Monthly Archives: November 2012

DECRYPTIE

Volgens een brief van Minister Opstelten komt er een decryptieplicht voor verdachten van “het bezit en de handel in kinderpornografie of van terroristische activiteiten”. Onderzoekers van het  Centrum voor Recht, Technologie en Veiligheid van de Universiteit van Tilburg hebben het voorstel getoetst en laten weten dat het niet onwettig is “onder bepaalde strenge voorwaarden”.

De legitimatie voor decryptie is volgens de brief van de minister: “Een persoon die de nodige inspanningen heeft verricht om zijn strafbare gedragingen te verhullen moet rekening met de inzet van zwaardere middelen om de waarheid aan de dag te brengen.”

HACK PER EMAIL

Stel je hebt je email zo ingesteld dat je automatisch afbeeldingen opent. Bogdan Calin heeft dan een manier gevonden om in te breken in jouw netwerk.

Calin verbergt in een email aan je een 1 bij 1 pixel iframe onder een filmpje. Dit filmpje wordt automatisch geopend – maar ook het iframe. Vanuit dit iframe worden vervolgens commando’s gestuurd naar je router. Om in te loggen worden de meest voor de hand liggende wachtwoorden gebruikt. Heb je zo’n wachtwoord dan neemt Calin met behulp van het iframe je router over.

[youtube http://www.youtube.com/watch?v=UXeW2oXeitw?rel=0]

DATA FEODALISME

Bruce Schneier betoogt in Wired dat we beland zijn in een periode van data feodalisme. Wij zijn de horigen van heren in grote kastelen als Google en Apple. De horigen leveren data en moeten er vervolgens maar op vertrouwen dat de heren deze data goed beschermen.

Voor kleine gebruikers is deze situatie volgens Schneier geen probleem. De heren beschermen hun data beter dan zij waarschijnlijk zelf zouden doen. Maar voor de grotere spelers is deze afhankelijkheid niet alleen maar gunstig. Zij leveren hun bedrijfskritische processen uit, maar kunnen vervolgens niet controleren hoe daar mee om gesprongen wordt.

In deze feodale situatie zijn er risico’s. De heren maken fouten. Bovendien zullen de heren altijd handelen in hun eigen belang.

Schneier roept op tot regulering door overheden zodat de horigen beschermd gaan worden.

MALAFIDE WEBSHOBS HERKENNEN

Peter Verhoeven geeft tips hoe webshops te controleren:

– Na ingelogd te zijn met je DigiD kun je op mijnpolitie.nl gegevens van webshops invoeren –  rekeningnummer, IBAN-nummer, e-mailadres, telefoonnummer of URL van de webwinkel – en checken of een verkoper gerigistreerd staat als oplichter

– Zoek op Consuwijzer of het keurmerk van de webshop bestaat

– Doe de Shopscan van Consuwijzer

– Zoek op de Whois bij sidn.nl

– Kijk op opgelicht.nl wat er te vinden is over de webshop

 

VERDIENEN AAN EPD DATA DELEN

NRC Handelsblad ontdekte dat verzekeraars geld gaan betalen aan huisartsen voor het delen van het EPD van hun patienten. De NRC legt uit: “Zorgverzekeraars betalen de huisartsen en apothekers een bedrag voor elke patiënt die zij aanmelden. Hoe meer patiënten huisartsen en apothekers vanaf 1 januari in het systeem zetten, des te meer zij verdienen. Dit alles blijkt uit interne stukken van VZVZ, een samenwerkingsverband van belangenclubs in de zorg die het afgeschoten EPD nieuw leven inblaast.”

INTERNET BANK FRAUDE

Waar vorig jaar 8.000 mensen volgens banken slachtoffer waren van internetfraude, staat de teller dit jaar over de eerste elf maanden alleen al bij de ABN-AMRO op 5.500.

De schade als gevolg van internet bank fraude bedroeg vorig jaar 35 mijoen euro. In de eerste helft van dit jaar werd reeds voor 27,3 miljoen euro schade geleden.

De meeste schade wordt veroorzaakt door phishing en door banking trojans.

DDOS DOOR ANONYMOUS

Vier Anonymous hacktivisten worden momenteel berecht voor hun aandeel in Payback, een aanval op servers van Paypall en creditcard-bedrijven. De aanval heeft 3,5 miljoen pounds schade gekostd. De aanval was een reactie op het blokkeren van betalingen aan Wikileaks door deze bedrijven.

De hacktivisten maakten gebruik van Low Orbit Ion Canon (LOIC) en AnonOps om een denial-of-service (DDoS) aanval uit te voeren: zoveel berichten sturen dat de ontvangende servers plat gaan.

MAG EEN WEBSITE ONGEVRAAGD DATA OVERNEMEN

Arnoud Engelfriet beantwoordt op security.nl de vraag of een website data mag overnemen en publiceren die openbaar gepubliceerd zijn op een andere site. Volgens Engelfriet mag dit naar Amerikaans recht, maar niet naar Europees recht. In Europes recht moeten gegevens van een individu verwijderd worden als deze daar om vraagt, behalve “als [de site] een eigen rechtvaardigingsgrond kan vinden in de wet. De bekendste twee zijn de “uitvoering van de overeenkomst” (ik mag mijn debiteurgegevens bewaren ook als die dat niet meer willen) en de “eigen dringende noodzaak” (ik mag IP-adressen loggen voor securityredenen ook als de crackers en trollen op mijn blog dat niet willen).”

Een andere vraag is of een Amerikaanse site zich gaat houden aan Europees recht.