DigID moet veiliger

Geplaatst op door
Beantwoorden

DigID, de digitale toegangspoort van de overheid moet veiliger worden. Ronald Plasterk presenteerde woensdag zijn versie: de eID (waar het bedrijf e-ID in Vianen niet blij mee is). De eID-kaart is een identiteitskaart met chip die werkt volgens het principe van internetbankieren, zo meldt volkskrant.nl. Identiteitsfraude zou een groeiend probleem zijn waar het vorig jaar zo’n 800 000 mensen het slachtoffer zouden zijn geweest en die gezamenlijk een schade van een half miljard euro zouden hebben geleden. De nieuwe kaart zou die vorm van fraude moeten inperken. De eID-kaart is een persoonlijke kaart die bij elektronische transacties met de overheidsinstellingen als een ‘nagelvaste’ identificatie moet dienen, vergelijkbaar met de verzending van de elektronische handtekening voor een banktransactie TAN via sms.
D66 maakt zich zorgen over de privacygevoeligheid van het systeem. Amerikaanse bedrijven kunnen door hun eigen overheid gedwongen worden privacygevoelige gegevens te verstrekken. Het zou volgens Kamerlid Gerard Schouw beter zijn als er geen Amerikaanse bedrijven bij de totstandkoming van de eID-kaart zouden worden betrokken, maar volgens Plasterk kunnen die niet uitgesloten worden van een openbare aanbesteding, al wil hij wel uitzoeken of daar een juridische mouw aan te passen is.

Bron: volkskrant.nl

Kun je vliegtuigen met Android kapen?

Geplaatst op door
Beantwoorden

Blijkens een bericht in de Volkskrant zijn Kamerleden bang dat ook vliegtuigen elektronisch te kapen zijn.
Wassila Hachchi (D66) heeft staatssecretaris Wilma Mansveld gevraagd daar uitsluitsel over te geven.
De kwetsbaarheid van het vliegverkeer is de wereld in gekomen door uitspraken van beveiligingsdeskundige en opgeleid piloot Hugo Teso op het Hack in the Box-congres in Amsterdam, dat je met een app op een simpele Android-telefoon (PlaneSploit) het ‘roer’ van een vliegtuig kunt overnemen. Hij maakt daarbij misbruik van twee notoir onbetrouwbare communicatiesystemen in een vliegtuig: ADS-B dat informatie over het vliegtuig naar de luchtverkeersleiding stuurt en waarover het vlucht- en weergegevens ontvangt en ACARS dat berichten uitwisselt tussen vliegtuigen onderling en met vluchtleiders via radio en satelliet. Die systemen zijn gevoelig voor passieve en actieve aanvallen. Teso gebruikte ADS-B om doelen te kiezen en ACARS om gegevens te verzamelen over de boordcomputer en voor het afleveren van berichten om het ‘gedrag’ van het vliegtuig te beïnvloeden. Zo liet hij het vliegtuig een aantal opdrachten uitvoeren zoals “Ga hier heen’ en ‘Be punckish’ (een manier om vliegers aan te geven dat er stront aan de knikker is, compleet met knipperende lichten en alarmgeluid). Teso liet in zijn verhaal niet het achterste van zijn tong zien over de manier waarop hij was ingebroken. Vliegtuig te kapen met telefoon
Volgens Hachchi zou Teso beweert hebben dat hij de automatische piloot van het vliegtuig zou kunnen overnemen of laten neerstorten. Zij begrijpt niet waarom er in de luchtvaart met zulke oude en onbetrouwbare systemen wordt gewerkt, soms wel 40 jaar oud. Belangrijke barrière bij vernieuwing van dergelijke systemen in de luchtvaart is juist die veiligheid. De bestaande systemen hebben bewezen te werken en van de nieuwe moet dat nog maar eens worden aangetoond. Problemen bij de introductie van min of meer revolutionaire innovaties in de luchtvaart, zoals de A-380 van Airbus en de Dreamliner van Boeing, laten zien hoe gevoelig vernieuwing in die branche ligt.
Hachchi vindt dat Nederland in Europa moet aandringen op een snelle verbetering van de veiligheid van vliegtuigsystemen. “Nederland heeft een van de drukste luchthavens ter wereld, met onze veiligheid in de lucht moet niet gesjoemeld worden”, laat de Volkskrant haar zeggen.

