image

Terugblik 2008: Vertrouwen internet onder vuur

zaterdag 3 januari 2009, 15:41 door Redactie, 7 reacties

Op beveiligingsgebied was 2008 een zeer bewogen jaar, waarbij vooral het vertrouwen in het internet op de proef werd gesteld. Ook werd er flink geknaagd aan het vertrouwen in overheid en bedrijfsleven als het gaat om de privacy van burgers en consumenten. In het onderstaande overzicht blikken we in vogelvlucht terug op de meest kenmerkende momenten van het afgelopen jaar, dat vooral door een aantal beveiligingsonderzoekers bepaald werd.

Januari, februari, maart, april, mei, juni, juli, augustus, september, oktober, november en december.


Het nieuwe jaar begon vorig jaar goed, want al snel werd duidelijk dat de Media Markt, en tal van andere elektronicawinkels, besmette MP3-spelers verkochten. De hack van de OV-chipkaart domineerde echter de eerste maand het nieuws. Tijdens het 24ste Chaos Computer Congres demonstreerden Duitse hackers hoe ze de Mifare RFID-chip hadden gekraakt. Hackers kwamen ook in de media met een onderzoek waardoor miljoenen routers te hacken waren. Het ging om een combinatie van Flash en UPnP, die aanvallers toegang tot het apparaat gaf. Over apparaten gesproken, de nieuwe Boeing 787 "Dreamliner" had te maken met een ernstig beveiligingslek dat passagiers het besturingssysteem van het vliegtuig liet overnemen. En hackers waren bij meerdere overnames betrokken, de CIA meldde dat aanvallers de stroom in verschillende steden hadden uitgeschakeld. Iets dichter bij huis was de beslissing van de Rabobank om besmette klanten niet meer te laten internetbankieren. Besmettingen die steeds hardnekkiger werden. Begin januari werd een rootkit ontdekt die het Master Boot Record (MBR) van harde schijven overschreef, waardoor het zelfs na het formatteren van de harde schijf weer terug kwam.


In februari kreeg het vertrouwen in de overheid meerdere klappen te verduren. Zo wilde het kabinet een database met de vingerafdrukken van alle Nederlanders ouder dan zes jaar aanleggen, en die openstellen voor politie en justitie. Verder controleerde de Belastingdienst Hyves en LinkedIn profielen en waarschuwde het CBP voor het rekeningrijden. Het was trouwens niet alleen de Nederlandse overheid die het op vingers had voorzien, ook de Europese Commissie wilde een database met de vingerafdrukken van passagiers aanleggen.

In geheel ander nieuws zorgden de Deense spotprenten over de profeet Mohammed ervoor dat Islamitische hackers duizenden sites kraakten. Ook de CAPTCHA van Hotmail werd gekraakt, maar dat was het werk van spammers. Later zouden ook Google en Yahoo! volgen. Het onderzoek van de maand kwam op naam van onderzoekers van de universiteit van Princeton. Die wisten via een busje perslucht het geheugen te "bevriezen", waardoor men opgeslagen wachtwoorden nog kon uitlezen, ook al stond de computer zelf uit. Hierdoor was de encryptie van BitLocker, TrueCrypt en FileVault te omzeilen.


Een nieuwe maand, een nieuw onderzoek. Het kraken van een MacBook Air in twee minuten was echter onderdeel van een wedstrijd. Vista was ook niet waterdicht, hoewel het lek in dit geval niet in het besturingssysteem zat. Alleen Ubuntu wist de hackerwedstrijd te overleven. Dat was trouwens niet te zeggen van pacemakerdragers. Hackers zouden de apparaten op afstand kunnen uitschakelen. Ook de Windows Firewire hack, waarmee de wachtwoordbeveiliging van het systeem is te omzeilen, kreeg de nodige aandacht. Daarnaast liet de politie van zich spreken. Zo adviseerde het inbraak-slachtoffers om Marktplaats.nl in de gaten te houden en waarschuwde het voor Oost-Europese Wifi-dieven.


