Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 84 reacties

Facebook gaat notificaties sturen naar gebruikers van wie het account mogelijk wordt aangevallen of gecompromitteerd is door hackers die opereren in opdracht van een overheid. Dat maakt Alex Stamos, hoofd beveiliging van Facebook, bekend.

In een notitie op de Facebook Security-pagina toont Stamos de melding die gebruikers te zien krijgen als ze mogelijk onder vuur liggen van staatshackers. De notificatie roept op tot het inschakelen van 'Login Approvals', de tweetraps-authenticatie van Facebook, zodat bij iedere nieuwe inlogpoging een beveiligingscode moet worden ingevoerd.

Facebook notificatie staatshackers

Stamos schrijft dat Facebook altijd maatregelen neemt zodra een account gehackt is, maar heeft besloten om een extra waarschuwing te tonen als er een sterke verdenking is dat de aanval afkomstig is van hackers die opereren in opdracht van een overheid of staat. Dergelijke aanvallen zijn volgens het sociale netwerk gevaarlijker en geavanceerder dan gebruikelijk.

In het bericht wordt benadrukt dat de waarschuwing niets te maken heeft met een aanval op de systemen van Facebook zelf. Gebruikers die slachtoffer worden, zouden dat te danken hebben aan malware op hun computer of mobiele apparaat. Mensen die de waarschuwing te zien krijgen, moeten dan ook maatregelen nemen en eventueel hun systeem vervangen, aldus Stamos.

Facebook zegt niet hoe het de aanvallen kan herleiden naar staatshackers. Ook is het niet duidelijk of er een specifieke aanleiding is voor het tonen van de nieuwe waarschuwing. Het sociale netwerk belooft de notificatie alleen in te zetten als er sterke bewijzen zijn die de verdenking van Facebook ondersteunen.

Moderatie-faq Wijzig weergave

Reacties (84)

Natuurlijk met uitzondering van aanvallen door de NSA :+
Met tweetraps-authenticatie ben je verplicht je telefoonnummer af te staan óf Facebook app te installeren op telefoon. Je voorziet zo je, van logischerwijs meest gebruikte telefoon, je telefoonnummer aan de NSA óf je voorziet je smartphone van een Trojaanse paard dat Facebook app heet.
Met tweetraps-authenticatie ben je verplicht je telefoonnummer af te staan óf Facebook app te installeren op telefoon. Je voorziet zo je, van logischerwijs meest gebruikte telefoon, je telefoonnummer aan de NSA óf je voorziet je smartphone van een Trojaanse paard dat Facebook app heet.
Inderdaad. Ik vroeg mij tijdens het lezen van het artikel af: wat voor baat heeft Facebook hier nou bij? Het niet niet zo dat ze hoognodig hun imago moeten oppoetsen. Zo'n tool waarmee notificaties worden gestuurd naar slachtoffers van staatshackers kost geld, maar levert niets op. Althans, zo denkt een manager. Volgens jouw logica levert deze tool juist veel op, want een gebruiker die kiest voor telefoonnummer afstaan of Trojaans paard installeren brengt linksom of rechtsom geld in het laadje. Scherp opgemerkt ;)
Whatsapp <-> telefoonnummer <-> facebook ?

Misschien om alles te gaan koppelen bij mensen die nog geen nummer hebben ingevuld ?
Whatsapp <-> telefoonnummer <-> facebook ?

Misschien om alles te gaan koppelen bij mensen die nog geen nummer hebben ingevuld ?
Vraag aan jouw manager om een dergelijke tool te bouwen; een tool die dingen kan koppelen zodat je meer overzicht hebt, maar het levert geen geld op. Denk je dat je manager ermee akkoord zal gaan?
Tools die gegevens koppelen leveren altijd wat op. Als het niet direct geld opleverd, dan misschien meer gebruiksgemak (van de gegevens), oftewel een besparing in operationele kosten.

Ik bouw zelf dagelijks tools die gegevens verwerken en de meeste leveren niet direct geld op. Wel kunnen we nu op z'n minst het dubbele werk aan met dezelfde hoeveelheid werknemers.

