Lost in the Noise

Online diensten beveiligd met sms-authenticatie zijn kwetsbaarder wanneer ze gebruikt worden op een smartphone dan via een standaard pc. Aanvallers kunnen misbruik maken van de bundeling van telefonie en internet in één apparaat. Geautomatiseerde aanvallen worden hiermee in de toekomst mogelijk. Dat zegt Ton Slewe, adviseur bij het computerincident-responsteam van de Nederlandse overheid, Govcert.

‘Met de komst van smartphones verandert het beveiligingsmodel van online diensten die via sms-authenticatie zijn beveiligd. Bij een smartphone met mobiel internet en de (standaard) mogelijkheid voor het ontvangen van sms-berichten, komen de vroeger gescheiden kanalen voor authenticatie (sms) en de onlinedienst samen in één apparaat. Dit levert een extra risico op,’ legt Slewe uit.

Dit risico geldt ook voor internetbankierdiensten, mits de authenticatie van betalingen verloopt via sms. Hoe dan ook, leveranciers van online diensten er volgens Slewe verstandig aan om online verrichtingen die via sms-authenticatie zijn beveiligd, vanaf smartphones extra te controleren. ‘Dat kan bijvoorbeeld door in de backoffice mobiele transacties te filteren en te controleren of deze verrichtingen binnen iemands normale gedrag vallen.’

Bezorgdheid nog niet nodig

Volgens de beveiligingsexpert is er vooralsnog echter nog niet ‘direct reden tot bezorgdheid. De beveiliging met de sms-berichten is normaal gesproken maar een van de beveiligingsmaatregelen die dienstaanbieders hebben genomen.’

Hij voegt daaraan toe: ‘Bovendien vindt het merendeel van de aanvallen op online transacties nog steeds plaats via standaard-pc’s met vast internet. Het is dus niet zo dat het op dit moment onveilig zou zijn om onlinediensten af te nemen met een smartphone, maar het is wel iets waarmee in de toekomst rekening moet worden gehouden .’

(bron: computable.nl)

Met een beloning van 100.000 dollar in het vooruitzicht gaan hackers de veiligheid van Internet Explorer, Firefox, Google Chrome en Safari testen. De Pwn2Ownwedstrijd is onderdeel van de CanSecWest beveiligingsconferentie en vindt voor de vierde keer plaats. Drie dagen lang zullen onderzoekers proberen of ze via de browser het onderliggende besturingssysteem kunnen overnemen.

De eerste dag is het de beurt aan IE, Firefox en Google Chrome op Windows 7, gevolgd door Windows Vista op dag twee en als laatste Windows XP. Safari zal alleen op Mac OS X Snow Leopard worden getest. Naast een geldbedrag krijgen de winnaars ook de laptop waar de test op plaatsvindt. Vorig jaar verbaasde de Duitse hacker “Nils” iedereen met zijn aanvallen op IE, Firefox en Safari. Alleen de Windows versie van Mozilla’s browser wist toen de slachting te overleven.

Smartphones
De hoofdprijs wordt echter niet voor de browser neergelegd. 40.000 van de 100.000 dollar is voor de browserwedstrijd gereserveerd. Het overige prijzengeld is met het hacken van smartphones te verdienen. De Apple iPhone 3GS, RIM Blackberry Bold 9700, een Nokia telefoon met Symbian S60 en een Motorola telefoon met Android moeten de verwachte aanvallen verduren. Elke gehackte telefoon is 15.000 dollar waard.

“De gegevens die via dit soort apparaten worden opgeslagen en gecommuniceerd zijn steeds waardevoller voor aanvallers”, aldus Aaron Portnoy van TippingPoint, dat de wedstrijd sponsort. Vorig jaar liep de smartphone hackerwedstrijd op een deceptie uit, maar dit jaar verwacht de organisatie het nodige vuurwerk. DeCanSecWest conferentie begint op 24 maart.