Elvis leeft! Er zijn veel mensen die altijd al dachten dat de dood van Elvis Presley in scene was gezet en dat blijkt nu waar te zijn. Elvis leeft en heeft een Nederlands paspoort. Althans dat heeft de onderzoeker Jeroen van Beek aangetoond. De chip die gebruikt wordt in de Europese paspoorten is gekraakt (zie OV-chipkaart).
Hier het hele verhaal op nu.nl
The yearly Pwnie Award nominees are selected. The Pwnie Award is an annual awards ceremony celebrating and making fun of the achievements and failures of security researchers and the wider security community. Many categories are there from “server-side bugs” to “Most Epic Fail” and even “Lifetime Achievement Award”. Pick your favorite now. The winners of the Pwnie Awards will be announced on August 6, 2008 at a ceremony at the BlackHat USA conference in Las Vegas.
Today I came across a small article that mentioned that the Data Loss Database is taken over and will be maintained by the Open Security Foundation. Ignorant as I am I didn’t even knew there was such a database. It holds all known cases of data loss world wide. Take a look at that and see how many cases are reported. Once again the only question that comes to mind is: when will we ever learn?
Gloeiend heet nieuws, heet van de pers, zeg het voort, zeg het voort! Er zit een lek in de (meeste) DNS implementaties. Dit is niet gerelateerd aan de software zelf maar aan het DNS protocol zelf. CERT heeft een brandbrief doen uitgaan dat (vrijwel) alle DNS implementaties (zowel clients als servers) gevoelig zijn voor de gevonden gevoeligheid. Het betreft hier cache-poisoning. Het is mogelijk dat een kwaadwillende uw DNS cache verpunt en injecteerd met verkeerde informatie. Daardoor is het mogelijk dat als u via DNS de host www.extreemveilig.nl probeert te resolven dat je naar een heel andere host gestuurd wordt dan de bedoelde. Klinkt niet lekker? Update uw software! Meer informatie vindt u in de CERT vulnerability notes. De meest gebruikte DNS server (bind) heeft patches klaar staan. Happy Patching!!
There is some nice documentation released for all people who want to ‘harden’ their Mac OS X installation. Apple released its own document to make Leopard (Mac OS X 10.5) more secure. You can find the guide from Apple here. A few days earlier the center for internet security released its own guide. It contains detailed instructions for implementing the steps necessary for CIS Level-I & 2 security on Mac OS X 10.5 (Leopard). The guide from CIS can be downloaded through here (crappy registration required).
So you got the brand-new windows rendition? Are you feeling secure now that you run the most secure windows ever? Well take a look at this and wonder how come Microsoft just doesn’t understand security. In this case priviliges are assigned based on a filename (Utilman.exe). So what happens when you rename another binary to Utilman.exe? Take a look and laugh your ass off. I’ve said it many times before and I will repeat it over and over again: Microsoft sucks!! They really don’t get security, they really don’t.
Here’s your video. Be careful I almost forgot to breathe while laughing. Hats off to the guys at offensive security. You almost killed me with this.
Backtrack is a live linux distro. You can boot it on any system to get a full working linux environment. That is used to copy the cmd.exe to Utilman.exe
De actiegroep “Wij vertrouwen stemcomputers niet“, een initiatief van o.a. Rop Gonggrijp, heeft haar doel bereikt. Voorlopig worden in Nederland geen stemcomputers gebruikt. Het stemmen gaat weer ouderwets met pen en papier. Dat maakte het Ministerie van Binnenlandse Zaken vrijdag bekend. De stemmachines van fabrikant Nedap bleken onveilig.
Men heeft succesvol de software reverse engineered en aangepast. Daarnaast zenden de machines signalen uit waarmee afgeluisterd kan worden wat iemand gestemd heeft. Eindelijk eens een goed besluit uit Den Haag.
Now here’s some remarkable news. I mean, you did expect it but you just never heard any evidence on it. But when you read this article on a USB device that Microsoft offers to law-enforcement agencies you might consider changing operating system. The COFEE, which stands for Computer Online Forensic Evidence Extractor has 150 commands that should reduce the time to gather forensic evidence. It can decrypt passwords and analyze a computer’s Internet activity. Brad Smith from Microsoft demonstrated the COFEE to 350 law-enforcement experts last monday.
Now you may feel a little awkward that anyone who ownes a COFEE can extracts forensic data from your (running) windows system but please keep in mind that there is a very legitimate reason for this kind of technology. You see “it’s for the children”. As Brad Smith (Microsoft) puts it: “Criminals seek to win a child’s confidence in cyberspace and meet in real space.” Everytime someone uses the “it’s for the children” argument you better keep an eye on them.
Now this is a remarkable piece of technology. Ksplice allows you to patch a running Linux kernel without the need to reboot your system. Of course there are restrictions. The patch should not introduce semantic changes to kernel datastructures. Now this is not really a restriction since most security patches won’t change the kernel datastructures and this technique is typically used to apply security patches to running systems. ZDnet also reports on Ksplice.
When I have the time I will definitely play around with this software.
