donderdag 26 juli 2012

Nieuwe manier om Androidtelefoons te hacken

AMSTERDAM - Vrijwel alle Androidtelefoons zijn eenvoudig te hacken via Near Field Communication (NFC). Dan moeten deze toestellen uiteraard wel over NFC beschikken.

Dat heeft beveiligingsonderzoekers Charlie Miller bekendgemaakt tijdens de conferentie Black Hat.
NFC zit in steeds meer smartphones verwerkt. Ook bijvoorbeeld de ov-chipkaart maakt gebruik van een NFC-chip. Toestellen die ook over de techniek beschikken zijn bijvoorbeeld de Galaxy S III en HTC One X.

Via NFC kunnen twee chips met elkaar communiceren. Zo kan er saldo worden af- of bijgeschreven, maar het is ook mogelijk om bestanden, links en foto’s te delen. Omdat de applicaties die hiervoor gebruikt worden op smartphones niet veilig genoeg zijn, is het vrij eenvoudig om in te breken.
Demonstratie
Miller toonde hoe hij de controle over een Androidtelefoon kon overnemen. Het is mogelijk om een NFC-chip bijvoorbeeld dicht naast een NFC-betaalpunt te hangen. Als een gebruiker dan wil afrekenen, komt hij ook in de buurt van de malafide chip en wordt bijvoorbeeld zo malware geïnstalleerd.
Om te kunnen inbreken via NFC is het namelijk wel nodig om slechts enkele centimeters van de smartphones verwijderd te zijn. Bovendien moet de NFC-functionaliteit aanstaan. Bij betaalpunten die NFC ondersteunen, is dit uiteraard het geval.
Het grote probleem is dat de apps op telefoons vaak niet aan de gebruiker vragen of zij de opdracht die via NFC binnenkomt, willen uitvoeren of het bestand willen accepteren. Alles wordt direct geopend.
NFC is naast in Android ook in het platform Meego te misbruiken.
Browser
Miller ontdekte ook een manier om via een lek in de browser Chrome op Androidtelefoons in te breken, maar dat lek is inmiddels door Google gedicht. De zoekgigant, verantwoordelijk voor Android, heeft nog niet op de NFC-hack gereageerd.

Bron: Nu.nl

maandag 23 juli 2012

Burgers onterecht als verdachte in politiedatabase

Burgers kunnen ten onrechte als verdachten in het systeem van de Koninklijke Landelijke Politiediensten (KLPD) staan, omdat het gegevensbeheer niet aan de wet voldoet. Er is een verbeterplan.
De opslag en verwerking van gegevens bij de KLPD voldoet nog steeds niet aan de wettelijke eisen. Daardoor "is het niet geheel uit te sluiten" dat personen onterecht als verdachte in het systeem staan vermeld. Dat schrijft minister Opstelten aan de Tweede Kamer als antwoord op vragen van Tweede Kamerlid Kooiman van de SP.

Heen en weer geschoven

Het gegevensbeheer bij de KLPD moet voldoen aan een aantal regels die zijn vastgelegd in het zogeheten bedrijfsprocessensysteem Basisvoorziening Handhaving (BVH). Door een reorganisatie van de beheerdiensten bij de KLPD vorig jaar is het beheer van dat BVH enige tijd heen en weer geschoven tussen verschillende diensten. Nu is het ondergebracht bij de operationele dienst en valt het onder de verantwoordelijkheid van de operationele korpsdiensten.
Ondertussen is er wel een verbeterplan geschreven dat voorziet dat in het najaar het gegevensbeheer weer ingericht is op het bedrijfsprocessensysteem BVH en dan weer voldoet aan het gewenste niveau, verzekert de minister. Daarmee moet ook een einde komen aan het ten onrechte geregistreerd staan van niet verdachte personen. Ook moet het gegevensbeheer dan weer voldoen aan de Wet politiegegevens.

Wettelijke toetsing

Voor het einde van het jaar wordt er een onderzoek gedaan door een extern bureau waarbij wordt bezien of gegevensopslag en -beheer wel voldoet aan de wet. Een eerdere externe audit leverde juist de nu blootliggende onvolkomenheden op. Die tekortkomingen moeten via verbetervoorstellen, gebaseerd op die eerdere audit, nog dit jaar worden gerepareerd.
Of een onterechte registratie als verdachte bepaalde gevolgen kan hebben voor de persoon in kwestie, is nog niet duidelijk. Webwereld heeft hierover bij het ministerie opheldering gevraagd.

