dinsdag 30 december 2008

SSL-certificaten gekraakt en gekloond

Onderzoekers hebben het certificaatmechanisme voor vertrouwde sites gekraakt. Zo kunnen malafide websites zich voordoen als authentiek én veilig. Het onderzoek wordt vandaag gedemonstreerd op de jaarlijkse hackersconferentie Chaos Communication Congress (CCC) dat ieder jaar tussen kerst en nieuwjaar in Berlijn wordt gehouden.

De certificaten worden gebruikt voor versleutelde verbindingen en dankzij een digitale handtekening kunnen internetters controleren dat ze op de juiste website zitten. Door nu de populaire MD5-handtekeningen na te maken, konden de onderzoekers zelf gemaakte certificaten uitgeven, waarbij de browsers niet doorhadden dat het een kloon betrof.

De aanval opent de deur om internetters te doen geloven dat ze op een veilige website zitten, terwijl dat juist niet het geval is. De kraak vergroot het risico op grootschalige fraude of phishing aanvallen, waarbij niet langer naar andere domeinnamen verwezen hoeft te worden.

De onderzoekers van het Nederlandse Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven en onafhankelijke security-onderzoekers in Californië bouwden voor de demonstratie een eigen Certificate Authority (CA).

Een goed werkende dienst geeft certificaten uit en valideert ze. Hierdoor kunnen webbrowsers vaststellen dat een site authentiek is en kunnen internetters dat ook zelf controleren, door bijvoorbeeld op het icoon van het slotje in de adresbalk te klikken.

De nepdienst geeft ogenschijnlijk goede resultaten af. Wie dan de verkeerde CA bevraagt heeft niet door dat hij met kwaadwillenden te maken heeft. Een dergelijke aanval is volgens de makers mogelijk door bijvoorbeeld misbruik te maken van het eerder ontdekte lek door Dan Kaminsky in DNS, met behulp van malware of een XSS-aanval.

Het probleem zit in MD5. Dat is een cryptografische hash of een manier om een controle getal over een stuk data te maken. De techniek werd al beschouwd als gekraakt toen in 2007 12 PDF-bestanden waren gemaakt, die allemaal precies dezelfde handtekening hadden.

Terwijl het advies was MD5 niet meer te gebruiken, ontdekten de wetenschappers dat diverse officiële CA's dat in 2008 nog wel deden. Daartussen zitten ook bekende partijen als RSA Data Security, Thawte, Verisign en RapidSSL.

Om de kraak te zetten is dit lek gebruikt om duplicaten van digitale handtekeningen te maken. Hiervoor is wel voor 700 dollar in certificaten geïnvesteerd. Pikant detail is dat men om de controlegetallen te kraken, gebruik heeft gemaakt van een cluster van maarliefst 200 PS3-gameconsoles. Die zijn bruikbaar, omdat zij veel rekenkracht bezitten voor grafische bewerkingen.

De onderzoekers waarschuwen dat het nu tijd is voor de CA's om nieuwe certificaten te maken met een andere handtekening. Een tijdelijk alternatief kan het SHA1-algoritme zijn, maar ook daarvan is bekend dat het binnenkort gekraakt zal worden. Het SHA2-algoritme lijkt wel sterk, maar is nog niet breed beschikbaar.

Ook de leveranciers van webbrowsers zullen aan de slag moeten op het moment dat de identiteitsproviders nieuwe root- of hoofd-certificaten zijn gemaakt. Zij zullen de wijzigingen in de browser moeten meenemen, zodat de internetters weten dat het goed zit.

De onderzoekers geven nog niet alle details prijs om misbruik door cybercriminelen te voorkomen, maar wijzen erop dat mensen met verstand van MD5 het werk waarschijnlijk met een maand kunnen herhalen.

Ronald Prins, directeur bij Fox IT, is blij dat voor deze manier van onthullen is gekozen, zodat criminelen niet direct met het lek aan de slag kunnen. "Ik vind het vooral ernstig dat de leveranciers van certificaten een steek hebben laten vallen", zegt hij. "Gelukkig is het voor nieuwe certificaten eenvoudig te voorkomen. Het (MD5 - redactie) is vrij snel uit te zetten voor ze."

"Wat ik het mooie hiervan vindt is dat er twee werelden bij elkaar komen. De helden op cryptogebied en de mensen die door hebben waar dat impact kan hebben bij ons dagelijks gebruik op internetgebied", stelt Prins. "Je moet een keer een moeilijke klus doen en daarna kun je zelf een certificaat uitgeven die door browsers worden geaccepteerd. Dat kan heel snel gaan. Ik kan me voorstellen dat mensen een handeltje beginnen in foute, vervalste certificaten."

