Category Archives: InfoSec Archive

MD6 teruggetrokken uit SHA-3 competitie

MD6 zal niet het nieuwe algoritme van de Amerikaanse overheid worden, de ontwikkelaars besloten het algoritme uit de SHA-3 competitie terug te trekken. Het National Institute of Standards and Technology (NIST) kondigde vorig jaar een open wedstrijd voor het ontwikkelen van een nieuw en veilig algoritme voor het genereren van hashes aan. Eerder liet NIST al weten dat SHA-1 per 2010 vervangen moet zijn. De wedstrijd voor SHA-3 zou in 2010 de tweede schifting doorlopen, gevolgd door het uitroepen van de winnaar in 2011. Een uiteindelijke standaard zou dan in 2012 moeten zijn afgerond.

Ron Rivest, crypto-expert en de ‘R’ in RSA, laat weten dat MD6 nog niet klaar is voor de volgende ronden van de competitie. Het probleem is dat het algoritme niet snel genoeg is. “Dit is een waardige terugtrekking, zoals we van Ron Rivest kunnen verwachten, met name omdat er nog geen aanvallen voor zijn,” zegt beveiligingsgoeroe Bruce Schneier. Hij merkt op dat andere algoritmen al ernstig gebroken zijn, maar dat de partijen erachter nog steeds doen alsof niemand dit door heeft.

Hackerconferentie HAR wil samenleving raken

Op 13 augustus begint in Vierhouten Hacking at Random 2009, het grootste openlucht hacker evenement ter wereld, toch draait het niet alleen om hacking, getuige het debat tussen kemphanen Stichting Brein en Usenet-platform FTD. De ideologie van het evenement, dat sinds 1989 elke vier jaar wordt gehouden en deze editie dus z’n twintigste verjaardag viert, gaat veel verder. Privacy, beveiliging, opensource en open standaarden zijn de pijlers waar voorgangers the Intergalactic Hacker Party (1989), Hacking at the End of the Universe (1993), Hacking In Progress (1997), Hackers At Large (2001) en What The Hack (2005) op bouwden. Ook HAR is een combinatie van politiek en technisch georiënteerde onderwerpen, aangevuld met wedstrijden, technische projecten en nog veel meer.

De lezingen en presentaties van dit jaar gaan onder andere over encryptie, surveillance, privacy, oude hardware, vrije content, milieuproblemen, het “kraken” van sloten, opensource software, DRM en censuur. Zo is er een debat tussen Stichting Brein en FTD, die afgelopen weken al vaker met elkaar in de clinch lagen. Verder laat WikiLeaks zien hoe ver de macht van overheden en bedrijven reikt en bespreekt de Electronic Frontier Foundation de toenemede surveillance. Een ander interessant en belangrijk onderwerp dat de revue passeert is de beveiliging van het GSM-netwerk, wat helemaal niet zo veilig is als veel mensen denken.

Voor iedereen toegankelijk
Security.nl sprak met penningmeester en drijvende kracht achter HAR, Koen Martens, over het organiseren van het evenement. In de wandelgangen waren mensen wat bang dat HAR dit jaar niet zo technisch zou worden. Toch zit er genoeg voor alle “techies” bij. Het kiezen van de juiste presentaties om de balans te vinden is dan ook belangrijk, aldus Martens. “De sleutel tot een gebalanceerd programma zit hem in een gebalanceerde programmacommissie. Dat de balans niet is doorgeslagen naar de ene of andere kant is vooral daar aan te danken. En natuurlijk aan de vele inzendingen die binnenkwamen, zodat er ook daadwerkelijk gekozen moest worden!”

Volgens Martens zijn veel van de onderwerpen die op HAR2009 besproken worden relevant voor iedereen. “Kwesties als (internet-)censuur en bijvoorbeeld wetgeving rond het auteursrecht raken niet alleen techneuten, maar iedere burger.” Hij merkt op dat HAR2009 nog altijd een hackconferentie is. “Dat betekent dat we wel uitgaan van bezoekers die affiniteit met technische onderwerpen hebben. Maar dat neemt niet weg dat er naast hackers ook een heleboel mensen komen die wellicht zelf niet zo technisch zijn, maar in ideologische zin wel erg verbonden zijn met onze community.”

Het is juist de politiek-ideologische dimensie die ervoor zorgt dat een groot deel van de lezingen goed door iedereen te volgen zijn. “En natuurlijk gebeuren er buiten de lezingen ook een hoop interessante activiteiten.”

Commercieel
De meeste conferenties zijn zwaar gesponsord en erg commercieel. HAR is dat juist niet, maar dat brengt voor- en nadelen met zich mee. “We wilden vanaf dag 1 voorkomen dat het evenement een commerciële uitstraling zou krijgen. Dat is lastig, je moet in alle communicatie de juiste toon vinden en ook tegen sponsors moet je zeggen dat ze niet helemaal los kunnen gaan met hun uitingen”, iets wat volgens Martens alle sponsors meteen begrepen.

Maatschappelijk belang
HAR draait naast de inhoud ook vooral om de sociale contacten, waar bezoekers oude vrienden kunnen ontmoeten en nieuwe maken. Ook is het de plek voor het ontstaan van nieuwe samenwerkingsverbanden, gaat Martens verder. Hij hoopt met het evenement te bereiken dat het voor “golven in de samenleving zorgt.” De laatste jaren zouden ook niet-techneuten zich zorgen beginnen te maken over de gevolgen van voortgaande automatisering van de samenleving. “Dat willen we graag versterken.”

