Open software veiliger onder de miljoen regels

Geplaatst op door
Beantwoorden

Open programmatuur (‘open source software’) bevat gemiddeld minder beveiligingskwetsbaarheden en codefouten dan commerciële software. Tenminste, zo lang het programma de 1 miljoen coderegels niet overschrijdt. Daarna wint de betaalde programmatuur het van de ‘ideële’: 0,75 codefouten per 1000 regels tegen 0,66. Dat blijkt uit een onderzoek van het Amerikaanse bedrijf Coverity, dat zich bezig houdt met het testen van nieuwe software.
Het onderzoek is een initiatief van het Amerikaanse ministerie voor binnenlandse veiligheid. Het eerste onderzoek werd uitgevoerd in 2006. Open programma’s worden gratis getest, commerciële programma’s worden getest tegen betaling. In het totaal zijn 68 miljoen regels open programmatuur getest (118 projecten) en 380 miljoen regels commerciële programmatuur (250 projecten).
Tot dit jaar bleek het niet uit te maken of een programma gratis of betaald was als het ging om beveiligingslekken en fouten in de code. Dit jaar lijken de commerciëlen het te gaan winnen bij de grote programma’s, terwijl de minder grote de open programmeurs het beter doen. Het zou wel eens kunnen zijn dat de groei van de open protuur de ‘ideëlen’ parten speelt. Nu hebben nog maar 13 open projecten meer dan 1 miljoen regels code. Maar de neiging is naar groter. In 2008 bedroeg de gemiddelde programmalengte 425 179 regels, dit jaar 580 000. Het foutengetal bij alle open programma’s steeg dan ook van 0,45 in 2008 naar 0,69 nu. Overigens is het verschil met de commerciële programma’s niet erg veel lager: 0,68. Bij programma’s tussen 500 000 en 1 miljoen regels scoren de ‘ideëlen’ twee keer zo goed: 0,44 tegen 0.98.

Bron: Wired

Klinken op (Facebook)vriendschap

Geplaatst op door
Beantwoorden

Vriendenglas van Budweiser Soms wordt de glazen maatschappij wel heel letterlijk genomen. Budweiser Brazilië heeft een glas ontwikkeld waarmee je elkaars vrienden op smoelenboek wordt als je daarmee klinkt. Daar kan Google Glass van dromen. In het glas zit een stootsensor. In de bodem van het glas zit een QR-code van de eigenaar die ‘samenwerkt’ met een appje van de brouwerij die de code van de ‘aanstoter’ doorstuurt naar Facebook en elkaar wederzijds bevriend. Voorlopig is het Bud-glas een proef die alleen in Brazilië te proeven valt.

Bron: Wired

AP-profiel Twitter gekraakt, extra code moet krakers temmen

Geplaatst op door
Beantwoorden

Twitter gevoelig voor inbraakHet Witte Huis is met bommen bestookt en Obama is gewond, dat stond gister op het Twitter-profiel van het Amerikaanse persbureau Associated Press te lezen. Groot nieuws, maar later bleek het onzin te zijn. Het profiel was gekraakt door het Syrische elektronische leger, dat al eerder op elektronisch oorlogspad is geweest. Die stek blijkt nu uit de lucht te zijn.
Twitter wil beveiliging vergroten
Twitter heeft aangekondigd de profielen van de kwetteraars beter te zullen beveiligen tegen kraken, zo meldt het Amerikaanse webblad Wired. De gebruiker moet in de nieuwe situatie niet alleen een wachtwoord intikken, maar ook een soort TAN-code, die hij/zij krijgt toegestuurd via, bijvoorbeeld, sms. Volgens AP zou het wachtwoord zijn ‘opgevist’, maar met de nieuwe procedure zou dat geen, onoverkomelijk, probleem zijn. Het gaat nog om een proef. Onduidelijk is wanneer het nieuwe beveiligingsprotocol algemeen wordt. Hoogstwaarschijnlijk zullen ‘gevoelige’ profielen zoals die van AP of het Witte Huis het eerste aan bod zijn.

Bronnen: Le Monde, Wired

Politie beloert burgers

Geplaatst op door
Beantwoorden

Het afluister- en filmkastje dat vorige week door Ziggo in de Haagse Schilderswijk is ontdekt, blijkt van de politie te zijn, zo meldt De Volkskrant. Het kastje wordt gebruikt voor opsporingsonderzoek naar vermogenscriminaliteit, zo gaat de krant verder. Vermogensdelicten kunnen van alles zijn waar geld mee te maken heeft: van diefstal tot witwassen van geld. De politie zou toestemming hebben van het OM om burgers in de Haagse wijk te mogen bespieden, zegt de Volkskrant, maar dit voorval laat weer eens zien hoe makkelijk er toestemming gegeven wordt voor het registreren van handel en wandel van de burgers onder het mom van misdaadbestrijding. Bovendien dient een rechter-commissaris toestemming te geven. Laten we het er op houden dat De Volkskrant met dat OM in de fout gaat, maar dit voorval laat maar weer eens zien dat de Nederlandse overheid is, zeker in vergelijking met andere Europese landen, bijzonder makkelijk in het verlenen van vergunningen dit soort ‘bijzondere’ opsporingsmethoden.

