VMware confirms ESX source code had been stolen and published

VMware has confirmed that software posted online is part of the source code for its ESX hypervisor and has warned that more code could be released.
The code was posted by a hacker calling himself Hardcore Charlie and may come from military contractor China National Import & Export Corp (CEIEC), which he claimed to have successfully breached earlier in the month and downloaded over a terabyte of information. The CEIEC has denied that its servers were breached.

An excerpt of the stolen code

"The fact that the source code may have been publicly shared does not necessarily mean that there is any increased risk to VMware customers," said Iain Mulholland, director of VMware's Security Response Center in a blog posting.
"VMware proactively shares its source code and interfaces with other industry participants to enable the broad virtualization ecosystem today. We take customer security seriously and have engaged internal and external resources to thoroughly investigate."
While the admission is embarrassing for VMware there may be more code to come from other vendors. Hardcore Charlie has said on his Twitter feed that he also has EMC code that will be put up online at a later date.
"Because of this success, virtual infrastructure is a prime target for attack – so the theft of VMware ESX source code, similar to RSA's breach last year, is no surprise," said Eric Chiu, president of cloud vendor HyTrust. "Platform security for virtual infrastructure is a must -- without securing the virtual infrastructure, enterprises are leaving a huge area of their datacenter open to attack."

Bron: The Register

Plumbers of the interwebs vow to kill IP hijacking

Task force to send 'Rover' out to wild web galaxy

The Internet Engineering Task Force (IETF) aims to strengthen the basic protocols of the internet, with a way to stop route, or IP, hijacking. IETF experts say the proposed fix is simpler to implement than previous suggestions.
IP hijacking exploits a fundamental weakness of the internet, Data and messages sent across the internet are transmitted via routers, and those routers are blindly trusted. No measures are in place to verify if they have been tampered with to re-direct or intercept traffic.

In 2008, Pakistan Telecom took advantage of this blind trust to send YouTube briefly into a global blackhole. CNET's Declan McCullagh wrote at the time:

By accident or design, the company broadcast instructions worldwide claiming to be the legitimate destination for anyone trying to reach YouTube's range of Internet addresses.
The security weakness lies in why those false instructions, which took YouTube offline for two hours on Sunday, were believed by routers around the globe. That's because Hong Kong-based PCCW, which provides the Internet link to Pakistan Telecom, did not stop the misleading broadcast - which is what most large providers in the United States and Europe do.

Traffic mismanagement

The same fundamental weakness in BGP (Border Gateway Protocol), a core routing protocol that maps preferred paths for traffic to flow over the internet, was used to hijack the network at the Defcon hacker conference in Las Vegas in 2008. Everything looked the same to delegates after the hijack, but all unencrypted traffic sent over the network was open to wiretapping.
In 2010, China Telecom rerouted up to 15 per cent of the world's internet destinations on two brief occasions, using false BGP route information to direct traffic through its own networks.
The hijackings sparked a security scare in the US. Even without the China dimension, America's dismay is understandable:

The [April 8] hijacking, which lasted 18 minutes, affected email and web traffic traveling to and from .gov and .mil domains, including those for the US Senate, four branches of the military, the office of the secretary of defense, and NASA, among other US governmental agencies, according to the report. It also affected traffic for large businesses, including Dell, IBM, Microsoft and Yahoo.

Similar tricks might be used to steal corporate communications, without leaving a trace or even, at least theoretically, making entire countries unreachable via IP communications. BGP has no built-in security. Routers might accept bogus routes from peers, internet exchanges or transit suppliers. Dodgy routers, however accepted, can have local, regional or global effects.
"Someone can advertise your address space and a route to get there and routers don't know any better," explained Joe Gersch of Secure64, a Domain Name System vendor. "They are just looking for the shortest path."
"It doesn't necessarily have to be malicious for something to go wrong. It could be accidental. Admins could type something wrong into router and this information would still propagate."
The issue has been known for about 10 years but previous attempts to find a fix floundered because proposed solutions were too complex or too expensive, Gersch says. More recently, governments have taken greater interest in the issue, increasing the pressure to find a fix.