In het geval van facebook is het nog erger: hun core business is privacy schenden door profielen op te bouwen. Hoe meer profielen en gekoppelde gegevens, hoe meer het bedrijf waard wordt.
In het geval van facebook is het nog erger: hun core business is privacy schenden door profielen op te bouwen. Hoe meer profielen en gekoppelde gegevens, hoe meer het bedrijf waard wordt.
Er zijn meer bedrijven die Facebook's voorbeeld volgen. Lees hier hoe Barbiepopjes tegenwoordig een internetverbinding eisen zodat ze interactief met kinderen kunnen praten. Ze kunnen dan dingen onthouden "via het internet" en dan op een later tijdstip herhalen. We leven in een wereld waarin toiletpotten praten met koelkasten: "zeg, hoeveel potten pindakaas heb je op voorraad? Die van de Lidl was niet zo'n succes". Etc. Het houdt niet op bij Facebook. Ik ben toch niet gek?? Zeg jij het maar. |:(
Gewoon geen apparaten of speeltjes met internetverbinding kopen. Spreek met je portemonnee, dan leren ze het wel af.
Ik moet zelf ook niks hebben van al die "smart" apparaten. Het is totaal niet nodig dat een TV, thermostaat of koelkast het internet op kan en allemaal informatie over jouw doen en laten naar clouddiensten upload. Als ik het internet op wil gebruik ik daarvoor wel een ding dat ik zelf onder controle heb, zoals m'n linux desktop.
Gewoon geen apparaten of speeltjes met internetverbinding kopen. Spreek met je portemonnee, dan leren ze het wel af.
Ik was laatst bij zo'n winkel, een semi-kloon van BCC / Expert of zo. Ik vroeg aan de verkoper of hij nog TV's had zonder WiFi. Daar was nog maar 1 model van over, de rest had allemaal WiFi. Als dat model er niet meer staat in de winkel (metafisch gezien), hoe ga jij dan spreken met je portemonnee? Jij kunt toch niet van de verkoper eisen dat hij een TV bestelt zonder WiFi, speciaal voor jou?
Enfin, ik denk dat mensen zoals jij en ik behoren tot een uitstervend ras. Ik wil helemaal niet dat mijn stoel verbinding heeft met internet, zodat ik over een uur de gyneacoloog aan de deur heb die mij komt vertellen dat ik zwanger ben. |:(
Een TV mag best wifi hebben, sterker nog de toestellen zonder zijn of budgetmodellen of modellen van 3 jaar geleden. Je hoeft echter de key van je wifi niet in de TV in te voeren, en met een beetje geluk kun je het zelfs helemaal uitschakelen zodat hij ook niet onnodig staat te proberen. De normale functionaliteit is doorgaans niet afhankelijk van de wifiverbinding.
Je hoeft echter de key van je wifi niet in de TV in te voeren
Lees dit. Dat gebeurt er wanneer je WiFi alleen maar aan staat. Je opmerking klinkt heel logisch: als je de WiFi-key niet invoert, is er niets aan de hand. Zo werken kwaadwillenden niet. De technologische ontwikkelingen gaan zo snel dat jij niet kunt voorspellen of morgen iemand een nieuwe manier heeft gevonden om WiFi te kraken. Trouwens, wat er in de link staat is dat er een malafide access point wordt neergezet, waardoor apparaten van nietsvermoedenden verbinding ermee maken. Mijn hele punt is: zolang er WiFi in zit, heb ik een soort eigen verantwoordelijkheid om mij daarin te verdiepen, om bij te houden "heb ik alles gedaan om te voorkomen dat ik gehackt word? Oh, mijn zoontje heeft de TV gereset zonder te zeggen, dus nu moet ik de instellingen weer controleren. Heb ik de laatste updates geinstalleerd?" etc. Op die manier blijf ik bezig. Als ik geen internetverbinding heb, dan hoef ik ook geen security updates te installeren. Zolang er geen WiFi is, heb ik alles 100% in de hand. Als er WiFi op zit, is het een kwestie van security updates installeren en wachten tot er iets mis gaat. Tien jaar geleden werd ik ook voor gek verklaard als ik tegen mensen zei dat hun WiFi onbeveiligd is. Maar als criminelen kinderporno gaan downloaden via jouw WiFi, dan pas komt de schrik. De beste manier om WiFi te beveiligen is om geen WiFi te hebben.
en met een beetje geluk kun je het zelfs helemaal uitschakelen zodat hij ook niet onnodig staat te proberen.
Dat bedoel ik: met een beetje geluk.
De normale functionaliteit is doorgaans niet afhankelijk van de wifiverbinding.
Waarom zou een fabrikant een TV maken waarvan de normale functionaliteit afhankelijk is van een WiFi-verbinding?
Prijsgeven door contact met openbaar netwerk: de schade valt nog mee, je mobieltje heb je meestal op zak maar je tv blijft vaak zijn hele leven staan waar hij stond.

