New 0-day Vulnerability in Internet Explorer

By Wolfgang Kandek on December 29, 2012 5:39 PM

 

Microsoft just made public advisory 2794220 for a new vulnerability that affects Internet Explorer 6, 7 and 8. Yesterday Fireeye had published a post on their blog describing an active attack on that vulnerability hosted on the Council of Foreign Relation's (CFR) website, which they believe to have been active since Dec 21st. The attack on CFR's site is targeted, works only against IE 8 and uses Adobe Flash to setup the environment necessary.

Internet Explorer 9 or 10 are not affected by this vulnerability and upgrading to these versions of IE is a good option for individual users. IT admins that cannot up[garde that fast, should take a look at the EMET toolkit which Microsoft has been listing as a defensive workarounds for this attack and as well as the last IE 0-day in September (2757760). 

Microsoft's SRD blog post goes over the technical details of the current attacks and provides some insight how the attackers circumvent IE's built-in protection mechanisms by using a components from Flash, Java and Office.

Bron: Laws of Vulnerabilities

Spear Phishing Remains Preferred Point of Entry in Targeted, Persistent Attacks

Persistent targeted attacks against the government, financial services, manufacturing and critical infrastructure take on many characteristics. Attackers can have different backgrounds and motivations, and the tools they use can range from commodity malware to zero-day exploits.

One characteristic that’s consistent throughout most of these campaigns against high profile organizations is the initial means of infiltration—spear phishing.


Nine times out of 10, attackers walk into an organization right through the front door of its Exchange Server, crafting convincing email messages purportedly from a trusted source that either trick the victim into opening an infected attachment or visiting a website where credentials are stolen, or malware is surreptitiously installed on the visitor’s machine. In any event, the first wave of the targeted attack kicks off from a lowly email.

Even the most security conscious organizations in the world such as RSA Security, which was infiltrated nearly two years ago by hackers after the source code of its flagship SecurID authentication token, are liable to fall victim to a spear phishing message.  Why? Because spear phishing works.
Spear phishing as a craft has improved tenfold over what it was a half-decade ago when messages were shady even to the untrained eye. The grammar in the messages was bad, the spelling even worse. Sometimes company logos were out of date, and messages just wouldn’t pass the smell test. Now it’s nigh impossible to sniff out phony messages from the real deal. Humans trust email as a platform, and that’s their first downfall, experts say.

“Most organizational management and security teams understand what spear phishing is. The problem is they do not know how, or do not have the time and resources, to teach people what phishing is and how to detect or defend against it,” said Lance Spitzner, a SANS Institute instructor and inventor of the honeypot. “As such, they continue to be highly vulnerable to spear phishing attacks.”

Spitzner is a big proponent of awareness training inside organizations, training them not only what phishing attacks look like, but what to do if they’re phished.
“Spear phishing works because people have not been trained on how to detect such attacks. Even if they do fall victim, if people can figure out after the fact they did something wrong and then report it right away, this is still a win,” Spitzner said. “If you teach people even the basics that email is an attack platform, and simple steps to detect common attacks, you can still have a dramatic impact.”
Enterprises, however, are losing that fight. A Trend Micro research paper revealed that 91 percent of targeted attacks observed between February and September of this year involved spear phishing. Attackers involved in nation-state sponsored APT-style attacks prefer spear phishing as a means for reaching high-ranking executives or technology managers with privileged access to high-value systems.

The majority of spear phishing messages (94 percent), meanwhile, contain malicious yet common file types as attachments, i.e., PDFs, Excel spreadsheets or Word documents. Rarely are executable files send via email attachments since most security systems will detect these; if they are sent, they’re usually compressed and sent in a password-protected archive file such as .zip or .rar.
“People normally share files (e.g., reports, business documents, and resumes) in the corporate or government setting via email,” the Trend Micro report said. “This may be due to the fact that downloading off the Internet in such a setting is frowned upon. That is why a higher number of spear-phishing emails with attachments are sent to targets in the corporate or government sector. “

Government agencies and activist groups are the most targeted via spear phishing, Trend Micro said. Most often, members of these types of organizations have some type of biographical information available online either on agency websites or social media pages, treasure troves for attackers mining for organizational data to be used in social engineering.
“In a lot of cases, these emails are not true spear phishing. The attacker may simply customize the ‘From’ address to match the victim organization or include the company name in the subject line,” Spitzner said. “The state of awareness is so poor that even basic spear phishing is effective.  Long story short, it does not take a lot of time.”

Prior to a spear phishing campaign, attackers invest time doing reconnaissance prior to an infiltration. They scour social media sites, or purchase stolen information underground to profile an organization and understand exactly whom they want to target with a phishing message. This person would have access to systems or files of most interest to a particular mission.
Once inside, victims are often infected with a remote access Trojan (RAT) that gives an attacker a persistent backdoor into a network. The RAT can communicate with the attacker and send back system information, legitimate credentials and more that would allow the infiltrator to pivot from system to system until they land on the information they’re after.

“Our findings highlight how spear phishing aids APT attacks because of the vast amount of information available at the touch of our fingertips,” Trend Micro said. “Organizations should strive to improve their existing defenses and take into careful consideration what types of and how much information they make available online.”

Spear phishing is a different animal than a generic spam campaign pushing illicit pharmaceuticals, for example Spitzner said the best defense is continuous training inside an organization.
“We patch computers at least once a month, so too should you teach people in your awareness program. Far too many organizations take a compliance approach and teach people only once a year,” Spitzner said. “Active internal phishing assessments also work well.  You do not need to spend a lot of money on these.”

A recent private summit sponsored by RSA Security also pointed to the effectiveness of people-focused breach prevention programs.
“Many of the preventative security measures discussed at the Summit focused on people, not systems,” RSA said in a report on the summit. “Delegates generally observed a trend toward treating internal employees as ‘a less trusted space."

Bron: Threatpost

Update: Adobe Working to Confirm New Reader Zero-Day Sandbox-Bypass Exploit

Adobe said today it has been in contact with the Russian security company Group-IB, which discovered a zero-day vulnerability in Adobe Reader and yesterday reported the existance of a pricey exploit circulating on the black market.
The exploit, according to Group-IB, bypasses Adobe’s sandbox protection in Reader, and is selling for upwards of $50,000. Group-IB head of international projects Andrey Komarov said attackers are using malformed PDF documents with specially crafted forms to get shellcode on compromised machines.

"We received a response from Group IB this morning and are now in communication so we can make a determination on whether or not this is in fact a vulnerability and a sandbox bypass," said Adobe senior manager of corporate communications Wiebke Lips.
While the exploit is expensive and currently has limited availability underground, Komarov said, it has been added to the Black Hole Exploit Kit. Version 2.0 of Black Hole was released in September with a host of new features, including random domain generation and exploits targeting Java and other methods used to execute drive-by downloads and other Web-based attacks. Given the exploit's lack of general availability, it's unlikely it has been added to the commercial version of Black Hole, and more likely a customized version.

“For now, this flaw is distributed only in small circles of the underground but it has the potential for much larger post-exploitation methods,” Komarov said.

Komarov added that there are limitations to the exploit. He said a successful exploitation requires the user to close and restart their browser.

“The vulnerability has a very significant vector to be spread with bypassing of the internal Adobe X sandbox, which is appealing for cybercrime gangs because in the past there was no documented method of how to bypass it with shellcode execution,” Komarov said.
Adobe recently upgraded Reader XI and Acrobat XI with better sandbox functionality and a feature that forces DLLs loaded by those applications to use address space layout randomization (ASLR), a capability that reduces the risk of memory corruption attacks. Sandbox protection processes untrusted content before it’s exposed to the underlying system.

Krebs on Security reported that the author of Black Hole confirmed the exploit was in circulation and not widely available. He added that the Black Hole author was hopeful to include it in the exploit kit soon. Regardless, should the attack find its way into an available exploit kit, it would put any number of large enterprises, manufacturers, government agencies and military organizations at risk. Zero-days such as this one are central to targeted attacks against high-value intellectual property.

