Maandelijks archief augustus 2018

doorSecuratis

Telecomstoringen vooral door softwarefouten en defecte hardware

Telecomstoringen in de Europese Unie worden voornamelijk veroorzaakt door softwarefouten en defecte hardware en niet door hackers of cyberaanvallen. Dat blijkt uit een nieuw rapport van het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA).

Vorig jaar werden door Europese telecomproviders 169 incidenten gerapporteerd. In 62 procent van de gevallen ging het om “systeemfouten”, zoals defecte hardware en softwarebugs. Aanvallen, zoals ddos-aanvallen en diefstal van kabels, waren voor 2,5 procent van de incidenten verantwoordelijk. In 2016 ging het nog om 5 procent van de incidenten. Verder zorgden natuurrampen, zoals bosbranden, stormen en zware sneeuwval, vorig jaar voor veel incidenten (18 procent).

Het rapport van ENISA laat zien dat incidenten die door softwarefouten zijn veroorzaakt gemiddeld de meeste gebruikers raken. Defecte hardware of fouten die zich voordoen tijdens het vervangen of updaten van hardware en defecte software en fouten die zich voordoen tijdens het updaten of vervangen van software staan op een gedeelde tweede plek.

Wanneer er wordt gekeken naar de duur van een incident hebben bosbranden de meeste impact qua gemiddelde duur en het aantal verloren gebruikersuren. “Met 22 procent van de incidenten die door stroomstoringen wordt veroorzaakt, is de afhankelijkheid van telecomproviders van het elektriciteitsnet duidelijk. Een veelvoorkomend scenario begint met een storm of bosbrand waardoor er een stroomstoring ontstaat, en leidt snel tot uitval van het mobiele netwerk”, aldus ENISA. Meer dan de helft van alle gerapporteerde incidenten had gevolgen voor mobiele telefonie en internet. In de beginjaren dat ENISA de cijfers verzamelde ging het nog vaak om vaste telefoonlijnen

https://www.security.nl/posting/575374/Telecomstoringen+vooral+door+softwarefouten+en+defecte+hardware?channel=rss

doorSecuratis

Hagenaar die datalek in CBG-database ontdekte ontloopt straf

Een 45-jarige Hagenaar die zich in 2015 toegang verschafte tot een database van het Centraal Bureau voor Genealogie (CBG) en daar via een script 80.000 records met allerlei persoonsgegevens kopieerde hoeft geen werkstraf uit te voeren, zo heeft de rechtbank Den Haag bepaald.

De man ontdekte in het robots.txt bestand van de CBG-website de regel “disallow: / pictura.php # toegang tot de vriendendatabase”. Websites kunnen via het robots.txt-bestand aan zoekmachines laten weten welke onderdelen niet moeten worden geïndexeerd. Via het pictura-script was het mogelijk om individuele records uit de CBG-database op te vragen. Hiervoor moest het ID van een record worden opgegeven.

Na ontdekking van het pictura-script ging de Hagenaar structureel te werk om te achterhalen welke ID’s een record opleverden. Vervolgens schreef hij een script waarbij alle 80.000 records uit de CBG-database werden gekopieerd. De records bleken namen, adressen, bankgegevens en betalingsgegevens te bevatten. Hierop informeerde de Hagenaar het online klokkenluidersplatform PubLeak, Trouw, Tweakers.net en De Volkskrant over het datalek. Het Centraal Bureau voor Genealogie waarschuwde hij niet.

Geen echte beveiliging

Volgens de advocaat van de man was er geen sprake van echte beveiliging, dus kon die ook niet door de verdachte worden doorbroken. De rechter was het daar niet mee eens: “Van wederrechtelijk binnendringen in een geautomatiseerd werk is sprake als men zich de toegang verschaft tot dat werk tegen de onmiskenbare wil van de rechthebbende. Die wil kan blijken uit woorden en daden, maar in ieder geval moet die blijken uit enige beveiliging van dat werk, ofwel een kenbare drempel zodat onbevoegden zich niet zomaar de toegang daartoe kunnen verschaffen. De beveiliging hoeft niet adequaat te zijn; een minimale beveiliging is voldoende. Het gaat erom dat degene die het werk binnendringt, doelbewust enige inspanning moet hebben gedaan om de beveiliging te doorbreken.”

De beheerder van de CBG-website had via de regel “disallow” in het bestand robots.txt aangegeven dat het pictura-script niet gevonden moest worden. Daarnaast stond er vermeld dat het om een vriendendatase ging. Volgens de rechter ligt het voor de hand dat de beheerder die niet met derden wil delen. Toch heeft de Hagenaar het pictura-script opgevraagd en vervolgens allerlei ID’s geprobeerd. “Hiermee moet voor de verdachte nogmaals duidelijk zijn geweest dat het niet de bedoeling van de beheerder was dat pictura.php en de achterliggende database door derden werd opgevraagd. Wie immers een ID moet invoeren om gegevens te kunnen raadplegen, terwijl hem dat ID niet door een rechthebbende is verstrekt en hij daarnaar dus moet raden, moet begrijpen dat de raadpleging van die gegevens niet voor hem is bedoeld”, zo laat de rechter weten.