Wel benadrukt hij dat het wel eventjes kan duren voordat de aanval door criminelen herhaald wordt. "Ik vind het wel heel ernstig dat bedrijven die security verkopen dat ze een techniek gebruiken, waarvan de aanval al in 2004 is ingezet."

Bron: Webwereld

SIDN deelnemers starten Petitie tegen prijswijziging

Op de prijswijziging die SIDN afgelopen dinsdag werd aangekondigd, is door veel deelnemers niet al te positief gereageerd. Het feit dat de grote (of zoals SIDN zelf zegt actieve) SIDN deelnemers per saldo er financieel op vooruit gaan en de kleinere SIDN deelnemers in het slechtste geval maximaal 200 euro per jaar meer aan SIDN moeten betalen vanaf 2009 is vooral, bij de laatste groep slecht gevallen. Direct de zelfde dag werd al aangekondigd dat er een petitie zou worden gestart gericht aan SIDN en er mogelijk ook juridische stappen tegen SIDN zullen worden ondernomen.

De petitie is gistermiddag online gegaan op PetitieSIDN.nl en bestaat uit de volgende punten:

* De staffelkorting wordt teniet gedaan
* De prijsverhoging wordt terug gedraaid
* Er moet opnieuw een Raad van Deelnemers komen en dit moet vanuit de SIDN geïnitieerd worden
* Een antwoord van de SIDN waarom de SIDN een reserve kapitaal van 12 miljoen euro heeft

Reactie SIDN CEO Roelof Meijer
In een reactie op de petitie laat SIDN CEO Roelof Meijer weten absoluut geen reden te zien om aan de eisen die gesteld zijn in de petitie tegemoet te komen. De netto prijsverhoging waar sommige (niet actieve) SIDN deelnemers mee geconfronteerd worden zijn nou niet bepaald “schokkende bedragen”. SIDN zit nota bene in een B2B-markt.

Verder wijst Meijer er op dat in omringende landen er zelfs quota gelden voor een minimale hoeveelheid transacties die moeten worden gedaan, zoals bijvoorbeeld bij DNS.BE in Belgie. De hoeveelheid transacties die je daar verplicht op jaarbasis moet halen zijn aanmerkelijk hoger dan wat je bij SIDN minimaal aan transacties moet doen om jaarlijks juist minder aan SIDN te betalen na de prijswijziging.

Over de staffelkorting geeft Meijer aan ondertussen dat 80 procent van alle .nl-domeinnamen door de 300 grootste deelnemers is geregistreerd. Dat betekent ook dat die deelnemers 80% van de kosten voor het in de lucht houden van van het .nl-domein dekt. Het is dan ook een logische stap dat die partijen korting krijgen, gezien de enorme financiële bijdrage die zij aan SIDN leveren.

Het feit dat er een Raad van Deelnemers moet komen en dat SIDN dat zou moeten initiëren reageert Meijer dat kort voor zijn aanstelling de structuur van SIDN is veranderd en de bestaande samenwerking met de Raad van Deelnemers was versterkt. Daar heeft SIDN naar eigen zeggen ook een jaar lang hard aan lopen trekken, maar uiteindelijk concludeerden zowel SIDN als de destijdse voorzitter én de leden van de RvD dat het niet functioneerde. Deelnemers konden er onvoldoende tijd in steken. In plaats daarvan heeft SIDN nu andere manieren gevonden om het contact met deelnemers te onderhouden. Desniettemin staat SIDN open voor goede suggesties voor verdere verbetering van de interactie tussen SIDN en haar deelnemers.

De 12 miljoen aan reserve kapitaal van SIDN waar over wordt gesproken in de petitie weet Meijer niet te plaatsen. Tenzij de initiatiefnemers alle posten op de balans bij elkaar worden opgeteld, inclusief alle hardware die SIDN als registry heeft. De geldmiddelen die SIDN heeft dienen als weerstandsvermogen mochten er heel gekke dingen gebeuren.

Dat SIDN een financieel buffer dient te hebben is ook weergegeven in de onderliggende docomentatie van het convenant dat SIDN dit jaar met Staatssecretaris Heemskerk heeft gesloten. Faillissement van SIDN is zeer bedreigend voor de continuïteit van .nl,

Het feit dat de initiatiefnemers van de petitie naar verschillende partijen als de NMa, OPTA en zelfs ICANN toestappen vindt Meijer “opmerkelijk”, volgens Meijer is daar namelijk geen enkele grond toe en dat zal dan ook weinig opleveren.

