Archive for the ‘IT nieuws’ Category

RCE bug in XNU kernel(MacOS) ontdekt

donderdag, november 1st, 2018

Er is een remote code executie bug in de XNU-kernel voor MacOS, iPads, iPhone ontdekt dat een heap buffer overflow veroorzaakt wanneer het een speciaal geprepareerd ICMP-pakketje(ping) ontvangt. Deze bug doet veel denken aan het ping of death probleem dat op Windows besturingssystemen op afstand liet crashen in 1996. Gelukkig, werkt het probleem alleen vanuit het lokale netwerk omdat ICMP verkeer van buiten het lokale netwerk standaard door de firewall weggegooid wordt, als het een intern computer in een netwerk achter een NAT überhaupt weet te bereiken. Toch is het zeker aan te raden om een Apple apparaat zo snel mogelijk te patchen want wanneer je met een onbetrouwbaar hotspot verbind kan uw mede hotspot gebruikers wel uw Mac laten crashen of overnemen wanneer er geen XNU Kernel patches zijn geïnstalleerd. Updates installeren dus.

Sneller beveiligde verbindingen dankzij TLS 1.3

dinsdag, augustus 14th, 2018

TLS 1.3 is de opvolger van TLS 1.2. Dat is het gebruikte communicatie protocol voor het opzetten en onderhouden van een beveiligde verbinding.
Zowel de webbrowser Google Chrome/chromium als Mozilla Firefox hebben TLS 1.3 ondersteuning nu toegevoegd aan hun webbrowser.
TLS 1.3 bied mogelijk betere beveiliging dan TLS 1.2 door nieuwe encryptie algoritmes(ciphers) toe te staan en oude onveilige encryptiealgoritme niet meer toe te staan. Zo is het gebruik van de stream cipher RC4 niet meer toegestaan. De RC4 cipher is inmiddels al jaren onveilig bevonden voor korte data mee te versleutelen. RC4 wordt standaard door webbrowsers al niet meer ondersteund of alleen in absolute nood nog gebruikt als de server echt niets beters kan gebruiken. TLS 1.3 biedt standaard geen ondersteuning voor terugvallen naar een oudere versie van het TLS protocol. Dat betekent dat als de webbrowser en server beide TLS 1.3 ondersteunen er geen oudere versie gebruikt mag gaan worden.
TLS 1.3 biedt ook enkele snelheidsverbeteringen door het gebruik van een pre-shared key(PSK) voor een TLS 1.3 verbinding met een server die al eens is gebruikt kan de sleutel uitwisseling direct versleuteld gebeuren in plaats van opnieuw overeenstemming te bereiken over een nog niet versleutelde verbinding over wat gebruikt moet gaan worden voor de beveiligde verbinding verstuurt moet gaan worden. Op deze manier is een beveiligde verbinding sneller en helemaal versleuteld met sleutel onderhandeling ook. Cloudflare bruikt o.a. al TLS 1.3 in productie en er zijn tot nu toe maar een paar kleine probleempje.

Microsoft neemt GitHub over

woensdag, juni 6th, 2018

Microsoft heeft GitHub gekocht voor 7,5 miljard dollar. GitHub is de grootste website met git repository(vaak afgekort als een: git ‘repo’). Github host zo wat alle broncode van open source projecten inclusief een extra mirror van de linux kernel en vele andere openbron code projecten.
Microsoft had al een paar jaar geleden zijn eigen CodePlex website met openbroncode projecten gesloten. En begon de openbron code projecten van Microsoft zelf ook op GitHub te zetten, waaronder de visual studio code editor. GitHub is eigenlijk alleen een web interface voor Git repo’s met een paar extra’s zoals een bug tracker(issues) en manier om een readme.md bestand mooi te tonen in markup. Github verdient zijn geld door de verkoop van git repo’s die afgeschermd zijn voor organisatie’s. Publieke git repo’s voor open bron code zijn gratis. Omdat Microsoft voor sommige een bedreiging lijkt te vormen zijn er ook al vele git repo’s emigreert naar veel kleinere concurrent (git webinterface) GitLab. Linus Tovalds die Git ontwikkeld heeft, heeft Git als een gedistribueerd versie beheer programma gemaakt. Hierdoor heeft iedere ontwikkelaar die git voor zijn project gebruikt altijd de volledige project geschiedenis, en kan offline wijzigen vastleggen. Daarnaast is het dan ook eenvoudig om opnieuw het volledige project met alle wijzigen op een andere computers of servers te overdragen. Mocht je nu ineens zomaar git willen gaan gebruiken om wat van rede dan ook, vergeet dan ook niet eerst om het git programma zelf te upgraden naar de laatste versie vanwege een mogelijk git submodule beveiligingsprobleem.

