32 miljoen Facebook en MySpace wachtwoorden gestolen

Aanvallers zijn erin geslaagd om via SQL-injectie de wachtwoorden van 32,6 miljoen Facebook en MySpace gebruikers te bemachtigen. De kwetsbaarheid trof alleen gebruikers van de sociale netwerksites die ook widgets van RockYou gebruikten. Niet alleen was de website van RockYou lek, voorheen bekend als RockMySpace, maar waren de wachtwoorden als platte tekst opgeslagen. Uit voorzorg wordt gebruikers geadviseerd om het wachtwoord van MySpace en Facebook, alsmede hun e-mail en andere online diensten te wijzigen. RockYou bewaarde in de database namelijk ook de inloggegevens van andere partnersites. De website zou tevens het gebruik van korte wachtwoorden van 5 tot maximaal 15 karakters hebben toegestaan, wat de beveiliging ook niet ten goede komt, maar in het geval van het opslaan als platte tekst niet veel uitmaakt.

Talloze mensen gebruiken nog altijd dezelfde inloggegevens voor verschillende accounts, waarschuwt Imperva dat het lek bekend maakte. De aanval zou al veel eerder hebben plaatsgevonden. RockYou zegt zelf dat het op 4 december werd ingelicht dat de database was gestolen. Daarop werd de site uit de lucht gehaald en het SQL-injectie lek verholpen, maar de gegevens kon het niet meer redden.

Shitty shite
Na de blogposting van Imperva plaatste de vermoedelijke aanvaller een bericht online, met gegevens die tijdens de aanval zijn buitgemaakt. “Ik heb elk account van deze shitty site gedownload. Je was te langzaam, maar wat kan ik van je verwachten. Lieg niet tegen je klanten, of ik zal alles publiceren.” Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

RockYou heeft inmiddels een verklaring online gezet en zal alle gebruikers via e-mail waarschuwen. “Zoals je weet neemt RockYou de privacy van onze gebruikers zeer serieus. We doen veel moeite om de gegevens van onze gebruikers tegen datalekken en aanvallen te beschermen.” Opmerkelijk genoeg nam RockYou wel tien dagen de tijd om gebruikers te waarschuwen.

Bron: http://www.security.nl

Dertig plussers maken werkvloer onveilig

Voor de eerste keer in de geschiedenis van veel landen werken vier verschillende generaties op de werkvloer en dat kan gevolgen voor de beveiliging van bedrijfsgegevens hebben. Niet alleen beginnen we tegenwoordig eerder met werken, we blijven ook langer doorgaan. De generaties kijken echter elk verschillend tegen beveiliging aan, aldus Ray Staton, hoofd Business Continuity van British Telecom (BT). Gingen jongere en oudere werknemers in het verleden nog anders met directie en elkaar om, vandaag de dag worden de regels continu veranderd en zijn die niet meer zo duidelijk gedefinieerd. Ook hebben verschillende leeftijdsgroepen verschillen voorkeuren voor bepaalde technieken en technologieën, die elk weer hun eigen uitdagingen met zich meenemen.

In tegenstelling tot wat veel mensen denken zijn het niet alleen de werknemers van generatie Y die een “gevaar” op de werkvloer vormen. Net zoveel mensen van generatie X nemen hun MP3-speler mee en downloaden allerlei spullen als ze dat kunnen. Voor de jonge generatie is het delen, verspreiden en achterlaten van data onderdeel van hun leven, merkt Stanton op. Dit gedrag is onder andere te zien op sociale netwerksites, zoals Hyves, Facebook en MySpace. “Ze geven niet om hun eigen informatie.”

Als je de oudere generatie neemt, dan geven die meer om hun persoonlijke gegevens “Dat betekent ook dat ze meer om de bedrijfsgegevens geven.” Toch betekent dit niet dat de jongere generatie niets om de informatie van de zaak geeft. “Ze begrijpen de noodzaak voor regels en beveiliging.” Deze groep zal bestaande regels eerder uitdagen en er vragen bij stellen. De vier generaties zijn als volgt te omschrijven: Veteranen (1922 – 1945), Baby Boomers (1946 – 1964), Generatie X (1965 – 1980) en Generatie Y (1981 – 2000).

iPod
Dit heeft gevolgen voor de manier waarop bedrijven deze groep onderwijzen en trainen en aanspreken op gedrag. “Het gaat erom dat je ze laat zien dat je bedrijfsgegevens niet op dezelfde manier als persoonlijke informatie behandelt.” Vaak zijn werknemers zich niet bewust van de risico’s als ze bedrijfsgegevens op een blog plaatsen. “Het is niet zo dat het ze niet kan schelen, maar ze begrijpen de geassocieerde risico’s gewoon niet.” De jonge generatie beschouwt technologie als vervangbaar gebruiksvoorwerp. Het kan dan gaan om apparaten of applicaties waar ze zich massaal op storten om vervolgens verder te gaan. Na deze eerste fase zijn het de oudere generaties die zich de applicaties en apparaten eigen maken en hier langer mee werken.