Toelichting initiatiefnemer Berrie Pelser
In een toelichting tegenover ISPam.nl laat initiatiefnemer Berrie Pelser van Ber|Art Visual Design weten dat hij vindt dat er sprake is van oneerlijke concurrentie en discriminatie van kleine deelnemers door de prijswijziging. Daarnaast is de prijswijziging in de ogen van Pelser een opmars naar een groter plan waarmee SIDN haar kleine deelnemers buiten spel wil zetten. Dat kan SIDN niet maken als monopolist, in tegen stelling tot wat SIDN zelf vindt is EURid in de ogen van Pelser geen concurrent, net zo min als DENIC (.de) of Nominet (.uk) dat zijn.

Verder vindt Pelser ook dat SIDN niet naar de deelnemers luistert en vreest hij dat SIDN uiteindelijk misschien zelf .nl-domeinnamen gaat verkopen. Dat gevoel kreeg hij namelijk al bij de aankondiging van SIDN bij de promotie campagne voor .nl-domeinnamen jouwunieke.nl (deze campagne is op dit moment nog actief, AV). In een eerdere reactie gaf SIDN woordvoerster Lycke Hoogeveen al aan dat SIDN er niet eens aan wil denken, gezien al het werk dat het zou opleveren.

Wat betreft het reserve kapitaal van SIDN, blijft Pelser volhouden dat er 12 miljoen euro is, dat zou hij van specialisten op dat gebied hebben begrepen. En ook al zou het maar 8 miljoen euro zijn, dan is dat nog te veel. Ook de uitleg dat het convenant tussen SIDN en de Staatssecretaris een weerstandsvermogen verplicht stelt, reageert Pelser dat bijvoorbeeld 4 miljoen euro ook voldoende moet zijn. De prijsverhoging zoals Pelser de prijswijziging zelf pertinent omschrijft, is daarom compleet misplaatst.

Als laatste over de inspraak bij SIDN stelt Pelser dat het feit dat de Raad van Deelnemers drie jaar geleden niet werkte met andere personen nu ook niet zal werken. Er zaten destijds simpelweg niet de juiste personen in zo vindt Pelser. De suggestie die ISPam.nl hem deed om de Raad van Deelnemers bij elkaar te roepen, want in de statuten van SIDN bestaat deze nog steeds, gaat Pelser meenemen naar zijn achterban.

Op het moment van schrijven staan er 69 ondertekeningen op de website, waarvan er 40 van SIDN deelnemers zijn en 29 aangeven zelf geen SIDN deelnemer te zijn. Al kunnen partijen de petitie ook niet publiekelijk ondertekenen en verschijnt hun naam niet in de lijst. Aan het einde van de avond verwacht Pelser totaal 100 ondertekenaars te hebben. Het is overigens niet verwonderlijk dat de petitie nauwelijks door grote SIDN deelnemers getekend wordt.

Daarnaast hebben de initiatiefnemers het ook mogelijk gemaakt om te doneren, ondertussen zou er al 750 euro zijn gedoneerd. Verder zijn er ook nog verschillende toezeggingen gedaan voor verdere donaties. In een later stadium zal er ook op de petitie website de exacte bedragen worden gepubliceerd en ook waar het precies aan wordt uitgegeven. Al zal dat naar verwachting waarschijnlijk het inkopen van juridisch advies zijn.

Op dit moment worden er al dingen geopperd om het initiatief voor de petitie een verder vervolg te geven, door bijvoorbeeld meer van dit soort acties vanuit webhostingtalk.nl te faciliteren. Maar vooralsnog wil men eerst de focus volledig op deze kwestie houden. Het gaat namelijk volgens Pelser helemaal de verkeerde kant op met SIDN en dat moet een halt te worden geroepen.

SIDN relatiedag vandaag!
Vandaag is ook de SIDN relatiedag en daar zal deze kwestie absoluut aan de orde komen. Meijer zal de toelichting die hij tegenover ISPam.nl heeft gegeven daar ook geven. Het wordt daarom interessant hoe de aanwezige deelnemers hier op zullen reageren.

Bron: ispam.nl

Intel en Yahoo willen tv markt veroveren

Voor hun op internetgebaseerde telvisies zijn Intel en Yahoo samenwerkingsverbanden aangegaan met diverse fabrikanten en contentleveranciers, waaronder Samsung en Toshiba. Van deze fabrikanten zullen volgende week diverse eindproducten getoond worden tijdens de CES.

