Categorieën

Recente berichten

Maps in CryEngine3 zijn realtime te testen

juni 25th, 2012 • AmusementReacties uitgeschakeld voor Maps in CryEngine3 zijn realtime te testen

Level designer die met level editor voor bepaalde game editor werken zijn het wel gewend dat nadat je alle game objecten op je nieuwe ontworpen map geplaatst hebt je moet wachten om schaduwen e.d. te berekenen voordat je de map kunt gebruiken.
Echter met CryEngine3 is nu mogelijk om realtime je map te testen. Dit maakt het veel gemakkelijker om maps te ontwerpen voor games die met de CryEngine3 ontworpen zijn. Ook is het mogelijk om spel karakter in het spel zelfstandig het meest logische pad dat ze moeten gaan lopen te laten uitzoeken door alleen het begin punt en eind op te geven. Voorheen was het noodzakelijk punten op de map aan te geven die het spel karakter volgde.
Verder biedt de nieuwe CryEngine3 game engine erg realitsche weergaven van water en er is reflectie van objecten op de map automatisch door gevoerd op andere game objecten op de map. Er kan dus wel gezegd worden dat CryEngine3 map design een stuk makkelijker maakt.
Verder zijn de grafische hoogstandjes die met de CryEngine3 mogelijk zijn ook niet misselijk. Bekijk de technische video van de CryEngine3 woordvoerder op de E3.
De CryEngine3 SDK is kosteloos beschikbaar voor projecten die niet commercieel zijn. De belangrijkste concurrent de Unreal Development Kit game engine is ook gratis beschikbaar.

Cookie verbod en CSRF tokens

juni 2nd, 2012 • WebReacties uitgeschakeld voor Cookie verbod en CSRF tokens

Het cookie verbod dat het gebruik van cookies zonder dubbelzinnige toestemming aan banden legt is ingegaan. Zoals je misschien al gezien hebt, moet nu voor het plaatsen van een cookie toestemming gevraagd worden. Dit is goed als het om privacy van internetters gaat zodat adverteerde gedwongen worden niet meer standaard advertenties te personaliseren met cookies zonder toestemming. Aan de andere kant kan cookies ook essentieel zijn voor website functionaliteit en soms voor beveiliging op het web. Een punt waar cookies bijvoorbeeld nodig zijn is bij het onthouden van het winkel mandje in een webshop. Na het aannemen van deze wet zal het waarschijnlijk betekenen dat veel webwinkels je nu gaan verplichten om in te loggen om je winkelmandje te laten gebruiken. Er is immers een sessie cookie nodig om je te kunnen identificeren en je winkel mandje te kunnen onthouden. Aangemelde gebruikers hebben met het cookie gebruik ingestemd in de algemene voorwaarde bij het aanmelden. Soms kan het cookie verbod ook de beveiliging op het web treffen. Een punt waar gebruikers beveiliging gepakt kan worden is dat cookies niet meer als token gebruikt kunnen worden om cross site request forgery te voorkomen. Hoe dit werkt is dat een sessie cookie en een token verborgen in het formulier gezet worden om te controleren dat een bezoeker dit formulier echt bezocht heeft. Zonder cookie controle kan een verzoek van een andere kwaadaardige of gehackte website met sql injecties of XSS(ook slachtoffer) afkomen. Een oplossing om dit zonder cookies en tokons te doen is om ieder formulieren van een CAPTCHA te voorzien. Echter dit is niet mogelijk om dit voor alle formulieren te doen en erg gebruikers-onvriendelijk is. Een andere oplossing is de HTTP referrer/origin header controleren. Echter niet iedereen verstuurt graag een referrer HTTP header om privacy redenen. Dit is omdat een HTTP referrer aan een website vertelt vanaf welke website iemand een website bezocht wat niet altijd wenselijk is. Verder kan een adverteerder zonder cookies nog steeds bezoekers volgen met andere technieken zoals met de ETag HTTP header die gebruikt wordt voor caching. Dus denk niet dat de privacy is nu door een cookie verbod volledig veilig is geworden maar het is nu wel een stuk lastiger om privacy te schaden omdat het juridisch via cookies niet meer zonder toestemming mag.
update: cookies mogen wel wanneer het strikt noodzakelijk is voor een door een gebruiker gevraagde dienst.

