www.secury.nl

tweede_kamer_stelt_acta-ondertekening_uit

14 2 2012

De Tweede Kamer wil dat Nederland het anti-piraterijverdrag ACTA niet tekent zolang het niet duidelijk is of dat verdrag in strijd is met grondrechten en andere Europese verdragen.

Een motie van GroenLinks, die medeondertekend is door D66, PvdA en SP, kreeg in de Tweede Kamer ook de steun van de PVV, de Partij van de Dieren en de ChristenUnie. Daardoor zal het kabinet zijn handtekening voorlopig niet zetten onder het handelsverdrag.

Met name de bijval van de PVV is in dit opzicht opvallend. De PVV heeft zich eerder wel vaker kritisch uitgelaten over het Anti-Counterfeiting Trade Agreement, maar liet minister Verhagen eind vorig jaar toch uit een politieke gijzeling ontsnappen, waardoor de weg vrij leek te liggen voor het kabinet om ACTA te tekenen.

Ook andere landen niet

Eerder al besloot de Duitse regering het verdrag voorlopig niet te tekenen. Andere regeringen in de Europese Unie hebben al wel getekend, maar leggen het voorstel nog niet voor aan hun parlementen. Dat geldt voor Polen, Tsjechië, Slowakije en Polen.

Ratificering door het parlement is nodig om het verdrag geldig te maken. De Amerikanen hebben ACTA bijvoorbeeld wel ondertekend, maar het Congress heeft het verdrag niet geratificeerd. Daardoor hoeven de Amerikanen zich niet aan de bepalingen in ACTA te houden en lopen niet het risico op sancties.

Weg voor ACTA is nog lang

Zo lijkt de weg nog lang voor ACTA. Ook het Europees Parlement moet er nog over stemmen. Dat gebeurt in juni. Mochten alle landen binnen de Europese Unie uiteindelijk wel overstag gaan, dan heeft het Europarlement de laatste stem. ACTA kan dan alsnog sneuvelen in het Parlement.

Het verzet tegen ACTA groeit met de dag. Afgelopen weekeinde gingen duizenden mensen de straat op in Europa in een protest tegen het in hun ogen controversiële verdrag.

lancering_google_music_op_16_november

13 11 2011

Zoekgigant Google zal volgens geruchten volgende week woensdag haar eigen online muziekwinkel lanceren.

Het bedrijf heeft een uitnodiging de deur uitgedaan voor een evenement op 16 november in Los Angeles met de titel ‘These go to eleven’. Dat meldt de website The Verge. De zin refereert aan een scène in de mockumentary This is Spinal Tap waarin een gitarist een versterker heeft met een volumeknop die tot elf gaat, in plaats van de gebruikelijke tien. De uitnodiging is verstuurd door Nigel Tufnel, de naam van de gitarist in de film.

Google+

Vorige maand meldde verschillende Amerikaanse media de komst van de muziekwinkel al. Zo schreef The Wall Street Journal dat de mp3-winkel nauw samen zal werken met het sociale netwerk Google +.

Gebruikers van Google Music, zoals de dienst waarschijnlijk gaat heten, kunnen in een online bibliotheek nummers aan hun Google + contacten aanbevelen. Die kunnen het nummer dan een keer gratis beluisteren. De liedjes worden daarna beschikbaar gemaakt als mp3-download voor waarschijnlijk 99 dollarcent per stuk.

Platenmaatschappijen

Volgens website CNET verlopen gesprekken met de vier grootste platenmaatschappijen nog steeds moeizaam. Er zou tot nu toe alleen een deal zijn gesloten met Universal Music. Het is dan ook nog maar de vraag hoeveel nummers er in eerste instantie beschikbaar zullen zijn in Google Music.

Eerder dit jaar lanceerde het internetbedrijf al een bèta-versie van de muziekservice, Google Music Beta. Maar omdat er nog geen overeenkomsten gesloten waren met platenmaatschappijen kon er nog geen muziek gedownload kon worden. Wel konden gebruikers hun eigen muziek uploaden naar Google’s servers en die nummers vanaf elke computer of Androidapparaat streamen.

Google wil met de online muziekwinkel concurreren met de bedrijven Apple en Amazon die allebei succes hebben met hun eigen mp3-winkels.

