AP-profiel Twitter gekraakt, extra code moet krakers temmen

Geplaatst op door
Beantwoorden

Twitter gevoelig voor inbraakHet Witte Huis is met bommen bestookt en Obama is gewond, dat stond gister op het Twitter-profiel van het Amerikaanse persbureau Associated Press te lezen. Groot nieuws, maar later bleek het onzin te zijn. Het profiel was gekraakt door het Syrische elektronische leger, dat al eerder op elektronisch oorlogspad is geweest. Die stek blijkt nu uit de lucht te zijn.
Twitter wil beveiliging vergroten
Twitter heeft aangekondigd de profielen van de kwetteraars beter te zullen beveiligen tegen kraken, zo meldt het Amerikaanse webblad Wired. De gebruiker moet in de nieuwe situatie niet alleen een wachtwoord intikken, maar ook een soort TAN-code, die hij/zij krijgt toegestuurd via, bijvoorbeeld, sms. Volgens AP zou het wachtwoord zijn ‘opgevist’, maar met de nieuwe procedure zou dat geen, onoverkomelijk, probleem zijn. Het gaat nog om een proef. Onduidelijk is wanneer het nieuwe beveiligingsprotocol algemeen wordt. Hoogstwaarschijnlijk zullen ‘gevoelige’ profielen zoals die van AP of het Witte Huis het eerste aan bod zijn.

Bronnen: Le Monde, Wired

Politie beloert burgers

Geplaatst op door
Beantwoorden

Het afluister- en filmkastje dat vorige week door Ziggo in de Haagse Schilderswijk is ontdekt, blijkt van de politie te zijn, zo meldt De Volkskrant. Het kastje wordt gebruikt voor opsporingsonderzoek naar vermogenscriminaliteit, zo gaat de krant verder. Vermogensdelicten kunnen van alles zijn waar geld mee te maken heeft: van diefstal tot witwassen van geld. De politie zou toestemming hebben van het OM om burgers in de Haagse wijk te mogen bespieden, zegt de Volkskrant, maar dit voorval laat weer eens zien hoe makkelijk er toestemming gegeven wordt voor het registreren van handel en wandel van de burgers onder het mom van misdaadbestrijding. Bovendien dient een rechter-commissaris toestemming te geven. Laten we het er op houden dat De Volkskrant met dat OM in de fout gaat, maar dit voorval laat maar weer eens zien dat de Nederlandse overheid is, zeker in vergelijking met andere Europese landen, bijzonder makkelijk in het verlenen van vergunningen dit soort ‘bijzondere’ opsporingsmethoden.

Bron: De Volkskrant

Google levert ‘rouwzorg’

Geplaatst op door
Beantwoorden

Over je graf heen regeren (foto Wired) Is er leven na de dood? Wel degelijk. Ook na je dood zal er op het wereldwijde web nog van alles van je te vinden zijn en misschien had je wel een profiel bij Facebook of LinkedIn. Google, de zorgzame Google, die daar veel geld mee verdient, denkt aan alles. De webreus heeft een nieuw dienst in het leven geroepen Inactive Account Manager om onze dode accounts netjes op te ruimen, uiteraard als ze iets met Google te maken hebben. Had de overledene foto’s op Picasa, filmpjes op YouTube of documenten op Google Docs, de profielhouder mag die, na zijn/haar dood uiteraard, laten overbrengen naar een ‘erfgenaam’. In Europa zijn er plannen dergelijke persoonlijke bestanden na iemands dood te vernietigen of te anonimiseren. De dienst van Google zou een alternatief kunnen zijn.
Google is niet de eerste die zich met je digitale leven na je dood bemoeit. Het webblad Wired gaat een rijtje digitale rouwzorgers langs. Bcelebrated belooft je geliefden na je dood door jou opgeslagen persoonlijke berichten te sturen. Dead Man’s Switch, macabere naam, doet iets soortgelijks. En Apple, het zal eens niet, heeft zijn eigen mobiele rouwdienst, waarmee je de muziek en de foto’s van de grote momenten in je leven aan je geliefden kan (laten) sturen na je dood. Gelukkig wordt er ook in Nederland nagedacht wat er gedaan moet worden met de digitale geurvlaggen die we op het wereldwijde web hebben gezet. De kraaien zijn tegenwoordig overal…