“The good news is that the exploit costs $50,000, which limits the purchase of it to defense contractors, nation states and some criminal organizations that may be able to recoup the cost of purchase,” said Marcus Carey, security researcher with Rapid7. “It’s good that Group-IB has publicly disclosed this vulnerability in Adobe, and hopefully Adobe will be able to get their hands on this exploit and patch it as soon as possible to safeguard customers.”

Carey advises users who do not need the Adobe plug-in to disable it and be cautious about opening PDF attachments.
“Once this exploit is available to the public, there is potential for it to be added to Black Hole and other exploit kits and it may even be improved from its current state for malicious intent to address multiple platforms,” Carey said.

Bron: Threatpost

Hacker wist data Galaxy-telefoons op afstand

Kwaadwillenden kunnen simpel via een site, sms of NFC de Samsung Galaxy S II, S III of Ace resetten naar fabrieksinstellingen en alle data wissen, zonder dat de gebruiker iets kan doen.

Verschillende smartphones van Samsung hebben een heel nare kwetsbaarheid, waarmee kwaadwillenden het toestel volledig kunnen wissen. Het enige wat het slachtoffer hoeft te doen is het openen van een sms'je, het bezoeken van een website, of het ontvangen van een commando via NFC.

Commando's op afstand

Het gat maakt misbruikt van het zogenaamde USSD-protocol waarmee telefoons kunnen communiceren met servers en opdrachten kunnen ontvangen. De commando's hebben de vorm van simpele codes, zoals bijvoorbeeld "tel:*2767*3855%23", waarmee alle data wordt gewist en de fabrieksinstellingen worden hersteld.
Deze code kan eenvoudig in een website worden ingebakken, bijvoorbeeld door middel van een iFrame.
Normaliter volgt er nog een waarschuwing en een prompt om een USSD-commando al dan niet uit te voeren, maar Samsung heeft die eruit gehaald bij verschillende Galaxy-toestellen. Daardoor wordt het reset-commando bij het bezoek van een pagina met de USSD-code direct en onherroepelijk uitgevoerd. Met een ander commando kan bijvoorbeeld ook nog de SIM-kaart worden geblokkeerd.

Reset via site, NFC, sms, wap of QR

De hack werd door Ravi Borgaonkar gedemonstreerd op de EkoParty hackersconferentie in Argentinië. Hij resette met een USSD-commando via NFC een Galaxy S III. Maar volgens Borgaonkar werkt het ook via push sms, wap, en QR-codes.
Het is nog niet precies duidelijk welke toestellen met welke Android-versies precies kwetsbaar zijn voor welk USSD-commando.

Bron: Webwereld

Mobile Pwn2Own: iPhone 4S hacked by Dutch team

Summary: How long would it take a determined attacker to hack into Apple's iPhone 4S from scratch? A Dutch research team uses the Pwn2Own contest to provide the answer.

AMSTERDAM -- How long would it take a determined attacker to hack into Apple's iPhone device from scratch?
That was the intellectual challenge that drove a pair of Dutch researchers to start looking for an exploitable software vulnerability that would allow them to hijack the address book, photos, videos and browsing history from a fully patched iPhone 4S.
The hack, which netted a $30,000 cash prize at the mobile Pwn2Own contest here, exploited a WebKit vulnerability to launch a drive-by download when the target device simply surfs to a booby-trapped web site.
"It took about three weeks, starting from scratch, and we were only working on our private time," says Joost Pol (photo left), CEO of Certified Secure, a nine-person research outfit based in The Hague. Pol and his colleague Daan Keuper used code auditing techniques to ferret out the WebKit bug and then spent most of the three weeks chaining multiple clever techniques to get a "clean, working exploit."


"We really wanted to see how much time it would take a motivated attacker to do a clean attack against your iPhone. For me, that was the motivation. The easy part was finding the WebKit zero-day," Pol said in an interview.
"It was a basic vulnerability but we had to chain a lot of things together to write the exploit," Pol said, making it clear that the entire exploit only used a single zero-day bug to sidestep Apple's strict code signing requirements and the less restrictive MobileSafari sandbox.

The exploit itself took some jumping around. With the WebKit bug, which was not a use-after-free flaw, the researchers had to trigger a use-after-free scenario and then abuse that to trigger a memory overwrite. Once that was achieved, Pol and Keuper used that memory overwrite to cause a read/write gadget, which provided a means to read/write to the memory of the iPhone. "Once we got that, we created a new function to run in a loop and used JIT to execute the code without signing," Keuper explained.

It was a clever end-around Apple's code signing requirements and Pol described the entire exploit as "messing up the iPhone state internally in such a fashion that we got a lot of little bugs."
"We specifically chose this one because it was present in iOS 6 which means the new iPhone coming out today will be vulnerable to this attack," Pol said. Over the course of the research, Pol and Keuper tested the exploit on the iOS 6 GM (golden master) code and also confirmed that it worked on the iPad, iPhone 4, iPod touch (all previous versions).

Although the successful attack exposed the entire address book, photo/video database and browsing history, Pol and Keuper said they did not have access to the SMS or e-mail database. "Those are not accessible and they're also encrypted," Keuper explained.

Despite obliterating the security in Apple's most prized product, Pol and Keuper insists that the iPhone is the most secure mobile device available on the market. "It just shows how much you should trust valuable data on a mobile device. It took us three weeks, working from scratch, and the iPhone is the most advanced device in terms of security."
"Even the BlackBerry doesn't have all the security features that the iPhone has. For example, BlackBerry also uses WebKit but they use an ancient version. With code signing, the sandbox, ASLR and DEP, the iPhone is much, much harder to exploit," Pol said matter-of-factly.
He reckons that the Android platform is also "much better" than BlackBerry and said the decision to go after iPhone 4S at Pwn2Own was simply aimed at going after the harder target.
"We really wanted to show that it is possible, limited time, with limited resources, to exploit the hardest target. That's the big message. No one should be doing anything of value on their mobile phone," Pol said.
Pol said he never considered the value of the vulnerability and exploit on the open market. "We have a successful company so money is not our motivation. How much did we win? I don't even know for sure. We are not in the business of selling zero-days. That's boring."
"It's really about the research to make a fair, transparent and open message that a motivated attacker will always win."

During the Pwn2Own attack, Pol created a web site that included an amusing animation of the Certified Secure logo taking a bite of the Apple logo. The drive-by download attack did not crash the browser so the user was oblivious to the data being uploaded to the attacker's remote server. "If this is an attack in the wild, they could embed the exploit into an ad on a big advertising network and cause some major damage."

The duo destroyed the exploit immediately after the Pwn2Own hack. "We shredded it from our machine. The story ends here, we're not going to use this again. It's time to look for a new challenge," Pol said.
He provided the vulnerability and proof-of-concept code that demonstrates the risk to contest organizers at HP TippingPoint Zero Day Initiative (ZDI).
Pol also wanted to make a larger point about vulnerablity research and the way it is perceived in the industry. "You know, people think that these things are so hard to do, that it's only theoretical and that it's only Charlie Miller or Willem Pinckaers (previous Pwn2Own winners) capable of doing this. There are many people -- good and bad -- who can do this. It's important for people to understand, especially businesses, that mobile devices should never be used for important work."

"The CEO of a company should never be doing e-mail or anything of value on an iPhone or a BlackBerry. It's simple as that. There are a lot of people taking photos on their phones that they shouldn't be taking," Pol said, emphasising that a mass-attack using rigged ad networks could be incredibly dangerous.

Bron:  zdnet

Chapcrack and CloudCracker Unlock MS-CHAPv2-Based VPN Traffic

For those of us who missed David Hulton and Moxie Marlinspike’s Defcon 20 presentation on cracking MS-CHAPv2, here is an overview:

1) All users and providers of PPTP VPN solutions should immediately start migrating to a different VPN protocol. PPTP traffic should be considered unencrypted.

2) Enterprises who are depending on the mutual authentication properties of MS-CHAPv2 for connection to their WPA2 Radius servers should immediately start migrating to something else.