Nieuwe Ubuntu 12.04 LTS uitgegeven

mei 5th, 2012 • LinuxReacties uitgeschakeld voor Nieuwe Ubuntu 12.04 LTS uitgegeven

Ubuntu Circle of FriendsEen nieuwe Long term support(LTS) uitgaven van Ubuntu versie 12.04 is vorige week uitgegeven.
Ubuntu is een gebruiks-vriendelijke linux distributie gebaseerd op de debian unstable linux distributie. Na de Ubuntu versie 10.04 LTS is Ubuntu niet meer de Gnome grafische shell gaan gebruiken maar de Unity grafische shell. Ook is Wayland i.p.v. X11(X Window System) protocol voor beeldscherm aansturing na de vorige LTS versie van ubuntu in gebruik genomen. Ubuntu is met de Unity grafische shell beter geschikt voor netbooks en tablets. Omdat alles er meer ‘app’ achtig uitziet. Zo is met Unity grafische shell vaker mogelijk programma’s op te starten met slechts één of twee klikken. Anderzijds was het voor desktop gebruiker met veel programma’s en open vensters een flinke stap terug qua usability omdat programma’s minder duidelijk georganiseerd zijn en de manier om te wisselen tussen verschillende vensters niet meer zo gemakkelijk is met de Unity grafische shell. Gelukkig is bij linux altijd mogelijk alles aan te passen en dus als je Unity niet bevalt dan is het installeren van een andere grafische shell, zoals xfce of kde mogelijk. De vorige half jaarlijkse 11.10 had nog standaard een gnome2 klassieke shell toegevoegd echter is die in versie 12.04 LTS nu niet standaard meer geïnstalleerd. Wel bijzonder aan ubuntu 12.04 is de toegevoegde transpart venster dat je kan oproepen bovenop alle vensters, de zogenaamde HUD. De HUD maakt het mogelijk acties uit te voeren door iets te typen op het programma dat je open hebt. Hierdoor zou het mogelijk moeten zijn door te typen elk programma te kunnen aansturen. Verder komt ubuntu 12.04 met meer privacy opties, zo kun je in de privacy opties van het control paneel van Unity nu aangeven welke recente geopende bestandstypen bewaart moeten worden in de lijst met recent geopende bestanden en programma’s.

Google experimenteert met Augmented Reality brillen

april 19th, 2012 • IT nieuwsReacties uitgeschakeld voor Google experimenteert met Augmented Reality brillen

Al eerder experimenteerde google zelf met rijdende auto’s (video), maar nu gaat google nog een stapje verder met
sci-fiction achtige technology. Google is een pilot programma gestart met brillen die je het zicht van de echte wereld van informatie kunnen voorzien door
transparante beeldscherm in een bril te stoppen. Deze technologie, ook wel Augmented Reality genoemd, is ook al voor lenzen beschikbaar.
Over de beeld kwaliteit e.d. van de bril waarmee google een demonstratie video maakt is nog niet veel bekent.
Aan augmented reality brillen kleven nog de nadeel dat huidige batterijen/accu’s nog te groot zijn of anders niet lang meegaan. Daarnaast kan de augmented reality bril of lens je niet van informatie voorzien worden als er geen draadloos netwerk is. En er zijn nog veiligheidsproblemen, zoals de gevaren die batterijen kan leveren of straling die te dicht bij het hoofd is.
Deze problemen zullen eerst opgelost moeten worden wil het meer dan sci-fiction worden. En hopelijk ziet het er ook nog cool uit.

Kenmerken correcte security incident response

april 4th, 2012 • OverigReacties uitgeschakeld voor Kenmerken correcte security incident response

