
De cyberweek: Rowhammer, privacy en blue screens of death
Deze week was onder andere in het nieuws dat een half miljoen hartpatiënten terug moesten naar het ziekenhuis om een security-lek in hun pacemaker te laten fixen. En dat Noord-Korea waarschijnlijk achter de grote bankaanval in Bangladesh heeft gezeten. Interessante verdiepingen, maar wel van nieuws dat we al wisten. De drie nieuwsitems hieronder zijn bij mijn weten nog wel helemaal vers.
Thor en je Android phone
Op het meest basale niveau is een computer een apparaat dat stroom heen en weer laat stromen en onderhevig is aan natuurkundige wetten. Eentjes en nulletjes zijn niets meer dan elektromagnetische golfjes.
Computeraanvallen vinden meestal op het niveau van software plaats. Ook ontwerpfouten in de hardware (Spectre en Meltdown) maken aanvallen mogelijk, maar aanvallen die gebruik maken het basisniveau, de natuurkundige verschijnselen, die zien we niet vaak.
Toch wisten we dat het op zich mogelijk was. Rowhammer heet de aanvalstechniek, en ik moet daarbij gelijk denken aan de Noorse god Thor met zijn hamer Mjolnir, maar die blijkt er dus helaas niets mee te maken te hebben.
Bitjes liggen in computers in rijen opgeslagen, en nu kun je door op de twee aangrenzende rijen in te hameren (continu de inhoud opvragen) het stroomniveau van bitjes in de middelste rij beïnvloeden. En daarmee een bitje omflippen. Een 1 in een 0 veranderen. Of andersom.
Klinkt vrij theoretisch, maar onderzoekers aan de Vrije Universiteit van Amsterdam hebben nu een artikel gepubliceerd waarin ze aangeven dat ze code kunnen schrijven die precies dit kan doen in een Firefox browser op een Android telefoon. Waarmee het mogelijk is om malware te schrijven die de telefoon van afstand over te nemen.
Moeten alle Android bezitters nou bang zijn dat ze binnenkort gehamerd worden? Welnee. Dit is een techniek waar de hardwaremakers zich over zullen moeten buigen. Als gebruiker kunnen we ons geruststellen met het feit dat de onderzoekers in staat waren een Android toestel van vier jaar geleden te hacken. En dat er nog een heleboel veel makkelijkere security issues zijn om ons zorgen over te maken.
Links:
https://www.vusec.net/wp-content/uploads/2018/05/glitch.pdf
https://www.vusec.net/projects/glitch/
“We’ve updated our privacy policy”
De nieuwe Europese wet persoonsgegevens, de GDPR, of AVG, zoals we ‘m in Nederland noemen, komt dichterbij. En er beginnen al wat interessante gevolgen zichtbaar te worden. Niet alleen in uw mailbox.
Veel internetbedrijven blijken hun best te hebben gedaan om aan de wet te voldoen. Of passen in ieder geval hun voorwaarden aan om transparanter te maken wat ze met je data doen, en je dan te dwingen dat goed te keuren…
Maar er zijn ook bedrijven die een radicaal andere aanpak kiezen. Afgelopen week bleek een aantal (Amerikaanse) IT bedrijven de link met Europa simpelweg door te knippen. Of er helemaal mee te stoppen
Advertentie netwerken (Verve), games (Tunngle, Super Monday Night Combat), email apps (Unroll.me), de lijst zal nog wel stevig groeien. Heel interessant om te volgen waar dit heen gaat.
De topper is wel de tool gdpr-shield , die als service aanbiedt om alle Europese IP adressen te blokkeren. Probleem opgelost. Maar daarvoor moet je natuurlijk wel de Europeanen aan hun IP adressen herkennen. Afhankelijk van hoe ze dat aanpakken zou dat wel eens niet kunnen voldoen aan de AVG. IP adressen zijn immers persoonsgegevens.
Waar het heengaat met de AVG? Ik heb geen idee. Maar ik voorspel dat het gebruik van VPN services met niet-EU IP adressen flink gaat stijgen de komende maanden. Als die services er tenminste niet mee stoppen als gevolg van de AVG…
USB-stick laat gelockte Windows-computers crashen
Onderzoeker Marius Tividar heeft ontdekt hoe hij een USB-stick zo kan inrichten dat Windows onmiddellijk crasht als de stick in de computer wordt gestoken. Ook als Windows gelockt is. Hij heeft de ontdekking vorig jaar juli aan Microsoft doorgegeven, dat aangaf er niets mee te doen. Niet ernstig genoeg: je hebt fysieke toegang nodig, en het is geen malware maar crasht alleen de PC. Toch is dit het soort gevoeligheden waar spionagediensten dol op zijn.
Marius heeft zijn proof of concept gepubliceerd op Github. Hij geeft daarbij terecht aan dat het insteken van een USB stick op een gelockte computer niet zou moeten leiden tot het door Windows opstarten van allerhande software – wat dus wel gebeurt.
No Comments :