Meltdown en Spectre processor ontwerp fouten

vrijdag, februari 9th, 2018

Op 9 januari 2018 is een beveiligingslek beschikbaar gemaakt met een gigantische potentiële impact. Dit is namelijk een hardware ontwerp dat in iedere processor van vooral Intel processors zit sinds 19951. Op 9 januari werden officieel zowel ‘Meltdown’ hardware ontwerp fout als ‘Spectre’ hardware ontwerp fouten wereldkundig gemaakt. Zowel de meltdown als Spectre processor hardware ontwerp fout staan het toe ongeautoriseerd geheugen gedeelte uit te lezen. AMD en sommige ARM processors zijn hierbij niet kwetsbaar voor de ‘Meltdown’ hardware ontwerp fout. Met zowel de Meltdown als Spectre processor hardware ontwerp fout kan er mogelijk gevoelige informatie gedeeld worden die niet toegankelijk had moeten zijn waaronder sessie tokons, wachtwoorden en asymmetrische privé sleutels en meer.
Een softwarematige ‘workround'(niet ideale oplossing) is wel uit gebracht voor verschillende besturingssystemen om ervoor te zorgen dat informatie niet meer beschikbaar is voor gebruik, van de onvermijdelijk te gebruikte van de processor optimalisatie(speculative execution) die het beveiligingslek bevat. Maar dat geeft wel prestatie nadelen dat geheugen steeds opnieuw geladen en verwijderd moet worden. Het is echter onmogelijk een oplossing voor hardware ontwerp fouten van processors te maken gezien de processor daarvoor terug naar de fabriek moet. Vooral alles dat gebruik maakt van het principle of least privilege(denk virtuele machines, sandboxes) zal de beveiligings-impact van deze processor ontwerp fout ondervinden omdat geheugen nu niet meer garanderend gescheiden is als er onbetrouwbare uitvoerbare code uitgevoerd kan worden. Dit kan ook javascript/ECMAscript zijn vandaar dat ook webbrowsers met workrounds moeten komen. In feit kan je veel updates verwachten omdat voor de Spectre hardware ontwerp een nieuwe update voor echt alle software nodig is tenzij de optimalisatie op de processor weet uit weet te schakelen of te veranderd om de benodige controlle toe te voegen wat mogelijk met een microcode update (hopelijk?) nog kan.
1 Behalve Intel Itanium en Intel Atom processors van voor 2013.

Apple lanceert een digitale pen

vrijdag, september 25th, 2015

pencilApple heeft een digitale pen/stylus gelanceerd genaamd Apple Pencil. Steve jobs was bij de introductie van de iPhone in 2007 altijd tegen het gebruik van een pennetje op het aanraakscherm van de iPhone. De Apple Pencil is wel wat anders dan een plastic staafje dat Jobs niet wilde. Deze pen heeft namelijk een druk en hoeksensor. Door de druk sensor is het mogelijk de dikte van het getekende lijntje aan te passen. Door de hoek sensor is het ook mogelijk de lijn dikte aan te passen zoals een kwast die je scheef houdt om een groter oppervlakte te beschilderen. Door touchscreen van het beeldscherm, de druksensors van de pen en de hoeksensors van de pen te combimeren krijg je een pen die aan moet voelen als een echte: pen, kwast of potlood in de echte wereld maar dan sla je het meteen digitaal op. De Apple Pencil gaat op een volle batterij ongeveer 12uur mee volgens Apple. En de Apple Pencil laadt met 15 seconden laden voor ongeveer 30 minuten gebruik op. Ik verwacht dat de Apple Pencil eerst vooral eerst gericht zal zijn op een groep van mensen die veel met digitale fotobewerking doen en die ook al de vereiste een iPad Pro hebben. Bekijk de eerste indruk video.

