Software & Algoritmes

In de ochtend van 10 augustus kreeg Ahmed Mansoor, een 46-jarige mensenrechtenactivist uit de Verenigde Arabische Emiraten een vreemd smsje van een nummer dat hij niet herkende. 

"Nieuwe geheimen over martelingen van Emiratis in staatsgevangenissen," las het bericht, dat ook een link bevatte. Hij was achterdochtig en klikte niet op de link. In plaats daarvan stuurde hij de link door naar Bill Marczak, een onderzoeker bij Citizen Lab, een privacywaakhond bij de Universiteit van Toronto. Het bericht bleek inderdaad niet pluis te zijn. De link leidde niet naar geheimen over martelingen, maar naar een zeer geavanceerd stuk malware dat drie onbekende kwetsbaarheden in Apple's iOS gebruikte.

"Een van de meest geavanceerde stukken cyberspionagesoftware die we ooit hebben gezien." Dit is de eerste keer dat iemand zo'n aanval in het wild heeft gevonden. Tot op deze maand had niemand spionagesoftware gezien die drie onbekende bugs, of zero-days, in de iPhone toepaste. De tools en technologie die nodig zijn om een dergelijke aanval – in feite op afstand een iPhone jailbreaken – uit te voeren kunnen een miljoen dollar waard zijn. Nadat de onderzoekers Apple op de hoogte brachten, heeft het bedrijf hard gewerkt om een fix uit te rollen in een update die sinds gisteren beschikbaar is. Download die.

Het lijkt erop dat het bedrijf dat de spyware en zero-days leverde een vrij onbekend Israelisch surveillancebedrijf is dat NSO Group heet. Mike Murray, hoofdonderzoeker bij Lookout, noemde het bedrijf "in feite een cyberwapenhandelaar."

De onderzoekers bij Citizen Lab en Lookout waren onder de indruk van deze nooit eerder vertoonde soort malware. "Een van de meest geavanceerde stukken cyberspionagesoftware die we ooit hebben gezien. Het steelt alle informatie op je telefoon, onderschept elk gesprek, onderschept elk bericht en steelt alle e-mails, contacten en Facetime. Het maakt een achterdeurtje in elk communicatiemechanisme dat je op de telefoon hebt," legt Murray uit. "Het steelt alle informatie uit de Gmail-app, alle Facebook-berichten, alle Facebook-informatie, je Facebook-contacten, alles van Skype, WhatsApp, Viber, WeChat, Telegram – noem maar op." 

PegasusSpyware
Deze aanval op Mansoor en een andere aanval die Citizen Lab kon terugvoeren naar een journalist in Mexico, toont datHacking Team en FinFisher niet de enige spelers zijn in de groeiende markt van privébedrijven die hackdiensten leveren aan overheden. Het toont ook dat de klanten van deze bedrijven – vaak repressieve overheden die activisten en critici als doelwit hebben – niet bang zijn om de peperdure software in te zetten.

"Dit toont de ongelofelijk macht van journalisten en activisten die dit soort extreem dure spyware aantrekken," zei Railton. Uiteindelijk zou dit een voorteken kunnen zijn. De mensen op wie deze spyware vandaag gericht is – dissidenten, activisten – dat zijn het soort mensen op de frontlinie van wat er voor ons allemaal aankomt. Ze zijn kanaries in de kolenmijn," zei Marczak. "De bedreigingen waar zij nu mee omgaan, is de misschien de bedreigingen waar wij allemaal in de toekomst mee om moeten gaan."

Een kort profiel uit 2014 in The Wall Street Journal meldde dat NSO hun producten aan de Mexicaanse overheid verkocht en interesse wekte bij de CIA. Hun spionagesoftware werd overal ter wereld verkocht.
Nu hun spyware bloot ligt en hun zero-days bekend zijn, kan NSO niet meer beweren dat ze een spook zijn. Al is het natuurlijk mogelijk dat het bedrijf meer zero-days en tools bezit. Dat is waarom onderzoekers niet verwachten dat hun rapporten en de patch van Apple ervoor gaan zorgen dat NSO stilgelegd wordt. "We gaan NSO niet bankroet maken door deze kwetsbaarheden te patchen," zei Murray.

