45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

E-mail provider Riseup gaat mails gebruikers versleuteld opslaan wegens FBI

E-mailprovider Riseup gaat alle e-mails van gebruikers voortaan versleuteld opslaan, zodat het die niet kan overhandigen als de FBI hier om vraagt. De Amerikaanse opsporingsdienst had de provider vorig jaar om informatie over twee e-mailadressen gevraagd, zo is nu bekendgemaakt.

De rechter had daarnaast een zwijgbevel opgelegd zodat Riseup hier niets tegen de betreffende gebruikers of de buitenwereld mocht vertellen. De periode dat het zwijgbevel van kracht was is nu afgelopen, waarop de provider besloten heeft om naar buiten te treden. 

De provider wil geen toegang meer hebben tot de accounts van gebruikers. Alle nieuwe e-mailaccounts bij Riseup worden daarom voortaan versleuteld opgeslagen. Alleen de gebruiker heeft zodoende toegang tot zijn e-mails. De provider benadrukt dat het hier niet om end-to-end-encryptie gaat. Daarvoor is nog steeds een client met OpenPGP vereist, zo laat het weten. Dit jaar wil Riseup echter een uitgebreider "endot-endsysteem" uitrollen.

Alles bij de bron; Security


 

Studenten hechten aan hun privacy, tot het onhandig wordt

EUR-studenten vinden hun online privacy belangrijk, maar besteden er naar eigen zeggen te weinig aandacht aan. Zo zijn gratis en gemakkelijk te gebruiken diensten als Gmail en Whatsapp populair, terwijl veiligere diensten nauwelijks gebruikt worden. Dat en meer blijkt uit een door EM uitgevoerde enquête onder 220 studenten over hun online gedrag en hoe ze tegen hun privacy bij de EUR aankijken (zie infographics voor de resultaten).

Directe aanleiding was de hack van de EUR-website in november. In het magazine van EM, dat vandaag verschijnt, vertellen EUR-medewerkers Roeland Reijers en Marlon Domingus daarom hoe de universiteit met persoonsgegevens van studenten omgaat en de doorgevoerde verbeteringen sinds de digitale inbraak. 

Studenten willen graag hun privacy op internet beschermen, maar ze handelen er zelden naar. Meer dan een derde, 37 procent, geeft eerlijk toe er ‘te weinig’ aan te doen. Een iets kleinere groep (33 procent) zegt zich er juist actief mee bezig te houden. Toch betekent dat niet dat ze Facebook, Gmail of Whatsapp, wat notoire privacyschenders zijn, links laten liggen.

Zo gebruikt slechts 6 procent Signal, een veiliger alternatief voor Whatsapp. Ook e-mailen gaat bijna uitsluitend via gratis diensten, terwijl die het niet zo nauw nemen met jouw privacy. Maar liefst 97 procent appt en 79 procent facebookt. Ook e-mailen doet 97 procent via de gratis diensten Gmail of Hotmail, die graag je gegevens met derden delen.

Alles bij de bron; ErasmusMag


 

Deze website legt elk Facebookprofiel volledig bloot

Ethisch hacker Inti De Ceukelaire heeft een nieuw tooltje klaar. Wie op Facebookscanner.com iemands profiel invoert krijgt onmiddellijk de mogelijkheid om bijvoorbeeld alle foto’s te zien waarin iemand getagd is, zelfs als is die persoon niet bevriend met u. Voorts kan u ook zien welke foto’s, video’s of statussen iemand leuk heeft gevonden.

Zelfs geheime groepen waar u lid van bent, ontsnappen niet aan de aandacht van Facebookscanner. “Mensen denken dat ze met een geheime groep niets prijsgeven”, vertelt De Ceukelaire. “Maar zo gaat dat niet bij Facebook. Pas als je je groep gesloten maakt, dan pas kunnen enkel leden de berichten zien. En dus niet gans de wereld.”