5_keer_het_windows-gelijk_van_steve_jobs

23 9 2011

De invloed van de teruggetreden Steve Jobs blijft voelbaar. Niet alleen voor Apple-producten en -fanboys. Jobs' visie wordt nu ook bevestigd door pc-reus Microsoft. 5 keer het Windows-gelijk van Jobs.

Flash in de ban
Apple's aartsconcurrent Microsoft volgt in de ban die Steve Jobs heeft uitgesproken over Adobe Flash. Windows 8 gaat nog niet zo ver als iOS: het verbiedt Flash niet helemaal maar verbant het naar de kerker van de legacy-omgeving. Daar en alleen daar mag Flash draaien, net zoals Microsofts eigen Silverlight en andere plug-in technologieën. In de nieuwe default Windows-interface Metro is er geen plaats voor.

Waarom? Omdat het weglaten "de batterijduur verbetert, maar ook voor de beveiliging, betrouwbaarheid en privacy van consumenten". Nee, niet Jobs zegt dit nu, maar Microsoft-topman Steven Sinofsky. Dat Windows-opperhoofd echoot wel Jobs' uitspraken uit maart 2008. Een verbod wat de hoogste baas van Apple later nog eens in niet mis te verstane bewoordingen heeft herhaald.

Toen de eerste iPhone uitkwam, was er gelijk veel kritiek op die nieuwkomer op de smartphonemarkt. Een van de afkraakpunten was het gebrek aan ondersteuning voor Flash. Dat gemis is jarenlang een van de voornaamste iPhone-kritiekpunten gebleven. Html5 begint nu pas de vorm van een volwaardig alternatief aan te nemen.

Maar een kniesoor die daarover struikelt. Wat nu ook geldt voor Windows 8. De degradatie van Flash, Silverlight en consorten in die volgende Windows-versie valt niet eens verkeerd. Een steekproef onder Webwereld-lezers levert een (niet-representatieve) positieve reactie op. Slechts één vijfde stelt dat dit een grote fout is, en krap één vijfde ziet hierin een valstrik van de Windows-maker. Bijna drie vijfde van de 775 stemmers vindt het een goede zet van Microsoft. Steve Jobs heeft gelijk.
Apps-belasting

Apple heeft het consumenten makkelijker gemaakt om apps te vinden, downloaden, en kopen door het developers makkelijker te maken apps te hosten, promoten en verkopen. Daarvoor legt het bedrijf wel wat verplichtingen op: 30 procent van de omzet is voor de eigenlijke eigenaar van de apps-winkel. En die winkel eist exclusiviteit. Voor content, zoals digitale kranten, valt er dus weinig te prijsstunten. Het mag wel, maar niet buiten de winkel. Kortingen op apps of krantenabonnementen mogen niet lager gaan dan wat er in de iTunes en Mac App Stores wordt gerekend.

Microsoft gaat dat dus ook doen. Ja, eigenlijk deed het dat al; voor Windows Phone 7. Maar dat mobiele platform is maar een kleintje in de markt, dus de impact van de verplichte 30 procent is navenant klein. Heel anders is dat voor het grote, haast onvermijdelijke iOS, naast het juist weer kleine Mac OS X. Microsoft volgt dit voorbeeld, maar dan andersom: na zijn kleine Phone-besturingssysteem volgt zijn grote Windows-platform.

De softwarereus voert de verplichte winkelnering met 30 procent tax door voor Windows 8. Nee, niet over de volle linie voor Windows-applicaties. Die zijn en blijven vrij, en mogen ook nog eens aangeprezen worden in de aankomende app store (Apple ™) voor Windows 8. Alleen lijkt het erop dat die bestaande programma's daar slechts een aanprijzing en dan een link krijgen. Downloaden, kopen en direct gebruiken moeten consumenten maar elders doen.