De internetgebaseerde tv’s zijn uitgerust met Yahoo’s Widget Channel software voor TV’s en video’s. Yahoo hoopt dat deze software met de komst van de nieuwe internetgebaseerde tv’s uitgroeit tot norm. De Widget Channel software maakt het onder andere mogelijk op de tv door foto’s te bladeren, sociale netwerksites te bezoeken en YouTube video’s te kijken. En stelt Yahoo in staat tijdens deze online activiteiten advertenties in beeld te brengen.

Intel hoopt door de samenwerking met Yahoo een been aan de grond te krijgen in de tv-industrie waar de eisen die aan microprocessors gesteld werden tot nog toe veel lager waren dan in de pc industrie.

Yahoo is er van overtuigd dat de nieuwe internetgebaseerde tv’s aan zullen slaan. “We zien het niet als een niche product met slechts een paar dure modellen. We zien dit als een verschuiving naar het grote publiek”, aldus Patrick Barry, van Yahoo’s Connected TV initiatief tegenover CNet. “Vanaf 2010 denk ik dat internetgebaseerde tv’s het aanbod domineren”, aldus Barry.

Bron: telegraaf.nl

Tweederde minder spam na afsluiten provider

Het Californische bedrijf McColo was volgens deskundigen een digitaal toevluchtsoord voor spammers. Veel zogenoemde botnets, netwerken van door virussen gekaapte computers die worden gebruikt voor het verspreiden van ongewenste reclame en kwaadaardige software, maakten van de diensten van McColo gebruik.
Het bedrijf huisvestte onder andere software die door cybercriminelen werd gebruikt om die botnets aan te sturen.

De Washington Post besteedde na maandenlang onderzoek aandacht aan de activiteiten van McColo op zijn beveiligingsblog, waarna de providers die de verbindingen van McColo met de rest van internet verzorgden, besloten het bedrijf af te sluiten.

Sindsdien is volgens beveiligingsbedrijven de hoeveelheid spam met tweederde gedaald. Vermoedelijk is dat echter van korte duur. Doorgaans springen andere bedrijven snel in het gat als een malafide hoster van de markt verdwijnt.

Bron: nu.nl

maandag 29 december 2008

Internet vooral prive-vraagbaak

Uit onderzoek, uitgevoerd door CentERdata in Tilburg onder ongeveer 2500 Nederlanders blijkt dat internet vooral voor privé doeleinden wordt gebruikt waarbij zo'n 25% van de Nederlanders gebruik maakt van sociale netwerken zoals hyves.

Internet is daarmee diep geworteld in alle delen van de Nederlandse samenleving. Meer geavanceerde mogelijkheden voor samenwerken en communicatie, zoals het gezamenlijk aan projecten werken via Web 2.0-toepassingen, worden nog weinig benut, noch in de privesfeer noch in het bedrijfsleven.

Dat zijn conclusies uit een onderzoek dat EPN heeft laten uitvoeren, onder een representatieve steekproef van ongeveer 2500 Nederlanders (respons: 2102 respondenten). Hen werd gevraagd voor welke domeinen ze internet gebruiken (voor werk, in de privésfeer, voor vrijwilligerswerk, voor scholing en opleiding) en welke toepassingsmogelijkheden binnen die domeinen worden gebruikt (mogelijkheden voor samenwerken, mogelijkheden voor onderhouden van sociale contacten, mogelijkheden voor het bediscussiëren van vragen en problemen en ontwikkelen van kennis, mogelijkheden voor leren en opleiding).

In het werkdomein staat het gebruik van e-mail op de eerste plaats (81%, 1122 respondenten in loondienst of werkzaam als zelfstandige), het beantwoorden van vragen en zoeken naar oplossingen via internet op de tweede plaats (57%). Tien procent gebruikt toepassingen als LinkedIn of Hyves voor werk. Ongeveer een vijfde maakt gebruik van vacaturesites voor werk maar slechts 3% maakt gebruik van de mogelijkheden die sociale netwerken bieden om aan werk of opdrachten te komen of om werkgerelateerde contacten te leggen.

In de informatiemaatschappij heeft productie van goederen en diensten steeds meer plaats in een omgeving waarin wordt samengewerkt met uiteenlopende partijen en informatie moet worden gedeeld. Vanuit dit perspectief zou meer gevarieerd gebruik van internet kunnen worden gemaakt, met daarin ook Web 2.0-toepassingen, intensief gebruik van sociale netwerken, met mogelijkheden om op afstand samen te werken.

Dat blijkt niet het geval. Toch is het niet zo dat bedrijven achterlopen wat betreft ICT op de werkplek: slechts ruim een tiende van de respondenten is van oordeel dat de ICT-faciliteiten thuis beter zijn dan op de werkplek en slechts 11% meent dat werkdruk wordt verhoogd omdat de ICT op de werkplek niet op orde is. Wel vindt een derde van de respondenten zijn of haar bedrijf behoudend als het gaat om toepassing van ICT op de werkvloer.

