Marco Küchler is expert op het gebied van e-commerce (verkoop op afstand), online advertising (SEA), zoekmachine optimalisatie (SEO), direct marketing en telemarketing.»archief september 2008
Consument vertelt wachtwoord voor waardebon
Niet alleen chocoladerepen en zero-day exploits zijn genoeg om mensen hun wachtwoord te laten verklappen, met waardebonnen wisten onderzoekers hetzelfde resultaat te bereiken. Tijdens een straatonderzoek in het Britse Covent Harden werd voorbijgangers gevraagd hoe ze hun wachtwoorden onthouden en welke websites ze het vaakst bezoeken. Bijna de helft gaf aan geboortedatum, meisjesnaam of naam van huisdier als wachtwoord te gebruiken.
Opmerkelijk is dat dezelfde Britse bevolking in een ander onderzoek vindt dat bedrijven die vertrouwelijke gegevens verliezen hard aangepakt dienen te worden, waarbij zelfs gevangenisstraf wordt voorgesteld. Tachtig procent van de Britten vindt inmiddels dat hun persoonlijke informatie niet bij bedrijven veilig is. Verder maakt 75% zich zorgen over de hoeveelheid gegevens die bedrijven over hen verzameld hebben, ongeacht of dit offline of online is.
"Vandaag de dag hebben we allemaal een enorme digitale voetafdruk, of we dit nu beseffen of niet. Elke keer als we online shoppen, bankieren of alleen maar surfen, geven we persoonlijke informatie weg en mensen maken zich ernstig zorgen over hoe bedrijven en overheidsinstanties met die gegevens omgaan," aldus John Brigden van Symantec.
Bron: Security.nl
Google Chrome browser zeer onveilig
Google's Chrome browser blijkt veel meer beveiligingslekken te bevatten dan alleen het tapijtbom-lek en Denial of Service crashes. Oekraiense onderzoekers ontdekten een lek waardoor een aanvaller zonder enige waarschuwing een bestand in de standaard download directory kan plaatsen. Het slachtoffer moet dan wel eerst een kwaadaardige pagina bezoeken, zoals deze proof-of-concepts laten zien. Veel erger is het eerste kritieke lek dat een aanvaller op afstand de browser en het systeem laat overnemen.
Voor het uitvoeren van de aanval is wel enige social engineering vereist, aangezien het slachtoffer de kwaadaardige pagina moet opslaan via de 'SaveAs' functie, waarna de stack-based overflow pas plaatsvindt en het uitvoeren van willekeurige code mogelijk is. De exploit is inmiddels online te vinden, wat ook geldt voor verschillende proof-of-concepts die de Windows rekenmachine laden.
Beveiligingsonderzoeker Ivan Ristic is van mening dat de gevonden problemen onderdeel van een natuurlijk proces zijn, aangezien de software zich nog in de betafase bevindt. "Het is te verwachten dat beveiligingsproblemen zich voordoen. De reden voor een publieke betatest is om het product door een groot publiek te laten testen en de gevonden problemen op te lossen voor er een stabiele versie verschijnt." Op dit moment is nog niemand in staat foutloze applicaties te ontwikkelen en Google is daar geen uitzondering in. "Mensen moeten zich dus niet door de kleine problemen die gevonden zijn laten afleiden."
Toch heeft de onderzoeker ook kritische woorden. Google moet namelijk stoppen met het gebruik van de "beta" benaming, zoals het ook deed met Gmail. "Het is gewoon onacceptabel om de lijn tussen beta en stabiele versie te vervagen. Hoe kunnen gebruikers anders bepalen wat voor productie geschikt is en wat niet?"
Wie absoluut niet over Chrome en Google's aanpak te spreken is, is onderzoeker Robert Hansen, beter bekend als RSnake. "Er is een fundamentele regel in cryptografie: Verzin het nooit zelf, de kansen dat je het verkeerd hebt zijn veel groter dan dat het je wel lukt." Google had volgens Hansen de browser niet in het geheim moeten ontwikkelen. "Je krijgt dan niet de voordelen en kennis van de slimme mensen die al voor je zijn geweest." Chrome mag dan opensource zijn, net zoals Firefox, maar Mozilla's browser kwam uiteindelijk voort uit Netscape, dat al ruime ervaring met browsers had.
Bron: Security.nl
Internetproviders grootste gevaar voor privacy
Niet de overheid of ondernemingen, maar Internet Service Providers (ISPs) vormen de grootste bedreiging voor de privacy van de consument, zo waarschuwt rechtenprofessor Paul Ohm. ISPs vervoeren de gesprekken, geheimen, relaties, daden en problemen van hun klanten. Tot voorheen was het onmogelijk voor providers om hun abonnees te bespioneren, maar door ontwikkelingen op het gebied van aftappen is dat nu een stuk eenvoudiger geworden. Daar komt bij dat de ISPs door adverteerders en belangenbehartigers van Hollywood al vaak gevraagd zijn om klantgegevens af te staan, en daar lijken steeds meer providers gehoor aan te geven, aldus Ohm, die het zelfs over "nieuwe vormen van spionage" heeft.
Projecten zoals Nebuad en Phorm, waarbij het verkeer van de klanten wordt gemonitord en voorzien van advertenties, is slechts een topje van de ijsberg. Ohm voorspelt dat straks alle internetproviders hun klanten zullen bespioneren, waardoor er werkelijk sprake van ISP surveillance zal zijn. Er is namelijk teveel geld mee gemoeid om het niet te doen.
De professor roept daarom op om de balans te herstellen. "We kunnen niet simpelweg het monitoren door ISPs verbieden, want die hebben legitieme redenen om communicatie op een internet vol met dreigingen in de gaten te houden." De balans die Ohm voorstelt laat beleidsmakers een onderscheid maken tussen de legitieme behoeften en de wensen van een ISP.
En inmenging door de overheid is hard nodig. Als die namelijk geen deep packet inspection verbiedt, gaan providers alleen maar door met het aanleggen van klantprofielen. Ohm wil daarom in het geval van Amerika dat de aftapwetgeving ook gaat gelden voor wat ISPs op hun eigen netwerk doen.
Bron: Security.nl