Bronnen: Le Monde, Wire

CBP maant AH en Whatsapp, NS en RET moeten dokken

Geplaatst op door
Beantwoorden

CBP-voorzitter Jacob Kohnstamm CBP-voorzitter Jacob Kohnstamm


Vervoersmaatschappijen NS en de Rotterdamse Elektrische Tram (RET) zijn het vorig jaar stevig aan hun taas getrokken vanwege overtreding van de wet bescherming persoonsgegevens, zo blijkt uit het onlangs verschenen jaarverslag van het College Bescherming Persoonsgegevens (CBP). De RET moest € 120 000 en NS € 125 000 betalen omdat ze de reisgegevens van hun klanten langer dan 24 maanden bewaarden. Beide bedrijven zouden de illegale gegevens hebben gewist en de boete hebben betaald. Het Amsterdamse vervoersbedrijf GVB heeft bezwaar aangetekend tegen de dwangsom. Die rechtzaak loopt nog.
Het vorig jaar heeft het CBP in 58 gevallen onderzoek gedaan naar overtreding van de wet bescherming persoonsgegevens en in 15 gevallen was het raak. Albert Heijn ging volgens het CBP te ver door in “Mijn bonus” gepersonifieerde aanbiedingen te doen op basis van het aankoopgedrag van de klant. Daar had AH toestemming van de klant voor moeten vragen. De winkelketen lijkt zijn leven gebeterd te hebben en is vooralsnog gestopt met de actie. Ook bleek dat AH anonieme bonuskaarten op naam bracht, nadat een houder van de anonieme kaart een webaankoop bij het bedrijf had gedaan en zijn anonieme kaart had gebruikt. Ook dat achtte het College niet in de haak en AH heeft nu op het web gezet wanneer anoniem niet meer anoniem is.
Ook de populaire mobiele dienst Whatsapp moest er aan geloven. Via het progje verstuurde berichten zijn niet versleuteld en kunnen, zonder dat de verzender of ontvanger dat merkt, door derden worden gelezen. Ernstiger is dat Whatsapp eist toegang te hebben tot het hele telefoonboek van de gebruikers (dus ook die van niet-whatsappers). Die kunnen niet kiezen. Alleen in iOS 6 van de iPhone van Apple is de gebruiker de baas. De versleuteling is inmiddels een feit, maar hoe en of Whatsapp de telefoonroof gaat beteugelen moet nog worden afgewacht. Het CBP en zijn Canadese collega-instituut, die samen het onderzoek hebben uitgevoerd, houden de vinger aan de pols.
Het jaarverslag maakt duidelijk hoe wijdverbreid het probleem van de bescherming van de privesfeer ligt. Dat geldt voor politiediensten zoals de centrale inlichtingeneenheden (cie) waar gegevens van ‘cliënten’ van de politie (te lang) worden bewaard, voor de gezondheidszorg, maar ook voor particuliere bedrijven en de belastingdienst, die onbekommerd inkomensgegevens verstrekt om het scheefwonen tegen te gaan. Uit het jaarverslag rijst het beeld op dat er veel verzameld, gekoppeld en ingezien wordt.
Het CBP zal het lopende jaar speciale aandacht besteden aan de transparantie van gegevensverwerkingen, toestemming van burgers, doelbinding en beveiliging. Daarnaast richt het College zich op profilering, bescherming van medische gegevens, gegevensverwerking binnen de arbeidsrelatie en bescherming van persoonsgegevens van kinderen, zo meldt de webstek.
We blijven het CBP met grote aandacht volgen.
Bron: Jaarverslag CBP

