(IT) Security.

[Rosinfield]

Zou me hier niet zo druk om maken. Alles wat je via de android play store binnen haalt is wel ok. Je kunt ook look out security installeren, dat checkt elke app bij installatie

[Snelle]

Wel heb een virusscanner geïnstalleerd dus die zal wel een deel van het werk doen.

Maar het is de app die deze handelingen zelfstandig kan uitvoeren zonder dat je van iets weet.

Reken mij bij die Belgen in het vorig artikel van Belga.

[Rosinfield]

Ik heb een of 100 apps via de play store geïnstalleerd, nog nooit enig probleem ondervonden

Dan ben je snel uit ge appt

[Snelle]

Hiermee kan de app toegang krijgen tot de telefoonfuncties van het apparaat, Met deze toestemming kan de app het telefoonnummer en de apparaat-ID's bepalen, of een oproep actief is, en het andere telefoonnummer waarmee wordt gebeld.

Hiermee kan de app de verschillende logbestanden van het systeem lezen. De app kan op deze manier algemene informatie achterhalen over uw apparaatgebruik, mogelijk inclusief persoonlijke of privé-informatie.

Stel mij gewoon de vraag waarom moet die apps dat weten?

En wanneer verzameld hij die gegevens en wat gebeurt er mee?

Men gaat dit er niet inbouwen om dan niets mee te doen toch?

14 juni 2013 aangepast door Snelle

[PC-fre@k]

Een hele goede Snelle, misschien heeft Erik nog advies. Aangezien hij, ik en nog tig miljoen mensen dit gebruiken zonder dat te weten... (aanname erik, rustig maar )

[Rosinfield]

Maar ja, als je daar al te kritisch op bent, gaat een groot deel van het nut van zo'n smartphone natuurlijk wel verloren

[PC-fre@k]

toch wel dubbel 'smart' phone

[Snelle]

Maar waarom kunnen sommige apps foto's nemen ten alle tijden zonder dat je dat weet ? En die apps hebben de functie zelf niet nodig.

Dus de ontwerper (wie dat ook mag zijn) wil deze mogelijkheid wel dan stel ik mij toch vragen bij de goede bedoelingen ervan.

Men kan gerust apps installeren die veel minder veeleisend zijn kijk maar een naar de apps die jullie hebben geïnstalleerd.........schrik niet.

[Skoody Boo]

Maar ja, als je daar al te kritisch op bent, gaat een groot deel van het nut van zo'n smartphone natuurlijk wel verloren

dus ben ik niet kritisch of dus ben ik smart-zonder-phone?  

[Snelle]

Dubbel smart

14 juni 2013 aangepast door Snelle

[Captain Hook]

[het gaat hier nu specifiek om een Android slimfeun, maar hetzelfde geldt eigenlijk voor ieder device wat je aan het interpret koppelt. Of het nou van Appeltje komt, uit Redmond, of uit Mountain View/Santa Clara]

 

Ten eerste is het een utopie om te veronderstellen dat alles wat via de reguliere AppStore/Google Play zou komen, veilig zou zijn. Niet dus.

Daar zijn al vele voorbeelden van bekend dat het wel degelijk malware en/of dubieuze software is/was.

 

Ten tweede is het idd van de zotte dat die apps van alles kunnen/willen. Maar ja, dat doet Google zelf ook, achter de schermen. En daar heb je al toestemming voor gegeven toen je de eerste keer die slimfeun activeerde en hoogst waarschijnlijk een google account daarvoor gebruikte/aanmaakte.

 

Ten derde, de leveranciers willen ergens van leven. There is no such thing as a free world...

Men wil/vind dat alles op het interpret maar gratisch ende voor niks moet zijn. En daar betaal je voor met het opgeven van je zelfbeschikking c.q. privacy.

Aan jou de keus!

[Snelle]

Wat gaat er nog uit de kast vallen?

