Monthly Archives: januari 2013
Fujitsu blokkeert zakelijke apps zodra smartphone de werkvloer verlaat
Fujitsu werkt aan een HTML5-platform waarmee smartphones automatisch overschakelen van privé- naar zakelijke apps zodra het apparaat op de werkplek aankomt. Dit voorkomt dat gebruikers privé-apps op de werkvloer kunnen gebruiken en moet datalekken voorkomen.
Het bedrijf wil met het platform bedrijven de mogelijkheid geven het gebruik van privè-apparaten op de werkvloer, zonder dat dit risico’s met zich meebrengt. Zodra de smartphone de werkvloer aankomt schakelt de smartphone automatisch over op een set zakelijke apps. Apps die de gebruiker privè gebruikt worden geblokkeerd. Tegelijkertijd worden zakelijke apps geblokkeerd zodra de werkvloer wordt verlaten, waardoor gevoelige informatie de werkvloer niet verlaat.
Data versleutelen
Data uit zakelijke applicaties wordt versleuteld opgeslagen en kan hierdoor niet door andere apps worden gebruikt. Zakelijke gegevens zullen dus nooit in een privé-app op duiken. Ook voorkomt het platform dat tijdelijke bestanden of cookies worden opgeslagen, wat de veiligheid van data verder vergroot.
Webwereld meldt dat het Japanse bedrijf op een evenement in het Amerikaanse Sillicon Valley een prototype van het HTML5-platform heeft gedemonstreerd. Het prototype maakt gebruikt van een NFC-module op Android-smartphones om de werkvloer te herkennen. Apple’s iPhone is niet uitgerust met een NFC-chip. Het prototype maakt op iPhones daarom gebruikt van een gesimuleerd WiFi-signaal.
CPB: WhatsApp moet meer inzetten op veiligheid
De populaire chatapplicatie voor smartphones WhatsApp moet beter gaan letten op de veiligheid van gebruikers. Dit stellen het College Bescherming Persoonsgegevens (CPB) en de Canadese variant OPC na onderzoek. WhatsApp neemt met een update direct actie en verhelpt een aantal van de kritiekpunten.
De privacywaakhonden stellen dat een flink aantal persoonlijke gegevens via WhatsApp toegankelijk zijn, zonder dat gebruikers hier toestemming voor geven. Dit is in strijd met de privacywetgeving. WhatsApp stelt daarom nu een update beschikbaar waardoor berichten voortaan alleen versleuteld worden verzonden. Aanvallers kunnen hierdoor niet langer berichten onderscheppen en meelezen met berichten.
Nieuw wachtwoord
Daarnaast vraagt WhatsApp gebruiker een nieuw wachtwoord op te geven, wat de veiligheid van hun WhatsApp-account moet vergroten. Het Amerikaanse bedrijf pakt één punt van kritiek in de update niet aan. Het adresboek van gebruikers wordt niet extra beveiligd en blijft hierdoor inzichtelijk voor anderen.
Nederland vroeg Twitter in tweede helft van 2012 amper om persoongegevens
Nederland blijkt in de tweede helft van 2012 amper persoongegevens te hebben opgevraagd bij Twitter. Twitter maakt in een overzicht bekend dat vanuit Nederland hier minder dan tien verzoeken voor werden ingediend.
Het social media-platform geeft aan in 33 procent van de gevallen gehoor te hebben gegeven aan het verzoek van de Nederlandse overheid en persoongegevens te hebben onderhandeld. Dit is precies evenveel als in de eerste helft van 2012.
Andere landen
De Verenigde Staten is het land die de meeste verzoeken om persoongegevens indiende. Het land blijkt Twitter in de tweede helft van 2012 815 keer te hebben gevraagd gegevens te verstrekken. Twitter blijkt hier in 69 procent van de gevallen gehoor aan te hebben gegeven. Japan staat met 62 aanvragen op de derde plek. Opvallend genoeg blijkt Twitter slechts in 5 procent van de gevallen daadwerkelijke gegevens te hebben verstrekt.
