Vanwege de ontdekking van de Heartbleed bug wordt iedereen aangeraden om voor al zijn accounts een nieuw wachtwoord te kiezen. De vraag is dan natuurlijk: hoe doe je dat? Hierbij een aantal tips gebaseerd op een analyse die ik eerder maakte.

Read the rest of this entry »

The Heartbleed bug in a software library (called OpenSSL) used to secure many websites allows an attacker to trick these websites to send an arbitrary memory block of 64 kilobytes back to him. In this blog post I will argue that the way this bug was disclosed has greatly increased the damage it causes.

Read the rest of this entry »

Gister ontving ik onderstaande email. Een overduidelijk geval van phishing. Maar wel een die in behoorlijk Nederlands was opgesteld, en op de Nederlandse actualiteit inspeelde. En waarbij mogelijke privacy zorgen als lokaas aan het ‘vishaakje’ werden gebruikt. Een grappig bewijs uit onverwachte hoek dat mensen zich steeds meer zorgen over hun privacy beginnen te maken (als zelfs criminelen er een business opportunity in zien).

Read the rest of this entry »

Afgelopen donderdag stond er een mooi artikel van Maurits Martijn op de Correspondent. Over hoe je simpelweg gebruikers van openbare draadloze netwerken kunt hacken. En er zo achter kunt komen welke websites ze bezoeken, met welke andere draadloze netwerken ze eerder contact hebben gezocht (en dus waar ze eerder zijn geweest), en zelfs hun wachtwoorden kunt achterhalen. Het erge is: ik weet dit eigenlijk al jaren, maar had het me de ernst daarvan nooit echt gerealiseerd. (Soms zit je zo dicht op de materie, dat je essentie ervan even niet meer ziet.) En het is eerlijk gezegd behoorlijk ernstig…

Read the rest of this entry »

After Apple released a document last month describing iOS security in detail for the first time, a lively discussion about iMessage security ensued on Hacker News. The main criticism: users so not need to (cannot even) verify the authenticity of the public keys used to encrypt the messages. Instead users need to trust Apple to give them the right keys, and not to sneak an extra key in that would allow Apple (or the NSA) to eavesdrop on your messages. But is this criticism fair?

Read the rest of this entry »

When signing in to iMessage, your phone sends the AppleID and password in the clear over a secure channel to Apple’s directory service (IDS). This shouldn’t be an issue, except that the channel is secured using TLS (which has some issues lately, especially on iOS). As a result, it is easy to mount a man-in-the-middle attack, allowing an attacker to retrieve the password.

Read the rest of this entry »

With WhatsApp being bought by Facebook, people are looking for alternative secure messaging systems. Telegram appears to be very popular at the moment, but its security is under heavy debate. (Summary: it uses non standard protocols.) Someone suggested Threema as an alternative, so I decided to install it. Threema is quite user friendly. It allows, for example, to create new contacts by scanning a QR code. If you meet someone in person who also has Threema installed on his smartphone, this is an easy way to exchange contact details. But there is something wrong the way Threema implements it.

Read the rest of this entry »