Dat meldden GeenStijl en Webwereld. De Vereniging Nederlandse Gemeenten (VNG) oordeelde dat de sites op zwart moesten.

De websites draaien op een oude Windows-versie waardoor het mogelijk was om bestanden die afgeschermd zouden moeten zijn te bekijken, verwijderen of nieuwe bestanden toe te voegen.

Dat zei Brenno de Winter van Webwereld zaterdag. Het gaat onder meer om de gemeentes Beemster, Doetinchem, Enkhuizen, Olst en Zeewolde.

Persoonlijke gegevens

Op de sites waren eenvoudig persoonlijke gegevens te achterhalen van gemeenteraadsleden. ''Nu werd er gehackt met goede bedoelingen, maar wat als iemand kwaad wil? Of al eerder hackte met slechte bedoelingen?'', aldus De Winter.

GeenStijl heeft het over een lek dat zo groot is dat er ''moeiteloos vijf Boeing 747's naast elkaar in passen''.

Opheldering

Vanuit de politiek is ontstemd gereageerd. Zowel GroenLinks als SP hebben opheldering gevraagd aan minister Piet Hein Donner (Binnenlandse Zaken).

Deze week heeft Donner ook al een debat over DigiNotar. Dat bedrijf gaf veiligheidscertificaten uit voor (overheids)websites die die veiligheid niet bleken te garanderen. De kwestie veroorzaakte grote commotie over de (on)veiligheid van de digitale contacten met de overheid.

---

App laat Android-apps draaien op iOS

Bron: Tweakers.nt

Door Arnoud Wokke , donderdag 6 oktober 2011

Alien Dalvik 2.0 laat Android-applicaties draaien op iOS-devices, zoals de iPad. Ontwikkelaar Myriad toont de nieuwe app voor het eerst volgende week in de VS, tijdens telecombeurs CTIA. Alien Dalvik is een app met een virtuele machine.

Alien Dalvik, dat al eerder werd aangekondigd voor andere platforms, laat vanaf versie 2.0 Android-apps via reguliere apk-bestanden draaien op iOS, kondigt Myriad aan. Alien Dalvik is een emulator voor Dalvik, de virtuele omgeving waarin apps draaien op Android. Daardoor kunnen iOS-gebruikers na het starten van de app Android-apps toevoegen en draaien.

Er is nog veel niet bekend over Alien Dalvik. Zo is onbekend hoe gebruikers apps kunnen toevoegen en of de app ter download zal worden aangeboden. Myriad werkt vooral als partij voor fabrikanten van telefoons en tablets, en voor telecomproviders, maar heeft nog nooit software rechtstreeks aan consumenten ter beschikking gesteld.

Alien Dalvik 2.0 moet Android-apps niet alleen op iOS brengen, maar ook op tv's, e-readers en andere devices.

---

Lek1: Blunder Logius maakt DigiD-fraude kinderspel

Bron: Webwereld.nl

Door Brenno de Winter , zaterdag 2 oktober 2011

Het is 1 oktober, dus presenteren we het eerste lek in Lektober. Kwetsbare overheidssites maken het mogelijk DigiD-sessies te stelen. Een aanvaller kan eenvoudig rechtsgeldige transacties doen.

Dat ontdekte beveiligingsonderzoeker Wouter van Dongen van Dong IT. Hij ontdekte twee weken geleden al een zwakheid in diverse raadsinformatiesystemen. Die problemen zijn verholpen, maar naast de kwetsbaarheid in de site kwam ook de mogelijkheid aan het licht om DigiD-sessies over te nemen. Simpel sessie stelen

Het probleem speelt bij overheidssites die kwetsbaar zijn voor cross site scripting lekken. En dat zijn er behoorlijk wat, zo zal volgende week blijken uit ons onderzoek in het kader van Lektober. Door het manipuleren van de URL is het bij XSS-gevoelige sites vervolgens mogelijk de cookie te stelen. Daarmee kan een aanvaller dezelfde sessie overnemen en dus namens de niets vermoedende gebruiker werken.

Het uitvoeren van een dergelijke aanval is niet ingewikkeld en kan zelfs geautomatiseerd worden. Wie namelijk een website bouwt die gevoelig is voor XSS-lekken, blijkt vaak ook gevoelig voor SQL-injectie. Daarmee is het kinderspel om internetadressen zo aan te passen dat gebruikers bij het klikken op een link al de dupe van een aanval worden.

Ook in het voorbeeld van Van Dongen bleek dit probleem te spelen. Hij ontdekte eerst de SQL-injection en toen het XSS-lek. vervolgens kwam het probleem met DigiD aan het licht. Geen checks

Dat het mogelijk is om sessies over te nemen komt door het ontbreken van de nodige basale beveiligingslagen in DigiD. Zo wordt er niet gewerkt met secure cookies. Daardoor is het mogelijk de informatie over een sessie te stelen en te misbruiken.

Ook controleert DigiD niet van welk internetadres een gebruiker afkomstig is. Hierdoor kan een eenmaal overgenomen DigiD-sessie overal ter wereld worden misbruikt en wordt fraude makkelijker gemaakt.

Overheden die werken met DigiD moeten wel een aantal tests van een checklist (pdf) doorlopen. Maar daarbij wordt er niet gecontroleerd op een basaal beveiligingsprobleem als cross site scripting, terwijl het verantwoordelijke onderdeel van Binnenlandse Zaken, Logius, bijvoorbeeld wel zeker wil weten dat het woord DigiD goed wordt geschreven.