WordPress verhelpt kwetsbaarheden in WordPress 3.5.1
De blogwebsite WordPress lanceert WordPress 3.5.1. De update pakt in totaal 37 verschillende bugs in het blogpakket aan, waaronder een aantal beveiligingsproblemen.
Het gaat onder andere om een server-side request forgery kwetsbaarheid en de mogelijkheid op afstanden poorten te scannen met behulp van pingbacks. De kwetsbaarheid biedt aanvallers de mogelijkheid zonder toestemming inzicht te krijgen in informatie over een WordsPress-website. Het beveiligingslek is aanwezig in alle eerdere WordPress-versies.
Cross-site scripting
Daarnaast pakt de update ook twee gevallen van cross-site scripting via WordPress Shortcodes (WordPress-specifieke code) en de inhoud van WordPress-berichten aan. Ook een cross-site scripting kwetsbaarheid in de externe library Plupload wordt in de update verholpen.
Een compleet overzicht van alle wijzigingen in WordPress 3.5.1 is beschikbaar op het blog van WordPress.
Netwerkapparatuur van Barracuda Network bevat backdoors
Netwerkapparatuur van Barracuda Networks blijkt backdoors te bevatten. Niet alleen het bedrijf kan via de achteringangen toegang krijgen tot de apparatuur, ook hackers kunnen de methode gebruiken. Barracuda stelt een patch beschikbaar, maar deze lost het probleem slechts deels op.
Het probleem is ontdekt door Stefan Viehböck van het Oostenrijkse SEC Consult. De onderzoeker ontdekte dat appliances kunnen worden bereikt via SSH door ‘product’ als gebruikersnaam te gebruiken. Het account vereist geen wachtwoord. Eenmaal in de appliance kan een aanvaller nieuwe gebruikers met beheerdersrechten toevoegen. Viehböck stelde Barracuda op de hoogte van het probleem.
Alle Barracuda-appliances zijn kwetsbaar
Barracuda erkent het probleem en stelt dat de kwetsbaarheid met uitzondering van de Barracuda Backup Server, Barracuda Firewall en Barracuda NG Firewall in al zijn appliances aanwezig is. Het bedrijf stelt de update Security Definitions 2.0.5 beschikbaar, maar deze lost het probleem slechts gedeeltelijk op. De fix beperkt de SSH-toegang tot maximaal twee accounts, waardoor aanvallers niet langer onbeperkt accounts met beheerdersrechten kunnen aanmaken.
SEC Consult zegt tegen Brian Krebs dat de patch echter nog steeds de mogelijkheid biedt zonder wachtwoord in te loggen op een beheerdersaccount. Ook beperkt de patch niet de range van IP-adressen waarmee op de netwerkapparatuur kan worden ingelogd. Het blijft hierdoor mogelijk een verbinding op te zetten met netwerkapparatuur die bij bedrijven draait.
Duizenden HP-printers zijn geïndexeerd door Google
Google blijkt duizenden printer die via het internet toegankelijk zijn te hebben geïndexeerd. De printers duiken hierdoor op in de zoekresultaten van Google. Beveiligingsexpert Adam Howard waarschuwt dat veel printers over bekende kwetsbaarheden beschikken.
Howard meldt dat printers van HP zichtbaar zijn via Google. De beveiligingsanalist ontdekte de printers door de zoekopdracht "inurl:hp/device/this.LCDispatcher" in de zoekmachine in te voeren. De zoekopdracht levert maar liefst 10.010.000 resultaten op, waarvan 86.000 HP-printers blijken te zijn.
De geïndexeerde printers zijn in de meeste gevallen niet beveiligd met een wachtwoord. De printers kunnen hierdoor via het internet worden benaderd. Howard waarschuwt dan ook dat dit de nodige beveiligingsrisico’s met zich meebrengt.