Net een beetje geluk: oftewel kan het nut hebben hier een overzicht van te maken en te publiceren. Iets voor in de reviews bij tweakers, en tests bij de consumentenbond. Ik ben het absoluut met je eens dat het wenselijk is om dit echt uit te kunnen zetten.

En waarom een fabrikant functionaliteit afhankelijk zou maken? Niet. En dat verzacht de pijn dan weer een beetje..

[Reactie gewijzigd door mae-t.net op 20 oktober 2015 17:34]

Whatsapp is altijd zo beleefd om een kopie van je adressenboekje je maken.

Het is geen hogere wiskunde om te achterhalen wie welk telefoonnummer heeft.
Behalve dat Whatsapp heeft beloofd dat niet met Facebook te delen. Vroeg of laat zou dat alsnog kunnen gebeuren natuurlijk, maar op dit moment realiseert Facebook zich waarschijnlijk dat de wereld dan opeens te klein is.
Het is ook een waarschijnlijk ook actie om hackpogingen van bijvoorbeeld China op Rusland op onderdanen te frustreren. Ze hebben natuurlijk graag dat inwoners uit die landen vertrouwen dat Facebook hun data uit handen houdt van die overheden en door die mensen te waarschuwen als hun account wordt aangevallen kunnen inwoners van die landen kiezen om hun account beter beschermen
Right het gaat alleen om landen als China en Rusland. Wij hebben hier natuurlijk niets te vrezen. Ook hier smijt de overheid echter haar onderdanen onder voorarrest zonder veroordeling hun gevangenis in.
Het is belangrijk om de statistieken in de gaten te houden. In de 20ste eeuw vermoordden overheden wereldwijd 262 miljoen van hun eigen onderdanen. Dat heet democide. De overheid is een groep mensen met een geweldsmonopolie. Dat gaat nooit lang goed. Nergens.
Het is ook een waarschijnlijk ook actie om hackpogingen van bijvoorbeeld China op Rusland op onderdanen te frustreren.
Mooi dat Facebook de wereld wil helpen. Maar waarom hebben wij dat hier in Nederland nodig?
Ze hebben natuurlijk graag dat inwoners uit die landen vertrouwen dat Facebook hun data uit handen houdt van die overheden en door die mensen te waarschuwen als hun account wordt aangevallen kunnen inwoners van die landen kiezen om hun account beter beschermen
Een bedrijf doet iets in de allereerste plaats vanwege geld. Dus de centrale vraag hier is: hoe denkt Facebook met deze waarschuwing geld te verdienen?
Mooi dat Facebook de wereld wil helpen. Maar waarom hebben wij dat hier in Nederland nodig?
Als je account niet onder vuur ligt krijg je ook geen berichtje en heb je er dus ook niet "last" van. Als mijn account wel aangevallen wordt door overheidgestuurde hackers zou ik FB dankbaar zijn voor de waarschuwing. Overigens zou ik mijn account meteen opheffen, lijkt me iets efficienter dan 2 traps authenticatie. Zeker omdat overheden zeer waarschijnlijk ook wel toegang hebben tot mijn sms-jes.
Een bedrijf doet iets in de allereerste plaats vanwege geld. Dus de centrale vraag hier is: hoe denkt Facebook met deze waarschuwing geld te verdienen?
Dat is wel heel kort door de bocht. Op de lange termijn zijn alle acties van commerciële bedrijven commercieel gedreven, maar op de korte termijn kan het bijvoorbeeld een poging zijn de publieke opinie te verbeteren. FB heeft toch de reputatie data van haar gebruikers door te spelen naar de Amerikaanse autoriteiten. Met deze actie willen ze wellicht laten zien dat ze wel degelijk om de privacy van de gebruikers geven en overheden niet zomaar toegang verschaffen.
Het zou overigens ook een politiek gedreven reactie kunnen zijn op iets waar wij niet van af weten.
[...]
Als je account niet onder vuur ligt krijg je ook geen berichtje en heb je er dus ook niet "last" van.
Nee, maar daarvoor heb je wel je telefoonnummer afgestaan of de FB app geinstalleerd. Kortom, je hebt een stukje privacy ingeleverd in ruil voor een "privacyschendingsnotificatie". Een paradox, zeg maar.
Als mijn account wel aangevallen wordt door overheidgestuurde hackers zou ik FB dankbaar zijn voor de waarschuwing. Overigens zou ik mijn account meteen opheffen, lijkt me iets efficienter dan 2 traps authenticatie. Zeker omdat overheden zeer waarschijnlijk ook wel toegang hebben tot mijn sms-jes.
Hehehe... als je een nieuw account aanmaakt, dan weten ze je weer te vinden. Facebook eist toch dat gebruikers hun echte gegevens invullen? :)
[...]
Dat is wel heel kort door de bocht. Op de lange termijn zijn alle acties van commerciële bedrijven commercieel gedreven, maar op de korte termijn kan het bijvoorbeeld een poging zijn de publieke opinie te verbeteren.
Reputatie (publieke opinie) verbeteren vertaalt zich naar geld. Hoe denk je dat een CEO of manager te werk gaat? Zo van "we gaan vlak voor de kerstperiode een reputatiecampgne lanceren. Daardoor verwachten we met kerst ongeveer 3 miljoen extra abonnees te krijgen die kerstreclame voor hun kiezen krijgen waardoor we 10 miljoen omzet kunnen maken - puur vanwege die reputatiecampagne".
FB heeft toch de reputatie data van haar gebruikers door te spelen naar de Amerikaanse autoriteiten. Met deze actie willen ze wellicht laten zien dat ze wel degelijk om de privacy van de gebruikers geven en overheden niet zomaar toegang verschaffen.
Precies wat ik daarnet zei: als FB een reputatiecampagne lanceert, dan kunnen ze daar geld mee verdienen. Vergeet niet, dat een dergelijke campgne officieel niet valt onder reclame en daardoor ontlopen ze reclamebelasting. Het is gewoon een nieuwsbericht en dat is heel wat anders dan reclame.
Ik had zelf (als Belg) nog nooit gehoord van reclamebelasting.
Na een snelle zoekactie blijkt het een Nederlandse belasting te zijn die gemeenten kunnen heffen indien reclame vanaf de openbare weg zichtbaar is.

