Als het gaat om informatiebeveiliging zijn er verschillende manieren om informatie te beschermen, maar sommige gebruikte maatregelen waren, zijn en zullen nooit effectief zijn. Aan de andere kant kunnen deze maatregelen voor problemen zorgen, IT-afdelingen op kosten jagen en uiteindelijk meer kwaad dan goed doen. Fred Cohen, één van de eerste "virusschrijvers", verzamelde tien van de ergste "security practices."

  • Het wijzigen van wachtwoorden: Vaak gehoord maar onnodig. Als aanvallers je wachtwoord niet kennen, is er ook geen reden om het te veranderen.
  • Een bron via reverse DNS lookup authenticeren: Veel mechanismen doen een reverse DNS lookup om de afzender van een e-mail te authenticeren, maar dit kan ervoor zorgen dat legitieme mail nooit aankomt, legitieme gebruikers worden gedwarsboomd en dat die uiteindelijk klagen.
  • Terugslaan uit zelfverdediging: Alleen militaire organisaties of inlichtingendiensten met toestemming mogen een vergeldingsaanval lanceren. En zelfs als het zou zijn toegestaan, is de aanval niet altijd de beste verdediging.
  • Gebruikers over technische zaken laten beslissen: De makers van beveiligingssoftware weten niet eens wat gebruikers moeten doen als hun software de een pop-up waarschuwing geeft. Hoe kun je dan verwachten dat de gebruiker de juiste beslissing maakt? vraagt Cohen zich af. Aangezien niemand dit kan moeten programma's dus stoppen met vragen.
  • We kunnen de stekker er bij een incident uittrekken: Er zijn nog altijd mensen die geloven dat ze binnen hun IT-infrastructuur zomaar systemen kunnen platleggen. In een "verbonden" omgeving is dat niet meer zo makkelijk, en zorgt dat er uiteindelijk voor dat bedrijven meer verliezen dan de aanvaller kan winnen.
  • Het gebruik van ontdekte lekken als graadmeter: Talloze bedrijven gebruiken nog altijd het aantal gevonden lekken in de organisatie als graadmeter van hun beveiliging. Cijfers zijn zinloos en niet alle lekken zijn hetzelfde.
  • Vertrouw wat de leverancier beweert: Geloof het of niet, mensen die beslissingen over de beveiliging maken, geloven wat beveiligingsaanbieders beweren. Zeker producten met teksten als "de laatste bescherming die je nodig hebt", zorgen ervoor dat je failliet zult gaan.
  • De NSA gebruikt het, dus kan ik het vertrouwen: De NSA koopt bijna alle beveiligingsproducten om te zien hoe ze die kunnen omzeilen. Ten tweede verzamelt de NSA informatie. Het beste systeem is dat waar alleen zij kunnen inbreken. En als laatste, de NSA vertelt niet waarvoor ze het gebruiken.
  • We gebruiken best practices: "Best practices bestaan niet, er is altijd iets dat beter kan. Volgens Cohen zijn de meeste "best practices" de minimale standaard.
  • Het is voor uw veiligheid: "Hoe maakt het mij veiliger als je me fouilleert? Dat is helemaal niet voor mijn veiligheid." Hetzelfde geldt voor het afstaan van persoonlijke informatie. Iets wat banken vaak bewaren. "Als je mijn wachtwoord niet kunt beschermen, waarom denk je dan wel dat je mijn persoonlijke informatie kan beschermen? En als je mijn persoonlijke informatie kan beschermen, waarom heb je dan alleen een wachtwoord nodig?"
Naast de tien punten geeft Cohen ook nog een aantal "bonus items". Zo zijn er bedrijven die zeggen dat ze hun werknemers vertrouwen, en daarom niets tegen insiders hoeven te doen. "Ik vertrouw mijn personeel ook, maar dat betekent niet dat ik me er niet tegen bescherm." Een ander vaak gehoorde opmerking is dat bedrijven mensen voor hun loyaliteit betalen. "Vaak blijkt dat de best betaalde mensen de grotere misdrijven plegen."

Het komt er volgens Cohen op neer dat security professionals de verantwoordelijkheid hebben om "bad practices" bloot te leggen en op zo'n manier, dat ze uiteindelijk verdwijnen. "Je mond houden zal de dwaasheid niet stoppen. Verzet je tegen bad practices of anders zullen we er allemaal onder lijden."

bron: security.nl

De afgelopen weken zijn iPhone-gebruikers het doelwit van cybercriminelen geweest die informatie wilden stelen om telefoons te klonen en te witwassen. De phishingaanval deed ontvangers geloven dat ze de garantie op hun iPhone gratis met een jaar konden verlengen. Daarvoor moest men wel het serienummer, IMEI-nummer, soort iPhone en capaciteit van het toestel op een legitiem lijkende Apple website invullen.

Voor het achterhalen van het IMEI-nummer hadden de phishers een link naar de officiële Apple pagina vermeld. Alle links op de website wijzen naar apple.com. "Dit is gedaan om achterdocht tegen te gaan, maar ook omdat het makkelijker voor de auteurs is om een deel van de echte site te kopiëren dan selectief of creatief te zijn", zegt Richard Cohen van anti-virusbedrijf Sophos. Hij vermoedt dat criminelen via de aanval telefoons willen witwassen.

