Webhosting WordPress

Contant geld over vijf jaar verleden tijd

“Contant geld over vijf jaar verleden tijd”

Over vijf jaar zal contant geld overal verdwenen zijn, zo voorspelt de Consumentenbond. Consumenten zullen dan alleen nog via pin of mobiele telefoon betalen. “Cash gaat in de ban”, zegt woordvoerster Barbara den Uyl tegenover het AD deze ochtend. Telecomaanbieder Telfort kondigde gisteren aan dat het een “100% Pin Only beleid” gaat voeren. Naar eigen zeggen om de veiligheid voor haar klanten en voor haar eigen personeel te vergroten. De uitrol vindt gefaseerd plaats, per begin april 2010 kunnen er alleen nog maar pinbetalingen plaatsvinden bij Telfort winkels.

“De klant vindt dit veilig en gemakkelijk. En wij ook. Het houden van contant geld brengt een risico met zich mee voor onze klanten en voor onszelf. Een 100% Pin Only beleid levert dus een groot voordeel op”, zegt Sales Directeur Jimmy Wind.

Supermarkt
De Consumentenbond vindt het een gewaagde stap van Telfort, maar de Detailhandel Nederland noemt het verdwijnen van contant geld een sneeuwbal die steeds harder rolt. De verwachting is dat steeds meer winkels zullen volgen. Als het aan de branche-organisatie van supermarkten ligt, accepteren die vanaf 2014 alleen pinbetalingen.  bron

Webwinkels spelen een steeds grotere rol in onze economie, maar hoe veilig is online winkelen eigenlijk? Onlangs werd nog bekend dat internetwinkels in 2009 een omzetstijging van 20% haalden en dit jaar mogelijk zelfs de 6 miljard euro zullen passeren. Het is dan ook niet verwonderlijk dat webwinkels hun eigen beurs hebben. Op 20 en 21 januari zijn er de Webwinkel Vakdagen in de Utrechtse Jaarbeurs. Eén van de centrale onderwerpen is veiligheid en recht.

Er is tal van wet- en regelgeving waaraan webwinkels zich moeten houden, daarnaast moeten klanten weten dat ze op een veilige manier kunnen betalen en dat hun gegevens veilig zijn. Voor webwinkels is het belangrijk dat ze hun geld krijgen en niet de dupe van fraude worden. “Met de toenemende online criminaliteit is beveiliging op de Webwinkel Vakdagen een belangrijk onderwerp”, zegt Anneke Loeffen van organisatiebureau OGZ.

Te vaak komt het nog voor dat webwinkels via SQL-injectie gehackt worden en aanvallers er met de volledige klantendatabase vandoor gaan. Amerika werd de afgelopen jaren verschillende malen opgeschrikt door grootschalige aanvallen waar hackers miljoenen creditcardgegevens wisten te bemachtigen. Een aanval kan de bedrijfscontinuïteit in gevaar brengen en voor financiële en imagoschade zorgen. Klanten zullen een webwinkel die door lakse beveiliging of slordigheid hun gegevens lekte dit niet in dank afnemen. Zeker als men met de klik van een muis bij de concurrentie zit. En ook al wordt men niet gehackt, de Wet bescherming Persoonsgegevens eist van internetwinkels dat ze voldoende maatregelen nemen om hun klantgegevens te beschermen.

Hacker vs Webwinkel: Parallel aan de beurs vindt er een uitgebreid lezingenprogramma plaats dat gratis toegankelijk voor bezoekers is. Tijdens de lezing ‘Hacker vs Webwinkel’ demonstreert Frank van Vliet van Certified Secure hoe aanvallers precies te werk gaan bij het infiltreren van een internetwinkel. Wat is precies Cross Site Scripting en wat kun je met SQL-injectie doen? Vragen waar webwinkels nog te vaak niet bij stilstaan, maar tijdens de lezing wel een antwoord op krijgen.