Voor het antwoorden als een bedrijf op een beveiliging probleem heeft een bedrijf van te voren vast gesteld hoe het reageert op een bepaald beveiligings-incident.
Een goed antwoord op beveiligings-incidenten hebben een aantal kenmerken, die belangrijk zijn:
1. Alle beveiligingsincidenten worden gemeld.
2. Het antwoord is de volledige waarheid. Wat je niet weet zeg je niet of dat ga je/ben je nog aan het onderzoeken.
3. Het antwoord komt uit een van te voren vastgestelde bron.
4. Niet gericht op de hacker/melder vooral als er geen schade is. (zonder reputatie schade, want die is er altijd, dus ‘genezen’ kost reputatie, altijd.)
Dit zijn 4 regels regels waaraan goede security incident response herkent kan worden.
Ik begrijp dat een security incident response best lastig is, er zijn tegengestelde belangen. Er geldt altijd: voorkomen is beter dan genezen. Maar als je een voorbeeld wilt hebben van hoe het niet moet kijk dan maar naar de laatste KPN hack. Hierin was wat een bedrijf denkt als feit presenteert (punt2), deze miscommunicatie leed uiteindelijk tot meer schade. Overigs vele male erger is een kritische beveiligings-incident die niet gemeld worden. Hoe vaak is sony gehackt? En het kan nog erger als je het niet weet dat er een kritisch beveiligingsprobleem is en het actief misbruikt wordt al jaren.

overzicht 1april grapen

april 1st, 2012 • AmusementReacties uitgeschakeld voor overzicht 1april grapen

Eén april is een dag op internet waar je beter heel sceptisch kunt zijn over het nieuws dat er is.
Een overzicht van enkele leuke 1april grappen:
– Google introducteert een 8-bits versie van google maps.
Age of Empires Online introduceert de nieuwe natie the neanderthals.
– de complete youtube collectie op DVD.
– TomTom helpt het stress niveau van auto rijders met baby te verlagen.
– Gmail komt met morse versie uit gmail tap.
– Toshiba introduceert tablets in andere vormen.
Skype komt uit met een skype versie voor een draadje zonder internet.
– reddit.com komt met een bijzondere timeline.
– F-secure vindt een heel gevaarlijke software op een usb stick dit advance persistent threat (APT) is zoud de mogelijke veroorzaker van het zinken van de titanic kunnen zijn.. aldus F-secure op 1 april.

NoteFly 3.0 uitgegeven

maart 20th, 2012 • Freeware/opensourceReacties uitgeschakeld voor NoteFly 3.0 uitgegeven

notefly 3.0De volgende major versie van NoteFly uitgegeven, vooral nieuw aan deze versie is de mogelijkheid van vertaling voor het programma toe te passen. Hiervoor heb ik GNU Gettext met behulp van gettext-cs-utils gebruikt. Ook is het downloaden en installeren van plugins voor NoteFly nu in het programma verwerkt.
Daarnaast zijn er meer opties aan het instellingen venster toegevoegd zo is het nu mogelijk de standaard grootte van een nieuwe notitie in stellen. Verder zijn er nu ook mogelijk systeem wijde sneltoetsen te gebruiken als NoteFly draait voor het creëren van een notities of het openen van het beheer notities venster. etc.
Verder is er nog de mogelijk om naar notities te zoeken in beheer notities venster toegevoegd. De nieuwe versie van NoteFly is nu te downloaden.

Windows8 consumer preview in VirtualBox

maart 2nd, 2012 • Tweaks1 Reactie »

Microsoft heeft een eerste preview versie voor consumenten van windows8 gister uitgegeven. Te download op windows.microsoft.com
Nieuw in deze proefversie van windows8 is het ontbreken van het startmenu, een Metro desktop interface, Internet Explorer 10,
een ribbon interface voor de bestands verkenner en betere integratie met Microsoft cloud diensten.
Als je windows8 consumer preview probeert wilt uit proberen in VirtualBox 3.1.8 en lager dan zal Windows8 installatie tijdens het opstarten van de installatie met een bluescreen komen. Om dit op te lossen moet de standaard virtuele machine configuratie voor Windows8 een wijzigen,
hier is hoe: Zorg ervoor dat de virtuale machine gestopt is en klik op het wijzigen van de instellingen van je windows8 virtuele machine.
Ten eerste moet je de moederbordchip wijzigen. Dit doe je door in het venster instellingen, systeem te selecteren en vervolgens selecteer je de tab moederbord.
Da verander je de chipset in ICH9. Verder moet de opslag controller gewijzigd worden. Klik links op opslag en verwijder onder de opslagboom de SATA controller, vervolgens voeg je opnieuw een hardschijf toe aan de IDE controller onder de knop “voeg bijlage toe (+)”. En kies je hier je virtuele harde schijf die je voor de windows8 consumer preview wilt gebruiken. Windows8 consumenten preview kan nu onder VirtualBox 3.1.8 zonder bluescreen geinstalleert worden.

