Onderzoekers ontdekken basale zwakheid TCP/IP

Een nieuwe aanval op het internetprotocol zou computers in een handomdraai kunnen platleggen. Na jarenlang te hebben gewacht, brengen onderzoekers het probleem nu in de openbaarheid.

Onderzoekers van beveiligingsbedrijf Outpost24 hebben een beveiligingsprobleem in het TCP IP-protocol ontdekt waarmee aanvallers met enkele datapakketjes computers en servers kunnen platleggen. Het probleem is vergelijkbaar met een denial of service aanval, waarbij een systeem wordt overspoeld met dataverkeer. Bij dit probleem is echter slechts een beperkte hoeveelheid verkeer nodig. Lees het verhaal op Webwereld.

Researchers caution against TCP/IP weakness

Researchers at Finnish security firm Outpost 24 claim to have discovered a flaw in the Internet Protocol that can disrupt any computer or server. After keeping the flaw quiet for years, the researchers hope that going public will help accelerate the creation of a solution.

The flaw allows attackers to cripple computers and servers by sending a few specially formed TCP/IP packets. The result can be compared to a denial of service attack, in which networks are flooded with traffic. But in the case of the newly revealed flaw, only a minimum of traffic is required. “We’re talking 10 packets per second to take down one service,” Jack Lewis, a senior researcher with Outpost24 told Webwereld, an IDG affiliate. You can read the story on CIO Australia.

De Beveiligingsupdate 3: Socketstress Denial of Service at your service!

For English-speaking listeners: In the Dutch podcast De Beveiligingsupdate there is an interview about bringing systems to their knees using TCP/IP in unintended ways. The Socketstress-story starts at 05:00 and you can listen it here.

Outpost24 heeft een bug ontdekt in het TCP/IP-protocol, waarmee het mogelijk is om bijna ieder systeem te verstoren. De onderzoeken kennen geen enkel systeem dat niet gevoelig is voor de Denial-of-Service-mogelijkheid. De aanval is relatief eenvoudig om uit te voeren en heeft soms maar tien IP-pakketten om tot succes te leiden en wordt ontdekt toen ze werkten aan de Unicornscan.

Zij onthullen het verhaal op de T2-conferentie, maar De Beveiligingsupdate heeft alvast de scoop. We spreken met Robert E. Lee, Chief Security Officer van Outpost24 en senior researcher Jack C. Louis over de ins en outs en de mogelijke gevolgen. Al geven ze niet alle technische details vrij toch wordt de problematiek wel helder. Ook leggen ze verantwoording af, waarom een bug die zo fundamenteel en niet oplosbaar is toch in de openbaarheid komt.

In het nieuws met Security.nl spreken we over Click Jacking, een ander type aanval om de controle over een muis over te nemen in een webbrowser. Ook hebben we het over inchecken als Elvis op Schiphol met dank aan het electronisch paspoort. Luister de podcast.

Octrooicentrum neemt voortouw in open source

Het Octrooicentrum bouwde een complexe site in het kader van het actieplan Heemskerk. Het model is exporteerbaar én blijft onder de aanbestedingsgrens.

Het Octrooicentrum Nederland is een van de voorbeeldprojecten uit het Actieplan voor open standaarden en open source, Nederland Open in Verbinding (NOiV). Zij migreren actief naar een andere desktop, backoffice en presenteren nu een nieuwe site. Vandaag zal staatssecretaris Heemskerk de webstek onthullen. Lees het verhaal op Webwereld.

Pechtold positief tegenover biometrische database

D66-politicus Alexander Pechtold zegt sterk voor de bescherming van persoonsgegevens op te komen, maar gaat niet zo ver om technieken uit privacy-overweging te verbieden. Dat bleek tijdens een discussie dat het kamerlid aanging met beveiligingsexpert Rop Gonggrijp tijdens een bijeenkomst van Docks at the Dock in Amsterdam. Het gesprek volgde op een aantal kunstzinnige uitingen rond het thema privacy en het kijken van de film Suspect Nation. Deze documentaire laat zien wat de praktijk is op het gebied van de privacy en welke financiële belangen de privacyschendende industrie heeft. Lees het verhaal op Security.nl.

Kamer laat OV-chipkaart verder sudderen

De Tweede Kamer is de ‘bedeesde’ houding van Tineke Huizinga zat en eist nu echt strakke regie. Maar moties voor maatregelen stranden op een onwillige meerderheid.

Dat blijkt uit het debat dat vanmiddag in het parlement werd gevoerd. Aanleiding is het weglopen van diverse consumentenorganisaties uit het overleg rond de invoering van de kaart. Lees het verhaal op Webwereld.

De Beveiligingsupdate 2: Cryptografie kraken? Simpel toch!

In deze aflevering van De Beveiligingsupdate spreken we natuurlijk in het nieuws met Joran Polak over de e-mail van Sarah Palin en het lekbaar zijn van het stemgeheim (met natuurlijk ook een soundbyte van Rop Gonggrijp).

Maar het hoofdonderwerp is zonder twijfel de Cube-attack van Adi Shamir, waarmee het mogelijk is om verschillende versleutelingsmechanismen te kraken. Welke cryptografische algoritmen hebben nog wel een toekomst, want als onze geheime berichten niet meer veilig zijn wat dan wel? Hoe werkt de aanval nou precies? Bartek Gedrojc van Fox-IT weet daar alles van en legt het ons uit.

Tot slot praten we met professor Rik Kaspersen van de Vrije Universiteit over het kinderpornofilter. Want het blijkt dat de politie helemaal niet bevoegd is om zwarte lijsten te maken om sites te filteren. Ook werd pijnlijk duidelijk dat de maatregel erg ineffectief was en daar is beveiliging niet bij gebaat. Luister de podcast op De Beveiligingsupdate.

ICT Roddels 238: Octrooicentrum trekt open standaarden

In het Actieplan Nederland Open in Verbinding komen een aantal voorbeeld projecten voor, die in Nederland de weg moeten wijzen hoe open standaarden en open-sourcesoftware het beste kunnen worden ingevoerd. Het Octrooicentrum Nederland bouwde een nieuwe website en deelt de resultaten met andere overheden. Daarmee kunnen andere Rijksdiensten hun voordeel doen, want ook de Rijksbrede huisstijl zit in het project verweven. Omdat deze binnenkort overal op de site moet komen, is het delen van die kennis waardevol. Ondertussen bespaart de BV Nederland bakken met geld. Tijd om eens te praten met IT-manager Tjeerd van de Laan van het Octrooicentrum en consultant Ruud Vriens van Rednose. Luister de podcast op ICT Roddels.