Klonen
Volgens Fred Felman gebruiken cybercriminelen de gestolen informatie om Apple's smartphone te klonen. Vervolgens kan men lange-afstandsgesprekken op kosten van het slachtoffer voeren of de telefoon voor allerlei andere criminelen activiteiten te gebruiken. De aanval onderscheidt zich daarnaast wegens het gebruik van geavanceerde technologieën. Zo gebruikt de aanval server-side logica, die de phishingsite verbergt tenzij die door Apple Safari wordt bezocht. Daarnaast wordt de phishingsite via een fast-flux netwerk achter allerlei proxies verborgen. "Deze twee slimme technologieën demonstreren hoe cybercriminelen zich blijven inspannen om hun aanvallen gericht, stiekem en veerkrachtig te maken", aldus Felman.

In het laatste kwartaal van vorig jaar vond 98% van de drive-by downloads plaats via lekken in Adobe Reader of Adobe Flash, zo blijkt uit cijfers van ScanSafe. Tachtig procent van de exploits zat in PDF-bestanden verstopt tegenover 18% in Flash-bestanden. Het aantal Flash-exploits halveerde ten opzichte van het eerste kwartaal, toen 40% van de aanvallen via lekke Flash Players verliep. Aanvallen via PDF-exploits stegen van 56% naar 80%.
flash-pdf
De stijging is volgens het beveiligingsbedrijf te danken aan het toegenomen gebruik van PDF-bestanden op zowel de werkvloer als thuis. Tussen 2005 en 2010 werden in de software van Adobe 268 beveiligingslekken ontdekt, waarvan 107 in 2009. Exploits in Word of Excel waren goed voor slechts één procent van de drive-by download aanvallen.

bron: security.nl

chip_pinBeveiligingsonderzoekers zijn erin geslaagd het EMV-protocol te kraken, dat beter bekend staat als "Chip en PIN" en wereldwijd wordt gebruikt. Tijdens een uitzending van BBC Newsnight demonstreerden de onderzoekers van de Cambrigde Universiteit hoe ze een betaalautomaat met een valse pincode kunnen foppen. De man-in-the-middle aanval maakt gebruik van een fundamentele fout in het Europay, MasterCard, Visa (EMV) protocol, dat debit- en creditcards valideert. "Chip en PIN is gekraakt", zegt professor Ross Anderson. "Banken en winkels vertrouwen op de woorden "Geverifieerd door PIN" op hun bonnetjes, maar ze betekenen niets."

Pincode
Om de betaalautomaat een transactie zonder geldige pincode goed te te laten keuren, heeft een aanvaller wel een geldige pas nodig. Vervolgens moet er een apparaatje tussen de kaart en de betaalautomaat worden geplaatst. Het is niet nodig om de kaart te kopiëren, zoals bij een eerdere aanval werd gedemonstreerd. Het onderliggende probleem is dat het EMV-protocol de betaalpas en betaalautomaat allerlei "dubbelzinnige" gegevens over het verificatie proces laat genereren, die de bank vervolgens als geldig accepteert.

De betaalautomaat meldt bijvoorbeeld dat de PIN verificatie heeft plaatsgevonden, terwijl de betaalpas een verificatie bericht ontvangt waarin staat dat er geen PIN is gebruikt. De bank accepteert de autorisatie door de betaalautomaat en keurt de transactie goed. Elke willekeurige pincode die de onderzoekers invoeren is dan ook geldig. "We hebben deze aanval getest tegen de pinpassen van de meeste Britse banken. Ze waren allemaal kwetsbaar", aldus onderzoeker Steven J. Murdoch.

Eenvoudig
Het uitvoeren van de aanval zelf is volgens de onderzoekers helemaal niet zo complex als de banken doen geloven. Die lijken inmiddels aan een campagne te zijn begonnen om zoveel mogelijk verwarring te zaaien. Zo doen Franse banken de aanval af als een aanval die al eerder bekend was geworden en waarbij een crimineel een legitieme EMV-kaart kopieert. Deze "yes-card" aanval werkt alleen bij transacties waarbij de betaalautomaat pas na de transactie contact met de bank maakt, ook wel een offline transactie genoemd. De onderzoekers houden vol dat hun aanval geheel nieuw is en zowel tegen offline als online transacties werkt. De onderzoekers merken op dat de aanval niet bij Britse geldautomaten werkt, omdat die een andere PIN-verificatie methode gebruiken.

Toch twijfelen de onderzoekers aan zowel het ontwerp van het Chip en PIN systeem als de veiligheid van pinbetalingen. De banken laten fraudeslachtoffers altijd weten dat hun systemen zijn te vertrouwen, maar de aanval demonstreert dat criminelen niet alleen klanten kunnen oplichten, maar ook de banksystemen kunnen misleiden zodat die aannemen dat de pincode is geverifieerd.

Skimming
De banken beweren verder dat de aanval te geraffineerd en complex voor criminelen is, maar ook dat bestrijden de onderzoekers. Voor het onderzoek werden kant en klare spullen gebruikt. Criminelen zouden daarnaast geen probleem hebben om het man-in-the-middle apparaatje te verbergen. Pinpasfraude met gemanipuleerde voorzetmondjes is volgens de onderzoekers veel lastiger dan hun aanval uit te voeren. "De technische kennis voor het uitvoeren van deze aanval is laag en het kleine apparaatje zal niet door het personeel worden opgemerkt. Een enkele crimineel kan een kit ontwikkelen die anderen gebruiken die zo niet hoeven te weten hoe de aanval werkt", merkt onderzoeker Saar Drimer op.