VLC player 2.0.0 released

februari 23rd, 2012 • Freeware/opensourceReacties uitgeschakeld voor VLC player 2.0.0 released


De volgende major release van VLC player is uitgekomen.
Nieuw aan deze versie is dat het de mogelijkheid biedt blue ray schijven af te spelen. VLC player is een populaire video speler die erop gericht is zoveel mogelijk video (en ook audio) formaten af te spelen. VLC player heeft veel opties, het is ook mogelijk video door de grafische kaart te laten afhandelen als de grafische video decodering biedt. Verder is VLC player opensource en heeft dus geen uniek `spyware id` zoals in de windows media speler het geval is.
VLC player is zowel voor Mac OS, FreeBSD, Linux als Microsoft Windows beschikbaar.

Fail: Anonymouse wil Root DNS DDoS’en

februari 20th, 2012 • Web1 Reactie »

Zoals je misschien al gelezen hebt zijn is de groep anonymouse van plan de root server adressen aan te vallen met denial of service aanval
om het internet op 31 maart ‘plat te leggen’ uit protest tegen SOPA etc.
Als dns niet meer werkt, omdat dns servers geen contact meer kunnen maken met de root dns servers, dan lijkt het inderdaad alsof het internet niet meer werkt. Echter ik weet nu al zeker dat het niet doorgaat of niet lukt. Wat de veel gemaakte fout is dat iedereen denkt dat het DNS systeem op het hoogste niveau, de root van het internet, uit maar 13 servers bestaat.
In werkelijkheid zijn het 13 root server adressen en dus niet maar 13 servers/computers. En die die 13 adressen gaan ook nog eens naar wereldwijd gedistribueerde datacentrums met duizenden fail over servers per adres.
Oeps, Anonymouse het is makkelijker om Facebook® plat te leggen dan de root van het DNS systeem. Een ondoordacht plan dus. Nog niet eens te spreken over het feit dat veel dns servers cachen. Ik wil ook verder geen aandacht meer aan anonymouse schenken, ik weet immer niet wie dit plan gemaakt heeft. Let wel op de datum als het de dag erna `gelukt` is en het `nieuws` is..

Patchen van BASE wachtwoord opslag

februari 17th, 2012 • Code1 Reactie »

BASE is een in PHP geschreven webinterface voor het bekijken van Snort IDS alerts die naar een database geschreven zijn.
Echter is de gebruikers authenticatie wachtwoord opslag van BASE niet bepaalt zo veilig meer als de database gestolen wordt.
Wachtwoorden worden namelijk als md5 zonder salts in database opgeslagen. Het md5 hash algoritme is tegenwoordige met rainbow tables of online via opzoek website’s eenvoudig te op te zoeken of vrij snel met een videokaart te kraken. Tijd dus om het hash algoritme in BASE te vervangen door een betere, hier is hoe md5 vervangen wordt door het sha512 algoritme met prefix en suffix salts.

Eerst passen we het bestand /includes/base_auth.inc.php aan.
Regel 332 vervangen we door:

$hash = hash("sha512", ($this->prefixsalt . $passwd . $user . "BASEUserRole" . $this->suffixsalt));

Vervolgens vervangen we regel 354 in het hetzelfde bestand met:

$cryptpwd = hash("sha512", $this->prefixsalt . $password . $this->suffixsalt);

Dan gaan we terug naar het begin van het bestand voegen we de na “var $db;” op regel 34 de volgende regels toe, waarbij we voor de $prefixsalt en $suffixsalt variabelen we een willekeurige random stuk tekst kiezen als salts.

private $prefixsalt = "veryrandomstringhere";
private $suffixsalt = "yetanotherveryrandomstring";

Vervolgens passen we in de database het wachtwoord veld aan zodat het een langere hash kan opslaan. Dit doen we met een tijdelijk PHP script die ook meteen ook een nieuwe wachtwoordhash voor de gebruiker waarmee je aanmeld in de database van BASE update.