Al jaren kritiek op ict-systeem KLPD

De BVH is overigens zelf al jarenlang onderwerp van kritiek. Eind 2010 bleek uit een uitzending van EenVandaag dat het systeem, dat alle andere registratiesystemen van de politie moest vervangen, rammelde aan alle kanten. Toch werd het over heel Nederland uitgerold.
Na alle problemen heeft minister Opstelten vorig jaar beloofd dat er in 2014 een geheel nieuw systeem moet komen dat BVH gaat vervangen: de Basisvoorziening Politie. Tot die tijd wordt er flink gesleuteld aan het bestaande systeem, dat door agenten wordt verfoeid. Die verbouwingsoperatie aan het al in gebruik zijnde systeem gaat 326 miljoen euro kosten.

Bron: Webwereld

woensdag 18 juli 2012

5 tips om je iPhone of iPad te laten stelen

iPhones zijn niet alleen populair onder IT-professionals en bestuurders, ook dieven weten er raad mee. Uit onderzoek van de stad New York blijkt dat het aantal gestolen iPhones in een jaar tijd met 44 procent is toegenomen. Volgens burgemeester Michael Bloomberg is het vaak de schuld van de iPhone-eigenaren zelf dat dit kan gebeuren.

Je hoeft niet in New York te wonen om je iPhone, iPad of iPod te laten stelen. Ook in Nederland zijn de Apple-apparaten ongemeen populair onder het dievengilde. Dit zijn vijf ‘tips’ om ervoor te zorgen dat je iApparaat in verkeerde handen valt.

1. Ga bij de deur zitten in een druk café terwijl je iPhone of iPad op tafel ligt
Nog niet zo lang geleden was ik in een druk café in het centrum van San Francisco. Twee dames zaten aan een tafel dichtbij de deur en waren druk in gesprek. Eén van de vrouwen legde haar iPad op tafel en verplaatste haar aandacht naar haar vriendin. Binnen een paar seconden kwam er een iThief binnen, bepaalde in een paar seconden zijn tactiek, schoof ongemerkt de iPad van tafel, stoof naar buiten en dook een steegje in, nog voordat iemand doorhad wat er was gebeurd.
Later vertelde een bediende me dat ze meerdere keren soortgelijke gevallen meegemaakt had in de paar maanden dat ze in de bar werkte – altijd waren Apple-apparaten het doelwit.

2. Draag overal de kenmerkende witte Apple-oordopjes
Wil je de wereld laten weten dat je een iPhone of iPod Touch gebruikt? Gebruik dan de bijgeleverde witte oordopjes van Apple als je op stap gaat. Mijn tip: draag in plaats daarvan een setje dopjes met het BlackBerry-logo erop.

3. Laat de witte oordopjes op een zichtbare plek in je auto liggen

Als je jouw iPhone, iPod of iPad zichtbaar in je auto achterlaat, vraag je om een inbraak. Maar vergis je niet, ook alleen de witte oordopjes zijn al voldoende aanlokkelijk voor een dief. Twee zomers geleden liet ik een setje witte dopjes op de passagiersstoel in de auto achter. (Ik had de iPhone gelukkig bij me.) Toen ik terugkwam, was een raam verbrijzeld en mijn auto overhoop gehaald – ongetwijfeld was een iThief op zoek geweest naar zijn favoriete gadget.

4. Lekker bellen tijdens het lopen
Met je telefoon bellen als je door het park loopt is cool, maar het leidt af van wat er om je heen gebeurt. Daarnaast heb je de iPhone maar met één hand vast; daarmee ben je een makkelijk iDoelwit.

5. Ga bij een uitgang van een bus of tram staan met je iPhone in de hand
Ik heb berichten gelezen dat in sommige drukke steden iThieves het gemunt hebben op reizigers die met hun iApparaat bij de uitgang van een bus, metro of tram gaan staan. Vlak voordat de deur opent, grist de iDief het apparaat uit handen van het slachtoffer en rent hij/zij pijlsnel weg. Collega Tom Kaneshige kan hier trouwens over meepraten.

