Monthly Archives: augustus 2013
Kwetsbaarheid in API geeft hackers toegang tot elektrische auto's van Tesla
De Tesla Model S, een elektrische sportauto van het automerk Tesla, blijkt een beveiligingslek te bevatten. Dankzij een authentificatielek kunnen hackers bepaalde functie van de auto bedienen. Het lek is aanwezig in de REST API, die eigenaren van de Tesla Model S de mogelijkheid bieden verschillende onderdelen van de auto met hun smartphone of tablet aan te sturen.
Dankzij het gebruik van een kwetsbaar authentificatieprotocol hebben hackers toegang tot allerlei functies van de auto. Zo is het mogelijk de claxon te activeren, wijzigingen in de instellingen aan te brengen of de oplaadpoort te openen. Daarnaast kunnen aanvallers de status van de batterij opvragen, de klimaatcontrole en het zonnedak aansturen of zelfs de locatie van het voertuig achterhalen.
Eigen API van Tesla
Het probleem is ontdekt door onderzoeker George Reese. De onderzoeker schrijft in een blogpost dat de REST API die Tesla Model S-eigenaren de mogelijkheid biedt functies van hun auto vanaf hun smartphone of tablet te besturen erg kwetsbaar is. Reese stelt dat Tesla bij het ontwikkeling van de API alle normen die hiervoor gelden heeft genegeerd en een volledige eigen API heeft ontwikkeld. Hierbij is echter onvoldoende aandacht besteed aan beveiliging.
Eigenaren kunnen inloggen op de app voor Android of het iPhone-besturingssysteem iOS via de inlogcodes die zij hebben aangemaakt op www.teslamotors.com. Iedere Tesla-eigenaren heeft een dergelijk account, aangezien deze noodzakelijk is om de auto te kunnen samenstellen en bestellen. Gebruikers melden zich eenmalig aan met dit account, waarna de API een token aanmaakt die drie maanden geldig blijft. Pas zodra deze token is verlopen hoeven gebruikers hun inlogcodes opnieuw in te voeren.
Fouten in de beveiliging
Reese heeft echter ontdekt dat het niet mogelijk is te achterhalen welke applicaties over een actieve token beschikt. Wordt een app waar de gebruiker zijn token heeft achtergelaten daarnaast gehackt? Dan is het niet mogelijk de token in te trekken en blijft de app toegang behouden tot de auto. Hackers die toegang weten te krijgen tot een database met actieve tokens hebben dan ook langere tijd toegang tot een groot aantal auto's van het merk Tesla.
Nederlandse overheid vroeg Facebook 11 maal om informatie over gebruikers
De Nederlandse overheid vroeg Facebook in de eerste zes maanden van 2013 11 maal gegevens te verstrekken over gebruikers. Het sociale netwerk gaf in 36 procent van de gevallen gehoor aan de oproep. door informatie deels of in zijn geheel te verstrekken.
Dit blijkt uit een overzicht met overheidsverzoeken dat Facebook op zijn website heeft gepubliceerd. Met de 11 verzoeken heeft de Nederlandse overheid informatie opgevraagd over 15 verschillende Facebook-gebruikers. In 36 procent van de gevallen verstrekte Facebook de opgevraagd informatie deels of in zijn geheel.
26.000 verzoeken
In totaal is Facebook in de eerste helft van 2013 zo'n 26.000 keer gevraagd informatie over te dragen aan overheden. Deze informatie heeft betrekking op ongeveer 38.000 verschillende gebruikers. De Verenigde Staten is wat betreft het aantal ingediende verzoeken de absolute koploper. De Amerikaanse overheid vroeg in de eerste helft van 2013 11.000 tot 12.000 maal informatie op bij Facebook. Deze informatie heeft betrekking op 20.000 tot 21.000 verschillende Facebook-accounts.
India staat op de tweede plaats van 3.245 ingediende verzoeken over 4.144 verschillende Facebook-gebruikers. Het Verenigde Koninkrijk diende 1.975 verzoeken in over 2.337 gebruikers. De volledige lijst is te vinden op de website van Facebook.