That is all, have a nice day…
Wait a minute, “PPTP traffic should be considered unencrypted,” what???
A recently released article by Moxie explains in detail how they are able to crack MS-CHAPv2 communication, used in many PPTP based VPNs with a 100% success rate. But that is not all, the protocol is also used in WPA2 enterprise environments for connecting to Radius authentication servers.
Ouch…

When VPNs started to become popular I remember the constant mantra that remote VPN communication is safe because it uses PPTP, safely encapsulating your traffic before sending it over the web. Well, it looks like this may not be the case anymore.
From Moxie’s article the weakness lays in the user password hash and three DES keys used in the encoding operation:

“The hash we’re after, however, is used as the key material for three DES operations. DES keys are 7 bytes long, so each DES operation uses a 7 byte chunk of the MD4 hash output. This gives us an opportunity for a classic divide and conquer attack. Instead of brute forcing the MD4 hash output directly (a complexity of 2128), we can incrementally brute force 7 bytes of it at a time.“

The keys come from the output of the MD4 of the password, which is only 16 bytes. Microsoft fills in the difference by padding the last key with zeros:

In doing so, this can significantly reduce the cracking time. Moxie created a tool called Chapcrack that will pull the necessary information from a network packet capture and cracks the third DES key. But this still leaves the first two DES keys, which could take a long time to crack.
Unless, that is, you take the output from Chapcrack and upload it to CloudCracker.
Cloudhacker is an online password cracking service that connects to a mean FPGA based box built by Pico Computing that they claim can crack any DES key within 24 hours:

“They were able to build an FPGA box that implemented DES as a real pipeline, with one DES operation for each clock cycle. With 40 cores at 450mhz, that’s 18 billion keys/second. With 48 FPGAs, the Pico Computing DES cracking box gives us a worst case of ~23 hours for cracking a DES key, and an average case of about half a day.”

So basically, if you can get a network packet capture, you can use Chapcrack to pull the DES key from it, and then pass it to CloudCracker to crack it within 24 hours. Then you can decrypt the entire network packet capture, or login to the users VPN or radius server.
Nice…
Looks like it is time to move on from MS-CHAPv2 based security products.

Bron: Infosecisland

New Attack Uses SSL/TLS Information Leak to Hijack HTTPS Sessions

There is a feature supported by the SSL/TLS encryption standard and used by most of the major browsers that leaks enough information about encrypted sessions to enable attackers decrypt users' supposedly protected cookies and hijack their sessions. The researchers who developed the attack that exploits this weakness say that all versions of TLS are affected, including TLS 1.2, and that the cipher suite used in the encrypted session makes no difference in the success of the attack.

The attack was developed by researchers Juliano Rizzo and Thai Duong, the same pair who last year released details of a similar attack on SSL/TLS and wrote a tool called BEAST, which also gave them the ability to decrypt users' cookies and hijack sessions with sensitive sites such as e-commerce or online banking sites. That attack targeted a specific problem with the AES (Advanced Encryption Standard) algorithm as it was implemented in TLS 1.0 and SSL 3.0 and were able to use the BEAST tool to grab encrypted cookies from active user sessions that were supposedly protected by SSL/TLS.
Once they had the cookie, Rizzo and Duong could return to whatever site the user was visiting and log in using her credentials. The attack caused quite a stir in the security and cryptography communities and browser vendors were forced to issue fixes. One of the workarounds that defeated BEAST (Browser Exploit Against SSL/TLS) was to switch from TLS 1.0 to TLS 1.2 or to switch from AES to the RC4 cipher suite. However, Rizzo said that defense won't work against their new attack, which they've dubbed CRIME.

The researchers plan to present their findings at the Ekoparty conference in Argentina later this month and are not revealing exactly which feature of SSL/TLS is providing the information leak, but they said that the new attack works much like the BEAST attack. Once they have a man-in-the-middle position on a given network, they can sniff HTTPS traffic and launch the attack.
"By running JavaScript code in the browser of the victim and sniffing HTTPS traffic, we can decrypt session cookies. We don't need to use any browser plug-in and we use JavaScript to make the attack faster but in theory we could do it with static HTML," Rizzo said.
Right now, Rizzo said, both Mozilla Firefox and Google Chrome are vulnerable to the attack. However, the researchers said that the browser vendors have developed patches for the problem that will be released in the next few weeks.
"We need to load JavaScript code into the victim's browser and sniff the HTTPS traffic. All SSL/TLS versions including TLS 1.2 are affected if the implementation supports the feature that we abuse to leak information about the encrypted data," Rizzo said. "The cipher-suite being used doesn't matter, a workaround for BEAST was switching from AES to RC4 but for CRIME this is not important. The feature must be supported by the client and the server."
Rizzo said that the specific feature in TLS that he and Duong are using in this attack has not been a major subject of security research in the past.
"The risk of implementing the feature has been superficially discussed before. However we haven't found previous research showing how efficient an attack could be or any attempt by the authors of secure protocols to avoid the problem," he said.

Although the CRIME attack can use JavaScript, it's not required. Rizzo said that it really shouldn't be possible to hijack a user's session with one site just by loading JavaScript into the victim's browser from a separate site. But that's exactly what the new attack allows him to do.
In addition to their work developing the BEAST attack, Rizzo and Duong in 2011 also developed a padding oracle attack on Microsoft's ASP.NET that affected millions of applications and forced the software giant to issue an emergency patch.
 
Bron: Threatpost

Nep-Microsoftmedewerkers actief in Groningen

De Groningse politie waarschuwt inwoners van de provincie om alert te zijn op oplichters die zich als Microsoftmedewerkers voordoen. "Alle langere tijd is een groep criminelen bezig, die op slinkse wijze probeert binnen te dringen in de computers van burgers", aldus de politie. De oplichters bellen vanuit het buitenland hun slachtoffers, waarbij ze zich voordoen als medewerkers van Microsoft.

"Zo probeert men via een babbeltruc toegang tot de computer van het slachtoffer te krijgen. De oplichters gebruiken vaak de smoes dat er een virus op de computer zit en dat zij dit virus kunnen verwijderen." Vervolgens laten de oplichters het slachtoffer een programma downloaden waarmee ze controle over de machine krijgen. In sommige gevallen worden verschillende handelingen getoond waardoor het lijkt alsof er malware wordt verwijderd, in andere gevallen probeert men een virusscanner te slijten.

De politie adviseert om niet met deze mensen in zee te gaan en het gesprek te beëindigen. "Geef vooral geen inloggegevens aan deze personen." In Groningen zijn al diverse meldingen bij de Groningse politie binnengekomen.

Bron: Security.nl 

Politie vindt gestolen auto dankzij gps-signaal iPhone

De Utrechtse politie heeft een gestolen auto weten terug te vinden dankzij een iPhone die nog in het voertuig aanwezig was. De auto was van een speler van een voetbalclub in Almere, die ontdekte dat zijn autosleutels uit de kleedkamer waren gestolen. Ook de auto van de man bleek verdwenen te zijn. In de auto lag echter nog een iPhone die een gps-signaal uitzond.

Daardoor kon de gedupeerde de auto moeiteloos via de gps-ontvanger volgen en zien dat het voertuig in Utrecht was. De man waarschuwt de politie die de gestolen auto terugvindt en twee mannen die zich bij het voertuig bevinden. De 20-jarige mannen kunnen na een korte achtervolging worden aangehouden.

Bron: Security.nl

Social engineering meest effectief na lunchtijd

Aanvallen waarbij slachtoffers worden opgebeld door social engineers die informatie proberen buit te maken hebben de grootste slagingskans na lunchtijd. Dat stelt ICT-dienstverlener Sogeti naar aanleiding van de Social Engineering Challenge die het bedrijf in mei hield en waarbij het zelf ook werd gesocial engineered.

Uit de nu verschenen resultaten blijkt dat het mogelijk is bij elke Top 100 organisatie relatief eenvoudig gegevens boven water te krijgen. Een aanval midden in de week na lunchtijd blijkt bovendien het meest effectief te zijn. Daarbij maakt het niet uit of de social engineer Nederlands of Engels spreekt. Het spreken van Engels bleek zelfs een positieve invloed te hebben op het gesprek.

