woensdag 30 november 2011

BUSTED! Secret app on millions of phones logs key taps

In a YouTube video posted on Monday, Trevor Eckhart showed how software from a Silicon Valley company known as Carrier IQ recorded in real time the keys he pressed into a stock EVO handset, which he had reset to factory settings just prior to the demonstration.

The 17-minute video concluded with questions, including: “Why does SMSNotify get called and show to be dispatching text messages to [Carrier IQ]?” and “Why is my browser data being read, especially HTTPS on my Wi-Fi?”

Watch the video.

Bron: The Register

maandag 28 november 2011

Publieke omroep lekt 2,3 miljoen persoonsgegevens

Door een lek in een beheersysteem zijn 2,3 miljoen persoonsgegevens toegankelijk. Bovendien zijn met één gelekt wachtwoord 160 websites van publieke omroepen en radiostations toegankelijk.

De websites van onder andere QMusic, 3FM, Slam FM, KRO, Omroep.nl, BNN, diverse publieke radiozenders en RTV Noord-Holland zijn lek. Dat ontdekte de hacker 'BitBuster', die het meldde aan Webwereld.

Ook de NTR maker van onder andere het Klokhuis, Sesamstraat, het Sinterklaasjournaal, Raymann is Laat, het Groot Dictee der Nederlandse taal, enzovoort. Ook bij BNN gaat het om sites behorend bij programma's als Spuiten en Slikken, Weg met BNN, de MaDiWoDoVrijdagshow en Patrick in Uruzgan.

Lek cms

Het gaat om een content management systeem (cms) ABC Manager van het bedrijf Angry Bytes, waarbij een oude versie gevoelig bleek voor SQL-injection. In de databases kwamen zowel leesbare als makkelijk te achterhalen wachtwoorden voor. Een van de beheerderswachtwoorden bleek voor alle sites te werken, waardoor het mogelijk is websites aan te passen.

Het gaat om diverse tabellen met persoonsgegevens. Vaak naam, adres, e-mail, telefoonnummer. Soms om achtergelaten reacties, soms om gegevens voor dating. Bij Q Music gaat het niet alleen om de NAW-gegevens, maar ook om het bedrijf waarvoor mensen werken en de functie. Bij sommige programma's wordt ook een foto meegeleverd.

Sommige tabellen bevatten de informatie van honderdduizenden mensen. Zo gaat het bij het Klokhuis om ruim 230.000 adressen, terwijl 3FM meer dan een half miljoen namen beheert.

Klanten informeren

Angry Bytes, het bedrijf dat de weboplossingen voor de verscheidene omroepen biedt, reageert geschrokken. Er is direct overleg gevoerd met klanten, online redactie-omgevingen afgesloten en lekken gedicht. Ook stelt het bedrijf nog in overleg te zijn om herhaling te voorkomen. "We zijn hier heel erg van geschrokken en kijken met onze klanten naar oplossingen om herhaling te voorkomen."

Hacker BitBuster motiveert zijn actie als volgt:

"Ik hoop dat mensen, door mijn actie, gaan inzien dat het zo niet langer kan; er moet iets veranderen. Bedrijven moeten verantwoordelijk gehouden worden voor programmeerfouten en moeten worden gecontroleerd. Je kunt ze niet op hun blauwe ogen geloven en de vraag is of het uit onkunde of onwil is."

Bron: webwereld

vrijdag 25 november 2011

Hacker Sinterklaasjournaal kon niet bij mailadressen

HILVERSUM - De hacker van de website van het Sinterklaasjournaal had geen toegang tot de mailadressen van de circa 1,5 miljoen personen die meededen aan een onlinecampagne rond het grote boek van Sinterklaas.

Dat heeft een woordvoerder van omroep NTR donderdag gezegd.

De omroep heeft contact gehad met de hacker, die vertelde dat hij alleen de namen van de deelnemers aan de campagne kon zien. Het onderzoek naar de veiligheidsproblemen rond de site van het kinderprogramma is hiermee afgerond, aldus de zegsman.

Wel kijkt de omroep volgens hem de komende tijd kritisch naar de veiligheid van zijn andere websites.

De hacker had eerder toegang tot de gegevens van 13.000 kinderen via een verouderde tool op de website. Woensdag claimde hij ook 'het grote boek' gekraakt te hebben waarin de e-mailadressen van 1,5 miljoen kinderen zijn opgeslagen.

Bron: nu.nl

Sinterklaasjournaal.nl lekt gegevens duizenden kinderen

AMSTERDAM – De website van het Sinterklaasjournaal was door een verouderd onderdeel kwetsbaar voor aanvallen. Een hacker kreeg hierdoor de gegevens van 13.000 kinderen in handen.