Lijkt me dus geen belasting waar facebook zich echt zorgen om hoeft te maken.
Ik had zelf (als Belg) nog nooit gehoord van reclamebelasting.
Na een snelle zoekactie blijkt het een Nederlandse belasting te zijn die gemeenten kunnen heffen indien reclame vanaf de openbare weg zichtbaar is.

Lijkt me dus geen belasting waar facebook zich echt zorgen om hoeft te maken.
Jah, klopt. Sorry.
Mooi dat Facebook de wereld wil helpen. Maar waarom hebben wij dat hier in Nederland nodig?
Omdat niet alleen China en Rusland internet hebben. Behalve ver-van-mijn-bed-shows kan er ook wel een keer een naast-mijn-bed-show langskomen.
[...]

Omdat niet alleen China en Rusland internet hebben. Behalve ver-van-mijn-bed-shows kan er ook wel een keer een naast-mijn-bed-show langskomen.
Ik kan niet de echte reden zien waarom Facebook deze notificaties gaat versturen. Facebook is een bedrijf dat steeds uit is op privacygevoelige informatie en nu willen ze mij juist beschermen tegen privacyschendingen? Daar klopt iets niet.
In volgorde van waarschijnlijkheid: Charme-offensief? Of gewoon geen behoefte aan concurrentie? Ruzie met de een of andere overheidsdienst?

