45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS

Een onderzoeker van het bedrijf UpGuard heeft ontdekt dat op een publiek toegankelijke cloudserver, die door ingehuurde data-analisten van de Republikeinse Partij werd gebruikt, de gegevens van 198 miljoen Amerikaanse kiezers voor iedereen waren in te zien.

Volgens het beveiligingsbedrijf UpGuard gaat het om het grootste lek van kiezersinformatie tot nu toe. De onbeveiligde database, die gebruik maakte van de Amazon Simple Storage Service, zou door de Republikeinen zijn gebruikt in een poging om Donald Trump de verkiezingen te laten winnen. Niet alleen namen, geboortedata, adressen, telefoonnummers waren zichtbaar, maar ook de etniciteit en religieuze achtergrond van de kiezers. De data ging terug tot aan de verkiezingen van 2008 en 2012. Het is onduidelijk hoe lang de data onbeveiligd is geweest.

Het ging waarschijnlijk om bijna alle registreerde Amerikaanse kiezers. Het bedrijf Deep Root Analytics had in totaal 1,1 terabyte aan onbeveiligde persoonsgegevens samengesteld samen met twee andere ingehuurde databedrijven, te weten TargetPoint Consulting en Data Trust. Deze bedrijven waren ingehuurd om via data-analyses potentiële kiezers te kunnen beïnvloeden en hun kiesgedrag vrij accuraat te kunnen voorspellen. Het ontwikkelde model had 9,5 miljard datapunten nodig voor drie van de vijf Amerikaanse kiezers, om zo via een algoritme van elk van de 198 miljoen kiezers te kunnen voorspellen wat hun politieke voorkeuren zijn.

Alles bij de bron; Tweakers


 

Datalek: OM kan kijken bij rechters

In het computersysteem van de rechterlijke macht (‘Compas’) is een ernstig datalek geconstateerd. Medewerkers van het Openbaar Ministerie blijken in sommige gevallen toegang te hebben tot het afgeschermde computer- en informatiedeel waar alleen rechters stukken zouden moeten kunnen lezen en bewerken.

Het datalek kwam vorige maand aan het licht bij de rechtbank Oost-Brabant. Werknemers van het OM konden in het computersysteem beslissingen van de rechtbank in een groot drugsonderzoek (codenaam Gutenberg) zien nog voordat het vonnis was uitgesproken. Het ‘inbreken’ door leden van het OM in het computersysteem van de rechters kon gebeuren doordat justitie te ruime autorisatiecodes afgaf aan de eigen OM-medewerkers. Compas wordt door magistraten gebruikt voor ernstige misdrijven die door de meervoudige kamer worden behandeld.

Bij de rechtbank is men erg geschrokken van het lek maar wijst er wel op dat het OM „geen enkele invloed” heeft kunnen uitoefenen op het rechterlijk oordeel. „Het OM heeft op geen enkele wijze getracht de inhoud van vonnissen te beïnvloeden.” De rechters werden door het OM zelf geattendeerd op het feit dat eigen medewerkers met rechters konden meelezen.

Alles bij de bron; NRC


 

OneLogin-datalek was gevolg van gestolen Amazon Web Services-gegevens

Authenticatiedienst OneLogin heeft bekendgemaakt hoe een onbekende toegang heeft weten te krijgen tot de gegevens van klanten die gebruikmaken van zijn Amerikaanse datacenters. 

Op zijn eigen website schrijft OneLogin dat de aanvaller daarmee toegang had tot de Amazon Web Services-api via een tussenliggende host.  Via de api was de aanvaller vervolgens in staat om de infrastructuur van OneLogin te verkennen. Ongeveer zeven uur later detecteerde het bedrijf dat er iets niet klopte in de database en blokkeerde het de betreffende sleutels. Hoewel OneLogin zijn gegevens versleutelt, is het niet uit te sluiten dat de aanvaller in staat is om bestanden van encryptie te ontdoen.

Donderdag meldde het bedrijf dat er onbevoegde toegang tot klantgegevens had plaatsgevonden. Tegelijkertijd was op een supportpagina, die zich achter een login bevond, te lezen dat er meer aan de hand was. Daar meldde het Amerikaanse bedrijf: "Alle klanten die gebruikmaken van onze Amerikaanse datacenters zijn getroffen. Klantgegevens zijn gestolen, inclusief de mogelijkheid om versleutelde gegevens te ontsleutelen." 

Alles bij de bron; Tweakers


 

Delftse onderzoekers werken aan onafluisterbaar internet

Delftse onderzoekers publiceren vrijdag in Science een manier waarop internetverbindingen niet langer kunnen worden afgeluisterd. Om dit mogelijk te maken wordt er gebruik gemaakt van quantumverbindingen.

Bij die techniek verkeren de quantumdeeltjes of -golven tegelijkertijd in verschillende toestanden. Dit is echter alleen zo als er niemand naar kijkt. Wordt er een meting gedaan, dan wordt één van die toestanden werkelijkheid en is de zogenaamde quantumvaagheid verdwenen.