Look it up

At an IETF meeting in Paris last month, a working group proposed a solution that seeks to safeguard the integrity of networking kit.
The proposal involves publishing preferred routes to sites in DNS records before applying a second step, using utilities to verify that the instructions are trustworthy.
This latter step would use DNSSEC, or DNS Security Extensions, a separate security mechanism which is gradually rolling out as a defence against cache-poisoning attacks.
The whole scheme is called ROVER, or BGP Route Origin Verification (via DNS).
Rover calls for the use of reverse DNS records to periodically publish route announcements, a process that would be done by sites themselves, before carrying out real-time verifications of BGP route announcements.
Rover uses "best effort" data retrieval with worldwide data distribution, redundancy and local caching. If the data is unreachable, the default is that routing would proceed as normal but without any checks.
Gersch said the working group (the Secure Inter-domain Routing Group, of which he is a member) believes the proposed approach has the potential to succeed because of its simplicity, in contrast with other ideas such as BGPSec or RPKI.
"Rover is a simpler method to publish your authoritative data," Gersch explained. "I own it, and you can look it up. The process can be automated."
Gersch described Rover as an "enabling technology". Preliminary discussions have already been held with members of Cisco's secure networking group on how to interface the technology with routers.
Several early adopter telcos and ISPs are in the process of publishing route origins in their reverse DNS and signing with DNSSEC. In addition, Secure64 has established a Rover Testbed available at "rover.secure64.com" (registration required).
Deployment of Rover is simple, as no changes need be made to existing routers, IOS or policies, according to backers of the technology. The system builds on DNSSEC, which firms ought to be deploying anyway – although in practice roll-out have been slow.
The Secure Inter-domain Routing Group at the IETF has worked on alternatives to Rover such as BGPSec and RPKI for at least six years.
"Rover uses something that's already there, DNSSEC crypto keys, rather than having to build out a new system," Gersch explained.
"All the ideas for preventing IP hijacking are proceeding forward. The systems can co-exist but I still expect there will be a fierce debate over which is best," he added. ®

Bron: Packetstormsecurity

Onderzoek naar DigiD-beveiliging bij 9 gemeenten

Het Kwaliteitsinstituut Nederlandse Gemeenten (KING) start deze week met het eerste onderzoek naar het DigiD-gebruik en -beveiliging bij gemeenten. Negen gemeenten krijgen een "impactanalyse".

KING is de organisatie die namens het VNG de gemeenten bijstaat in ict-vraagstukken. In samenspraak met de Vereniging Nederlandse Gemeenten en het ministerie van Binnenlandse Zaken wordt aankomende donderdag begonnen met de eerste aanzet in het onderzoek naar de kwaliteit van de informatiebeveiliging bij gemeenten, en dan in het bijzonder naar de koppelingen met DigiD.

De totale aanpak van de beveiliging van DigiD bij gemeenten gaat duren tot eind 2013. In eerste instantie wilde het ministerie van Binnenlandse Zaken al per 1 april klaar zijn, maar dat is bij lange na niet haalbaar gebleken. De grootste DigiD-gebruikers (zoals de Belastingdienst) moeten dit jaar nog "veilig" zijn, de gemeenten een jaar later.

Naar aanleiding van Lektober

De grootscheepse controle is mede naar aanleiding van de ontdekking tijdens Webwerelds Lektober dat minstens veertig gemeenten persoonlijke informatie lekten van burgers door een fout in de koppeling met DigiD. Die veertig gemeenten werden direct afgesloten van DigiD; daarvan is nog steeds een gemeente nog niet terug aangekoppeld, zo maakte minister Spies van Binnenlandse Zaken vorige week bekend.

SP-Tweede Kamerlid Sharon Gesthuizen vindt de tijdspanne waarin de gemeenten worden gecontroleerd te lang. Zij kondigde vorige week aan mogelijk met een motie te komen om de minister tot meer spoed te manen. Spies zei toen niet sneller te kunnen omdat het onderzoek gecompliceerd is en omdat er te weinig capaciteit in de markt is.

