Monthly Archives: October 2012

De hack op DigiNotar

Voor de liefhebber is op Webwereld een stap-voor-stap uitleg gepublicceerd van de hack op DigiNotar. De beschrijving is gebaseerd op het rapport van Fox-IT dat al in augustus was afgerond maar nu wordt gepresenteerd aan de overheid.

Eerder al had Steve Gibson uitgebreid zijn visie gegeven op de hack:

[youtube http://www.youtube.com/watch?v=cFoxmn_Gi5M?rel=0&w=420&h=315]

Lokpubers – mag dat?

Enige tijd geleden zette de politie een zogenaamde “lokpuber” in, een politieambtenaar die zich voordeed als een dertienjarige jongen om zo een verdachte van pedofilie op heterdaad te kunnen betrappen. De Haagse rechtbank wees echter het door de “lokpuber” verkregen bewijs af omdat de “lokpuber” in werkelijkheid meerderjarig was: “indien iemand objectief gezien ouder dan zestien jaar is, maar de verdachte subjectief dacht dat het om een minderjarige ging, [kan] er van strafbaarheid een sprake … zijn.”

Ivo Opstelten, de nog zittende Minister van Veiligheid en Justitie, laat in antwoord op Kamervragen weten dat hij voorstander is van het inzetten van lokpubers en de uitspraak op de zaak in hoger beroep afwacht om mogelijke nieuwe wetgeving daartoe voor te bereiden.

Digitale veiligheid in het regeerakkoord

Het regeerakkoord is gepubliceerd. Het is een document waarin het voorgenomen beleid in korte zinnen wordt geschetst.

Over digitale veiligheid is het volgende terug te vinden:

  • Er is sprake van toenemende bedreigingen en kwetsbaarheden op het terrein van cybersecurity. Die willen we het hoofd bieden door krachten te bundelen met alle belanghebbenden, de opsporingscapaciteit te versterken en het juridisch instrumentarium aan te passen aan de gewijzigde omstandigheden.
  • Het auteursrecht wordt zo gemoderniseerd dat recht wordt gedaan aan de bescherming van creatieve prestaties zonder dat de gebruiksmogelijkheden voor consumenten in het gedrang komen.
  •  De privacytoezichthouder, het College Bescherming Persoonsgegevens, krijgt meer bevoegdheden, waaronder de bevoegdheid meer boetes uit te delen. Bij de bouw van systemen en het aanleggen van databestanden is bescherming van persoonsgegevens uitgangspunt. Daar hoort een zogenaamd privacy impact assessment (PIA) standaard bij. Inbreuken door de overheid zijn voorzien van een horizonbepaling en worden geëvalueerd.
  •  Het verdrag ter bestrijding van namaak (ACTA) krijgt in de huidige vorm geen steun.
  •  Bij nieuwe wetgeving wordt netneutraliteit strikt gehandhaafd.

Meer aandacht voor cybercrime en voor privacy is natuurlijk mooi. Maar de duivel zit ‘m altijd in de details – en die kennen we nog niet.

Encryptie sleutels in soorten en maten

Er bestaan heel veel soorten encyptie sleutels. Zo’n sleutel is “de set van gegevens die zijn gebruikt om een boodschap te versleutelen, en/of de set van gegevens die nodig zijn om een versleutelde boodschap te ontcijferen”.

In het geval van symetrische encryptie wordt dezelfde sleutel gebruikt voor het versleutelen en het ontcijferen. Bij asymetrische symetrie wordt het versleutelen of het ontcijferen gedaan met een zogenaamde publieke sleutel die openlijk gepubliceerd wordt. Het omgekeerde proces zit echter onder een prive sleutel.

Welke vorm van encryptie je ook gebruikt, het is natuurlijk zaak het kraken van de encryptie sleutel zo moeilijk mogelijk te maken. En daar gaat het nog wel eens mis. Zo kreeg wiskundige Zachary Harris onlangs een mail van een headhunter of hij bij Google wilde werken. Harris dacht dat er een geheime opdracht verbonden moest zijn aan de email en begon de encryptie sleutels die voor de encryptie van de email gebruikt waren te onderzoeken.

Al snel vond Harris waarnaar hij op zoek was. De gebruikte DKIM encryptie sleutel was 512-bit terwijl het DKIM encryptie=protocol minimaal 1024-bit voorschrijft. “512-bit sleutels kan ik kraken binnen 72 uur waarbij ik gebruik maak van Amazon Web Services voor $75. … Dan zijn er ook nog 768-bit sleutels. Die zijn voor een normaal persoon als ik met normale hulpmiddelen niet te kraken. Maar de Iraanse regering kan dat waarschijnlijk wel of een grote groep mensen met voldoende computer capaciteit.”

Harris kraakte de door Google gebruikte encryptie en stuurde vervolgens voor de lol een nep-mailtje aan Larry Page, een van de twee Google-oprichters, met als afzender het email-adres van de andere Google-oprichter Sergey Brin. Omdat het nep-emailtje versleuteld werd onder de gekraakte encryptie zag het er net zo echt uit als een echte email van Sergey Brin.

Harris hoorde niets op zijn email. Maar hij merkte twee dagen later wel dat Google zijn DKIM sleutels had veranderd van 512-bit naar 2028 bit. Het bleek dat de headhunter mail helemaal geen puzzel bevatte en dat Harris voor de grap de beveiliging van Google’s email had gekraakt.

Vervolgens ging Harris op zoek. Hij vond dat eBay, Yahoo, Twitter en Amazon ook 512-bit sleutels gebruikten. PayPal, LinkedIn, US Bank en HSBC gebruikten 768-bit sleutels. Dit zijn allemaal onveilige sleutels omdat ze onder de vereiste standaard vallen van 1024-bit. Dat is flink zorgelijk.

