Studenten ontdekken gaten in beveiliging websites UvA en HvA
De Universiteit van Amsterdam en Hogeschool van Amsterdam lekken beide inloggegevens van studenten. De inlogpagina’s van beide onderwijsinstellingen zouden gebruik maken van verouderde SSL-certificaten om de verbinding waarover inloggegevens worden verzonden te beveiligen. Dit verouderde certificaat bevat een beveiligingslek, waardoor aanvallers informatie kunnen onderscheppen.
Foliaweb meldt dat het beveiligingslek is ontdekt door twee studenten. De studenten stellen de onderwijsinstellingen meerdere malen op de hoogte te hebben gesteld van het probleem, maar hierop geen enkele reactie te krijgen. De scholen zouden geen enkele maatregel hebben genomen en het probleem zou dan ook nog steeds aanwezig zijn. Dit is dan ook de reden dat de studenten nu besluiten het nieuws te verspreiden naar de media.
Video
De studenten hebben een video online gezet waarin zij het probleem demonstreren. De studenten laten in de video zien het dataverkeer naar de inlogpagina af te kunnen luisteren en hierdoor zowel gebruikersnamen als wachtwoorden in handen te kunnen krijgen. Hiervoor zetten zij een tool in om SSL-verbindingen te strippen, die gratis van internet geplukt kan worden. Wel hebben de studenten deze tool aangepast zodat het strippen is geautomatiseerd.
Een woordvoerder van de HvA, Meike Verhagen, zegt in een reactie tegen Foliaweb dat uit de acties van de studenten niet op te maken zou zijn of de ‘kwetsbaarheden in het beveiligingsniveau van de sites van de UvA en de HvA bij deze aanval een rol hebben gespeeld’. Verhagen erkent wel dat SSL-beveiliging kwetsbaarheden heeft en stelt dat de onderwijsinstellingen hier voortdurend aandacht aan besteden.
Meer over
Lees ook
Jailbreak voor iPhone, iPad en iPod touch bevat een backdoor
Door een iPhone, iPad of iPod touch te jailbreaken kunnen gebruikers hun rechten op het apparaat vergroten. Dit stelt hen in staat via de jailbreak-appwinkel Cydia allerlei software op hun apparaten te installeren die niet zijn goedgekeurd voor Apple's App Store. Dit is echter niet zonder gevaar. Versie 1.0.3 van de jailbreak Evasi0n blijkt nameli1
Secure Pro Keyboard versleutelt draadloze verbinding met computer
Wie met gevoelige documenten werkt moet goed op zijn beveiliging letten. Alleen een virusscanner installeren is niet voldoende. Een keylogger, een oplossing die de toetsaanslagen op een machine registreert, is bijvoorbeeld beschikbaar in zowel een softwarematige als hardwarematige variant. De hardwarematige variant wordt door antivirussoftware nie1
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol
Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1