De banken werden begin december vorig jaar ingelicht, maar hebben nog altijd geen contact met de onderzoekers opgenomen. "Dit is geen falen van banktechnologie. Het is een falen van bankregulatie. De ombudsman heeft banken gesteund en de toezichthouders hebben geweigerd iets te doen. Ze wilden gewoon te graag de banken geloven", gaat Ross verder.

De onderzoekers vinden niet dat ze criminelen helpen, aangezien de veiligheid van systemen wordt verbeterd door het melden van lekken aan de personen die het probleem kunnen oplossen. Het EMV-protocol wordt ook door Nederlandse banken gebruikt of uitgerold. Het complete rapport is via deze link te downloaden.

 

Bron: security.nl

Om systeembeheerders en testers de SSL ondersteuning van webservers te laten controleren, heeft het Luxemburgse beveiligingsbedrijf G-SEC een gratis tool ter beschikking gesteld. In tegenstelling tot andere tools is "SSL Audit" niet bepekt door de ciphers die SSL engines zoals OpenSSL of NSS ondersteunen, maar kan alle bekende cipher suites voor alle SSL en TLS versies herkennen.

Naast het scannen beschikt het ook over een experimentele "Fingerprint" mode. Deze fingerprint probeert de gebruikte SSL Engine aan de server side te achterhalen, wat het doet door normale en misvormde SSL pakketten naar de server te sturen. SSL Audit kan IIS 6.0, 7.0 en 7.5, Apache, Certicom en RSA BSAFE fingerprinten. Meer informatie is op deze pagina te vinden.

blackhatVoor iedereen die vorige week de Black Hat hackerconferentie in Washington moest missen, is nu het media archief online gekomen. Het gaat om video's, white papers, presentaties en audio opnamen. Zo werd het informatielek in Internet Explorer onthuld, een ernstig zero-day lek in Oracle, Flash hacks, backdoors in Cisco routers, het hacken van hardware, de Russische cybermaffia, Metasploit, iPhone privacy, waarom black hat hackers altijd winnen en nog vele andere onderwerpen. In totaal gaat het om 29 presentaties en demonstraties.

ciscoDe achterdeurtjes die Cisco in de apparatuur aanbrengt zodat inlichtingendiensten internetgebruikers kunnen aftappen, staan open voor hackers, zodat die ook mee kunnen kijken. Tijdens de Black Hat hackerconferentie demonstreerde IBM beveiligingsonderzoeker Tom Cross dat cybercriminelen de routers van internetproviders kunnen kraken.

Bron: security.nl

Om Nigerianen voor een carrière

als computercrimineel te behoeden, is deze week met steun van Microsoft een nieuw muzieknummer gelanceerd. Het nummer "Maga No Need Pay" is onderdeel van een grote sociale campagne die bewustzijn onder jonge Nigerianen moet bewerkstelligen. Het Afrikaanse land staat in de Top 3 van cybercrime plekken, daarnaast verschijnen er steeds meer mobiele diensten en online betaalplatformen, wat fraudeurs aantrekt.

De eerste fase van het Microsoft Internet Safety, Security en Privacy Initiatief voor Nigeria (MISSPIN) bestond uit workshops en muziekconcerten. De tweede fase is nu van start gegaan en bestaat uit onder andere uit het sticker en radio campagnes, maar ook een rehabilitatieprogramma en de lancering van het eerder genoemde muzieknummer. "Dit maakt het publiek bewust en zal de energie van cybercriminelen ten goede aanwenden." Het rehabilitatieprogramma zal 25 veroordeelde cybercriminelen verschillenden trainingen, begeleiding en stageplaatsen geven. Zodoende zouden ze als rolmodel voor andere jongeren kunnen dienen.



De populariteit van Firefox begint ook bij computercriminelen door te dringen, die inmiddels onofficiële versies van de opensource browser aanbieden waarin spyware verstopt zit. Vervalste downloadsites bieden versie 3.5 van de browser aan, terwijl inmiddels versie 3.6 al uit is. Ook zijn er verschillende spelfouten te vinden, zoals “Anti-Pishing”. Wie de foute versie downloadt en opent, installeert ook de "Hotbar" toolbar van Pinball Corp, voorheen bekend als Zango, dat eerder als 180Solutions te boek stond.
fake_ff

Gebruikers krijgen niet alleen met een irritante toolbar te maken, ze worden ook bestookt met pop-up advertenties en een "Hotbar" weerapplicatie die in de taakbalk draait. Voor elke installatie van de Hotbar, krijgen partners één euro van Pinball Corp. "Wees altijd voorzichtig met het installeren van software en zorg ervoor dat je de software direct van de leverancier zijn website downloadt wanneer mogelijk", zegt Lee Graves van beveiligingsbedrijf eSoft.

De Conficker worm heeft verschillende Britse politiesystemen geïnfecteerd, waardoor agenten al dagen niet meer bij de criminelendatabase kunnen. De infectie werd vrijdag opgemerkt en zorgde ervoor dat de politie van Manchester van de Police National Computer (PNC) werd afgesloten. Het systeem wordt onder andere gebruikt voor het controleren van kentekens, strafbladen en namen, iets dat nu andere politieregio's moeten doen. Er zouden in ieder geval geen gegevens zijn verloren.

"Een team van experts is nu bezig met het verwijderen van het virus, en we worden pas aangesloten als we zeker weten dat er geen verdere dreiging is", zegt commissaris Dave Thompson. Hoe de worm het netwerk wist te infecteren wordt nog onderzocht. Wel zal de politie maatregelen nemen om herhaling te voorkomen.

