| W02 | GOOGLE VERBETERT EMAIL BEVEILIGING
Google stelt een extra hulpje ter beschikking om spam berichten te vermijden. Het systeem staat bekend onder de naam ‘Domainkeys Identified Mail’ (DKIM) en verifieert of een email inderdaad afkomstig is van het domein waarvan het op het eerste zicht afkomstig ‘lijkt’ te zijn. Het doet dit door de cryptografische handtekening van de email te verifiëren. Beheerders van Google Apps kunnen hun berichten vanaf heden digitaal ondertekenen, wat de ontvanger waarborgt dat het bericht echt van u is. DKIM is gratis voor Google Apps gebruikers, en beheerders kunnen de optie activeren in het control panel (onder advanced tools). In 2008 begon Google al nauw samen te werken met Paypal en Ebay om alle berichten die afkomstig waren van één van beide bedrijven te controleren op echtheid. Reden is dat ontzettend veel phising mails afkomstig ‘lijken’ te zijn van Paypal of Ebay, terwijl ze in werkelijkheid door hackers worden verstuurd met de bedoeling om uw toegangsgegevens te ontfutselen. U weet toch dat een bank nooit
(zoals in ‘never’ en ‘jamais’) een Email zal sturen met de vraag om uw login gegevens per kerende terug te zenden? En uiteraard weet u ook dat een bank nooit (zoals in ‘nunca’ en ‘mai’) per Email zal vragen om op een bijgevoegde link te klikken en zo even in te loggen op uw rekening om één en ander te controleren?
| W02 | MICROSOFT BLOKKEERT EXPLORER AANVALLEN
Kent u ‘shim’? Microsoft maakt creatief gebruik van Shim om enkele hardnekkige aanvallen op IE af te slaan in afwachting van definitieve patches of updates. Deze week werden al drie beveiligingslekken in Windows gedicht met klassieke patches, en het gebruik van Shim is dus wel iets nieuw. Deze term is eigenlijk de beschrijving van een ‘application compatibility workaround’. In het Nederlands zou je dat kunnen vertalen als ‘tijdelijke applicatie compatibiliteit oplossing’ (nouja). Microsoft maakte deze shim met de Windows Application Compatibility Toolkit en modificeerde IE op een dergelijke manier dat hij immuun werd voor de bug die de browser slecht liet omgaan met Cascading Style Sheets (CSS). Het DLL bestand dat aangepakt werd is de Mshtm.dll (gebruikt voor het renderen elke keer IE opstart). De echte patch mogen we in principe de achtste Februari verwachten, in afwachting kan je de shim binnenhalen van de MS website.
| W02 | GOOGLE BETAALD RECORD PRIJS VOOR CHROME BUG
Google heeft net niet minder dan zestien bugs uit Chrome gehaald (8.0.552.334 is de nieuwe), en ééntje ervan bracht de eerlijke vinder (Sergey Glazunov) niet minder dan 3.133 Dollar op. Onder de klassiekers die van hun bugjes verlost werden zitten onder andere de ingebouwde PDF lezer, Chrome’s ondersteuning voor extensies en de wijze waarop CSS (cascading style sheets) worden verwerkt. Dit laatste klinkt misschien bekend in de oren (zie het artikel hierboven). Deze patch is de derde sinds versie 8 werd uitgebracht in December vorig jaar. De update gebeurt volledig automatisch zodra u Chrome opstart.
| W02 | DE SMS DES DOODS
Met zo een tittel krijg je natuurlijk ieders aandacht ;-) Sinds vorig jaar schrijf ik regelmatig artikeltjes over programma’s die een GSM toestel kunnen ‘kidnappen’, zijnde allerlei data stelen en een slachtoffer op kosten jagen, maar er zijn 5 miljard GSM’s die geen smartphones zijn. Zijn zij misschien het volgende doelwit? Hun capaciteiten zijn meestal beperkt tot het voeren van telefoongesprekken, SMSjes versturen, MP3’s beluisteren en kleine spelletjes spelen. Deze telefoontoestellen zijn veel moeilijker te hacken, maar deze week slaagden twee studenten uit Berlijn er toch in om via een kleine SMS de GSM van hun slachtoffer uit te zetten. De merken die in aanmerking komen voor deze truuk zijn Nokia, Sony Ericsson, Micromax, Samsung, Mororola en LG. Gezien het feit dat de hack gebruik maakt van de ingebouwde mogelijkheid om kleine binaire bestandjes naar GSM toestellen te sturen (iets wat telecom bedrijven gebruiken om van op afstand wijzigingen aan te brengen in de instellingen van GSM’s die op hun
netwerk zijn aangesloten) is er niet veel weerwerk voorhanden. Nochtans beperkt de hack zich tot het uitzetten van het toestel, wat buiten het feit dat dit vervelend kan zijn indien je het doelwit werd van grapjassen, verder niet veel schade toebrengt.