Microsoft lanceert Windows10

donderdag, juli 30th, 2015

Op 29 juli heeft Microsoft Windows 10 vrijgegeven. Windows 10 wordt door Microsoft als een gratis upgrade voor Windows 8.1/8 en 7 gebruikers beschikbaar gesteld. Hiervoor kregen Windows 8.1/8 en 7 gebruikers al een meldingsicoontje(door update KB3035583) in hun systray die hiervoor melding maakt. Windows 10 brengt voor windows 8.1 en windows 8 gebruikers het startmenu terug en de klassieke desktop is nu de standaard desktop. Maar de modern(voorheen: metro) interface concept is echter niet helemaal verdwenen. Zo zijn er in Windows10 (live)tegels in het startmenu verwerkt, waardoor je in het nieuwe startmenu van Windows 10 nog steeds een windows8/8.1 ervaring hebt. Verder is er in Windows 10 ook nog steeds een App store voor modern(metro) Windows programma’s. En het is qua grafische ontwerp nog steeds redelijk goed vertrouwd aan Windows 7. Ook is er in Windows 10 het configuratiescherm terug gebracht naar 1 configuratiescherm. In Windows 8/8.1 was er een apart configuratie scherm gedeelte voor de modern(voorheen metro)interface instellingen en een voor de klassieke interface. In Windows 10 is dit nu enigszins logischer samengebracht. Het configuratie scherm is iets moderner gemaakt maar lijkt toch nog vertrouwd op het oude configuratiescherm van windows7. Ook heeft windows10 nu de mogelijkheid om meerdere virtuele desktops te gebruiken zoals op verschillende linux grafische desktops(KDE, Gnome XFCE etc.) mogelijk is. Technisch gezien voor gamers is interessant om te vermelden dat Windows 10 geleverd wordt met DirectX 12 wat veel snellere en redelijk energie zuiniger API voor de grasfichekaart is t.o.v vorige versies van DirectX. Ook komt Windows 10 met een nieuwe extra webbrowser genaamd Edge (had voorheen project titel: Spartan). Deze nieuwe webbrowser komt naast Internet Explorer beschikbaar op Windows10 zodat Internet Explorer nog steeds gebruikt kan worden voor oude website’s die daar alleen met IE werken. Edge is een snelle moderne webbrowser die zich goed aan de webstandaard houdt. Zo ondersteunt Edge javascript promises wat vooral ajax code veel eleganter(leesbaarder) kan maken. Edge is ook snel in sommige benchmarks. Edge is ook een stuk veiliger dan Internet Explorer doordat het geen ondersteuning meer biedt voor ActiveX. ActiveX componenten werdt in het verleden gebruikt voor programma’s in de webbrowser te draaien en staat bekent als redelijk onveilige technologie. Verder heeft Edge met de mogelijkheid om extensies te installeren, net zoals Firefox en Chrome. Als laatste komt Windows 10 nog met een digitale assistente. Deze digitale assistente, genaamd Cortana, kun je dingen laten doen door voice control(microfoon vereist) of voor zoeken. Omdat Cortana veel kan, heb ik nog mijn bedenkingen voor de privacy gevolgen van Cortana gebruik. Anderzijds veel intelligentie offline opslaan en up to date is denk ik ook onpraktisch. Dus voor degene die meteen upgraden naar Windows 10, het is zeker aan te raden de privacy instellingen goed door te lopen. Windows 10 brengt vele verbeteringen qua grafische interface uit de lessen van Windows8 getrokken zijn. Verder zijn een paar leuke toevoegingen en bedenkelijke toevoegingen maar uiteindelijk is het waarschijnlijk het upgraden het wel waard omdat het gratis is. Maar alleen je het juist doet zonder alle standaard privacy schendingen in windows10.

Truecrypt verklaart zichzelf onveilig

woensdag, juni 4th, 2014

Truecrypt is een populair opensource encryptie programma voor schijf encryptie en container encryptie gebruikt kan worden.
Maar sinds kort is er een nieuwe versie verschenen die alleen nog maar truecrypt parities en containers kan ontsleutelen.
In eerste instantie was het onduidelijk of de truecrypt ontwikkelaars dit echt zelf gedaan hadden maar dit zeer waarschijnlijk is wel het geval.
Truecrypt waarschuwt vooral voor het gebruik van truecrypt in combinatie met windows besturingssystemen lijkt het.
Er wordt niet uitgelegd wat truecrypt onveilig maakt maar met de opkomst verplicht ondertekenen bij UEFI secureboot om een bootloader is er al een probleem voor volledige schijfencryptie met truecrypt in de toekomst.
Het gebruik van containers bestanden onder windows besturingssytemen is waarschijnlijk niet veilig omdat het wachtwoord/de encryptie sleutel naar pagefile of hibernate.sys bestand kan lekken. Truecrypt kan dit zelf niet verkomen omdat het windows besturingssyteem niet kan aanpassen om dit te verkomen. De truecrypt ontwikkelaar raadt als alternatief voor windows Bitlocker aan, dat onder windows veel meer toegang geeft tot de windows besturingssysteem zelf en daarmee ook zulke problemen kan verkomen. Maar het bitlocker alternatief wordt niet zo gewaardeerd door vooral truecrypt gebruikers omdat het gesloten broncode is en daarmee niet verifieerbaar is dat het programma geen ontsleutel achterdeurtje heeft voor overheden, alleen een belofte. Het is nu het beste truecrypt niet meer te gebruiken voor informatie met classificatie: STG.Zeer Geheim/STG.Geheim maar voor informatie met de classificatie Confidentieel zou het gebruik van truecrypt nog wellicht nog wel gerust gebruikt kunnen worden. Ik vermoed niet dat de gemiddelde laptop dief gaat proberen je truecrypt paritie te ontsleutelen toch is het wenselijk geen informatie met classificatie topsecret/secret in combinatie met truecrypt meer te gaan beveiligingen. In het geval je laptop dief toch een crypto expert kent en erg geïnteresseerd is.. Maar de beveilingsaudit van truecrypt door crypto experts heeft nog geen beveiligingsproblemen kunnen vinden die van truecrypt nocrypt maakt.