Bron: De Volkskrant/net-security.org

Cyberaanvallen kosten webwinkels miljoenen

Geplaatst op door
Beantwoorden

Webwinkelels zouden naar schattingen tientallen miljoenen euro’s zijn misgelopen door drie cyberaanvallen die iDeal afgelopen week hebben getroffen, aldus de branchevereniging Thuiswinkel.org.
“Ieder uur dat iDeal niet werkt kost tussen de 5 en 7 miljoen euro. Als het alleen
bij één grote bank niet werkt, zoals bij ING, dan kun je de schade door 3 delen”, zegt een woordvoerder van de club in trouw.nl. De vereniging gaat ervan uit dat ongeveer een derde van de consumenten afziet van een koop, wanneer hij niet met het populaire webbetaalsysteem kan afrekenen. De overige twee derde zal het op een later moment nog eens proberen of kiezen voor een andere betaalmogelijkheid.
De schade verhalen is lastig, omdat onduidelijk is wie de schuldige is. Thuiswinkel.org roept minister Ivo Opstelten van Veiligheid en Justitie wel op om werk te maken van deze ‘aanvallen op vitale infrastructuur’, zo stelt Trouw. De organisatie pleit
voor een harde aanpak van cybercriminaliteit.
Bron: Trouw

FBI peilt verdachte met ‘nepmast’

Geplaatst op door
Beantwoorden

De Amerikaanse identiteitsdief David Rigmaiden heeft onthuld hoe de FBI met behulp van een nepmast zijn doen en laten heeft kunnen achterhalen. Rigmaiden, die in 2010 berecht werd omdat hij de belastingen voor $ 4 miljoen getild zou hebben, schreef een dik rapport over de techniek van de FBI. Die geheime dienst had, in samenwerking met webaanbieder Verizon, de wifi-kaart van Rigmaidens computer gemanipuleerd, zodat de nepmast die de FBI had opgesteld om Rigmaidens locatie te Telecom-mastenachterhalen, als normaal onderdeel van de infrastructuur werd gezien door Rigmaidens computer. Bovendien accepteerde de gemanipuleerde kaart gesprekken van de FBI, die op de achtergrond verliepen, waardoor de geheime dienst informatie over de locatie van de computer kreeg, maar ook het unieke ID-nummer en communicatiegegevens.
Om dat te kunnen doen had Verizon de kaart zo geprogrammeerd, dat als de FBI ‘belde’ het contact met een reguliere open webaansluiting werd verbroken, waarna de informatie werd verzonden naar Verizon, die die weer doorspeelde naar de FBl. Die kon dan in de buurt van de plaats waar de verdachte zich ophield een nepmast inrichten (in feite een simulator), die de communicatie van de legale aansluiting ‘stal’.
Om er voor te zorgen dat de wifi-kaart de nepmast accepteerde was die kaart zo aangepast dat de nepmast voor echt werd versleten.
De informatie van Rigmaiden in zijn 369 pagina’s tellende rapport, kwam, onder meer, van de Amerikaanse overheid. Die stond oorspronkelijk op het standpunt dat voor een dergelijke onderzoeksmethode geen vergunning van de rechter nodig was, omdat geen gespreksinhoud of teksten konden worden onderschept met deze techniek, maar schijnt in dit geval toch een handtekening bij een rechter gehaald te hebben, omdat Rigmaiden tot in zijn huis werd ‘achtervolgd’.
Amerikaanse burgerorganisaties zijn niet blij met de trapatsen van de FBI en vooral Verizon. “Het toont alleen maar hoe gek de technologie is en dat er heel wat aan de rechter uit te leggen valt”, zegt Hanni Fakhoury van Electronic Frontier Foundation in webblad Wire. “Dit is meer dan tegen Verizon zeggen “Geef ons wat belgegevens. Hier gaat het om het manipuleren van de eigendommen van een verdachte zonder de rechter te vertellen wat er aan de hand is.”
Bron: Wire

Israel weinig last van cyberaanvallen

Geplaatst op door
Beantwoorden

De aanval van de webkrakers van Anonymous op webstekken van de Israelische overheid en bedrijven uit solidariteit met het Palestijnse volk, zou voor weinig storingen hebben gezorgd, zo meldt het Franse dagblad Le Monde. Het meeste te lijden onder de cyberaanvallen hebben kleinere ondernemingen. In de internetcafé’s van de Gaza-strook heerst blijdschap: “Dat is beter dan een raketoorlog.”, aldus Le Monde.
Bron: Le Monde