Dat ze het misschien zo kunnen draaien dat ze zelf meer gegevens krijgen is opzich ook mooi meegenomen, al zullen ze veel telefoonnummers al wel hebben.
Met tweetraps-authenticatie ben je verplicht je telefoonnummer af te staan óf Facebook app te installeren op telefoon. Je voorziet zo je, van logischerwijs meest gebruikte telefoon, je telefoonnummer aan de NSA óf je voorziet je smartphone van een Trojaanse paard dat Facebook app heet.
Je neemt aan dat de NSA binnenkomt via de voordeur. De NSA hoeft zich bij Facebook echt geen zorgen te maken over gebruikersauthenticatie wanneer zij gegevens willen verkrijgen.
Hij zegt toch ook niet dat de NSA zich zorgen maakt om de gebruikersauthenticatie.

Hij licht juist uit dat NSA doormiddel van het aanzetten van de tweetraps-authenticatie van Facebook je telefoonnummer bekend wordt bij NSA en/of je perse de Facebook app moet installeren wat volgens de poster een Trojanspaard is voor NSA.

Dus via beide wegen heeft Facebook meer informatie over je wat Facebook dus weer wat oplevert.
De NSA weet je telefoonnummer toch wel, die hacken bij Vodafone naar binnen en kopieren de hele klantendatabase.
Dat zou kunnen. Maar daar ging de discussie niet over...
Je voorziet zo je, van logischerwijs meest gebruikte telefoon, je telefoonnummer aan de NSA óf je voorziet je smartphone van een Trojaanse paard dat Facebook app heet.
Facebook app trojaans paard noemen ok, denk dat je overdrijft maar goed. Maar denken dat de NSA niet op 100 andere manieren achter je telefoonnummer kan komen (ik bedoel een simpel verzoek bij de telefoonprovider levert denk ik al 90% van de nummers op die ze zouden willen hebben) is wel een tikje naïef.
Punt blijft toch wel staan.

Zowel Google (Gmail, YouTube), Facebook als Microsoft (Hotmail, MSN) zijn inmiddels wel heel fanatiek geworden waar het om het verzamelen van je mobiele telefoonnummer gaat. Bij Google viel er bijna niet aan te ontkomen. MS gaat eens in de zoveel tijd opnieuw zeuren en bij Facebook kun je op sommige sites niet meer met je Facebook account inloggen als je account niet gevalideerd is (waarvoor ze een mobiel nummer willen).

Alledrie de bedrijven zeggen dat dit voor security is, maar gaan gemakshalve voorbij aan het feit dat het niet afgeven van je mobiele nummer ook een beveiligingsmaatregel is... Google Authenticator is dan nog sort of een oplossing... Maar wat we eigenlijk nodig hebben is een Open Source, peer reviewed Open Authenticator appje die voor al deze sites bruikbaar is.
Probeer dan eens FreeOTP.
Deze is geloof ik volledig opensource.

Ikzelf gebruik liever Authy, maar ik geloof dat ik daarmee de vele alu hoedjes doe steigeren. (closed source en cloud backup)
Ze hebben nu mijn telnr niet,. dat zouden ze hierbij wel krijgen - inderdaad niet iets waar ik me heel comfortabel warm van ga voelen.