Whatsapp overgenomen door Facebook

zaterdag, februari 22nd, 2014

De sociale netwerksite Facebook heeft de Whatsapp mobiele applicatie overgenomen.
Whatapp is het populaire alternatief voor SMS op de telefoon dat meer functies dan SMS biedt en gratis* over internet gebruikt kan worden. Facebook dat vorig jaar naar de beurs ging geeft voor deze grote overname in totaal ~$19 miljard betaald waarvan wel een gedeelte met Facebook aandelen aan de oprichters van Whatsapp afgestaan zijn. Het was al langer bekend dat Facebook vooral zijn mobiele strategie aan het uitbreiden was. Probleem is wel voor Facebook dat Facebook en Whatsapp een totaal anders verdien model hebben. Whatsapp krijgt zijn inkomsten uit app aankopen terwijl Facebook het met advertenties zijn geld verdient. Vooralsnog lijkt Whatapp nu een zelfstandig bestaan te behouden maar het is me nog onduidelijk hoe deze bedrijven samen verder gaan. Mogelijk dat whatapp met Facebook te kopelen wordt of iets anders. Whatsapp kende 400 miljoen actieve gebruikers die samen 31 miljard berichten per dag versturen. De kans is groot dat dit eerste instantie niet iets positiefs overbrengt op het aantal gebruikers van whatsapp vanwege het niet positief imago van Facebook met betrekking tot privacy. Ook kunnen er andere problemen voordoen. Zeker als je terugkijkend op de ervaringen van de overname van Skype door Microsoft voor 8,5 miljard dollar waarbij ook eerst ook veel weerstand om diverse redenen was. Aan de andere kant is Whatapp zo populair dat het een nuttige app is voor vanalles geworden is die je niet zomaar kunt opgeven. Zo wordt er bijvoorbeeld met whatsapp een groeps gesprek gemaakt om met je lokale buurt nuttige informatie te delen.

Bitcoins

dinsdag, april 9th, 2013

BTCEr zijn nogal wat dingen die met het digitaal bitcoin geld mis kan gaan. Naast de voordelen die bitcoins hebben.
Maar niet alles hoeft een ramp voor dit digitaal geld te zijn.
Kort overzicht van de bitcoins problemen die mogelijk kunnen optreden:
Probleem 1: oversell
De bitoins ealier adopters hebben veel bitcoins. Als die in een keer veel verkopen kan dit een schommeling veroorzaken of in meest ernstige geval een crash door paniek verkopen.
Probleem 2: exchange vertrouwen
Als een bitcoin handelplatvorm de prijzen manipuleert en gebruikers erachter komen kan dit gevolgen hebben voor acceptatie van bitcoins.
Ook zijn het alleen de handelplatvormen die de bitcoin prijs bepalen zonder dat er controle is van enige overheid of instantie zonder winst belang.
Probleem 3: bugs
SHA256 is nog niet zo oud er zou een manier voor een snellere hash collision gevonden kunnen worden. Als het SHA256 hashing algoritme dan minder blijkt kan het minen weer aantrekkelijk worden met het gevolg dat de bitcoins schaarste opeens afneemt en de prijs flink kan kelderen.
Het netwerk van bitcoin client kan ook ergens kwetsbaar voor zijn, wat bijv. het verzenden van bitcoins onmogelijk of opeens moeilijk maakt.
Probleem 4: interventie
Alhoewel bitcoins een decentraal netwerk is, kan het accepteren van bitcoins wel verboden worden.
Ook kan het handelen met bitcoins kan aan banden worden gelegd. Het netwerk zelf uitschakelen is wel lastig. Als bitcoins een ernstige bedreiging wordt voor het niet digitaal geld kan dit een rede voor interventie worden.
Probleem 5: Moreel bezwaar.
Bitcoins minen kost veel elektriciteit dit dreigt een milieu ramp te worden als dit grotendeels met niet hernieuwbare energie bronnen is.
Verder is er een probleem dat de bitcoins software steeds meer schijfruimte nodig heeft. Het zijn geen paar bits meer maar nu al rond de 38 GB(4 jan 2015) om de volledige blockchain te downloaden gelukkig is het downloaden van de volledige blockchain nu niet meer nodig in de laatste versies van de officiële bitcoin software.