Microsoft geeft achterdeurtjes eigen software aan Amerikaanse spionnen

Persbureau Bloomberg meldt donderdag dat het een programma op het spoor is gekomen, waarin Amerikaanse bedrijven op vrijwillige basis informatie verstrekken aan de eigen veiligheidsdiensten. Die vertrouwelijke informatie zou kunnen bijdragen bij cyberdefensie, maar het ook mogelijk maken om cyberaanvallen uit te voeren.

Geen PRISM

Onder de bedrijven zijn software- en hardwareproducenten, banken, internet- en telecomproviders en securitybedrijven te vinden. Het programma moet niet worden verward met PRISM, een spionageprogramma dat de digitale correspondentie van miljoenen burgers zou bespieden.

Het persbureau claimt het bestaan van dit verregaande uitwisselingsprogramma op basis van gesprekken met vier goed geïnformeerde bronnen, die verder ongenoemd blijven.

Volgens deze opgevoerde bronnen gaat het in dit programma eerder om strategische informatie die de CIA, FBI en CIA in hun voordeel kunnen gebruiken en blijven persoonlijke gegevens van de klanten buiten schot. Het programma zou geheel binnenin de kaders van de huidige Amerikaanse wetgeving plaatsvinden.

Zo schrijft Bloomberg dat Microsoft de veiligheidsdiensten vroegtijdig op de hoogte stelt van zogenaamde zerodayveiligheidslekken, kwetsbaarheden in zijn software die nog niet zijn gepubliceerd.

Die kunnen de overheidsdiensten uiteraard gebruiken om de eigen netwerken te beschermen, maar het is net zo goed mogelijk dat het de lekken inzet om de systemen te besmetten van vijandelijke doelwitten.

Naast softwarelekken krijgen spionnendiensten ook blauwdrukken en de details over de architectuur van informatienetwerken. Beveiligingsbedrijf McAfee, tegenwoordig in het bezit van Intel, zou een ander bedrijf zijn dat op nauwe basis samenwerkt met de Amerikaanse regering.

Speciale gunsten

In ruil voor bewezen diensten zouden ‘vertrouwde partners’ toegang krijgen tot geheime briefings en dossiers. Zo had Google-oprichter Sergey Brin in 2010 de gelegenheid om bij een briefing aanwezig te zijn die normaal alleen voor veiligheidsdiensten is bedoeld.

In veel gevallen zijn alleen een handvol topfunctionarissen van de meewerkende bedrijven op de hoogte van de samenwerking, die direct contact hebben met de top van de Amerikaanse veiligheidsdiensten.

Rowald laat zich niet afschrikken door de miljoenen trojans en rootkits die de Windows-gebruikers al jarenlang overspoelen. Hij schrijft daarom regelmatig over het meest uiteenlopende beveiligingsnieuws en met zijn achtergrond als softwaretester heeft hij de meeste programma’s inmiddels wel eens onder handen gehad. Als ervaren Windows-gebruiker volgt hij alles Microsoft op de voet, al gebruikt hij al jaren geen Internet Explorer meer.

[Captain Hook]

@Snelle: Goed dat je je verdiept in deze materie!

Maar nu ben ik benieuwd: doe je er ook daadwerkelijk wat mee? Doe je juist dingen niet of wel, nu je dit soort informatie ziet en leest?

[Snelle]

Wel ben altijd wat voorzichtig geweest wat het internet betreft natuurlijk volledige privacy dat is uitgesloten als men het net gebruikt.

Nu ziet men dat de overheden zoveel mogelijk doen om de burgers op het net te krijgen bij sommige gemeenten kan men enkel via hun site de nodige documenten aanvragen en zo zijn er nog een massa voorbeelden.

Men ziet dat de grote jongens toelaten om hun databanken te laten gebruiken door de overheid dan vraag ik mij af waarom.

Is het om te helpen tegen de strijd van de misdaad hebben ze schrik dat de overheid zal ingrijpen tegen hun als ze het niet toelaten of macht, willen ze dat.