Gedrag
"Dit zou voort kunnen komen uit het feit dat de gesprekspartner afgeleid is van zijn normale telefoongedrag en meer moest nadenken over de bewoording van de vragen dan de inhoud", aldus de analyse.

Die concludeert verder dat het opvallend is dat het iedere deelnemer lukte om meerdere onderdelen van de gevraagde informatie te achterhalen. Geen van de bedrijven hing op of vertelde de deelnemer dat deze informatie niet toegankelijk was.

Cateraar
De verkregen informatie bestaat onder andere uit welk type software wordt gebruikt, welke browsers worden gebruikt, wat de naam is van het draadloos netwerk, welk bedrijf de archiefvernietiging doet en wie de cateraar van de organisatie is.

Om de Challenge niet te beïnvloeden werden organisaties vooraf niet ingelicht. De wedstrijd was zo opgezet dat deze binnen de kaders van de wet viel.

Bron: Security.nl

Nieuwe manier om Androidtelefoons te hacken

AMSTERDAM - Vrijwel alle Androidtelefoons zijn eenvoudig te hacken via Near Field Communication (NFC). Dan moeten deze toestellen uiteraard wel over NFC beschikken.

Dat heeft beveiligingsonderzoekers Charlie Miller bekendgemaakt tijdens de conferentie Black Hat.
NFC zit in steeds meer smartphones verwerkt. Ook bijvoorbeeld de ov-chipkaart maakt gebruik van een NFC-chip. Toestellen die ook over de techniek beschikken zijn bijvoorbeeld de Galaxy S III en HTC One X.

Via NFC kunnen twee chips met elkaar communiceren. Zo kan er saldo worden af- of bijgeschreven, maar het is ook mogelijk om bestanden, links en foto’s te delen. Omdat de applicaties die hiervoor gebruikt worden op smartphones niet veilig genoeg zijn, is het vrij eenvoudig om in te breken.
Demonstratie
Miller toonde hoe hij de controle over een Androidtelefoon kon overnemen. Het is mogelijk om een NFC-chip bijvoorbeeld dicht naast een NFC-betaalpunt te hangen. Als een gebruiker dan wil afrekenen, komt hij ook in de buurt van de malafide chip en wordt bijvoorbeeld zo malware geïnstalleerd.
Om te kunnen inbreken via NFC is het namelijk wel nodig om slechts enkele centimeters van de smartphones verwijderd te zijn. Bovendien moet de NFC-functionaliteit aanstaan. Bij betaalpunten die NFC ondersteunen, is dit uiteraard het geval.
Het grote probleem is dat de apps op telefoons vaak niet aan de gebruiker vragen of zij de opdracht die via NFC binnenkomt, willen uitvoeren of het bestand willen accepteren. Alles wordt direct geopend.
NFC is naast in Android ook in het platform Meego te misbruiken.
Browser
Miller ontdekte ook een manier om via een lek in de browser Chrome op Androidtelefoons in te breken, maar dat lek is inmiddels door Google gedicht. De zoekgigant, verantwoordelijk voor Android, heeft nog niet op de NFC-hack gereageerd.

Bron: Nu.nl

Burgers onterecht als verdachte in politiedatabase

Burgers kunnen ten onrechte als verdachten in het systeem van de Koninklijke Landelijke Politiediensten (KLPD) staan, omdat het gegevensbeheer niet aan de wet voldoet. Er is een verbeterplan.

De opslag en verwerking van gegevens bij de KLPD voldoet nog steeds niet aan de wettelijke eisen. Daardoor "is het niet geheel uit te sluiten" dat personen onterecht als verdachte in het systeem staan vermeld. Dat schrijft minister Opstelten aan de Tweede Kamer als antwoord op vragen van Tweede Kamerlid Kooiman van de SP.

Heen en weer geschoven

Het gegevensbeheer bij de KLPD moet voldoen aan een aantal regels die zijn vastgelegd in het zogeheten bedrijfsprocessensysteem Basisvoorziening Handhaving (BVH). Door een reorganisatie van de beheerdiensten bij de KLPD vorig jaar is het beheer van dat BVH enige tijd heen en weer geschoven tussen verschillende diensten. Nu is het ondergebracht bij de operationele dienst en valt het onder de verantwoordelijkheid van de operationele korpsdiensten.
Ondertussen is er wel een verbeterplan geschreven dat voorziet dat in het najaar het gegevensbeheer weer ingericht is op het bedrijfsprocessensysteem BVH en dan weer voldoet aan het gewenste niveau, verzekert de minister. Daarmee moet ook een einde komen aan het ten onrechte geregistreerd staan van niet verdachte personen. Ook moet het gegevensbeheer dan weer voldoen aan de Wet politiegegevens.

Wettelijke toetsing

Voor het einde van het jaar wordt er een onderzoek gedaan door een extern bureau waarbij wordt bezien of gegevensopslag en -beheer wel voldoet aan de wet. Een eerdere externe audit leverde juist de nu blootliggende onvolkomenheden op. Die tekortkomingen moeten via verbetervoorstellen, gebaseerd op die eerdere audit, nog dit jaar worden gerepareerd.
Of een onterechte registratie als verdachte bepaalde gevolgen kan hebben voor de persoon in kwestie, is nog niet duidelijk. Webwereld heeft hierover bij het ministerie opheldering gevraagd.

Al jaren kritiek op ict-systeem KLPD

De BVH is overigens zelf al jarenlang onderwerp van kritiek. Eind 2010 bleek uit een uitzending van EenVandaag dat het systeem, dat alle andere registratiesystemen van de politie moest vervangen, rammelde aan alle kanten. Toch werd het over heel Nederland uitgerold.
Na alle problemen heeft minister Opstelten vorig jaar beloofd dat er in 2014 een geheel nieuw systeem moet komen dat BVH gaat vervangen: de Basisvoorziening Politie. Tot die tijd wordt er flink gesleuteld aan het bestaande systeem, dat door agenten wordt verfoeid. Die verbouwingsoperatie aan het al in gebruik zijnde systeem gaat 326 miljoen euro kosten.

Bron: Webwereld

5 tips om je iPhone of iPad te laten stelen

iPhones zijn niet alleen populair onder IT-professionals en bestuurders, ook dieven weten er raad mee. Uit onderzoek van de stad New York blijkt dat het aantal gestolen iPhones in een jaar tijd met 44 procent is toegenomen. Volgens burgemeester Michael Bloomberg is het vaak de schuld van de iPhone-eigenaren zelf dat dit kan gebeuren.

Je hoeft niet in New York te wonen om je iPhone, iPad of iPod te laten stelen. Ook in Nederland zijn de Apple-apparaten ongemeen populair onder het dievengilde. Dit zijn vijf ‘tips’ om ervoor te zorgen dat je iApparaat in verkeerde handen valt.

1. Ga bij de deur zitten in een druk café terwijl je iPhone of iPad op tafel ligt
Nog niet zo lang geleden was ik in een druk café in het centrum van San Francisco. Twee dames zaten aan een tafel dichtbij de deur en waren druk in gesprek. Eén van de vrouwen legde haar iPad op tafel en verplaatste haar aandacht naar haar vriendin. Binnen een paar seconden kwam er een iThief binnen, bepaalde in een paar seconden zijn tactiek, schoof ongemerkt de iPad van tafel, stoof naar buiten en dook een steegje in, nog voordat iemand doorhad wat er was gebeurd.
Later vertelde een bediende me dat ze meerdere keren soortgelijke gevallen meegemaakt had in de paar maanden dat ze in de bar werkte – altijd waren Apple-apparaten het doelwit.

2. Draag overal de kenmerkende witte Apple-oordopjes
Wil je de wereld laten weten dat je een iPhone of iPod Touch gebruikt? Gebruik dan de bijgeleverde witte oordopjes van Apple als je op stap gaat. Mijn tip: draag in plaats daarvan een setje dopjes met het BlackBerry-logo erop.

