Iphone_routeEen moderne iPhone stuurt twee keer per dag de locatiegegevens naar Apple, zo heeft een forensisch onderzoeker ontdekt. Alex Levinson ontdekte de gegevens in een cachebestand op de iPhone. De gegevens zijn niet voor andere applicaties toegankelijk, aangezien hier rootrechten voor nodig zijn. Het bestand wordt tijdens iPhone sync operaties naar pc of Mac gekopieerd en is dan wel bereikbaar.

Beveiligingsonderzoekers Pete Warden en Alasdair Allan hebben nu een applicatie ontwikkeld die het bestand kan uitlezen en vervolgens de locatiegegevens op een kaart weergeeft. "Dit is vanuit een privacy oogpunt slecht. Autoriteiten zouden een gerechtelijk bevel kunnen krijgen om een forensisch onderzoek op je iPhone kunnen uitvoeren, om te zien waar je allemaal bent geweest", zegt Mikko Hypponen van het Finse anti-virusbedrijf F-Secure.

Hackers hebben toegang weten te krijgen tot de klantendatabase van het Duitse softwarebedrijf Ashampoo. Er zouden geen financiële gegevens van klanten zijn buitgemaakt, maar Ashampoo waarschuwt hen wel per e-mail.

Volgens Ashampoo-directeur Rolf Hilchner hebben de hackers op een gekraakte server van het bedrijf namen en e-mailadressen van klanten buitgemaakt. Zij zouden echter geen financiële data zoals creditcardgegevens of bankrekeningnummers hebben ontvreemd, omdat deze informatie op servers van andere bedrijven staat.

De firma claimt dat de hack snel werd ontdekt en dat het gat in de beveiliging vrijwel direct is gedicht. Ook zou Ashampoo aangifte hebben gedaan bij de Duitse politie. Het bedrijf waarschuwt zijn klanten in een e-mail dat de hackers de buitgemaakte data echter wel kunnen misbruiken.

De hack van een server van Ashampoo is extra pijnlijk voor het bedrijf, omdat het een aantal beveiligingsproducten op de markt brengt, zoals Ashampoo Firewall Pro en Magical Security 2.

bron: tweakers.net

qubesDe eerste bètaversie van het superveilige besturingssysteem Qubes is online verschenen. Qubes is mede ontwikkeld door de Poolse rootkit-expert Joanna Rutkowska. Het is een opensource besturingssysteem gebaseerd op Xen, X Window System en Linux, en kan de meeste Linux programma's draaien en in de toekomst mogelijk ook Windows applicaties.


Qubes implementeert een "security by isolation" aanpak, wat het doet door verschillende programma's via virtualisatie van elkaar te scheiden. Als één programma wordt aangevallen, heeft dit geen gevolgen voor de integriteit van de rest van het systeem.

Virtual machines
Eén van de belangrijkste onderdelen zijn de "disposable VMs", volgens Rutkowska een "killer feature". Het gaat hier om lichtgewicht virtual machines die binnen een seconde zijn gemaakt en gestart en als enig doel het hosten van één applicatie hebben, bijvoorbeeld een PDF-lezer of mediaspeler. In het geval van een PDF-bestand voorkomt dit de uitvoering van kwaadaardige code.

Het 1,6GB grote besturingssysteem is via deze pagina te downloaden. De installatie werkt ook op een USB-stick. "In het geval je je laptop niet wilt 'opofferen'", merkt Rutkowska op. De finale versie van Qubes staat gepland voor na de zomervakantie.
bron: security.nl

Er blijken ruim 37.000 ssl-certificaten in omloop te zijn, die een gevaar kunnen vormen voor internetgebruikers. Het gaat om certificaten die gelden voor een locatie die niet uniek is, waardoor ze kunnen worden misbruikt voor hackaanvallen.

De Amerikaanse digitale-burgerrechtenbeweging Electronic Frontier Foundation onderzocht hoeveel ssl-certificaten zijn verstrekt voor niet-unieke domeinen. Een uniek domein mag op het internet maar één keer voorkomen, terwijl een niet-uniek domein vaak wordt gebruikt voor intern netwerkverkeer. Zo kunnen verschillende netwerken een lokale host met de naam 'mail' hebben, terwijl het domein 'tweakers.net' op het internet maar één keer mag worden gebruikt.