Is de communicatie op die vaagheid gebouwd, dan wordt de boodschap verstoord als er een meting gedaan wordt. Een eventuele spion heeft daardoor niets meer aan de informatie. De ontvanger weet dan bovendien dat er gerommeld is met de informatie tijdens zijn reis vanaf de zender. Tot nu toe was het niet mogelijk om hier gebruik van te maken, omdat de verbinding niet sterk genoeg zou zijn om de informatie van de zender naar de ontvanger te krijgen.

De nieuwe techniek werd in Delft al uitgeprobeerd over afstanden van een paar meters. Volgens Hanson is het echter goed mogelijk om op te schalen.

Het kabinet trok in mei bijna 19 miljoen uit voor een groter onderzoeksprogramma waar het werk aan onbreekbare quantumverbindingen onder valt. De bedoeling is dat er binnen vijf jaar een experimenteel quantuminternet is tussen Delft, Den Haag, Leiden en Amsterdam. Dat zou het eerste quantuminternet ter wereld zijn.

Alles bij de bron; NU


 

Twitter dicht opvallend beveiligingslek

Twitter heeft een opvallend beveiligingslek gedicht. Via het lek kon een gebruiker tweets plaatsen vanaf een ander account. De kwetsbaarheid werd ontdekt door een beveiligingsonderzoeker die zichzelf Kedrisch noemt. 

Zijn methode maakte gebruik van een onderdeel van Twitter dat te bereiken was via ads.twitter.com Daar kunnen gebruikers afbeeldingen en video's uploaden. Hij kwam erachter dat het mogelijk was om bestanden van daaruit te tweeten of te delen met een andere gebruiker. Door deze techniek toe te passen op de deelfunctie, kon hij ervoor zorgen dat degene met wie hij het bestand deelde, werd gezien als de eigenaar ervan.

Alles bij de bron; BNR


 

Chips met ‘vingerafdruk’ maken online wereld veiliger

Elke chip is anders. Tijdens de productie kunnen kleine variaties optreden. Voor chipontwerpers is dat een nachtmerrie. Veiligheidsexperts zien er dan weer een voordeel in: de kleine variaties geven chips een uniek profiel, net als vingerafdrukken bij mensen.

Op nanoschaal is het onmogelijk om twee identieke chips te fabriceren. Onderzoekers breken er al een tijdje hun hoofd over hoe ze dat unieke karakter van chips kunnen gebruiken om elke chip onweerlegbaar te identificeren.

‘De PUF’s die tot nu toe zijn gemaakt hebben een aantal nadelen’, zegt Verbauwhede. ‘Sommige kosten meer omdat je extra schakelingen moet toevoegen. Andere hebben een vingerafdruk die na een tijdje vanzelf wijzigt. Nog andere vertonen regelmatigheden, waardoor ze toch niet zo veilig zijn.’ Uit die problemen ontstaat het concept van een ideale vingerafdruk van een chip. Hij moet stabiel zijn en gemakkelijk af te lezen. Het gebruik van de vingerafdruk mag niet veel tijd en energie kosten en de vingerafdruk mag na verloop van tijd niet veranderen. Hij moet bovendien uniek zijn en onmogelijk na te bootsen in een andere chip. De vingerafdruk mag evenmin af te leiden zijn uit alle informatie (of sleutels) die de chip verspreidt. Ten slotte moet hij inbraakvrij zijn: als iemand de chip fysiek probeert te ontcijferen, moet de vingerafdruk zichzelf vernietigen of veranderen.

Dimitri Linten is R&D-manager bij imec. Samen met zijn collega’s bestudeert hij de variaties bij de productie van toekomstige transistoren. Na verloop van tijd kan een transistor op een willekeurige plaats ‘doorslaan’. 'Wat ons interesseert, is de willekeurige positie van het lekstroompad en het feit dat je die positie kan meten’, zegt Linten.

‘Eigenlijk zijn de oxide-breakdowns een verouderingseffect. Die willen we normaal voorkomen of vertragen – een chip moet immers zo lang mogelijk gezond blijven. Maar voor de PUF's hebben we die veroudering net nodig. Daarvoor kunnen we bijvoorbeeld een apart blokje op de chip reserveren, waarop we éénmaal een hoge spanning  zetten . We dwingen dus een klein deeltje van de chip om heel snel te verouderen, en als neveneffect krijgen we een willekeurige vingerafdruk’, aldus Linten.

Deze PUF’s zijn nog niet helemaal klaar voor verwerking in commerciële chips. De onderzoekers zien wel al toepassingen. Ze denken aan chips voor de draadloze besturingsnetwerken in auto’s, voor industriële machines of voor medische apparatuur. Het onderzoek naar oxide-breakdown PUFs wordt gedeeltelijk gefinancierd door de Europese Commissie in het kader van het Horizon 2020 onderzoeks- en innovatieprogramma.

Alles bij de bron; EOS