Als men leest dat ze mogen mee zitten rond de tafel waar DE beslissingen worden genomen wil zeggen dat het hen om de macht te doen is zal wel hun beloning zijn.

Voor het geld niet hoor dat hebben ze in overvloed.

Het is een makkelijke manier om de burger te controleren via zijn pc deelt hij informatie "nietsvermoedend" met de spionnen.

Nu met de smartphone aan te schaffen en die machtigen die je aan die apps heeft schrik ik wel een beetje.

Iemand maakt een app en wil toelating tot al uw gegevens en "iedereen" kan een app maken met goed en kwade bedoelingen.

Hier wordt nu iedere app kritisch bekeken en staan de machtigen mij niet aan komt hij er niet op of vliegt eraf.

Weet het volledige privacy dat lukt niet en dat is ook niet mijn streefdoel maar als men weet wat je gaat delen met die wildvreemde kan men er best wat voorzichtiger mee omspringen.

Is de kans groot dat men bij de gewone burger komt aankloppen met wat er in zijn mail staat?

Denk dat die kans klein is maar gewoon de weet dat het kan maakt mij voorzichtiger.

Niet dat er hier iets te verbergen heb maar het gaat om het principe iemand anders heeft geen zaken met die dingen dat niet voor hem bedoelt zijn.

Dus ja CH ben er wel mee bezig het is niet alleen copy past van die artikelen

15 juni 2013 aangepast door Snelle

[Captain Hook]

http://www.trouw.nl/tr/nl/5133/Media-technologie/article/detail/3458169/2013/06/13/Schande-spreken-van-privacyschending-is-hypocriet.dhtml

 

'Schande spreken van privacyschending is hypocriet'

 

 

Het leven in een veilige samenleving valt of staat met de bereidheid van haar burgers om hun privacy in te leveren, vindt oud-staatssecretaris van defensie Jack de Vries.

• Het gaat om onze veiligheid. Als het nodig is dat veiligheidsdiensten ons daarbij in de gaten houden, dan zij dat zo.

Mogen veiligheidsdiensten alles van ons weten? En zo ja, mogen ze dat voor ons verzwijgen? Sinds het nieuws over de massale online spionage door Amerikaanse veiligheidsdiensten is het debat over die vragen opnieuw ontbrand. Voorstander Jack de Vries aan het woord.

 

 

"De veiligheidsdiensten zouden hun plicht verzaken als ze niet in kaart zouden brengen wat mensen online allemaal uitspoken. Het is het recht van de overheid om die middelen te benutten die ze kunnen inzetten ten gunste van onze veiligheid. Dus als het nodig is dat daarom ons e-mailverkeer in de gaten wordt gehouden, dan vind ik dat prima. Het leven in een veilige samenleving valt of staat met de bereidheid van haar burgers om hun privacy in te leveren."

"Veel mensen roepen nu dat ze het een schande vinden dat onze privacy wordt geschonden. Dat is hypocriet. Ga maar na: veel van wat we online doen - op Google, op Facebook, in mailprogramma's - wordt ook in de gaten gehouden door bedrijven. Maar dan met het oogmerk mij advertenties voor te schotelen die passen bij mijn online gedrag en die me moeten verleiden om bepaalde aankopen te doen. En bij Albert Heijn geven we onze bonuskaart zonder problemen aan de caissière. Dat vinden we allemaal prima. Terwijl die bedrijven ook aan onze privacy zitten en daarbij niets anders dan commerciële motieven hebben. De overheid gaat het tenminste nog om onze veiligheid."

"Ik ben het ook oneens met diegenen die zeggen dat we op z'n minst moeten wéten dat de veiligheidsdiensten naar ons e-mailverkeer kijken. Ook onzin. Hoezo is het goed dat we daarvan op de hoogte zijn? Het gaat om onze veiligheid. Als het voor het bewaken van die veiligheid nodig is dat veiligheidsdiensten in het geheim opereren en ons daarbij in de gaten houden, dan zij dat zo."