Nederlandse overheid vroeg Facebook 11 maal om informatie over gebruikers
De Nederlandse overheid vroeg Facebook in de eerste zes maanden van 2013 11 maal gegevens te verstrekken over gebruikers. Het sociale netwerk gaf in 36 procent van de gevallen gehoor aan de oproep. door informatie deels of in zijn geheel te verstrekken.
Dit blijkt uit een overzicht met overheidsverzoeken dat Facebook op zijn website heeft gepubliceerd. Met de 11 verzoeken heeft de Nederlandse overheid informatie opgevraagd over 15 verschillende Facebook-gebruikers. In 36 procent van de gevallen verstrekte Facebook de opgevraagd informatie deels of in zijn geheel.
26.000 verzoeken
In totaal is Facebook in de eerste helft van 2013 zo'n 26.000 keer gevraagd informatie over te dragen aan overheden. Deze informatie heeft betrekking op ongeveer 38.000 verschillende gebruikers. De Verenigde Staten is wat betreft het aantal ingediende verzoeken de absolute koploper. De Amerikaanse overheid vroeg in de eerste helft van 2013 11.000 tot 12.000 maal informatie op bij Facebook. Deze informatie heeft betrekking op 20.000 tot 21.000 verschillende Facebook-accounts.
India staat op de tweede plaats van 3.245 ingediende verzoeken over 4.144 verschillende Facebook-gebruikers. Het Verenigde Koninkrijk diende 1.975 verzoeken in over 2.337 gebruikers. De volledige lijst is te vinden op de website van Facebook.
BSI Group herziet ISO/IEC 27001 voor informatiebeveiliging
BSI Group kondigt de herziening van de norm voor informatiebeveiliging, ISO/IEC 27001. In 2005 is de norm voor het laatst gepubliceerd. Sindsdien zijn er veel ontwikkelingen geweest in de digitale wereld en neemt het belang van informatie en de beveiliging ervan sterk toe. Dit is dan ook de reden dat de BSI Group de norm herziet en eind dit jaar ISO/IEC 27001:2013 publiceert.
Het belang voor bedrijven om informatiebeveiliging procesmatig in te richten groeit volgens BSI Group met de dag. Het ISO/IEC 27001 certificaat is een norm voor het beheren en beveiligen van waardevolle bedrijfsgegevens. De belangrijkste wijzigingen ten opzichte van de oude norm hebben betrekking op het voorkomen van schade aan en verlies van data en integriteit.
Outsourcen
Ook legt de norm meer nadruk op het outsourcen van IT activiteiten aan derden. Een goed voorbeeld van hoe outsourcing mis kan gaan is de DigiNotar-affaire. Met het toenemende aantal meldingen van hackers en digitale (bedrijfs)spionage, zijn deze onderwerpen actueler dan ooit.
BSI Group organiseert op 26 september een congres over de herziening van de ISO/IEC 27001-norm. Het bedrijf geeft tijdens het Congres Informatiebeveiliging op 26 september een overzicht van de belangrijkste wijzigingen. Daarnaast vertellen onder andere Deloitte, EPZ Borssele en Fox-IT over ethisch hacken, cybercrime en het doen van risicoanalyses. Bezoekers kunnen deelnemen aan een rondetafeldiscussie en een demo door ethische hackers bijwonen.
BSI Group herziet ISO/IEC 27001 voor informatiebeveiliging
BSI Group kondigt de herziening van de norm voor informatiebeveiliging, ISO/IEC 27001. In 2005 is de norm voor het laatst gepubliceerd. Sindsdien zijn er veel ontwikkelingen geweest in de digitale wereld en neemt het belang van informatie en de beveiliging ervan sterk toe. Dit is dan ook de reden dat de BSI Group de norm herziet en eind dit jaar ISO/IEC 27001:2013 publiceert.
Het belang voor bedrijven om informatiebeveiliging procesmatig in te richten groeit volgens BSI Group met de dag. Het ISO/IEC 27001 certificaat is een norm voor het beheren en beveiligen van waardevolle bedrijfsgegevens. De belangrijkste wijzigingen ten opzichte van de oude norm hebben betrekking op het voorkomen van schade aan en verlies van data en integriteit.