De NTR, de omroep achter het Sinterklaasjournaal, heeft het lek tegenover Tweakers.net bevestigd en geeft toe dat de gegevens van 13.000 kinderen bemachtigd zijn.

De kwetsbaarheid zat in een tool die al sinds 2005 gebruikt werd, zo geeft de NTR toe. “De tool bleek niet beveiligd op de wijze waarop we de rest hebben beveiligd.” Ondanks deze beperkte beveiliging werd de tool ook dit jaar gebruikt.

Kinderen konden via het kwetsbare deel van Sinterklaasjournaal.nl tekeningen insturen en kleurplaten downloaden. De hacker wist onder meer de naam, het e-mailadres en de leeftijd uit de database te halen.

Tweakers sprak met de persoon in kwestie en die stelt bewust niet meer dan deze informatie uit de database te hebben gedownload. De hacker wenst bovendien anoniem te blijven.

Bron: nu.nl

woensdag 23 november 2011

Verhoog nu uw kennis van tunneling

Wat heeft Julius Caesar met IPsec te maken?
Dat is 1 van de vragen die beantwoord wordt in de cursus IPsec.

Heeft u te maken met de beveiliging van TCP/IP netwerken?
Wilt u uw kennis over de beveiliging van TCP/IP netwerken verbreden?
Wilt u weten wat er zich onder motorkap van IPsec afspeelt?
En wilt u sneller kunnen troubleshooten?
Dan hebben wij een interessante aanbieding voor u.

Wat?
IPsec cursus van 2 dagen voor € 995,--!
Bij het ontwerpen van het IP-protocol zijn geen voorzieningen getroffen voor beveiliging, terwijl dit juist een steeds grotere rol speelt in hedendaagse netwerken.
Het IP Security Protocol (IPsec) is een technologie waarmee de communicatie over IP netwerken wordt beveiligd.
Het doel van de training IPsec is om de cursist kennis bij te brengen over IPsec en de achterliggende theorie, en dit toe te passen in concrete praktijksituaties.
Meer informatie over de cursus vindt u op: tuniversity.

Duur:
2 dagen.

Prijs:
Normale prijs: € 1.250,-- per persoon.
Nu tijdelijk voor onderstaande data voor € 995,-- per persoon.

Locatie:
TUNIX, Wijchenseweg 111 in Nijmegen.
Ruime (gratis) parkeergelegenheid.

Data
Dinsdag 13 december
Woensdag 14 december

Dinsdag 20 december
Woensdag 21 december

Cursustijden:
's Morgens van 09:00 uur tot 's middags 17:00 uur.
Lunch is inbegrepen.

Wij geven de cursus op bovenstaande data voor minimaal 4 personen en maximaal 8.
Heeft u interesse? Neem dan dan zo spoedig mogelijk contact op met Lisalotte Wolters; lisalotte.wolters@tunix.nl, want vol is vol...

'Draconische' antipiraterijwet saboteert DNSSEC

Een vergaand Amerikaanse wetsvoorstel voor auteursrecht bedreigt de invoer van het beveiligde internetadresboek DNSSEC. De SOPA-wet grijpt namelijk in op DNS.

De bedreiging die SOPA (Stop Online Piracy Act) vormt voor het internet op technisch niveau wordt toegelicht in een officiële protestbrief tegen dat wetsvoorstel. Het gerenommeerde Amerikaanse onderzoeksinstituut Sandia waarschuwt het Congres voor de impact van SOPA. Niet alleen websites en isp's, maar heel het internet dreigt de dupe te worden.

Antipiraterijwet ook nutteloos

Sandia heeft een technische inschatting gemaakt van dat wetsvoorstel. De computerexperts van dat lab hebben de in SOPA voorgestelde DNS-filtering (domain name system) onderzocht. Zij menen dat die maatregelen "waarschijnlijk geen effect hebben", schrijft directeur Leonard Napolitano van de Sandia-onderzoekslaboratoria in zijn brief (ingebed onderaan dit artikel).

Hij stelt verder dat het filteren of omleiden van DNS-verkeer de cybersecurity bedreigt van zowel de Verenigde Staten als de gehele wereld. Die "negatieve impact" geldt ook voor de werking van het internet als geheel. Cybercriminelen zetten DNS-omleiding namelijk al in voor kwaadaardige doeleinden. Het huidige DNS wordt daarom vervangen door het beter beveiligde DNSSEC, dat man-in-the-middle aanvallen moet voorkomen.

Goedkope workarounds

De Sandia-wetenschappers concluderen dan ook dat SOPA een flinke vertraging betekent voor de wereldwijde invoering van DNSSEC. Een onderzoeker heeft de DNS-filtering in het wetsvoorstel getypeerd als een 'whack-a-mole' aanpak, aldus Sandia. Dit zal gebruikers en websites die auteursrechten schenden simpelweg ertoe aanzetten goedkope workarounds te gebruiken, stelt computerwetenschapper Napolitano.