< ?php 
$adminusername = "admin"; // acidbase gebruiker.
$aminpassword = "lamepassword"; // (nieuw) gebruiker wachtwoord.
 
error_reporting(0);
include_once("/includes/base_auth.inc.php"); 
$baseuser = new BaseUser(); 
$hash = $baseuser->cryptpassword($aminpassword ); 
$dblink = mysql_connect($alert_host, $alert_user, $alert_password);
if (!$dblink) {
    die("database settings incorrect.");
}
 
mysql_db_select($alert_dbname);
$resupdfield = mysql_query("ALTER TABLE `base_users` CHANGE COLUMN `usr_pwd` `usr_pwd` VARCHAR(128) NOT NULL AFTER `usr_login`");
$resupduserpwd = mysql_query("UPDATE `base_users` SET `usr_pwd`= '".mysql_real_escape_string($hash)."' WHERE `usr_login` = '".mysql_real_escape_string($adminusername)."' LIMIT 1");
if ($resupduserpwd && $resupdfield) {
    echo "<p>AcidBASE gebruiker updaten succesvol.<br />\n
          Je kunt dit bestand nu verwijderen.</p>";
} else {
    echo "<p>AcidBASE gebruiker updaten mislukt.</p>";
}

Pas $adminusername en $aminpassword met de gegevens van de account waarmee je inlogt op acidbase. Sla vervolgden de code hierboven op als update_user.php in de hoofdmap van AcidBASE. Vervolgens ga je naar AcidBASE webinterface en roep je update_user.php aan. Als updaten succesvol is kun je het script verwijderen, je kunt nu inloggen op AcidBASE dat gebruik maakt van sha512 met prefix en suffix salt gehashte wachtwoorden.

DNS servers KPN gekraakt

februari 13th, 2012 • IT nieuwsReacties uitgeschakeld voor DNS servers KPN gekraakt

Vorige week zaterdag gaf KPN een code rood qua beveilig situatie uit. Rede: hackers hadden toegang tot de interne netwerk van KPN gekregen via verouderde software op een van de servers van KPN. De hackers zeiden dat ze konden alles doen, ook hadden ze toegang tot de DNS servers van KPN. Als bewijs is het administrator wachtwoord voor het beheer van de DNS server op internet geplaatst.
De hack van de DNS server is ernstig omdat als de hackers daadwerkelijk de DNS servers aanpassen hadden een groot deel van de 2 miljoen klanten mogelijk niet meer de legitieme websites kunnen kregen. De meeste mensen kiezen gebruiken immers automatisch hun DNS server van de provider omdat hun router en besturingssysteem dat automatisch doet. Dit is ook weer een goede reden dat men DNSSEC implementeert, want de dns zones die met DNSSEC beveiligt waren konden door de kraakt op de dns server van KPN vervalst niet werken.
KPN kwam toen vorige week zondag uit met het statement dat er ‘geen gegevens gekopieerd waren maar alleen gezien’ echter is zo’n statement dubieus je kunt immers alles wat je ziet kopiëren. Dus een paar uur later plaatste een grapjas op pastbin.com, een populaire website voor het plaatsen van teksten, de klantgegevens van KPN klanten die uit een andere datalek (zoals er iedere dag zo veel zijn, kijk maar eens op datalossdb.org). Wat onder veel klanten tot onnodige paniek leed. En vervolgens heeft KPN terecht uit voorzorg, in eerste instantie. de mailserver offline gehaalt. Wat helaas voor KPN klanten tot veel hinder lijden, wat niet bepaalt ongemerkt ging.

Verbeteringen foto schaal algoritme

februari 10th, 2012 • Code, IT nieuwsReacties uitgeschakeld voor Verbeteringen foto schaal algoritme

pixelatedAls je een foto van een digitale camera of scanner gaat vergroten of sterk verkleinen dan ken je dit probleem wel de afbeelding wordt minder scherp en de pixels worden opgetrokken tot blokjes bij sterke vergroting van een fotos. Echter Dani Lischinski van de Hebrew University is het gelukt de vorming van deze blokjes bij sterke vergroting van een foto, ook wel pixelated genoemd, sterk te verminderen. Hij doet dit door niet elke pixel op de zelfde manier te verplaatsen maar juist door vormen samen te stellen van enigszins overeenkomende kleuren van pixels. Op die manier is het mogelijk een sterk vergrote foto er scherper uit te laten zien. Natuurlijk als je geen foto’s maar plaatjes hebt kun je altijd perfecte kwaliteit bij het schalen ervan krijgen door een vector afbeelding (svg) te gebruiken.

