Search

Archives

Pages

Op mijn desktop:

Suggesties, commentaar, ... (klik of schrijf zelf:)e-mail webgang

Private

Laatste titels:

Fosdem 20 * Schatkamer 7 * Genomineerd * Spelgeheimen

i-nieuws 6 na 6 ** February 6th, 2020 by wim.webgang **

Fosdem 20

Zoals de naam doet vermoeden is het de 20e uitgave van Fosdem. Dat werd gevierd door gewoon weer een goede en gratis bijeenkomst van open source en free software programmeurs van over heel Europa en verder te organiseren. De locatie is hetzelfde gebleven: de universiteitscampus van de ULB, de Franstalige tegenhanger van de VUB.
In het overzicht van de video’s vind je een doorsnee van de lezingen die je kon bijwonen en die later op youtube zullen verschijnen.
Zo was er zondagmiddag een lezing met de -een beetje uitdagende- titel: Why the GPL is great for business.

Ook het hele schema met 870 events is nog na te lezen op https://fosdem.org/2020/schedule/events/

Schatkamer 7

Deze week werd de jury samengesteld voor een rechtszaak in de VS over het uitlekken van geheime informatie over hacking tools van de CIA naar WikiLeaks. Een vroegere werknemer van de CIA die zelf werkte op de afdeling waar de inbraaksoftware werd ontwikkeld, staat terecht.
De beschuldigde had ruzie met een collega en diende daar zelfs klacht tegen in wegens bedreigingen. Hij werd overgeplaatst naar een andere afdeling die niet dit soort software maakte, en hij verloor ook de toegangsrechten tot die systemen. Dat wist hij echter te omzeilen, en hij geraakte toch binnen en begon bestanden af te halen.
Meer dan 8000 pagina’s zou WikiLeaks in handen krijgen in een zaak die Vault 7 genoemd werd. Die werden in 2017 gepubliceerd.
Veel moeite om Joshua Schulte te klissen hadden ze niet. Hij kopieerde code van CIA werk naar een persoonlijke account op een publieke server voor open source code, GitHub. Hij deed dat onder een afkorting van zijn eigen naam, josh, en noemde de directory OSB Project Wizard.
Natuurlijk kan dat Project Wizard ook origineel code van hem zijn, van voor hij bij die afdeling van de CIA werkte. Hij had ook nog een groepje kameraden waarmee hij allerlei dingen deelde op een website die hij zelf registreerde en The Crypt noemde. In ieder geval is zijn online aktiviteit gemakkelijk te volgen want hij postte bv veel screenshots over zichzelf, waarin soms ook gegevens over zijn andere aktiviteiten staan zoals zijn pseudoniemen, en een overzicht van mails van zijn persoonlijke mailbox. Hij stak ook zijn aktivisme in wapenverspreiding niet onder stoelen of banken, evenmin als zijn rechtse en rascistische ideeën.

Verschillende getuigen van de CIA zelf zullen enkel achter gesloten deuren getuigen om hun identiteit te beschermen.

https://heavy.com/news/2019/09/valerie-plame-cia-agent-campaign-ad/

Spelgeheimen

In Californie heeft een man bekend de servers van Nintondo te hebben gekraakt. Hij gebruikte gegevens van een werknemer om binnen te geraken op de servers van Nintendo. Daar ging hij op zoek naar de plannen voor de toekomst van de spelfabrikant. Het is zeker dat hij nog een compaan had, maar die is voorlopig niet publiek geïdentificeerd.
De FBI zou de man gepakt hebben volgens documenten van het ministerie van justitie van december van vorig jaar. Daarin is te lezen dat hij beschuldigd wordt van Computer fraude en misbruik; dat hij succesvol wist binnen te dringen in de computers en servers van Nintendo of America.
Hij gebruikte valse identiteiten en gestolen certificaten om zijn slag te slaan.
Hij haalde duizenden bestanden af, en ging op zoek naar bestanden van de programmeurs en informatie over nog in ontwikkeling zijnde produkten.
Hij misbruikte die data zelf om Nintendo spelconsoles aan te passen, en hij speelde de gegevens ook door aan anderen, waarschijnlijk puur om er mee uit te kunnen pakken en zijn ego op te vijzelen. Zijn apparatuur, bestaande uit een paar Nintondo consoles, een macbook, een harde schijf en nog wat bijhorende spullen zijn in beslag genomen. Hij zou een paar honderdduizend dollar schadevergoeding moeten betalen aan Nintendo, en hij riskeert drie jaar cel.