Er zijn ook veel goede dingen aan bitcoins ze bestaan al sinds 2009 en zijn er nu nog steeds. De koers wordt steeds stabielere en er zijn steeds meer mensen en winkels die bitcoins accepteren. Als je mijn om advies vraagt over bitcoins dan krijg je dat niet omdat ik geen glazenbol over de toekomst van bitcoins heb en ook niet jouw keuze mogelijk verkeerd wil beïnvloeden doordat veel bent kwijt geraakt of de boot gemist hebt.

Google experimenteert met Augmented Reality brillen

donderdag, april 19th, 2012

Al eerder experimenteerde google zelf met rijdende auto’s (video), maar nu gaat google nog een stapje verder met
sci-fiction achtige technology. Google is een pilot programma gestart met brillen die je het zicht van de echte wereld van informatie kunnen voorzien door
transparante beeldscherm in een bril te stoppen. Deze technologie, ook wel Augmented Reality genoemd, is ook al voor lenzen beschikbaar.
Over de beeld kwaliteit e.d. van de bril waarmee google een demonstratie video maakt is nog niet veel bekent.
Aan augmented reality brillen kleven nog de nadeel dat huidige batterijen/accu’s nog te groot zijn of anders niet lang meegaan. Daarnaast kan de augmented reality bril of lens je niet van informatie voorzien worden als er geen draadloos netwerk is. En er zijn nog veiligheidsproblemen, zoals de gevaren die batterijen kan leveren of straling die te dicht bij het hoofd is.
Deze problemen zullen eerst opgelost moeten worden wil het meer dan sci-fiction worden. En hopelijk ziet het er ook nog cool uit.

DNS servers KPN gekraakt

maandag, februari 13th, 2012

Vorige week zaterdag gaf KPN een code rood qua beveilig situatie uit. Rede: hackers hadden toegang tot de interne netwerk van KPN gekregen via verouderde software op een van de servers van KPN. De hackers zeiden dat ze konden alles doen, ook hadden ze toegang tot de DNS servers van KPN. Als bewijs is het administrator wachtwoord voor het beheer van de DNS server op internet geplaatst.
De hack van de DNS server is ernstig omdat als de hackers daadwerkelijk de DNS servers aanpassen hadden een groot deel van de 2 miljoen klanten mogelijk niet meer de legitieme websites kunnen kregen. De meeste mensen kiezen gebruiken immers automatisch hun DNS server van de provider omdat hun router en besturingssysteem dat automatisch doet. Dit is ook weer een goede reden dat men DNSSEC implementeert, want de dns zones die met DNSSEC beveiligt waren konden door de kraakt op de dns server van KPN vervalst niet werken.
KPN kwam toen vorige week zondag uit met het statement dat er ‘geen gegevens gekopieerd waren maar alleen gezien’ echter is zo’n statement dubieus je kunt immers alles wat je ziet kopiëren. Dus een paar uur later plaatste een grapjas op pastbin.com, een populaire website voor het plaatsen van teksten, de klantgegevens van KPN klanten die uit een andere datalek (zoals er iedere dag zo veel zijn, kijk maar eens op datalossdb.org). Wat onder veel klanten tot onnodige paniek leed. En vervolgens heeft KPN terecht uit voorzorg, in eerste instantie. de mailserver offline gehaalt. Wat helaas voor KPN klanten tot veel hinder lijden, wat niet bepaalt ongemerkt ging.

Verbeteringen foto schaal algoritme

vrijdag, februari 10th, 2012

pixelatedAls je een foto van een digitale camera of scanner gaat vergroten of sterk verkleinen dan ken je dit probleem wel de afbeelding wordt minder scherp en de pixels worden opgetrokken tot blokjes bij sterke vergroting van een fotos. Echter Dani Lischinski van de Hebrew University is het gelukt de vorming van deze blokjes bij sterke vergroting van een foto, ook wel pixelated genoemd, sterk te verminderen. Hij doet dit door niet elke pixel op de zelfde manier te verplaatsen maar juist door vormen samen te stellen van enigszins overeenkomende kleuren van pixels. Op die manier is het mogelijk een sterk vergrote foto er scherper uit te laten zien. Natuurlijk als je geen foto’s maar plaatjes hebt kun je altijd perfecte kwaliteit bij het schalen ervan krijgen door een vector afbeelding (svg) te gebruiken.