USB-stick
Op 23 oktober 2008 verscheen er een beveiligingsupdate voor het lek in Windows waardoor Conficker zich verspreidt. Daarnaast infecteert de worm systemen ook via besmette USB-sticks en gedeelde netwerkmappen. Inmiddels zouden de meeste systemen weer schoon zijn. Of de worm via een USB-stick wist binnen te komen is onbekend. Toch werd personeel geadviseerd om geen "ongeautoriseerd USB-sticks" gebruiken.

Het is niet de eerste keer dat Conficker in Manchester toeslaat. Vorig jaar werd het stadhuis geïnfecteerd, wat de belastingbetaler uiteindelijk 1,75 miljoen euro kostte.

Anti-virusbedrijf Trend Micro waarschuwt voor een nieuwe Twitter-worm die zich via de microbloggingdienst verspreidt. Geïnfecteerde gebruikers sturen naar volgers een bericht met de tekst: "This you???? [link]". Wie op de link klikt eindigt op een vervalste Twitter inlogpagina die de gebruiker vraagt om in te loggen. Zodra slachtoffers dit doen, worden hun inloggegevens gebruikt om het bericht met linkje naar andere Twitteraars te sturen. "Ongetwijfeld zullen de criminelen achter deze aanval de gestolen inloggegevens gebruiken om in de toekomst kwaadaardige content van een groot aantal gehackte Twitter accounts te versturen. Vergeet niet mensen, denk voordat je klikt", aldus analist Robert McArdle.

bron: security.nl

hackDe ftp-accounts van duizenden klanten bij Yourhosting zijn gehackt. Dit probleem speelt niet alleen bij die hoster. "Er zijn meerdere grote hostingproviders met exact hetzelfde probleem."

Na een tip van een lezer bevestigt Yourhosting, een van de grootste hosting providers van Nederland, dat het bedrijf worstelt tegen een stroom van duizenden succesvolle cyber-inbraken op ftp-accounts van klanten. Ftp wordt gebruikt om bestanden te uploaden voor publicatie op een website.

"De ftp-hacks nemen echt hele bizarre vormen aan", zegt Valentijn Borstlap, directeur van Yourhosting tegen Webwereld. Volgens hem zijn er duizenden ftp-accounts van Nederlandse sites gehackt. Yourhosting heeft alle wachtwoorden van zijn klanten gewijzigd en heeft aangifte gedaan bij de Digitale Recherche.

Nu is het verder puinruimen: "Met het terugplaatsen van backups komen we een heel eind." De hackers komen binnen via malware die op de computers van thuisgebruikers wordt geïnstalleerd, vervolgens wordt er toegang verschaft tot de server. De boosdoeners plaatsen bijvoorbeeld php-bestanden op de server of verwerken code in een bestaand bestand. De hackers kunnen de inhoud van de server in principe wissen, maar doen dit in de regel niet.

Botnets en backlinks

De hacks worden gebruikt om een botnet uit te breiden en soms om een site te defacen, het plakken van een plaatje over de voorpagina van de site. Ook worden er links geplaatst naar bepaalde websites om zo de Google ranking omhoog te krijgen. De autoriteit van een site wordt door Google voornamelijk gemeten door de hoeveelheid andere sites die linken naar een bepaalde site. Voor sommigen is het interessant om dit proces te beïnvloeden, dit gebeurt bijvoorbeeld bij sites die (illegale) medicijnen willen slijten.

Inmiddels is de storm enigszins gaan liggen en is er volgens het concern al een paar dagen niet meer ingebroken in een ftp-server. Maar dat zou zo weer kunnen gebeuren, zegt Borstlap. Bij de mail waarin gebruikers werd uitgelegd waarom de wachtwoorden zijn gewijzigd, geeft het bedrijf tips om malware tegen te gaan, en inbraken in de toekomst te voorkomen. Het gaat dan om het gebruiken van een goede virusscanner en het niet lokaal opslaan van wachtwoorden. Ook moeten gebruikers beter in de gaten houden of er ongeautoriseerd wordt ingelogd, en als dit gebeurt direct het wachtwoord wijzigen.

Yourhosting, een van de grootste hosters van ons land, is ook op zoek naar betere oplossingen. Daarvoor passeert de provider de huidige leverancier omdat die de eisen niet aankan. "We hebben beheer voor het serverpark ook voor een deel uitbesteed en we gaan nu toch het heft in eigen handen nemen op dat gebied."

Breed probleem

Volgens Borstlap is Yourhosting zeker niet de enige partij die last heeft van deze praktijken. "We zijn benaderd door een aantal partijen, ook grotere hostingproviders, die met exact hetzelfde probleem te maken hebben", aldus Borstlap. "Daar zijn ze ook aan het puinruimen." Volgens hem is het dan ook een marktbreed probleem. De providers wisselen in detail onderling informatie uit en hieruit blijkt dat geen enkel probleem uniek is.

De eerste providers kregen er in december vorig jaar last van. Volgens Borstlap houden die hosters de problemen liever onder de pet omdat ze bang zijn voor negatieve publiciteit. Volgens de directeur is dat echter niet de oplossing. Door het probleem breed aan te kaarten kan er ook actie worden ondernomen. De Digitale Recherche is meestal niet zo happig op dergelijke problemen. Maar ook daar is men volgens Borstlap inmiddels wakker geschud. "Zij onderschrijven ook dat het een wat breder probleem is."

