Hoe we een huis of auto e-kraken

Geplaatst op door
Beantwoorden

12disrupt-span-tmagArticleHet inbreken in je privésfeer kan betrekking hebben op je e-correspondentie of op je bankrekening. Dat laatste kost je zeer waarschijnlijk geld. Er zijn echter veel profijtelijker zaken die je kunt e-kraken: een huis of een auto, bijvoorbeeld. Hoe zou het voelen als je met een gangetje van 100 km/u opeens de macht over je stuur kwijtraakt? Niet doordat je in een onbeheersbare slip terechtkomt, maar doordat iemand je auto elektronisch overneemt. De Amerikaanse krant de New York Times voert twee mannen op, die op een Blackhat-congres over computerbeveiliging in Las Vegas uit de doeken deden hoe je elektronisch het ‘stuur’ van een auto kunt overnemen. Charlie Miller, beveiligingsonderzoeker bij Twitter, en Chris Valasek, hoofd beveiligingsintelligentie bij beveiligingsbedrijf IOActive, lieten de congresgangers zien hoe ze de bestuurder het stuur ‘uit handen’ sloegen: de auto remde niet meer en reageerde vreemd op het stuur. Dat alles met een druk op de knop. Ze deden dat bij hybride auto (verbrandingsmotor/elektrisch), maar ze vertelden hun gehoor dat tientallen modellen dat ook had kunnen overkomen. Inbreken in je in-vak is leuk, maar leuker en (mogelijk) lucratiever is het elektronisch inbreken in auto of huis. “Als je een enkele computer in een auto hebt overgenomen, dan verdwijnt veiligheid door het raam”, zegt Miller. Moderne auto’s hebben zo’n 10 tot 40 computersystemen. Tot voor kort waren er mogelijkheden om in die systemen in te breken beperkt, maar doordat steeds meer auto’s met het wereldwijde web worden verbonden, wordt het allemaal een stuk makkelijker, aldus Miller. Het wordt natuurlijk helemaal link als de zelfbesturende auto’s hun entree maken, maar Miller en Valasek deden hun kunstjes met een Toyota Prius een een Ford Escape. We hoeven niet op die zelfstuurders te wachten (grappig is dat automobiel zelfbewegend betekent).
De auto is niet het kwetsbaarst volgens veiligheidsdeskundigen, maar het eigen huis, dat is voorzien van een elektronisch slot . Neem de Lockitron, een slot dat je kunt openen met je slimtel. Dat is een leuke klus voor handige inbrekers. Het bedrijf moet erkennen dat geen e-slot onfeilbaar is, ook al heeft het er alles aan gedaan, ook volgens onafhankelijke veiligheidskundigen, om maximale veiligheid te verwezenlijken.
De e-krakers kunnen ook tv’s en webcamera’s gebruiken om de bewoners van een huis af te luisteren en te zien wat ze aan het doen zijn. Belichting, ijskasten, wc-potten, niets is veilig voor e-krakers als die eenmaal in huis in hun ‘slimme’ uitvoering zijn geïntroduceerd. Bij de ‘slimme’ wc-pot  INAX Satis kunnen e-krakers het spoelwater omhoog laten spuiten in plaats van omlaag. Grappig, maar dat lijkt alleen op het treiteren van de bewoners. Het bedrijf heeft al een ‘pleister’ voor dat beveiligingslek gemaakt.
Ja en dan zijn er natuurlijk de inmiddels gebruikelijke gaten in de ‘defensie’ van de slimtels. Op het Blackhat-congres liet Kevin McNamee, directeur van beveiligingsbedrijfKindsight Security Labs, zien hoe je via het spel Angry Birds een Android (de slimtel van Google) kan overnemen. Op die manier kon hij foto’s wissen of contactgegevens veranderen, zonder dat de eigenaar begreep wat er gebeurde. Je kunt wachtwoorden en e-berichten stelen van de Apple-simtel iPhone met de besturingsversie iOS7 via de voedingsadapter (het witte stroomdraadje). Je kunt rustig verder fantaseren: alle elektronische systemen die op de een of andere manier communiceren met de buitenwereld (en meestal doen ze dat, zeker de ‘slimme’) zijn kraakbaar. Hartgangmakers, vaak pacemakers genoemd, zijn dat, bijvoorbeeld ook. Barnaby Jack, die in de VS bekendheid kreeg doordat hij een geldautomaat zijn kostbare inhoud ontfutselde zonder daarbij het saldo van zijn bankrekening te verminderen, zou de congresgangers laten zien hoe je met een e-kraak van een hartgangmaker of een ander implantaat met communicatiemogelijkheden, iemand zou kunnen vermoorden. Jack, een dertiger, stierf voor hij zijn verhaal kon houden. Hoe is niet duidelijk. Het lijkt op het begin van een spannende thriller.
Is het dan allemaal zo link? De soep wordt meestal niet zo heet gegeten als ie wordt opgediend, maar onvermijdelijk lokken de ‘slimme’ systemen e-krakers met aanzienlijk mindere edele motieven dan die van Barnaby Jack (hij werd voor ethische kraker versleten). Volgens Miller hebben we de aanvallen tegen webrauzers nog steeds niet kunnen voorkomen, ondanks dat al vele jaren vele bedrijven bezig zijn een manier te vinden dat euvel met wortel en tak uit te roeien.”We zouden iets moeten doen voordat het echt fout gaat en ondertussen gebruik ik wel mijn auto en mijn koelkast.” Ik heb geen auto en mijn koelkast is, gelukkig, niet ‘slim’: hij koelt, heeft een thermostaat en voert het dooiwater af. Niks slims aan.