6 juni is IPv6 Launch dag

dinsdag, januari 24th, 2012

IPv6 launch banner (made by Internet Society)InternetSociety samen met Microsoft®, Google®, Facebook® en Yahoo® hebben aangekondigd dat ze vanaf 6 juni 2012 IPv6 gaan aanzetten en aan laten. Dat betekent dat vanaf die dag websites de genoemde IT bedrijven zowel over IPv6 als het oude IPv4 bereikbaar zijn op hun hoofdpagina. Echter gaat het niet zonder problemen in zeldzame gevallen kunnen mensen verbindings-problemen krijgen.
Dit is het geval wanneer je een niet werkende Teredo tunnel gebruikt. Je besturingssysteem probeert dan 21 seconden lang of 75 seconden lang via IPv6 te maken i.v.p. IPv4. Maar omdat je IPv6 tunnel niet werkt zal de website 21 of 75seconden lang onbereikbaar zijn.
Veel gebruikers houden er al na 10 seconden met wachten mee op, de vraag is dan of ze hun eigen probleem begrijpen.
De oplossing is om de Teredo tunnel uit te zetten maar hoe moet een computerleek dat te weten zonder dat ze daar instructies voor kan krijgen na 5 juni 2012.
Aan de andere kant is het goed dat er een fout optreedt. Je wilt waarschijnlijk geen niet werkende IPv6 tunnel hebben.
Aan de andere kant omdat het verbinding probleem zichzelf oplost kan de computerleek denken dat het probleem aan Microsoft, Google, Facebook of Yahoo ligt vanaf 6 juni 2012 wat niet het geval is. Helaas, als je nu al een gebroken Teredo tunnel hebt dan zul je deze website pas na 21 of 75 seconden kunnen bereiken omdat d9ping.nl al dual stack draait, dus effectief je hiervan op de hoogte brengen kan ik hier niet.
De hoeveelheid IPv6 verkeer is nog niet bijzonder(<1% en dat is voornamelijk googlebot) laten we hopen dat providers, router fabrikanten, software- en hosting bedrijven en consumenten eindelijk mainstream gaan met IPv6 in 2012 want het lijkt steeds meer een ‘het is nu of nooit’ te worden.

SOPA gaat met DNS prutsen

maandag, december 19th, 2011

DNS servers vormen een gedeeltelijke kritisch onderdeel van het internet.
Een dns server zorgt ervoor dan een internet naam in ip adres nummers omgezet worden.
Hierdoor hoeft men geen nummers hoeft te onthouden om een website te bezoeken. Het ‘web’ en ook software is allemaal sterkt afhankelijk van dns.
DNS verkeer kan zowel TCP als UDP pakketjes zijn. In de praktijk zijn het bijna altijd UDP pakketjes.
UDP t.o.v. TCP is simpel, snel en onveiliger. DNS heeft jaren lang goed gewerkt omdat men zich er weinig mee heeft bemoeit. Echter de afgelopen jaren bleek het toch wenselijk te zijn dns verkeer tegen vervalsing te beschermen met DNSSEC.
Echter dreigt het vertrouwen in DNS wel eens ondermijnt te worden onder het nom van piraterij bestrijding.
SOPA is een nieuwe wetgeving van de verenigde staten die websites die piraterij veroorzaken, hun website dns zone deze niet meer correct laat functioneren.
Dit is onverstandig om dit te doen omdat de garantie dat een website dns naam je ook bij het juiste ip adres van de webserver brengt nu meer twijfelachtig geworden is.
Stel je gaat naar de website van je bank, je hebt het (dns) adres juist ingevult. Dan wil je echt zeker weten dat je de website van de bank krijgt.
Zoals ik al zei, dns werkt goed omdat we jarenlang (blind?) vertrouwen in dns servers hebben. Dat een dns server altijd het correcte resultaat teruggaf van de eigenaar van de desbetreffende dns zone van het adres van de website die je invulde.
Om correctheid van een dns zone echt te garanderen, i.v.p. er blind op vertrouwen dat je dns server correct is, is dnssec bedacht. Dnssec is dus een vrij gecompliceerde techniek is om te garanderen dat het dns resultaat klopt. Echter als door de nieuwe SOPA wetgeving kan de Amerikaanse overheid in dns servers in de VS, dns antwoorden gaan om websites die piraterij veroorzaken te blokkeren, echter doordat dns ongeautoriseerd is aangepast (niet door dns zone eigenaar) slaat DNSSEC hier juist “alarm”.
SOPA ondermijnt dus de DNSSEC technologie. Daarnaast werkt SOPA ook censuur in de hand want als een overheid een dns zone mag aanpassen dan gaan je een websites die ongewenste informatie over een overheid geeft, diep in de inhoud op auteursrechten problemen graven om onder dat de website te laten blokkeren. Gelukkig kun je feiten niet onder het auteursrecht laten vallen, echter SOPA is omstreden zeker voor grote media website met zowel legale bronnen als illegale bronnen, dan is het hele domein blokkeren hetzelfde als met een shotgun een mug schieten. Het kan ook anders. Allemaal even te snel en ingewikkeld? deze youtube video legt het nog eens uit.

