Blijkbaar is het weer komkommertijd want de kranten staan vol met artikels waaruit blijkt dat GSM netwerken slecht beveiligd zouden zijn. Blijkbaar willen de jaren 90 ook hun artikels terug.

De enige beveiliging die er in een GSM netwerk zit, is dat de beveiliging "geheim" is.
Dit noemt men "security by obscurity" en het is in het verleden telkens weer bewezen dat deze manier van beveiligen niet werkt en het een uitermate idioot concept is.
Zelfs eind de jaren 80, toen de GSM standaard er kwam, was dit een achterhaald idee.

http://webwereld.nl/nieuws/108815/weer-certificatenleverancier-overheid-...

Weer zo'n onbekwaam bedrijf dat vertrouwen verkoopt.
Nu niet meer... ;-)

Ik dacht dat we de leuke jaren 90 waarin alles openstond toch al even voorbij waren.
Hier staat gewoon alles open en zijn er aanwijzigingen dat er al eerder werd ingebroken.

KPN laat weten dat ze de melding "zeer serieus" nemen, maar ze waren beter al eerder serieus geweest.

En dan zijn er natuurliujk nog altijd die 4 "onbekende" CA certificaten die gerevoked werden ergens tussen Juni en het Diginotar fiasco.

Een van de 4 CA's die ook gehacked zou zijn na Diginotar, zou ons eigen Globalsign zijn.

Eigenlijk is dat niet zo verwonderlijk, want Globalsign houdt er nogal wat rare praktijken op na.

Alle CRL's die ze publiceren in hun root CA's en intermediate CA's zijn compleet leeg.

http://crl.globalsign.net/root.crl
http://crl.globalsign.net/root-r2.crl
http://crl.globalsign.net/primserver.crl
http://secure.globalsign.net/crl/root.crl

En als je naar hun gepubliceerde "certification practice statement" gaat (http://www.globalsign.net/repository/) krijg je een mooi error bericht.

CA's - Iran: 0 - 2

Vorige week werd duidelijk dat er alweer een CA gehacked werd, nl Diginotar. (Een onderdeel van Vasco.)

De hack is mogelijk al gebeurd in mei 2009 maar bleef onopgemerkt tot enkele maanden geleden.
Toen heeft Diginotar geniepig een aantal certificaten ongeldig verklaard. (Zonder uitleg te geven)
Helaas werden ook na die datum nog certs geissued die actief in attacks gebruikt werden. Hierdoor kwam alles uiteindelijk toch aan het licht.
Door deze hack en hun geniepige acties om het in de doofpot proberen te stoppen, is de CA momenteel alle vertrouwen kwijt.

Een ander interessant iets dat de afgelopen dagen de revu gepasseerd is, is het feit dat er 9 SSL Extended Verification (EV) certificaten ondertekend werden door Comodo.
Daar is natuurlijk op zich niet raar, want Comodo is een CA, en dat is hun business.

Het "leuke" is het feit dat er CSR's ondertekend werden voor een IP adres in Iran voor de volgende domeinen:

• mail.google.com
• login.live.com
• www.google.com
• login.yahoo.com (3 keer)
• login.skype.com
• addons.mozilla.org

Interessante week deze week: RSA gehacked.

RSA maakt hardware tokens die het mogelijk maken om via 2-factor authentication met een one-time password in te loggen op systemem.

Het algoritme om deze wachtwoorden te genereren is al een tien-tal jaar gekend (http://seclists.org/bugtraq/2000/Dec/459), maar dat is niet echt een probleem.
Om successvol tokens te kunnen emuleren is er ook de random "seed" en het serienummer nodig van het token.

In another moment down went Alice after it, never once considering how in the world she was to get out again.


The rabbit-hole went straight on like a tunnel for some way, and then dipped suddenly down, so suddenly that Alice had not a moment to think about stopping herself before she found herself falling down a very deep well.

Omdat de linker helft van de Gauss verdeling van een IQ grafiek ook ergens on-line moet vertoeven...

Alstublieft, de HDCP master key.


Tot nu toe heb ik altijd geweigerd om HDCP compatibele apparatuur aan te kopen.
Als morgen HDCP afgeschaft wordt, dan kan ik mijn aankooppolicy misschien eens herzien...

http://en.wikipedia.org/wiki/High-bandwidth_Digital_Content_Protection

Voor degenen die nog nooit van SSLsniff gehoord hebben, of van NULL-prefix certificaten, gaat het volgende vrij saai zijn...
Een paper over Null-certificate en OCSP attacks is bijgevoegd.

Hier is dus een NULL-prefix certificaat voor https://www.paypal.com.
Game over.

http://seclists.org/fulldisclosure/2009/Oct/87

Ik heb geen woorden., behalve "Oh shit".

http://theinvisiblethings.blogspot.com/2009/03/attacking-smm-memory-via-...

Ter info: http://en.wikipedia.org/wiki/System_Management_Mode

Overheden zijn traag.
Niet alleen door bureaucratie, maar ook gewoon traag van begrip.

Al jaren zeggen security experts dat het geen goed idee is om RFID te gebruiken voor toepassingen die iets met beveiliging te maken hebben, en toch doet men het.
(Zoek ook even op RFID via de zoekfunctie van die blog.)

Omdat mensen weten dat ik mij steeds doodverveel, kreeg ik een berichtje in mijn IM client:

ICQ: 467439249
Hallo. Mijn naam is Polina. Ik ben naar Nederland komen studeren.
Ik zoek een vriend / seks-partner. Hij moet een goede man zijn, serieus, betrouwbaar, slim.
Als je mij wilt leren kennen, laat me weten. Je kunt ook gewoon mijn vriend blijven.
Mijn foto’s vind je op mijn homepage: w w w . a r c . n l
ALSJEBLIEFT, ALLEEN ERNSTIGE AANBIEDINGEN. KUSJES, POLINA

Aha, eindelijk iets te doen... ;-)

Toevallig was ik met iemand aan het praten over ISP's, en aangezien ik klant ben bij Scarlet, zocht ik even hun huidige aanbiedingen op.

Scarlet biedt een soort van control panel waarbij de klant zijn eigen account kan beheren en daarbij viel mij op dat mijn geboortedatum verkeerd was ingevuld: De maand klopte niet.

Dus, als een goede huisvader, gebruik ik het control panel om mijn geboortedatum te corrigeren, maar hij zit telkens een maand verkeerd.
Interesting...

Ik had het er laatst nog over, en het is weer zover:

Bij aankoop van een nieuwe Seagate/Maxtor harddisk krijg je er gratis malware bij.
(Aanbieding geldig zolang de voorraad strekt.)
http://www.taipeitimes.com/News/taiwan/archives/2007/11/11/2003387202

Een paar maanden geleden was het ook al van dat, dichterbij huis ditmaal, in Nederland, maar ook van Seagate/Maxtor:
http://www.theregister.co.uk/2007/09/19/maxtor_harddrives_include_virus/

Je zou toch verwachten dat mensen en bedrijven kunnen bijleren...