Outsourcen
Ook legt de norm meer nadruk op het outsourcen van IT activiteiten aan derden. Een goed voorbeeld van hoe outsourcing mis kan gaan is de DigiNotar-affaire. Met het toenemende aantal meldingen van hackers en digitale (bedrijfs)spionage, zijn deze onderwerpen actueler dan ooit.
BSI Group organiseert op 26 september een congres over de herziening van de ISO/IEC 27001-norm. Het bedrijf geeft tijdens het Congres Informatiebeveiliging op 26 september een overzicht van de belangrijkste wijzigingen. Daarnaast vertellen onder andere Deloitte, EPZ Borssele en Fox-IT over ethisch hacken, cybercrime en het doen van risicoanalyses. Bezoekers kunnen deelnemen aan een rondetafeldiscussie en een demo door ethische hackers bijwonen.
'Gejailbreakte iPhones en iPads kwetsbaar voor spyware'
iPad- en iPhone-gebruikers die hun apparaat hebben gejailbreakt denken vaak veiliger te zijn voor malware dan zij in werkelijkheid zijn. Vooral als een aanvaller fysiek toegang heeft tot het apparaten kan allerlei spyware op de apparaten worden geïnstalleerd.
De populairste iOS-spyware volgens Dr.Web
Het Russische anti-virusbedrijf Dr. Web waarschuwt dat aanvallers weinig tijd nodig hebben om spyware op een iPhone of iPad te installeren. Een aanvaller die een gejailbreakte iPhone of iPad korte tijd in handen krijgt kan deze van spyware voorzien. De spyware kan worden geïnstalleerd via de appwinkel Cydia, die standaard wordt geïnstalleerd zodra het apparaat wordt gejailbreakt.
Informatie verzamelen
De spyware draait onzichtbaar op de achtergrond, waardoor gebruikers niet in de gaten hebben dat zij geïnfecteerd zijn met de malware. De malware verzamelt vervolgens stiekem allerlei informatie en stuurt deze door naar de aanvaller. Het kan hierbij gaan om onder andere sms-berichten, foto's, adressenboeken en e-mailberichten. Ook is het mogelijk de microfoon van het apparaat via de malware in te schakelen, waardoor het mogelijk is de gebruiker af te luisteren.
Dr. Web waarschuwt dat professionele hackers manieren kunnen verzinnen om een iPhone of iPad in handen te krijgen. Het bedrijf adviseert gebruikers dan ook hun apparaat nooit lang in openbare plekken te laten liggen. Een aanvaller heeft immers maar weinig tijd nodig het apparaat te infecteren.
'Gejailbreakte iPhones en iPads kwetsbaar voor spyware'
iPad- en iPhone-gebruikers die hun apparaat hebben gejailbreakt denken vaak veiliger te zijn voor malware dan zij in werkelijkheid zijn. Vooral als een aanvaller fysiek toegang heeft tot het apparaten kan allerlei spyware op de apparaten worden geïnstalleerd.
De populairste iOS-spyware volgens Dr.Web
Het Russische anti-virusbedrijf Dr. Web waarschuwt dat aanvallers weinig tijd nodig hebben om spyware op een iPhone of iPad te installeren. Een aanvaller die een gejailbreakte iPhone of iPad korte tijd in handen krijgt kan deze van spyware voorzien. De spyware kan worden geïnstalleerd via de appwinkel Cydia, die standaard wordt geïnstalleerd zodra het apparaat wordt gejailbreakt.
Informatie verzamelen
De spyware draait onzichtbaar op de achtergrond, waardoor gebruikers niet in de gaten hebben dat zij geïnfecteerd zijn met de malware. De malware verzamelt vervolgens stiekem allerlei informatie en stuurt deze door naar de aanvaller. Het kan hierbij gaan om onder andere sms-berichten, foto's, adressenboeken en e-mailberichten. Ook is het mogelijk de microfoon van het apparaat via de malware in te schakelen, waardoor het mogelijk is de gebruiker af te luisteren.