“Secure”boot is al gekraakt

woensdag, november 23rd, 2011

Mircosoft Windows® 8 de RTM release moet nog uitkomen maar de secure boot feature is al te omzeilen.
De secure boot feature moest het mogelijk maken niet ondertekende besturingssystemen weigeren op te opstarten als beveiliging tegen kwaadaardige malware, die zich in het opstart process van het systeem nestelt.
Peter Kleissner een Australische onafhankelijken beveiligingsonderzoeker heeft de vereiste ondertekening voor
het laden van het besturingssysteem weten te omzeilen. (bron)
Hij kon de secure boot feature omzeilen door een rootkit de Master Boot Record van de hardeschijf te schrijven. Dit toont aan dat secure boot niet volledig veilig is. Al eerder was er kritiek op de secure boot feature van windows8 en BIOS fabrikanten omdat dit het opstarten
van niet ondertekende besturingssystemen zoals Linux en FreeBSD uitsloot.

“Secure Boot” linux exterminator started..

woensdag, oktober 19th, 2011

“Secure boot” is een nieuw feature in windows8 dat het opstarten van een bestringssysteem veiliger moet maken tegen malware doordat het vereist dat het besturingssysteem ondertekent is. Echter is er terecht kritiek op “secure boot” dat het gebruik van openbron besturingsystemen zoals linux, lastig maakt. Dit is omdat openbron software vereist dat de broncode van het besturingssysteem allemaal gepubliceerd wordt, dit maakt het ondertekenen van een openbron besturingssysteem onmogelijk. Nog erger is dat secure boot onderdeel is van het BIOS en het nog maar de vraag of alle BIOS fabrikanten überhaupt een optie inbouwen die de mogelijkheid biedt secure boot uit te zetten. Als dat niet mogelijk is dan is het installeren van een alternatief niet ondertekent besturingssysteem onmogelijk. En wordt de gebruiker van het systeem dus ingeperkt in keus voor een besturingssysteem op zijn systeem. Echter al kan secure boot uitgezet worden, dan nog blijven er een aantal problemen met secure boot. Ten eerste zal secure boot de installatie van andere alternatieve besturingssystemen lastiger maken. Dit is een probleem omdat dit mogelijk de adoptie van mensen die een openbron besturingssysteem willen uit proberen tegenhoudt. Dit is omdat men niet weet hoe “secure boot” uitgeschakeld kan worden. Verder is het nog maar de vraag of het ondertekenen van een besturingssysteem echt het laden van malware tegen gaat. Het is nog steeds mogelijk dat malware geldig ondertekent wordt. Zo was bijvoorbeeld het beruchte stuxnet virus geldig ondertekent met gestolen Realtek certificaten. Omdat secureboot zoveel impact heeft op de vrije keus van een besturingssysteem is de free software foundation daarom een petitie tegen de secure boot feature begonnen. De free software foundation wil minstens de garantie dat de secureboot uit of aan kunt zetten. Waardoor er de garantie is dat niet ondertekende besturingssystemen nog wel te installeren en starten zijn.

DART het object georiënteerd ”alternatief” voor javascript

vrijdag, oktober 14th, 2011

DARTDART is een nieuwe programmeertaal gemaakt door Google, die als object georiënteerd vervanger van ECMAScript/javascript moet worden. Nu werkt DART echter nog als een vertalen van DART naar Javascript.
Object georiënteerde programmeren is er bij javascript niet echt bij. Het is mogelijk niet classes e.d. aanmaken en overerving toe te passen, Javascript geeft ook niet echt methodes. Javascript werkt daarom niet echt productief als je een groot javascript HTML5 web applicatie wilt gaat maken. DART probeert dit op te lossen doordat het wel classes, methodes en overerving toelaat. Huidig werkt de DART compiler als een vertaler van DART code naar Javascript code. Maar het zou ook mogelijk moeten worden DART in de webbrowser te gaan draaien in een soort “virtuele machine”. Ik heb eerlijk gezegd nog geen idee wat dit inhoud of dart native ondersteunt word. DART is vooralsnog zo nieuw dat er maar één ontwikkeltool voor DART is en die is online in de browser. Google heeft al laten lekken dat DART op den duur wel het beveiligings probleemtaal ECMAScript/Javascript moet gaan vervangen.

