Monthly Archives: mei 2013

Ernstige kwetsbaarheid in Apache HTTP server is gedicht

Apache Foundation maakt bekend in versie 2.2.25 een ernstig beveiligingslek in de Apache HTTP server te hebben gedicht. De kwetsbaarheid maakt het voor aanvallers mogelijk op afstand de controle over een machines over te nemen.
Apache Foundation
Secunia meldt dat de kwetsbaarheid is ontstaan door een fout in een feature van Apache. Zodra bepaalde input naar het logbestand wordt geschreven gaat de HTTP server hier niet goed mee om. Door een speciaal ontworpen HTTP-verzoek naar de server te versturen kunnen cybercriminelen misbruik maken van het lek. De kwetsbaarheid heeft de naam 'CVE-2013-1862' gekregen.
Het beveiligingslek is gerapporteerd in versie 2.2.24 van de Apache HTTP server. Secunia waarschuwt dat ook andere versies kwetsbaar kunnen zijn. Het lek is in versie 2.2.25 gedicht.

Ernstige kwetsbaarheid in Apache HTTP server is gedicht

Apache Foundation maakt bekend in versie 2.2.25 een ernstig beveiligingslek in de Apache HTTP server te hebben gedicht. De kwetsbaarheid maakt het voor aanvallers mogelijk op afstand de controle over een machines over te nemen.
Apache Foundation
Secunia meldt dat de kwetsbaarheid is ontstaan door een fout in een feature van Apache. Zodra bepaalde input naar het logbestand wordt geschreven gaat de HTTP server hier niet goed mee om. Door een speciaal ontworpen HTTP-verzoek naar de server te versturen kunnen cybercriminelen misbruik maken van het lek. De kwetsbaarheid heeft de naam 'CVE-2013-1862' gekregen.
Het beveiligingslek is gerapporteerd in versie 2.2.24 van de Apache HTTP server. Secunia waarschuwt dat ook andere versies kwetsbaar kunnen zijn. Het lek is in versie 2.2.25 gedicht.

Evernote verbetert beveiliging met drie nieuwe maatregelen

Evernote introduceert drie nieuwe beveiligingsmaatregelen om de populaire notitiedienst beter te beveiligen. Het gaat om een twee-staps-authentificatie, een toegangsgeschiedenis en geautoriseerde apps.
Evernote
De notitiedienst vraagt gebruikers voortaan een telefoonnummer te koppelen aan hun account. Naar dit nummer wordt een unieke code toegezonden waarmee gebruikers zichzelf kunnen identificeren bij Evernote. De twee-staps-authentificatie is optioneel en in eerste instantie alleen beschikbaar voor Evernote Premium- en Evernote Business-gebruikers.
Toegangsgeschiedenis
Daarnaast introduceert Evernote een toegangsgeschiedenis. Hiermee kunnen gebruikers terug zien wanneer en vanaf welk IP-adres is ingelogd op het account. Ook maakt Evernote een schatting van de stad en het land waar vanuit is ingelogd. De toegangsgeschiedenis is per direct beschikbaar voor alle gebruikers van Evernote.
Evernote stelt het daarnaast verplicht apps en diensten die toegang hebben tot je Evernote-account te autoriseren. Gebruikers geven hiermee individuele apps expliciet toestemming om toegang te krijgen tot hun bij Evernote opgeslagen gegevens. Deze maatregel wordt direct ingevoerd voor alle gebruikers van de notitiedienst.

Evernote verbetert beveiliging met drie nieuwe maatregelen

Evernote introduceert drie nieuwe beveiligingsmaatregelen om de populaire notitiedienst beter te beveiligen. Het gaat om een twee-staps-authentificatie, een toegangsgeschiedenis en geautoriseerde apps.
Evernote
De notitiedienst vraagt gebruikers voortaan een telefoonnummer te koppelen aan hun account. Naar dit nummer wordt een unieke code toegezonden waarmee gebruikers zichzelf kunnen identificeren bij Evernote. De twee-staps-authentificatie is optioneel en in eerste instantie alleen beschikbaar voor Evernote Premium- en Evernote Business-gebruikers.
Toegangsgeschiedenis
Daarnaast introduceert Evernote een toegangsgeschiedenis. Hiermee kunnen gebruikers terug zien wanneer en vanaf welk IP-adres is ingelogd op het account. Ook maakt Evernote een schatting van de stad en het land waar vanuit is ingelogd. De toegangsgeschiedenis is per direct beschikbaar voor alle gebruikers van Evernote.
Evernote stelt het daarnaast verplicht apps en diensten die toegang hebben tot je Evernote-account te autoriseren. Gebruikers geven hiermee individuele apps expliciet toestemming om toegang te krijgen tot hun bij Evernote opgeslagen gegevens. Deze maatregel wordt direct ingevoerd voor alle gebruikers van de notitiedienst.