Hoewel mijn tips een beetje flauw zijn, is diefstal van draagbare elektronica een serieus probleem. Vooral de apparaten van Apple zijn aantrekkelijk voor criminelen omdat ze ook tweedehands veel waarde vertegenwoordigen.
Je kunt jezelf wapenen door een wachtwoord op je toestel te zetten en je iApparaat te registreren bij Apple’s Zoek Mijn iPhone-dienst/app. Maar houd jezelf niet voor de gek. Ervaren dieven weten precies hoe ze jouw apparaat snel voor 200 euro of meer kunnen doorverkopen voordat jij aangifte hebt gedaan.
Wat kun je dan echt doen? Verberg je iApparaat in het openbaar zoveel mogelijk. Koop andere oordopjes. Let altijd op je omgeving. Als je een telefoontje opneemt tijdens het wandelen, doe dit dan nooit op druk onbekend terrein. En leg nooit je iApparaat in een druk café op tafel. Gebruik je gezonde verstand.

donderdag 12 juli 2012

CBP waarschuwt voor paspoort kopietjes



Bedrijven en organisaties kopiëren steeds vaker het identiteitsbewijs van bijvoorbeeld klanten en relaties, wat identiteitsfraude kan veroorzaken, aldus het College Bescherming Persoonsgegevens (CBP). Het CBP noemt het verschijnsel 'kopietje paspoort'. Volgens de privacywaakhond kunnen mensen hiervan jarenlang financiële en maatschappelijke schade ondervinden.

"Een kopie maken van een paspoort, rijbewijs of identiteitskaart is dan ook – op enkele uitzonderingen na – bij wet verboden. Bedrijven en organisaties in de private sector kunnen in de meeste gevallen voor legitimatie volstaan met de vraag aan klanten om hun paspoort of ander identiteitsdocument te tonen."

Richtsnoer
Om de regels te verduidelijken zijn er nu richtsnoeren opgesteld voor het overnemen van persoonsgegevens en het kopiëren en scannen van identiteitsdocumenten. De richtsnoeren bevatten ter illustratie veelvoorkomende situaties waarbij om een identiteitsbewijs wordt gevraagd, zoals onder meer bij hotels en sportscholen. De richtsnoeren treden vandaag in werking.

De politie Twitterde eerder al deze week om kopietjes van identiteitsbewijzen te markeren.

Bron: Security.nl



maandag 9 juli 2012

BMW's in 3 minuten gehackt en gestolen

Britse autodieven zetten high-tech in om luxe auto's te stelen. Een stiekeme gps-zender geeft de ideale plaats en tijdstip voor de diefstal, die met een gekloonde softwaresleutel wordt gepleegd.
De leider van deze autobende is in Groot-Brittannië opgepakt. De 42-jarige man zou niet alleen de dure wagens hebben gehackt voor de diefstal maar vervolgens ook voor valse digitale identiteiten hebben gezorgd. In totaal heeft de bende de afgelopen jaren zeker 150 dure auto's buitgemaakt en die doorverkocht in Cyprus. De totale waarde van de buit is 2,5 tot 3,5 miljoen Britse ponden. De daadwerkelijke diefstal neemt slechts minuten in beslag.

Specifieke selectie

De autodieven hebben het vooral gemunt op specifieke modellen BMW's, Audi's en Range Rovers, meldt het Britse dagblad The Telegraph. De selectie van de te stelen auto's is mede gebaseerd op export van soortgelijke modellen naar Cyprus, de doelmarkt van de dieven. Op basis van die gelijkenis zijn de 'valse papieren' voor de on-board computersystemen aangemaakt.
De opgepakte hoofdverdachte had gedetailleerde gegevens in zijn bezit van 500 luxe auto's. Voor 300 stuks had hij al valse registraties gemaakt. De diefstal zelf is gepleegd door eerst het on-board systeem te hacken, om daaruit informatie te stelen over de softwaresleutel van de auto. Dat hacken moest wel in de auto zelf gebeuren, waarbij gelijk ook een gps-tracker is geplaatst.
Een demo van december vorig jaar toont het hacken van een BMW X6 om de auto te starten zodat een dief er gewoon mee kan wegrijden:

Ophalen en rustig wegrijden

Dankzij de gps-gegevens van die stiekeme tracker konden de dieven bepalen wanneer het ideale moment en waar de ideale plaats was om ongestoord de auto te stelen. Die diefstal bestond uit het simpelweg met de gekloonde softwaresleutel instappen en wegrijden in de wagen. Bij de voorbereidende eerste inbraak om de sleuteldata buit te maken en de gps te plaatsen, hebben de dieven een stoorzender gebruikt om de op afstand bediende automatische sloten te omzeilen.