Bron: New York Times (foto NYT)

Bril van Google is (was) ook al lek

Geplaatst op door
Beantwoorden


Eigenlijk is het natuurlijk gewoon een daad van gerechtigdheid. Googles modieuze brilletje blijkt zelf ook weer lek te zijn. Beveiligingsbedrijf Lookout, gespecialiseerd in de mobiele besturingssystemen Android van Google en iOS van Apple, vertelt op zijn blog dat een lek het mogelijk maakt De Bril  op afstand over te nemen via een simpele QR-code (een tweedimensionale streepjescode). In het voorbeeld dat Lookout geeft leest de Bril een QR-code in. Die zorgt er automatisch voor dat de Bril contact maakt met het  wifi-netwerk van, in dit geval, de ‘inbreker’. Nu kan de inbreker, bijvoorbeeld, zien welke foto’s de Brildrager doorstuurt en hij kan, als hij kwaad in de zin heeft,  in principe de controle over de Bril overnemen. Lookout heeft zijn bevindingen aan Google gemeld, die het lek gedicht schijnt te hebben. Het bedrijf legt er de nadruk op dat de Bril nog steeds in ontwikkeling is. Zo’n 10 000 proefpersonen lopen er mee rond. Dier proefperiode, die nog zeker een jaar zal duren, is juist bedoeld om dit soort zaken te ontdekken, stelt het bedrijf.  Al voor zijn werkelijke introductie ligt de Bril al zwaar onder vuur vanwege de implicaties die de draagbare webcomputer op de privesfeer zal hebben.


De video van Lookout

Bron: Futura-Sciences

Googles Bril ideaal spiongereedschap

Geplaatst op door
Beantwoorden

Het is al vaker opgemerkt. Leuk hoor die Bril van Google, maar je kunt je privacy nu dan toch wel definitief op je buik schrijven. ABC-News heeft het relaas van ene Chris Barrett, tevens documentairemaker die met de Bril, ongemerkt, een arrestatie filmde. Niemand had het in de gaten terwijl de situatie heel gespannen was, vertelde hij trots aan ABC. Alleen twee jongetjes vroegen of het de Bril was. Er zal, denkt hij, een nieuw soort burgerjournalisme ontstaan.
Er zijn nogal wat mensen die zich zorgen maken over de spiebril van Google. Barrett, tevens oprichter van PRServe.com zit er niet mee. “Voor sommigen is zo’n Bril beangstigend, maar mensen worden van elke nieuwe technologie zenuwachtig.” Google wilde niets zeggen. Zou Barrett zelf naar ABC zijn gegaan?

