45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Twitter dicht opvallend beveiligingslek

Twitter heeft een opvallend beveiligingslek gedicht. Via het lek kon een gebruiker tweets plaatsen vanaf een ander account. De kwetsbaarheid werd ontdekt door een beveiligingsonderzoeker die zichzelf Kedrisch noemt. 

Zijn methode maakte gebruik van een onderdeel van Twitter dat te bereiken was via ads.twitter.com Daar kunnen gebruikers afbeeldingen en video's uploaden. Hij kwam erachter dat het mogelijk was om bestanden van daaruit te tweeten of te delen met een andere gebruiker. Door deze techniek toe te passen op de deelfunctie, kon hij ervoor zorgen dat degene met wie hij het bestand deelde, werd gezien als de eigenaar ervan.

Alles bij de bron; BNR


 

Chips met ‘vingerafdruk’ maken online wereld veiliger

Elke chip is anders. Tijdens de productie kunnen kleine variaties optreden. Voor chipontwerpers is dat een nachtmerrie. Veiligheidsexperts zien er dan weer een voordeel in: de kleine variaties geven chips een uniek profiel, net als vingerafdrukken bij mensen.

Op nanoschaal is het onmogelijk om twee identieke chips te fabriceren. Onderzoekers breken er al een tijdje hun hoofd over hoe ze dat unieke karakter van chips kunnen gebruiken om elke chip onweerlegbaar te identificeren.

‘De PUF’s die tot nu toe zijn gemaakt hebben een aantal nadelen’, zegt Verbauwhede. ‘Sommige kosten meer omdat je extra schakelingen moet toevoegen. Andere hebben een vingerafdruk die na een tijdje vanzelf wijzigt. Nog andere vertonen regelmatigheden, waardoor ze toch niet zo veilig zijn.’ Uit die problemen ontstaat het concept van een ideale vingerafdruk van een chip. Hij moet stabiel zijn en gemakkelijk af te lezen. Het gebruik van de vingerafdruk mag niet veel tijd en energie kosten en de vingerafdruk mag na verloop van tijd niet veranderen. Hij moet bovendien uniek zijn en onmogelijk na te bootsen in een andere chip. De vingerafdruk mag evenmin af te leiden zijn uit alle informatie (of sleutels) die de chip verspreidt. Ten slotte moet hij inbraakvrij zijn: als iemand de chip fysiek probeert te ontcijferen, moet de vingerafdruk zichzelf vernietigen of veranderen.

Dimitri Linten is R&D-manager bij imec. Samen met zijn collega’s bestudeert hij de variaties bij de productie van toekomstige transistoren. Na verloop van tijd kan een transistor op een willekeurige plaats ‘doorslaan’. 'Wat ons interesseert, is de willekeurige positie van het lekstroompad en het feit dat je die positie kan meten’, zegt Linten.

‘Eigenlijk zijn de oxide-breakdowns een verouderingseffect. Die willen we normaal voorkomen of vertragen – een chip moet immers zo lang mogelijk gezond blijven. Maar voor de PUF's hebben we die veroudering net nodig. Daarvoor kunnen we bijvoorbeeld een apart blokje op de chip reserveren, waarop we éénmaal een hoge spanning  zetten . We dwingen dus een klein deeltje van de chip om heel snel te verouderen, en als neveneffect krijgen we een willekeurige vingerafdruk’, aldus Linten.

Deze PUF’s zijn nog niet helemaal klaar voor verwerking in commerciële chips. De onderzoekers zien wel al toepassingen. Ze denken aan chips voor de draadloze besturingsnetwerken in auto’s, voor industriële machines of voor medische apparatuur. Het onderzoek naar oxide-breakdown PUFs wordt gedeeltelijk gefinancierd door de Europese Commissie in het kader van het Horizon 2020 onderzoeks- en innovatieprogramma.

Alles bij de bron; EOS


 

Het beveiligen van data is complexer dan je denkt; Hoe ga jij om met privacy?

Analysbureau Forrester gaf onlangs een rapport uit met de eigenschappen van verschillende gebruikers en de factoren die bepalen hoe veel - of hoe weinig - ze online delen. "We horen vaak dat millennials niets om privacy geven met als voorbeeld wat ze delen op social media. Maar dat gaat voorbij aan het feit dat juist millennials hun online identiteit veel strakker beheren." 