Naast het leren hoe hackers denken en welke technieken ze gebruiken, kan men zelf verschillende scenario’s doorlopen om te ervaren hoe hacking in de praktijk werkt. Van Vliet maakt ook duidelijk hoe webwinkels zich tegen hackers kunnen beschermen. Bewustzijn is namelijk de eerste stap naar verandering en een veiligere internetwinkel.  bron

Energieverbruik: Eerder becijferde beveiligingsaanbieder McAfee nog dat het jaarlijkse energieverbruik van spam wereldwijd in totaal 33 miljard kilowattuur (kWh) bedraagt. Dat staat gelijk aan het elektriciteitsverbruik van 2,4 miljoen Amerikaanse huishoudens, waarbij dezelfde hoeveelheid broeikasgas vrijkomt als bij 3,1 miljoen personenauto’s die circa 7,57 miljard liter benzine verbruiken.

Een groot deel van het energieverbruik van spam (80 procent) komt voor rekening van eindgebruikers die spam verwijderen en tussen de uitgefilterde spamberichten naar legitieme e-mail zoeken (false positives). Spamfilters zouden voor slechts 16 procent van het aan spam gerelateerde energieverbruik verantwoordelijk zijn.

Eén op de acht Nederlandse computers is met malware geïnfecteerd, zo blijkt uit onderzoek van de Spaanse virusbestrijder Panda Security. Het werkelijk aantal kan echter veel hoger liggen. Het anti-virusbedrijf baseerde het percentage op gebruikers van de eigen online scanner. Van de Nederlandse internetgebruikers die hun computer lieten scannen, werd er bij zo’n 12% malware aangetroffen.

Alleen Zweden, Duitsland en Hongarije presteren iets beter en hebben een lager percentage geïnfecteerde machines. In Taiwan, Turkije, Brazilië en Polen ligt het aantal besmette gebruikers boven de 25%. Hoeveel mensen hun systeem lieten scannen is onbekend, toch gaat het in deze gevallen om personen die vermoedden dat hun machine besmet is en de moeite nemen om hier iets aan te doen.

Toename spyware: In de eerste drie maanden van dit jaar was er een sterke stijging van het aantal spyware infecties, aldus de virusbestrijder. De hoeveelheid spyware steeg met bijna 11 procent ten opzichte van het laatste kwartaal van vorig jaar. Spyware is op Trojaanse paarden na de meest gedetecteerde malware categorie. De Virtumonde spyware / nep-virusscanner werd de afgelopen drie maanden het vaakst gedetecteerd.   bron

Mozilla komt met een noodpatch nadat een hacker een proof-of-concept heeft gepubliceerd om een kritiek lek in Firefox te misbruiken. Het kritieke lek is door security-onderzoeker Guido Landi de ‘Firefox XSL Parsing ‘root’ XML Tag Remote Memory Corruption Vulnerability’ gedoopt. Het stelt derden in staat om kwaadaardige XML-code in de browser uit te voeren, waarna drive by malware op het systeem kan worden geïnstalleerd. Een ‘mislukte aanval’ kan nog altijd resulteren in een crash van de browser. Zowel Firefox op Windows, Mac en Linux zijn kwetsbaar.  lees hier verder…

De SIDN heeft de afgelopen dagen opnieuw klachten ontvangen van registrars en domeinnaamhouders over het bedrijf GT@P. In 2007 was GT@P ook al actief. Dit bedrijf benadert houders van .nl-domeinnamen met het dringende verzoek hun domeinnaam in het WorldWideWeb Register op te laten nemen om dit register up-to-date te houden. De kosten voor deze service staan in de kleine lettertjes verstopt en bedragen € 957,- per editie. Aangezien het contract wordt aangegaan voor drie edities, bedragen de totale kosten € 2.871,-.

Fraudemeldpunt: Registrars en domeinnaamhouders die op de hierboven beschreven of soortgelijke wijze benaderd zijn, adviseren wij met klem niet in te gaan op de aanbieding van GT@P. U kunt melding maken van het frauduleuze handelen via www.fraudemeldpunt.nl. Dit is het landelijke meldpunt voor advertentie- en acquisitiefraude.