Google verbiedt verkoop/uitleen van de Bril

Geplaatst op door
Beantwoorden

Google wil niet dat mensen die de magische Bril van Google uitproberen die verkopen of uitlenen. Het Amerikaanse webblad Wired, dat dit jaar zijn twintigste verjaardag viert, ontdekte die clausule in de gebruiksvoorwaarden die de eerste gebruikers van De Bril, die zo’n € 1200 kost, moesten tekenen. Als zij dat toch doen, maakt Google de Bril op afstand onklaar. Welkom in de Nieuwe Wereld, waar producenten ook na de aankoop controle op hun producten houden.
Volgens Corynne McSherry van de Amerikaanse digitale ‘waakhond’ Electronic Frontier Foundation is het de vraag of wat Google doet legaal is. De vaste greep van Google op zijn producten kwam aan het licht toen een van de Brildragers de verkoop via eBay stopzette, nadat hij de gebruikersvoorwaarden had gelezen en represailles van Google vreesde. De prijs op eBay was inmiddels al opgelopen tot $ 90 000 (ruim € 70 000). “Ik wist helemaal niet dat je die Bril niet mocht verkopen”, zei de man die Wired slechts aanduidt met Ed. Hij ervoer ook dat zijn actie schandalig werd bevonden, zoiets als heiligschennis. Het is, mij, onduidelijk hoe Google de Bril ‘onklaar’ maakt. Elke Bril heeft een eigen nummer en de communicatie met de digitale wereld loopt via het web. Dus… Duidelijk is in ieder geval dat Google steeds verder afdrijft van zijn ooit idealistische wortels.
Bron: Wired

“Lekke apps ontwerpersfout”

Geplaatst op door
Beantwoorden
Het Chinese equivalent van Twitter Weibo

Veel apps ‘lekken’ gegevens en zouden een achterdeur kunnen zijn waardoor onverlaten zich toegang tot je slimme telefoon (slimtel) kunnen verschaffen. Dat is de conclusie van Liang (Dennis) Xu, student aan de universiteit van Californië (Davis), bij een globale analyse van een groot aantal (hij verzamelde er 120 0000) telefoonprogjes voor de Google-telefoon (Android). Dat is geen boos opzet, maar eerder onhandigheid, is het idee van de student. “Dat zijn ontwerpersfouten”, zegt Xu. “De code is bedoeld afgeschermd te zijn, maar is in werkelijkheid openbaar.” Xu heeft niet naar de apps van dde iPhone van Apple gekeken, maar vermoedt dat daar hetzelfde probleem speelt.
Om toegang te krijgen tot de apps moet de onverlaat eerst een stukje code op het beoogde toestel zien te krijgen. Die kan, bijvoorbeeld, verborgen in een overigens handige app zijn, als bijlage voor een e-bericht of via een webkoppeling.
Xu heeft met zijn hoogleraar informatica Zhendong Su en bezoekend hoogleraar Linfeng Liu van de Chinese  Xi’an Jiatong-universiteit een aantal relatief veel gebruikte progjes die heftig ‘lekten’ nader onderzocht. Handcent SMS is een berichten-app. Xu ontdekte dat een onverlaat ook toegang tot persoonlijke info van de app kan krijgen, inclusief de, met wachtwoord ‘beveiligde’, privéberichten.
WeChat is een babbeldienst die vooral in China populair is en die lijkt op soortgelijke diensten van Yahoo en AOL (America on Line). De dienst werkt op de achtergrond en meldt als er berichten zijn. De dienst kan met een kwaadaardige code uitgezet worden, terwijl de gebruiker denkt dat die nog steeds werkt.
Weibo, de Chinese tegenhanger van Twitter, blijkt ook gevoelig voor kwaadaardige code. Eenmaal op het beoogde toestel maakt de code de kwaadwillende mogelijk zelf berichtjes te sturen.