EFF tekent formeel bezwaar aan tegen integratie van DRM in HTML5

EFF, een organisatie die op komt voor digitale rechten, tekent formeel bezwaar aan tegen de implementatie van de kopieerbeveiliging Digital Rights Management (DRM) in HTML5. Het is de eerste daad van EFF als volwaardig lid van de standaardenorganisatie W3C.
EFF
Het implementeren van DRM in de toekomstige webstandaard HTML5 is op dit moment onderwerp van discussie. Allerlei partijen hebben zich in de discussie gemengd en verenigd in de HTML5-werkgroep van de W3C. Zo zijn zowel Google als Microsoft voorstander van de integratie van DRM in HTML5, terwijl de Free Software Foundation en HTML5-ontwerper Ian Hickson juist een tegenstander is. Ook EFF maakt zijn standpunt nu dus duidelijk door officieel bezwaar aan te tekenen tegen de plannen.
Machtsmisbruik
EFF stelt dat het implementeren van DRM in HTML5 de weg vrij maakt voor machtsmisbruik van contentproviders. De organisatie stelt dat het huidige voorstel een serieuze bedreiging is voor innovatie op het web. Daarnaast waarschuwt EFF dat de plannen het mogelijk maakt content te blokkeren voor mensen in de hele wereld.
Danny O'Brian, bestuurder van EFF, stelt dat Hollywood bang is voor technologische innovatie. Met de DRM-integratie wil Hollywood volgens EFF dan ook innovatie tegen gaan. EFF waarschuwt echter dat de stap een ernstige belemmering kan vormen voor interoperabiliteit en vrije toegang tot content.

Chinese hackers bemachtigen ontwerpen van JSF en Patriot-raketten

Chinese Hackers zijn erin geslaagd geheimen ontwerpen van Amerikaans legermateriaal te bemachtigen. Het gaat hierbij onder andere om de F35 Joint Strike Fighter (JSF), maar ook om het ontwerp van Patriot-raketten.
Chinese hackers bemachtigen ontwerpen van JSF en Patriot-raketten
Dit blijkt uit een rapport van een wetenschappelijke adviesraad dat in handen is van The Washington Times. Allerlei ontwerpen zijn in handen gekomen van de Chinese hackers. Naast de F35 JSF en Patriot-raketten zijn ook de ontwerpen van andere straaljagers en helikopters gestolen.
Voordeel voor China
De adviesraad doet geen uitspraken over de betrokkenheid van de Chinese overheid bij de hack. Deze kan echter wel forse profiteren van de cyberdiefstal. Door de gestolen ontwerpen nauwkeurig te bestuderen kan het land miljarden dollars aan onderzoek besparen en het niveau van zijn wagentuig dichter naar die van de VS brengen.
De hack is omgeven door onduidelijk. Zo is niet precies duidelijk wie de hack heeft uitgevoerd, maar is het ook onduidelijk op welke computersystemen precies is ingebroken. Ook de datum en het tijdstip waarop de cyberaanval plaatsvond zijn tot nu toe onbekend.

Chinese hackers bemachtigen ontwerpen van JSF en Patriot-raketten

Chinese Hackers zijn erin geslaagd geheimen ontwerpen van Amerikaans legermateriaal te bemachtigen. Het gaat hierbij onder andere om de F35 Joint Strike Fighter (JSF), maar ook om het ontwerp van Patriot-raketten.
Chinese hackers bemachtigen ontwerpen van JSF en Patriot-raketten
Dit blijkt uit een rapport van een wetenschappelijke adviesraad dat in handen is van The Washington Times. Allerlei ontwerpen zijn in handen gekomen van de Chinese hackers. Naast de F35 JSF en Patriot-raketten zijn ook de ontwerpen van andere straaljagers en helikopters gestolen.
Voordeel voor China
De adviesraad doet geen uitspraken over de betrokkenheid van de Chinese overheid bij de hack. Deze kan echter wel forse profiteren van de cyberdiefstal. Door de gestolen ontwerpen nauwkeurig te bestuderen kan het land miljarden dollars aan onderzoek besparen en het niveau van zijn wagentuig dichter naar die van de VS brengen.
De hack is omgeven door onduidelijk. Zo is niet precies duidelijk wie de hack heeft uitgevoerd, maar is het ook onduidelijk op welke computersystemen precies is ingebroken. Ook de datum en het tijdstip waarop de cyberaanval plaatsvond zijn tot nu toe onbekend.