Verder stelde de rechter dat de man met behulp van “valse signalen” was binnengedrongen. “Van valse signalen is sprake als “enig teken” wordt gegeven dat bij de ontvanger een gevolg bewerkstelligt dat gebaseerd is op (geprogrammeerde) veronderstellingen die onjuist blijken te zijn, terwijl degene die het teken geeft, weet dat hij met dat teken dat gevolg uitlokt”, aldus het vonnis. De rechter kon zich echter niet vinden in de opvatting van het Openbaar Ministerie dat er sprake was van binnendringen met een “valse sleutel”. Het invoeren van een ID is namelijk niet te beschouwen als een vorm van autorisatie of als een manier om in te loggen.

Vonnis

De advocaat van de man verklaarde dat zijn cliënt zich had beziggehouden met “ethisch hacken” en dat de verdachte met zijn handelen een maatschappelijk belang heeft gediend, namelijk de beveiliging van persoonsgegevens. De rechter stelde dat de man met het ontdekken van het datalek inderdaad een maatschappelijk belang heeft gediend. De manier waarop hij handelde was echter niet proportioneel. Daarnaast had hij ook eerst het Centraal Bureau voor Genealogie moeten waarschuwen.

Het Openbaar Ministerie had een werkstraf van 120 uur geëist, waarvan 60 uur voorwaardelijk. De rechter besloot de Hagenaar echter geen straf op te leggen. De man had geen kwade bedoelingen en heeft de verkregen persoonsgegevens niet voor eigen gewin gebruikt. Tevens heeft de verdachte vanaf het begin van het opsporingsonderzoek openheid van zaken gegeven. De rechtbank hield er daarnaast ook rekening mee dat de behandeling van de strafzaak de redelijke termijn heeft overschreden en de man voor en na het incident niet in aanraking met de politie is gekomen. “Gelet op al het voorgaande acht de rechtbank oplegging van een sanctie passend noch geboden”, zo laat het vonnis weten.

https://www.security.nl/posting/575362/Hagenaar+die+datalek+in+CBG-database+ontdekte+ontloopt+straf?channel=rss

doorSecuratis

Mozilla-engineer ontwikkelt certificaat-viewer voor Firefox

Door Anoniem: En de hamvraag is, hoe lang zal het duren om erachter te komen, dat ook deze extensie informatie van de gebruiker(s) opslaat en doorzend.

van https://twitter.com/aprilmpls/status/1020448156851625985It needs to be able to consume the HTTP requests because that is when it gets access to the HTTP stream. It’s a WebExtension limitation unfortunately. If I could do this with less broad permissions, I totally would.

Lijkt me een vrij transparante onwikkelaar die zelf om feedback vraagt, en overigens hoofd is van Mozilla’s website security-team. Dus waarom meteen zo cynisch?https://www.security.nl/posting/575354/Mozilla-engineer+ontwikkelt+certificaat-viewer+voor+Firefox?channel=rss

doorSecuratis

Google lanceert nieuwe versie open source crypto-library Tink

Door Anoniem:

Door Anoniem:

Door Anoniem: Ik vraag me af wat Google hiermee voor data wil verzamelen.

Het woord “Google” valt en mensen schieten meteen weer in de stuiptrekkingen. Het is open source, mensen! Kalm aan! Als er data verzameld wordt, is dat in te zien. En bevalt het je niet, dan haal je het er uit.

Oh, ik schiet niet in de stress hoor, ik weet dat Google niks doet zonder dat er een eigenbelang achter zit.
Het belang van Google is het verkopen van data, om data te kunnen verkopen moet je deze wel verzamelen.

Het belang van Google is óók (en meer) het verkopen van Android – en als dat merk tezeer besmet raakt als bugfestijn kost dat echt geld.
Het maken/steunen van een solide opensource crypto library is wat dat betreft een spotgoedkope investering – ook zonder dat dat die library data collecteert

Buiten dat mag er best wat bewustwording gekweekt worden bij mensen over de praktijken van Google en herhaling is een bewezen methode daarvoor.

Drammers die hiun stokpaardje bij overduidelijk niet relevante onderwerpen berijden diskwalificeren zich als iemand met een zinvolle mening. – zelfs als ze een andere keer wel gelijk hebben.https://www.security.nl/posting/575303/Google+lanceert+nieuwe+versie+open+source+crypto-library+Tink?channel=rss