Pilot moet uitvinden wat er nu precies is

De complexiteit zorgt er in ieder geval voor dat er eerst wordt gekeken wat er nu precies bij gemeenten aan DigiD-koppelingen zijn, welke leveranciers daarbij zijn betrokken en hoe er voor de audit bij alle 415 gemeenten een gestandaardiseerde aanpak kan worden ontwikkeld. Die pilot wordt gedaan bij negen gemeenten van verschillende grootte. Dat zijn Apeldoorn, Doetinchem, Eindhoven, Heerhugowaard, Lisse, Nieuwegein, Zuidplas, Zutphen en Zwolle.

De pilot kent aankomende donderdag een officiële, en besloten, kickoff-bijeenkomst. Daarna gaat de pilot van start, waarbij behalve de genoemde gemeenten tevens de leveranciers van front-office en hosting zijn betrokken. De pilotfase moet in juni zijn afgesloten, waarna KING de uitkomsten van die impactanalyse wil presenteren.

Na die pilot moet er een gestandaardiseerde aanpak komen van de audits bij alle gemeenten. Volgens Logius, de ict-beheerorganisatie van de overheid is het geen doen om alle 415 gemeenten zelf de audit te laten uitvoeren. Dat moet worden uitbesteed. Logius beheert tevens DigiD en is als zodanig eveneens bij het gehele traject betrokken.

Stappenplan met EDP-auditor

Logius heeft een stappenplan gemaakt waaraan de gemeenten zich kunnen vasthouden. Met de ICT Beveiligingsassesment DigiD kunnen de gemeenten de veiligheid van de eigen DigiD-omgeving testen, waaronder ook alle koppelingen met applicaties die daarvan gebruik maken. Een volgend onderdeel van die test is het laten uitvoeren van een penetratietest, waarmee de papieren veiligheid ook in de dagelijkse praktijk kan worden getest. Vervolgens moet een en ander ook worden vastgelegd door een zo geheten EDP-auditor. Die moet werken volgens de normen van Norea, de beroepsorganisatie van IT-auditors.

De VNG heeft alle gemeenten al op de hoogte gesteld van het stappenplan van Logius, maar zegt er wel bij voor de zekerheid de pilot af te wachten voordat er verdere stappen worden ondernomen. Logius onderschrijft dat advies. "KING adviseert gemeenten om wel aan de slag te gaan met het stappenplan van Logius, om zich zo goed als mogelijk voor te bereiden", zegt Michiel Groeneveld, woordvoerder van Logius. "Een gedegen voorbereiding kost veel tijd, maar zal de doorlooptijd van de audit hoogstwaarschijnlijk verkorten. Natuurlijk kunnen ze ook met de audit aan de slag gaan, maar wellicht is het verstandiger de uitkomsten van de impactanalyse af te wachten."

Bevindingen zijn niet openbaar

De gemeenten moeten de bevindingen van de EDP-auditor naar Logius toezenden, die het weer doorstuurt naar Binnenlandse Zaken. De resultaten worden niet openbaar, zegt Groeneveld. "Logius zal de informatie die ze ontvangt vertrouwelijk behandelen. Openbaarheid kan ook niet omwille van de veiligheid en vertrouwelijkheid. Het is dus geen onwil." Logius zal wel de resultaten beoordelen om te zien of er een (te groot) risico is voor de integriteit van DigiD. In dat geval wordt er ingegrepen met als uiterste maatregel het tijdelijk afkoppelen van DigiD.

De audit zal zich overigens niet alleen beperken tot 2013. Het is de bedoeling dat de gemeenten voortaan jaarlijks een dergelijk assessment doen. Die in 2013 is dan de eerste.

Bron: Webwereld

'Medische implantaten zijn kwetsbaar voor cyberaanvallen!'

Hackers kunnen mogelijk levensbedreigende aanvallen uitvoeren op de gebruikers van pacemakers en hart defibrillatoren. Dit blijkt uit onderzoek van security onderzoekers, meldt de BBC vandaag op haar website.

