samsung s5 fingerprint scannerHet is een Duitse beveiligingsonderzoeker gelukt om de vingerafdrukscanner van de Galaxy S5 te foppen door een dummy van zijn eigen vingerafdruk van houtlijm te gebruiken. Hij gebruikte daarvoor dezelfde dummy als die om Touch ID op de iPhone 5s te omzeilen.

De methode werkt door een vingerafdruk van bijvoorbeeld de achterkant van een telefoon op de foto te nemen en van die foto een mal te maken. Met die mal kan een kwaadwillende de vingerafdruk reproduceren op bijvoorbeeld houtlijm. Door de dummy van houtlijn op de eigen vinger te leggen, kan de onderzoeker de vingerafdrukscanner van de Galaxy S5 foppen, meldt Heise.

linksys2Aan het begin van dit jaar berichtten we over de geheime achterdeur 'TCP 32764'  in verschillende routers , waaronder, Linksys, Netgear, Cisco en Diamond. Via TCP poort 32764 kon een aanvaller opdrachten verzenden met behulp van een command-line shell zonder dat verificatie als beheerder nodig is.

Eloi Vanderbeken, de Reverse-ingenieur uit Frankrijk, die deze backdoor ontdekte heeft vastgesteld dat ondanks de fout is hersteld in de laatste firmware release, SerComm dezelfde achterdeur op een andere manier weer heeft toegevoegd.

google easter eggHet is bijna pasen en dus tijd voor de paashaas met zijn eieren!

Niet alleen de paashaas verstop zijn eieren, het internet staat ook vol met verrassende 'easter eggs'

 

Zo heeft google een aantal leuke easter eggs in haar zoekmachine verstop:

typ in de google zoekmachine:

  1. zerg rush
  2. atari breakout (afbeeldingen)
  3. conway's game of life (kijk aan de rechter kant)
  4. Festivus (kijk aan de linker kant)
  5. the answer to life the universe and everything
  6. www.google.com.hk/landing/teleport/
  7. Google translate for animals

layer 7 ddos attack using xss flaw

An application layer or 'layer 7' distributed denial of service (DDoS) attacks is one of the most complicated web attack that disguised to look like legitimate traffic but targets specific areas of a website, making it even more difficult to detect and mitigate.

 
Just Yesterday Cloud-based security service provider 'Incapsula' detected a unique application layer DDoS attack, carried out using traffic hijacking techniques. DDoS attack flooded one of their client with over 20 million GET requests, originating from browsers of over 22,000 Internet users.

hackerWhiteHat Matt Johansen en Johnathan Kuskos hebben een gedetailleerd overzicht van de top 10 hacking technieken van 2013 gepubliceerd, beschikbaar via dit webinar. Peleus Uhley, Lead Security Strategist bij Adobe, gaat in zijn blog dieper in op een aantal notaties.

1. XML-gebaseerde aanvallen zullen meer aandacht krijgen

Twee van de top 15 aanvallen waren XML-gebaseerde aanvallen. Aangezien XML vaak wordt gebruik als formaat voor data-overdacht, bijvoorbeeld bij SOAP, is het een interessant studieobject. (XML is een data-formaat, Dit is XML. HTML is een speciale versie van XML.

boxee logoHackers hebben de namen, e-mailadressen, berichten en gedeeltelijke inloggegevens van meer dan 158.000 forum gebruikers van Boxee.tv online gezet. Boxee.tv is een webbased televisiedienst die vorig jaar werd overgenomen door Samsung.

Scott A. McIntyre verklaarde tegen Ars Technica dat een volledige kopie van de gestolen forumgegevens vorige week op grote schaal beschikbaar werd. Dinsdag begonnen medewerkers van de wachtwoordendienst LastPass hun klanten die voorkwamen in het bestand van 800 MB te waarschuwen en dringend te adviseren hun Boxee.tv wachtwoord te wijzigen. Het bestand circuleert nog steeds online en bevat volgens LastPass persoonsgegevens van 158.128 users, ongeveer 172.000 e-mailadressen en de gehashde wachtwoorden die overeenkwamen met de Boxee accounts.

phising

Cybercriminelen gebruiken de computers van breedbandgebruikers voor het hosten van phishingsites. Dat blijkt uit een analyse van een groot aantal phishingmails waarin de linkjes naar de IP-adressen van thuisgebruikers wijzen. Het gaat om gebruikers die Remote Desktop op Windows hebben ingeschakeld.

Via Remote Desktop is het mogelijk om op afstand toegang tot de computer te krijgen. Standaard staat dit niet ingeschakeld, maar er zijn volgens de onderzoekers genoeg mensen die het inschakelen. Het is voor aanvallers mogelijk om naar computers met RDP te zoeken.

OpenSSL-Heartbleed-vulnerabilityEr is een ernstig lek aangetroffen in OpenSSL. De advisory van OpenSSL raadt gebruikers aan zo snel mogelijk te upgraden naar OpenSSL 1.0.1g.

De Heartbleed Bug is een ernstige kwetsbaarheid in het populaire OpenSSL. De kwetsbaarheid zorgt ervoor dat de gegevens die onder normale omstandigheden beschermd worden door de SSL/TLS encryptie laag gecompromitteerd kunnen worden. Communicatie via SSL/TLS biedt beveiliging en privacy voor toepassingen zoals web, e-mail, instant messaging (IM) en virtual private networks (VPN).

wordpress-securityWordPress heeft een week voordat versie 3.9 uitkomt een kritiek lek in zijn contentmanagementsysteem gedicht, waarmee kwaadwillenden zich toegang via nagemaakte authenticatie-cookies konden verschaffen. Ook zijn drie kleinere lekken gedicht.

Het lek zit niet alleen in versie 3.8, die door de patch naar versie 3.8.2 wordt gebracht, maar ook in versie 3.7 en de vroege versie van 3.9. Ook voor die versies heeft WordPress updates uitgebracht. De patch die het lek moet dichten heeft de aanduiding CVE-2014-0166 gekregen. De kwetsbaarheid werd door WordPress zelf ontdekt.