De toekomst is aan Metro-apps, voor de nieuwe standaardinterface van 'het nieuwe Windows'. En die toekomst loopt via de Windows-winkel, waar Microsoft zijn deel opstrijkt. Want in tegenstelling tot gewone pc-programma's moeten Metro-apps via de Windows-winkel gebracht worden. Steve Jobs heeft gelijk.
'Walled garden'

De hierboven genoemde verplichte winkelnering voor developers is voor het gemak, maar ook de beveiliging. Microsoft keurt namelijk de aangeboden applicatiecode: op security, technische werking en inhoud. Het is nog niet bekend wat de maatstaven zijn voor inhoud en of dat naast wetten en regels in verschillende landen ook vagere criteria als 'normen en waarden' meeneemt.

Microsoft belooft hoe dan ook de controle inzichtelijk te maken voor developers. Die app-makers krijgen meldingen in welk stadium van het keuringsproces hun ingediende werkjes zich bevinden. Een ballotage die in totaal een uur of 18 in beslag neemt, luidt de enthousiaste boodschap van Microsoft op developersconferentie Build.

Waarom de Windows-maker dit voorbeeld van Steve Jobs volgt? Omdat het steeds duidelijker wordt dat consumenten wel zeggen dat ze keuzevrijheid willen, maar dat ze geborgenheid belangrijker vinden. Willen mensen openheid of gemak? Keuzevrijheid of vrijheid van keuze? Een antwoord op die vragen wordt gesuggereerd door twee trends. Enerzijds de uitblijvende wereldverovering van open source bij gewone gebruikers. Anderzijds het succes van de iPhone. Maar ook de nieuwe koers voor Windows. Steve Jobs heeft gelijk.
Apps boven webapps

De allereerst iPhone was een apparaat met een gloednieuw besturingssysteem waar nog geen developers en dus ook nog geen apps voor waren. Sterker nog: de iPhone 1 had helemaal geen voorzieningen voor apps behalve die van Apple zelf. Het bedrijf van Steve Jobs stelde dat dat de bedoeling was: de toekomst is aan webapps, stelde Apple. Totdat Apple besloot dat het toch andersom was, toen het apps-tools en de App Store klaar had staan.

Microsoft belijdt officieel nu het geloof van de webapps: applicaties voor de nieuwe Metro-interface in Windows 8 worden gemaakt met webtechnieken, zoals html(5) en JavaScript. Maar ook met C#, ontwikkeld door Microsoft. En ook met XAML, door Microsoft afgeleid van webstandaard XML. C# en XAML zijn in de ogen van Microsoft-critici gebonden aan dat bedrijf.

Html(5) en JavaScript daarentegen zijn dat niet. Tenminste, niet van zichzelf. Microsoft heeft al geprobeerd html5 te kapen: door 'native html' aan te prijzen. Die marketingpraat heeft het snel gecorrigeerd, maar de strategie is er nog wel. Voor échte Metro-apps, die goed aansluiten op die nieuwe default interface, is er namelijk nog wat extra softwarecode nodig. En dat zijn native elementen van Windows 8, vertelt en demonstreert Microsoft op de Build-conferentie.

Daar hoort ook nog een nieuwe layout voor webstandaard css (cascading style sheets) bij: grids, van Microsoft. Die techniek is volgens het bedrijf zelfs essentieel voor Metro-apps. Het heeft grids wel ingediend bij de html5-werkgroep voor opname in die standaard, die nog in wording is. Het worden dus webapps met een Microsoft-sausje; omarmd en uitgebreid. Steve Jobs heeft gelijk.
Koppelverkoop

Ironisch genoeg is dit van origine een Microsoft-trekje, maar dan eentje die Apple de laatste jaren heeft geperfectioneerd. Het aan elkaar koppelen van de eigen producten, om meer te verdienen én om de concurrentie de pas af te snijden. De hierboven al behandelde app store als enige officiële optie voor apps, mét omzetbelasting, is daar al een voorbeeld van. Maar het kan nog een stapje verder.

Het op de computer kleine Apple moet de concurrentie van het grote Windows wel dulden. De Mac-maker heeft zelfs een dualboot-tool uitgebracht, zodat Microsofts besturingssysteem ook kan worden geïnstalleerd op Macs. Daarmee vergroot het de eigen afzetmarkt enigszins; MacBooks blijken immers hele goede Windows-laptops.