Dit is ook het eerste teken van de opkomst van een nieuwe superspeler in de wereld van spionagesoftware. NSO heeft de potentie om te groeien na de hacks op FinFisher en Hacking Team, die tot nu toe de meest bekende en beruchte cyberwapenhandelaars zijn.

Het engste is misschien nog wel dat dit allemaal niet bekend zou zijn als Mansoor op 10 augustus op die link geklikt had.

Alles bij de bron; MotherBoard [Thnx-2-Luc]


Een verdacht sms’je dat mensenrechtenactivist Ahmed Mansoor liet onderzoeken door experts legt een geavanceerde aanvalsmethode bloot waarmee iPhones op afstand, via een linkje, gekaapt kunnen worden. 

De spyware is ontwikkeld door de Israëlische NSO Group en is al geruime tijd in gebruik, vermoeden beveiligingsbedrijven Citizen Lab en Lookout. Ze vonden drie lekken. Zulke geavanceerde kwetsbaarheden worden doorgaans gebruikt voor (bedrijfs-)spionage op hoog niveau. Apple, gewaarschuwd door de bedrijven, heeft een update voor iOS beschikbaar gesteld.

De iPhone had lang de status van moeilijk te kraken apparaat, Apple controleert streng op kwaadaardige software in zijn downloadwinkel en geeft de gebruiker minder vrijheid om het toestel aan te passen. Het bleek toch niet genoeg om helemaal onkwetsbaar te zijn voor infiltratie.

Alles bij de bron; NRC


Siri draait al sinds juli 15 augustus 2014 wereldwijd op een 'neuraal netwerk', een zelflerend computersysteem dat moet leren van de input van gebruikers en daardoor steeds beter moet worden. Bedrijven als Google en Microsoft hebben hun spraakassistenten ook al een aantal jaar op dergelijke technologie draaien, van Apple was dit nog niet bekend. In de afgelopen maanden kocht Apple wel verschillende bedrijven rond kunstmatige intelligentie en zelflerende systemen aan.

Deep learning wordt volgens Apple ook op tal van andere manieren ingezet in iOS. Zo heeft het besturingssysteem sinds iOS 9 de mogelijkheid om te 'gokken' wie er belt, door binnenkomende telefoonnummers te vergelijken met contactgegevens in ontvangen e-mails. In iOS 10 onthoudt het systeem onder meer automatisch waar gebruikers hun auto hebben geparkeerd. Alle Apple-apps kunnen die informatie waar nodig aanspreken, en het bestand wordt voortdurend bijgewerkt waarbij oude informatie wordt verwijderd. Dergelijke data wordt volgens Apple altijd alleen op het apparaat van de gebruiker zelf bewaard, en in online backups versleuteld opgeslagen. Bovendien zou veel van de deep learning op het apparaat zelf gebeuren. 

Volgens Apple houdt Siri op iOS-apparaten een cache-bestand van zo'n 200 MB bij, waarin gedrag als app-gebruik, interacties met anderen maar ook gezichtskenmerken voor fotoherkenning worden opgeslagen.

Alles bij de bron; NU


Met Windows 10 heeft Microsoft de keuze en privacy van gebruikers schaamteloos geschonden, zo stelt de Amerikaanse burgerrechtenbeweging EFF. "De tactieken die Microsoft gebruikte om gebruikers van oudere Windowsversies naar Windows 10 te laten upgraden gingen van vervelend naar ronduit kwaadaardig", zegt Amul Kalia van de Electronic Frontier Foundation (EFF). Hij wijst naar de pop-ups die gebruikers te zien kregen en lastig waren uit te schakelen. Ook de manier waarop de pop-upmelding werkte was zeer misleidend. In mei was het zo dat als gebruikers op de X klikten om het venster te sluiten Microsoft dat als een bevestiging beschouwde om de upgrade uit te voeren. "Keer op keer, met elke update, koos Microsoft voor dubieuze tactieken om gebruikers software te laten downloaden die veel niet wilden. Wat gebruikers echt wilden leek niet uit te maken", gaat Kalia verder.