Bron: ABC News

Googles Bril geeft zich bloot

Geplaatst op door
Beantwoorden

De glazen indringer Over de Bril van Google zullen we voorlopig nog wel niet uitgesproken raken. Dat ding gaat ons raken. Dat wordt duidelijker nu allerlei slimpies toepassingen bedenken voor de computerbril, zo blijkt uit een webartikel van het Engelse populaire-wetenschapsblad New Scientist. Met computer doe je het hebbeding te kort. Er zitten ook bewegingssensoren in, een camera, een kompas, het is (of kan zijn) verbonden met het wereldwijde web, met je mobiel (via Bluetooth) enz. Dat enz. zijn de toepassingen, de wat tegenwoordig apps heet. Leuk voor de vogelaars is een app waarmee je vogels kunt herkennen en daarbij ook informatie krijgt uit een databank. Ik zie daar de zeer zeldzame zwarte wouw… Gesprekken gaan nooit meer als voorheen en dat deden ze al niet na de opkomst van het debieltje, sorry, mobieltje. Er is een appje om foto’s te delen. Handig als je moeilijk beslist en je je vrienden niet bij je hebt. Facebook kan niet ontbreken. Die diarree van ‘belevenissen’ en kiekjes zal nog eindelozer worden.
Je kunt, het is al gezegd, met je Bril dingen doen die je met je mobiel niet doet of durft te doen. Wie ziet je een foto of filmpje maken met die kekke Bril? Google zegt gezichtsherkenning gebannen te hebben, maar de eerste gezichtsherkenningsapp is er al: MedRefGlass, ontwikkeld door Lance Nanek in New York. Daarmee maak je een foto van iemand, laat die analayseren door een webherkenningsdienst BetaFace. Die vergelijkt de foto met die van andere patiënten en als die herkent wordt, dan komt het medische dossier met de informatie over de foto terug. Tot vorige week hadden ontwikkelaars alleen maar toegang tot de Bril via Mirror, waardoor ze niet bij de camera of andere sensors konden komen, maar er is natuurlijk weer een bijdehandje geweest die die barrière heeft geslecht. Google heeft inmiddels die ban opgeheven en dus is er nu Winky, waarmee de Brildrager foto’s kan maken met (en in) een oogwenk. Privacy? Hoe zo, privacy? Er zijn inmiddels al bedrijven actief – New Scientist noemt Stained Glass Labs en Glass Collective – die de ontwikkeling van Glass-apps ondersteunen. MedRefGlass en Winky zullen niet de laatste discutabele apps zijn.

Bron: New Scientist (foto: AP/PA)

Klinken op (Facebook)vriendschap

Geplaatst op door
Beantwoorden

Vriendenglas van Budweiser Soms wordt de glazen maatschappij wel heel letterlijk genomen. Budweiser Brazilië heeft een glas ontwikkeld waarmee je elkaars vrienden op smoelenboek wordt als je daarmee klinkt. Daar kan Google Glass van dromen. In het glas zit een stootsensor. In de bodem van het glas zit een QR-code van de eigenaar die ‘samenwerkt’ met een appje van de brouwerij die de code van de ‘aanstoter’ doorstuurt naar Facebook en elkaar wederzijds bevriend. Voorlopig is het Bud-glas een proef die alleen in Brazilië te proeven valt.