Voor het grote iOS sluit Apple de concurrentie hard buiten. Jailbreaks, alternatieve app stores en andere ongewenste elementen worden actief geweerd. Voor het grote Windows-platform bestaat er niet zoveel concurrentie, maar wel des te meer gelegenheid voor koppelverkoop. Een gratis instapversie van Office komt al lang mee op pc's, die de facto van Windows zijn voorzien.

Maar het kan nog een stapje verder, door pc-fabrikanten nu te laten kiezen voor BIOS-opvolger UEFI, waar de moederbordfabrikanten en masse voor gaan. En door die pc-makers dan te laten kiezen voor Windows-logocertificering. Om zo'n felbegeerde marketingsticker te verkrijgen, moet er natuurlijk wel aan kwaliteitsvoorwaarden worden voldaan.

Zoals beveiligde boot, waardoor alleen digitaal ondertekende software mee mag starten op een pc. Software waaronder drivers voor pc-componenten (denk aan een videokaart) en het besturingssysteem zelf. Linux - en ook Hackintosh - wordt zo de pas afgesneden. Een pc is dan dus écht een Windows-pc. Het hele apparaat zoals de platformmaker het heeft bedoelt. Steve Jobs heeft gelijk.

google_werkt_aan_ondersteuning_voor_mysql_in_app_engine

9 5 2011

Googles cloud computing-dienst App Engine gaat ontwikkelaars de mogelijkheid bieden om een relationele database op te zetten. De databasesoftware is gebaseerd op, en compatible met, de veelgebruikte MySQL-database.

Google App EngineOp dit moment kan een klein aantal ontwikkelaars al aan de slag met de MySQL-database in App Engine. Dat zei Greg D'Alesandre, senior product manager van App Engine, tegen Tweakers.net op de Google I/O-developersconferentie. De ontwikkelaars kunnen een database opzetten en deze vanuit hun App Engine-code benaderen.

De gebruikte databasesoftware is gebaseerd op mysql, waardoor ontwikkelaars gewoon MySQL-queries kunnen doen, zegt D'Alesandre. De software is wel aangepast: mysql verzorgt de opslag van inhoud in databases niet zelf, maar laat deze over aan Googles eigen opslagsoftware.

Ontwikkelaars kunnen direct mysql-queries gebruiken of api's van Google aanwenden om de database te benaderen. Op dit moment is er nog geen beheerconsole voor de database; deze kan enkel via de command-line worden beheerd. Of er uiteindelijk wel een grafische interface komt, lijkt waarschijnlijk: "Dat kan ik me voorstellen", zo zei D'Alesandre.

Het is nog onduidelijk wanneer alle ontwikkelaars de databasesoftware kunnen gebruiken. "We willen nog geen specifieke launchdatum noemen", aldus D'Alesandre. Op dit moment kunnen ontwikkelaars alleen nosql-databases opzetten, al is het benaderen van externe MySQL-databases wel mogelijk. Of er ook ondersteuning voor andere databasesoftware komt, zoals PostgreSQL, is nog onduidelijk.

In toekomstige App Engine-versies moet ook ondersteuning voor ssl op domeinen van klanten komen; nu kunnen ontwikkelaars alleen ssl gebruiken op hun appspot.com-domein. Ook moet er een monitoring-functie komen, waarmee klanten kunnen worden gewaarschuwd als processen in de fout gaan of er veel systeemresources worden geconsumeerd.

Deze week bracht Google een nieuwe versie van App Engine uit, met ondersteuning voor Googles eigen programmeertaal Go, naast de implementatie van pull-queues. D'Alesandre wil niet zeggen of er in de toekomst ook andere programmeertalen worden toegevoegd. "We hebben op dit moment niets aan te kondigen", zegt hij.

App Engine werd in 2008 geïntroduceerd en laat ontwikkelaars webapplicaties draaien op servers van Google. Ze kunnen daarbij api's van Google aanroepen, bijvoorbeeld voor het verwerken van grote hoeveelheden data.

bmw_wil_nfc-chip_verwerken_in_autosleutels

1 2 2011

BMW is van plan een nfc-chip te verwerken in autosleutels. Die zijn dan te gebruiken voor betalingen, maar kunnen ook dienst doen als sleutel voor een hotelkamer.