Politie
Bij What the Hack in 2005 was ook de politie goed vertegenwoordigd en ook deze editie zijn de mannen in blauw aanwezig. “De politie is natuurlijk niet weg te denken bij deze evenementen. Enerzijds is dat ook niet vreemd, ook de politie heeft (direct en indirect) hackers in dienst en voor hen is het net zo interessant om naar HAR2009 te komen als voor ieder ander.” Martens merkt op dat er ongetwijfeld in bepaalde kringen binnen de politie op een minder positieve manier naar HAR gekeken wordt. “Maar vooralsnog hebben we daar weinig van gemerkt.”

Dit jaar verwacht de organisatie 2500 bezoekers, waarvan de helft uit Nederland komt. Verder zijn ook veel Duitsers van de partij en Fransen, wat voor het eerst is. “Verder komen de bezoekers letterlijk van over de hele wereld, tot aan Nieuw Zeeland toe.”

Niet in Nederland
Het was nog de vraag of deze editie in Nederland zou plaatsvinden. Martens verklaart dat de strengere regelgeving die vier jaar geleden op het punt van invoering stond het doodsvonnis voor deze evenementen in Nederland had kunnen worden. “Gelukkig is een belangrijke wet, waarin zou worden bepaald dat evenementen voortaan moeten gaan betalen voor politieinzet bij het evenement, er niet door gekomen.” En daar is de penningmeester blij mee, anders was het organiseren van HAR en volgende evenementen onbetaalbaar geworden. “Veel hangt ook af van lokale wetgeving en de insteek van de lokale autoriteiten, wat dat betreft mogen we echt niet klagen deze keer!”

Elke organisatie droomt natuurlijk van een “Kaminsky scoop”, waarbij een groot beveiligingslek de wereldpers haalt. Of we dit ook bij HAR kunnen verwachten wil Martens niet zeggen. Wel komt Tim Kuik van Stichting Brein langs om met Usenet-platform FTD de degens te kruisen, wat ongetwijfeld voor een pittig debat zal zorgen.

Kaarten
Er zijn nog kaarten voor Hacking at Random beschikbaar, dat van 13 t/m 16 augustus in Vierhouten plaatsvindt. Tot 20 juli kosten die 185 euro, daarna gaan ze voor 205 euro over de toonbank. Meer informatie over het programma en het evenement zelf zijn te vinden op HAR2009.org.

China gaat door met Green Dam pornofilter

In tegenstelling tot eerdere berichten over uitstel van het Green Dam Youth Escort internetfilter, gaat de Chinese overheid hier toch mee door. Oorspronkelijk zouden alle nieuwe computers vanaf 1 juli van het filter voorzien moeten zijn, maar daar werd uiteindelijk vanaf gezien. Het Chinese Ministerie van Industrie en IT deed dinsdag net voor het ingaan van de deadline een aankondiging dat er uitstel werd ingelast. In een nieuwe verklaring laten functionarissen weten dat het “slechts een kwestie” van tijd is voordat de software geïnstalleerd is.

Volgens de functionaris hadden sommige bedrijven meer tijd nodig om de software te installeren, vandaar de vertraging. “Sommige computerfabrikanten zullen het eerder aan hun PC pakketten toevoegen dan anderen. Er is op dit moment geen definitieve deadline.”

De Chinese overheid houdt vol dat de software als pornofilter fungeert en jongeren tegen ongewenste afbeeldingen beschermt. Critici zijn van mening dat Beijing hiermee politiek gevoelige onderwerpen zal censureren en het internetgedrag van de bevolking verder monitort.

Google krijgt meer spam voor de kiezen

Google kreeg sinds het eerste kwartaal van dit jaar 53% meer spam voor de kiezen, zo blijkt uit eigen cijfers van de zoekgigant. In de grafiek is duidelijk het verdwijnen van spamnetwerk 3FN op 4 juni te zien. De hoeveelheid spam daalde meteen met 30%, wat minder is dan bij het verdwijnen van spamhoster MCcolo. Daardoor ging er 70% minder spam rond.

In tegenstelling tot McColo wisten spammers in het geval van 3FN hun netwerken veel sneller weer in het gareel te krijgen, wat blijkt uit de stijging van 14%. Verder zag Google ook een toename van het aantal spamberichten met afbeeldingen. Een mogelijk reden voor deze oude tactiek, is het testen van de huidige spamfilters. Een andere mogelijkheid is dat nieuwe “spelers” op de markt actief zijn en eerst beproefde methoden proberen.

Bewaker hackt ziekenhuiscomputers

Een beveiligingsbeambte van een Amerikaans ziekenhuis is door de FBI gearresteerd wegens het hacken van verschillende ziekenhuiscomputers. De 25-jarige Jesse William McGraw, ook bekend als GhostExodus en PhantomExodizzmo, was leider van de hackergroep “Electronik Tribulation Army”. Hij wist toegang tot verschillende machines te krijgen, waaronder die de ventilatie en airconditioning regelden en patiëntgegevens bevatte. Volgens de aanklacht vormde het hacken van de ventilatie en airconditioning een beveiligingsrisico voor de patiënten.

Het ziekenhuis in kwestie bevindt zich in Texas en als de koeling door de aanval defect was geraakt, had dit nare gevolgen kunnen hebben. Ook de medicijnen die in het ziekenhuis waren opgeslagen liepen hierdoor gevaar. McGraw maakte filmpjes van hoe hij de systemen hackte en wilde de gehackte computers gebruiken voor het uitvoeren van een Distributed Denial of Service aanval (DDoS).