Jack de Vries is oud-staatssecretaris van defensie en voormalig spindoctor bij het CDA

 

 

 

https://www.security.nl/artikel/46652/1/Open_brief_aan_Jack_de_Vries_n.a.v._uitlatingen_in_Trouw.html

 

Geachte heer de Vries,

Graag wil ik reageren op uw uitlatingen in een online artikel* in Trouw. U doet daarin een aantal uitspraken over privacy en de aantasting daarvan door veiligheidsdiensten. Het meest opmerkelijke in het hele stuk is dat u klakkeloos aan lijkt te nemen dat wat de veiligheidsdiensten doen wel goed zal zijn. Daarnaast bevatten uw beweringen geen enkele onderbouwing. Van u als ex-politicus mogen we volgens mij wel een wat meer kritische houding verwachten.

Volgens u verzaken veiligheidsdiensten hun plicht als zijn niet in kaart brengen wat mensen online allemaal uitspoken. U wekt daarmee de suggestie dat iedereen in de ogen van de overheid een potentiële crimineel en/of terrorist is. Als dat het geval is, dan moeten we de democratie in Nederland maar afschaffen. Want het kan natuurlijk niet zo zijn dat potentiele criminelen en terroristen hier in Nederland gaan bepalen wie het in dit land voor het zeggen heeft!

De meest verontrustende opmerking in het artikel vind ik dat volgens u de veiligheid in deze samenleving valt of staat met de bereidheid van haar burgers om hun privacy in te leveren. Ik neem aan dat u het met mij eens bent dat in Amerika de burgers nog meer in de gaten worden gehouden dan in Nederland. Desondanks heeft in Boston iemand een aanslag kunnen plegen. Blijkbaar is het plegen van een aanslag met alle staatscontrole dus nog steeds prima mogelijk. Daarom hoor ik graag een onderbouwing van de door u gedane uitspraak.

U noemt het hypocriet wanneer mensen vinden dat hun privacy wordt geschonden door het bekijken van hun e-mail door de overheid terwijl ze zelf bedrijven als Google en Facebook ook toegang geven tot diezelfde gegevens. Echter, het grote verschil hierin is keuzevrijheid. Als ik een bericht op Facebook plaats, dan is dat mijn vrije keuze. Als ik GMail gebruik, dan is dat mijn vrije keuze. Als ik iemand een e-mail stuur en de overheid leest mee, dan is dat geen vrije keuze. En helemaal niet als dat gebeurt zonder mijn weten. Daarbij geldt voor de meeste mensen dat GMail geen bewuste keuze is, maar meer een noodgedwongen keuze. Door onvoldoende kennis van het internet is het voor hen zeer lastig om een goede keuze te maken tussen de verschillende webmailaanbieders. Kiezen voor een grote bekende naam is dan een logische stap. Die keuze implicieert echter niet dat zij het automatisch goed vinden dat Google vervolgens hun e-mails scant voor reclamedoeleinden en opgebouwde persoonsprofielen doorverkoopt aan andere partijen. In het ergste geval is het dus onwetend of zelfs nog naïef te noemen, maar zeker niet hypocriet

Vertrouwen moet van twee kanten komen. Dat geldt ook voor de overheid en burgers. Als de overheid het vertrouwen van haar burgers wil hebben, zullen zij ook het nodige vertrouwen moeten uitstralen. Als de veiligheidsdiensten van mening zijn dat het van groot belang is dat onze e-mails bekeken moeten worden dan wil ik dat wel graag weten. Ook wil ik graag weten waarom dat dan is. Een open en transparante overheid is namelijk onderdeel van de democratie waarin wij menen te leven. Ik hoor dus graag van u waarom volgens u het bekijken van prive e-mails noodzakelijk is voor onze veiligheid. Terroristen blijken namelijk vaak hoogopgeleide mensen te zijn. Zij zijn prima in staat om hun e-mails middels cryptografie te beveiligen. Het resultaat is dat de veiligheidsdiensten alleen de e-mails van onschuldige burgers doorspitten en die van serieuze terroristen niet in kunnen zien. De privacy van de burger wordt dus aangetast zonder dat daar veiligheid voor terugkomt.