Vergeleken met het bedrijfsleven valt op dat studenten intensief gebruikmaken van het medium internet. Maar ook geavanceerde vormen van samenwerken en informatie-uitwisseling zoals met Web 2.0-toepassingen of meedraaien in communities zit niet in de Top-10 van toepassingen van deze veelzijdige (jonge) gebruikers.

Bron: epn.nl

twijfels bij nieuwe domeinen

De invoering van nieuwe zogenoemde topleveldomeinen dreigt vertraging op te lopen. De Amerikaanse overheid vindt dat ICANN nog veel vragen onbeantwoord laat.

internetautoriteit ICANN besloot op een conferentie in juni dat iedereen straks een zogenoemd topleveldomein kan vastleggen. Dat is het laatste gedeelte van een domeinnaam op internet, zoals .com, .net of .org. Tot nu toe bestaat, naast landgebonden extensies als .nl en .be, slechts een beperkt aantal generieke versies.

Het is de bedoeling dat daar straks een einde aan komt. Bedrijven, lokale overheden of zelfs particulieren kunnen dan vrijwel iedere gewenste extensie registreren. De stad New York aast bijvoorbeeld al lange tijd op .nyc, en de Vlaamse overheid overweegt .vla vast te leggen.

In een brief aan ICANN, de organisatie die verantwoordelijk is voor het beheer de basisinfrastructuur van internet, schrijft het Amerikaanse ministerie van Handel echter dat eerst moet worden vastgesteld of de uitbreiding geen bedreiging vormt voor de stabiliteit en veiligheid van het web. Ook is het ministerie er niet gerust op dat de plannen de domeinregistratiemarkt niet zullen verstoren.

Bron: nu.nl

SIDN waarschuwt tegen 'webtoeslag'

SIDN, de stichting die verantwoordelijk is voor uitgifte van Nederlandse internetdomeinen, waarschuwt voor een bedrijfje dat eigenaren van Nederlandse websites probeert te verleiden tot de betaling van een 'webtoeslag'.

SIDN zegt verschillende klachten te hebben ontvangen over het 'Centraal Orgaan Webtoeslagen' (COWETO), een bedrijfje dat op zijn website de indruk wekte een verplichte 'toeslag' te incasseren voor eigenaren van een .nl-domein.

COWETO beweerde samen te werken met de Belastingdienst en de Kamer van Koophandel, waarvan het bovendien het logo gebruikte. De KvK zegt niets met het bedrijf te maken te hebben, en heeft het logo laten verwijderen.

"Vanaf 2009 zal een toeslag worden toegevoegd onder de naam webtoeslag en omvat de kosten die afgedragen dienen te worden door alle websitebezitters met actieve NL-extensies", beweerde COWETO.

Na de waarschuwing van SIDN is de tekst op de site aangepast. Het bedrijf beweert inmiddels in nogal wollige zinnen dat het webmasters van advies en juridische ondersteuning voorziet. SIDN roept eigenaren van Nederlandse websites die door COWETO worden benaderd op om contact op te nemen met het Steunpunt Acquisitiefraude, en niet op enig aanbod in te gaan.

Bron: nu.nl

Veel klachten over internetproviders

Maar liefst vier op de tien internetgebruikers hadden in de maanden augustus en september last van één of meerdere problemen met de internetverbinding. Dat blijkt uit onderzoek van de Consumentenbond onder bijna 2.000 consumenten. Van de providers bracht vooral Ziggo het er slecht van af met een gemiddeld cijfer van 5,9. XS4ALL leverde de beste service en werd beloond met een 7,8.

Klanten van Telfort en Ziggo hadden in de genoemde twee maanden de meeste problemen. Bij beide hadden meer dan de helft van de klanten met één of meerdere storingen te maken. Bij Telfort had daarnaast tweederde van de klanten in dezelfde tijdsperiode last gehad van storingen bij telefonie. Het bedrijf kreeg op dit vlak dan ook een 5 van de ondervraagden. KPN was met een 8,2 de beste leverancier van telefonie.

Op het gebied van klantenservice is het wederom Ziggo die het laagst scoort. Veelgenoemde klachten zijn dat de dienst slecht bereikbaar is en dat e-mails en brieven niet consistent beantwoord worden. In juni kreeg de Consumentenbond al in een week tijd bijna 15.000 klachten over de provider.

Bron: telegraaf.nl