Dr. Web waarschuwt dat professionele hackers manieren kunnen verzinnen om een iPhone of iPad in handen te krijgen. Het bedrijf adviseert gebruikers dan ook hun apparaat nooit lang in openbare plekken te laten liggen. Een aanvaller heeft immers maar weinig tijd nodig het apparaat te infecteren.
ZyLAB introduceert het Privacy Protection Program
ZyLAB lanceert het Privacy Protection Program, een programma voor privacy- en databescherming in Big Data collecties. Organisaties krijgen met het programma technologie in handen om assessments uit te voeren die de kwaliteit van de bescherming van privacy en persoonsgegevens meten.
Bedrijven kunnen met het Privacy Protection Program de persoonsgegevens van hun medewerkers en klanten beter beschermen. Het programma bestaat uit data-analyse en –verwerkingstechnologie, in combinatie met ‘best-practice’ methoden om de lexicale-, syntactische en semantische-patronen van persoonsgegevens te herkennen, ongeacht de vorm, locatie of taal.
Het Privacy Protection Program bevat daarnaast een uitgebreide database met op ‘best practices’ gebaseerde woorden, patronen, begrippen en regels om potentiële beveiligingsproblemen op te sporen. Deze database moeten organisaties zelf installeren.
ZyLAB introduceert het Privacy Protection Program
ZyLAB lanceert het Privacy Protection Program, een programma voor privacy- en databescherming in Big Data collecties. Organisaties krijgen met het programma technologie in handen om assessments uit te voeren die de kwaliteit van de bescherming van privacy en persoonsgegevens meten.
Bedrijven kunnen met het Privacy Protection Program de persoonsgegevens van hun medewerkers en klanten beter beschermen. Het programma bestaat uit data-analyse en –verwerkingstechnologie, in combinatie met ‘best-practice’ methoden om de lexicale-, syntactische en semantische-patronen van persoonsgegevens te herkennen, ongeacht de vorm, locatie of taal.
Het Privacy Protection Program bevat daarnaast een uitgebreide database met op ‘best practices’ gebaseerde woorden, patronen, begrippen en regels om potentiële beveiligingsproblemen op te sporen. Deze database moeten organisaties zelf installeren.
EVault introduceert nieuwe back-up appliances
EVault, onderdeel van Seagate, introduceert een nieuw portfolio van EVault-back-up appliances. EVault breidt zijn enterprise-grade appliances uit om tegemoet te komen aan de back-up- en recovery-behoeften van bedrijven.
Het bedrijf lanceert vier nieuwe appliances die schaalbare, betaalbare en failproof cloud-connected back-up en recovery bieden. Het gaat om de Plug-n-Protect (PnP)3800, PnP2400, PnP100t en Express Recovery Appliance (ERA)50t. Deze nieuwe PnP appliances worden geleverd met EVault-replicatiesoftware, die data kopieert via een veilige en voor bandbreedte geoptimaliseerde verbinding.
PnP3800 voor grote bedrijven
De PnP3800 is geschikt voor de behoeften aan grotere datacapaciteit van grote bedrijven. De appliance kan tot 38 TB aan data in een enkele (3U-)machine opslaan en bevat ook een onbeperkt aantal agents en applicatieplug-ins. Voor het mkb introduceert het bedrijf de PnP2400 met 24 TB aan opslagcapaciteit. De bijgeleverde licenties voor onbeperkte agents en applicatieplug-ins vereenvoudigen het proces van het inzetten van nieuwe servers.
De ERA50t en de PnP100t zijn ontworpen voor kleine organisaties en zijn de meest betaalbare van de nieuwe appliances. Beide modellen hebben dezelfde kenmerken als de grotere ERA- en PnP-appliances, zoals multiplatform agentprotectie, enkelvoudige restores, datacompressie en beveiliging. De ERA50t heeft 500 GB en de PnP100t heeft 1 TB aan opslagcapaciteit.
Prijzen
De prijzen van de appliances beginnen bij 1.600 euro en ze zijn verkrijgbaar in Noord-Amerika en in de EMEA-regio.