April stond in het teken van Windows Service Packs. Zo verscheen het langverwachte Service Pack 3 voor Windows XP en de Nederlandstalige versie van Vista SP1. Minder blij waren de meeste burgers met het nieuws dat de Marechaussee laptops van reizigers leegzuigt en dat de WEP/WPA sleutel van SpeedTouch routers eenvoudig te kraken waren.

Tijdens een massale aanval op 500.000 websites werd voor het eerst het probleem van SQL-injectie duidelijk. De gehackte sites werden van allerlei exploits voorzien, een tactiek die nog vaker in 2008 zou worden toegepast. Wat ook geldt voor de Chinese hackeraanval op CNN. Uit onvrede over Westerse berichtgeving besloten Chinese hackers een massale DoS-aanval uit te voeren. De schade viel uiteindelijk mee. Als laatste deed GroenLinks nog een duit in het zakje. De partij wilde, bij monde van toenmalig fractielid Wijnand Duyvendak, een verbod van de OV-chipkaart. Eerder had de politicus het kabinet al voor een stelletje digibeten uitgemaakt.


Een zeer ernstige fout, volgens sommigen zelfs blunder, in Debian's OpenSSL-pakket zorgde voor een verhoogde alarmfase op het internet. Door een aanpassing van de code twee jaar eerder, was het mogelijk om SSH, SSL OpenVPN, DNSSEC sleutels te raden. Gebeurtenissen in eigen land domineerde echter het nieuws. Zo bleek de politie Trojaanse paarden te gebruiken om de computers van verdachten te hacken, begon de politie met het registreren van kentekens en werden Hyvers in kaart gebracht. Verder werd bekend dat justitie 1700 telefoongesprekken per dag afluistert en vonden CDA en VVD een bewaarplicht van 18 maanden redelijk. In het kader van dubieuze "onderzoeksjournalistiek" haalde Computer Idee de media door een rogue accesspoint op Schiphol neer te zetten.


In juni ontstond grote commotie over kinderlokkers die via Trojaanse paarden de webcams van kinderen overnemen en dan allerlei oneerbare voorstellen doen. Uiteindelijk bleek het om één zaak te gaan, maar de schrik bij de Nederlandse bevolking was er niet minder om. Volgens een groep onderzoekers was de privacy in het geding door slimme meters, die het leefpatroon inzichtelijk maken. Leven en techniek raakte steeds meer met elkaar verweven, zo startte de Albert Heijn een proef met biometrisch betalen. Er was ook nog goed nieuws te melden, de Nationale Recherche arresteerde een Limburgse hacker die bij verschillende gameontwikkelaars had ingebroken.


De normaal zo rustige zomermaand juli werd opgeschrikt door een beveiligingslek van ongekende omvang. Beveiligingsonderzoeker Dan Kaminsky had een kwetsbaarheid in het Domain Name System (DNS) ontdekt. Aanvallers konden DNS informatie vergiftigen en zo slachtoffers naar kwaadaardige websites door sturen. Ondanks het gezamenlijk uitbrengen van de update, duurde het vrij lang voordat serverbeheerders die uitrolde. Ook schrikken was het plan van het CDA om meer DNA gegevens van burgers op te slaan als die zich in de buurt van een misdrijf bevinden. Bankverzekeraar Fortis kwam in juli negatief in het nieuws omdat het gevoelige gegevens van zeer vermogende, particuliere klanten onbeveiligd op het internet had gezet. Postbankklanten kregen op hun beurt in korte tijd drie phishingaanvallen te verduren. Juli had een bijzondere afsluiting, want er zou weer een Nederlandse hackerconferentie gaan plaatsvinden, dit keer onder de naam Hacking at Random.


Augustus was de maand van een aantal nieuwe woorden. Zo introduceerde Microsoft de "pornoknop" in Internet Explorer 8 en werden internetgebruikers voor klembord-kapers en malware gewaarschuwd. De Nationale Recherche deed weer van zich spreken met de aanhouding van een 19-jarige botnetbeheerder uit Sneek. Ook werd er deze maand weer het nodige gehackt. Zo demonstreerden terroristen het gevaar van een onbeveiligd draadloos netwerk, scande de maker van Nmap het hele internet en werden de officiële Red Hat en Fedora servers gekraakt.