6 juni is IPv6 Launch dag

januari 24th, 2012 • IT nieuwsReacties uitgeschakeld voor 6 juni is IPv6 Launch dag

IPv6 launch banner (made by Internet Society)InternetSociety samen met Microsoft®, Google®, Facebook® en Yahoo® hebben aangekondigd dat ze vanaf 6 juni 2012 IPv6 gaan aanzetten en aan laten. Dat betekent dat vanaf die dag websites de genoemde IT bedrijven zowel over IPv6 als het oude IPv4 bereikbaar zijn op hun hoofdpagina. Echter gaat het niet zonder problemen in zeldzame gevallen kunnen mensen verbindings-problemen krijgen.
Dit is het geval wanneer je een niet werkende Teredo tunnel gebruikt. Je besturingssysteem probeert dan 21 seconden lang of 75 seconden lang via IPv6 te maken i.v.p. IPv4. Maar omdat je IPv6 tunnel niet werkt zal de website 21 of 75seconden lang onbereikbaar zijn.
Veel gebruikers houden er al na 10 seconden met wachten mee op, de vraag is dan of ze hun eigen probleem begrijpen.
De oplossing is om de Teredo tunnel uit te zetten maar hoe moet een computerleek dat te weten zonder dat ze daar instructies voor kan krijgen na 5 juni 2012.
Aan de andere kant is het goed dat er een fout optreedt. Je wilt waarschijnlijk geen niet werkende IPv6 tunnel hebben.
Aan de andere kant omdat het verbinding probleem zichzelf oplost kan de computerleek denken dat het probleem aan Microsoft, Google, Facebook of Yahoo ligt vanaf 6 juni 2012 wat niet het geval is. Helaas, als je nu al een gebroken Teredo tunnel hebt dan zul je deze website pas na 21 of 75 seconden kunnen bereiken omdat d9ping.nl al dual stack draait, dus effectief je hiervan op de hoogte brengen kan ik hier niet.
De hoeveelheid IPv6 verkeer is nog niet bijzonder(<1% en dat is voornamelijk googlebot) laten we hopen dat providers, router fabrikanten, software- en hosting bedrijven en consumenten eindelijk mainstream gaan met IPv6 in 2012 want het lijkt steeds meer een ‘het is nu of nooit’ te worden.

3 manieren om wifi netwerk te “kraken”

januari 3rd, 2012 • OverigReacties uitgeschakeld voor 3 manieren om wifi netwerk te “kraken”

Er zijn verschillende manier om toegang tot een wifi netwerk te krijgen.
Hier zijn de manieren waarop je moet letten, voor de beveiliging van je eigen wifi netwerk.
1. Ondermijnen van vertrouwen.
De meeste computers verbinden automatisch met een wifi netwerk als ze een wifi netwerk in de buurt met een bekende SSID(naam) zien.
no wifi ssid trust
Echter kan iemand zich voordoen als een netwerk met een bepaalde SSID(naam). Als je computer daar dan automatisch mee verbind stuur je die router automatisch je wifi sleutel toe.
Je wifi sleutel is wel in een hash code getransformeerd bij WPA 1>= maar kraken van deze hash duurt met woordenboek bruteforce kraken slechts een paar minuten, zeker met een zwakke sleutel. Bij WEP wordt de sleutel niet gehasht, het ondermijnen van vertrouwen leidt tot een directe “kraak” van het wifi netwerk.
2. Zwakke sleutels uit proberen.
Beveiliging is zo sterk als de zwakste schakel, vaak is dat de sleutel die mensen voor hun wifi netwerk beveiliging kiezen. Hou er rekening mee dat er altijd software is dat alle meeste gebruikte/populaire sleutels bij elke soort encryptie uitprobeert en daarmee een sleutel nog sneller kraakt dan alle mogelijkheden uit te proberen. Soms vragen mensen wel eens welke lengte ze voor hun wifi sleutel moeten kiezen mijn advies aan hun is dan gebruik de maximale lengte.
3. Kraak de zwakke setup
Sommige router generen automatisch een sleutel die ze vanuit de ingestelt fabriek krijgen. Deze implementaties zijn lang niet altijd veilig. Het is veel veiliger zelf een sterke sleutel in te stellen. Want de standaard gekozen sleutels op basis van de router SSID en productnummer (bron) is al vaak gekraakt en als technologie als Wi-Fi Protected Setup (WPS) is nu ook al een zwakte in gevonden die het “makkelijk” te kraken maakt. (bron)