De ethische hacker maakt voor zijn website gebruik van Graph Search, een tool die Facebook in 2013 aanvankelijk voor iedereen lanceerde, maar al snel terug inperkte omwille van privacy problemen. Die functie werd volgens De Ceukelaire echter nooit helemaal verwijderd. “Mijn tool genereert voor elke situatie de juiste link en stuurt de gebruikers vervolgens door naar het juiste verborgen stukje Facebook. En dat is perfect legaal”, aldus De Ceukelaire.

Alles bij de bron; NieuwBlad [Thnx-2-Luc]


 

Veiligheidslek bij Kadaster

Het Kadaster kampt met slepende computerproblemen, met als gevolg onacceptabel grote veiligheidskwesties. Dat blijkt uit interne directierapporten die in bezit zijn gekomen van het Financieele Dagblad.

Er zou een reële kans zijn dat onbevoegden met de informatie kunnen rommelen. 'Het risico bestaat dat Kadasterdiensten onveilig zijn voor klanten of informatie toegankelijk is of muteerbaar is voor personen die hier geen toegang toe mogen hebben,' meldt de Kadaster-directie intern in stukken waar Het Financieele Dagblad de hand op heeft gelegd. In het meest recente interne veiligheidsrapport (24 november 2016) wijzen directie en het managementteam op liefst tien veiligheidsthema's waar de ict 'substantiële' en 'hoge risico's' oplevert. Die zijn zo groot dat ze 'buiten de risicoacceptatie' vallen.

Het Kadaster worstelt al jaren met de veiligheid van haar ict, blijkt uit een rapportage over het vierde kwartaal van 2015. Daaruit blijkt dat accountantskantoor Deloitte al in 2012 de rode kaart trok voor de veiligheidsissues. Accountantsorganisatie KPMG hamerde in haar managementletters aan de directie van 2013 en 2014 op verbetering.

Tegenover het FD bevestigt de woordvoerder van het Kadaster dat de krant twee 'zeer kritische' stukken van de directieraad van het Kadaster in bezit heeft. Het oplossen van de veiligheidsissues heeft volgens de woordvoerder 'zeer hoge prioriteit'. Eind van het eerste kwartaal van dit jaar moet driekwart van de zwaarste problemen zijn teruggebracht naar beheersbare proporties.

Notarisorganisatie KNB noemt de problemen in een reactie zorgwekkend, omdat wat in het Kadaster staat als waarheid geldt. Een goed functionerend Kadaster is essentieel voor de onroerendgoedmarkt. Notarissen zijn grootgebruikers van Kadaster-informatie.

Bron; BNR


 

Wachtwoordvraag VS bij visum kan voorbeeld zijn voor andere landen

Het Amerikaanse ministerie van Homeland Security overweegt om de maatregel met name voor reizigers uit Iran, Irak, Libië, Somalië, Soedan, Syrië en Yemen in te voeren. Op deze manier willen de autoriteiten controleren of iemand een beveiligingsrisico is. "Zodra er beleid is dat het afgeven van wachtwoorden verplicht, zullen de inlichtingenvoordelen ongetwijfeld andere landen inspireren om hetzelfde te doen", aldus Zdziarski.

"Dit zal uiteindelijk worden gebruikt om wetgeving voor het doorzoeken en in beslag nemen te omzeilen en zo je gegevens aan forensisch onderzoek bloot te stellen. In andere woorden, als autoriteit hoef je Microsoft geen gerechtelijk bevel meer te sturen en ook de locatie waar de data zich bevinden maakt niet meer uit, aangezien een douanebeambte direct op je account kan inloggen", waarschuwt Zdziarski.

De onderzoeker stelt dat de gevolgen van een dergelijk wachtwoordbeleid zeer ernstig zijn. "Eenmaal in een inlichtingendatabase kan dit met andere gegevens worden gecorreleerd, waaronder je interesses, winkelvoorkeuren en andere big data die van winkels afkomstig zijn." Deze gegevens kunnen vervolgens worden gebruikt om een score te berekenen of iemand een terrorist is, aldus de onderzoeker. "De mogelijkheden zijn echt eindeloos, en je vrijheid kan op een gegeven moment afhangen van de uitkomsten van een algoritme." Om accounts te beschermen kunnen reizigers echter verschillende maatregelen nemen, zo laat Zdziarski op zijn blog weten.