De onderzoekers hebben aanvallen ontwikkeld om aanvallen uit te voeren op implantaten die gebruikt worden bij diabetes en hart- en vaatziekten. Een van de aanvallen ving een radiosignaal op dat als het terug gezonden zou worden de hart defibrillator zou hebben uitgeschakeld. Volgens de onderzoekers is het van groot belang dat er meer onderzoek wordt gedaan naar het beveiligen van medische implantaten tegen kwaadaardige acties.

Steeds meer mensen zijn afhankelijk van medische implantaten die ingrijpen wanneer dat nodig is. Pacemakers die de hartslag reguleren, insuline pompen en defibrillatoren zijn volgense de onderzoekers onveilig.
Barnaby Jack, een onderzoeker bij McAfee, heeft ontdekt dat de draadloze verbindingen die gebruikt worden voor bijvoorbeeld het updaten van de implantaten, ook gebruikt kunnen worden voor cyberaanvallen.

Binnen twee weken vond Jack een mogelijkheid om draadloos insulinepompen te beïnvloeden. "We kunnen elke pomp die zich binnen 91 meter van ons bevindt beïnvloeden" zegt de onderzoeker tegen de BBC. We kunnen ervoor zorgen dat de pomp in een keer de volledige hoeveelheid insuline in het reservoir afgeeft zonder dat we een ID-nummer moeten invoeren. Hierdoor kan de patiënt in grote problemen komen.

Soortgelijk onderzoek

In een soortgelijk onderzoek deed Prof Kevin Fu, computerwetenschapper aan de Universiteit van Massachusetts Amherst, de ontdekking dat het mogelijk is om het signaal dat zorgt voor de werking van een hart defibrillator te 'stelen'. Hij kwam er achter dat defibrillatoren na de plaatsing getest worden met een specifiek radiosignaal. Met dat signaal kan het apparaat aan en uitgezet worden. In het lab bleek het mogelijk dat signaal na te maken en opnieuw uit te zenden. Daardoor was het mogelijk om op afstand defibrillatoren aan en uit te zetten.

Volgens prof. Fu is het door de beperkte levensduur van de batterij van medische hulpmiddelen niet mogelijk om authenticatie of encryptie toe te passen om de signalen van het apparaat te beschermen. Hierdoor zijn aanvallen in de toekomst mogelijk

Patiënt is afhankelijk

Afgezien van dit risico zijn veel mensen afhankelijk van medische implantaten "Patienten zijn veel beter af met deze apparaten dan zonder", zegt Prof Fu, maar voegt hier wel aan toe dat deze onderzoeken gedaan zijn om mogelijke problemen in de toekomst op tijd te signaleren. "Toekomstige apparaten zullen steeds vaker verbonden worden met het internet en andere draadloze technologie" zegt hij. Fabrikanten moeten goed naar de veiligheid kijken van door hen ontworpen producten. Problemen zijn niet makkelijk aan te pakken, maar er is technologie beschikbaar die de risico's aanzienlijk kan verminderen.

De Britse geneesmiddelen en gezondheidsproducten authoriteit zegt nog nooit meldigen te hebben gekregen van gehackte implantaten.

Bron: Infosecurity.nl

Smartphone zakenreiziger al gehackt op landingsbaan

Zakenreizigers en topmanagers die naar het buitenland reizen lopen het risico dat hun smartphone al is gehackt terwijl ze nog in het vliegtuig zitten. Daarvoor waarschuwt beveiligingsonderzoeker Justin Morehouse. Aanvallers gebruiken onder andere sms-berichten om de telefoons van hun slachtoffers te hacken. De berichten bevatten links naar webpagina's met een exploit, waardoor de aanvaller toegang tot de mobiele telefoon krijgt.

Volgens Morehouse immiteren de sms-berichten van de aanvallers de standaard welkomstberichten van lokale telecomaanbieders. Dit zijn de berichten die reizigers over de lokale mobiele kosten informeren. Dit soort sms-berichten zouden zeer effectief zijn, aangezien gebruikers verwachten dat ze die krijgen zodra ze hun telefoon weer inschakelen.