Volgens de EFF hebben certificaatautoriteiten vele duizenden keren certificaten verstrekt voor niet-unieke domeinen. Een certificaat voor het domein 'exchange' is 806 keer verstrekt, terwijl voor gerelateerde domeinen als 'exchange01' of 'exch' nog duizenden andere certificaten zijn uitgegeven. Exchange is een veelgebruikte zakelijke mailserver van Microsoft. Als verschillende partijen een ssl-certificaat voor hetzelfde domein hebben bemachtigd, is het certificaat nutteloos geworden.

Bovendien veroorzaakt dit een groter risico op man in the middle-aanvallen, waarbij een aanvaller inbreekt in de communicatie tussen een gebruiker en een server. Een aanvaller kan bijvoorbeeld een interne dns-server hacken en het verkeer dat voor de host 'exchange' is bestemd naar een externe host laten doorsturen. Met een ssl-certificaat kan hij gebruikers een beveiligde verbinding met de server laten opbouwen, zodat zij niet doorhebben dat ze met een andere server te maken hebben.

Opvallend is dat sommige certificaatautoriteiten, die zijn belast met het uitgeven van de ssl-certificaten, verschillende klanten een ssl-certificaat voor hetzelfde domein gaven. Volgens de EFF duidt dat erop dat de ca's niet controleren of certificaten wel geldig zijn. Al even opmerkelijk is dat er circa vijfduizend certificaten zijn uitgegeven voor het domein 'localhost', dat altijd verwijst naar het eigen systeem, waardoor de certificaten van weinig nut zijn.

Ook ontdekte de EFF dat er certificaten in omloop zijn voor domeinen met niet-bestaande extensies, zoals '.farm', '.tech' en '.virtual'. Op dit moment zijn die certificaten weliswaar weinig bruikbaar, omdat de bijbehorende domeinnamen niet werken, maar de Icann werkt aan de mogelijkheid voor organisaties om zelf top-level-domeinen te registreren. Een bedrijf zou daardoor het '.tech'-domein kunnen claimen, terwijl daarvoor al ssl-certificaten zijn uitgegeven.

Bron: tweakers.net

De 21-jarige Iraanse student die succesvol bij partners van Certificaat Authority Comodo wist in te breken, heeft de database van GlobalTrust en InstantSSL online gezet. De student, die zichzelf de Comodo-hacker noemde, wist in naam van Google, Microsoft, Mozilla, Skype en Yahoo SSL-certificaten aan te vragen. Eerder gaf de student al uitleg van de hack, maar nu heeft hij via klokkenluidersite Cryptome ook twee .bak bestanden online geplaatst. Het zou gaan om de database van Globaltrust en het CMS van InstantSSL Italië, aldus de hacker via Twitter.

Vanwege de eerste aanval werden verschillende GlobalTrust websites uit de lucht gehaald. GlobalTrust.it is nog steeds online, maar InstantSSL.it is weer offline gehaald. "Mogelijk als bescherming tegen aanvallen die het resultaat van dit nieuwste lek zijn", zegt Paul Mutton van Netcraft.
bron: security.nl

adobeHet aantal gerapporteerde beveiligingslekken in Google Chrome, Adobe Reader en Adobe Flash Player steeg het afgelopen jaar explosief, zo blijkt uit cijfers van het Deense Secunia. Mozilla en Microsoft wisten daarentegen het aantal kwetsbaarheden terug te dringen. Zo verhielp Google de afgelopen twaalf maanden 139 Chrome-lekken, terwijl dat een jaar eerder er nog 52 waren. Een stijging van 167%.

Ook Adobe zag het aantal kwetsbaarheden groeien. Adobe Flash Player had de afgelopen twaalf maanden met 68 lekken te maken, terwijl dat in dezelfde periode een jaar eerder er nog 21 waren. Een stijging van 224%. In het geval van Adobe Reader waren de cijfers niet veel beter. 150 lekken tegenover 58 lekken een jaar eerder, wat een 159% groei betekende.