Verisign, de beheerder van het .com en .net-domein, stapt binnen twee jaar over op DNSsec (domain name system security extensions). Dat protocol is backwards compatible met internetfundament DNS, maar biedt daarnaast authenticatie en databescherming. Verisign voert binnen twee jaar DNSsec in binnen de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.

DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt.  Olaf Kolkman, directeur van NlnetLabs en pleitbezorger van dit protocol: “DNSsec is te vergelijken met een lakzegel. Via dat lakzegel kun je de afzender authenticeren en kun je garanderen dat de inhoud van het informatiepakket onderweg niet gewijzigd is.”   lees verder…

In de nieuwste Magento-versies (versie 1.2) blijken verschillende beveiligingsfouten te zitten, waarbij de waarden zoals ingevuld door een gebruiker in verschillende formulieren onvoldoende worden gecontroleerd. De fouten hebben in principe geen direct effect op de Magento website zelf, maar opent wel mogelijkheden om vanuit Magento aanvallen op andere websites (of andere onderdelen van Magento) uit te voeren. Het is bijvoorbeeld mogelijk om in het loginformulier van de Magento Admin omgeving een stukje JavaScript-code in te vullen, waarbij dit JavaScript na het versturen van het formulier wordt uitgevoerd. De JavaScript-code kan vervolgens zodanig in elkaar worden gezet dat er een complete aanval mee kan worden uitgevoerd. Een dergelijke aanval wordt ook wel een Cross Site Scripting aanval genaamd – afgekort XSS.   lees hier verder… (Ray Bogman on Dutchento.nl)

Eurojust in Den Haag gaat onderzoeken of Skype afgetapt kan worden. Criminelen maken steeds vaker gebruik van de VoIP-dienst. Eurojust, een agentschap van de Europese Unie, gaat in de komende weken onderzoeken hoe de ‘technische en juridische obstakels overkomen kunnen worden om internettelefoonverkeer te onderscheppen’. Joannes Thuy, woordvoerder van het in Den Haag gevestigde Eurojust, zegt tegen de IDG nieuwsdienst dat het aftappen van VoIP ‘de prijs is die we betalen voor onze veiligheid’.

Italiaanse crimefighters luidden de afgelopen week de noodklok omdat criminelen steeds moeilijk afluisterbaar zijn. Volgens de Italianen keren de georganiseerde misdaad, wapen- en drugshandelaars en pooiers zich steeds vaker tot Skype en andere VoIP-systemen om de politie om de tuin te leiden.

Sterke encryptie: Telecomcarriers zijn volgens de wet verplicht om mee te werken aan het aftappen van gesprekken van en naar vaste en mobiele telefoons. Bij VoIP ligt dat moeilijker omdat hier (nog) geen wetgeving voor bestaat. Naast juridische obstakels zijn er ook technische hordes die inlichtingendiensten moeten nemen. Skype gebruikt sterke versleuteling van de gespreksdata. Bij het opzetten van het telefoongesprek is er geen telefooncentrale die partijen met elkaar verbindt. Ook het telefoonboek wordt decentraal bijgehouden.

Het zou eventueel mogelijk zijn om met speciale software Skype-gesprekken te monitoren, of het VoIP-gesprek via een proxy-server om te leiden, maar dit is in beide gevallen veel complexer dan het aftappen van een gewone telefoon. Menige opsporingsdienst heeft zich de afgelopen tijd al stukgebeten op de beveiliging van Skype. Nu wordt Europees dus een poging ondernomen om te bewerksteliggen dat ook de Voip-dienst van eBay kan worden afgeluisterd.  bron

(Hosting) bedrijven en consumenten zijn gewaarschuwd voor een beveiligingslek in Adobe Reader dat cybercriminelen actief gebruiken om systemen te infecteren en waar nog geen update voor beschikbaar is. Het gebruik van een embedded object veroorzaakt de kwetsbaarheid en laat aanvallers een backdoor op het systeem openen. Volgens Symantec gaan het voorlopig nog om gerichte en beperkte aanvallen. In deze gevallen zijn meestal bedrijfsnetwerken overheidsinstanties het doelwit. De gebruikte “GH0ST backdoor” is modulair van opzet en laat aanvallers de desktop bekijken, toetsaanslagen opslaan en geeft volledige toegang tot de computer.