3. Laat de witte oordopjes op een zichtbare plek in je auto liggen

Als je jouw iPhone, iPod of iPad zichtbaar in je auto achterlaat, vraag je om een inbraak. Maar vergis je niet, ook alleen de witte oordopjes zijn al voldoende aanlokkelijk voor een dief. Twee zomers geleden liet ik een setje witte dopjes op de passagiersstoel in de auto achter. (Ik had de iPhone gelukkig bij me.) Toen ik terugkwam, was een raam verbrijzeld en mijn auto overhoop gehaald – ongetwijfeld was een iThief op zoek geweest naar zijn favoriete gadget.

4. Lekker bellen tijdens het lopen
Met je telefoon bellen als je door het park loopt is cool, maar het leidt af van wat er om je heen gebeurt. Daarnaast heb je de iPhone maar met één hand vast; daarmee ben je een makkelijk iDoelwit.

5. Ga bij een uitgang van een bus of tram staan met je iPhone in de hand
Ik heb berichten gelezen dat in sommige drukke steden iThieves het gemunt hebben op reizigers die met hun iApparaat bij de uitgang van een bus, metro of tram gaan staan. Vlak voordat de deur opent, grist de iDief het apparaat uit handen van het slachtoffer en rent hij/zij pijlsnel weg. Collega Tom Kaneshige kan hier trouwens over meepraten.

Hoewel mijn tips een beetje flauw zijn, is diefstal van draagbare elektronica een serieus probleem. Vooral de apparaten van Apple zijn aantrekkelijk voor criminelen omdat ze ook tweedehands veel waarde vertegenwoordigen.
Je kunt jezelf wapenen door een wachtwoord op je toestel te zetten en je iApparaat te registreren bij Apple’s Zoek Mijn iPhone-dienst/app. Maar houd jezelf niet voor de gek. Ervaren dieven weten precies hoe ze jouw apparaat snel voor 200 euro of meer kunnen doorverkopen voordat jij aangifte hebt gedaan.
Wat kun je dan echt doen? Verberg je iApparaat in het openbaar zoveel mogelijk. Koop andere oordopjes. Let altijd op je omgeving. Als je een telefoontje opneemt tijdens het wandelen, doe dit dan nooit op druk onbekend terrein. En leg nooit je iApparaat in een druk café op tafel. Gebruik je gezonde verstand.

Lees meer: http://computerworld.nl/article/13849/5-tips-om-je-iphone-of-ipad-te-laten-stelen.html&cp

Bron: Computerworld

CBP waarschuwt voor paspoort kopietjes

Bedrijven en organisaties kopiëren steeds vaker het identiteitsbewijs van bijvoorbeeld klanten en relaties, wat identiteitsfraude kan veroorzaken, aldus het College Bescherming Persoonsgegevens (CBP). Het CBP noemt het verschijnsel 'kopietje paspoort'. Volgens de privacywaakhond kunnen mensen hiervan jarenlang financiële en maatschappelijke schade ondervinden.

"Een kopie maken van een paspoort, rijbewijs of identiteitskaart is dan ook – op enkele uitzonderingen na – bij wet verboden. Bedrijven en organisaties in de private sector kunnen in de meeste gevallen voor legitimatie volstaan met de vraag aan klanten om hun paspoort of ander identiteitsdocument te tonen."

Richtsnoer
Om de regels te verduidelijken zijn er nu richtsnoeren opgesteld voor het overnemen van persoonsgegevens en het kopiëren en scannen van identiteitsdocumenten. De richtsnoeren bevatten ter illustratie veelvoorkomende situaties waarbij om een identiteitsbewijs wordt gevraagd, zoals onder meer bij hotels en sportscholen. De richtsnoeren treden vandaag in werking.

De politie Twitterde eerder al deze week om kopietjes van identiteitsbewijzen te markeren.

Bron: Security.nl

BMW's in 3 minuten gehackt en gestolen

Britse autodieven zetten high-tech in om luxe auto's te stelen. Een stiekeme gps-zender geeft de ideale plaats en tijdstip voor de diefstal, die met een gekloonde softwaresleutel wordt gepleegd.

De leider van deze autobende is in Groot-Brittannië opgepakt. De 42-jarige man zou niet alleen de dure wagens hebben gehackt voor de diefstal maar vervolgens ook voor valse digitale identiteiten hebben gezorgd. In totaal heeft de bende de afgelopen jaren zeker 150 dure auto's buitgemaakt en die doorverkocht in Cyprus. De totale waarde van de buit is 2,5 tot 3,5 miljoen Britse ponden. De daadwerkelijke diefstal neemt slechts minuten in beslag.

Specifieke selectie

De autodieven hebben het vooral gemunt op specifieke modellen BMW's, Audi's en Range Rovers, meldt het Britse dagblad The Telegraph. De selectie van de te stelen auto's is mede gebaseerd op export van soortgelijke modellen naar Cyprus, de doelmarkt van de dieven. Op basis van die gelijkenis zijn de 'valse papieren' voor de on-board computersystemen aangemaakt.
De opgepakte hoofdverdachte had gedetailleerde gegevens in zijn bezit van 500 luxe auto's. Voor 300 stuks had hij al valse registraties gemaakt. De diefstal zelf is gepleegd door eerst het on-board systeem te hacken, om daaruit informatie te stelen over de softwaresleutel van de auto. Dat hacken moest wel in de auto zelf gebeuren, waarbij gelijk ook een gps-tracker is geplaatst.
Een demo van december vorig jaar toont het hacken van een BMW X6 om de auto te starten zodat een dief er gewoon mee kan wegrijden:

Ophalen en rustig wegrijden

Dankzij de gps-gegevens van die stiekeme tracker konden de dieven bepalen wanneer het ideale moment en waar de ideale plaats was om ongestoord de auto te stelen. Die diefstal bestond uit het simpelweg met de gekloonde softwaresleutel instappen en wegrijden in de wagen. Bij de voorbereidende eerste inbraak om de sleuteldata buit te maken en de gps te plaatsen, hebben de dieven een stoorzender gebruikt om de op afstand bediende automatische sloten te omzeilen.

Bron: Webwereld
 

'Internetbankieren altijd onveilig, alle pc's besmet'

Banken moeten er altijd vanuit gaan dat de pc's van hun klanten geïnfecteerd zijn met malware als ZeuS en SpyEye. Daar moeten beschermingsmaatregelen op gericht zijn.

Dat stelt ENISA, het Europese agentschap voor netwerk- en informatiebeveiliging. Die organisatie zegt dat het tegenwoordig veiliger is te veronderstellen dat een pc per definitie is besmet in tegenstelling tot het voorlichten van klanten over hoe een besmetting te voorkomen.
Daarbij is een standaard tweeweg authenticatie niet voldoende omdat dat niet verhindert dat een man-in-the-middle-aanval (of man-in-the-browser) financiële transacties kan afvangen. "Daarom is het belangrijk dat banken transacties checken op het juiste bedrag en bestemming via een beveiligd en betrouwbaar kanaal", schrijft ENISA in zijn aanbevelingen aan de financiële sector. De beveiligers zeggen dat een sms, telefoontje of een standalone smartcardlezer met beeldscherm daarvoor kunnen worden gebruikt.