Alles bij de bron; Security


 

iCloud sloeg verwijderde browsergeschiedenis maandenlang op

Elcomsoft heeft verwijderde browsergeschiedenis van maanden geleden weten terug te halen uit de cloudopslagdienst van Apple, iCloud. Die bestanden stonden gemarkeerd als ‘verwijderd’, maar waren dus wel in te zien.  Uit de data zijn onder meer namen en website-url’s gehaald.

Ook de data die een smartphone achterlaat is teruggevonden in de gegevens. Echter, de sitenamen zijn wel versleuteld sinds de recente uitgebrachte updates voor iOS, het mobiele besturingssysteem van Apple. 

Apple heeft wel snel gereageerd en heeft het probleem inmiddels verholpen. Nu worden alle gegevens die ouder zijn dan twee weken automatisch gewist. Hoewel het forensische team blij is met de verandering, is het nog steeds benieuwd naar de oorzaak van de fout. “We wachten nog op een uitleg”, schrijft het team in een eigen, geüpdatete blogpost.

Normaal gesproken is het zo dat wanneer gebruikers hun geschiedenis verwijderen vanaf een Mac, de data ook wordt gewist op iPhones en iPads die zijn gekoppeld aan hetzelfde iCloud-account. Elcomsoft kwam echter data tegen die teruggaat tot november 2015, wat dus zou moeten betekenen dat er ergens een fout in het systeem zat. De data schijnt niet toegankelijk te zijn geweest voor de politie.

Alles bij de bron; NU


 

Ruim miljoen privéberichten vd verhuursite 'Kamernet' waren toegankelijk door datalek

Privéberichten van gebruikers van de kamerverhuursite Kamernet zijn enige tijd openbaar toegankelijk geweest, door een lek in de systemen van de site. Dat ontdekte beveiligingsonderzoeker Nelson Berg, die het lek op 26 januari bij de website meldde. 

Kamernet controleerde bij het opvragen van privéberichten niet of de betreffende gebruiker hier toegang toe had. Het was daarom met een speciaal script mogelijk om in anderhalve dag de 1,32 miljoen berichten op de website te downloaden en in te zien. 

De site stelt dat het datalek niet is misbruikt. Uit onderzoek zou blijken dat alleen Berg de berichten heeft ingezien, voordat hij zijn ontdekking bekendmaakte bij de site. "Kamernet is de melder van het risico dankbaar en heeft het lek een uur na bekendmaking kunnen dichten", aldus het bedrijf in een verklaring. Kamernet zegt dat het datalek is gemeld bij de Autoriteit Persoonsgegevens, zoals sinds vorig jaar wettelijk verplicht is. Vooralsnog is het lek niet direct aan de getroffen gebruikers gemeld.

Alles bij de bron; NU


 

Software voor kraken van smartphones openbaar gemaakt

Een hacker heeft software op internet gezet waarmee iPhones, Android- en Blackberry-smartphones te kraken zijn. Het gaat om software die hij gestolen heeft van het Israëlische beveiligingsbedrijf Cellebrite.

Cellebrite ontwikkelde de software om overheden te helpen smartphones van criminelen te onderzoeken. Met deze technologie zijn sms-berichten en e-mails van vergrendelde smartphones te halen. De diensten van Cellebrite zijn erg belangrijk voor inlichtingendiensten, omdat fabrikanten van smartphones weigeren mee te werken aan het kraken van hun producten, om niet het vertrouwen van consumenten te verliezen. Dit leidt regelmatig tot grote spanningen tussen de fabrikanten en de inlichtingendiensten.

Alles bij de bron; BeveilNieuws [thnx-2-Dick]