Amerikaanse Congres-leden halen ‘loervoorstel’ van stal

Geplaatst op door
Beantwoorden

Twee leden van het Amerikaanse Huis van Afgevaardigden, de Democraat Dutch Ruppersberger en de Republikein Mike Rogers, stellen pogingen in het werk een gesneefd wetsvoorstel over het inzien van internetgegevens weer op de rol te krijgen, zo meldt De Volkskrant. Als het voorstel wet wordt, kunnen de overheid en bedrijfsleven probleemloos gegevens uitwisselen, waarbij de bedreiging van de webveiligheid het alibi zou moeten zijn. Eerder strandde het voorstel omdat de beoogde wet te veel een bedreiging zou zijn voor de privésfeer van internetgebruikers.
Het tweetal doet weer een poging omdat de laatste tijd veel Amerikaanse bedrijven en overheidsinstanties het slachtoffer zijn geworden van massale cyberaanvallen. Bij die aanvallen zou ook het Chinese leger een rol gespeeld hebben.
Tegenstanders van de wet merkten vorig jaar op dat gegevens over het internetverkeer van Amerikaanse staatsburgers na invoering van de nieuwe wet eenvoudig toegankelijk zouden worden voor inlichtingendiensten als de FBI en de nationale beveiligingsdienst NSA. De Amerikaanse overheid heeft al een grote greep op de informatiestromen op het web in, onder meer, de bankwereld.
Bron: De Volkskrant

Webkrakers hyperactief

Geplaatst op door
Beantwoorden

Of ze vervelen zich de klere of er is wat anders aan de hand (alleen is dan onduidelijk wát): de aanval op Nederland is geopend, op cyber-Nederland. Nadat afgelopen week enkele banken, met als grootste slachtoffer de ING-bank, is getroffen door massa-aanvallen van webkrakers, lijkt nu De Telegraaf het slachtoffer te zijn van hackers, zo meldt het Parool. De Telegraaf was afgelopen zaterdag twee uur niet bereikbaar en heeft aangifte gedaan bij de politie. Overigens zouden de maaatregelen die de ING heeft getroffen tegen massaaanvallen succesvol zijn. Nieuwe aanvallen op de ING-stek zouden binnen 20 minuten (in plaats van uren voor eerdere aanvallen) zijn verholpen, zo meldt Trouw op 10 april j.l.
Massa-aanval op Nederlandse bankenOndertussen bericht dezelfde krant dat Belgische banken veel beter beschermd zouden zijn tegen cyberaanvallen dan de Nederlandse. Volgens de Belgische beveiligingsdeskundige Eddy Willems hebben in België de banken de informatie op verschillende servers gezet, waardoor een massawebaanval iets makkelijker te pareren is. Helemaal voorkomen kun je het niet, aldus de webdeskundige, omdat dat niet alleen afhangt van de infrastructuur en aanwezige beveiligingsfilters. “Het lijkt erop dat de aanval bij ING vooral werd veroorzaakt doordat heel veel machines op het zelfde moment inlogden op het internetbankieren-systeem. Daartegen kun je je echt heel moeilijk beveiligen.”, zei Willems in Het Parool. Toch loopt België wat Willems betreft wel voor op het gebied van internetbeveiliging. De kaartlezer die bij veel banken gebruikt moet worden bij internetbankieren is er al veel langer dan in Nederland en, volgens hem, daar ook net iets geavanceerder. De fraudecijfers met internetbankieren liggen er veel lager dan in Nederland: € 3 miljoen euro voor België tegen bijna € 35 miljoen in Nederland, aldus het Parool. Overigens moet hier wel bij worden opgemerkt dat de Belgische banken veel kleiner zijn dan de Nederlandse en dus minder aantrekkelijk voor webkrakers.

Bron: Parool; foto Parool

Is er nog nieuws?

Geplaatst op door
Beantwoorden

Gemiddeld halen slimbelbezitters (smartphone) hun toestel 14 keer per dag te voorschijn om te kijken of er nog wat is gebeurd op Facebook, zo heeft onderzoek van het Amerikaanse studiebureau IDC uitgewezen. De Facebook-app zou daarmee na de meel-app en de browser-app de populairste slimbel-app in de VS zijn. Dat veelvuldige loeren kost de mobiele Facebookers zo’n half uur per dag. Het onderzoek, deels gesponsord door Facebook, is uitgevoerd bij een groep van 7 446 Amerikaanse slimbelgebruikers (Android en iOS) in de leeftijdsgroep tussen 18 en 44 jaar.
Bron: De Standaard