Het percentage gebruikers onder de oudere generaties is vaak veel groter dan bij de jonge generatie, die al weer met iets nieuws bezig zijn. “Generatie Y dwingt bedrijven om bijvoorbeeld iPods of downloaden toe te staan.” Deze groep introduceert nieuwe technologieën en diensten binnen bedrijven, die hier vaak huiverig tegenover staan en zeggen dat er geen ruimte voor is. Uiteindelijk wordt het toegestaan, maar zijn het generatie X en ouder die vaak in de “heavy users” veranderen. De jongeren zetten de deur open, zodat de ouderen er gebruik van kunnen maken. Stanton noemt het ironisch dat jongeren altijd als het gevaar van de werkvloer worden beschouwd, terwijl het de ouderen zijn die het vaakst aan de technologie verknocht zijn. Het gebruik door de oudere generaties vormt dan ook een groter risico.

Worsteling
Bedrijven worstelen met het integreren van nieuwe technieken en technologieën en zijn hier ook bang voor, met name omdat het de jongere generatie is die het aanduwt. Zodra de technologie wordt geaccepteerd, moet het ook beheerd worden. Om de dreiging op te pakken moeten bedrijven over een helder securitybeleid beschikken. “Het maakt niet uit dat het eng is, het is een applicatie. Gebruik je normale controles ervoor.” Stanton merkt op dat teveel bedrijven stil blijven staan bij het idee dat het om een enge applicatie gaat, terwijl het in werkelijkheid alleen een programma of service is die beveiligd moet worden.

De tweede uitdaging is het bewustzijn van het personeel en daar zijn grote verschillen zichtbaar in de manier waarop de vier generaties te bereiken zijn. Denk aan ethiek, gebruik, gedrag en de manieren waarop geleerd wordt. Als je aan de oudere generatie iets oplegt zullen ze dat sneller accepteren. Generatie X zal nieuw beleid uitdagen, maar zolang ze ermee kunnen werken, accepteren ze het, terwijl Generatie Y onverschillig is en op dezelfde manier doorgaat.

Trainingen moeten zich daarom op elk van de vier generaties richten. Als de boodschap op één manier wordt aangeleverd, zal die uiteindelijk niet bij iedereen aankomen. “En daar gaan de meeste bedrijven de mist in.” De meeste organisaties organiseren voor iedereen één awareness training, als ze die al geven. “Het gaat erom dat je geen nieuwe risico’s voor je onderneming introduceert, dat je een omgeving creëert die nog steeds innovatief voor het talent en de jongere generatie is.” Volgens Stanton doen bedrijven dat niet door het verbieden van technologieën. Uiteindelijk zijn het deze tools die vaak het bedrijf helpen om zich te innoveren. Het grootste probleem is dan ook niet beveiliging, maar het personeel en hun gedrag, zegt Stanton.

Boodschap
Kleine bedrijven met meerdere generaties personeel, maar die voor één security training geld hebben, hoeven niet bang te zijn dat de boodschap niet overkomt, zolang ieders behoefte in die ene sessie aan bod komt, gaat Stanton verder. De boodschap moet op verschillende manieren “verkocht” worden. Zo is de oudere generatie graag op papieren informatie gesteld. “Ze hebben graag iets in hun handen”. De jongere generatie daarentegen kijkt liever naar een scherm met flitsende “graphics”. Tijdens een sessie zou men dus de ouderen een handout kunnen geven, terwijl dezelfde informatie ook op het scherm te vinden is.

Stanton merkt op dat kleine bedrijven, waar vaak geen “dedicated” security professional rondloopt, er meer baat bij hebben om die persoon die voor de beveiliging verantwoordelijk is, een training te geven. De oplossing is in ieder geval niet meer technologie aanschaffen. “Mensen verwerken technologie. Onderwijs mensen, werk met ze en leer ze de technologie te begrijpen.” Bedrijven moeten naar hun eigen omvang en complexiteit kijken om te bepalen wat nodig is en wat niet. “Wat is het nut van een proces van 50 pagina’s als het bedrijf 30 werknemers heeft.”