"Ze gebruiken privacy-instellingen, berichtendiensten en browser-plugins om in te bepalen wie wat krijgt te zien. Zo gedragen de meesten van ons zich in de fysieke wereld: hoe we informatie verstrekken verschilt in de regel sterk van welke relatie we hebben." Het onderzoeksbureau beschrijft vier categorieën;

  • 1. Data-savvy digital natives
  • 2. Roekeloze allesdelers
  • 3. Verloren gebruikers
  • 4. Sceptische digital natives

Alles bij de bron; CompWorld


 

Oud-topman Sony: Bewaar geen gevoelige data op servers (duh)

In 2014 werd Sony Pictures Entertainment door een omvangrijke hack getroffen waarbij aanvallers grote hoeveelheden data wisten te stelen en duizenden computers met malware infecteerden. Het incident had het einde van het bedrijf kunnen beteken, zo heeft toenmalig directeur Michael Lynton tijdens een evenement voor ceo's laten weten. 

Lynton stapte begin dit jaar als topman bij Sony op, maar heeft van het incident verschillende zaken geleerd. "Mijn e-mail wordt elke tien dagen op een harde schijf opgeslagen. Dat is voor mij de oplossing. Stop het in een la en doe de la op slot." Ook vertelde Lynton tijdens het evenement dat bedrijven geen gevoelige informatie, zoals medische dossiers en social security nummers, op hun servers moeten bewaren die mogelijk kunnen worden gehackt, zo meldt CNN.

Alles bij de bron; Security


 

Apple bewaart verwijderde iCloud-notities op zijn servers

Beveiligingsonderzoekers hebben ontdekt dat notities die van een iCloud-account worden verwijderd, nog op de servers van Apple blijven bestaan. Het is niet de eerste keer dat het lukt om verwijderde content alsnog te achterhalen op de servers van Apple. Normaal gesproken moeten verwijderde iCloud-notities binnen dertig dagen van de servers van Apple worden verwijderd, maar Elcomsoft ontdekte dat dit niet altijd het geval is.

Door gebruik te maken van een softwaretool die door Elcomsoft zelf is ontwikkeld bleken veel met iCloud gesynchroniseerde notities terug te halen zijn, ondanks dat deze binnen dertig dagen verwijderd hadden moeten worden. De oudste, verwijderde notities die het Russische beveiligingsbedrijf nog kon vinden, kwamen uit 2015.

Het is niet de eerste keer dat Apple wordt geconfronteerd met verwijderde content die gesynchroniseerd is met iCloud, en die later toch nog terug is te vinden. Na iedere ontdekking zorgde Apple er telkens voor dat de problemen met het definitief verwijderen van de content werden verholpen. Dat er telkens verwijderde content op de servers van Apple blijft opduiken, zorgt er wel voor dat er vragen blijven bestaan over welke data nog meer ongevraagd op de servers staat, aldus Elcomsoft.

Alles bij de bron; Tweakers


 

Versleuteling van DigiD-gegevens voldoet niet aan eisen

DigiD-gegevens worden gedeeltelijk versleuteld opgeslagen, maar de gebruikte encryptie voldoet niet aan de gestelde eisen, zo blijkt uit onderzoek (pdf) van de Algemene Rekenkamer naar het ministerie van Binnenlandse Zaken. Het ministerie heeft vorig jaar verschillende acties ondernomen om deze beveiligingsrisico's weg te nemen. Iets dat in mei vorig jaar door middel van een onafhankelijke audit is bevestigd.

De Rekenkamer meldt nu dat DigiD-gegevens gedeeltelijk worden versleuteld, maar dat de gebruikte encryptie niet volledig voldoet aan de gestelde eisen van het Tijdelijk besluit nummergebruik overheidstoegangsvoorziening uit 2004. "Omdat op andere manieren veiligheidsmaatregelen zijn genomen die het risico van misbruik van gegevens tot een gering risico beperken, heeft het ministerie in oktober 2016 het besluit genomen het restrisico te accepteren", aldus de Rekenkamer.

Verder vraagt de Rekenkamer ook aandacht voor het gebruik van DigiD. Van de ongeveer 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie). "In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of donorgegevens", schrijft de Rekenkamer. 

Allesbij de bron; Security