BMW redeneert dat iedereen zijn autosleutel altijd bij de hand heeft en gewend is op die sleutel te letten. Daarom zou het een goed idee zijn om via een nfc-chip (near field communication) bijvoorbeeld de sleutelcode van een hotelkamer te laden op de elektronische autosleutel. Een autosleutel raakt waarschijnlijk minder snel kwijt dan een kaart voor de hotelkamer.

Locatie van de auto

Ook denkt BMW dat het handig kan zijn om bijvoorbeeld een treinkaartje op de autosleutel te laden. Zo kan een BMW-rijder direct doorlopen op het station. Daarnaast kan de sleutel data over de staat van de auto opslaan. Zo kan de bestuurder op afstand kijken of zijn auto wel op slot is en via gps de locatie van het voertuig achterhalen.

apple_zet_iphone_jailbreak-detectie_uit

13 12 2010

Apple heeft in stilte de detectie-api voor iPhone-jailbreaks uitgeschakeld. iOS 4 lijkt jailbreaks nu dus te gedogen.

Apple heeft de jailbreak detection api (application program interface) afgelopen zomer geïntroduceerd in iOS 4.0. De redenen voor het verwijderen zijn onduidelijk. Apple geeft vooralsnog geen commentaar, meldt Webwerelds Amerikaanse zustersite Network World.

Risico op malware

De api's waren beschikbaar voor ontwikkelaars die applicaties maken om grote aantallen mobieltjes op afstand te beheren, zoals AirWatch of Sybase Afaria. In het recent uitgebrachte iOS 4.2 blijkt de api ineens niet meer te werken. Bij een jailbreak wordt het besturingssysteem zo aangepast dat gebruikers rechten krijgen tot delen van iOS die normaal gesproken niet beschikbaar zijn voor gebruikers.

Volgens softwaremakers zijn er nog genoeg alternatieven om vast te stellen of een iPhone, iPad of iPod Touch is gewijzigd zodat er applicaties buiten de App Store om zijn te installeren. Gejailbreakte apparaten vormen een beveiligingsrisico voor bedrijven. Ook al is de gebruiker niet van plan malware te installeren, hij kan niet nagaan of er malware verstopt zit in de apps die hij dan installeert.

Eigen manieren

Diverse software-ontwikkelaars gebruikten voor de komst van iOS 4.0 al allerlei eigen manieren om te controleren op jailbreaks. De nieuwe api gaf apps echter directe toegang tot informatie in het iPhone-besturingssysteem. Na detectie van een jailbreak kan een iOS-apparaat bijvoorbeeld automatisch een melding naar de helpdesk triggeren, die het toestel vervolgens kan blokkeren en de informatie erop op afstand kan wissen.

"We weten niet waarom Apple de functie heeft verwijderd", vertelt Joe Owen, vice-president van engineering bij Sybase, aan Network World. "Het was een interessant concept: vraag het OS om te vertellen of het is gecompromitteerd. Jailbreaks worden immers steeds beter in het verhullen dat er met het systeem is geknoeid."

opgepakte_mastercard_ddos%27ser_ge%EFdentificeerd

10 12 2010

De 16-jarige jongen die vastzit wegens een DDOs-aanval op Mastercard en Visa, gaat online door het leven als 'Jeroenz0r'. Zijn online-vrienden nemen nu wraak op de site van het OM.

De verdachte ‘Jeroenz0r’ is een 16-jarige jongen uit Zoetermeer, die een van de IRC-kanalen beheerde waarvandaan de DDoS-aanvallen op Mastervard.com en Visa.com werd gecoördineerd, meldt Tweakers.net.

Aanvalscoördinator

Zijn rol was dus belangrijker dan alleen het meedoen met de aanval door de LOIC-client te installeren en in te stellen. De woordvoerder van het OM bevestigt tegenover Webwereld zijn prominente rol: “Hij heeft bekend dat hij de aanval is begonnen.”

De verdachte zal aan het eind van de middag worden voorgeleid. Dan zal de rechter-commissaris beslissen of de voorlopige hechtenis met twee weken wordt verlengd.

