Afluisteren moeilijker gemaakt met nieuw type kwantumkryptografie

Geplaatst op door
Beantwoorden

kwantumkryptografieOnderzoekers van het Toshiba-lab in Cambridge (Engeland) hebben een artikel gepubliceerd in het wetenschaps-blad Nature over beveiliging van gegevens-uitwisseling. Ze zouden het voor elkaar hebben dat een groep gebruikers zich kan bedienen van coderingssleutels, gebaseerd op de experimentele techniek van de ‘kwantumsleutelverdeling’. Die techniek zou praktischer en minder duur zijn dan de bestaande versleutelingstechnieken die gebaseerd zijn op priemgetallen. Bovendien zouden nu meer gebruikers dan voorheen gezamenlijk die techniek kunnen toepassen`: 64 ipv 2.
De techniek voorkomt het afluisteren niet, maar dient als een soort inbraakalarm dat aanslaat als er iemand meeluistert op een optisch netwerk. Veel versleutelingssystemen berusten op de mogelijkheid dat twee computergebruikers een geheime sleutel gebruiken om hun gegevens te versleutelen. Bij het Toshiba-systeem gaat het om het meten van uiterst korte pulsjes kwantumlicht in een glasvezelsysteem bij verschillende gebruikers.

Het versleutelen gaat in conventionele systemen om het gebruik van heel lange getallen. Die getallen moeten, met het groeien van de rekensnelheid van computers, steeds langer worden om een enigszins adequate beveiliging te geven. Kwantumkryptografie werkt met versleuteling in een stroom kwantuminformatie (fotonen die op een bepaalde manier gepolariseerd zijn, bijvoorbeeld). Als een derde meeluistert wordt dat meteen opgemerkt. “Een van de aantrekkelijke kanten van kwantumkryptografie is dat veiligheid komt met de natuurwetten”, zeg  Andrew J. Shields, onderdirecteur van Toshiba Research Europe. “Die is in principe altijd veilig.” De huidige coderingssystemen werken over beveiligde kabelverbindingen, maar die zijn duur en in lengte beperkt. Gebruik van kwantumkryptografie in een netwerk zou de beveiliging van de gegevensoverdracht aanzienlijk goedkoper maken.
Dat wil niet zeggen dat met dit systeem alle beveiligingsproblemen zijn opgelost. “Het gaat om de beveiliging van communicatie in een glasvezelnetwerk“, zegt Shields. “Er zijn andere gebieden waar de problemen blijven bestaan.” Shields wilde niet zeggen of Toshiba van plan is het systeem te commercialiseren. Zijn onderzoeksgroep werkt nu aan uitbreiding van het aantal gebruikers en toepassing in een bestaand (glas)vezelnetwerk.

Bron: New York Times (foto: qz-com)

China zet digitaal leger op

Geplaatst op door
Beantwoorden
De baas van persbureau Nieuw China met zijn krab

De baas van persbureau  Nieuw China Li Congjun met zijn krab

Het lijkt er op of China de publieke opinie digitale oorlog heeft verklaard. In de Franse krant Le Monde wordt gerefereerd aan een verslag in de South China Morning Post van een vergadering van partijpropagandisten waarin president XI Jinping wordt opgevoerd die pleit voor het vormen van een sterk leger om te strijden aan front van de nieuwe media. Het officiële persbureau Nieuw China komt ook met die berichtgeving zonder de oorlogszuchtige kwalificatie te noemen. Deze ‘oorlogsverklaring’ verklaart volgens de krant de jongste ontwikkelingen op dit terrein, met name de arrestaties van verschillende internetters die geruchten zouden hebben verspreid en in verband met andere ontwikkelingen rond Weibo (het Chinese twitter). Een van de gearresteerden, de Chinese Amerikaan Xue Manzi, is aangehouden vanwege veelvuldige hoerenbezoek, maar het lijkt er op dat dat een voorwendsel is. Afgelopen woensdag stelde de baas van Nieuw China, Li Congjun, dat gepubliceerd werd in het Volksdagblad, het orgaan van de communistische partij, dat “(we) er werk van moeten maken om de controle over de publieke opinie over te nemen.(…) Het met harde hand handhaven van de principes van de partij is een belangrijke voorwaarde.”