Met vriendelijke groet,
Hugo Leisink
 

 

 

 

 

[Skoody Boo]

Ik denk wel dat het onmogelijk is veiligheid te waarborgen zonder dat vergaand privacy wordt ingeleverd.

 

Verder is er in de basis een vertrouwensprobleem. Als je de instantie die je veiligheid moet waarborgen niet vertrouwt (terecht of onterecht) dan is er eigenlijk geen zinnige grens te bepalen in wat die wel en niet van je mag weten.

[Captain Hook]

Is veiligheid dan wel te waarborgen als de privacy wordt verkwanseld? Betwijfel het...

 

Instanties, overheden, bedrijven, hebben al meerdere malen laten zien dat ze niet te vertrouwen zijn c.q. dat vertrouwen beschamen of gewoon aan de hoogste bieder verkopen. Dus ja, je hebt volkomen gelijk als je stelt dat er een vertrouwensprobleem is!

16 juni 2013 aangepast door Captain Hook

[Snelle]

Nog wat tips voor de verschillende besturingssystemen.

http://computerworld.nl/beveiliging/74852-hoe-veilig-zijn-je-smartphone-apps/pagina-2

http://www.42bis.nl/2012/10/geef-louche-apps-geen-kans-op-je-android-phone/

16 juni 2013 aangepast door Snelle

[Snelle]

'NSA kan bijna alle informatie internetgebruikers verzamelen'

Buitenland

Met het programma XKeyscore kan de Amerikaanse inlichtingendienst NSA zonder veel autorisatie grote databases doorzoeken met daarin e-mails, chats en zoekgeschiedenissen van miljoenen mensen. De NSA zelf noemt het programma het "verst reikende" wat betreft het verzamelen van informatie.

Dat blijkt uit documenten verstrekt door klokkenluider Edward Snowden aan de Britse krant The Guardian. Uit het trainingsmateriaal wordt duidelijk dat analisten in dienst van de NSA slechts een simpel digitaal formulier hoeven in te vullen, waarmee de toestemming voor de zoekactie wordt verleend. Er komen geen rechtbank of andere NSA-medewerkers aan te pas om het verzoek te beoordelen.

In de databases kunnen analisten van de NSA met XKeyscore zoeken op namen, telefoonnummers, ip-adressen of bepaalde steekwoorden. Ze kunnen daarnaast ook 'realtime' meekijken met internetgebruikers.

Ontzettend veel communicatie toegankelijk

De hoeveelheid communicatie die met programma's als XKeyscore toegankelijk is, is ontzettend groot, zo blijkt volgens The Guardian uit de documenten. In een van de rapportages van de NSA uit 2007 wordt geschat dat er 850 miljard telefonische activiteiten werden opgeslagen en ongeveer 150 miljard internetbestanden. Volgens het document komen daar elke dag 1 tot 2 miljard bestanden bij.

In de documenten beweert de NSA dat er tot en met 2008 300 terroristen gevangen waren genomen door XKeyscore.

Regering ontkende eerdere bewering Snowden

In het video-interview dat Snowden aan The Guardian gaf na zijn eerste onthullingen over de afluisterpraktijken van de geheime dienst, beschreef hij hoe gemakkelijk het voor hem was om informatie te vergaren. Hij kon vanachter zijn bureau 'iedereen afluisteren, van u tot uw accountant, tot een rechter of zelfs de president'. Het enige dat hij daarvoor nodig had, was een e-mailadres.

De Amerikaanse regering ontkende dit met klem. Mike Rogers, voorzitter van de inlichtingencommissie van het Huis van Afgevaardigden zei dat Snowden loog. "Het is onmogelijk te doen wat hij zei dat hij kon doen."