Internet Explorer zag het aantal kwetsbaarheden juist afnemen, van 54 naar 34, wat een daling van 37% is. Mozilla deed het met 81 lekken vorig jaar ten opzichte van 106 twaalf maanden eerder, afname van 24%, ook niet onverdienstelijk.

bron: security.nl

Greetings All,

After a very successfull release of Sql Poizon v1.0, The Exploit Scanner Tool, I am hereby introducing you with the new release which is more handy. It has new features as well as bug fixes from the older release. Please take a look for it below:

New Features:
"Look n Feel" is more attractive now.
Rich "Context Menu" items.
"Results" contain checkboxes to enable selection.
"Selected Dork" box is editable now for user convenience.
Built-in Browser for "Injection Builder" to check the impact of injection.
"Text Bucket" available for "Injection Builder" to save extra data.
"Insert Order By" button is added to "Injection Builder".
"Internet Browser" with Snapshot and HTML DOM Tree.

Bug Fixes:
It wont get stucked after pressing the stop button. Just a minor wait can occur which is okay.
Progress bar for "Crawler" has been fixed. It will show correct progress now.
Error on importing file is fixed now. You can import files from other directories as well.
"Searchqu" shows invalid results. It is fixed now.

Sql Poizon v1.1 - Sqli Exploit Scanner, Search Hunter, Injection Builder Tool

sql_poizon_1

Een hacker heeft toegang gekregen tot een database van netwerk- en beveiligingsbedrijf Barracuda Networks, en heeft een dump van de database op het internet geplaatst. Onder andere wachtwoord-hashes en loginnamen zijn zichtbaar.

De hacker gebruikte sql-injectie om de gegevens uit de database te halen en plaatste deze op het internet. Onder meer gegevens van werknemers en zakelijke partners zijn zichtbaar. Het gaat onder meer om ip-adressen, gebruikersnamen en hashes van wachtwoorden.

Een wachtwoordhash is een versleutelde versie van een wachtwoord, waaruit het oorspronkelijke wachtwoord niet direct kan worden achterhaald. Door zogeheten rainbow tables aan te leggen kunnen hashes echter aan de bijbehorende wachtwoorden worden gekoppeld, zodat deze toch zijn te achterhalen.

Volgens ComputerWorld had een door Barracuda zelf ontwikkelde firewall de server tegen dit soort aanvallen moeten beschermen, maar was die op het moment van de aanval offline voor onderhoud. Er zouden volgens Barracuda geen financiële gegevens in de database zijn opgeslagen. Sql-injectie is een vaak voorkomende aanval op het internet en laat hackers door een programmeerfout eigen opdrachten toevoegen aan sql-queries.

bron: Tweakers.net

De betaalmuur die De Telegraaf om haar online krant heeft gebouwd, blijkt lek. De artikelen worden niet beschermd als iemand de url handmatig invoert.

De betaalmuur van De Telegraaf doet haar werk niet goed. Bezoekers van de website kunnen artikelen in de digitale versie van het dagblad lezen zonder abonnement of eenmalige betaling. Zij moeten dan de originele afbeelding openen in hun browser. Dat meldt een tipgever die anoniem wil blijven.

Artikel zoeken via broncode

In de digitale versie van De Telegraaf krijgt ieder artikel een eigen nummer in de url. De pagina's zijn wel afgeschermd door het inlogmechanisme van de krant, de afbeelding niet.

Advertenties in de digitale editie van het dagblad zijn niet beschermd door de betaalmuur. Door zo’n advertentie te openen is de structuur in de url van de artikelen eenvoudig te ontdekken. Uit JavaScript op de website blijkt dat die bij artikelen iets anders is. Het deel 'image_' moet verwijderd uit de directorynaam 'image_article' worden en het achtervoegsel '_large' bij een afbeelding moet gewijzigd worden in '_orig'.

Automatisch met JavaScript

Een korte blik op de bron van de webpagina waar de krantenpagina wordt getoond openbaart de nummers van de beschermde artikelen. Als het juiste nummer bij een artikel gevonden is, is het mogelijk om deze te lezen zonder eerst in te loggen.

Onze tipgever laat weten dat het gratis lezen van artikelen in De Telegraaf ook eenvoudiger kan. Met behulp van een bookmarklet met een eenvoudige JavaScript code is het volgens hem mogelijk om artikelen te lezen zonder in de broncode van de pagina te duiken. Webwereld kan zijn manier niet reproduceren maar onze tipgever laat weten dat het probleem desalniettemin niet is gedicht.