Dan liever die app - die er toch al op staat,. of codegenerator.
blijft in beide gevallen verdacht.
Het is nogal naïef om te denken dat facebook je telefoonnummer niet heeft. Vrijwel iedereen met een smartphone en facebookaccount deelt zijn contacten. Je kunt dus zelf wel proberen je telefoonnummer geheim te houden, maar als één van je contacten de facebookapp heeft, ben je er al bij.
En dan nog, WhatsApp is ook van Facebook, die hebben je telefoonnummer sowieso al. Facebook verkeer van hetzelfde IP -> Facebook weet je telefoonnummer.
als het weten waarom vragen ze het dan? en waar staat dat.?....... dat hun jouw nummer hebben?
Om de indruk te wekken dat ze het niet weten ;)
Er hoeft maar 1 iemand die jouw als contact heeft de Facebook app te hebben en dan hebben ze je telefoonnummer alsnog.
Tweetraps-authenticatie van FB werkt perfect met de google authenticator.
Dus de FB app op je telefoon is geen vereiste om toch veilig te kunnen inloggen op je FB.
Ja, en dat is veiliger voor je data :P
Microsoft Authenticator is ook prima.
Of gelijk welke andere app (die je eventueel zelf kunt schrijven) die TOTP (Time-based One-time Password Algorithm) implementeert.
Als je de implementatie van google niet vertrouwt.
muhahaha jah en dat is het ineens .hidden :X :+ :F
tip; gebruik geen facebook
Serieus? Dan ga ik dat ook gebruiken, Facebook Lite heeft geen authenticator en die smsjes is het ook niet.
Of geen facebook gebruiken.
Maar je kan toch ook een prepaid (contant betaald) nummer opgeven? In hoeverre is dat te volgen wie dat dan is, toch?
Grote kans dat Facebook van veel mensen het Telefoonnummer al heeft, zeker aangezien veel mensen het gewoon ingeven.
Buiten dat, hoeft de NSA geen enkele vorm van authenticatie te kraken om toegang te krijgen tot IEDEREEN z'n Facebook data. Aangezien Facebook in het PRISM programma van de NSA zit, en een onderdeel is van X-Keyscore.

PRISM is dat de NSA altijd op elk moment, zonder enige vorm van aanvraag alle data op de servers van bepaalde bedrijven kan ophalen.

X-Keyscore is een systeem dat (door bijvoorbeeld enkel een e-mailadres in te geven) al je internetdata kan verkrijgen (meta-data, bezochte websites, Facebook-data,...) en analyseren. Dit systeem is dan weer gebaseerd op andere programma's zoals PRISM.

Met andere woorden, deze nieuwe beveiligings-feature is enkel effectief tegen niet-Amerikaanse staatshackers, tegen de rest heeft het geen zin. Op zich is dit een zeer goed idee en initiatief. Alleen jammer dat Facebook in het NSA-programma zit.
Je hebt wel gelijk met de facebook app. Van ale familie leden die klagen omdat hun smartphone traag is. Is het verwijderen van facebook meestal helpvol.
Natuurlijk met uitzondering van aanvallen door de NSA :+
Waarom de deur forceren als je de sleutel hebt?
Ik ben banger wat Facebook over mij te weten wil komen, dan de overheid :P
Werkelijk? Van Facebook kan je af komen. Van een overheid niet, tenzij je een staatsgreep doet.
Ik doe niks strafbaars, dus ik ben niet echt bang dat de overheid 't op mij gemunt heeft.
Facebook is overal en nergens, die verzamelen sowieso informatie over je of je daar nou een account hebt of niet.
Ze houden gewoon een schaduwprofiel bij en mochten ze je ooit kunnen matchen via een account dat je aanmaakt of whatsapp ofzo.. tja :)

Van Facebook kom je echt niet zomaar af. De overheid komt echter niet zomaar achter jou aan.
Je doet nóg niets strafbaars. Dat is het hele punt, wanneer een malafide overheid in tijd van oorlog / etc. aan de macht komt kunnen wetten veranderen waardoor er dingen veranderen waardoor je ineens strafbaar kan zijn. Verder zijn er nog dingen als false positives waar je voor uit moet kijken. Facebook heeft geen leger / politie om op je af te sturen, een regering wel.

Zie bv deze film van xs4all: http://www.privacymatters.nl/

[Reactie gewijzigd door sanderev66 op 19 oktober 2015 12:12]

Ik doe niks strafbaars, dus ik ben niet echt bang dat de overheid 't op mij gemunt heeft.
Damn wat naief. 6 miljoen joden deden ook niks strafbaars.

