Govcert heeft een factsheet(pdf) gemaakt, waarin duidelijk wordt uitgelegd wat er nou precies aan de hand is met het Microsoft. Het document is een handige aanvulling op de podcast.

In deze aflevering hebben we het over twee vormen van identiteitsmanagement. Om te beginnen het managen van identiteiten met behulp van toegangspassen en de OV-chipkaart. Het Crapto1-project levert namelijk broncode om zelf eens te experimenteren met het kraken van Mifare Classic-chips. We bespreken niet alleen het project, maar ook de gevolgen.

Bij 18:00 schakelen we over naar Novell, die vorige week een hele reeks aan oplossingen voor identity management presenteerden en hun visie deelt. Dit soort oplossingen houdt managers uit de gevangenis denkt het bedrijf. Analysten van Burton zijn het daar wel mee eens, maar betwijfelen sterk of bedrijven wel voor totale oplossingen gaan. Zij verwachten meer een combinatie van Best of Breed. Toch is het zeker de moeite waard eens te luisteren naar een gezond verhaal over compliance.

 

 De Beveiligingsupdate 8: Wat nou identiteitsmanagement? [42:45m]: Play Now | Play in Popup | Download

EXTRA EDITIE! Microsoft heeft in een tussentijdse update een ernstig lek in Windows gedicht. Het RPC-lek treft eigenlijk alle versies van Windows en geeft wormen de kans misbruik van het systeem te gebruiken. Omdat het bedrijf misbruik in de praktijk heeft gezien besloot men met patch te komen. Natuurlijk staat er een advisory online. De Beveiligingsupdate komt met een special om samen met Joran Polak en Ruud de Jonge van Microsoft te bespreken wat er aan de hand is, wat mensen kunnen doen en vooral hoe ernstig het is. Onmisbaar voor iedereen die met Windows werkt.

 

 Extra Beveiligingsupdate 7: Microsoft dicht lek in Windows RPC [18:37m]: Play Now | Play in Popup | Download

Natuurlijk stond de afgelopen week in het teken van de vraag is de Denial-of-Service met Sockstress nou waar of niet. Nu de T2-conferentie is geweest en de demo is gegeven, kan ik daarop volmondig zeggen: Ja het is waar. Natuurlijk praat ik met Joran Polak van Security.nl over de conferentie en de getoonde zaken even goed na, want in potentie hebben we het hier wel over het grootste lek van dit jaar.

In deze aflevering kijken we eens anders naar beveiliging met ISECOM. We kijken naar een gratis hacker highschool, software die nooit een beveiligingsupdate nodig heeft en security through obscurity die wel zou werken. Het project is een vorm van open content platform en maakt dus de resultaten publiek beschikbaar.

Dat vrije treffen we ook aan bij CACERT dat gratis certificaten voor e-mail en webservers uitgeeft. Iedereen kan er gebruik van maken, zodra ze zich hebben laten identificeren door vrijwilligers van het project. Oorspronkelijk begon het in Australië, maar inmiddels staan de belangrijkste servers in Nederland. Probleemloos is alles nog niet, want webbrowsers erkennen de certificaten nog niet. Gelukkig moeten audits daarin op korte termijn verandering gaan aanbrengen.

 

 De Beveiligingsupdate 6: Echte sockstress, CACERT en ISECOM [62:14m]: Play Now | Play in Popup | Download

De Beveiligingsupdate kijkt dit keer naar de Mifare Classic RFID-chip van NXP. De leverancier gebruikt voor de beveiliging het CRYPTO1-mechanisme. Dat is nu gekraakt en eindelijk zijn de papers van de onderzoekers uit Nijmegen en Berlijn gepubliceerd. De laatste heeft broncode en ook verscheen er broncode in Rusland. Dus het kan niet uitblijven dat er snel broncode komt om het lek te misbruiken. We praten over de mogelijkheden en vooral de technische lekken.

Toch is dat niet het enige onderwerp voor de podcast. Ook spreken we over WPA2, waarbij we security.nl vragen of het einde der tijden nu echt nabij is of het allemaal toch wel meevalt. Verder praten we in het nieuws met Joran Polak over het patchen van systemen in het algemeen en Windows en Apple in het bijzonder. Daarnaast is er aandacht voor de uitrijking van de Joop Bautz-award 2008 voor het meest innovatieve beveiligingsonderzoek.

 

 De Beveiligingsupdate 5: Mifare Classic? Beveiligingsklassieker!: Play Now | Play in Popup | Download

In deze aflevering van De Beveiligingsupdate hebben we het over indentiteitsdiefstal in Nederland. Eindelijk is er in Nederland door Fellowes onderzoek gedaan naar het onderwerp. We spreken met Fleur van Eck van Stichting Aanpak Financieel Economische Criminaliteit in Nederland ofwel Safecin. Zij proberen via hun website de gevolgen in kaart te brengen. Ook bevragen we CDA-kamerlid Sybrand van Haersma Buma over het onderwerp en het Burger Service Nummer.

Verder praten we met Joran Polak van Security.nl over Neosploit, een nogal een kwaadaardige tool om systemen te misbruiken. Hij vertelt over de tool en de ernst ervan. Daarna legt Ian Amit van Aladdin uit wat zijn onderneming met de problematiek doet, hoe zij servers achterhalen, hoe ze zelf op de dunne lijn tussen legaliteit en illegaliteit lopen. Zij achterhaalden de gegevens van 200.000 servers wereldwijd, waarbij er ook overheden en multinationals zijn getroffen. Wie wil weten of ze op de lijst staat, kan terecht op hun webpagina waar het bedrijf een tool beschikbaar zal maken om dat te checken.

 

 De Beveiligingsupdate 4: Indentiteitsloze Neosploit [42:06m]: Play Now | Play in Popup | Download