Bij De Telegraaf was vanmiddag niemand aanwezig voor een reactie. Wel is de bug in de betaalmuur van het dagblad inmiddels een week geleden gemeld aan de krant.

Niet de eerste krant

De Telegraaf is niet de enige krant met een zwakke betaalmuur. Zo waren de iPad-versies van NRC Handelsblad, nrc.next, het Reformatorisch Dagblad èn De Telegraaf eenvoudig zonder te betalen te lezen door onbeveiligde opslag. De betaalmuur van de New York Times is te omzeilen door de URL te wijzigen.

Bron: Webwereld.nl

Een beveiligingslek in een database van de firma Epsilon, waarin e-mailadressen van miljoenen Amerikanen staan opgeslagen, blijkt nog groter dan gedacht. Een onbekende hacker zou de mailadressen hebben buitgemaakt.

Afgelopen vrijdag werd bekend dat de maildatabase van de Amerikaanse marketingfirma Epsilon was gekraakt. In deze database staan e-mailadressen en namen van miljoenen Amerikanen opgeslagen. Aanvankelijk leken alleen de mailadressen van de supermarktketen Kroger door de hackers bemachtigd te zijn.

In het weekeinde is echter duidelijk geworden dat de aanvallers mailadressen van nog veel meer Amerikaanse bedrijven die gebruikmaken van de diensten van Epsilon zijn buitgemaakt. Onder hen zijn de gegevens van klanten van Best Buy, TiVo, JPMorgan Chase & Co, Citigroup en Home Shopping Network. Naast e-mailadressen zouden in enkele gevallen ook andere klantgegevens zijn buitgemaakt.

Epsilon, een firma die jaarlijks 40 miljard e-mails verstuurt en meer dan 2500 bedrijven als klant heeft, stelt dat het een onderzoek heeft ingesteld naar het lekken van klantgegevens uit zijn database. Er zouden geen creditcardgegevens of inloggegevens zijn bemachtigd. Beveiligingsonderzoekers vrezen echter dat door het lekken van miljoenen e-mailadressen en namen kan leiden tot een vloedgolf aan spam en phishing-aanvallen.

Epsilon heeft zijn klanten zelf op de hoogte gesteld van het lek, zo blijkt uit een verklaring van Best Buy. Ook TiVo is door het mailbedrijf gewaarschuwd. Epsilon stelt dat er geen creditcardgegevens zijn buitgemaakt en dat de schade beperkt is gebleven tot mailadressen en voornamen.

Bron: Tweakers.net

firewallVoor wie zijn website of webapplicatie wil beschermen tegen misbruik, is een web application firewall (WAF) onontbeerlijk. Maar in de praktijk komt er heel wat kijken bij het inzetten van een WAF.

Internetaanvallen zijn mettertijd meer van de netwerklaag naar de applicatielaag verschoven. Op het web kan een web application firewall (WAF) je helpen om deze aanvallen tegen te houden. Webwereld sprak met Erwin Geirnaert, oprichter en CEO van het Belgische beveiligingsbedrijf Zion Security, en Xavier Mertens, principal security consultant bij het Belgische beveiligingsbedrijf C-Cure. Beiden hebben ervaring met heel wat WAF's, waaronder ModSecurity, IronBee, Barracuda, Profense, BeeWare, F5 en Zion Secured (Zions eigen WAF).

Een WAF kan heel wat typen aanvallen tegenhouden, waaronder SQL/LDAP/XML-injecties, cross-site scripting, session hijacking, path traversal (zoals het lezen van ../../../../etc/passwd), en brute-force aanvallen. Alles waarvoor signatures bestaan, is eenvoudig tegen te houden. Maar er bestaan ook WAF's die zelf leren wat het gevaarlijke verkeer is, waarna je de automatisch gegeneerde signatures nog kunt fine-tunen. Bovendien zorgt een WAF voor een grote toegevoegde waarde omdat alle inkomende en uitgaande HTTP-aanvragen kunnen worden gelogd, terwijl webapplicaties hier standaard niet voor instaan en een webserver alleen GET-requests logt en geen POST-requests.