In de brief verwijst hij ook naar een technisch rapport van mei dit jaar, meldt de Britse ict-nieuwssite The Register. Daarin hebben internetexperts, waaronder DNS-onderzoeker Dan Kaminksy, al de noodklok geluid over DNS-censuur in een eerder wetsvoorstel (PROTECT-IP) tegen piraterij.

Bron: webwereld

vrijdag 18 november 2011

TUNIX zoekt stagiaire

Ter ondersteuning van onze productontwikkeling zijn we op korte termijn op zoek naar een enthousiaste stagiaire. Het gaat hierbij om diverse technische-, administratie- en commerciële onderdelen van een project waarin TUNIX de "Open Source Security Testing Methodology Manual" (oftewel OSTTMM-methode) integreert in een audit service voor gevirtualiseerde omgevingen.

Ben jij op zoek naar een uitdagende opdracht binnen een innovatief ICT bedrijf met een netwerk security focus, bel met mevrouw Aynur Polat 024-3455028 of mail je CV naar hrm@tunix.nl.

dinsdag 15 november 2011

'Bescherming gebruikers sociale media onduidelijk'

AMSTERDAM - GroenLinks eist opheldering van de minister van Veiligheid en Justitie over de online privacy van gebruikers van sociale media. De partij wil specifieke rechtsbescherming voor internetters.

Dat blijkt uit Kamervragen van Tweede Kamerlid Arjan El Fassed die NU.nl ingezien heeft.

El Fassed wil zo snel mogelijk uitsluitsel op de vraag of de online privacy van social media-gebruikers wel voldoende gegarandeerd is. Vorige week bepaalde een Amerikaanse rechter dat justitie inzage krijgt in de gegevens van een Nederlandse Twitteraar in een onderzoek naar Wikileaks.

"Als gebruiker van sociale media ben je dus blijkbaar vogelvrij voor politie en justitie. Te lichtvaardig wordt gedacht dat oude regels wel volstaan, maar ik vind dat de online privacy van gebruikers specifieke rechtsbescherming behoeft", aldus El Fassed.

Voorwaarden

Volgens het Kamerlid is nu onduidelijk onder welke voorwaarden politie en justitie dergelijke gegevens mogelijk verzamelen. Ook is de rol van rechters niet precies duidelijk.

Fassad vraagt onder meer aan minister Opstelten (Veiligheid en Justitie) of de betrokkenen ingelicht worden over het besluit gegevens te overhandigen en welke vormen van rechtsbescherming in dit soort gevallen gelden.

Ook vraagt hij de minister om cijfers te leveren van hoe vaak politie en justitie in Nederland de medewerking vorderen van bijvoorbeeld Twitter, Hyves en Facebook.

Bron: nu.nl

vrijdag 4 november 2011

Beveiligingsprobleem ontdekt bij groot aantal webwinkels


AMSTERDAM – Bij een groot aantal webwinkels zijn beveiligingsproblemen aangetroffen na onderzoek van Daniël Heesen.

Dit meldt Webwereld.

De 17-jarige ict-student was nieuwsgierig geworden na het nieuws dat cheaptickets.nl zo lek als een mandje was. Door een lek in een server van Cheaptickets.nl waren gegevens, waaronder tickets en paspoortnummers, van 715.000 klanten beschikbaar voor kwaadwillenden.

De website van cheaptickets hanteert het thuiswinkel waarborglabel en Heesen was benieuwd of meer webpagina's met het waarborgmerk beveiligingsproblemen hadden.

Het Thuiswinkel Waarborg is een kwaliteitskeurmerk dat de veiligheid moet garanderen als een consument producten en diensten wil aanschaffen via internet.

Kruidvat

Conclusie van Heesen is dat de webpagina’s van thuiswinkels als Kruidvat, BCC en V&D makkelijk te kraken zijn. In totaal was de beveiliging van 160 webwinkels ontoereikend. In totaal nam de student 1200 internetwinkels onder de loep. Het overgrote deel van de sites die niet in orde bleken, heeft het lek inmiddels gedicht.

Op de websites werden xss-lekken aangetroffen, zogenaamde cross-site scripting. Hierdoor is het mogelijk om in te breken bij de webwinkels en deze te voorzien van een eigen pagina, informatie of programmacode om gegevens van klanten te stelen.

Directeur

Directeur Wijnand Jongen van brancheorganisatie Thuiswinkel.org benadrukt dat webwinkels zelf verantwoordelijk zijn voor het beveiligen van hun website.

De brancheorganisatie wil in de toekomst wel gaan controleren of webwinkels een veilige webomgeving bieden. De directeur vindt het goed dat het onderwerp door de actie van de 17-jarige student hoog op de agenda is komen te staan.