Hoe met PHP de open_basedir map te omzeilen.

december 27th, 2011 • CodeReacties uitgeschakeld voor Hoe met PHP de open_basedir map te omzeilen.

open_basedir is een verouderde, niet volledig veilige configuratie optie om uitvoer van PHP script en toegang tot bestanden te beperken tot een bepaalde map. Echter is open_basedir niet volledig waterdicht omdat bepaalde features zoals de opgeslagen sessie’s in PHP buiten de open_basedir moeten werken.
Hier is hoe een PHP script toch bestanden uit een andere map kunt gebruiken. In een shared hosting omgeving waarin openbase_dir de enige beveiliging is, is dit dus als volgt te misbruiken.

ini_set("session.save_path", "/sessions/user2/");
putenv("TMPDIR=/sessions/user2/");
ini_set("session.save_path", "");
@session_start();

Mijn advies voor server administrators is om de webserver te “jailen”,
dit verkomt ook dat met andere scripttalen die onder de webserver process draaien misbruikt kunnen worden om hoster zijn server volledig te hacken.
Verder is het instellen van de juiste bestandspermissies belangrijk, het is ook belangrijk om het gebruik van symbolische bestands links uitschakelen.
Daarnaast kun je nog putenv en ini_set functies aan disabled_functions van php configuratie toevoegen om deze bekende manier van open_basedir restricties te misbruiken te blokkeren.

SOPA gaat met DNS prutsen

december 19th, 2011 • IT nieuwsReacties uitgeschakeld voor SOPA gaat met DNS prutsen

DNS servers vormen een gedeeltelijke kritisch onderdeel van het internet.
Een dns server zorgt ervoor dan een internet naam in ip adres nummers omgezet worden.
Hierdoor hoeft men geen nummers hoeft te onthouden om een website te bezoeken. Het ‘web’ en ook software is allemaal sterkt afhankelijk van dns.
DNS verkeer kan zowel TCP als UDP pakketjes zijn. In de praktijk zijn het bijna altijd UDP pakketjes.
UDP t.o.v. TCP is simpel, snel en onveiliger. DNS heeft jaren lang goed gewerkt omdat men zich er weinig mee heeft bemoeit. Echter de afgelopen jaren bleek het toch wenselijk te zijn dns verkeer tegen vervalsing te beschermen met DNSSEC.
Echter dreigt het vertrouwen in DNS wel eens ondermijnt te worden onder het nom van piraterij bestrijding.
SOPA is een nieuwe wetgeving van de verenigde staten die websites die piraterij veroorzaken, hun website dns zone deze niet meer correct laat functioneren.
Dit is onverstandig om dit te doen omdat de garantie dat een website dns naam je ook bij het juiste ip adres van de webserver brengt nu meer twijfelachtig geworden is.
Stel je gaat naar de website van je bank, je hebt het (dns) adres juist ingevult. Dan wil je echt zeker weten dat je de website van de bank krijgt.
Zoals ik al zei, dns werkt goed omdat we jarenlang (blind?) vertrouwen in dns servers hebben. Dat een dns server altijd het correcte resultaat teruggaf van de eigenaar van de desbetreffende dns zone van het adres van de website die je invulde.
Om correctheid van een dns zone echt te garanderen, i.v.p. er blind op vertrouwen dat je dns server correct is, is dnssec bedacht. Dnssec is dus een vrij gecompliceerde techniek is om te garanderen dat het dns resultaat klopt. Echter als door de nieuwe SOPA wetgeving kan de Amerikaanse overheid in dns servers in de VS, dns antwoorden gaan om websites die piraterij veroorzaken te blokkeren, echter doordat dns ongeautoriseerd is aangepast (niet door dns zone eigenaar) slaat DNSSEC hier juist “alarm”.
SOPA ondermijnt dus de DNSSEC technologie. Daarnaast werkt SOPA ook censuur in de hand want als een overheid een dns zone mag aanpassen dan gaan je een websites die ongewenste informatie over een overheid geeft, diep in de inhoud op auteursrechten problemen graven om onder dat de website te laten blokkeren. Gelukkig kun je feiten niet onder het auteursrecht laten vallen, echter SOPA is omstreden zeker voor grote media website met zowel legale bronnen als illegale bronnen, dan is het hele domein blokkeren hetzelfde als met een shotgun een mug schieten. Het kan ook anders. Allemaal even te snel en ingewikkeld? deze youtube video legt het nog eens uit.