Bestaan Keyscore werd begin deze maand duidelijk

Dat het programma XKeyscore bestaat, werd al eerder deze maand duidelijk. Buitenlandse media, waaronder het Australische The Sydney Morning Herald en het Duitse Der Spiegel maakten er al melding van in artikelen. In beide gevallen ging het over de manieren waarop de landen betrokken zijn bij het wereldwijde toezicht door de Amerikaanse inlichtingendienst.

The Sydney Morning Herald berichtte over vier faciliteiten in het land die bijdragen aan het XKeyscore-programma. Der Spiegel onthulde hoe Duitse inlichtingendiensten gebruikmaken van het programma.

Bron NRC.nl

1 augustus 2013 aangepast door Snelle

[Captain Hook]

Contant geld is zo gek nog niet...

https://www.security.nl/posting/359703/Malware+besmet+duizenden+kassasystemen

 

Duizenden kassasystemen van winkels zijn besmet met malware die gegevens van creditcards en betaalpassen steelt en doorstuurt naar criminelen. De malware wordt Dexter genoemd en is speciaal ontwikkeld voor 'point of sale' systemen. Dexter is vooral actief in Groot-Brittannië en de Verenigde Staten, hoewel eind vorig jaar 5% van de infecties in Nederland werd aangetroffen.

De malware infecteert Windowscomputers van benzinestations, hotels, restaurants en andere winkelketens. Eenmaal actief injecteert het zichzelf in iexplore.exe en verzamelt het de 'trackdata' van creditcards. In deze trackdata staan onder andere de verloopdatum, naam van de rekeninghouder en het rekeningnummer. Hierdoor is het mogelijk dat het bonnetje van een creditcardbetaling de naam en laatste vier cijfers van de rekening bevat.

Infecties

Doordat de malware actief is op de Windowssystemen waar de kaartlezer op is aangesloten, kan het al deze gegevens stelen en doorsturen. Steven van het securityblog Xylibox onderzocht een Dexter-variant en kreeg toegang tot het beheerderspaneel waarmee de criminelen achter de malware de besmette kassasystemen aansturen.

De onderzoeker ontdekte meer dan 3.000 bots, waarvan de meeste commerciële machines zijn, zo laat hij weten. Ook ontdekte hij allerlei 'dumps' van gestolen creditcardgegevens. In plaats van het aanvallen van individuele internetgebruikers, kan het infecteren van kassasystemen veel meer creditcardgegevens opleveren

 

En ja! Ook in Nederland, bij grote supermarkten gedetecteerd!

[MarcoO2]

Gelukkig gebruik ik mijn creditcard alleen in noodgevallen en tijdens vakantie.

[Captain Hook]

Het gaat niet alleen om creditcard betalingen...

 

Bij 2 grote nederlandse supermarkten gebruikt men een kassa systeem met daarin windows XP embedded, dat niet gepatched was/is tegen het conficker virus. Het is niet de AH, dus blijft er weinig over.

Dit gat kan ook gebruikt worden om een scherm over te nemen, het klanten display van extra video-fragementen te voorzien, of alle kassa's vlak voor kerst te wipen. ook kunnen alle kassalades geopend worden, of slechts die ene in de hoek wanneer niemand kijkt. Prijzen per kassa tijdelijk manipuleren? geen probleem. kost wat programmeerwerk maar dan heb je ook wat.

Dit is reeds doorgegeven aan een van deze supermarkten, maar het antwoord... "Meh, zal wel meevallen."
Ook na een PoC was men niet onder de indruk.

[toevoeging ] PoC = Proof of Concept  (m.a.w. praktisch aangetoond bewijs)

[MarcoO2]

Ik zie de potentiele gevaren wel. Ik vertaalde het alleen even naar mijzelf en dacht toen "dat zal nog wel loslopen".

 

Wat ik erg vind, is met name de lakse houding van overheid en bedrijven als dit soort issues aan de kaak gesteld (en aangetoond!) worden.

[Skoody Boo]

Gaat het nou alleen om creditcards of is pinnen ook al problematisch?

[EdK]

Afhankelijk van wat er op je rekening staat en je credit is volgens mij