Aandacht verhogen

Volgens de directeur wordt de urgentie hoger als meer providers toegeven dat ze dezelfde problemen hebben. "Ik ben blij dat er nu eindelijk wat gebeurt, en ik zou andere collega's willen oproepen ook aangifte te doen", zegt Borstlap. "De stroperigheid van de politie op dit gebied kan in de toekomst wel veranderen als er wat meer politieke druk op wordt gezet."

Bron: Techworld.nl

Een heel simpele programmeerfout kan hackers een mogelijkheid geven om Google Buzz accounts over te nemen. Dat beweert een beveiligingsexpert.

De fout is een “middelgroot probleem” met de Buzz for Mobile website, zei Robert Hansen, CEO van SecTheory, die het gat als eerste rapporteerde.

Cross-site scripting

Het is een cross-site scriptingfout, waardoor de aanvaller zijn eigen code in webpagina’s kan plaatsen die toebehoren aan vertrouwelijke websites zoals Google.com. De fout komt vrij vaak voor, maar kan wel grote gevolgen hebben als hij wordt misbruikt op veelgebruikte sites.

De aanvaller “kan je dwingen om dingen te zeggen die je niet wilt zeggen, tegen mensen die je volgen”, zei Hansen. “Wat jij met Google Buzz kunt doen, dat kan die aanvaller jou aandoen.”

Phishing

Omdat aanvallers de fout kunnen gebruiken om hun eigen content op Google.com te zetten, kunnen ze phishing-aanvallen opzetten tegen gebruikers van Google, zei Hansen verder. “Als dit ongepatcht blijft, dan kan dat nare gevolgen hebben voor elke gebruiker van de site”, ging hij verder. “Het kan makkelijk worden gebruikt om mensen te laten denken dat ze aan het typen zijn in een echte Google sign-on pagina, terwijl ze daar niet echt zijn.”

Oplossing

De bug is ontdekt door de hacker TrainReq, die de details van de fout naar Hansen heeft gemaild, zonder enige verklaring. Ondertussen heeft een woordvoerder van Google bevestigd dat het bedrijf aan een oplossing werkt. Hij voorspelde dat die binnen een paar uur klaar zou zijn.

“We zijn ons ervan bewust dat een kwetsbaarheid gevolgen kan hebben voor veel gebruikers van Google Buzz for mobile, en we zijn de fix nu aan het maken”, zei Jay Nancarrow in een e-mail. “We hebben geen aanwijzingen dat de kwetsbaarheid actief wordt misbruikt.”

Google Buzz is vorige week gelanceerd, en werd direct aangevallen omdat het automatisch en zonder van tevoren goed te waarschuwen lijsten van Gmail contacten publiceerde. Daar is Google nu verandering in aan het aanbrengen.

Niet in staat te beschermen

Maar het beveiligingslek onderstreept een ander belangrijk punt, zei Hansen. “Vertrouwelijke informatie kan echt niet worden toevertrouwd aan Google, omdat ze hun eigen applicaties niet eens kunnen beschermen.”

bron: techworld.nl

DeletingYourAccount

Ever want to delete a rusty online account but don't want to navigate a maze of unfamiliar preferences to do so? If you're drowning in social networking, blogging, and other sites, web site Delete Your Account shows you how to extricate yourself painlessly.

Signing up for "just one more" social networking site always seems like a good idea at the time, but pretty soon it becomes yet another thing sapping our energy and attention. Delete Your Account helps you dig yourself out from under the time suck and get your life back.

When you're ready to cut the cord from sites like Digg, MySpace, FriendFeed, Hotmail, or a menagerie of other sites, just jump over to Delete Your Account and look for it in the alphabetical list. You'll get a quick link that takes you right where you need to go on individual sites to nuke your account. You'll even get a couple of handy pointers for each site to make sure you get it right.

Delete Your Account is a huge time-saver when you want to un-register yourself from one or several web sites but don't want to waste time poking around each one to figure out where to delist yourself. If you get wistful and start missing sites where you were connected, hit up Delete Your Account for how to resurrect your registration (if it's possible—because sometimes it won't be).

Delete Your Account is a database of all the major social media and networking sites, with instructions for the following sites:
  • Amazon
  • AOL Instant Messenger (AIM)
  • Digg
  • eBay
  • Facebook
  • Flickr
  • FriendFeed
  • Google
  • Hotmail
  • iTunes
  • Last.fm
  • LinkedIn
  • Meebo
  • Monster
  • MySpace
  • PayPal
  • reddit
  • The Pirate Bay
  • Twitter
  • Wikipedia
  • WordPress
  • Yahoo
  • YouTube

Details include how to remove yourself from these sites' database, but also how to add yourself back on if you've mistakenly deleted your account or if you've changed your mind, making this a great quick glance resource if you're moving on from a dead account, trying to erase your past follies or belong to the tinfoil hat brigade and are over this "internet thing". Complete listings and instructions over at Delete Your Account.

adobeAdobe patcht vandaag een kritiek lek in de download tool van Flash en Reader. Wie even de laatste updates wilde binnenhalen kon daarmee potentieel juist slachtoffer worden van zijn eigen voorzichtigheid.

Het is de tweede keer in zes weken dat de download tool van Adobe gepatcht moet worden. Het programma is niet van Adobe zelf overigens. Het is een alternatieve versie van de getPlus+ Download Manager. Voor de duidelijkheid: het gaat hier dus niet om de Adobe Updater, maar om het programma dat Adobe gebruikt om de downloads van de site van Adobe te reguleren.