WordPress 3.3.0, codenaam: “sonny” is uit

december 15th, 2011 • WebReacties uitgeschakeld voor WordPress 3.3.0, codenaam: “sonny” is uit

Een nieuwe versie van de opensource blog software wordpress is uitgegeven. WordPress is de meest gebruikte software om in te bloggen, er wordt ook gratis een dienst aangeboden om wordpress sites te laten hosten. In de nieuwe minor versie is vooral de laadt snelheid van wordpress blogs verbetert. Ook is er aan de “Admin bar” gewerkt om deze compacter en slimmer te maken.
Verder zijn er verbeteringen aan jQuery gemaakt die het vooral voor plug-in en theme ontwikkelaars makkelijker maken. En de media uploader in wordpress is verbeter met nu een HTML5 uploader en afbeelding verkleiner. Voor meer informatie over wordpress 3.3.

“Secure”boot is al gekraakt

november 23rd, 2011 • IT nieuws1 Reactie »

Mircosoft Windows® 8 de RTM release moet nog uitkomen maar de secure boot feature is al te omzeilen.
De secure boot feature moest het mogelijk maken niet ondertekende besturingssystemen weigeren op te opstarten als beveiliging tegen kwaadaardige malware, die zich in het opstart process van het systeem nestelt.
Peter Kleissner een Australische onafhankelijken beveiligingsonderzoeker heeft de vereiste ondertekening voor
het laden van het besturingssysteem weten te omzeilen. (bron)
Hij kon de secure boot feature omzeilen door een rootkit de Master Boot Record van de hardeschijf te schrijven. Dit toont aan dat secure boot niet volledig veilig is. Al eerder was er kritiek op de secure boot feature van windows8 en BIOS fabrikanten omdat dit het opstarten
van niet ondertekende besturingssystemen zoals Linux en FreeBSD uitsloot.

Sociale netwerken vergeleken

oktober 30th, 2011 • PrivacyReacties uitgeschakeld voor Sociale netwerken vergeleken

Wat is een privacy vriendelijk sociaal netwerk en waar zitten leuke mensen?
Ik heb een vergelijking gemaakt waaruit blijkt dat Nederlanders nog steeds het beste af zijn met z’n (nu al verouderde, niet meer zo populaire) Hyves.
De hoofd rede: Nederlandse privacy wetgeving. Deze zijn beter veel dan Amerikaanse bedrijven die met Europese data omgaan waarin alleen beloftes wordt gedaan wordt door zelf regulering, vooral punten 5, 7 & 8 van deze wiki. Zelf regulering is niet zo goed vanwege een aantal nadelen dat het heeft. Daarnaast heb ik ook gekeken hoe het sociale netwerk technisch in elkaar zit. Hierin scoort natuurlijk alleen diaspora goed, dat daar heel anders in is. Het is namelijk een distributed sociaal netwerk. Een distributed sociaal netwerk is een sociaal netwerk website die niet door 1 bedrijf gedraaid kan worden maar door verschillende gebruikers over de hele wereld. Het voordeel daarvan is dat er niet 1 bedrijf is alle macht over alle gebruikers van dit sociale netwerk heeft. Echter moet ik wel nog concluderen dat diaspora niet leuk is doordat het nog te weinig gebruikers heeft. Vandaar dat diaspora nu nog slechts de tweede plek behaalt.
vergelijking sociale netwerken