VS vervijfvoudigt omvang van cybercrime-eenheid
Het Amerikaanse ministerie van Defensie breidt zijn cybercrime-eenheid aanzienlijk uit. Het aantal medewerkers van de overheidsdienst wordt uitgebreid van 900 naar 4.900, wat een vervijfvoudiging is.
Anonieme bronnen melden aan de Washington Post dat de dienst zowel burgerpersoneel als militairen gaat aantrekken. De aanleiding voor het versterken van de cybercrime-eenheid is een reeks recente aanvallen vanuit het buitenland, waarbij verschillende gevoelige computernetwerken van de Verenigde Staten (VS) doelwit waren. Deze aanvallen vonden eind vorig jaar plaats.
Herstructurering
Naast de uitbreiding van het personeelsbestand wordt de overheidsdienst ook geherstructureerd. De cybercrime-eenheid wordt opgedeeld in drie onderdelen, waarvan één zich bezig gaat houden met de binnenlandse computerinfrastructuur van de VS.
Een andere afdeling is verantwoordelijk voor de beveiliging van de computersystemen van het ministerie van Defensie, terwijl de laatste afdeling de verantwoording draagt voor het ondersteunen van plannen voor cyberaanvallen.
Hackers versturen phishinglink via Twitter-account van energieleverancier
Een pijnlijke situatie voor de Schotse Scottish Power. Het Twitter-account van de energieleverancier is afgelopen vrijdag gehackt, waarna de hackers een link naar een phishingwebsite verstuurden naar alle volgers.
In totaal ontvangen 2.200 volgers van Scottish Power de tweet met de phishinglink. De link was verkort met behulp van de URL-verkorter Bit.ly. De website waar gebruikers naar toe worden gezonden vraagt hen in te loggen op hun Twitter-account. De inloggegevens van gebruikers die dit doen worden in gestolen.
Twitter op de hoogte gesteld
Het is niet duidelijk hoe de hackers toegang hebben weten te krijgen tot het Twitter-account van het bedrijf. Scottish Power laat in een reactie weten het wachtwoord van zijn Twitter-account te hebben gewijzigd en Twitter op de hoogte te hebben gesteld van de aanval.
Het is niet duidelijk van hoeveel gebruikers de hackers inloggegevens hebben weten te stelen. Scottish Power raadt alle gebruikers die op de URL hebben geklikt aan hun wachtwoord zo snel mogelijk te wijzigen.
Europees Parlement moet privacy van Europese burgers beter beschermen
Europa viert vandaag de jaarlijkse databeschermingsdag. Privacy International en het Nederlandse Bit of Freedom (BoF) pleiten vandaag daarom voor een betere bescherming van de privacy van Europese burgers. De organisaties stellen woedend te zijn over de wijze waarop op dit moment met persoonsgegevens van Europese burgers wordt omgesprongen.
De organisaties publiceren op brusselsdeclaration.net een verklaring waarin zij stellen dat het Europees Parlement onvoldoende doet om de privacy van Europese burgers te waarborgen. De organisaties wijzen onder andere op het bestaan van maar liefst 1.200 bedrijven die gespecialiseerd zijn in het handelen in persoonsgegevens zonder het medeweten of de toestemming van burgers.
Lobby-organisaties overstemmen burgers
Ook stellen Privacy International en BoF dat iedere keer dat iemand op het internet surft maar liefst 50 bedrijven iedere link waar zij op klikken registreren. Dit gebeurt doorgaans zonder toestemming van de gebruiker. De organisaties stellen dat lobby-organisaties op dit moment de zorgen van Europese burgers weten te overstemmen.
Privacy International en BoF roepen het Europees Parlement en de overheden van alle EU-lidstaten op de privacyregels strenger te maken en strikt te handhaven. De organisaties pleiten voor het verbieden van het verzamelen en doorverkopen van persoonsgegevens zonder toestemming. Het Centraal Bureau Persoonsgegevens moet volgens de privacywaakhonden de mogelijkheid krijgen strengere sancties op te leggen aan bedrijven die privacywetgeving overtreden. Burgers zelf zouden meer controle moeten krijgen over hun eigen data.