DigID moet veiliger

Geplaatst op door
Beantwoorden

DigID, de digitale toegangspoort van de overheid moet veiliger worden. Ronald Plasterk presenteerde woensdag zijn versie: de eID (waar het bedrijf e-ID in Vianen niet blij mee is). De eID-kaart is een identiteitskaart met chip die werkt volgens het principe van internetbankieren, zo meldt volkskrant.nl. Identiteitsfraude zou een groeiend probleem zijn waar het vorig jaar zo’n 800 000 mensen het slachtoffer zouden zijn geweest en die gezamenlijk een schade van een half miljard euro zouden hebben geleden. De nieuwe kaart zou die vorm van fraude moeten inperken. De eID-kaart is een persoonlijke kaart die bij elektronische transacties met de overheidsinstellingen als een ‘nagelvaste’ identificatie moet dienen, vergelijkbaar met de verzending van de elektronische handtekening voor een banktransactie TAN via sms.
D66 maakt zich zorgen over de privacygevoeligheid van het systeem. Amerikaanse bedrijven kunnen door hun eigen overheid gedwongen worden privacygevoelige gegevens te verstrekken. Het zou volgens Kamerlid Gerard Schouw beter zijn als er geen Amerikaanse bedrijven bij de totstandkoming van de eID-kaart zouden worden betrokken, maar volgens Plasterk kunnen die niet uitgesloten worden van een openbare aanbesteding, al wil hij wel uitzoeken of daar een juridische mouw aan te passen is.

Bron: volkskrant.nl

Kun je vliegtuigen met Android kapen?

Geplaatst op door
Beantwoorden

Blijkens een bericht in de Volkskrant zijn Kamerleden bang dat ook vliegtuigen elektronisch te kapen zijn.
Wassila Hachchi (D66) heeft staatssecretaris Wilma Mansveld gevraagd daar uitsluitsel over te geven.
De kwetsbaarheid van het vliegverkeer is de wereld in gekomen door uitspraken van beveiligingsdeskundige en opgeleid piloot Hugo Teso op het Hack in the Box-congres in Amsterdam, dat je met een app op een simpele Android-telefoon (PlaneSploit) het ‘roer’ van een vliegtuig kunt overnemen. Hij maakt daarbij misbruik van twee notoir onbetrouwbare communicatiesystemen in een vliegtuig: ADS-B dat informatie over het vliegtuig naar de luchtverkeersleiding stuurt en waarover het vlucht- en weergegevens ontvangt en ACARS dat berichten uitwisselt tussen vliegtuigen onderling en met vluchtleiders via radio en satelliet. Die systemen zijn gevoelig voor passieve en actieve aanvallen. Teso gebruikte ADS-B om doelen te kiezen en ACARS om gegevens te verzamelen over de boordcomputer en voor het afleveren van berichten om het ‘gedrag’ van het vliegtuig te beïnvloeden. Zo liet hij het vliegtuig een aantal opdrachten uitvoeren zoals “Ga hier heen’ en ‘Be punckish’ (een manier om vliegers aan te geven dat er stront aan de knikker is, compleet met knipperende lichten en alarmgeluid). Teso liet in zijn verhaal niet het achterste van zijn tong zien over de manier waarop hij was ingebroken. Vliegtuig te kapen met telefoon
Volgens Hachchi zou Teso beweert hebben dat hij de automatische piloot van het vliegtuig zou kunnen overnemen of laten neerstorten. Zij begrijpt niet waarom er in de luchtvaart met zulke oude en onbetrouwbare systemen wordt gewerkt, soms wel 40 jaar oud. Belangrijke barrière bij vernieuwing van dergelijke systemen in de luchtvaart is juist die veiligheid. De bestaande systemen hebben bewezen te werken en van de nieuwe moet dat nog maar eens worden aangetoond. Problemen bij de introductie van min of meer revolutionaire innovaties in de luchtvaart, zoals de A-380 van Airbus en de Dreamliner van Boeing, laten zien hoe gevoelig vernieuwing in die branche ligt.
Hachchi vindt dat Nederland in Europa moet aandringen op een snelle verbetering van de veiligheid van vliegtuigsystemen. “Nederland heeft een van de drukste luchthavens ter wereld, met onze veiligheid in de lucht moet niet gesjoemeld worden”, laat de Volkskrant haar zeggen.