Bron: Wired

CBP maant AH en Whatsapp, NS en RET moeten dokken

Geplaatst op door
Beantwoorden

CBP-voorzitter Jacob Kohnstamm CBP-voorzitter Jacob Kohnstamm


Vervoersmaatschappijen NS en de Rotterdamse Elektrische Tram (RET) zijn het vorig jaar stevig aan hun taas getrokken vanwege overtreding van de wet bescherming persoonsgegevens, zo blijkt uit het onlangs verschenen jaarverslag van het College Bescherming Persoonsgegevens (CBP). De RET moest € 120 000 en NS € 125 000 betalen omdat ze de reisgegevens van hun klanten langer dan 24 maanden bewaarden. Beide bedrijven zouden de illegale gegevens hebben gewist en de boete hebben betaald. Het Amsterdamse vervoersbedrijf GVB heeft bezwaar aangetekend tegen de dwangsom. Die rechtzaak loopt nog.
Het vorig jaar heeft het CBP in 58 gevallen onderzoek gedaan naar overtreding van de wet bescherming persoonsgegevens en in 15 gevallen was het raak. Albert Heijn ging volgens het CBP te ver door in “Mijn bonus” gepersonifieerde aanbiedingen te doen op basis van het aankoopgedrag van de klant. Daar had AH toestemming van de klant voor moeten vragen. De winkelketen lijkt zijn leven gebeterd te hebben en is vooralsnog gestopt met de actie. Ook bleek dat AH anonieme bonuskaarten op naam bracht, nadat een houder van de anonieme kaart een webaankoop bij het bedrijf had gedaan en zijn anonieme kaart had gebruikt. Ook dat achtte het College niet in de haak en AH heeft nu op het web gezet wanneer anoniem niet meer anoniem is.
Ook de populaire mobiele dienst Whatsapp moest er aan geloven. Via het progje verstuurde berichten zijn niet versleuteld en kunnen, zonder dat de verzender of ontvanger dat merkt, door derden worden gelezen. Ernstiger is dat Whatsapp eist toegang te hebben tot het hele telefoonboek van de gebruikers (dus ook die van niet-whatsappers). Die kunnen niet kiezen. Alleen in iOS 6 van de iPhone van Apple is de gebruiker de baas. De versleuteling is inmiddels een feit, maar hoe en of Whatsapp de telefoonroof gaat beteugelen moet nog worden afgewacht. Het CBP en zijn Canadese collega-instituut, die samen het onderzoek hebben uitgevoerd, houden de vinger aan de pols.
Het jaarverslag maakt duidelijk hoe wijdverbreid het probleem van de bescherming van de privesfeer ligt. Dat geldt voor politiediensten zoals de centrale inlichtingeneenheden (cie) waar gegevens van ‘cliënten’ van de politie (te lang) worden bewaard, voor de gezondheidszorg, maar ook voor particuliere bedrijven en de belastingdienst, die onbekommerd inkomensgegevens verstrekt om het scheefwonen tegen te gaan. Uit het jaarverslag rijst het beeld op dat er veel verzameld, gekoppeld en ingezien wordt.
Het CBP zal het lopende jaar speciale aandacht besteden aan de transparantie van gegevensverwerkingen, toestemming van burgers, doelbinding en beveiliging. Daarnaast richt het College zich op profilering, bescherming van medische gegevens, gegevensverwerking binnen de arbeidsrelatie en bescherming van persoonsgegevens van kinderen, zo meldt de webstek.
We blijven het CBP met grote aandacht volgen.
Bron: Jaarverslag CBP

“Lekke apps ontwerpersfout”

Geplaatst op door
Beantwoorden
Het Chinese equivalent van Twitter Weibo

Veel apps ‘lekken’ gegevens en zouden een achterdeur kunnen zijn waardoor onverlaten zich toegang tot je slimme telefoon (slimtel) kunnen verschaffen. Dat is de conclusie van Liang (Dennis) Xu, student aan de universiteit van Californië (Davis), bij een globale analyse van een groot aantal (hij verzamelde er 120 0000) telefoonprogjes voor de Google-telefoon (Android). Dat is geen boos opzet, maar eerder onhandigheid, is het idee van de student. “Dat zijn ontwerpersfouten”, zegt Xu. “De code is bedoeld afgeschermd te zijn, maar is in werkelijkheid openbaar.” Xu heeft niet naar de apps van dde iPhone van Apple gekeken, maar vermoedt dat daar hetzelfde probleem speelt.
Om toegang te krijgen tot de apps moet de onverlaat eerst een stukje code op het beoogde toestel zien te krijgen. Die kan, bijvoorbeeld, verborgen in een overigens handige app zijn, als bijlage voor een e-bericht of via een webkoppeling.
Xu heeft met zijn hoogleraar informatica Zhendong Su en bezoekend hoogleraar Linfeng Liu van de Chinese  Xi’an Jiatong-universiteit een aantal relatief veel gebruikte progjes die heftig ‘lekten’ nader onderzocht. Handcent SMS is een berichten-app. Xu ontdekte dat een onverlaat ook toegang tot persoonlijke info van de app kan krijgen, inclusief de, met wachtwoord ‘beveiligde’, privéberichten.
WeChat is een babbeldienst die vooral in China populair is en die lijkt op soortgelijke diensten van Yahoo en AOL (America on Line). De dienst werkt op de achtergrond en meldt als er berichten zijn. De dienst kan met een kwaadaardige code uitgezet worden, terwijl de gebruiker denkt dat die nog steeds werkt.
Weibo, de Chinese tegenhanger van Twitter, blijkt ook gevoelig voor kwaadaardige code. Eenmaal op het beoogde toestel maakt de code de kwaadwillende mogelijk zelf berichtjes te sturen.

