donderdag 27 oktober 2011

5 SECONDS to bypass an iPad 2 password

Video The password protection of an iPad 2 running iOS 5 can be circumvented in less than five seconds with just three simple steps.

Bypassing the unlock screen on iPad 2 can be accomplished by first pressing the power button until the power-off screen is displayed. Users then need only to close and reopen the fondleslab's 'smart cover' before, finally, pressing the cancel button to unlock the device.

After dodging the password protection, you can access the foreground application running at the time the device was locked, potentially exposing corporate email in the process. You can't use the home button, so access is limited to foreground applications. As enterprise IT blog BringYourOwnIT.com notes, one obvious workaround would be to instruct users to close any foreground application before locking their iPad.

The security weakness comes days after it emerged that locked iPhone 4S could be accessed using Siri, the voice-activated personal assistant built into the device. There's an easy way for security-conscious users to disable Siri when their phone is locked but this option isn't applied by default, net security firm Sophos reports. ®

Bron: The Register

maandag 24 oktober 2011

TUNIX viert feest!


Vorig weekend was het officieel de verjaardag van TUNIX.
We waren veel eerder in 1993 actief maar op 15 oktober van dat jaar is de handtekening voor de BV gezet: TUNIX Open System Consultants B.V. was het toen.
Inmiddels natuurlijk TUNIX Digital Security B.V. met alle oude namen nog als officieel handelsmerk. Op naar de 21!

Hacker kraakt YouTube-kanaal van Microsoft


Een hacker heeft zondagavond ingebroken op het YouTube-kanaal van Microsoft en de video's van het bedrijf verwijderd. Niet lang daarna werd de account van de hacker verwijderd.

De hacker verwijderde alle video's, paste de achtergrond aan en wijzigde teksten op het kanaal in oproepen aan adverteerders om hem te sponsoren.

De hacker schreef in een reactie dat hij het account in 2006 al geregistreerd had en dat hij simpelweg inlogde met zijn oude gegevens. Het kanaal van Microsoft is inmiddels hersteld en de video's staan weer terug online.

'Werken aan oplossing'

Microsoft gaf zondagavond in een statement aan: "We zijn ons ervan bewust dat iemand ons YouTube-kanaal heeft veranderd, dat gewijd is aan Microsoft video's. Samen met YouTube werken we aan een oplossing om de situatie recht te zetten."

In de reacties op het kanaal huldigden sommige gebruikers de hack waarvoor vermoedelijk de gebruiker 'sweepactive' verantwoordelijk is. De useraccount van sweepactive is sinds zondagavond verwijderd wegens schending van de gemeenschappelijke richtlijnen van YouTube.

Sesamstraat

Vorige week lag het Amerikaanse YouTube-kanaal van Sesamstraat onder vuur. Alle video's van het kindvriendelijke kanaal werden toen eveneens verwijderd. De hacker plaatste vervolgens pornografische video's op het kanaal.

Bron: webwereld

woensdag 19 oktober 2011

Donner wil verplichte pentest voor overheidssites

Vanaf volgend jaar moeten overheidsorganisaties hun ICT-beveiliging elk jaar laten testen, zo heeft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties in een brief aan de Tweede Kamer laten weten. De brief volgt na verschillende problemen bij overheidssites waarbij het mogelijk zou zijn om DigiD-gegevens te stelen.

"Alle organisaties die DigiD gebruiken dienen uiterlijk voor het einde van het eerste kwartaal van 2012 hun ICT-beveiliging getoetst te hebben op basis van een nog door GOVCERT te maken beveiligingsnorm", aldus de bewindvoerder. De jaren daarna zal er volgens Donner een jaarlijkse herhaling van de "ICT-beveiligings-assessment" plaatsvinden.

Kraken
"Vanaf 2012 zal sprake zijn van een jaarlijkse herhaling van het ICT beveiligings-assessment door alle gebruikende organisaties. Ten slotte zal Logius in het stelsel van ICT beveiligings-assessments enkele betrouwbare marktpartijen vragen de ICT beveiliging van gebruikende organisaties te kraken. Daarmee kan getoetst worden of het ICT beveiligings-assessment voldoende stringent wordt toegepast."

Het ministerie benadrukt dat honderd procent veiligheid niet is te garanderen. "Wel zal tenminste een aantal minimale beveiligingsmaatregelen altijd moeten worden genomen."

Bron: http://www.security.nl

donderdag 13 oktober 2011

Websites lekken massaal privégegevens aan Google

Meer dan de helft van de 185 drukst bezochte websites op het internet delen gebruikersnamen of andere identificerende informatie met een andere website, zo ontdekten onderzoekers van de Stanford Universiteit. Google, Facebook, comScore en Quantcast behoren tot de websites die de meeste informatie ontvangen.

Sommige websites lekken gebruikersnaam of userID naar tientallen andere websites. Zo blijkt dat populaire fotosite Photobucket de gebruikersnaam in veel URLS verwerkt, en ook advertenties op veel websites plaatst. Daardoor wordt de gebruikersnaam naar 31 'third party' websites gestuurd.

Privégegevens
En zo zijn er nog meer voorbeelden in het onderzoek te vinden. Het bekijken van een lokale advertentie op de Home Depot website zorgt ervoor dat de voornaam van de gebruiker en zijn e-mailadres naar dertien bedrijven wordt gestuurd. Het invoeren van het verkeerde wachtwoord bij de Wall Street Journal zorgt ervoor dat zeven bedrijven het e-mailadres ontvangen.

Wie zijn gebruikersinstellingen op Metacafe wijzigt, zorgt ervoor dat voornaam, achternaam, geboortedatum, e-mailadres, fysiek adres en telefoonnummer bij twee bedrijven terecht komen. Door het aanmaken van een account bij NBC wordt het e-mailadres naar zeven bedrijven gestuurd.

Een account aanmaken bij Weather Underground laat het e-mailadres zelfs bij 22 bedrijven belanden. Wie iets op Classmates.com doet zorgt ervoor dat zijn voor- en achternaam bij 22 bedrijven bekend wordt. In hun gebruikersvoorwaarden stellen de bedrijven en websites dat ze geen persoonlijke informatie opslaan of doorspelen. "Dit is geen 1984-achtige hypothetische paniekzaaierij. Dit is wat er vandaag gebeurt", zegt onderzoeker Jonathan Mayer.