Genomineerd

IT is weer in het nieuws dankzij de chaos bij de voorverkiezingen van de democratische partij in Iowa in de VS. Want ofwel kunnen de samenzweringstheorieën worden bovengehaald en heeft iemand het systeem gehackt om schade te berokkenen of de uitslag te beïnvloeden. Ofwel was er een probleem met de kwaliteit van de software of de opleiding van de gebruikers. Het is natuurlijk altijd spannend om een nieuw systeem te beginnen gebruiken bij iets heel belangrijks, zonder het op grote schaal getetst te hebben. In ieder geval waren er zo veel problemen dat resultaten telefonisch moesten doorgegeven worden, en waarschijnlijk manueel geteld. De democraten benadrukken wel dat ze bewust gezorg hebben voor een backup op papier, en dat ze daar nu perfect op kunnen terugvallen om de resultaten te tellen of na te tellen. Alleen het verzamelen van resultaten en berekenen van de uitslag is een probleem gebleken met de nieuwe software.
Kandidaat Joe Biden kon er in ieder geval niet mee lachen en sprak over ernstige tekortkomingen.
Aan de kant van de republikeinen werd wel gelachen, want Trump haalde een communistische uitziende score van meer dan 97 percent.

Maar veel van de vermoedens die verspreid werden, dat de systemen gehackt waren bv, bleken niet te kloppen. De website motherboard wist de hand te leggen op de app waar het over gaat, IowaReporter genaamd, in de vorm van een Android .apk bestand. Ze stapten ermee naar een aantal professionele veiligheids en softwarespecialisten, en lieten de app onderzoeken. Je zou denken dat zo’n belangrijke app op voorhand onderzocht wordt op de veiligheid ervan, en dat is ook wat het ministerie voor binnenlandse veiligheid in de VS had aangeboden, maar de democraten van Iowa moesten daar niets van weten.

Het bedrijf dat de app ontwikkelde heet Shadow Inc., en die verdedigen zich nu. De baas daarvan zegt dat er wel controles zijn gebeurd. Hij zegt dat de app op zich ok was, dat de data die uit de app kwam ok was, dat de berekeningen die in de app gedaan werden ok waren. Maar dan, bij de volgende stap, waarbij de data naar een server ging voor controle, ging het fout. En dat had te maken met de formattering van de gegevens.

Bovendien deden ook veel gebruikers een fout. Ze gaven de verkregen inlogcode op de verkeerde plaats in, waardoor de app niet werkte. De drie soorten gegevens die ze moesten invoeren waren allemaal 6 tekens lang, en veel onvoldoende medewerkers vergisten zich, of begrepen gewoon niet welke code diende voor wat.

Het bedrijf startte in augustus met de ontwikkeling van de app en had dus maar een paar maanden tijd. Ze hielden de app bewust eenvoudig, want complexiteit maakt de dingen maar erger.

De experten die de app in handen kregen, gingen met reverse engineering en andere technieken aan het werk om de app te onderzoeken. Ze hebben zo hun opmerkingen.

Voor de basis van de app werd gebruik gemaakt van een open source platform van Facebook, React Native.

De app moest de voorzitters laten inloggen met een toegangsnummer, een pin code en two factor authentication, wat een extra beveiliging is. Dan gaf de app wat basisinformatie.

De voorzitters moesten dan het totaal aantal aanwezigen ingeven. Dan moesten ze de resultaten van de eerste ronde ingeven, en die van de tweede ronde. Dan zou de app berekenen hoeveel afgevaardigden iedere kandidaat zou krijgen. Die resultaten moesten dan doorgestuurd worden naar een server.

De server bleek een cloud dienst van Google te zijn, opgezet door hetzelfde bedrijf dat de app ontwikkelde, shadow.

Tot daar alles goed volgens de betrokkenen. Maar die resultaten moesten dan doorgestuurd worden naar een server van de Democratische partij, die de data zou kontroleren.

Bij het klaarmaken van de data voor verzending ging er dan iets fout. De controles bij de server waar het binnenkwam gaven foutmeldingen. En dan begon het zoeken.

Twee weken voor de verkiezing waarschuwde John Sebes, chief technology officer van het Instituut voor Open Source Verkiezingstechnologie de democraten nog in een artikel op nbcnews:

https://www.nbcnews.com/tech/security/iowa-caucus-app-sparks-election-security-concerns-n1121581

Als je zelf eens wil kijken naar “the App that Blew Up the Iowa Caucus”

https://vice-sundry-assets-cdn.vice.com/sites/iowa-caucus-app/iowa-caucus-app.apk

compiled by BCP v.0.4.6

Lift ^ | Lift v | Comments Off

Comments are closed.