Bron: De Volkskrant

Google levert ‘rouwzorg’

Geplaatst op door
Beantwoorden

Over je graf heen regeren (foto Wired) Is er leven na de dood? Wel degelijk. Ook na je dood zal er op het wereldwijde web nog van alles van je te vinden zijn en misschien had je wel een profiel bij Facebook of LinkedIn. Google, de zorgzame Google, die daar veel geld mee verdient, denkt aan alles. De webreus heeft een nieuw dienst in het leven geroepen Inactive Account Manager om onze dode accounts netjes op te ruimen, uiteraard als ze iets met Google te maken hebben. Had de overledene foto’s op Picasa, filmpjes op YouTube of documenten op Google Docs, de profielhouder mag die, na zijn/haar dood uiteraard, laten overbrengen naar een ‘erfgenaam’. In Europa zijn er plannen dergelijke persoonlijke bestanden na iemands dood te vernietigen of te anonimiseren. De dienst van Google zou een alternatief kunnen zijn.
Google is niet de eerste die zich met je digitale leven na je dood bemoeit. Het webblad Wired gaat een rijtje digitale rouwzorgers langs. Bcelebrated belooft je geliefden na je dood door jou opgeslagen persoonlijke berichten te sturen. Dead Man’s Switch, macabere naam, doet iets soortgelijks. En Apple, het zal eens niet, heeft zijn eigen mobiele rouwdienst, waarmee je de muziek en de foto’s van de grote momenten in je leven aan je geliefden kan (laten) sturen na je dood. Gelukkig wordt er ook in Nederland nagedacht wat er gedaan moet worden met de digitale geurvlaggen die we op het wereldwijde web hebben gezet. De kraaien zijn tegenwoordig overal…

Bronnen: Le Monde, Wire

CBP maant AH en Whatsapp, NS en RET moeten dokken

Geplaatst op door
Beantwoorden

CBP-voorzitter Jacob Kohnstamm CBP-voorzitter Jacob Kohnstamm


Vervoersmaatschappijen NS en de Rotterdamse Elektrische Tram (RET) zijn het vorig jaar stevig aan hun taas getrokken vanwege overtreding van de wet bescherming persoonsgegevens, zo blijkt uit het onlangs verschenen jaarverslag van het College Bescherming Persoonsgegevens (CBP). De RET moest € 120 000 en NS € 125 000 betalen omdat ze de reisgegevens van hun klanten langer dan 24 maanden bewaarden. Beide bedrijven zouden de illegale gegevens hebben gewist en de boete hebben betaald. Het Amsterdamse vervoersbedrijf GVB heeft bezwaar aangetekend tegen de dwangsom. Die rechtzaak loopt nog.
Het vorig jaar heeft het CBP in 58 gevallen onderzoek gedaan naar overtreding van de wet bescherming persoonsgegevens en in 15 gevallen was het raak. Albert Heijn ging volgens het CBP te ver door in “Mijn bonus” gepersonifieerde aanbiedingen te doen op basis van het aankoopgedrag van de klant. Daar had AH toestemming van de klant voor moeten vragen. De winkelketen lijkt zijn leven gebeterd te hebben en is vooralsnog gestopt met de actie. Ook bleek dat AH anonieme bonuskaarten op naam bracht, nadat een houder van de anonieme kaart een webaankoop bij het bedrijf had gedaan en zijn anonieme kaart had gebruikt. Ook dat achtte het College niet in de haak en AH heeft nu op het web gezet wanneer anoniem niet meer anoniem is.
Ook de populaire mobiele dienst Whatsapp moest er aan geloven. Via het progje verstuurde berichten zijn niet versleuteld en kunnen, zonder dat de verzender of ontvanger dat merkt, door derden worden gelezen. Ernstiger is dat Whatsapp eist toegang te hebben tot het hele telefoonboek van de gebruikers (dus ook die van niet-whatsappers). Die kunnen niet kiezen. Alleen in iOS 6 van de iPhone van Apple is de gebruiker de baas. De versleuteling is inmiddels een feit, maar hoe en of Whatsapp de telefoonroof gaat beteugelen moet nog worden afgewacht. Het CBP en zijn Canadese collega-instituut, die samen het onderzoek hebben uitgevoerd, houden de vinger aan de pols.
Het jaarverslag maakt duidelijk hoe wijdverbreid het probleem van de bescherming van de privesfeer ligt. Dat geldt voor politiediensten zoals de centrale inlichtingeneenheden (cie) waar gegevens van ‘cliënten’ van de politie (te lang) worden bewaard, voor de gezondheidszorg, maar ook voor particuliere bedrijven en de belastingdienst, die onbekommerd inkomensgegevens verstrekt om het scheefwonen tegen te gaan. Uit het jaarverslag rijst het beeld op dat er veel verzameld, gekoppeld en ingezien wordt.
Het CBP zal het lopende jaar speciale aandacht besteden aan de transparantie van gegevensverwerkingen, toestemming van burgers, doelbinding en beveiliging. Daarnaast richt het College zich op profilering, bescherming van medische gegevens, gegevensverwerking binnen de arbeidsrelatie en bescherming van persoonsgegevens van kinderen, zo meldt de webstek.
We blijven het CBP met grote aandacht volgen.
Bron: Jaarverslag CBP