Bron: Le Monde

 

NSA kiest routers als doelwit

Geplaatst op door
Beantwoorden

Routers

Routers zijn kwetsbaar

De Amerikaanse veiligheidsdienst NSA houdt zich niet bezig  met het kleine grut, maar richt zijn pijlen op grotere computersystemen in het buitenland, zo meldt het webblad Wired op gezag van de Washington Post. Het jongste bericht van klokkenluider Edward Snowden dat geopenbaard is laat zien dat de dienst niet geïnteresseerd is in losse computers. De NSA speurt naar routers en schakelingen in de infrastructuur van het web, waar beveiliging niet bijzonder waterdicht is.
Het NSA-programma Genie lijkt het vooral gemunt te hebben op netwerken om de communicatielijnen te kunnen volgen en te sturen, zo valt te lezen in de Washington Post. In het totaal ging het in 2011 om 231 aanvallen. Dat betekende niet alleen dat op computers programma’s en bestanden werden geplaatst, maar ook op routers en webtra’s (firewalls). Dan gaat het om tienduizenden machines per jaar. Volgens de krant zouden er plannen bestaan dat aantal uit te breiden naar miljoenen, met als belangrijkste doelwit de routers. Via routers is toegang tot een heel netwerk van computers te krijgen. Het ging daarbij vooral om systemen in China, Rusland, Noord-Korea en Iran, de bekende vijanden van de VS. Toegang tot routers is vooral zo aantrekkelijk omdat die niet voortdurend worden bijgewerkt met de nieuwste beveiligingsprogrammatuur. Het schijnt ook zo te zijn dat de beveiligingssystemen van routers niet melden als er wordt ingebroken in het systeem.

Via de routers valt niet alleen de communicatie af te luisteren, maar ook om die te manipuleren. Zo zouden berichten tegengehouden kunnen worden, de dataroute kunnen worden aangepast of extra (dis)informatie kunnen worden ingelast. Volgens het geopenbaarde document hebben informatici van de CIA en de NSA ‘sjablonen’ om in routers, schakelaars en webtra’s van een bepaald type via een ‘achterdeur’  te kraken. Om in te kunnen breken in een netwerk werd soms door de CIA of militaire inlichtingendiensten ter plekke apparatuur gekoppeld of werden programma’s gewijzigd. Dat klinkt als een spannend, ouderwets spionageverhaal. De NSA schrijft ook aangepaste programmatuur voor specifieke kraakprojecten.

In het verleden is al vaker naar de kwetsbaarheid van routers gekeken. In 2005 ontdekte beveiligingsdeskundige  Mike Lynn kwetsbaarheden in het besturingssysteem Cisco IOS, waarmee miljoenen routers over de hele wereld werken. Het zwakke punt van de toen nieuwe versie van Cisco iOS was dat iemand een worm kon invoeren, waarmee iedere router waar die worm langs kwam kon worden stilgelegd. Ook kon de e-kraker de controle over al het verkeer overnemen, met de mogelijkheid te lezen, op te slaan, te veranderen of simpelweg te voorkomen dat een bericht de geadresseerde bereikt. Nadat de kwetsbaarheid was ontdekt heeft het zes maanden geduurd eer de fout kon worden hersteld. Lynn wilde er op het krakerscongres Black Hat in Las Vegas over berichten, maar Cisco dreigde hem met de rechter. Als Lynn de kwetsbaarheid al kende, dan kun je gevoegelijk aannemen dat er meer waren, met name diensten als de NSA of criminele krakers. Het achterhalen van kwetsbaarheden is een grote sport in de webwereld, waar ook nogal wat geld mee gemoeid is. Je zou zeggen dat als het ‘lek’ eenmaal gedicht is, dat dan snel zijn waarde verliest, maar zolang systeembeheerders hun systemen niet voortdurend bijwerken, zijn die ‘achterdeurtjes’ in een systeem vaak nog jaren te gebruiken. De Conficker-worm, bijvoorbeeld, kon computers nog jaren lang besmetten nadat Microsoft een ‘pleister’ (patch) had gemaakt. Dat routers niet voortdurend worden bijgehouden heeft er mee te maken dat systeembeheerders er op vertrouwen dat hun systeem geen doelwit is of omdat ze bang zijn dat de aanpassingen voor problemen zullen gaan zorgen.