Campagnes
De aanpak geldt niet alleen bedrijven, maar ook voor overheden en instanties die veilig internetgebruik bij eindgebruikers willen bevorderen. Veel campagnes zijn volgens Stanton te breed en missen daardoor alle doelgroepen. In Groot-Brittannië gebruikt de overheid tegenwoordig op maat gemaakte campagnes die zich op een bepaalde leeftijd richten. Dat betekent wel dat er moeite gedaan moet worden, maar dat betaalt zich uiteindelijk uit in een betere persoonlijke beveiliging en privacy en het beter begrijpen van de gevolgen als men “online leeft”.

Met name generatie Y, die met het internet is opgegroeid, gaat anders met autoriteit om. Ook is deze groep meer gericht op wat er voor hen in zit. “Om de boodschap over te brengen moet je het relevant maken.” Stanton geeft als voorbeeld zijn dochter op de lagere school, die aan de lerares vraagt of er wel een firewall of virusscanner is gesteld. “Ze weet niet precies wat het is, maar weet dat het de slechte dingen buiten houdt.” Omdat de jonge generatie graag nieuwe dingen wil krijgt dat de aandacht, maar uiteindelijk ligt het probleem vanwege het overmatige gebruik en de manier waarop dit gebeurt, bij de dertig plussers.

Bron: http://www.security.nl

Ook toekomstige pinpas onveilig

De nieuwe pinpas met EMV-chip, bedoeld om skimmen tegen te gaan, is onveilig en te kraken, zo laten onderzoekers vanavond in het VPRO televisieprogramma Goudzoekers zien. In de uitzending demonstreren twee onderzoekers van de Universiteit van Cambridge een aanval op de nieuwe pinpas die van EMV-chip is voorzien. Om welke aanval het precies gaat is onduidelijk, hoewel het lijkt om een “relay attack” te gaan. Al in 2006 onthulde de universiteit verschillende aanvallen op de EMV-chip, waaronder het afluisteren en relay-aanvallen.

Een aanvaller zou op verschillende manieren de PIN kunnen onderscheppen of de kaart en PIN in real-time kunnen gebruiken. Via een geprepareerde betaalautomaat zou al het verkeer van de kaart via een draadloze verbinding naar een andere crimineel worden verstuurd, die bijvoorbeeld bij de juwelier staat. “Naast deze mogelijkheid, zal ook veel van de fraude zoals die momenteel gepleegd wordt, nog steeds voorkomen. Want ook met het nieuwe systeem zullen de bankpassen waarschijnlijk nog steeds een magneetstrip hebben, om buiten Europa te kunnen betalen”, zegt onderzoeker Steven Murdoch

Campagne
De banken starten binnenkort een grote campagne voor “Het Nieuwe Pinnen”. In plaats van de magneetstrip, die nu op de bankpas zit, gebruikt men een EMV-chip, waarop de informatie wordt opgeslagen. Tegelijkertijd zal het Nederlandse PIN plaatsmaken voor Maestro of V Pay, beide betaalmerken van grote Amerikaanse creditcardmaatschappijen. Volgens de banken is de overstap nodig om het elektronisch betalen veilig te maken, en aansluiting te vinden op een gezamenlijk Europees pinsysteem. De Nederlandse banken zijn niet ongerust over de bevindingen van de onderzoekers en houden vol dat de nieuwe pinpassen wel veilig zijn. “Pinnen via de EMV-chip is veiliger dan via de magneetstrip.”

Bron: http://www.security.nl

Mail leidt tot ontslag

AMSTERDAM – Een medewerkster van Deloitte in Londen heeft haar ontslag ingediend, nadat haar interne mailtje wereldwijd verspreid werd. In haar mail riep ze vrouwelijke medewerkers op te stemmen op de aantrekkelijkste mannelijke collega’s.

© GezondheidsnetDe medewerkster in kwestie Holy Leam-Taylor mailde 8 december haar collega’s met het verzoek om te stemmen op de aantrekkelijkste mannen in haar kantoor. Ze had negen categorieën in het leven geroepen van ‘best gekleed’ tot ‘meest waarschijnlijk om zich omhoog te neuken’.

De email werd doorgestuurd en werd uiteindelijk door miljoenen internetgebruikers gelezen. Toen de 22-jarige medewerkster op het matje werd geroepen, diende ze zelf haar ontslag in. Zo meldt de Daily Mail.

Waarschuwing

Een woordvoerder van Deloitte laat weten teleurgesteld te zijn. “Hoewel het als een grap bedoeld was, is het een waarschuwing om zorgvuldiger met email om te gaan.”

Bron: http://www.nu.nl

Google Chrome lekt privacy gebruikers

Wie anoniem op het web wil surfen kan beter geen Google Chrome gebruiken, aangezien de browser allerlei gevoelige gegevens lekt. Volgens een onderzoeker op de Full-Disclosure mailinglist staat DNS pre-fetching standaard in Google Chrome versie 3.0.195.33 ingeschakeld. Als een gebruiker Chrome in combinatie met een proxy gebruikt, horen de DNS queries via de proxy te lopen, maar omdat DNS pre-fetching aanstaat, worden ze eerst naar de door het systeem ingestelde DNS cache gestuurd.

Dit zou ook het geval zijn bij de SOCKS proxy in Chromium, ongeacht of DNS pre-fetching is ingeschakeld of niet. “Dit vormt een ernstig risico voor gebruikers van een dienst zoals Tor, aangezien hun DNS gegevens en de weinige anonimiteit die ze met Tor hebben, naar buiten en in het open wordt gelekt.” Een woordvoerder van Google laat weten dat er aan een oplossing wordt gewerkt, hoewel de ernst volgens hem meevalt. “Het treft alleen een zeer kleine groep gebruikers die anonimiseringsdiensten zoals Tor gebruiken.”

Bron: http://www.security.nl

Hackers besturen Trojan vanuit Amazon-cloud

Gepubliceerd: Donderdag 10 december 2009
Auteur: Ernst-Jan Hamel

De banktrojan Zeus verschool zich in de cloud van Amazon, en werd vanaf die plek bestuurd. Zo hoopten de makers de trojan te camoufleren.

Onderzoekers van CA ontdekten de trojan deze week in de EC2-cloud van Amazon. De malware, zo merkten ze, vroeg aan de EC2 nieuwe instructies en updates.

De hackers zijn zelf geen klant bij Amazon. Ze kregen toegang tot de EC2-cloud door in te breken op een slecht beveiligde website die wel klant was bij Amazon. Via dat lek installeerden ze heimelijk hun botnetinfrastructuur.

Steelt bankinformatie
De Zeus-software is inmiddels verwijderd van de Amazon-servers. Zeus is een trojan die bankinformatie steelt via keylogging en zich verspreid via phishing. Zeus zou dit jaar alleen al verantwoordelijk zijn voor 100 miljoen dollar aan bankfraude.

Het is de eerste keer dat Amazons cloudinfrastructuur misbruikt is om malware te besturen, zegt CA tegen de IDG News Service. Eerder werd al wel Twitter ingezet om commando’s aan een botnet te geven.

Beter dan een schimmig datacentrum
Diensten van gerenommeerde bedrijven zijn voor kwaadwillenden ‘veiliger’ als host dan een of andere schimmig datacentrum in China of de Oekraïne. Door het te schadelijke verkeer te verbergen in de verkeersstroom van een bonafide dienst als Amazon, is de activiteit moeilijk te detecteren, schrijft een ZDNet-blogger.

Bron: http://www.webwereld.nl

Deelnemers klimaattop vervuilen wereld met spam

Deelnemers aan de klimaattop in Kopenhagen vervuilen de wereld door het versturen van spam, zo blijkt uit verschillende blacklists. Inmiddels zijn verschillende IP-adressen van het Bella Center in de Deense hoofdstad wegens het versturen van spam op blacklists van Spamcop en Spamhaus beland. Het gaat om geïnfecteerde laptops die worden aangesloten en vervolgens doorgaan met spammen. Volgens de Computer Sciences Corporation (CSC), dat de beveiliging van en toegang tot het netwerk regelt, is men actief bezig met het opsporen van geïnfecteerde computers. Een werknemer erkent dat dit onbegonnen werk is, aangezien er elke dag meer dan 3000 nieuwe deelnemers hun computers op het netwerk aansluiten. Opmerkelijk genoeg wordt poort 25 niet door de CSC geblokkeerd, wat het versturen van spam wel heel eenvoudig maakt.

Energieverbruik
Eerder becijferde beveiligingsaanbieder McAfee nog dat het jaarlijkse energieverbruik van spam wereldwijd in totaal 33 miljard kilowattuur (kWh) bedraagt. Dat staat gelijk aan het elektriciteitsverbruik van 2,4 miljoen Amerikaanse huishoudens, waarbij dezelfde hoeveelheid broeikasgas vrijkomt als bij 3,1 miljoen personenauto’s die circa 7,57 miljard liter benzine verbruiken. Een groot deel van het energieverbruik van spam (80 procent) komt voor rekening van eindgebruikers die spam verwijderen en tussen de uitgefilterde spamberichten naar legitieme e-mail zoeken (false positives). Spamfilters zouden voor slechts 16 procent van het aan spam gerelateerde energieverbruik verantwoordelijk zijn.

Bron: http://www.security.nl

Nep-virusscanner “hackt” Microsoft.com

Onderzoekers van anti-virusbedrijf Sunbelt hebben een nieuwe social engineering aanval ontdekt, waardoor het lijkt alsof Microsoft nep-virusscanners aanbiedt. Om slachtoffers voor DefenceLab te laten betalen, stuurt deze scareware gebruikers door naar een echte pagina op Microsoft.com. De scareware injecteert in real-time HTML code in de lokaal weergegeven pagina, waardoor het lijkt alsof Microsoft het aanschaffen van DefenceLab suggereert. Volgens Roger Thompson van AVG is het een behoorlijk goede truc waar een hoop mensen in zullen trappen.

De virusbestrijder waarschuwt dat Microsoft’s website ook op een andere manier wordt gebruikt. In het geval van de Antivirus System PRO scareware, wordt het HOSTS bestand gewijzigd, zodat alle verzoeken voor Microsoft.com op een pagina terechtkomen waar men de nep-virusscanner kan kopen. Minder verfijnd dan de aanval die Sunbelt ontdekte, maar beide aanvallen laten zien hoe sluw de ‘bad guys’ zijn, aldus Thompson. “Wie had gedacht dat ze in real-time HTML aanpassen en dat ze met URLs zoals Microsoft.com rotzooien, maar ze doen het.”

Bron: http://www.security.nl

RAM-schrapers stelen pincodes en creditcardgegevens

Bij de meeste aanvallen op bedrijven zijn keyloggers en spyware betrokken, maar hackers gebruiken ook steeds vaker “RAM scrapers”, een redelijke nieuwe vorm van malware ontworpen om het werkgeheugen van een systeem leeg te zuigen. Het gaat dan vooral om het geheugen van Point-of-Sale servers bij winkels, retailers en hotels, aldus Verizon in het nieuwste Data Breach Investigations Supplemental Report. In totaal passeren 15 van de meest voorkomende aanvallen de revue.

Door het toegenomen bewustzijn over beveiligingsproblemen en wettelijke regelgeving, worden veel bedrijven gedwongen om het bewaren van gegevens te beperken of te versleutelen zodra de data in ruste is of verstuurd wordt. RAM-schrapers omzeilen zulke maatregelen en kapen de gegevens in het geheugen waar het ontsleuteld wordt om te kunnen lezen en verwerken. De malware is volgens Verizon te herkennen aan onverwacht gedrag of prestaties, de aanwezigheid van grote en bijzondere bestanden, plotselinge veranderingen in de vrije harde schijfruimte en uitgeschakelde anti-virus software.

Meldplicht
Toch zitten ook malware auteurs niet stil. Tijdens een recent incident ontdekte onderzoekers een RAM-schraper die alleen naar kaartgegevens zocht, in plaats van complete geheugendumps te maken. Dit maakt zowel de operatie als het gebruik van de schijfruimte een stuk efficiënter. Verizon stelt dan ook dat niet alles te detecteren en te voorkomen is. Wel pleit het voor het vrijwillig melden van incidenten, waarbij het getroffen bedrijf dit anoniem kan doen, zonder de klanten te waarschuwen. Dit zou uiteindelijk de “community” ten goede komen, aangezien waarschijnlijk veel aanvallen nooit gerapporteerd worden.

Bron: http://www.security.nl

16 procent pedofielen zit op Hyves

Veel veroordeelde én potentiële pedofielen verraden zich door hun profiel en gedrag op Hyves, blijkt uit datamining-onderzoek. De politie mag officieel niks doen met de resultaten.

Het onderzoek van de Leidse informaticus Tim Cocx legt niet alleen onthullende verbanden bloot tussen bepaalde bevolkingsgroepen en crimineel gedrag. De onderzoeker legde ook de persoonsgegevens van 2044 veroordeelde pedofielen over Hyves.nl heen, het populairste sociale netwerk van Nederland.