Een nieuw probleem met de internet infrastructuur haalde de grote media. Dit keer konden hackers via een kwetsbaarheid in het Border Gateway Protocol (BGP) al het onversleutelde verkeer afluisteren. Later werd bekend dat het probleem al zeker 20 jaar oud was. Nog geen twintig jaar, maar wel oud was de vormgeving van Security.nl. Die werd na bijna vijf jaar vervangen.


Met Amerikaanse presidentsverkiezingen in aantocht kreeg de hack van het privé e-mailaccount van vice-presidentskandidaat Sarah Palin de nodige aandacht. Toch was september de maand van Google, de zoekgigant lanceerde een eigen browser genaamd Chrome. Voor de derde maand op rij werden internetgebruikers voor lekken van ongekende omvang gewaarschuwd, de eerste was Clickjacking, maar de aankondiging van een lek in het TCP/IP protocol sloeg in als een bom. Wederom liep een stel cybercriminelen tegen de lamp, de Nationale Recherche arresteerde vijf hackers. Toch was er niet alleen goed nieuws voor justitie. Het Korps landelijke politiediensten (KLPD) bleek helemaal niet bevoegd om websites met kinderporno te laten blokkeren, terwijl dat wel gebeurde. Verder beschouwde de Russische virusbestrijder Kaspersky Lab een scriptje van Geenstijl.nl als een Trojaans paard en bleken ook in Nederland talloze mensen met een nep-virusscanner besmet te zijn.


Voor de vierde keer sinds 2006 was het alle hens aan dek op het internet, Microsoft bracht buiten haar vaste patchdinsdag een zeer belangrijke update voor Windows uit. Het misbruik van het "worm-lek" bleek later mee te vallen. Wat ook meeviel was de actie van een Russisch bedrijf dat beweerde WPA2 honderd keer sneller te kunnen kraken. Het toevoegen van één extra karakter maakte de 600 euro kostende software van de Russen weer overbodig. Verder bleek dat Albert Heijn informatie van de bonuskaart met justitie deelt, zette T-Mobile de gegevens van 30 miljoen klanten online en ging Australië op de Chinese tour met een verplicht internetfilter. Eind oktober werd bekend dat elke Nederlander automatisch een elektronisch patiëntendossier zou krijgen, tenzij men bezwaar maakte. Niet dat veel landgenoten zich over hun privacy zorgen maken, de "Volksopstand voor privacy" trok slechts een paar honderd mensen.


Het EPD kwam steeds meer in de media, zo maakten huisartsen zich ernstig zorgen over de privacy ervan. Niet onterecht, in Amerika wisten hackers de dossiers van 50 miljoen Amerikanen te stelen. Hackers sloegen ook toe in het Witte Huis, Chinese aanvallers zouden meerdere keren het netwerk hebben gekraakt. In het geval van Nederlandse WiFi-routers viel er volgens de Consumentenbond weinig te kraken, tweederde van de routers die ISPs verstrekken zouden niet of onvoldoende beveiligd zijn.

Microsoft verbaasde vriend en vijand met de aankondiging van de gratis virusscanner Morro. Geen overbodige luxe, zo verbood het Amerikaanse leger wegens een worm-uitbraak het gebruik van USB-sticks. Halverwege de maand daalde de hoeveelheid spam dankzij het afsluiten van spambron McColo naar een historisch dieptepunt. Verder trok Zembla de stoute schoenen aan door creditcardfraude te plegen, kwam XS4ALL met een privacyfilm en hoefde een Amerikaanse lerares wegens porno pop-ups toch niet veertig jaar de cel in.


Het venijn zat dit jaar definitief in de staart. Onderzoek wees uit dat 98% van alle Windows computers belangrijke updates mist. Niet dat je in dit geval iets tegen een zero-day lek kunt doen. Miljoenen Internet Explorer gebruikers werden slachtoffer van een lek in de browser waar nog geen update voor was. Microsoft moest weer buiten haar patchcylus om, die in december al gigantisch was, met een noodverband aan de slag. MS08-078 was een van de ergste lekken waar Windows gebruikers de afgelopen jaren mee te maken kregen.