De EFF hekelt niet alleen de problemen rond de keuze van gebruikers, maar heeft ook kritiek op de "ongekende hoeveelheid gebruiksdata" die Windows 10 verzamelt en naar Microsoft terugstuurt. Het gaat dan bijvoorbeeld om locatiegegevens, tekstinvoer, steminvoer, bezochte websites en andere telemetriegegevens rondom het gebruik van de computer. "Hoewel gebruikers zich voor sommige van deze instellingen kunnen afmelden, is het geen garantie dat de computer niet meer met de servers van Microsoft zal communiceren", stelt Kalia.

Hij noemt de telemetriegegevens die Microsoft ontvangt een groot probleem. De softwaregigant heeft aangegeven de data te anonimiseren, maar heeft niet uitgelegd hoe het dit precies doet. Ook wordt niet duidelijk gemaakt hoe lang deze gegevens bewaard blijven. 

Alles bij de bron; Security


Deze week maakte Facebook bekend dat het adblockers gaat omzeilen door de code van advertenties aan die van organische Facebookcontent gelijk te maken.

Zodoende krijgen Facebookgebruikers met een adblocker toch advertenties te zien. Ben Williams van Eyeo, het bedrijf achter Adblock Plus, noemde het een spijtige ontwikkeling, omdat Facebook op deze manier tegen de wens van gebruikers ingaat. Ook zal er nu een wapenwedloop ontstaan waarbij adblockers weer zullen proberen om de advertenties op Facebook toch te blokkeren, net zoals spammers continu spamfilters proberen te omzeilen, zo waarschuwde hij gisteren.

En zoals voorspeld heeft Williams gelijk gekregen, want het nu verschenen filter zorgt ervoor dat ook de nieuwe manier van advertenties tonen op Facebook wordt geblokkeerd. Gebruikers van adblockers kunnen hun filterlijst updaten om het nieuwste "EasyList-filter" binnen te halen en zo advertenties op Facebook te blokkeren, maar het betreffende filter kan ook handmatig worden toegevoegd.

Williams waarschuwt dat Facebook mogelijk weer gaat proberen om ook dit adblockfilter te omzeilen, waardoor er een kat-en-muisspel ontstaat. Vervolgens zal de adblockgemeenschap weer met een tegenoplossing komen, zo voorspelt hij. "Voor deze ronde van het kat-en-muisspel lijkt het erop dat de muis gewonnen heeft", aldus Williams.

Alles bij de bron; Security


De ‘augmented reality’, waarbij digitaal gegenereerde beelden worden geprojecteerd over beelden van de realiteit, hebben dank zij de Pokémon GO-rage de ‘virtual reality’ in populariteit ingehaald. Welke juridische addertjes loeren hier, op gebied van privacybescherming, om de hoek?...

....Een grotere uitdaging is de naleving van regels op het gebied van privacy en informatiebeveiliging. De gebruikte apparatuur – of het nu gaat om uw smartphone of om een gespecialiseerde virtual reality-headset - voegt namelijk noodzakelijkerwijs een nieuw kanaal toe waarlangs de gebruiker in de gaten wordt gehouden. Bijkomende sensoren moeten opmeten waar de gebruiker zich bevindt, waarnaar hij kijkt, hoe hij zich gedraagt en – afhankelijk van de toepassing - zelfs wat hij zegt of hoort. Wat er daarna gebeurt hangt heel erg van de context af. Als die gegevens zuiver lokaal worden gebruikt – bijvoorbeeld een computer in de huiskamer berekent wat de gebruiker moet zien en past de beelden in de headset aan – dan is er niet echt een privacyprobleem. Maar in online toepassingen zoals multiplayer games waarin spelers het tegen elkaar opnemen moet minstens een deel van de gegevens via het Internet worden verstuurd; anders kunnen andere gebruikers immers niet zien wat je doet of zegt. Daarbij worden onvermijdelijk persoonsgegevens naar derden gestuurd, en dan begint het schoentje te wringen…