Gevaarlijkste Android-apps

Wat zijn gevaarlijke Android-apps? Dat zijn apps die je telefoonnummer stelen en aan adverteerders verkopen. Of die je apparaat-ID stelen. Ook sturen ze je ongewenste reclame en plaatsen ze ongevraagd iconen.

De gevaarlijkste Android-app die verkrijgbaar is via Google Play is Talking Tom Cat. Deze app “zou van meer dan 50 miljoen toestellen het telefoonnummer en apparaat-ID naar derde partijen hebben gestuurd.”

Je internet domein wordt gekaapt

Deze week was het domein van social bookmarking website Diigo gekaapt. Diigo heeft vijf miljoen geregistreerde gebruikers. De kaping legde een aantal problemen bloot op het gebied van domein-registratie.

Om te beginnen zijn domeinen niet echt goed beveiligd. Er is maar een ding nodig om een domein te kapen en dat is toegang tot het email-adres van de eigenaar.Als deze toegang verkregen is, kan de kaper het domein verhuizen door per mail contact op te nemen met de registrar, het bedrijf dat in opdracht van jou je domein registreert, en vervolgens alle stappen per mail te bevestigen.

Diigo kwam er achter dat het niet gemakkelijk is om je domein terug te krijgen van een kaper. Je moet eerst naar de politie om aangifte te doen. Dan moet je naar je registrar om een klacht in te dienen. Pas dan wordt er naar jouw situatie gekeken. Als alles meezit, kost dat zo maar twee weken.

Maar je kunt ook pech hebben zoals Diigo. Diigo dacht Yahoo als registrar te hebben, maar Yahoo bleek alleen de reseller te zijn van een Australische registrar.

Omdat de dief contact opnam met Diigo kocht het bedrijf zijn eigen domein terug. Het bedrijf besloot dat ingaan op de chantage een stuk sneller werkte dan het doorlopen van de voorgeschreven methode. Een bedrijf dat afhankelijk is van zijn website kan niet weken offline zijn.

Van Diigo leren we tenminste drie dingen. Ten eerste is het raadzaam domeinregistraties direct bij de registrar af te sluiten en niet bij een reseller. Ten tweede blijkt de beveiliging van domeinen erg gammel. Ten derde mag de procedure in het geval van kaping effectiever. Wade Ren, directeur van Diigo, stelt het volgende voor:  “[E]r is een systeem nodig dat, zodra er geschil wordt gemeld over een verhuizing, de domeinverhuizing bevriest en het domein terugbrengt naar de vorige eigenaar gedurende de looptijd van het geschil.”

Een heftig toekomstbeeld

De zin van de dag komt van Jason Higgins: “Als je denkt dat we  vandaag de dag problemen hebben met toezichtcamera’s in grotere en kleinere steden, wacht dan maar tot de dag dat we allemaal camera’s zijn, en databeheerders en opname-apparatuur.”

Dit klinkt heel erg science-finction – tot je naar het onderwerp van Higgins’ voordracht kijkt: Augmented Reality. Augmented Reality is een technologie die ons in staat stelt digitale informatie op de werkelijkheid te projecteren. Deze technologie bestaat al een tijdje. Higgins denkt echter dat deze technologie over 25 jaar direct ingeplugd gaat worden in onze visuele contex. Op dat moment zijn onze ogen de digitale camera’s, onze hersenen de opname-apparatuur en zijn wij de databeheerders. En dan wordt Higgins’ opmerking inderdaad heel actueel.

Liegen mag, maar alleen tegen sociale netwerken

Het hoofd internetbeveiliging van het Britse kabinet, Andy Smith, zegt dat het raadzaam is om geen kloppende informatie te verstrekken aan sociale netwerken. Volgens hem kunnen criminelen de opgegeven informatie tegen je gebruiken en daarom is het beter te liegen. Hij raadt aan alleen vertrouwde websites, zoals die van de overheid, te voorzien van echte data.

Volgens Labour parlementslid Helen Goodman is de raad van Smith “kompleet schandalig”. Volgens haar zijn het juist de slechterikken die zich verschuilen achter pseudoniemen en zich schuldig maken aan zaken als kindermisbruik en digitaal pesten.

Lord Errol, voorzitter van de NGO Digital Policy Alliance, steunt echter de uitspraken van Smith. Hij meldde altijd 1 april 1900 op te geven als geboortedatum. Volgens hem zijn er technologische middelen om uit te vinden wie iemand is als iemand over de schreef gaat, bijvoorbeeld door digitaal te pesten.

Het is een interessante vraag: helpt liegen je te beschermen?

MKB en Cybercrime

Onlangs werd in de VS een enquete over cybercrime gehouden onder 1000 ondernemingen met minder dan 250 werknemers. Wat bleek? Negen van de tien bedrijven beschikt niet over richtlijnen hoe sites met malware te ontwijken. Zeven van de tien bedrijven kent geen sociale media veiligheids-richtlijnen. En zestig procent van de bedrijf mist richtlijnen hoe om te gaan met data van klanten of werknemers.

In het onderzoek geven MKB-ers niettemin aan te weten hoe belangrijk Internet-veiligheid is voor hun bedrijf. 73% noemt het “essentieel” voor hun bedrijf en 43% “heel essentieel”. Echter, de meesten denken dat hun geringe bedrijfsomvang ze minder interessant maakt. Ten onrechte. In 2011 vond bijna 75% van alle datalekken bij bedrijven plaats met minder dan 100 werknemers (cijfers Verizon). En 90% van alle betalingsverkeer fraude betrof bij MKB-ers (Visa).