Bron: Webwereld
 

donderdag 5 juli 2012

'Internetbankieren altijd onveilig, alle pc's besmet'

Banken moeten er altijd vanuit gaan dat de pc's van hun klanten geïnfecteerd zijn met malware als ZeuS en SpyEye. Daar moeten beschermingsmaatregelen op gericht zijn.
Dat stelt ENISA, het Europese agentschap voor netwerk- en informatiebeveiliging. Die organisatie zegt dat het tegenwoordig veiliger is te veronderstellen dat een pc per definitie is besmet in tegenstelling tot het voorlichten van klanten over hoe een besmetting te voorkomen.
Daarbij is een standaard tweeweg authenticatie niet voldoende omdat dat niet verhindert dat een man-in-the-middle-aanval (of man-in-the-browser) financiële transacties kan afvangen. "Daarom is het belangrijk dat banken transacties checken op het juiste bedrag en bestemming via een beveiligd en betrouwbaar kanaal", schrijft ENISA in zijn aanbevelingen aan de financiële sector. De beveiligers zeggen dat een sms, telefoontje of een standalone smartcardlezer met beeldscherm daarvoor kunnen worden gebruikt.

Wereldwijde aanpak nodig

ENISA heeft vooral gekeken naar de bedreigingen die worden veroorzaakt door malware die zich agressief verspreidt via botnets. Omdat de criminelen daarachter gebruik maken van de mogelijkheden die geboden worden over de hele wereld, moet ook de bestrijding ervan wereldwijd worden georganiseerd. Zowel in preventie als in repressie, zegt het agentschap.
De bestrijding van de criminelen is lastig vanwege drie specifieke redenen, zegt ENISA. Ten eerste is de aanval ultiem geautomatiseerd, daardoor razendsnel op te zetten en te verplaatsen. Dat kan door onder meer de locatie van de Command & Control-servers steeds te verplaatsen en de aanval op de prooi haast achteloos uit te voeren waardoor het nauwelijks wordt opgemerkt door de benadeelde,

Aanvallen zijn buitengewoon slim

Verder valt ENISA de slimheid achter de aanvallen op, waardoor de standaard beschermingsmaatregelen van banken simpelweg worden omzeild of zelfs overgenomen, zoals de standaard tweewegauthenticatie. Ook wordt de uitvoering van fraude niet ontdekt omdat die transacties verborgen plaatsvinden. Het derde opvallende aspect is dat de aanvallers niet ad random mensen aanvallen, maar gericht op zoek gaan naar de meest lucratieve bankrekeningen. ENISA noemt als voorbeeld een aanval die specifiek was gericht op 5000 pc's in Nederland.
Die klanten worden geïdentificeerd via online verkenningen en soms spearphishing. Daardoor konden de mensen met een aardige bankrekening eruit worden gepikt. De tweede fase is het laden van malware op de pc van het slachtoffer. De derde fase is dat de malware uiteindelijk zelfstandig transacties uitvoert op de bankrekeningen van het slachtoffer, zelfs overschrijvingen regelt tussen spaar- en betaalrekeningen en die leegrooft door geld over te maken naar buitenlandse rekeningen.

Bron: Webwereld

woensdag 4 juli 2012

4 IT-gevaren van stille zomerdagen





De hete zomerzon brandt personeel weg uit hun kantoren, maar dat betekent niet dat IT’ers op hun lauweren kunnen rusten. Volgens beveiligingsexperts geven vakanties juist nieuwe problemen in een tijdperk dat mensen hun eigen apparaten gebruiken op het bedrijfsnetwerk. Cybercriminelen gaan vaak ook op vakantie, maar hacktivisten met een politiek ideaal grijpen de vakantie aan als een ideaal moment om toe te slaan. Dit zijn vier uitdagingen die je tijdens deze warme zomermaanden tegenkomt.

1. Evenementen

Grote sportevenementen als de Olympische Spelen en de Tour de France trekken cybercriminaliteit aan. “Scammers passen hun methode aan op de populariteit van de Spelen”, waarschuwt beveiligingsadviseur Chester Wisniewski van Sophos. “We zien nu al veel phishingmails die zijn toegespitst op de Spelen. ‘Je bent winnaar van de speciale Olympische trekking’ of ‘Je hebt een all-inclusive reisje naar de Olympische Spelen in Londen gewonnen’ – dat soort dingen.”
Het webverkeer neemt flink toe tijdens een belangrijk sportevenement. Wisniewski verwacht dat het online druk gaat worden, vooral bij websites die dan veel verkeer trekken zoals de NOS of Eurosport. Voor cybercriminelen worden dit opeens bijzonder aantrekkelijke doelwitten en dat betekent dat gebruikers die vanaf werk inloggen het bedrijfsnetwerk potentieel blootstellen aan gevaar.