De Israelische beveiligingsonderzoeker Aviv Raff kwam vorige week naar buiten met de melding dat cyberaanvallers de download manager konden gebruiken om een willekeurig uitvoerbaar bestand te downloaden en installeren, dus ook malware.

De update heeft het label ‘kritiek’ gekregen, ondanks het feit dat de download manager automatisch weer van een pc wordt gehaald bij het opnieuw opstarten na het updaten. Sommige pc’s blijven echter enorm lange tijd achter elkaar aanstaan, waardoor het alsnog behoorlijk mis kan gaan volgens Raff.

Adobe raadt gebruikers aan om te checken of de lekke versie van het programma niet meer op hun pc staat. Gebruikers wordt aangeraden om daarom even op de harde schijf te kijken of er een 'NOS' folder in de Program Files Map staat. Wat Adobe Reader en Flash betreft hoeven gebruikers niets te doen, die staan er buiten.

bron: techworld.nl

Onderzoekers van SRI International zullen binnenkort een tool vrijgeven die drive-by aanvallen moet tegenhouden.

Dat meldt Brian Krebs op Technology Preview en op zijn weblog. De nieuwe software heet Blade en het zorgt ervoor dat er geen malware op jouw systeem of dat van je gebruikers wordt geïnstalleerd als er een geïnfecteerde website wordt bezocht. Volgens Dasiant zijn er op dit moment meer dan 5,5 miljoen van die sites bekend en er komt elke dag een groot aantal bij.

Alles tegengehouden

De nieuwe software is in januari getest door virtuele machines met verschillende configuraties, browsers en plugins langs alle nieuw bekende geïnfecteerde sites te sturen. Volgens de makers blokkeerde Blade tot nu toe alle 5579 soorten malware van 1318 sites.

Daarbij is het interessant om op te merken dat de aanvallen in meer dan de helft van de gevallen gericht waren op lekken in Adobe Reader. Een kwart werd opgeeist door Java, de rest voornamelijk door Flash en Internet Explorer.

Problemen

Overigens wordt het succes van deze tool ook direct gerelativeerd. Nu is de methode effectief, aldus Robert Hansen van SecTheory. Maar als die mainstream wordt gaan aanvallers er rekening mee houden en wordt de tool gewoon onderdeel van de beveiligingsmaatregelen. Bovendien ziet hij problemen als zo’n tool ingezet wordt in een productieomgeving, omdat het effect kan hebben op andere delen van het systeem.

Volgens Eric Howes van Sunbelt Software zou de software problemen kunnen geven met legitieme downloads. Daarnaast kan zulke software niets doen tegen social engineering, geeft ook Phil Porras van het SRI toe. Ook is Blade machteloos tegen malware die zich in het geheugen nestelt, omdat het is ontworpen om te voorkomen dat er malware op de harde schijf wordt geïnstalleerd.

Hoe nuttig deze software is, moet dus blijken als het pakket vrijgegeven wordt voor verdere tests.

bron: techworld.nl

Onderzoekers van de Amerikaanse Rutgers University hebben een rootkit voor smartphones ontwikkeld, waarmee het onder andere mogelijk is om gesprekken af te luisteren. Rootkits zijn al jaren een probleem voor computers, maar inmiddels beschikken smartphones over dezelfde mogelijkheden. "Ze draaien hetzelfde soort besturingssysteem als desktops en laptops, dus zijn ze net zo kwetsbaar voor malware", aldus informaticaprofessor Vinod Ganapathy. De rootkit die de onderzoekers deze week demonstreren, kan stiekem de telefoon inschakelen en zo met gesprekken meeluisteren. Ook is het mogelijk om de locatie van de eigenaar te traceren of de batterij leeg te maken.

"Vandaag geven we een waarschuwing. We laten zien dat mensen met algemene computerkennis een rootkit voor smartphones kunnen ontwikkelen. De volgende stap is het ontwikkelen van de verdediging", zegt informaticaprofessor Liviu Iftode. Bij één van de tests stuurden de onderzoekers een onzichtbaar sms-bericht naar de telefoon, om zo de microfoon in te schakelen.

De onderzoekers merken op dat ze niet hebben gekeken hoe kwetsbaar bepaalde telefoons zijn. Ook is er geen beveiligingslek gebruikt om de malware te installeren. Het onderzoek is gesponsord door de National Science Foundation en het Amerikaanse leger.

bron: security.nl

firefoxEen exploit voor een lek in de nieuwste Firefox op Windows XP en Vista is beschikbaar gesteld door de Russische beveiliger Intevydis.

Intevydis heeft het lek al twee jaar geleden gevonden, maar begin deze maand heeft het bedrijf de exploit beschikbaar gemaakt in hun exploit toolkit. Van Evgeny Legerov, de man achter het bedrijf, is bekend dat hij het niet zinvol vindt om samen te werken met software ontwikkelaars. Onlangs organiseerde hij nog de 0-day weken, waarin hij lekken publiceerde zonder dat eerst met de ontwikkelaars te overleggen.

Nu heeft hij dus een exploit beschikbaar gemaakt voor Firefox 3.6, en aangezien het lek al twee jaar oud is, zal de exploit waarschijnlijk ook werken met oudere versies. Tot nu toe heeft de exploit nog niet heel erg in het oog gelopen, onder andere doordat de aankondiging ergens achteraf gebeurde en niet op het wat zichtbaardere blog van Legerov, waar toch heel wat exploits, zero days en andere 'pret' voorbij komen.