Aangezien er nog geen update van Adobe beschikbaar is, krijgen gebruikers het advies om alleen bijlagen van mensen te openen die ze vertrouwen. Mogelijk helpt het uitschakelen van JavaScript in Acrobat Reader de dreiging. Wat zeker helpt is het inschakelen van DEP voor het programma. Symantec merkt op dat deze functie dit soort aanvallen voorkomt.  bron

Het prefix ‘https’ voor een webadres staat niet langer garant voor een beveiligde verbinding. Hackers kunnen de achterliggende SSL-beveiliging omzeilen en bijvoorbeeld wachtwoorden afluisteren. Een hacker op de beveiligingsconferentie Black Hat in Washington heeft een techniek gedemonstreerd om de SSL-beveiliging van een website te omzeilen. De tool, SSLstrip genoemd, nestelt zich tussen server en gebruiker. Hij laat surfer en server denken dat er wel een veilige verbinding is. Dat meldt de technologiesite The Register.

SSL is een beveiligingstechnologie die verhindert dat creditcardgegevens en wachtwoorden ‘afgeluisterd’ worden. Eind 2008 lag SSL al eens onder vuur als beveiligingstechniek, omdat veiligheidscertificaten eenvoudig te klonen zijn.

De man ertussen: SSLstrip is een man-in-the-middle-aanval. Een surfer die een webadres ingeeft, gaat meestal naar het adres dat begint met http. Daarna klikt hij door naar een https-site, wat betekent dat er een beveiligde verbinding wordt opgezet. Op dat ogenblik komt de hacker ertussen. De surfer verbindt met de hacker, die op zijn beurt met de server verbinding maakt. Zowel surfer als server gelooft dat er een beveiligde verbinding ontstaat.

SSLstrip is listig omdat het een proxy met een geldig SSL-certificaat in het lokaal netwerk gebruikt. Daardoor blijft er in de adresbalk van de browser een https-adres zichtbaar. De gebruiker denkt dus dat hij met een beveiligde verbinding werkt, terwijl de hacker wel degelijk het verkeer kan afluisteren. De techniek met SSLstrip werkt bij Firefox en Safari, maar is nog niet getest bij Internet Explorer. In theorie is die laatste ook kwetsbaar.

Volgens Moxie Marlinspike, de hacker die SSLstrip demonstreerde, is er geen oplossing voorhanden. Het enige wat een surfer nu kan doen om zich te beveiligen, is het rechtstreekse https-webadres intikken. Zo kan SSLstrip er niet tussen komen.

E-mail is het belangrijkste communicatiemiddel binnen een organisatie. Toch laat beveiliging nog te vaak te wensen over. Vooral de inhoud van berichten moet beschermd worden, maar dat gebeurt vaak niet. Vraag is dus hoe versleuteling beheersbaar is uit te rollen. Globaal zijn er twee methodieken om berichten te versleutelen: PGP en S/MIME. Tussen beide standaarden bestaan grote overeenkomsten, omdat beide werken via een public key infrastructuur. Hierdoor werken gebruikers, vaak zonder het te weten, met een certificaat om een handtekening te zetten of een bericht te ontcijferen. Aan de hand van de publieke sleutel valt een bericht vervolgens te ontcijferen.