Wereldwijde aanpak nodig

ENISA heeft vooral gekeken naar de bedreigingen die worden veroorzaakt door malware die zich agressief verspreidt via botnets. Omdat de criminelen daarachter gebruik maken van de mogelijkheden die geboden worden over de hele wereld, moet ook de bestrijding ervan wereldwijd worden georganiseerd. Zowel in preventie als in repressie, zegt het agentschap.
De bestrijding van de criminelen is lastig vanwege drie specifieke redenen, zegt ENISA. Ten eerste is de aanval ultiem geautomatiseerd, daardoor razendsnel op te zetten en te verplaatsen. Dat kan door onder meer de locatie van de Command & Control-servers steeds te verplaatsen en de aanval op de prooi haast achteloos uit te voeren waardoor het nauwelijks wordt opgemerkt door de benadeelde,

Aanvallen zijn buitengewoon slim

Verder valt ENISA de slimheid achter de aanvallen op, waardoor de standaard beschermingsmaatregelen van banken simpelweg worden omzeild of zelfs overgenomen, zoals de standaard tweewegauthenticatie. Ook wordt de uitvoering van fraude niet ontdekt omdat die transacties verborgen plaatsvinden. Het derde opvallende aspect is dat de aanvallers niet ad random mensen aanvallen, maar gericht op zoek gaan naar de meest lucratieve bankrekeningen. ENISA noemt als voorbeeld een aanval die specifiek was gericht op 5000 pc's in Nederland.
Die klanten worden geïdentificeerd via online verkenningen en soms spearphishing. Daardoor konden de mensen met een aardige bankrekening eruit worden gepikt. De tweede fase is het laden van malware op de pc van het slachtoffer. De derde fase is dat de malware uiteindelijk zelfstandig transacties uitvoert op de bankrekeningen van het slachtoffer, zelfs overschrijvingen regelt tussen spaar- en betaalrekeningen en die leegrooft door geld over te maken naar buitenlandse rekeningen.

Bron: Webwereld

4 IT-gevaren van stille zomerdagen

De hete zomerzon brandt personeel weg uit hun kantoren, maar dat betekent niet dat IT’ers op hun lauweren kunnen rusten. Volgens beveiligingsexperts geven vakanties juist nieuwe problemen in een tijdperk dat mensen hun eigen apparaten gebruiken op het bedrijfsnetwerk. Cybercriminelen gaan vaak ook op vakantie, maar hacktivisten met een politiek ideaal grijpen de vakantie aan als een ideaal moment om toe te slaan. Dit zijn vier uitdagingen die je tijdens deze warme zomermaanden tegenkomt.

1. Evenementen

Grote sportevenementen als de Olympische Spelen en de Tour de France trekken cybercriminaliteit aan. “Scammers passen hun methode aan op de populariteit van de Spelen”, waarschuwt beveiligingsadviseur Chester Wisniewski van Sophos. “We zien nu al veel phishingmails die zijn toegespitst op de Spelen. ‘Je bent winnaar van de speciale Olympische trekking’ of ‘Je hebt een all-inclusive reisje naar de Olympische Spelen in Londen gewonnen’ – dat soort dingen.”
Het webverkeer neemt flink toe tijdens een belangrijk sportevenement. Wisniewski verwacht dat het online druk gaat worden, vooral bij websites die dan veel verkeer trekken zoals de NOS of Eurosport. Voor cybercriminelen worden dit opeens bijzonder aantrekkelijke doelwitten en dat betekent dat gebruikers die vanaf werk inloggen het bedrijfsnetwerk potentieel blootstellen aan gevaar.

2. Zomervakanties

“Het seizoen waarin de meeste mobiele apparaten op reis gaan, is ook het seizoen waarin dieven op zoek gaan naar smartphones en laptops”, zegt Ward Clapman, een voormalig medewerker van de politie die nu voor Absolute Software werkt. Dit bedrijf spoort vermiste apparaten op. “Van juni tot en met augustus verdwijnen deze gadgets aan de lopende band. En tegelijk gaat er allerlei bedrijfsinformatie verloren.”
Volgens Clapman is het zaak dat bedrijven in het BYOD-tijdperk werknemers waarschuwen voor diefstal tijdens de vakantie. “Mensen vertonen meteen risicovol gedrag waar allerlei criminelen op bedacht zijn. Zo verklappen bijvoorbeeld de kinderen van werknemers op Facebook of Hyves wanneer de familie precies op vakantie is.”
Clapman vertelt dat 5 procent van alle smartphones in de VS het komende jaar kwijtgeraakt of gestolen zullen worden. Een op de tien laptops wordt tijdens zijn levensduur gestolen. “Dit betekent dat een IT-afdeling er rekening mee moet houden dat 5 procent van mobiele resources kan verdwijnen, vooral in een BYOD-omgeving.”
“Er moet een beleid zijn om dit verlies op te vangen. De CSO moet erkennen dat dit zeker gaat gebeuren en moet plannen maken over het zoveel mogelijk voorkomen van deze problemen, het omgaan met diefstal of verlies en de technische afhandeling. Dit is een onomkeerbare, belangrijke trend.”

3. Hacktivisme

“Vroeger was de zomer een rustige tijd omdat criminelen net zo goed op vakantie gingen”, zegt Wisniewski. “Maar dit is de afgelopen jaren veranderd met de komst van hackergroepen met politieke idealen zoals Anonymous en Lulzsec.” Wisniewski merkt op dat hacktivisten vooral actief zijn tijdens lange weekenden, vakanties en zomerdagen omdat ze weten dat er dan minder mensen opletten.
“De hack bij HB Gary gebeurde tijdens de kerstdagen en hackers braken tijdens pasen bij Sony in”, vertelt de beveiligingsadviseur. “Wanneer je weet dat de IT-afdeling aan het kerstdiner of de paasbrunch zit, besef je dat dit een ideaal moment is om toe te slaan.”

4. Beveiligingscongressen

De zomer is de tijd voor beveiligingscongressen, inclusief hackercongressen als DefCon en Black Hat die allebei in juli plaatsvinden. “Op dit soort evenementen worden vaak nieuwe kwetsbaarheden onthuld”, legt Wisniewski uit. “Deze creëren nieuwe mogelijkheden voor mensen om zwakke plekken uit te buiten voordat bedrijven de tijd hebben om zich er tegen te wapenen.”
Hij wijst op een Black Hat evenement van drie jaar geleden waar beveilingsonderzoeker Moxi Marlinspike een methode liet zien om SSL-verkeer te onderscheppen. “Vanwege de media-aandacht en de presentatieflair van de onderzoekers, zie je vaak dat een vloot mensen meteen aan het experimenteren gaat met deze nieuwe methoden.”

Bron: Computerworld

Lees meer: http://computerworld.nl/article/13817/4-it-gevaren-van-stille-zomerdagen.html&cp

Lees meer: http://computerworld.nl/article/13817/4-it-gevaren-van-stille-zomerdagen.html&cp

Doorsnee website bevat 79 ernstige lekken

Een doorsnee website op internet bevatte vorig jaar 79 ernstige beveiligingslekken, veel minder dan in eerdere jaren. Dat beweert beveiligingsbedrijf WhiteHat Security in een nieuw onderzoeksrapport. In 2010 ging het nog om 230 kwetsbaarheden, terwijl in 2007 de teller bij 1111 lekken stopte. De cijfers zijn gebaseerd op 7.000 websites van 500 verschillende organisaties. Websites van banken bleken het "best" beveiligd, aangezien de onderzoekers per website gemiddeld 17 ernstige lekken aantroffen. Webwinkels zijn met 121 kwetsbaarheden per website de grootste vergiet.

Cross-site scripting is het meest voorkomende probleem en werd in 55% van de websites aangetroffen. Het lekken van informatie is tweede met 53%, gevolgd door content spoofing (36%). Het gevaarlijke SQL Injection waardoor aanvallers toegang tot databases kunnen krijgen, is op 11% van de websites aanwezig.

Oplossen
De onderzoekers keken ook naar de tijd die bedrijven nodig hebben om kwetsbaarheden te verhelpen en de tijd dat deze lekken bekend zijn. Het verhelpen van SQL Injection duurt gemiddeld 53 dagen, terwijl het probleem gemiddeld 110 dagen op de website aanwezig is. Het oplossen van Cross-Site Scripting neemt gemiddeld 65 dagen in beslag en is in totaal 131 dagen op een website aanwezig.


Bron:  Security.nl

Nieuw DigiD legt veiligheid bij de gebruiker

Het vernieuwde DigiD laat Nederlanders zelf hun gegevens wijzigen. Beveiliging is meer aan die gebruiker zelf. DigiD versie 4 is vorige maand al live gegaan, gelijk met problemen.

Het identiteitssysteem van de Nederlandse overheid is gisteren officieel gelanceerd door minister Liesbeth Spies van Binnenlandse Zaken en Koninkrijksrelaties. Zij heeft op de lanceringsbijeenkomst gesteld dat burgers niet goed de verantwoording nemen voor beveiliging, ook van DigiD. "Als je je verloofde de deur uitzet, is het niet ongebruikelijk om het slot te veranderen", tekent nieuwssite Nu.nl op uit haar mond.

