Android apps verifiëren SSL certificaat niet

Tijdens het uitvoeren van een man-in-the-middle (MITM) aanval binnen een geïsoleerde Wi-Fi testomgeving, ontdekte ik dat een tweetal Android apps het beveiligingscertificaat niet verifieert tijdens het opzetten van een SSL/TLS verbinding met servers op internet. Hierdoor was het in beide gevallen mogelijk om inloggegevens te onderscheppen die (als gevolg van de aard van de apps) toegang geven tot privacygevoelige- en bedrijfsvertrouwelijke gegevens. De twee leveranciers (waarvan ik de namen niet zal noemen) zijn inmiddels op de hoogte gebracht, erkennen het probleem, en werken aan een oplossing. Lees meer

KPN blundert met opslaan wachtwoorden uit Experiabox

Een goede vriend, laten we hem Sipke noemen, belde me vandaag op en vertelde dat eerder deze week de bliksem is ingeslagen: nagenoeg alle aangesloten elektronische apparaten zijn kapot. Heel vervelend, maar gelukkig dekt de verzekering alle schade. Een van de getroffen apparaten betrof het ADSL modem: de KPN Experiabox V9. Vervanging daarvan is relatief makkelijk geregeld: je belt KPN, zij sturen een servicemonteur, hij sluit een nieuw modem aan, en dan is het klaar. Klaar? Ja inderdaad, klaar: na het opstarten van de nieuwe Experiabox meldt de thuislaptop opeens (zonder enige handmatige configuratie van de Experiabox) verbonden te zijn met het draadloze thuisnetwerk. Met andere woorden: KPN slaat gegevens uit jouw modem op. Lees meer

Open WiFi maakt veel websites kwetsbaar

De laatste weken is er redelijk wat ophef over open WiFi netwerken en de veiligheidsissues die hieromtrent bestaan. Het is al langer bekend dat het gebruik van open WiFi netwerken niet veilig is, omdat gegevens onversleuteld worden verzonden en daardoor makkelijk zijn te onderscheppen en/of manipuleren door kwaadwillenden. Maar daar gaat deze ophef niet over; er is meer aan de hand. Veel internetgebruikers veronderstellen namelijk dat het gebruik van een versleutelde HTTPS verbinding op een open WiFi netwerk toch nog voldoende bescherming biedt tegen kwaadwillenden. En dat is dus niet waar. Onder experts is dat al langer bekend, maar doordat de drempel tot het misbruiken flink is afgenomen, is de (media) aandacht voor dit probleem toegenomen. En dat is volledig terecht. Lees meer

Nieuw middel in de strijd tegen spam: DMARC

Afgelopen week ontdekte ik een nieuw middel in de strijd tegen spam: DMARC. Dit staat voor “Domain-based Message Authentication, Reporting & Conformance” en vormt eigenlijk een schil over de bestaande e-mail authenticatie technieken SPF en DKIM. Waar SPF en DKIM eigenlijk technieken zijn om de authenticiteit van ontvangen e-mailberichten te verifiëren, kun je met DMARC aan een ontvangende partij vertellen hoe ze met e-mails vanaf jouw domein om dienen te gaan wanneer één of meer verificaties mislukken. Lees meer

Ver-agile-ing goed voor informatiebeveiliging?

Eind 2010 schreef ik een artikel waarin ik stel dat Agile software ontwikkeling de kans op technologische (en/of functionele) imperfecties in software niet vergroot, maar juist kansen biedt door hier periodiek bij stil te staan. Hiermee zeg ik eigenlijk ook dat een ontwikkelmethodiek nooit verantwoordelijk kan zijn voor inhoudelijke ontwikkelkeuzes. Dit is namelijk een gedeelde verantwoordelijkheid van het ontwikkelteam en de opdrachtgever. De opdrachtgever die de uiteindelijke besluiten neemt, en het ontwikkelteam dat de opdrachtgever informeert over zaken die van belang zijn bij het prioriteren. Lees meer

Auto’s hacken

Eerder deze week verscheen er een leuk artikel van collega Maarten Hartsuijker op Computable.nl over de risico’s van computersystemen in auto’s. Veel mensen denken dat informatiebeveiliging te maken heeft met hun PC of laptop, maar het gaat veel verder dan dat. Tegenwoordig zijn er steeds meer apparaten die (kleine) computers bevatten, en zijn we voor een goede werking van het apparaat afhankelijk van een goede werking van de computer. Neem bijvoorbeeld auto’s; in een gemiddelde moderne auto zitten tientallen ECU‘s  die bedoeld zijn voor het aansturen van specifieke functionaliteiten zoals bijvoorbeeld de injectie van brandstof, de klimaatregeling, het opblazen van de airbags, het activeren van de gordelspanners, en het remmen. Lees meer

VN KozijnTechniek overtreed privacywet

Stel je wilt nieuwe kozijnen laten plaatsen en je vraagt hiervoor een offerte aan bij een partij die je via Google hebt gevonden. Vervolgens komt de verkoper bij je over de vloer en ontvang je een offerte. Dit herhaal je een aantal keren om verschillende aanbieders te vergelijken. Dan ontvang je opeens een reclamefolder via de post van een firma waar je nooit contact mee hebt gezocht. De dagen daarna heb je herhaaldelijk gemiste oproepen op je telefoon van een nummer dat je niet kent, zonder dat er een voicemail wordt ingesproken. Voor mensen die een offerte hebben aangevraagd bij de firma VN KozijnTechniek klinkt dit vast herkenbaar. Lees meer

Linux op SSD: /var/log/ in tmpfs

Tegenwoordig bestaat er een prima alternatief op de klassieke harde schijf: de zogenaamde solid state drive (SSD). Voor degene die hier nog niet eerder van heeft gehoord: een SSD is eigenlijk een groot flashgeheugen zoals je dit bijvoorbeeld ook terugvindt in de kaartjes van je digitale fotocamera of je USB-stick. Een SSD is in vele opzichten beter dan harde schijf, waarvan snelheid met stip bovenaan staat. Een beetje SSD is gemiddeld 2x zo snel als een harde schijf. Uiteraard zijn er ook nadelen zoals de degradatie van de geheugencellen. Dit wil zeggen dat een geheugencel in een SSD slechts een beperkt aantal keren kan worden herschreven. Lees meer

Een betere beveiliging begint bij jezelf

Gisteravond was er een uitzending van KRO Reporter op Nederland 2. Reporter ontdekte dat vertrouwelijke en privacygevoelige informatie relatief makkelijk via internet is te benaderen als gevolg van slecht beveiligde randapparatuur. Denk hierbij bijvoorbeeld aan printers, scanners, beveiligingscamera’s, en netwerkschijven (ook wel bekend als een NAS). Tegenwoordig zijn veel van zulke apparaten voorzien van een webserver waarmee het mogelijk is om het apparaat via internet op afstand te bedienen. Handig, maar ook een risico. Lees meer

WhatsApp versleutelt berichtenverkeer in stilte

Iemand die het informatiebeveiligingnieuws in de gaten houdt, weet inmiddels dat WhatsApp al behoorlijk wat kritiek te verduren heeft gehad. En terecht, want WhatsApp heeft zijn zaakjes beveiligingstechnisch niet goed op orde. Zo werd in mei 2011 voor het grote publiek bekend dat WhatsApp berichtverkeer onversleuteld over het netwerk verstuurt, waardoor de gestuurde berichten vrij makkelijk zijn te onderscheppen door iemand met een beetje verstand van zaken. Lees meer