
De cyberweek: Wraakporno- en DDoS-site down, IoT praat, Alexa luistert
Er is veel gebeurd deze week. Een keuze:
Politienieuws
Wraakporno image board Anon-IB neergehaald
De politie heeft de site Anon-IB neergehaald en een aantal Nederlanders gearresteerd die verdacht worden van het illegaal plaatsen van naaktfoto’s van vrouwen. Hoe kwamen ze daaraan? Door de cloud accounts van de dames te hacken. Hoe doe je dat? Wachtwoorden raden. De heren hadden zelfs een database met namen en adressen aangelegd.
Anon-IB staat bekend als de grootste site voor het uploaden en delen van illegaal verkregen naaktplaatjes, ook wel bekend onder de naam wraakporno – waarschijnlijk omdat het allemaal begon met pics van exen. Zelf ontkennen ze op pastebin elke betrokkenheid.
Het neerhalen van de server, en zelfs het arresteren van de heren, gaat het probleem niet verhelpen. Net als bij het offline halen van dark web drugs forums springen de alternatieven uit de grond. Maar het is een begin.
Operation Power Off
Kinderlijk eenvoudig is het geworden om even iemand te DDoSsen. Eind januari werden we nog opgeschrikt door een massale DDoS op de belastingdienst en de banken. Bleek een 18 jarig jochie te zijn die voor de lol een paar tientjes had uitgegeven aan een booter: een tool waarmee je de weerbaarheid van een website kan “testen”.
De grootste van die booters was de site webstresser.org. Was, want op 24 april ging het licht uit. In een internationale politieactie zijn de vermoedelijke administrators opgepakt en is de site uit de lucht gehaald. Het plan is om ook de gebruikers van de site aan te pakken.
Goed werk. Want het is belangrijk om deze booter sites te stoppen: het is te makkelijk om anoniem en goedkoop even een site uit de lucht te halen, terwijl de schade aan de andere kant echt enorm kan oplopen.
DDoS aanvallen kunnen tot zo’n 10% van het landelijke internetverkeer innemen, dus kunnen ook voor degenen die niet aangevallen worden tot vertraging leiden. Maar om dat dan weer even in context te plaatsen: ongeveer tweederde van het internetverkeer is reclame…
Wetenschapsnieuws
IoT Inspector
Dat het Internet of Things nou niet direct is ontworpen met veiligheid in het achterhoofd, dat wisten we. Dat het heel erg is wisten we ook. Maar is het ook heel heel erg? Een groep onderzoekers aan de Princeton universiteit heeft de IoT inspector ontworpen. Ze kunnen daarmee onderzoeken waarmee je IoT apparaat allemaal praat. Ze hebben 50 verschillende devices onderzocht. En dat was even schrikken.
Neem nou de Samsung Smart TV. In de eerste minuut nadat ze ‘m hadden aangezet nam hij contact op met Google Play, Doubleclick, Netflix, Spotify, FandangoNOW, CBS, MSNBC, NFL, Deezer en Facebook (in Nederland is het mogelijk een ander setje). Ongevraagd.
Ook andere apparaten blijken flink te praten met allerhande partijen over de wereld. En dat is dan nog voordat ze gehackt zijn…
Alexa, neem alles op wat ik zeg
Alexa, het Amazon kastje waarmee je kunt praten, verovert langzaamaan wereldwijd de huiskamers. Iedereen kan skills voor Alexa schrijven, en zo de functionaliteit uitbreiden. Die skills moeten wel aan bepaalde eisen voldoen, maar door misbruik te maken van kwetsbaarheden is het mogelijk om Alexa dingen te laten doen die beslist niet de bedoeling zijn.
Checkmarx onderzoekers waren in staat om een skill te schrijven waarmee Alexa alles opneemt, uitschrijft, en heimelijk doorstuurt. Ik zie de ontslaggolf bij de geheime diensten al aankomen.
Het tooltje is alleen gebruikt voor onderzoeksdoeleinden en is niet beschikbaar geweest. Amazon heeft de kwetsbaarheid gefixt.
En de rest
De stroomstoring en de gevolgen online
De stroomstoring in de nacht van zaterdag op zondag in Amsterdam Zuidoost die Schiphol platlegde heeft ook Telegram getroffen. De berichtendienst heeft servers in Amsterdam staan. Telegram meldde dat als gevolg van de stroomstoring de servers oververhit raakten. (Ik neem aan de overige servers.) Telegram was niet het enige cyberbedrijf dat last had van de storing.
Er staat nog veel meer belangrijke cyberinfrastructuur in de omgeving van Schiphol. Hoe groot moet een stroomstoring zijn, en hoe lang moet hij duren om een serieus probleem te vormen?
Facebook pakt nepnieuws aan, maar het is niet makkelijk
Facebook stapt over op een nieuwe manier om nepnieuws aan te pakken. Het bedrijf heeft een jaar lang geëxperimenteerd met het plaatsen van een rood waarschuwingssymbool bij nepnieuws. Maar dat bleek averechts te werken: de berichten werden juist vaker gedeeld.
Facebook gaat het lettertype en de foto’s van onafhankelijk bewezen nepnieuws nu kleiner maken. Nou meen ik me te herinneren dat het verlagen van de leesbaarheid ervoor zorgt dat de lezer het beter onthoudt, dus ik ben benieuwd hoe dit experiment nu weer uitwerkt.
Mensen…..
De Nederlandse Cybersecurity Agenda
Op 20 april presenteerde minister Ferd Grapperhaus de Nationale Cyber Security Agenda aan de tweede kamer. De doelstelling van de agenda is:
Nederland is in staat om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen.
Kortom: de kansen die digitalisering biedt volop grijpen maar tegelijkertijd de risico’s zoveel mogelijk beperken.
In het regeerakkoord was al een structurele investering van 95 miljoen euro voor cybersecurity opgenomen. Dat klinkt als een stevig bedrag, maar dat is het niet. Als cybersecurity het fundament onder onze economische en maatschappelijke kansen is, zoals de overheid beweert, dan zou dat bedrag wel eens aan de lage kant kunnen zijn. Aan de andere kant is het ook belangrijk hoe je het bedrag uitgeeft. Samenwerking drukt de kosten, en daar is polderend Nederland dan weer best goed in.
No Comments :