Google verbiedt verkoop/uitleen van de Bril

Geplaatst op door
Beantwoorden

Google wil niet dat mensen die de magische Bril van Google uitproberen die verkopen of uitlenen. Het Amerikaanse webblad Wired, dat dit jaar zijn twintigste verjaardag viert, ontdekte die clausule in de gebruiksvoorwaarden die de eerste gebruikers van De Bril, die zo’n € 1200 kost, moesten tekenen. Als zij dat toch doen, maakt Google de Bril op afstand onklaar. Welkom in de Nieuwe Wereld, waar producenten ook na de aankoop controle op hun producten houden.
Volgens Corynne McSherry van de Amerikaanse digitale ‘waakhond’ Electronic Frontier Foundation is het de vraag of wat Google doet legaal is. De vaste greep van Google op zijn producten kwam aan het licht toen een van de Brildragers de verkoop via eBay stopzette, nadat hij de gebruikersvoorwaarden had gelezen en represailles van Google vreesde. De prijs op eBay was inmiddels al opgelopen tot $ 90 000 (ruim € 70 000). “Ik wist helemaal niet dat je die Bril niet mocht verkopen”, zei de man die Wired slechts aanduidt met Ed. Hij ervoer ook dat zijn actie schandalig werd bevonden, zoiets als heiligschennis. Het is, mij, onduidelijk hoe Google de Bril ‘onklaar’ maakt. Elke Bril heeft een eigen nummer en de communicatie met de digitale wereld loopt via het web. Dus… Duidelijk is in ieder geval dat Google steeds verder afdrijft van zijn ooit idealistische wortels.
Bron: Wired

“Lekke apps ontwerpersfout”

Geplaatst op door
Beantwoorden
Het Chinese equivalent van Twitter Weibo

Veel apps ‘lekken’ gegevens en zouden een achterdeur kunnen zijn waardoor onverlaten zich toegang tot je slimme telefoon (slimtel) kunnen verschaffen. Dat is de conclusie van Liang (Dennis) Xu, student aan de universiteit van Californië (Davis), bij een globale analyse van een groot aantal (hij verzamelde er 120 0000) telefoonprogjes voor de Google-telefoon (Android). Dat is geen boos opzet, maar eerder onhandigheid, is het idee van de student. “Dat zijn ontwerpersfouten”, zegt Xu. “De code is bedoeld afgeschermd te zijn, maar is in werkelijkheid openbaar.” Xu heeft niet naar de apps van dde iPhone van Apple gekeken, maar vermoedt dat daar hetzelfde probleem speelt.
Om toegang te krijgen tot de apps moet de onverlaat eerst een stukje code op het beoogde toestel zien te krijgen. Die kan, bijvoorbeeld, verborgen in een overigens handige app zijn, als bijlage voor een e-bericht of via een webkoppeling.
Xu heeft met zijn hoogleraar informatica Zhendong Su en bezoekend hoogleraar Linfeng Liu van de Chinese  Xi’an Jiatong-universiteit een aantal relatief veel gebruikte progjes die heftig ‘lekten’ nader onderzocht. Handcent SMS is een berichten-app. Xu ontdekte dat een onverlaat ook toegang tot persoonlijke info van de app kan krijgen, inclusief de, met wachtwoord ‘beveiligde’, privéberichten.
WeChat is een babbeldienst die vooral in China populair is en die lijkt op soortgelijke diensten van Yahoo en AOL (America on Line). De dienst werkt op de achtergrond en meldt als er berichten zijn. De dienst kan met een kwaadaardige code uitgezet worden, terwijl de gebruiker denkt dat die nog steeds werkt.
Weibo, de Chinese tegenhanger van Twitter, blijkt ook gevoelig voor kwaadaardige code. Eenmaal op het beoogde toestel maakt de code de kwaadwillende mogelijk zelf berichtjes te sturen.