HTTPS met TLS 1.0 gekraakt

dinsdag, september 20th, 2011

Er is een lek in de SSL opvolger TLS 1.0 gevonden en gedemonstreerd dat cookies gestolen konden worden.
Dit betekent dan SSL/TLS alleen nog maar met SSL 3.0 veilig is onder Firefox omdat TLS 1.1 en 1.2 nog steeds niet ondersteunt worden. SSL 3.0 is ook onveilig.
Onder Internet Explorer8 en hoger kan het wel maar je moet het wel even zelf aanzetten om het veilig TLS 1.1 en 1.2 te kunnen gebruiken.
Opera en en google chrome zijn veilig want zijn gebruiken TLS 1.1 en TLS 1.2 standaard al.
De instellingen voor internet explorer onder Internetopties, tab: Geavanceerd moet dan als volgt ingetelt zijn voor een veilig versleutelt internet.
aanbevolen instellingen
De meeste webserver ondersteunen echter nog steeds geen TLS 1.1 en hoger vandaar dat we TLS 1.0 voor nu nog aanlaten. Deze webserver ondersteunt wel al TLS 1.2 en TLS 1.1 met mod_gnutls.
Let verder ook op welke Certificate Authority(afgekort: CA) het certificaat uitgegeven heeft. Als dit het failliete Diginotar is dan kan de verbinding afgeluisterd worden.

Preview Windows8

zondag, september 18th, 2011

Microsoft heeft tijdens de windows8 The Build conference een lange demo van het nieuwe aankomende windows8 besturingssysteem gegeven.
Nieuw in windows8 is dan naast de standaard Aero uiterlijk een Metro style uiterlijk komt voor HTML5 applicaties met touchscreen ondersteuning.
De HTML5 applicatie kunnen geschreven worden in andere talen dan het HTML5/javascript omdat de metro functies via een nieuwe ingebouwde API in de Windows kernel aangesproken worden. Het idee van de Windows metro applicaties is dat de goed integreren met andere functie windows8 verkenner met ribbon interface van de metro user interface waardoor applicatie aan elkaar functionaliteit toevoegen. Zo kan een opslaan bestand venster in een teken programma ook, meteen ook foto’s naar Facebook uploaden als je een foto upload metro style app geïnstalleerd hebt, ook al ondersteunt je teken programma dit niet. De metro style programma’s moeten dus beter met elkaar gaan samenwerken. Verder start windows8 sneller op, in mijn virtualbox virtuele machine met windows8 (2GB RAM, 1 processor, i5, 2.3 Ghz) duurde een koude opstart ongeveer 16 seconden. Verder verbruikt windows8 minder geheugen zodat er meer geheugen is voor programma maar ook maakt het mogelijk dat windows8 eerder op niet krachtige systemen werkt zoals tasbles. Uit mijn ervaring is het hebben van een touchscreen scherm wel een must voor windows8 gezien het hele metro style zonder niet de ervaring oplevert waarvoor het gemaakt is. Alle oude window7 vensters zijn nog steeds aanwezig in windows8 echter het startmenu is verandert en de Windows toets (in developer preview windows8) wordt nu gebruikt om te wisselen tussen aero en metro user interface.
Verder heb ik nog getest of mijn .net applicatie nog werken op windows8 dit blijkt het geval te zijn maar .NET framework wordt nu niet meer standaard voor geinstalleer. Windows8 vraagt wel netjes om .NET framework van het internet te downloaden als het denkt dat je een .NET applicatie gaat installeren/gebruiken. Waarschijnlijk is dit gedaan om de installatie van windows8 kleiner te maken. Windows8 64bit developer preview heeft minimaal een partitie van 9,2 GB nodig. Verder is er in windows8 ook nog een nieuwe uitstand toegevoegd, de “hibernate ready”, wat eigenlijk dus helemaal uitzetten en hele geheugen naar harddisk schrijven maar dan in hibernate ready zonder applicaties, zodat je hetzelfde effect hebt als een koude opstart.

Mogelijk afschaffing Hadopi en invoering downloadbelasting

zondag, september 11th, 2011

In Frankrijk hebben ze al een jaar de Hadopi wetgeving die downloaden uit illegale bron bestraft met een waarschuwing. Naar 3 waarschuwingen is een afsluiting van het internet tot gevolg.
Echter is de wetgeving nauwelijks uitvoerbaar.
Ten eerste moeten er letterlijk miljoenen eersten en tweede waarschuwing verstuurt worden naar Fransen. Dit is al erg duur voor internet service providers die dit moeten uitzoeken. Maar ook de manier om downloaders uit illegale bron downloaden te kunnen pakken door Deep Packet Inspection toe te passen is niet wenselijk voor de privacy van Fransen. Een Franse minister heeft echter laten weten dat Frankrijk overweegt een download belasting in te voeren. Een download belasting is geen oplossing voor piraterij echter is het makkelijker uitvoerbaar dan alle Fransen surfers (dan wel automatisch) afluisteren en massa’s waarschuwingen proberen te versturen. Echter kleeft er ook een lastig probleem aan de manier hoe het geld door deze belasting weer moet worden uitbetaalt aan rechthebbende en hoeveel. Wat vast staat dat downloaden uit illegale bron veel gebeurt, hoogstwaarschijnlijk omdat het te gemakkelijk is.