De Revu vond het wel een verstandig om 14.000 mensen met een Trojaans paard te besmetten om zo het privé e-mailaccount van Defensie staatssecretaris Jack de Vries te kraken. Ook niet verstandig was het advies van de politie om aan de mondstukken van pinautomaten te sjorren. Toch moet je wat, aangezien pinpasfraudeurs op massale schaal zowel bij het MKB als NS-stations toesloegen. Het vuurwerk kwam dit jaar een dag te vroeg. Onderzoekers demonstreerden tijdens de CCC hackerconferentie hoe ze op MD5-gebaseerde SSL-certificaten konden vervalsen. Een waardig einde van een bewogen jaar.

Reacties (7)
05-01-2009, 13:55 door Lamaar
Het komt dus neer op veel berichten over reparaties van Windows, maar de lekken in Apple's Safari, Flash, Adobe Reader, Firefox en Google Chrome worden hierin totaal doodgezwegen. En dan te bedenken dat er hier pas geleden nog een bericht stond over de gevaren van Safari en Flash. Lekker objectief stukje dus.

Mijn vertrouwen in security.nl is daarmee tot een dieptepunt gedaald. Waar ik veiligheid dacht te vinden, zie ik alleen maar aanvallen op Windows. Ga lekker door zo, ik beveel jullie al bij helemaal niemand meer aan en ik hoor van veel anderen hetzelfde geluid.
05-01-2009, 14:37 door [Account Verwijderd]
[Verwijderd]
05-01-2009, 16:12 door Lamaar
Door Iceyoung@Lamaar

Maak je toch niet zo druk man.

Ten eerste kopieërt de redacte info van andere sites dus het zelf genereren van nieuws is al beperkt tot een minimum.
(de enige aanmerking kan je nog maken op de m.i. iets te vrije vertaling van het Engels naar het Nederlands)
Eigenlijk scheppen ze alleen de gelegenheid tot discussie.

Daarnaast is MS de grootste dus ook de meest besproken en je weet zelf wel dat de grootste ook altjd met de meest grote argusogen wordt bekeken. (de prijs van de roem zullen we maar zeggen). Zodra iets of iemand zijn kop boven het maaiveld uitsteekt staan er legio mensen klaar om zijn zwakke plekken te zoeken.

Wat ik wel opmerkelijk vind, is dat Cisco daar veel minder onder te lijden heeft dan MS en we weten allemaal dat Cisco ook nog wel eens de plank misslaat.
Die redenering van jou klopt dus niet, want Google alleen al is groter dan Microsoft.
05-01-2009, 16:57 door [Account Verwijderd]
[Verwijderd]
05-01-2009, 19:24 door Anoniem
Het komt dus neer op veel berichten over reparaties van Windows, maar de lekken in Apple's Safari, Flash, Adobe Reader, Firefox en Google Chrome worden hierin totaal doodgezwegen.

Safari wordt door een kleine 8% van alle mensen gebruikt, de impact van een lek zal vermoedelijk minder zijn dan bij een lek in IE. Daarnaast heeft Safari relatief minder fouten dan IE. Safari is dus een slechte kandidaat voor een overzicht van de high lights van 2008. Hetzelfde geldt voor Chrome dat door maar liefst 1% van alle web surfers wordt gebruikt. Flash wordt genoemd in januari. Adobe Reader wordt niet genoemd maar verschrompelt als kandidaat, als je de foutengeschiedenis vergelijkt met die van Windows. Firefox heeft altijd minder lekken open dan IE. Daarnaast staan de lekken staan korter open, zijn ze minder ernstig en meestal te voorkomen met NoScript. Dus ook FF levert m.i. te weinig spectacel voor een vermelding in dit overzicht.

Dus door dit allemaal te verzwijgen, is Security.nl er duidelijk alleen maar op uit om Microsoft zwart te maken. Op Webwereld, de favoriete site van L, hebben de lezers in 2007 en 2008 het product Windows Vista verkozen tot flop van het jaar. Alleen maar om Microsoft zwart te maken.