Buitensporig veel crashes

Mozilla heeft nog geen officiële verklaring uitgebracht. Secunia klassificeert het lek als 'highly critical', maar geeft verder geen bijzonderheden. Volgens een analyse van het Extraexploit blog crashte Firefox 3.6 op 12 en 13 februari buitensporig veel. En daarbij moet worden opgemerkt dat leden van de redactie op die dagen zijn overgestapt op een andere browser, aangezien er met Firefox nauwelijks te werken viel. Maar of die crashes werkelijk iets te maken hebben met de exploit is nog niet duidelijk.

Legerov zelf meldt dat het een heel mooie bug is. Het was een heel interessante uitdaging om hem te vinden en uit te buiten. Aan de exploit moet nog wat geschaafd worden, maar hij werkt al heel betrouwbaar.

Bron:  techworld.nl

Recently I was concered to know how secure my website is. I wasn’t so sure about if anything I can do to make it more secure beside updating to the last version of the Wordpress, so I researched a bit on the subject and soon found out that not only it is far from being secure but it has the potensial to become a playground for harckers. So here is the results. Below are some security tips that can easily be implemented on a WordPress blog:

1- Host

Choose a good and reliable host. It is so important because you are only as secure as your host.

2- Host on a machine with Linux/Unix operating system

That is important too because as opposed to WIndows which you have access to any place unless explicitly restricted, it just does not let any unauthorised access.

3- Stay up-to-date

Everything plugin/widget, themes, and Wordpress versions should be updated. That is one of the most important too. If you stay behind, after sometime hackers learn how to find the seurity holes.

4- Remove any version info

A large number of WordPress theme include the WordPress version info in the meta tag. Hackers can easily plan attack targeting the security vulnerability for that version. This tag is in the header.php file that displays your current version of wordpress.

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

5- Change your login name

The default username is admin. Do not use it. make it more difficult for the hacker to crack your login credential by changing the login name. In your WordPress dashboard, go to Users and set up a new user account. Give this new user administrator role.

Log out and log in again with the new user account. Go to Users again. This time, check the box beside admin and press Delete. When it asks for deletion confirmation, select the “Attribute all posts and links to:” and select your new username from the dropdown bar. This will transfer all the posts to your new user account. Press Confirm Deletion.

6- Stop brute force attack

Hackers can easily crack your login password and credential using brute force attack. To prevent that from happening, you can install the login lockdown plugin. This plugin records the IP address and timestamp of every failed WordPress login attempt. Once a certain number of failed attempts are detected, it will disable the login function for all requests from that range.

7- Use a strong password

Make sure you use a strong password that is difficult for others to guess. Use a combination of digits, special characters and upper/lower case to form your password. And try to change it regularly. Of course, who done that !? ;)

8- Directories should not be left open for public browsing

There is a potential problem letting people know what plugins you have, or what versions they are. If there is some known exploit that is linked to a plugin, it could be easy enough for someone to use it to their advantage. just add this line in your .htaccess file in your root:

Options All -Indexes

9-Hide your plugins folder

If you go to your http://yourwebsite.com/wp-content/plugins, you can see a list of plugins that you are using for your blog. You can easily hide this page by uploading an empty index.html to the plugin directory.

10- Protect your wp-admin folder

Attackers can use bots for a brute force style of attack that simply guesses the admin password until they come up with the correct one and login. There are a couple of solutions:

Limit access to wp-folder by IP address: This solution is to restrict which IP’s can access the wp-admin folder via .htaccess. This has one drawback is you may have to update your .htaccess folder if your internet provider assigns you a dynamic IP address, you move to another location or you have authors at other locations. Create a file and name it .htaccess with the content below:

order deny,allow
deny from all
allow from 888.888.888.888

change 888.888.888.888 to your ip and any other ip that you want to grant access and then put the file inside the wp-folder. note: for some reason you must give the permission to this file to be read by world. or you will have problem to access to wp-folder from your browser.

11- Nobody should be able to to search your entire site

WPdesigner advices not to use this search code in the search.php

<?php echo $_SERVER ['PHP_SELF']; ?>

and

Block WP- folders from being indexed by search engines, the best way to block them in your robots.txt file. Add the following line to your list:

Disallow: /wp-*

12- Protect your wp-config.php file

this is the best trick that I have seen. Create a separate PHP file in a non-WWW accessible location and use the WP-Config to include that file. Say for example that your web include path for your server was /home/yourname/public_html/. You can actually save a file in the /home/yourname/ area and it won’t be web accessible. Meaning that even if somebody were able to read your wp-config, they wouldn’t get anything valuable. Here are the steps: Move the original wp-config.php file to a non-WWW readable location. Normally this should be the directory one level above the “public_html” or “www”. you can also change the name to whatever you like. Then modify the “wp-config.php” file to include the file. If somebody were to somehow read the contents of my WP-Config, all they would see is this:

<?php include('/home/yourname/config.php');
define ('WPLANG', '');
define('ABSPATH', dirname(__FILE__).'/');
require_once(ABSPATH.'wp-settings.php'); ?>

13- Take regular backup of your site and database

You always have to take regular backups of your file directories as well as the database. WordPress Database Backup plugin creates backups of your core WordPress tables as well as other tables of your choice in the same database.