Nieuwe ontwikkelingen aan het front van de OV-chipkaart. Wetenschappers in Nijmegen weten alle sleutels van de kaart nu te kraken na één transactie en dat binnen luttele seconden. Tijdens de demonstratie voor de commissie van de universiteit van Londen, die een contra-expertise van het TNO onderzoek aan het verrichten zijn, duurde het nog een minuut om te sleutels te kraken. Nu het een kwestie van seconden is komt het uitlezen en namaken van kaarten in het bereik van de practische toepassing.
Het zijn natuurlijk niet de vervoersbedrijven noch de overheid die het slachtoffer worden van dergelijk misbruik. Immers het fenomeen ‘zwartrijden’ is verdwenen. Ieder reisje wordt betaald maar mogelijk niet door degene die de reis maakt. De reiziger laadt de kaart van te voeren op met een bepaald tegoed en dat tegoed kan door anderen misbruikt worden om te reizen. Zolang als slechts de reiziger slachtoffer is van dit misbruik en de OV bedrijven er voordeel bij hebben (geen zwartrijden meer) zal de OV-chipkaart gewoon ingevoerd worden.
Update: Groenlinks wil dat Tineke Huizinga de kaart uit roulatie neemt
More and more stories appear in which ISP’s (internet service providers) spy on their customers. In the Washington Post is an article about an ISP that uses “deep packet inspection”. Based on the protocol of the package it extracts the payload of the data. That way the ISP can extract all communication of the customer. From incoming and outgoing email, visited webpages to even telnet sessions. Relevant data is sold to advertisement companies who are interested in the webpages you visit etc. The ISPs claim that no personal data is revealed. In the ISPs we trust.
Finally after many years of hard work ethereal, meanwhile renamed to wireshark, has finally hit version 1.0.0. There is now even an experimental OS X implementation. Mac OS X users could already use wireshark using the MacPorts BSD ports collection but a native tool is always much nicer. No this is not an April fools joke since it was published on the 31th of march. You can read the release notes or download the new software.
Many thanks and congratulations to the development team members of ethereal & wireshark for this great piece of software. Kudos.
Ik heb ze altijd gemogen die gasten van de Chaos Computer Club. De roemruchte groep hackers hebben al vaak de wereld wakker geschud met sterke stunts. Wat ze nu weer geflikt hebben slaat alles. In Duitsland -net als in Nederland- is de overheid druk bezig om biometrische data te verzamelen en vast te leggen. De Chaos Computer Club is hierop tegen maar vindt geen tot weinig gehoor. Dus hebben ze de vingerafdruk van minister Wolfgang Schäuble (binnenlandse zaken) gepubliceerd. Niet alleen op papier maar ook met behulp van lijm op een stukje elastisch rubber dat je bij hun tijdschrift krijgt. Een hacker heeft al 20 verschillende scanners gefopt met deze afdruk. De vingerafdruk is verkregen door een glas waaruit de minister gedronken heeft op een conferentie mee te nemen. Nu heeft u naast de tè hoge prijzen nòg een reden om de horeca te mijden.
Tweakers.net heeft een artikel hierover net als de CCC zelf. Conclusie: vingerafdruk biometrie is onveilig. Nu alleen nog doordringen tot de onwetende en eigenwijze hoofden van politici. De ervaringen in Nederland hebben geleerd dat men nogal hardleers is. Tineke Huizinga gaat gewoon door met het invoeren van de OV chipkaart.
Het laatste decennium zijn de Europese overheden op grote schaal bezig om alle burgers onder (electronisch) toezicht te stellen. Dit alles onder het motto om onze veiligheid te kunnen waarborgen en onze vrijheid te kunnen beschermen. Hoe ironisch dat men ons in een electronische gevangenis plaatst om onze vrijheid te beschermen. Het middel lijkt erger dan de kwaal… Of zouden er andere redenen ten grondslag liggen aan de uit de hand gelopen registratiedrang van de overheid?
Uw GSM kan gebruikt worden om u te traceren. Uw telefoongesprekken kunnen opgeslagen worden. Er ligt een Europees voorstel om alle vluchtgegevens voor dertien jaar te bewaren. De OV-chipkaart biedt de mogelijkheid om al uw ritjes met het openbaar vervoer vast te leggen. De kilometerheffing maakt het mogelijk om precies vast te leggen waar en wanneer u gereden heeft. Uw fiets is uitgerust met een anti-diefstal chip waarmee uw fiets te traceren is, en dus u ook. Voor het betalingsverkeer geldt hetzelfde. Uw PIN transacties liggen allemaal vast. Uw hele dagelijkse handel en wandel kan worden gevolgd en worden vastgelegd. Uiteraard zijn er ook initiatieven om uw handel en wandel op de electronische snelweg vast te leggen. De bewaarplicht in het algemeen is in Europa op dit moment een heet hangijzer.
OMFG! What morron decided to put RFID in creditcards? Why this is a bad idea? Your creditcard will be broadcasting your information including the creditcard number itself. Until today you needed physical access to a creditcard to copy the number. Now you can just scan the radio waves. The information is out there, watch this video…