Geanonimiseerde gegevens makkelijk te personifiëren

Geplaatst op door
Beantwoorden

Het is handig om steeds ruimer voorhanden elektronische gegevens te gebruiken voor allerlei maatschappelijke toepassingen zoals ruimtelijke ordening, epidemiologie, logistiek en dergelijke. Voordat onderzoekers daar mee aan de gang gaan worden die gegevens geanonimiseerd. Uit onderzoek van het MIT en de katholieke universiteit van Louvain-la-Neuve blijkt het echter vrij gemakkelijk om die geanonimiseerde gegevens weer te ‘personifiëren’. Met slechts vier referentiepunten werden de geanonimiseerde gegevens van 1,5 miljoen mobiele bellers in een klein land (volgens het persbericht; zal dus wel België zijn) weer verbonden aan een specifiek toestel. Dat ging in 95% van de gevallen goed. Om een toestel uit de lijst aan te wijzen is informatie van de ontvanger/zender van vier gesprekken voldoende uit een ‘dataset’ van meer dan een miljoen mensen, soms zijn een paar twitterberichten al genoeg.
De gegevens die de onderzoekers analyseerden waren plaats van de zendmast en de verbindingstijd. Die gegevens konden niet gekoppeld worden aan het telefoonnummer. In 95% van de gevallen bleken vier plaats/tijd-punten voldoende om de telefoon in kwestie te ‘individualiseren’, in het slechtste geval (of beste) waren 11 punten nodig. De onderzoekers zijn er van overtuigd dat de mogelijkheden tot ‘personifiëren’ op het wereldwijde web nog aanzienlijk groter zijn.
Bron: Eurekalert/Wired
Het dataspoor van een mobiele beller

DNA moet ‘reclameprofiel’ verbeteren

Geplaatst op door
Beantwoorden

Er zijn mensen die zich zorgen maken over de inbreuken op hun privésfeer op internet. Via je surfgedrag, berichten op de Facebooks en Hyves of via de inhoud van je e-berichten op GMail kunnen bedrijven achterhalen wat je voorkeuren zijn om je te kunnen bestoken met gerichte reclame en andere zooi. Het kan nog doller, maar dan moet het slachtoffer zelf wel zijn medewerking verlenen: een ‘personificatie’ van de te ontvangen reclame via het eigen DNA. Het webblad Wire meldt dat het bedrijf Miinome is begonnen met DNA-personificatie. “We zijn de eerste marktplaats van het menselijk genoom voor leden”, zegt Paul Saarinen, baas van Miinome.
Het bedrijf combineert de gebruikelijke persoonlijke gegevens van het web (Facebook enz.) met de genetische informatie, om bedrijven inzicht te geven waar deze ‘meneer Jansen’ of die ‘mevrouw Pietersen’ behoefte aan zou kunnen hebben. De slachtoffers zelf hebben zeggenschap over welke eigenschappen ze openbaar willen maken. Als iemand blijkens zijn genoom vatbaar is voor kaalheid en er blijkt uit je Facebook gebabbel dat je last hebt van stress en dat je rookt, dan zou je advertenties kunnen krijgen voor nicotinepleisters of yoga-cursussen. Je moet, zoals gezegd, daar wel mee instemmen. Volgens Saarinen krijgen de bedrijven geen inzicht de genetische informatie van de ‘leden’ van Miinome. DNA als verkoop'middel'
Miinome verdient zijn geld via het aantal keren dat een deelnemend bedrijf aangeklikt wordt door een ‘lid’. Wire stelt nog de vraag over de veiligheid van zo’n operatie, want Miinome kan wel beweren dat de genetische gegevens geanonimiseerd zijn, maar is dat ook zo? Hoe veilig zijn iemands genetische gegevens bij een webbedrijf en wat als ik van mijn ‘lidmaatschap’ af wil? Verdwijnen die genetische gegevens dan ook radicaal van internet?
Het ‘lek’ hoeft niet eens bij Miinome te zitten. Internetters zijn nogal slordig. Het blijkt uit recent Frans onderzoek dat websurfers zeggen zich bewust te zijn van de risico’s van internetgebruik, maar dat ze zich in de praktijk toch heel onvoorzichtig gedragen. Een aanzienlijk deel, bijvoorbeeld, gebruikt steeds hetzelfde wachtwoord: 42%, bij jongeren onder de 25 zelfs 58%.
Bron: Wire en Le Monde