Bron: Wired (foto: Wired)

NSA bespioneerde ook politieke kopstukken Latijns-Amerika

Geplaatst op door
Beantwoorden
Braziliaans president Dilma Rousseff

Braziliaans president Dilma Rousseff

Volgens het Braziliaanse tv-station Globo zou de Amerikaanse veiligheidsdienst NSA niet alleen talloze burgers hebben afgeluisterd, maar ook de presidenten van Brazilië Dilma Roussef en van Mexico Enrique Peña Nieto. Kort na het openbaarmaken van geheime NSA-documenten over de wereldwijde spionage-activiteiten van de dienst door ex-NSA-huurling Richard Snowden in juli, publiceerde het dagblad O Globo over de afluisterpraktijken van de NSA in Brazilië. De onthulling van Globo gaat nog een stukje verder. De informatie komt uit een rapport van juni 2012 over een manier om toegang te krijgen tot gegevens in Brazilië en Mexico, zo meldt het Franse dagblad Le Monde.  In het rapport wordt onthuld dat de NSA toegang heeft gehad tot de webstekken die Rousseff op het wereldwijde web heeft bezocht. Rousseff, die in oktober een bezoek aan de VS zal brengen, bestudeert de zaak. “Als het waar is”, zei Braziliaans minister van justitie Jose Eduardo Cardozo, “dan is dat onaanvaardbaar, een daad die kan worden beschouwd als een aantasting van onze soevereiniteit.”

Het onderscheppen van gegevens van Enrique Peña Nieto, die in december president van Mexico werd, vond plaats toen hij nog presidentskandidaat was. De NSA onderschepte zijn e-berichten en luisterde zijn telefoongesprekken af, met name die waarin namen van kandidaat-ministers werden genoemd. De Braziliaanse minister van justitie ontmoet deze week de Amerikaanse vice-president Joe Biden om over de kwestie te praten. De VS hebben een Braziliaans voorstel van de hand gewezen om tot een bilateriaal accoord over spionageactiviteiten te komen.
Bron: Le Monde

Google en Microsoft willen openheid over FISA-bevelen

Geplaatst op door
Beantwoorden

GooglePresident Obama voelt nattigheid. Hij belooft nu elk jaar een overzicht te geven van de afluister-praktijken van de eigen geheime diensten, maar Google en Microsoft, normaal gesproken dikke concurrenten, vinden dat in een gezamenlijk optreden lang niet ver genoeg gaan. De bedrijven willen veel meer kwijt over wat de gerechtelijke bevelen precies inhouden waarmee de geheime diensten als de NSA op hun netten inbreken. Zo willen de bedrijven, bijvoorbeeld, kunnen melden of er verzoeken zijn gehonoreerd om inhoud van informatie te bekijken of dat het ‘alleen maar’ gaat om het verzamelen van metagegevens zoals wie met wie, gespreksduur of lengte bericht. Brad Smith, advocaat van Microsoft, vindt die informatie wezenlijk. “Zonder die informatie is elke discussie onvolledig.” Al in juni zijn beide bedrijven onafhankelijk van elkaar naar de rechter gestapt om hun klanten te mogen informeren over verzoeken tot afluisteren van telefoon- en webverkeer.
Dat Microsoft gemene zaak maakt met Google is tamelijk pikant. “Beide bedrijven zijn echter bezorgd over de onwil van de overheid openheid van zaken te geven over de FISA-bevelen.” Google liet al eerder in brieven aan de landsadvocaat en de FBI doorschemeren dat ook de overheid baat heeft bij openheid. “We vragen u te helpen het mogelijk te maken aantallen verzoeken van de veiligheidsdiensten te mogen geven en ook de doelen. De getallen waar Google mee te maken heeft zijn duidelijk lager dan de speculaties die nu rondgaan. Google heeft niks te verbergen.” Google is al begonnen met informatie te geven over de ‘veiligheidsbrieven’  (NSL) die het bedrijf ontvangt. Het wil iets soortgelijks doen met de gerechtelijke bevelen die komen van de geheime rechtbanken.
Smith meldt dat Microsoft met de overheid heeft onderhandeld over openbaarmaking, maar dat die onderhandelingen zijn mislukt. Voor Microsoft is de stap naar de rechter dan een logische. Het bedrijf hoopt dat het Amerikaanse parlement druk zal uitoefenen op de regering om technologiebedrijven als Microsoft het recht te geven die gegevens rond veiligheidsverzoeken op een goed manier te mogen onthullen.