Beveiligingsniveau naar keuze

De minister verklaart dat veel mensen niet beseffen dat DigiD ook een soort sleutel is. "Het moet me van het hart dat we af en toe ook wel eens een beroep op het gezond verstand van mensen mogen doen." Het vernieuwde identiteitssysteem van de Nederlandse overheid doet dat deels door gebruikers te laten kiezen uit een beveiligingsniveau voor hun aanmelding.
Hierbij zijn er drie keuzes: óf inloggen met gebruikersnaam en wachtwoord, óf met ook nog eens een sms-code, óf met een chippas. De sms-code is een gratis toegestuurd bericht, vergelijkbaar met de TAN-codes van de ING. De chippasoptie is nog niet beschikbaar, want dit is voor een nog in te voeren elektronische identiteitskaart. Daarnaast is op DigiD zelf te zien waar en wanneer zoal is ingelogd. Dit moet inlogs door onbevoegden dan aan het licht brengen.

'Niet veilig genoeg'

Ondanks de aangeprezen verbeteringen in DigiD acht beheerder Logius het systeem niet veilig genoeg voor bijvoorbeeld inloggen op webwinkels. Een nationale e-identiteit die ook elders bruikbaar is, is DigiD vooralsnog niet. "Daar is DigiD zelf gewoon niet veilig genoeg voor", zegt Logius-directeur Steven Luitjens tegen Binnenlands Bestuur.
Hij voelt wel wat voor het idee achter zo'n meer universele identiteit en inlog. "Partijen moeten elkaar niet gaan beconcurreren op authenticatieoplossingen", oordeelt Luijtjens die het voorbeeld noemt van de banken die hun pinpassen uiteindelijk wel compatibel hebben gemaakt voor elkaars systemen.

Storing door migratie

Het 'nieuwe' DigiD is al ruim een maand geleden in gebruik genomen. Daarbij is de dienst in een weekend gemigreerd, waarna het op maandagochtend onderuit is gegaan door een flinke storing. Het hele DigiD-systeem lag toen zeven uur plat door overbelasting van een database. Het ging niet om een nieuwe database en ook niet om een piekbelasting, maar simpelweg om het maandagochtend op gang gekomen normale DigiD-verkeer.

Bron: Webwereld

Defensie bereidt zich voor op digitale oorlog

 

BREDA - Het Nederlandse leger gaat in de toekomst zelf internetaanvallen uitvoeren om tegenstanders uit te schakelen. Ook wil Defensie hackers inzetten.

Dat zegt Minister Hans Hillen (Defensie) woensdag in Breda tijdens de opening van het Cybersymposium op de Nederlandse Defensie Academy. Later woensdag zal hij zijn Cyberstrategie naar de Tweede Kamer sturen.
Voor de minister is digitale veiligheid en oorlogsvoering van vitaal belang.
Opvallend in de strategie is het aanvallende karakter. Het ministerie van Oorlog werd ooit omgedoopt tot het ministerie van Defensie, maar voor de digitale ambities wordt actief oorlog voeren niet langer uitgesloten. De minister roept daarvoor het Cyber Defense Commando in het leven.

Uitschakelen

"Als zwaardmacht moet de krijgsmacht naar mijn overtuiging ook in het digitale domein offensief kunnen optreden. Het uitschakelen van een tegenstander blijft de bijzondere taak van de krijgsmacht. Ook in het digitale domein", stelt Hillen.
"Kennis van offensieve methoden en technieken is bovendien noodzakelijk voor het versterken van de digitale weerbaarheid."

Geheime dienst

Om goed oorlogsvoering te kunnen bedrijven, leunt Hillen op de kunde van de Militaire Inlichtingen en Veiligheidsdienst (MIVD). "Bij het ontwikkelen van de offensieve operationele capaciteiten van de krijgsmacht zal gebruik worden gemaakt van kennis en capaciteit van de MIVD", stelt hij.
"De Commandant der Strijdkrachten kan de offensieve middelen op grond van een mandaat van de regering in een militaire operatie inzetten."

Rol MIVD

De rol van de MIVD wordt hiervoor ook verder uitgebreid. "Het bezitten van een hoogwaardige inlichtingenpositie in het digitale domein is nodig voor zowel de bescherming van de eigen infrastructuur als het uitvoeren van operaties", betoogt Hillen.
"Zij (de MIVD, red.) moeten inzicht hebben in zowel de technische dreiging als in de intenties van aanvallers. Ook zullen zij over het vermogen moeten beschikken om pogingen tot digitale spionage te verstoren en te stoppen."

Hackers

Belangrijk is volgens de minister dat het leger innoveert. Zo komt er een cyberleerstoel op de Nederlandse Defensie Academie, wordt er geïnvesteerd in onderzoek en komt er een cyberlab en testomgeving om aanvallen te simuleren.
Defensie moet bovendien eerst aan kennis zien te komen en kijkt daarvoor ook naar hackers. "Onze krijgsmacht stelt zich nadrukkelijk open voor mensen die digitale kennis in huis hebben, maar waar de overheid nog te weinig gebruik van maakt: de 'white hat hacker'-community, ofwel de bonafide hackers", vertelt Hillen.
"Zij wijzen ons vaak op lekken. Daar moeten we niet boos om worden, maar gebruik van maken, want zo maken we elkaar sterker. Waarom zou een 'white hat hacker' zich niet willen inzetten om te helpen bij de verdediging van zijn eigen land? Zeker als hij daarvoor niet door de modder hoeft te kruipen, maar achter zijn computer kan blijven zitten."
Een white hat hacker wordt ook wel omschreven als ethische hacker. Zij hebben geen kwade bedoelingen, maar willen over het algemeen beveiliging verbeteren door lekken aan te tonen.

Afhankelijk

Dat zo fors wordt ingezet op de Defensie Cyber Strategie is volgens Hillen logisch. "Ook de commandovoering en de logistieke ondersteuning leunen zwaar op digitale systemen", meent hij.
"De krijgsmacht is bijna net zo afhankelijk van ICT als Bol.com. Zonder digitale middelen kan zowel onze samenleving als onze krijgsmacht nauwelijks meer functioneren. Zij zijn van levensbelang geworden."
De Defensie Cyber Strategie heeft verder ook aandacht voor betere verdediging en de opleiding van militairen, zodat zij bewuster met technologie omgaan.

Bron: Nu.nl

Facebook wijzigt zichtbaar e-mailadres alle leden

 

AMSTERDAM - Facebook heeft zonder toestemming het standaard e-mailadres van alle gebruikers aangepast naar de @facebook.com-variant.

Dat heeft het sociale netwerk maandagnacht (Nederlandse tijd) bevestigd.
Eind 2010 introduceerde Facebook een eigen e-mailadres voor alle gebruikers. Simpelweg de gebruikersnaam gevolgd door @facebook.com leverde voor alle honderden miljoenen gebruikers een nieuw adres op.
Cijfers zijn niet bekend, maar de e-maildienst is naar verluidt absoluut niet populair. Afgelopen nacht stelde Facebook zonder waarschuwing het @facebook.com-adres in als standaard.
Hierdoor is janjansen@facebook.com het enige direct zichtbare e-mailadres in onder meer de tijdlijn. Dit is door gebruikers wel aan te passen door bij contactgegevens op het eigen profiel op 'bewerken' te klikken.

Reactie

Volgens Facebook is dit geen verkapte poging meer aandacht te krijgen voor de eigen e-maildienst. Het sociale netwerk laat aan The Verge weten dat het gebruikers vrij staat te kiezen voor welke dienst dan ook.
Een woordvoerder stelt dat de handeling ook positief uitpakt voor privacy omdat de persoonlijke e-mail nu niet direct te zien is. De overige e-mailadressen zijn namelijk standaard op niet zichtbaar gezet.