DDoS op OM.nl

Ondertussen neemt de los-vaste groep die opereert onder de naam Operation Anonymous de website van het Openbaar Ministerie te grazen. Om.nl is al uren slecht bereikbaar. Een woordvoerster van het Parket Generaal bevestigt de storing, maar kan nog geen oorzaak aangeven. “We doen er momenteel onderzoek naar.”

Gisteravond maakte het OM bekend dat het de jongen had gearresteerd en zijn computers in beslag had genomen. De afgelopen dagen werden verschillende websites van onder meer Paypal, Mastercard en Visa platgelegd door een gedistribueerde verstikkingsaanval, kortweg DDoS. Doelwit van de groep zijn bedrijven die, al dan niet onder druk van de Amerikaanse regering, hun dienstverlening aan de omstreden klokkenluidersite Wikileaks hadden gestaakt.

mobiel_internet_piekt_in_ontwikkelingslanden

26 11 2010

De verkoop van smartphones zit wereldwijd in de lift en het gebruik van mobiel internet bijgevolg ook. Toch hinken de meeste ontwikkelde landen achterop wat het percentage mobiele internetgebruikers betreft. Dat blijkt uit een onderzoek van marktanalist Royal Pingdom.

De cijfers waarop de marktonderzoeker zich baseert zijn afkomstig van StatCounter, en ze geven het gemiddelde weer voor het hele continent. Het gebruik verschilt uiteraard van land tot land, maar de algemene tendens is duidelijk.

Europa hinkt achterop
Volgens StatCounter maakte het mobiel verkeer in oktober wereldwijd 3,81% uit van het totale internetgebruik. In Afrika was dat 5,81% en in Azië zelfs 6,10%. Europa hinkt achterop met 1,81%, Noord-Amerika doet het beter dan gemiddeld met 4,71%.

Meerdere Afrikaanse landen bereiken meer dan twintig procent. Koploper is Tsjaad met 29%, Nigeria haalt 25% en Sudan 22%. Aziatische (ontwikkelings)landen als Indonesië, Cambodja, Turkmenistan en Bangladesh stuwen met elk ongeveer 15% het gemiddelde in Azië omhoog.

Nokia overheerst
Opvallend is dat in deze landen Nokia de absolute koploper is. In sommige gevallen genereren smartphones met Symbian OS meer dan 90% van het landelijke mobiele internetverkeer. In de andere landen ligt dit tussen de 60 en 80%.

Androidtoestellen, iPhones en BlackBerry's maken slechts een fractie van de smartphonemarkt uit. De enige uitzondering is Indonesië, waar RIM 31% van de markt in handen heeft en daarmee na Nokia de populairste smartphoneproducent is.

Oorzaak
De reden voor deze opmerkelijke verschillen is volgens Royal Pingdom dat veel Afrikanen en Aziaten geen toegang hebben tot het internet via een computer. Bovendien zijn de toestellen van Nokia relatief goedkoop.

meerderheid_iphone-apps_lekt_priv%E9gegevens

4 10 2010

Tweederde van de meest gebruikte iPhone-applicaties versturen persoonlijke gegevens naar externe servers. App-ontwikkelaars en adverteerders kunnen gebruikers monitoren.

Ongeveer 68 procent van de populairste iPhone-apps versturen persoonlijke data zoals toestel-id’s, maar ook volledige namen of locatiegegevens naar servers van adverteerders of ontwikkelaars. Dat blijkt uit onderzoek van Eric Smith van de Bucknell University. Hij onderzocht de 57 meest gebruikte gratis apps. Door een toestel-id (UDID) in een cookie te plaatsen is het mogelijk om iPhone's te monitoren.

Inlognamen

Volgens Smith is het versturen van enkel een UDID door een app nog geen directe reden voor paniek. Met alleen dat getal kunnen adverteerders en ontwikkelaars namelijk nog niet achter de identiteit van een gebruiker komen. Dat kan wel als ze ook andere gegevens versturen, zoals volledige namen of inlognamen.

Als apps ook die gegevens naar een externe server sturen dan komen bedrijven niet alleen achter de volledige naam van een gebruiker, maar is het ook mogelijk om een gebruiker in de gaten te blijven houden als die een andere smartphone neemt.