Verschillen vooral in filosofie: Toch zijn er twee belangrijke verschillen. De eerste versie van PGP is bijvoorbeeld alleen door Phil Zimmermann ontwikkeld. Hij moest een eenzame strijd voeren tegen de overheid om niet in de problemen te komen, omdat de export van encryptie-algoritmen verboden was. Zimmerman riskeerde zelfs levenslange gevangenisstraf. In 1996 is het verbod opgeheven. S/MIME heeft geen moeizame geschiedenis en is het product van beveiligingsbedrijf RSA. Beiden zijn inmiddels open internet standaarden, gedocumenteerd in een Request For Comment, net als e-mail of het internet protocol.

Een ander groot verschil zit in de manier, waarop een digitale handtekening te controleren is. Bij OpenPGP wordt een publieke sleutel voorzien van handtekeningen van personen of organisaties waar een gebruiker vertrouwen in heeft. Door maar genoeg handtekeningen te verzamelen ontstaat bij de meeste gebruikers de overtuiging dat een digitale handtekening authentiek is. Er wordt dus een Web of Trust gebouwd. Natuurlijk is dat binnen een bedrijf centraal te regelen, zodat de programmatuur een bedrijfshandtekening standaard vertrouwt.

Bij S/MIME is er een derde partij die vaststelt dat een certificaat bij een bepaalde persoon hoort en daarom dus correct is. Een Trusted Third Party ondertekent het certificatie van de gebruiker. Dat is minder bewerkelijk dan bij PGP, maar veronderstelt wel vertrouwen in de ondertekenaar als echte autoriteit, die zijn procedures goed op orde heeft. Er zijn gelukkig nogal wat certificaat autoriteiten, die certificaten uitgeven. Een opvallende daaronder is CACert, die de identiteiten vaststelt met hulp van vrijwilligers. In tegenstelling tot een web of trust volstaan hier drie erkende vrijwilligers.

PGP: Voor gebruik van PGP binnen kantoor heeft het gelijknamige bedrijf PGP een reeks aan oplossingen. De softwarebouwer levert diverse oplossingen waarmee beheerders de uitrol van sleutels eenvoudig kunnen regelen, bewaken en het beleid afdwingen. Voor gebruikers in een zakelijke omgeving werkt de software daardoor eenvoudiger. Daarnaast is er allerhande versleutelingssoftware beschikbaar voor het beschermen van schijven, e-mails tussen bedrijven of PDF-bestanden.

PGP is een implementatie van de OpenPGP-standaard, dus hoeft het niet te verbazen dat er open-sourcealternatieven zijn. Zo biedt GnuPG versleuteling voor bestanden en e-mails voor Linux en Mac. De software werkt ook onder Windows, maar vereist dan wel wat expertise. De software integreert niet alleen met Microsoft Outlook, maar ook bijvoorbeeld met Mozilla’s Thunderbird. Helaas ontbreekt het nog wel aan beheersfunctionaliteit om centraal eenvoudig sleutels te beheren, waardoor gebruikers wel wat opleiding moeten hebben. Vanuit beveiligingsoogpunt is het beschikbaar hebben van de broncode een extra waarborg.

S/MIME met Djigzo: Standaard ondersteunen veel mailpakketten de S/MIME-versleutelingsstandaard en is het vooral de vraag hoe sleutels op een goede manier uit te geven. Een opvallend project waarmee dit gedaan wordt is het open-sourceproject DjigZo van de Nederlander Martijn Brinkers. Hij levert een server-oplossingen om certificaten te beheren en automatisch zorg te dragen voor het ondertekenen en versleutelen van e-mail. De programmatuur integreert op dit moment vooral met de Postfix-mailserver. Wie niet zelf in de werking wil duiken kan een VMware-appliance ophalen en daar meteen mee aan de slag.

Een grappige feature van de mailserver is de mogelijkheid om met klanten te mailen die geen S/MIME gebruiken. Het bericht wordt dan omgezet in een versleuteld PDF-bestand, waarbij een eenmalig wachtwoord wordt gegenereerd dat per SMS aan de gebruiker wordt verzonden. Dat is voor zakelijk gebruik een stuk veiliger dan niet versleutelen, maar beschermt natuurlijk niet tegen afluisteren of ander misbruik van de telefoon.   lees hier verder…