2. Zomervakanties

“Het seizoen waarin de meeste mobiele apparaten op reis gaan, is ook het seizoen waarin dieven op zoek gaan naar smartphones en laptops”, zegt Ward Clapman, een voormalig medewerker van de politie die nu voor Absolute Software werkt. Dit bedrijf spoort vermiste apparaten op. “Van juni tot en met augustus verdwijnen deze gadgets aan de lopende band. En tegelijk gaat er allerlei bedrijfsinformatie verloren.”
Volgens Clapman is het zaak dat bedrijven in het BYOD-tijdperk werknemers waarschuwen voor diefstal tijdens de vakantie. “Mensen vertonen meteen risicovol gedrag waar allerlei criminelen op bedacht zijn. Zo verklappen bijvoorbeeld de kinderen van werknemers op Facebook of Hyves wanneer de familie precies op vakantie is.”
Clapman vertelt dat 5 procent van alle smartphones in de VS het komende jaar kwijtgeraakt of gestolen zullen worden. Een op de tien laptops wordt tijdens zijn levensduur gestolen. “Dit betekent dat een IT-afdeling er rekening mee moet houden dat 5 procent van mobiele resources kan verdwijnen, vooral in een BYOD-omgeving.”
“Er moet een beleid zijn om dit verlies op te vangen. De CSO moet erkennen dat dit zeker gaat gebeuren en moet plannen maken over het zoveel mogelijk voorkomen van deze problemen, het omgaan met diefstal of verlies en de technische afhandeling. Dit is een onomkeerbare, belangrijke trend.”

3. Hacktivisme

“Vroeger was de zomer een rustige tijd omdat criminelen net zo goed op vakantie gingen”, zegt Wisniewski. “Maar dit is de afgelopen jaren veranderd met de komst van hackergroepen met politieke idealen zoals Anonymous en Lulzsec.” Wisniewski merkt op dat hacktivisten vooral actief zijn tijdens lange weekenden, vakanties en zomerdagen omdat ze weten dat er dan minder mensen opletten.
“De hack bij HB Gary gebeurde tijdens de kerstdagen en hackers braken tijdens pasen bij Sony in”, vertelt de beveiligingsadviseur. “Wanneer je weet dat de IT-afdeling aan het kerstdiner of de paasbrunch zit, besef je dat dit een ideaal moment is om toe te slaan.”

4. Beveiligingscongressen

De zomer is de tijd voor beveiligingscongressen, inclusief hackercongressen als DefCon en Black Hat die allebei in juli plaatsvinden. “Op dit soort evenementen worden vaak nieuwe kwetsbaarheden onthuld”, legt Wisniewski uit. “Deze creëren nieuwe mogelijkheden voor mensen om zwakke plekken uit te buiten voordat bedrijven de tijd hebben om zich er tegen te wapenen.”
Hij wijst op een Black Hat evenement van drie jaar geleden waar beveilingsonderzoeker Moxi Marlinspike een methode liet zien om SSL-verkeer te onderscheppen. “Vanwege de media-aandacht en de presentatieflair van de onderzoekers, zie je vaak dat een vloot mensen meteen aan het experimenteren gaat met deze nieuwe methoden.”

Bron: Computerworld

maandag 2 juli 2012

Doorsnee website bevat 79 ernstige lekken

Een doorsnee website op internet bevatte vorig jaar 79 ernstige beveiligingslekken, veel minder dan in eerdere jaren. Dat beweert beveiligingsbedrijf WhiteHat Security in een nieuw onderzoeksrapport. In 2010 ging het nog om 230 kwetsbaarheden, terwijl in 2007 de teller bij 1111 lekken stopte. De cijfers zijn gebaseerd op 7.000 websites van 500 verschillende organisaties. Websites van banken bleken het "best" beveiligd, aangezien de onderzoekers per website gemiddeld 17 ernstige lekken aantroffen. Webwinkels zijn met 121 kwetsbaarheden per website de grootste vergiet.

Cross-site scripting is het meest voorkomende probleem en werd in 55% van de websites aangetroffen. Het lekken van informatie is tweede met 53%, gevolgd door content spoofing (36%). Het gevaarlijke SQL Injection waardoor aanvallers toegang tot databases kunnen krijgen, is op 11% van de websites aanwezig.

Oplossen
De onderzoekers keken ook naar de tijd die bedrijven nodig hebben om kwetsbaarheden te verhelpen en de tijd dat deze lekken bekend zijn. Het verhelpen van SQL Injection duurt gemiddeld 53 dagen, terwijl het probleem gemiddeld 110 dagen op de website aanwezig is. Het oplossen van Cross-Site Scripting neemt gemiddeld 65 dagen in beslag en is in totaal 131 dagen op een website aanwezig.


Bron:  Security.nl