Natuurlijk stond de afgelopen week in het teken van de vraag is de Denial-of-Service met Sockstress nou waar of niet. Nu de T2-conferentie is geweest en de demo is gegeven, kan ik daarop volmondig zeggen: Ja het is waar. Natuurlijk praat ik met Joran Polak van Security.nl over de conferentie en de getoonde zaken even goed na, want in potentie hebben we het hier wel over het grootste lek van dit jaar.

In deze aflevering kijken we eens anders naar beveiliging met ISECOM. We kijken naar een gratis hacker highschool, software die nooit een beveiligingsupdate nodig heeft en security through obscurity die wel zou werken. Het project is een vorm van open content platform en maakt dus de resultaten publiek beschikbaar.

Dat vrije treffen we ook aan bij CACERT dat gratis certificaten voor e-mail en webservers uitgeeft. Iedereen kan er gebruik van maken, zodra ze zich hebben laten identificeren door vrijwilligers van het project. Oorspronkelijk begon het in Australië, maar inmiddels staan de belangrijkste servers in Nederland. Probleemloos is alles nog niet, want webbrowsers erkennen de certificaten nog niet. Gelukkig moeten audits daarin op korte termijn verandering gaan aanbrengen.

 

 De Beveiligingsupdate 6: Echte sockstress, CACERT en ISECOM [62:14m]: Play Now | Play in Popup | Download

For English-speaking listeners: the interview starts at 05:00 in the podcast

Outpost24 heeft een bug ontdekt in het TCP/IP-protocol, waarmee het mogelijk is om bijna ieder systeem te verstoren. De onderzoeken kennen geen enkel systeem dat niet gevoelig is voor de Denial-of-Service-mogelijkheid. De aanval is relatief eenvoudig om uit te voeren en heeft soms maar tien IP-pakketten om tot succes te leiden en wordt ontdekt toen ze werkten aan de Unicornscan.

Zij onthullen het verhaal op de T2-conferentie, maar De Beveiligingsupdate heeft alvast de scoop. We spreken met Robert E. Lee, Chief Security Officer van Outpost24 en senior researcher Jack C. Louis over de ins en outs en de mogelijke gevolgen. Al geven ze niet alle technische details vrij toch wordt de problematiek wel helder. Ook leggen ze verantwoording af, waarom een bug die zo fundamenteel en niet oplosbaar is toch in de openbaarheid komt.

In het nieuws met Security.nl spreken we over Click Jacking, een ander type aanval om de controle over een muis over te nemen in een webbrowser. Ook hebben we het over inchecken als Elvis op Schiphol met dank aan het electronisch paspoort.

 

 De Beveiligingsupdate 3: Socketstress Denial of Service at your service! [44:11m]: Play Now | Play in Popup | Download