...De sleutelwoorden voor zowel producenten als gebruikers zijn bijgevolg flexibiliteit en oplettendheid. Flexibiliteit in de zin dat de juridische voorwaarden wellicht regelmatig bijgesteld moeten worden, in volle transparantie naar de eindgebruikers, zodat nieuwe toepassingen mogelijk blijven. Maar ook oplettendheid: producenten mogen niet blindelings gegevens inzamelen vanuit een je-weet-nooit-waarvoor-het-kan-dienen-reflex.

De Europese Privacyverordening promoot daarom voortaan expliciet twee nieuwe principes: privacy by design en privacy by default. Het eerste impliceert dat privacybescherming mee ingebouwd moet worden bij de ontwikkeling van nieuwe produkten en diensten, en dat het dus niet pas achteraf mag worden toegevoegd. Het tweede principe geeft aan dat privacybeschermende opties voortaan standaard geactiveerd moeten zijn, zodat de gebruiker actief ervoor moet kiezen om minder privacyvriendelijke instellingen te gebruiken. Ook virtual reality-omgevingen en augmented reality applicaties zullen dus zodanig gebouwd moeten worden dat privacybescherming ingebouwd en standaard geactiveerd is. Alleen op die manier kunnen gebruikers er vertrouwen in hebben dat hun privacy geen virtueel begrip wordt.

Alles bij de bron; deRedactie


Een Google-onderzoeker zegt een ernstig lek in de wachtwoordmanager LastPass te hebben gevonden. Tavis Ormandy, de onderzoeker die eerder lekken in verschillende antiviruspakketten vond, heeft nog geen details van het lek gepubliceerd. Hij zegt op Twitter enkel dat het gaat een ernstig lek dat op afstand te misbruiken is. 

Een onderzoeker van Detectify schrijft woensdag dat hij ook een lek in LastPass heeft gevonden, dat door malafide websites kon worden misbruikt om de inloggegevens van een andere site op te vragen. Daarvoor moest in LastPass wel worden ingesteld dat wachtwoorden automatisch worden ingevuld. Dit lek is inmiddels opgelost door LastPass en lijkt niet gerelateerd aan het probleem dat werd gevonden door Ormandy.

Wachtwoordmanagers als LastPass worden door veel mensen gezien als een goede beveiligingsmaatregel, omdat gebruikers ervan niet meer hoeven te vertrouwen op wachtwoorden die makkelijk onthouden kunnen worden. Maar als een wachtwoordmanager zelf wordt gehackt, zouden veel wachtwoorden tegelijk op straat kunnen komen.

Alles bij de bron; NU


Windows 10 overtreedt de Franse wet door te veel persoonlijke informatie van gebruikers te verzamelen en door die ook nog niet voldoende te beveiligen. Dat zegt de CNIL, le Commission Nationale de l'Informatique et des Libertés. CNIL heeft Microsoft op 30 juni dan ook een officiële waarschuwing gegeven, waarmee het de softwarereus drie maanden de tijd geeft om te gaan voldoen aan de wet. Maar die waarschuwing is nu pas openbaar gemaakt.

Een aantal van de problemen met de privacy kan worden opgelost door de gebruikers zelf, als die bereid zijn diep in de settings van Windows 10 te duiken. Maar de Franse commissie stelt dat betere privacy een standaard instelling zou moeten zijn, niet iets waar gebruikers moeite voor zouden moeten doen.

Alles bij de bron; CompWorld


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha