Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers kraken betaalpas Duitse universiteiten

Door Joost Schellevis, zaterdag 29 december 2012 21:50, reacties: 46, views: 26.061 •

Onderzoekers hebben een betaalsysteem gekraakt dat in veel Duitse universiteiten wordt gebruikt. Ze hackten de notoir onveilige chip in de kaart, die ook in de Nederlandse ov-chipkaart zat. Er bleek geen enkele controle op frauduleuze transacties te zijn.

Timo Kasper, lid van het onderzoeksteam aan de Ruhr-universiteit dat de kaart onder de loep nam, presenteerde de bevindingen tijdens de CCC-beveiligingsconferentie in Hamburg. De kaart die de onderzoekers onder de loep namen, met de naam MensaCard, wordt vooral gebruikt om te betalen in kantines van universiteiten. "Ze worden ook gebruikt in kantines van bedrijven, maar sowieso in alle universiteiten", aldus Kasper tegen Tweakers. Er zouden een miljoen van de kaarten in omloop zijn.

Wat het onderzoek vergemakkelijkte, is dat de kaart een Mifare Classic 1K-chip van NXP bevat. Die chip werd ook gebruikt in de Nederlandse ov-chipkaart, maar is inmiddels omgeruild voor een veiligere chip, hoewel er nog veel onveilige kaarten in omloop zijn. De onderzoekers noemen de implementatie van de chip in de MensaCard het 'slechtste betaalsysteem ooit', onder meer omdat alle kaarten dezelfde private key bevatten. Dat maakte misbruik extra makkelijk. Ook was de geldbalans op de kaarten opgeslagen als platte tekst, wat het makkelijk maakte om het saldo te manipuleren.

Daarnaast vond er op transacties geen controle plaats. De onderzoekers waren in staat om zelf frauduleuze kaarten uit te geven en daarmee te betalen; het systeem controleerde niet of de gebruikte kaart überhaupt bestond. "Er was geen enkele controle in de back-end" aldus Kasper. Daarnaast wisten ze de kaart te emuleren op telefoons met near field communication. Daarbij schreven ze software die bij elke transactie een nieuwe kaart emuleerde. "Dat maakt het een stuk moeilijker om fraude te detecteren", stelt Kasper.

De onderzoekers konden niet alleen gratis afrekenen in kantines, maar wisten het saldo op de kaarten ook om te zetten in 'echt' geld. Daartoe kochten ze een anonieme MensaCard van tien euro, waarna ze de kaarten hackten en er het maximumbedrag van 150 euro op zetten. Vervolgens leverden ze de kaart in bij de universiteit, waarna ze het saldo op de kaart in briefgeld terugkregen.

Het team presenteerde daarnaast een kleine rfid-kaartlezer waarmee kaarten met een aantal chips van NXP, waaronder de Classic en de DESfire EV1, kunnen worden getest. Eerder kraakten de onderzoekers een toegangssysteem van Siemens dat werd gebruikt om ruimten en liften te beveiligen; ze konden met een gemanipuleerde kaart elke ruimte betreden. Ook manipuleerden ze een bepaald type autoslot dat op afstand kan worden geopend.

Reacties (46)


'Panasonic zal 65" plasma-tv in Viera-lijn op CES tonen'

Door Dimitri Reijerman, zaterdag 29 december 2012 16:42, reacties: 77, views: 22.531 •

Panasonic lijkt van plan om volgende maand op de CES-beurs in Las Vegas een 65" plasma-televisie aan te kondigen. Op de website van het Japanse bedrijf was kortstondig informatie over de Viera TC-P65S60 te vinden.

Tijdens de kerstdagen toonde Panasonic de Viera TC-P65S60 op zijn website, maar de webpagina met informatie over dit nieuwe plasmatoestel is inmiddels verwijderd. Naar verwachting is Panasonic van plan om het 65"-model op de CES-beurs, die begin januari in Las Vegas wordt gehouden, officieel aan te kondigen.

Ondanks dat Panasonic nog weinig specificaties op zijn site plaatste, meldt de website HDTVtest dat het toestel beschikt over een 65" 1080p-plasmascherm met een framerate van 600Hz. Het toestel ondersteunt geen 3d maar kan wel met internet en Panasonics Smart Viera-portal communiceren via een geïntegreerde wifi-module. Het 65"-toestel zou tevens beschikken over een 'Touch Pen'-feature, maar onduidelijk is nog of Panasonic een nieuwe invoermethode heeft ontwikkeld. Over de prijs en de introductiedaum is nog niets bekend.

Panasonic TC-P65S60

Reacties (77)


Snapchat- en Facebook Poke-video's blijken eenvoudig te achterhalen

Door Dimitri Reijerman, zaterdag 29 december 2012 16:36, reacties: 33, views: 29.340 •
Submitter: T-Junkie

Video's die via de Snapchat- of Facebook Poke-applicatie worden doorgestuurd en zichzelf na korte tijd zouden vernietigen, blijken op eenvoudige wijze uit een cache-directory gehaald te kunnen worden.

SnapchatDe site Buzzfeed schrijft dat het een koud kunstje is om Snapchat-video's te downloaden door een iPhone te koppelen aan een pc en met een iOS-filebrowser als iFunBox naar de tmp-folder in de Snapchat-map te browsen. Vervolgens kunnen de bestanden gekopieerd en dus veiliggesteld worden, ook op iPhones zonder jailbreak.

Ook de onlangs geïntroduceerde Poke-functionaliteit van Facebook blijkt video's op een soortgelijke wijze te cachen, al zijn de tijdelijke bestanden dieper in de directorystructuur genesteld. Poke-clips dienen echter nog niet te zijn bekeken, maar Snapchat zou video's zelfs in de tmp-folder laten staan als deze reeds zijn bekeken. Foto's worden in de twee applicaties niet bewaard in een cache-map.

Beide applicaties beloven gebruikers om de verstuurde video's en foto's te wissen enkele seconden nadat deze door de ontvanger is bekeken. Met name door jongeren worden Snapchat en Poke gebruikt voor het fenomeen sexting: het uitwisselen van erotisch getinte berichten en naaktfoto's. Nu video's op eenvoudige wijze opgeslagen kunnen worden, lijkt de beloofde functionaliteit niet te worden geleverd.

Snapchat laat in een reactie aan Buzzfeed weten dat er 'altijd manieren zullen zijn om technologieproducten te reverse engineeren', maar bij het kopiëren van cachebestanden is daar geen sprake van. Onduidelijk is nog of Snapchat op korte termijn het probleem zal verhelpen door middel van een update. Facebook geeft die helderheid wel: de sociale-netwerksite belooft snel met een update voor de Poke-functionaliteit te komen. Wel tekent het bedrijf daarbij aan dat er altijd manieren zullen overblijven om Pokes op te slaan, bijvoorbeeld door het maken van screenshots of door een afspelende video met een ander apparaat op te nemen,

Reacties (33)


Onderzoeker zet vraagtekens bij Europese https-regels

Door Joost Schellevis, zaterdag 29 december 2012 15:01, reacties: 48, views: 27.068 •

Een onderzoeker van het Instituut voor Informatierecht zet vraagtekens bij nieuwe Europese regelgeving die de ssl-markt moet reguleren. Volgens de onderzoeker komt te veel aansprakelijkheid bij certificaat-autoriteiten te liggen.

De Europese eSignature-regulering gaat het haperende ssl-systeem niet repareren. Dat zei onderzoeker Axel Arnbak van het Instituut voor Informatierecht van de Universiteit van Amsterdam tijdens de CCC-beveiligingsconferentie in Hamburg, waar Tweakers aanwezig is. De regulering is onder meer bedoeld om het ssl-systeem aan strengere regels te onderwerpen; op dit moment is daar geen toezicht op, terwijl ssl van cruciaal belang is voor vertrouwelijke communicatie.

Volgens Arnbak gaat de aandacht in de regulering vooral uit naar certificaat-autoriteiten. Certificaat-autoriteiten zijn verantwoordelijk voor het uitgeven van ssl-certificaten, die onder meer worden gebruikt voor https-verkeer. Die bedrijven kunnen als gevolg van de richtlijn aansprakelijk worden gesteld voor de schade die wordt veroorzaakt als ze bijvoorbeeld worden gehackt. Een bedrijf als het Beverwijkse DigiNotar, dat vorig jaar werd gehackt en daardoor frauduleuze certificaten uitgaf voor onder meer Google, Microsoft en Skype, zou dus aansprakelijk kunnen worden gesteld voor de schade die die bedrijven leden.

De onderzoeker denkt dat die aansprakelijkheid de markt voor ssl-certificaten 'kapot kan maken'. "Zelfs de grote certificaat-autoriteiten kunnen die aansprakelijkheid misschien niet aan", zegt Arnbak tegen Tweakers. Hij vreest echter dat het zeker voor kleinere certificaat-autoriteiten moeilijk gaat worden. DigiNotar had een omzet van nog geen vijf miljoen per jaar en had de schade van de grote bedrijven nooit kunnen vergoeden, denkt hij. Bovendien is er nog het probleem van jurisdictie: veel grote certificaatautoriteiten, zoals VeriSign en Comodo, zijn gevestigd buiten de Europese Unie.

Wat Arnbak betreft zou regelgeving voor het ssl-systeem ook aandacht moeten hebben voor andere actoren, zoals de rol van browsers en individuele websites bij de implementatie van ssl. Ook zou er aandacht moeten zijn voor de fundamentele problemen met het ssl. "Op dit moment is elke certificaat-autoriteit een single point of failure", zegt Arnbak. Elke certificaat-autoriteit kan een certificaat uitgeven voor elk mogelijk domein, waardoor de hack van één provider het volledige systeem onbetrouwbaar maakt.

Daarnaast is er volgens de onderzoeker vooral aandacht voor de economische kant van het verhaal. Ssl is van belang voor de e-commerce-markt, maar de regulering gaat volgens Arnbak voorbij aan het feit dat ssl ook belangrijk is voor vertrouwelijke communicatie tussen burgers. Ook zouden er in regelgeving duidelijke normen opgenomen moeten worden voor het melden van beveiligingsproblemen. DigiNotar wachtte enkele maanden totdat het de autoriteiten inlichtte dat het bedrijf was gehackt; in die tussentijd zijn met ontvreemde certificaten van het Beverwijkse bedrijf waarschijnlijk vele duizenden Iraniërs afgeluisterd.

Reacties (48)


McAfee: Anonymous is in verval geraakt

Door Dimitri Reijerman, zaterdag 29 december 2012 13:47, reacties: 72, views: 45.385 •

Beveiligingsfirma McAfee stelt in zijn Threat Prediction-rapport, waarin het zijn verwachtingen schetst voor 2013, dat de los-vaste hackersbeweging Anonymous in verval is geraakt. Het bedrijf verwacht dat een deel van de hacktivisten volgend jaar in kleinere groepen zal opereren.

anonymousMcAfee Labs schrijft in zijn visie voor 2013 dat een groot aantal ongecoördineerde en vage operaties die onder de vlag van Anonymous dit jaar zouden zijn uitgevoerd schadelijk zijn gebleken voor de reputatie van de groepering. Terwijl Anonymous naar eigen zeggen diverse effectieve acties heeft uitgevoerd, meent McAfee dat de gehanteerde methoden en tactieken van de los-vaste hackersgroepering zich nauwelijks meer ontwikkelen. Ook zouden potentiële doelwitten zich beter hebben ingesteld op de tactieken die Anonymous inzet, zoals het uitvoeren van grootschalige ddos-aanvallen. Hierdoor zal de rol van Anonymous volgend jaar minder voornaam worden, zo verwacht het Amerikaanse bedrijf.

Terwijl McAfee stelt dat Anonymous in verval is geraakt, meent het beveiligingsbedrijf dat een deel van de hacktivisten in 2013 zich zullen herenigen in kleinere groeperingen met specifieke en duidelijk geformuleerde politieke doelstellingen. Bij dergelijke groeperingen zouden de gehanteerde hackmethoden juist geraffineerder worden. Desondanks sluit McAfee niet uit dat Anonymous nog enkele 'spectaculaire acties' zal uitvoeren in 2013.

De onderzoekers van McAfee Labs verwachten voor het volgend jaar een verdere toename van malware op mobiele apparaten, waaronder kwaadaardige software die nfc-betalingen probeert te manipuleren of ongemerkt software aankoopt in applicatiewinkels. Ook zouden criminelen in hoog tempo nieuwe aanvalsmethoden ontwikkelen die gericht zijn op kwetsbaarheden in Windows 8 en de html5-implementaties van diverse browsers, en McAfee denkt dat overheden in toenemende mate doelwit zullen zijn van cyberaanvallen.

Reacties (72)


Hobbyist maakt Airplay-speaker van Raspberry Pi

Door Dimitri Reijerman, zaterdag 29 december 2012 12:54, reacties: 63, views: 49.986 •

Een hobbyist laat een Raspberry Pi-minicomputer met behulp van een wifi-dongle en opensource-software dienst doen als een Airplay-speaker. Hierdoor kan een iPad-, iPod- of iPhone-bezitter audio streamen naar een audioset via de Raspberry Pi.

De Airplay-hack is ontwikkeld door de student Jordan Burgess. Hij stelt dat veel hardware die compatibel is met het Airplay-protocol van Apple stevig aan de prijs is en dat de 35 dollar kostende Raspberry Pi dienst kan doen als een betaalbaar alternatief. De hobbyist experimenteerde eerder met XBMC, die ook het Airplay-protocol ondersteunt, maar de mediacentersoftware zou in de praktijk nog te instabiel zijn bij het gebruik van deze feature.

Burgess voorzag de minicomputer van een wifi-dongle zodat de Raspberry Pi draadloos toegankelijk is voor iPads, iPods en iPhones. Vervolgens kan in de Linux-omgeving de Shairport-package geïnstalleerd worden. Shairport is een opensource-softwarepakket waarbij het Airplay-protocol via reverse engineering door derden gebruikt kan worden.

Na installatie van de software doet de Raspberry Pi dienst als een goedkope Airplay-speaker. Wel zou de geluidskwaliteit nog niet optimaal zijn en kan er achtergrondruis hoorbaar zijn. Als volgende stap wil Burgess onderzoeken of de geluidskwaliteit verbeterd kan worden door een usb-geluidskaart op de Raspberry Pi aan te sluiten.

Raspberry Pi als Airplay-speaker

Reacties (63)

Gerelateerde content

Alle gerelateerde content (27)

Meldpunt Vuurwerkoverlast.nl ligt onder vuur van ddos-aanvallen

Door Dimitri Reijerman, zaterdag 29 december 2012 11:42, reacties: 360, views: 40.741 •

De website van het meldpunt Vuurwerkoverlast.nl is sinds de opening diverse malen offline gegaan. De site, waarop burgers klachten kunnen deponeren over vuurwerkoverlast in hun buurt, zou onder vuur hebben gelegen van ddos-aanvallen.

Vuurwerkoverlast.nl werd vorige week zaterdag geopend en is een initiatief van enkele lokale GroenLinks-fracties. Via het internetmeldpunt kunnen burgers klachten indienen over vuurwerkoverlast als gevolg van het voortijdig afsteken van vuurwerk. De oprichters stellen dat steeds meer Nederlanders zich storen aan de vuurwerktraditie en via de website moet duidelijk worden hoe groot de overlast is.

Sinds de opening is de website diverse keren uit de lucht gegaan. Aanvankelijk stelden de beheerders van Vuurwerkoverlast.nl dat de toeloop op de site enorm zou zijn, maar sinds donderdag zou het meldpunt ook onder vuur liggen van ddos-aanvallen, zo maakten zij op Twitter bekend.

In een poging beter bereikbaar te blijven, maken de beheerders van Vuurwerkoverlast.nl inmiddels gebruik van CloudFlare, een content delivery network. Onduidelijk is echter of de betaalde dienstverlening van CloudFlare wordt ingezet, waarbij bescherming tegen ddos-aanvallen wordt aangeboden, of uitsluitend de beperktere gratis service.

Inmiddels is de website weer bereikbaar. De teller staat op het moment van schrijven op ruim 35.000 meldingen. De beheerders willen het meldpunt tot 3 januari in de lucht houden en de meldingen bundelen. Deze zullen worden aangeboden aan de Tweede Kamer.

Reacties (360)


'Lek op website NMBS blijkt veel groter'

Door Dimitri Reijerman, zaterdag 29 december 2012 10:41, reacties: 33, views: 28.021 •
Submitter: clannad

Een datalek op de website van de Belgische spoorvervoerder NMBS dat toegang gaf tot persoonsgegevens van treinreizigers zou veel groter zijn dan gedacht. Het gaat mogelijk om data van 1,5 miljoen NMBS-klanten die vermoedelijk wekenlang vrij toegankelijk waren.

Vorige week zaterdag werd bekend dat de NMBS-website een datalek bevatte nadat een internetgebruiker op een forum een link had gepost die verwees naar een pagina met klantgegevens van treinreizigers. De spoorvervoerder haalde de informatie van zijn website af en stelde dat het ging om een datalek met een beperkte omvang. Ook zou het privacylek de fout zijn van een slordige NMBS-medewerker.

Het lek op de site van de Belgische spoorvervoerder zou echter veel groter zijn dan eerder gedacht, zo meldt De Tijd. Volgens de krant zouden er 1,46 miljoen records vrij zijn op te vragen, al zou het bij een deel mogelijk om duplicaten gaan. Het is waarschijnlijk dat er al kopieën van de klantgegevens in omloop zijn.

De NMBS erkent inmiddels dat het gaat om zeker 'enkele honderdduizenden' gegevens die met de juiste link vrij toegankelijk waren. Daarnaast heeft de spoorvervoerder publiekelijk excuses gemaakt: 'De privacy van onze klanten is voor ons een prioriteit,' aldus de woordvoerder van de NMBS. Het spoorbedrijf claimt dat zijn websites jaarlijks via een audit op veiligheid worden gecontroleerd maar belooft naar aanleiding van het incident verdere maatregelen te treffen.

Reacties (33)



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013