De overheid is veel gevaarlijker dan welk bedrijf dan ook. Overheden hebben vele miljoenen mensen vermoord alleen al in Europa in de vorige eeuw. En me dunkt dat bijv. de Snowden affaire wel bewijst dat ook de moderne overheid er niet voor schroomt haar eigen wetten te overtreden én vervolgens alles uit de kast te trekken om de klokkenluider aan te pakken in plaats van de overtreders.
Je facebook account kan je verwijderen en verder kan je facebook helemaal blokkeren, een overheid is helaas niet te verwijderen en te blokkeren. Verder is het doel van hun informatieverzamelen puur commercieel, terwijl overheden die informatie van jou willen om hun macht te vergroten. Gebruik geen Facebook en ben niet zo'n grote fan van ze maar dit vind ik toch een nette actie van ze.
Ja maar als een hacker voor de staat werkt, dan heeft hij toch ook controle over de rootcertificaten van die staat, waardoor hij iig kan meelezen met alles wat je op Facebook verstuurt en ontvangt? Sowieso, SHA1 encryptie op de SSL van Facebook.
Eh, nee?

Het certificaat van Facebook is ondertekend door DigiCert. Dus niet door een nationale overheid of wat dan ook. Daar kan je niet zomaar op middle-man'en.

Die handtekening is inderdaad SHA-1, maar dat bekent niet instant hackbaar, ook niet na het recente nieuws over SHA-1.

Daarnaast staat Facebook op de HTTP Strict Transport Security (HSTS) preload list waardoor http forceren ook niet mogelijk is.
Dankjewel voor je reactie. Ik heb blijkbaar niet helemaal goed opgelet bij de lessen PKI. Ik verkeerde in de veronderstelling dat als je een rootcertificaat had dat geïnstalleerd was op de PC, je elke SSL connectie kon tappen. Maar wat jij zegt maakt veel meer sense. Nu begin ik het wel een beetje te snappen. Ik kan je helaas geen +2 geven :P
Haha het idee is het goed, mbt root certificaten. Want op zich zijn root-certificaten behoorlijk krachtig.

Een browser heeft een lijst root-certs. Daarbij dus ook overheidscertificaten. Heb je toegang tot een overheids-rootcert, dan zou je in principe onder die naam een certificaat kunnen tekenen voor Facebook en zo meeliften op de https. Maar daarmee geef je wel meteen weg dat jij het bent. Minder handig (facebook.com getekend door China, rara wie is jou aan het hacken).

Slimmer is het om aan de kant van de client gewoon iets van malware neer te zetten en de hele https verbinding te laten voor wat het is.
Eh, nee?
Het certificaat van Facebook is ondertekend door DigiCert. Dus niet door een nationale overheid of wat dan ook. Daar kan je niet zomaar op middle-man'en.
In hoeverre is het zo dat een overheid inzage kan eisen in de certificaten van DigiCert? Als de overheid inzage kan eisen in telecomgerelateerde zaken, kan het dus ook voor DigiCert gelden. En aangezien we steeds meer naar een situatie toe werken waarbij toestemming door een rechter steeds minder is vereist (ongericht tappen etc), vraag ik me af in hoeverre de overheid toegang (of ambities daarvoor) heeft tot data van DigiCert.
Als jij inzage wilt in de certificaten van DigiCert.. ze staan op de website van DigiCert. Ook de door DigiCert uitgegeven certificaten zijn gewoon te bekijken in je browser. Niet super spannend.

Een certificaat is een "gecertificeerde sleutel". En de sleutel, die komt niet bij DigiCert vandaan. Die blijft bij de klant.
...maar wellicht heeft de overheid die sleutel ook.
Ik heb de verificatie via sms al jaren aanstaan.. Dit omdat me facebook toch voor mij erg belangrijk is, en ik het niet fijn zou vinden als iemand eventjes erop gaat lopen rond klooien. Bedoel heb ook veel zakelijke connectie's etc op facebook..
zakelijke....
:+

Ik zou sowieso als ik erg betrouwbare informatie heb, dit niet met Facebook delen.... Linkedin eigenlijk hetzelfde, maar alleen zakelijk. Hier ga je ook geen gevoelige info plaatsen.

[Reactie gewijzigd door Devroet op 19 oktober 2015 11:06]

IP-logging geeft aan dat jouw Facebook naar "foute" adressen linkt?
Volgens mij doen ze dat niet alleen per IP. Want zelfs in mijn eigen huis moet ik de tweetraps authenticatie doorlopen als mijn sessie is verlopen o.i.d.
als er een sterke verdenking is dat de aanval afkomstig is van hackers die opereren in opdracht van een overheid of staat
Gezien Facebook US is, zal dit wel uitsluitend in de gevallen China en consorten zijn, vind het een zware 'bepaling' of een 'hacker' wel/niet in opdracht werkt van een overheid.
ind het een zware 'bepaling' of een 'hacker' wel/niet in opdracht werkt van een overheid.
Klopt maar de waarschwuing is daar ook in overeenstemming mee.
Als je zeker wist dat het overheidshackers betrof kun je beter 2-traps authenticatie verplicht afdwingen en niet slechts een waarschuwing geven.