DigID moet veiliger

Geplaatst op door
Beantwoorden

DigID, de digitale toegangspoort van de overheid moet veiliger worden. Ronald Plasterk presenteerde woensdag zijn versie: de eID (waar het bedrijf e-ID in Vianen niet blij mee is). De eID-kaart is een identiteitskaart met chip die werkt volgens het principe van internetbankieren, zo meldt volkskrant.nl. Identiteitsfraude zou een groeiend probleem zijn waar het vorig jaar zo’n 800 000 mensen het slachtoffer zouden zijn geweest en die gezamenlijk een schade van een half miljard euro zouden hebben geleden. De nieuwe kaart zou die vorm van fraude moeten inperken. De eID-kaart is een persoonlijke kaart die bij elektronische transacties met de overheidsinstellingen als een ‘nagelvaste’ identificatie moet dienen, vergelijkbaar met de verzending van de elektronische handtekening voor een banktransactie TAN via sms.
D66 maakt zich zorgen over de privacygevoeligheid van het systeem. Amerikaanse bedrijven kunnen door hun eigen overheid gedwongen worden privacygevoelige gegevens te verstrekken. Het zou volgens Kamerlid Gerard Schouw beter zijn als er geen Amerikaanse bedrijven bij de totstandkoming van de eID-kaart zouden worden betrokken, maar volgens Plasterk kunnen die niet uitgesloten worden van een openbare aanbesteding, al wil hij wel uitzoeken of daar een juridische mouw aan te passen is.

Bron: volkskrant.nl

Kun je vliegtuigen met Android kapen?

Geplaatst op door
Beantwoorden

Blijkens een bericht in de Volkskrant zijn Kamerleden bang dat ook vliegtuigen elektronisch te kapen zijn.
Wassila Hachchi (D66) heeft staatssecretaris Wilma Mansveld gevraagd daar uitsluitsel over te geven.
De kwetsbaarheid van het vliegverkeer is de wereld in gekomen door uitspraken van beveiligingsdeskundige en opgeleid piloot Hugo Teso op het Hack in the Box-congres in Amsterdam, dat je met een app op een simpele Android-telefoon (PlaneSploit) het ‘roer’ van een vliegtuig kunt overnemen. Hij maakt daarbij misbruik van twee notoir onbetrouwbare communicatiesystemen in een vliegtuig: ADS-B dat informatie over het vliegtuig naar de luchtverkeersleiding stuurt en waarover het vlucht- en weergegevens ontvangt en ACARS dat berichten uitwisselt tussen vliegtuigen onderling en met vluchtleiders via radio en satelliet. Die systemen zijn gevoelig voor passieve en actieve aanvallen. Teso gebruikte ADS-B om doelen te kiezen en ACARS om gegevens te verzamelen over de boordcomputer en voor het afleveren van berichten om het ‘gedrag’ van het vliegtuig te beïnvloeden. Zo liet hij het vliegtuig een aantal opdrachten uitvoeren zoals “Ga hier heen’ en ‘Be punckish’ (een manier om vliegers aan te geven dat er stront aan de knikker is, compleet met knipperende lichten en alarmgeluid). Teso liet in zijn verhaal niet het achterste van zijn tong zien over de manier waarop hij was ingebroken. Vliegtuig te kapen met telefoon
Volgens Hachchi zou Teso beweert hebben dat hij de automatische piloot van het vliegtuig zou kunnen overnemen of laten neerstorten. Zij begrijpt niet waarom er in de luchtvaart met zulke oude en onbetrouwbare systemen wordt gewerkt, soms wel 40 jaar oud. Belangrijke barrière bij vernieuwing van dergelijke systemen in de luchtvaart is juist die veiligheid. De bestaande systemen hebben bewezen te werken en van de nieuwe moet dat nog maar eens worden aangetoond. Problemen bij de introductie van min of meer revolutionaire innovaties in de luchtvaart, zoals de A-380 van Airbus en de Dreamliner van Boeing, laten zien hoe gevoelig vernieuwing in die branche ligt.
Hachchi vindt dat Nederland in Europa moet aandringen op een snelle verbetering van de veiligheid van vliegtuigsystemen. “Nederland heeft een van de drukste luchthavens ter wereld, met onze veiligheid in de lucht moet niet gesjoemeld worden”, laat de Volkskrant haar zeggen.

Bron: De Volkskrant/net-security.org