Onbeveiligd

Uit het onderzoek van Smith blijkt dat het geen obscure applicaties zijn die deze persoonlijke gegevens doorsturen. Apps van bijvoorbeeld BBC News en ABC News plaatsen cookies met UDID voor hun advertenties. De cookie van ABC verloopt pas na 20 jaar en de applicatie slaat ook locatiegegevens op.

De iPhone-app van Amazon stuurt behalve UDID ook de naam van de gebruiker door. De applicatie doet dat onbeveiligd waardoor het voor afluisteraars mogelijk is om persoonlijke gegevens te achterhalen.

Volgens Smith is het doorsturen van gegevens bedoeld om adverteerders inzicht te geven in het bereik en de doelgroep van hun applicatie. De onderzoeker meent dat de privacy van iPhone-gebruikers ernstig in het geding komt door dergelijke praktijken.

Netwerkanalysetool

Eind vorige week bleek uit een onderzoek van Duke University, Penn State University en Intel Labs dat ook tweederde van de Android apps privégegevens doorsturen naar adverteerders en ontwikkelaars.

Het Android-onderzoek werd gedaan via een eigen applicatie. Smith onderzocht iPhone-apps met behulp van de netwerkanalysetool TShark.

encryptielek_microsoft_legt_webapps_bloot

14 9 2010

Beveiligingsonderzoekers hebben een lek ontdekt in de encryptie voor Microsofts ASP.NET-webapplicaties. Het lek is succesvol uit te baten om bijvoorbeeld online banking gegevens buit te maken.

Het probleem zit hem in de manier waarop het web framework ASP.NET van Microsoft de AES-encryptie implementeert. Die versleuteling dient om de integriteit te waarborgen van de cookies die de webapplicaties genereren. De exploit die zwakke plek in de AES-implementatie uitbuit, komt uitgebreid aan bod op de Ekoparty conferentie in Argentinië.

Beveiliging onderuit

Thai Duong en Juliano Rizzo zijn de onderzoekers die het probleem hebben ontdekt. Ze weten al een aantal maanden van de zwakke plek in ASP.NET, maar zagen een paar weken geleden pas in hoe ernstig hun vondst in potentie kan zijn. “Het verwoest in één klap de hele beveiliging van ASP.NET”, stellen de onderzoekers.

De twee security-experts hebben ook al een tool gemaakt om via dit lek een aanval uit te voeren. De tool heet POET, wat staat voor Padding Oracle Exploit Tool en wat verwijst naar de naam van de kwetsbaarheid. Dit heeft overigens niets met softwareleverancier Oracle te maken, voor de duidelijkheid.
Al sinds 2002

De aanval is een variatie op een techniek die zeker al in 2002 bestond. Het probleem met de manier waarop ASP.NET de AES-encryptie implementeert, zit in de omgang met fouten. Wanneer de kwetsbare applicatie in kwestie een fout genereert, geeft het een brokje informatie terug aan de aanvaller.

Die krijgt daarmee een kijkje in de keuken van het encryptieproces. Des te meer fouten, des te meer data de hacker krijgt. Bij genoeg van deze errors kan de aanvallers vervolgens genoeg bytes verzamelen om de encryptiesleutel te achterhalen via een proces van uitsluiting.

Zo kan de aanvaller dus cookies ‘sniffen’ en die kunnen gevoelige informatie bevatten, zoals gegevens voor online-bankieren. Dit lek is ernstig doordat een aanvaller die zich hierop stort een 100% slagingskans heeft om het succesvol uit te buiten. De enige variabele is dat een aanval de ene keer langer duurt de andere.

In gemiddeld 30 minuten
Het achterhalen van de encryptiesleutel kan in het ergste geval al binnen enkele seconden. De gemiddelde tijd dat een aanvaller erover doet om een webapplicatie te kraken is 30 minuten. Ten langste is hij 50 minuten kwijt. Volgens de ontdekkers kan een hacker met gemiddelde vaardigheden deze aanval al uitvoeren. Dit ondanks de complexiteit van de aanval.

Het ASP.NET framework is veelgebruikt, waardoor de kwetsbaarheid er een is om in de gaten te houden. Ongeveer 25% van alle webapplicaties is gebouwd met ASP.NET. Met name applicaties van banken zijn geschoeid op de leest van het ASP.NET framework.