[Reactie gewijzigd door 80466 op 19 oktober 2015 12:06]

Facebook zegt niet hoe het de aanvallen kan herleiden naar staatshackers.
Hier was ik nu net benieuwd naar. Waarom weert Facebook sowieso die hackers dan niet als ze ze kunnen herleiden. Nu ligt de actie bij de gebruiker.

[Reactie gewijzigd door Devroet op 19 oktober 2015 11:03]

Zoals Facebook zegt, gaat het niet om directe aanvallen op systemen/servers van Facebook. Waarschijnlijk betreft het hier 'verdachte activiteit' die het sociale netwerk waarneemt bij de betreffende accounts. Wellicht gaat het dan om inlogpogingen vanaf bepaalde locaties of met bepaalde patronen die te herleiden zijn tot hackergroeperingen waarvan bekend is dat ze in opdracht van overheden werken.
Ze kunnen dan toch zeggen, jij mag niet inloggen vanaf deze locatie, en dan alsnog om extra authenticatie vragen. Nu moet de gebruiker eerst zelf zijn beveiliging inschakelen. Waarom doet FB dit niet preventief.
Dan weet de slechterik ook dat die in de gaten gehouden wordt. Als die het niet weet is het veel makkelijker om hem in de gaten te houden.
ben benieuwd hoe facebook het e.e.a. gaat herkennen en herleiden. Een algemene waarschuwing van: er is ingelogd vanaf een nieuwe locatie (zoals gmail dat bijvoorbeeld ook doet) lijkt me eerder zinvoller. Dan heeft de gebruiker misschien ook het besef dat er iets fout gaat met zijn account en mogelijk verkeerd gebruikt zal worden. Of schiet ik hier de plank mis?
Ik blijf het een lastig verhaal vinden, omdat er geen arbitrage is noch enige controle op de authenticiteit van de informatie.

Tegenwoordig volstaat het blijkbaar om voldoende 'digitaal' bewijs in het rond te strooien, onder een andere identiteit. Lang en intensief genoeg tot er voldoende meta en andere data in een vangnet hangt. De echte identiteit zal ondervinden waarom. Guilty until proven innocent.

Mooie marketing talk in de nasleep van Safe Harbor, wat ben ik blij dat ik nooit een account of FB heb gehad. Privacy invading portal of doom }:O
systeem vervangen...wooow dan wil ik weten wat ze daarmee bedoelen
Zoals het er staat, overheden knoeien ook met hardware, of je hebt een rootkit geinstalleerd staan, beste is dus de hardware vervangen. En koop dit in een fysieke winkel en betaal cash, laat het niet opsturen als je weet dat je een target bent!
heb zelfs ergens gelezen dat ze tot een bepaalde afstand data kunnen lezen van je harde schijf zonder dat de computer met het web verbonden is. dat artikel had ik volgens mij toen den tijd ook op Tweakers gelezen. Als je echt de pineut bent, vermijd dan elektronica lol

edit: nieuws: Onderzoekers hacken offlinecomputers met 'dumbphone'

[Reactie gewijzigd door djartistic op 19 oktober 2015 13:46]

Maar dan moet je zonder die webverbinding wel eerst malware, letterlijk 'phone home' software, op die computer geplaatst krijgen (fysieke toegang - dan kun je ook wel andere, efficiëntere, ongein uithalen meestal) en vervolgens is de overdrachtsnelheid beperkt tot enkele bits per seconde. Dan moet je als aanvaller wel heel erg wanhopig zijn.
je gerootte Android?, de PC? zou er ook niet een van je naaste FB-connecties fout kunnen zijn?
Systeem klinkt als hardware en OS. Maar wat als FB het middel is om ons te spotten?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True