Dat iedereen Microsoft zwart wil maken, komt alleen maar door het marktaandeel. En daardoor komt het ook dat malware zo goed werkt op Windows. Want ondanks de voorspelling van Symantec, is er voor Apple nog steeds 0% malware terwijl OS/X inmiddels een marktaandeel heeft van 10%. Boeven haten Windows en houden van Apple. Duidelijk.

Het Vaticaan heeft inmiddels wetenschappelijk aangetoond dat de financiele crisis niet door menselijk handelen is ontstaan maar door toedoen van Satan. Satan de grote boze tovenaar die ook een belangrijke rol speelt in 'Pinkeltje en de boze Tovenaar' (isbn 9789047509745). En op het Vaticaan gelooft men echt geen sprookjes.

Diezelfde Satan is vast ook de leider van alle mensen die Microsoft zwart willen maken...

Mensen, onze allereigenste L heeft, terwijl wij zitten te lullen, een belangrijk complot ontdekt!
Zal L de strijd aangaan met het kwade?
En zal L snel genoeg voldoende tovergif van alle Windows af kunnen likken om Satan te verdelgen?
U leest het in de volgende aflevering!
Tot 2010!
06-01-2009, 10:12 door [Account Verwijderd]
[Verwijderd]
13-01-2009, 21:13 door Anoniem
Binnen een paar uur weten Banken, advocaten, verzekeringen en Peter R de Vries alles van je. Waar je woont, waar je werkt, hoeveel je inkomen is , bij welke bank je een rekening hebt, hoeveel erop staat, etc. voor meer info www.michelkraay.nl

Open your eyes, don’t hide

In een wereld waarin van alles over iedereen in duizenden computersystemen staat geregistreerd, lijkt het effectief beschermen van die gegevens een utopie. Die informatie blijft daar niet veilig staan, zolang er mensen toegang toe hebben. Niet langer is het nodig om als detective in bosjes te liggen of vuilnisbakken te doorzoeken, wat telefoontjes naar bedrijven en overheidsinstanties volstaan om alles over een persoon of bedrijf te weten te komen. Als je maar een goed verhaal hebt om de kantoormedewerker te misleiden. Daarmee is er een groot verschil ontstaan tussen de theorie en de praktijk: slap toezicht vanuit de overheid in combinatie met de onbedwingbare honger naar geheime informatie vanuit 'het grote geld'.

De opdrachten tot achterhalen van privacygevoelige informatie zijn afkomstig van advocaten, banken, verzekeraars, media en grote bedrijven. Het leidt tot een handel in informatie over burgers, die daar zelf onwetend van zijn. Dit duistere informatieverkeer- steeds vaker mondeling of op velletjes papier zonder briefhoofd- komt vrijwel nooit aan het licht. Het is de grootste blinde vlek rond het begrip ´privacy´. Bij de aanpak van Justitie, toezichthouders en zelfs van alle gebelde bedrijven en instanties vallen veel kanttekeningen te plaatsen. Het laat zien dat privacy in feite allang niet meer bestaat als partijen blijven azen op de privé-gegevens van mensen en bedrijven geld betalen voor het achterhalen van persoonsgegevens. En zolang de maatschappij daar blind voor blijft zullen de uiteindelijke opdrachtgevers altijd vrijuit gaan.

De illegale handel in privé-gegevens wordt nu om raadselachtige redenen meestal genegeerd door de rechterlijke macht en de politiek. Het is de hoogste tijd de werkwijze van de informatiemakelaars te reconstrueren, om zo de opdrachtgevers van de informatiebranche – de advocatuur, de financiële wereld, media en overheden – ook ter verantwoording te roepen. Pas dan kan de maatschappelijke discussie over privacy uitgaan van de keiharde praktijk: dat het begrip al bijna niet meer bestaat.

De opdrachtgevers konden heel goed weten dat de gekochte informatie illegaal verkregen was, zegt Bob Hoogenboom, hoogleraar Fraudewetenschappen aan de Neyenrode Universiteit. ‘Die bedrijven hebben boter op hun hoofd’. ‘Enerzijds benadrukken ze het belang van eerlijk en transparant bestuur en zakelijk ethiek, anderzijds maken ze gebruik van dit soort schimmige methodes om aan informatie te komen.’
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.