Bron: Wired

Bedrijven werpen dammen op tegen afluisteren NSA

Geplaatst op door
Beantwoorden

NSA
Het lijkt er op alsof het de grote (internet)bedrijven als Apple, Facebook of Google niks kan schelen of de gegevens van hun klanten door de NSA worden onderschept, maar volgens het webblad Wired is dat niet waar. De toegang tot Facebook via apps en webrauzers zou nu gecodeerd zijn (SSL). Het programma dat NSA gebruikte om het web af te struinen, X-Keyscore, is in de eerste plaats bedoeld om ongecodeerde informatie op te pikken. Als de NSA weer met een gerechtelijk bevel langs zou komen, zouden de gebruikers gewaarschuwd worden dat hun berichten mogelijk zouden worden onderschept.
Er zijn veel barrières in te bouwen voor een al te nieuwsgierige veiligheidsdienst. Zelfs met het oude SSL-codering wordt het al lastig voor de NSA. Vroeger kon de overheid zich verlaten op certificaatuitgevers, die de dienst, al of niet gedwongen, de decoderingssleutel zouden verstrekken, maar Google heeft al iets veranderd aan Chrome om dat risico te neutraliseren en ook Microsoft, heeft met zijn webrauzer Internet Explorer  plannen in die richting.
Ook op andere fronten wordt het steeds lastiger voor de arme geheime agenten, stelt Wired. Er zijn bedrijven die zich er op toeleggen de toegang tot informatie uitzonderlijk lastig te maken. De Amerikaanse overheid wil al lang wetten invoeren die bedrijven dwingen hun producten ‘onderschepbaar’ te maken. Dat lijkt me een vreemde wetgeving, die eist dat bedrijven niet hun best mogen doen. Maar ja, we hebben het wel over Amerika. Ook Apple zou in een handomdraai iets in elkaar kunnen zetten om de NSA (e.a.) de voet dwars te zetten door bijvoorbeeld de coderings- en verificatietechniek OTR in te bouwen in hun berichtenprotocol voor mobieltjes als iMessage. Nu is het voor de NSA geen enkel probleem berichten te onderscheppen als ze eenmaal met een gerechtelijk bevel kunnen zwaaien. Een nieuwe aangepaste versie van iOS, het besturingssysteem van de iPhone, en dag NSA. Tot nu toe is er nog geen wet die het Facebook, Apple, Microsoft en Google verbiedt. De wetten zijn wel in de maak om dat ‘ongeluk’ voor de NSA’s te verminderen, maar Obama heeft sedert het begin van het NSA-schandaal heel wat gas moeten terugnemen en het is de vraag of het Congres nog wel aan wil aan (nog) ruimere bevoegdheden voor veiligheidsdiensten.

Bron: Wired

Opstelten grootste schender privacy (vindt ‘publiek’)

Geplaatst op door
Beantwoorden

© anp. Minister van Veiligheid en Justitie Ivo Opstelten.

Minister Ivo Opstelten van Veiligheid en Justitie is volgens het Nederlands publiek de ‘grofste privacyschender’ van het afgelopen jaar. Hij kreeg daarom gister de Publieksprijs bij de Big Brother Awards die de digitale burgerrechtenbeweging Bits of Freedom jaarlijks uitreikt.
Opstelten viel in de prijzen vanwege zijn ‘desinteresse voor privacy”, aldus de organisatie. BoF wijst op Opsteltens omstreden terughackvoorstel, waarbij politie en justitie de mogelijkheid krijgen om in te breken op computers van verdachten. Ook zijn voorstel om kentekengegevens 4 weken op te slaan om zo de pakkans van criminelen te vergroten, vindt geen genade in de ogen van Bits of Freedom.
Naast de minster waren ook de eigen ‘NSA”, de Algemene Inlichtingen- en Veiligheidsdienst (samen met de echte NSA), en de verwerker van betalingsverkeer Equens genomineerd voor de Publieksprijs, maar de minister won ‘met een ruime meerderheid van de stemmen”.
De Belastingdienst kreeg  de Expertprijs. Die wordt toegekend door een groep deskundigen op het gebied van privacy en veiligheid. De Belastingdienst krijg de ‘prijs’ voor het ongeoorloofd gebruiken van kenteken- en parkeergegevens die door andere instanties zijn verzameld en eigenlijk vernietigd hadden moeten worden. Opmerkelijk is dat er op de stek van de prijs en van BoF nu nog niets te vinden is over de toekenning.

Bron: De Volkskrant

Veiligheidsdiensten VS hebben meer dan $ 50 miljard te verteren

Geplaatst op door
Beantwoorden
Zwart geld veiligheidsdiensten

Uitgaven VS voor spionageactiviteiten in 2013. De Amerikaanse veiligheidsdiensten zijn kennelijk beduchter voor verspreiding van wapens (13%) dan voor cyberaanvallen (8%) (afb: Washington Post)