Met name China en Rusland zijn risicovolle landen, maar door het groeiend aantal spionageproducten moeten reizigers in elk land oppassen. Zo heeft een Israëlisch bedrijf een tool ontwikkeld die de locatie van een mobiele telefoon tot op een afstand van 30 meter kan detecteren.

Prepaid simkaart
Morehouse adviseert zakenreizigers die denken dat ze een doelwit zijn om hun telefoon thuis te laten. Verder is het verstandig om een geheel nieuwe telefoon mee te nemen en ter plekke een prepaid simkaart te kopen. In het geval internettoegang is vereist adviseert de onderzoeker geen publieke WiFi-verbindingen te gebruiken. Verder zou er alleen via een VPN moeten worden gewerkt.

Ook moeten reizigers niet hun fysieke beveiliging vergeten. Bij veel topmanagers zou er in de hotelkamer zijn ingebroken, mogelijk door ingehuurde criminelen die vertrouwelijke gegevens, laptops of mobiele apparaten zoeken. Als laatste tip adviseert Morehouse het gebruik van codetaal. Wie vraagt hoe het met de kinderen gaat in plaats van de nieuwe chips zou aanvallers op het verkeerde spoor kunnen zetten.

Bron: Security.nl

IPSec cursus, nu voor 995,--

Heeft u te maken met de beveiliging van TCP/IP netwerken?

Wilt u uw kennis over de beveiliging van TCP/IP netwerken verbreden?
Wilt u weten wat er zich onder motorkap van IPsec afspeelt?
En wilt u sneller kunnen troubleshooten?
Dan hebben wij een interessante aanbieding voor u.

Wat? IPsec cursus van 2 dagen voor € 995,--!

Bij het ontwerpen van het IP-protocol zijn geen voorzieningen getroffen voor beveiliging, terwijl dit juist een steeds grotere rol speelt in hedendaagse netwerken. Het IP Security Protocol (IPsec) is een technologie waarmee de communicatie over IP netwerken wordt beveiligd.

Het doel van de training IPsec is om de cursist kennis bij te brengen over IPsec en de achterliggende theorie, en dit toe te passen in concrete praktijksituaties.

Meer informatie over de cursus vindt u op onze site: Tuniversity. U kunt zich hier ook direct inschrijven.

Duur: 2 dagen.
Prijs: normale prijs: € 1.250,-- per persoon. Nu tijdelijk voor onderstaande data voor € 995,-- per persoon.
Locatie: TUNIX, Wijchenseweg 111 in Nijmegen. Ruime (gratis) parkeergelegenheid.
Data: dinsdag 5 en woensdag 6 juni 2012.
Cursustijden: 's morgens van 09:00 uur tot 's middags 16:30 uur.
Lunch is inbegrepen.

Wij geven de cursus op bovenstaande data voor minimaal 4 personen en maximaal 8.

Interesse? Schrijf u dan snel in, want vol=vol.

Ziekenhuis verliest laptop met data 34.000 patiënten

De gegevens van 34.000 Amerikaanse ziekenhuispatiënten zijn op straat komen te liggen, nadat een onversleutelde laptop met hun data uit een auto werd gestolen. Een aannemer had tegen de regels in allerlei gegevens op de laptop gekopieerd en meegenomen. Het gaat om namen, adresgegevens, identificatienummers, medische dossiernummers, geboortedata, opnamedata, diagnose gerelateerde informatie, ontslagdata en social security nummers. Bij sommige diagnoses was ook de behandeling en medische conditie van de patiënt vermeld.

Wachtwoord
De laptop was niet versleuteld, maar volgens het Howard University Hospital wel met een "complex wachtwoord" beveiligd. Er zouden geen aanwijzingen zijn dat het wachtwoord en de gegevens op de laptop zijn gecompromitteerd. In een verklaring laat het ziekenhuis weten dat het de dief waarschijnlijk niet om de gegevens, maar om de laptop was te doen.

Naast het waarschuwen van patiënten gaat het ziekenhuis de procedures en trainingen nalopen, om te zien of het voor personeel duidelijk is dat ze geen gegevens mogen kopiëren en meenemen. De diefstal vond eind januari plaats, maar werd nu pas bekend gemaakt.

Bron: Security.nl