14- Use SSH/Shell Access instead of FTP

It is one of the best tips i found here.If someone gets a hold of your FTP login information (which is usually not encrypted and easy to get), they can manipulate your files and add spam to your site without you even knowing about it! Using SSH, everything is encrypted including the transfer of files, etc.

15-Encrypt your login

Whenever you try to login to your website, your password is sent unencrypted. If you are on a public network, hacker can easily ‘sniff’ out your login credential using network sniffer. The best way is to encrypt your login with the Chap Secure Login plugin. This plugin adds a random hash to your password and authenticate your login with the CHAP protocol.
16- Do a regular security scan

Install the wp-security-scan plugin and perform a regular scan of your blog setting for any security loopholes. This plugin can also help you to change your database prefix from wp_ to a custom prefix.

17- Change the prefix of your WordPress table in the database file

here is a good guide to how to do that in 6 steps.

 

Source: www.omidsakhi.com

Steeds meer mensen lopen rond met een (hardware) token aan hun sleutelbos. Ik ook. Met behulp van zo’n hardware token  - waarop een dynamische pincode te lezen is - kun je, in combinatie met je persoonlijke pincode, bijvoorbeeld toegang krijgen tot het beveiligde netwerk van je organisatie. Er kleven echter de nodige nadelen aan zo’n token. Ik stel een alternatieve oplossing voor die deze problemen niet heeft. Deze oplossing is gebaseerd op twee ideeën.

De nadelen van een hardware token zijn:

  1. Als je overal toegang wil hebben, dan moet je het hardware token overal mee naar toe nemen (en als deze zoals bij mij aan je sleutelbos hangt en je partner leent deze even dan ben je ook je token even kwijt);
  2. Mensen verliezen dingen (ook tokens);
  3. Tokens kosten (veel) geld (en moeten ook nog eens regelmatig worden vervangen);
  4. Tokens kunnen out-of-sync. raken;
  5. Iemand kan misbruik maken van het token door mee te kijken of het even te ‘lenen’.

Het eerste idee waarop de oplossing is gebaseerd is heel simpel en eenvoudig uit te voeren. Voor wie het token niet de hele tijd op zak wil dragen, maar wel een goede internetverbinding heeft (en een beetje handig is), hangt zijn token voor de webcam en publiceert het beeld met de dynamische pincode op een ‘geheime’ plek (bijvoorbeeld ergens verstopt op de eigen homepage). Met deze eenvoudige oplossing zijn we in ieder geval af van problemen 1. en 2. Je heb je token altijd bij de ‘hand’ en het hangt veilig thuis (voor de webcam).

Voor de problemen 3,4 en 5 is meer nodig. Het tweede idee is wat ingewikkelder en vereist een (publieke) infrastructuur. De oplossing hiervoor bouwt voort op het vorige idee. Maak een publiek plein van ‘geheime’ plekjes van dynamische pincodes (want dat is de primaire functie van een hardware token) – het ‘tokenplein’. Oftewel vervang het hardware token door het steeds verspringende cijfer te publiceren op een website. Op het tokenplein kunnen gebruikers hun eigen token bekijken. Ik stel me deze plek voor als het parkeerterrein van de Efteling, je hoeft alleen te onthouden waar je je auto hebt geparkeerd (bv. op het kaboutertje 2 de 6e auto). Het toewijzen van een plek kan heel veilig bijvoorbeeld door deze per post te sturen of – nog beter – de verzegelde envelop met de geheime plek te overhandigen (met fysieke verificatie van de identiteit). De plek is eenvoudig uit het hoofd te leren (zeker niet lastiger dan de gebruikelijke 4 cijferige pincodes).

Nu moet deze plek natuurlijk wel voldoende geheim zijn. Tot op zekere hoogte is de waarborg al inherent aan het feit dat het gaat om een virtueel plein; alleen jij weet waar je op het plein (een internetpagina) moet kijken. Op een fysieke parkeerplaats kun je zien wie zijn auto waar parkeert; op een virtuele plek in principe niet. Daarnaast moet de virtuele plek natuurlijk wel aan een paar basale randvoorwaarden voldoen; op de eerste plaats moeten er voldoende plekjes op een pagina staan om de kans van een toevalstreffer – ook als er een poging wordt gedaan door bijvoorbeeld een bende - voldoende klein te maken (minstens zo goed als de kans van het hardware token waar we te maken hebben met probleem 5). Hoe groot laat ik graag over aan de experts. Daarnaast moet het heel lastig zijn om de cijfers er met een computer voldoende snel vanaf te halen. Dit kan door de code visueel zodanig te vervormen dat de code wel voor mensen leesbaar is maar niet voor computers. Natuurlijk moet dit op basis van een random vervorming gebeuren. Tot slot zal het mechanisme voor het genereren van de unieke dynamische pincodes voldoende sterk moeten zijn (in tegenstelling tot de hardware tokens kan het algoritme eenvoudig worden vervangen).

Nu is de praktijk van security – in het bijzonder encryptie - dat dit een gebied is waar heel knappe koppen zich mee bezig houden. Dus mogelijk is deze oplossing binnen no time gekraakt. Hierbij dan ook de oproep aan de experts om deze oplossing met de vloer gelijk te maken of – en dat heb ik natuurlijk liever – deze oplossing te realiseren en te perfectioneren. Het leent zich in ieder geval uitstekend als Software as a Service concept.

Bron: http://www.via-nova-architectura.org/blogs/erik-vermeulen