De Amerikaanse veiligheidsdiensten maken zich drukker om massavernietigingswapens (6,7 miljard dollar oftewel iets meer dan 5 miljard euro) dan om cyberaanvallen (4,3 miljard dollar oftewel 3,25 miljard euro), zo blijkt uit onderzoek van de Amerikaanse krant de Washington Post. De totale uitgaven voor de veiligheidsdiensten in de VS, de zwarte begroting, zou dit jaar 52,6 miljard dollar (rond 40 miljard euro) bedragen. De Amerikaanse belangrijkste geheime diensten hadden alles bij elkaar ruim 107 000 mensen in dienst, waarvan het leeuwendeel (bijna 84 000) bij de CIA met de NSA op de tweede plaats (23 400). Iets meer dan 20 miljard dollar (ruim 15 miljard euro) gaat naar activiteiten die tot doel hebben Amerikaanse overheidsdienaren en burgers te waarschuwen voor gevaren, zowel economische als fysieke. Ruim 17 miljard dollar (bijna 13 miljard euro) is bedoeld voor bestrijding van terrorisme.
Die 52,6 miljard dollar is een stijging sedert 2004 met meer dan 50% voor zowel de CIA als de NSA. De grootste stijger in procenten is echter het spionnagesatelietprogramma met een groei sedert 2004 van 108%. De eerlijkheid gebiedt te zeggen dat de uitgaven ten opzichte van vorig jaar iets zijn teruggelopen.

Bron: Washington Post (zie ook Wired)

 

Syrisch e-leger ‘overvalt’ NY Times en Twitter

Geplaatst op door
Beantwoorden

Syrische e-legerDe webstek van de New York Times heeft er op de nacht van dinsdag op woensdag twee uur uit gelegen als gevolg van een cyberaanval, zo meldt de Franse krant Le Monde. Ook de kwetterdienst Twitter zou zijn aangevallen door het zich noemende Syrische elektronische leger (SEA), een groep jonge e-krakers die de Syrische tiran Basjar al-Assad steunt.
Onbekend is wie er achter de aanvallen schuil gaat. De groep is al twee jaar actief. Ze heeft al diverse cyberaanvallen opgeëist, onder meer op de webstekken van CNN en Time. Half augustus zou het SEA de stek hebben platgelegd van  het bedrijf Outbrain dat teksten levert voor kranten als de Washington Post.
Het Twitter-profiel van de fotodienst van het Franse persbureau AFP, de enige met een bureau in Damascus, zou net als de BBC-profielen op de sociale media, die van Al-Jazeera en de Financial Times er last van hebben gehad. Volgens een woordvoerster van de New York Times was die aanval er wel degelijk. Twitter meldde dat zijn fotodienst Twimg.com verstoord is geweest als gevolg van problemen met domeinnamen, maar dat geen informatie van gebruikers zou zijn onderschept. De aanval zou zijn gedaan via domeinregistratie. De aanval op het Australische domeinregistrator MelbourneIT, die onder veel meer Twimg.com ‘huisvest’ doet vrezen dat de Syrische e-krakers zich op hoog niveau toegang tot de servers van het bedrijf hebben kunnen verschaffen. Als ze eenmaal in dat systeem zitten, kunnen ze de toegang tot een domeinserver blokkeren zoals dus bij Twimg.com het geval was.  Deze manier van kraken is redelijk geavanceerd, waarbij er van moet worden uitgegaan dat de fout niet bij MelbourneIT lag. Het is echter onwaarschijnlijk dat de cyberaanval een directe reactie zou zijn op de dreiging met militaire actie van het Westen tegen Syrië, zo stelt Le Monde. Daarvoor gaat er te veel tijd mee heen.

Bron: Le Monde (foto: Le Monde)

Zonder id-kaart weer naar school

Geplaatst op door
Beantwoorden

Het Texaanse meisje Andrea Hernandez wordt weer toegelaten op haar school in San Antonio, zo meldt het webblad Wired. Ze was in januari van school gestuurd, omdat ze weigerde een identiteitskaart voorzien van een afleesbare chip te dragen. Het meisje had een proces tegen de school aangespannen, maar dat verloor zij. Ze bezocht sedertdien een school die geen toegangscontrole had met id-kaarten. Andrea is nu weer toegelaten tot haar oude school, omdat die het een jaar oude controlesysteem overboord heeft gezet. De school beweerde dat het controlesysteem er was om spijbelen tegen te gaan. Die opzet werd niet gehaald, omdat alleen de toegang tot het terrein werd geregistreerd, maar niet of de leerling ook daadwerkelijk de lessen volgde.
De weigering van het meisje was gebaseerd op religieuze gronden. Ze zei dat de kaart de satan was of het teken van het beest uit het bijbelboek Openbaringen. De rechter die besliste over de rechtmatigheid van Andrea’s weigering stelde dat ze  niet in haar godsdienstige rechten was aangetast. Het aanbod de RIFD-chip uit de id-kaart te verwijderen weigerde het meisje. De school van Andrea beschikt over 200 camera’s om het schoolterrein in de gaten te kunnen houden.

Bron: Wired