Kun je vliegtuigen met Android kapen?

Geplaatst op door
Beantwoorden

Blijkens een bericht in de Volkskrant zijn Kamerleden bang dat ook vliegtuigen elektronisch te kapen zijn.
Wassila Hachchi (D66) heeft staatssecretaris Wilma Mansveld gevraagd daar uitsluitsel over te geven.
De kwetsbaarheid van het vliegverkeer is de wereld in gekomen door uitspraken van beveiligingsdeskundige en opgeleid piloot Hugo Teso op het Hack in the Box-congres in Amsterdam, dat je met een app op een simpele Android-telefoon (PlaneSploit) het ‘roer’ van een vliegtuig kunt overnemen. Hij maakt daarbij misbruik van twee notoir onbetrouwbare communicatiesystemen in een vliegtuig: ADS-B dat informatie over het vliegtuig naar de luchtverkeersleiding stuurt en waarover het vlucht- en weergegevens ontvangt en ACARS dat berichten uitwisselt tussen vliegtuigen onderling en met vluchtleiders via radio en satelliet. Die systemen zijn gevoelig voor passieve en actieve aanvallen. Teso gebruikte ADS-B om doelen te kiezen en ACARS om gegevens te verzamelen over de boordcomputer en voor het afleveren van berichten om het ‘gedrag’ van het vliegtuig te beïnvloeden. Zo liet hij het vliegtuig een aantal opdrachten uitvoeren zoals “Ga hier heen’ en ‘Be punckish’ (een manier om vliegers aan te geven dat er stront aan de knikker is, compleet met knipperende lichten en alarmgeluid). Teso liet in zijn verhaal niet het achterste van zijn tong zien over de manier waarop hij was ingebroken. Vliegtuig te kapen met telefoon
Volgens Hachchi zou Teso beweert hebben dat hij de automatische piloot van het vliegtuig zou kunnen overnemen of laten neerstorten. Zij begrijpt niet waarom er in de luchtvaart met zulke oude en onbetrouwbare systemen wordt gewerkt, soms wel 40 jaar oud. Belangrijke barrière bij vernieuwing van dergelijke systemen in de luchtvaart is juist die veiligheid. De bestaande systemen hebben bewezen te werken en van de nieuwe moet dat nog maar eens worden aangetoond. Problemen bij de introductie van min of meer revolutionaire innovaties in de luchtvaart, zoals de A-380 van Airbus en de Dreamliner van Boeing, laten zien hoe gevoelig vernieuwing in die branche ligt.
Hachchi vindt dat Nederland in Europa moet aandringen op een snelle verbetering van de veiligheid van vliegtuigsystemen. “Nederland heeft een van de drukste luchthavens ter wereld, met onze veiligheid in de lucht moet niet gesjoemeld worden”, laat de Volkskrant haar zeggen.

Bron: De Volkskrant/net-security.org

Is er nog nieuws?

Geplaatst op door
Beantwoorden

Gemiddeld halen slimbelbezitters (smartphone) hun toestel 14 keer per dag te voorschijn om te kijken of er nog wat is gebeurd op Facebook, zo heeft onderzoek van het Amerikaanse studiebureau IDC uitgewezen. De Facebook-app zou daarmee na de meel-app en de browser-app de populairste slimbel-app in de VS zijn. Dat veelvuldige loeren kost de mobiele Facebookers zo’n half uur per dag. Het onderzoek, deels gesponsord door Facebook, is uitgevoerd bij een groep van 7 446 Amerikaanse slimbelgebruikers (Android en iOS) in de leeftijdsgroep tussen 18 en 44 jaar.
Bron: De Standaard