Google gaat zero-day-kwetsbaarheden sneller openbaar maken

Google gaat fabrikanten van software minder tijd geven kwetsbaarheden te verhelpen. Google gaf softwarefabrikanten voorheen 60 dagen de tijd een zero-day-kwetsbaarheid te verhelpen, voordat het bedrijf de informatie openbaar zou maken. Deze periode wordt ingekort tot slechts 7 dagen.
Google
Het bedrijf ontdekt regelmatig zero-day-kwetsbaarheden in software. Google communiceert deze lekken naar de leverancier van de software, zodat zij het gat kunnen dichten. Hier krijgen de softwareleveranciers dus voortaan nog 7 dagen de tijd voor in plaats van de 60 die zij eerder van Google kregen. De informatie over het lek wordt na 7 dagen door Google openbaar gesteld.
Het gaat overigens alleen om onbekende kwetsbaarheden die actief worden misbruikt door cybercriminelen om machines aan te vallen. Google stelt zich bewust te zijn dat niet iedere softwareleverancier in staat zal zijn binnen 7 dagen een aangetroffen lek te dichten. Het bedrijf is echter van mening dat de periode lang genoeg is om maatregelen te nemen waardoor het lek niet meer misbruikt kan worden. Denk hierbij aan het verspreiden van een waarschuwing, offline halen van een website of uitschakelen van een dienst.

Google gaat zero-day-kwetsbaarheden sneller openbaar maken

Google gaat fabrikanten van software minder tijd geven kwetsbaarheden te verhelpen. Google gaf softwarefabrikanten voorheen 60 dagen de tijd een zero-day-kwetsbaarheid te verhelpen, voordat het bedrijf de informatie openbaar zou maken. Deze periode wordt ingekort tot slechts 7 dagen.
Google
Het bedrijf ontdekt regelmatig zero-day-kwetsbaarheden in software. Google communiceert deze lekken naar de leverancier van de software, zodat zij het gat kunnen dichten. Hier krijgen de softwareleveranciers dus voortaan nog 7 dagen de tijd voor in plaats van de 60 die zij eerder van Google kregen. De informatie over het lek wordt na 7 dagen door Google openbaar gesteld.
Het gaat overigens alleen om onbekende kwetsbaarheden die actief worden misbruikt door cybercriminelen om machines aan te vallen. Google stelt zich bewust te zijn dat niet iedere softwareleverancier in staat zal zijn binnen 7 dagen een aangetroffen lek te dichten. Het bedrijf is echter van mening dat de periode lang genoeg is om maatregelen te nemen waardoor het lek niet meer misbruikt kan worden. Denk hierbij aan het verspreiden van een waarschuwing, offline halen van een website of uitschakelen van een dienst.

PvdA: 'Geef consumenten standaard geld terug na fraude met online bankieren'

Consumenten moeten standaard hun geld terugkrijgen na fraude met internetbankieren, ook als zij zelf nauwelijks of geen maatregelen hebben genomen om zichzelf tegen dergelijke fraude te beveiligen. 'Nu krijgen slachtoffers van cybercrime alleen geld terug uit coulance. Banken bepalen van geval tot geval of ze geld teruggeven. De regels zijn niet duidelijk en dat moet afgelopen zijn.' Dit stelt PvdA-Kamerlid Nijboer in het AD.
PvdA: 'Geef consumenten standaard geld terug na fraude met online bankieren'
Wie slachtoffer wordt van fraude met internetbankieren is op dit moment afhankelijk van de coulance van banken, die in veel gevallen de consument schadeloos stellen. Banken stellen de laatste tijd echter steeds strengere eisen aan de maatregelen die consumenten nemen om cyberfraude te voorkomen. Zo willen sommige banken inmiddels geen schadevergoeding betalen als zij geen bescherming hebben tegen malware en virussen.
De PvdA is het niet eens met deze werkwijze en stelt dat banken te hoge eisen stellen aan de wijze waarop consumenten zichzelf beveiligen. Nijboer pleit dat consumenten altijd hun geld terug zouden krijgen op het moment dat zij slachtoffer zijn geworden van fraude met internetbankieren, ook als zij geen enkele vorm van beveiliging tegen malware en virussen hebben geïnstalleerd.