Bron: Nu.nl

Aanvallers storten zich op kersvers IE-lek

Een ernstig beveiligingslek in Internet Explorer dat Microsoft vorige week patchte, wordt actief misbruikt om internetgebruikers met malware te infecteren. Het gaat om kwetsbaarheid CVE-2012-1875, die eerder bij gerichte aanvallen was ingezet. De code is inmiddels ook op de website van Amnesty International Hong Kong verschenen en besmet ongepatchte bezoekers met een Trojaans paard. 

Zowel aldus anti-virusbedrijf Symantec als de Britse virusbestrijder Sophosmelden dat de exploit in het wild gesignaleerd is. De websites van Amnesty International worden regelmatig gehackt en voorzien van kwaadaardige code. De nu gebruikte exploit zou Windows XP, Vista en Windows 7 ondersteunen en in verschillende talen, waaronder Engels, Russisch, Koreaans en Frans.

Bron: Security.nl

Researchers intercept Tatanga malware bypassing SMS based transaction authorization

Security researchers from Trusteer have intercepted a Tatanga malware variant capable of bypassing the SMS based transaction authentication protection of German banks. Here’s how it works:

The scam targets online banking customers of several German banks. When the victim logs on to the online banking application, Tatanga uses a MitB webinject that alleges the bank is performing a security check on their computer and ability to receive a Transaction Authorization Number (TAN) on their mobile device.In the background, Tatanga initiates a fraudulent money transfer to a mule account. It even checks the victim’s account balance, and will transfer funds from the account with the highest balance if there is more than one to choose from.

The victim is asked to enter the SMS-delivered TAN they receive from the bank into the fake web form, as a way to complete this security process. By entering the TAN in the injected HTML page the victim is in fact approving the fraudulent transaction originated by Tatanga against their account.

What’s particularly interesting about this Tatanga variant, is the fact that It doesn’t attempts to undermine the technology of SMS based transaction authentication, instead it attempts to undermine the process. Next to undermining the technology, the malware will also attempt to hide the fraudulent activity from the eyes of the infected victim, by modifying the account balance reports.
Go through related posts:

• Modern banker malware undermines two-factor authentication
• Citizens Financial sued for insufficient E-Banking security
• No security software, no E-banking fraud claims for you

According to Trusteer, QA (quality assurance) wasn’t applied in this sophisticated fraudulent attempt, since the message presented to the infected victim was full with grammar and spelling mistakes. As I’ve already discussed in previous posts, localization on demand, a.k.a cultural diversity on demand is available as a service within the cybercrime ecosystem, potentially allowing cybercriminals the option to have a well written and grammar and spelling mistakes-free message delivered do the prospective victims. It’s very surprising that they didn’t take advantage of such a service in this campaign.
Two-factor authentication has been under fire for years. Today’s modern crimeware variants, are fully capable of bypassing the multi-layered authentication process offered by financial institutions. What’s even worse is that in 2012, novice cybercriminals can easily take advantage of managed crimeware-as-a-service underground marker propositions, offering crimeware log files, or access to crimeware botnets.
Once you’re infected with crimeware, it’s game over. The solution? Try the concept of using a Live CD for E-banking activities, or USB sticks with write protect switch.

Bron: Zdnet

6,5 miljoen LinkedIn-wachtwoorden op straat

Er zwerft een bestand van 118 MB rond met de gehashte wachtwoorden van miljoenen LinkedIn-accounts. Security-experts waarschuwen iedereen met klem zijn of haar wachtwoord te wijzigen.

Een bestand met bijna 6,5 miljoen hashcodes is twee dagen geleden online gedumpt. Het gaat om wachtwoorden van LinkedIn-gebruikers. Webwereld heeft het zip-bestand kunnen achterhalen.
De wachtwoorden zijn versleuteld met het SHA1-algoritme, en de hashes zijn unsalted, dus relatief eenvoudig te kraken is, onder meer met online tools.

Usernames (nog) niet gelekt

De wachtwoorden zijn niet gekoppeld aan username, maar aangezien die in dezelfde database staan moet er vanuit worden gegaan dat ook die door hackers zijn bemachtigd, vertelt Ronald Prins, directeur van securitybedrijf Fox-IT, aan Webwereld. Ook de hashcode van het wachtwoord van Prins staat in het gelekte bestand, bevestigt hij.
Ook anderen melden op Twitter dat hun versleutelde wachtwoord is gelekt. De gelekte database zou al wel 7 a 8 maanden oud zijn. Maar aangezien de meeste gebruikers hun wachtwoord niet regelmatig (of helemaal nooit) wijzigen, is het lek zeer serieus.

Dringend advies: wijzig wachtwoord

De Noorse IT-site Dagens IT maakte eerder vandaag als eerste melding van het lek, dat is onderzocht door de security-expert Per Thorsheim.
Thorsheim en ook Prins van Fox-IT raden LinkedIn-gebruikers aan om hun wachtwoord te wijzigen. Prins voegt daar aan toe: "Als je dat wachtwoord ook voor andere sites gebruikt, moet je het dus ook op die andere sites wijzigen."
Update: LinkedIn zegt in een verklaring de zaak te onderzoeken.

Bron:  Webwereld

'Nederland onvoldoende voorbereid op IPv6'

AMSTELVEEN - Nederlandse bedrijven bereiden zich onvoldoende voor om de overstap te maken naar IPv6, een nieuw internetprotocol om het tekort aan internetadressen op te lossen.

Dat blijkt uit een dinsdag gepubliceerd onderzoek van advies- en accountantskantoor KPMG.
De nieuwe standaard genaamd IPv6 is de opvolger van het huidige IPv4 en moet het tekort aan beschikbare internetadressen in het huidige protocol oplossen.
 
Elk apparaat dat verbinding maakt met het internet krijgt zo'n ip-adres. IPv4-nummers zijn naar verwachting aan het eind van het jaar op. IPv6 is een veel langer nummer dat bijna oneindig is.

Concurrentie

Volgens de onderzoekers ontstaan de problemen voor bedrijven in ons land op het moment dat Europa overgaat op de nieuwe standaard, omdat het oude systeem niet kan communiceren met het nieuwe.
Daardoor kan de concurrentiepositie van bedrijven verslechteren ten opzichte van ondernemingen die al geruime tijd actief zijn met het nieuwe protocol. De oude standaard biedt mogelijk geen ondersteuning aan nieuwe technologieën.
Ook kan er een communicatieprobleem ontstaan met bedrijven in bijvoorbeeld Azië, waar systemen al op grote schaal op IPv6 draaien.
XS4ALL voorziet nieuwe klanten al automatisch van IPv6.

Bron: Nu.nl

'Invoering IPv6 kan FBI-onderzoeken belemmeren'

AMSTERDAM -  De opkomst van nieuwe ip-adressen in verband met de invoering van IPv6 zou problemen kunnen opleveren voor de FBI bij het onderzoeken van cybermisdaden.

Dat zegt een woordvoerder tegen website Cnet.
IPv6 is de opvolger van IPv4 dat nu gebruikt wordt. Het aantal IP-adressen binnen het huidige protocol is bijna op. IPv6 maakt gebruik van 128-bit webadressen waardoor er biljoenen nieuwe adressen beschikbaar komen.

Gegevens

Een woordvoerder van de FBI zegt dat er nieuwe tools moeten worden ontwikkeld nu IPv6 beschikbaar komt. De autoriteiten maken zich zorgen dat IPv6 de mogelijkheid om gegevens te verkrijgen zal belemmeren.
De FBI stuurt providers regelmatig verzoeken om informatie te delen en door IPv6 zullen de bedrijven langer nodig hebben om te reageren op de verzoeken. De providers moeten namelijk veel meer informatie opslaan van individuen en apparaten.

Lancering

De FBI zegt nog geen actie te ondernemen en de overgang naar IPv6 af te wachten omdat nu nog niet na te gaan is wat de impact zal zijn.
Op 6 juni vindt de internationale IPv6-lancering plaats. Dan zal een een aantal grote bedrijven zoals Facebook Google officieel ipv6 in gebruik nemen.

Bron: Nu.nl