Bron: De Volkskrant/net-security.org

Cyberaanvallen kosten webwinkels miljoenen

Geplaatst op door
Beantwoorden

Webwinkelels zouden naar schattingen tientallen miljoenen euro’s zijn misgelopen door drie cyberaanvallen die iDeal afgelopen week hebben getroffen, aldus de branchevereniging Thuiswinkel.org.
“Ieder uur dat iDeal niet werkt kost tussen de 5 en 7 miljoen euro. Als het alleen
bij één grote bank niet werkt, zoals bij ING, dan kun je de schade door 3 delen”, zegt een woordvoerder van de club in trouw.nl. De vereniging gaat ervan uit dat ongeveer een derde van de consumenten afziet van een koop, wanneer hij niet met het populaire webbetaalsysteem kan afrekenen. De overige twee derde zal het op een later moment nog eens proberen of kiezen voor een andere betaalmogelijkheid.
De schade verhalen is lastig, omdat onduidelijk is wie de schuldige is. Thuiswinkel.org roept minister Ivo Opstelten van Veiligheid en Justitie wel op om werk te maken van deze ‘aanvallen op vitale infrastructuur’, zo stelt Trouw. De organisatie pleit
voor een harde aanpak van cybercriminaliteit.
Bron: Trouw

FBI peilt verdachte met ‘nepmast’

Geplaatst op door
Beantwoorden

De Amerikaanse identiteitsdief David Rigmaiden heeft onthuld hoe de FBI met behulp van een nepmast zijn doen en laten heeft kunnen achterhalen. Rigmaiden, die in 2010 berecht werd omdat hij de belastingen voor $ 4 miljoen getild zou hebben, schreef een dik rapport over de techniek van de FBI. Die geheime dienst had, in samenwerking met webaanbieder Verizon, de wifi-kaart van Rigmaidens computer gemanipuleerd, zodat de nepmast die de FBI had opgesteld om Rigmaidens locatie te Telecom-mastenachterhalen, als normaal onderdeel van de infrastructuur werd gezien door Rigmaidens computer. Bovendien accepteerde de gemanipuleerde kaart gesprekken van de FBI, die op de achtergrond verliepen, waardoor de geheime dienst informatie over de locatie van de computer kreeg, maar ook het unieke ID-nummer en communicatiegegevens.
Om dat te kunnen doen had Verizon de kaart zo geprogrammeerd, dat als de FBI ‘belde’ het contact met een reguliere open webaansluiting werd verbroken, waarna de informatie werd verzonden naar Verizon, die die weer doorspeelde naar de FBl. Die kon dan in de buurt van de plaats waar de verdachte zich ophield een nepmast inrichten (in feite een simulator), die de communicatie van de legale aansluiting ‘stal’.
Om er voor te zorgen dat de wifi-kaart de nepmast accepteerde was die kaart zo aangepast dat de nepmast voor echt werd versleten.
De informatie van Rigmaiden in zijn 369 pagina’s tellende rapport, kwam, onder meer, van de Amerikaanse overheid. Die stond oorspronkelijk op het standpunt dat voor een dergelijke onderzoeksmethode geen vergunning van de rechter nodig was, omdat geen gespreksinhoud of teksten konden worden onderschept met deze techniek, maar schijnt in dit geval toch een handtekening bij een rechter gehaald te hebben, omdat Rigmaiden tot in zijn huis werd ‘achtervolgd’.
Amerikaanse burgerorganisaties zijn niet blij met de trapatsen van de FBI en vooral Verizon. “Het toont alleen maar hoe gek de technologie is en dat er heel wat aan de rechter uit te leggen valt”, zegt Hanni Fakhoury van Electronic Frontier Foundation in webblad Wire. “Dit is meer dan tegen Verizon zeggen “Geef ons wat belgegevens. Hier gaat het om het manipuleren van de eigendommen van een verdachte zonder de rechter te vertellen wat er aan de hand is.”
Bron: Wire