Webwereld heeft het lek in DigiD aangemeld bij Govcert. Die organisatie coördineert de afhandeling van het probleem. Daar wordt gemeld dat de problemen kloppen. In sommige gevallen er wel wordt gekeken naar de status van de DigiD-sessie. Een voorbeeld is de Belastingdienst. Toch is dit een controle is die de website moet doen en niet standaard bij DigiD hoort. Deze is dus niet altijd aanwezig. Veel voorkomend

"Cross site scripting kwetsbaarheden zijn een van de meest voorkomende kwetsbaarheden in webapplicaties", zegt Van Dongen tegenover Webwereld. Uit een onderzoek in 2009 bleek dat maar liefst 65% van de onderzochte sites vatbaar waren. Van Dongen wijst erop dat zulke fouten makkelijk zijn te voorkomen. Maar al bij het ontwerp en de bouw van een applicatie kun je ook de impact ervan flink beperken, voor het geval er toch een XSS-fout door de controles komt.

"Door simpelweg gebruik te maken van HTTP only cookies en HTTP Trace methode uit te schakelen worden de mogelijkheden van een aanvaller al flink beperkt wanneer er een XSS kwetsbaarheid doorheen glipt", legt hij uit. "En door HTTP secure cookies worden de cookies niet over een onbeveiligde verbinding verzonden. Eenvoudig te implementeren en te controleren." Niet de eerste keer

Het is niet de eerste keer dat Logius in opspraak raakt over geblunder met beveiliging. Precies een maand geleden bracht de organisatie een advies uit over de DigiNotar-crisis. Daarin stelde het bestuursorgaan dat er geen reden was om te twijfelen aan de integriteit van de PKI Overheid-certificaten. Dat was niet waar, aangezien de systemen voor PKI-overheid wel degelijk ook waren gekraakt door de inbreker. Lektober

Dit DigiD-lek is alvast een opwarmer voor Lektober, waarin Webwereld iedere werkdag van de maand oktober een privacy-lek blootlegt. Hiermee willen we de aandacht vestigen op de slechte bescherming van privacygevoelige gegevens in de semipublieke sector en bij bedrijven.

---

Gemeenten vrezen Windowsupdate

Bron: NU.nl

Door NU.nl , donderdag 8 september 2011

DEN HAAG - De Vereniging Nederlandse Gemeenten (VNG) vreest dat gemeenten volgende week enorm in de problemen komen met hun digitale dienstverlening.

Dinsdag voert Microsoft een wekelijkse update uit. Na deze update vertrouwt Windows geen websites en downloads meer die gebruikmaken van Diginotarcertificaten.

VNG onderzoekt nu met een aantal gemeenten wat de gevolgen zijn van de update. "Dat is nu nog niet precies duidelijk", aldus een VNG-woordvoerder. "Een scenario is dat het inloggen op een gemeentesite niet meer werkt, of dat er bij het versturen van gegevens een foutmelding optreedt."

Volgens VNG kunnen naast de Windowsupdate ook gemeenten problemen krijgen met hun dienstverlening ook als zij geen Diginotarcertificaten gebruiken.

Vervangen

Doordat certificaten van het bedrijf Diginotar niet veilig bleken, moest het gros van de gemeenten in korte tijd de certificaten vervangen. Dat geldt ook voor de partijen waarmee zij informatie uitwisselen, zoals de Belastingdienst en de RDW.

Met nieuwe certificaten kan echter niet meteen zaken gedaan worden; die moeten eerst een voor een aan de systemen van de partijen gekoppeld worden waarmee informatie wordt uitgewisseld.

Tijdsgebrek

Als die andere partijen de systemen nog niet op orde hebben, kan het dus zo zijn dat de gekoppelde dienstverlening van een gemeente die niets met Diginotar te maken heeft toch niet naar behoren werkt.

Volgens VNG kampen gemeenten met een enorm tijdsgebrek omdat zij zaken doen met honderden partijen. "Als er één klein ding fout gaat, kan dat enorme gevolgen hebben."

CrisisCentrum

Het Nationaal CrisisCentrum (NCC) gaat gemeenten helpen bij het vervangen van hun veiligheidscertificaten. Gemeenten die niet genoeg tijd of mankracht hebben om de certificaten tijdig te vervangen, kunnen een beroep doen op een vliegende brigade van het NCC.

Het NCC valt onder het ministerie van Veiligheid en Justitie en komt in actie bij crises of dreigende crises. Het centrum was in het verleden onder meer actief bij de bestrijding van de Mexicaanse griep, de strooizouttekorten en de vulkanische aswolk die het vliegverkeer stillegde.

---

Fabrikanten sceptisch over succes ultrabook-concept

Bron: tweakers.net

Door Olaf van Miltenburg , dinsdag 6 september 2011

Fabrikanten van laptops zijn er naar verluidt nog lang niet van overtuigd dat het ultrabook-concept van Intel een succes wordt. Intel zelf verwacht dat 40 procent van de laptops die volgend jaar worden verkocht een ultrabook-model zal zijn.

Intel heeft grote plannen met ultrabooks, maar fabrikanten zouden uiterst voorzichtig reageren op het concept, claimt Digitimes. Ze zouden hun bestellingen bij de fabrieken beperkt houden en in eerste instantie met een lichting van 50.000 stuks de markt willen verkennen. Fabrikanten als Acer zetten eerder hoog in met laptops die van Intels consumer ultralow voltage-processors voorzien waren, maar die machines bleken uiteindelijk minder goed te verkopen dan verwacht.

De laptopfabrikanten hebben een boost in hun verkoop hard nodig, maar ze verwachten niet dat de vraag naar notebooks zich in het laatste deel van 2011 significant herstelt. Het streven van Intel naar een marktaandeel van 40 procent voor ultrabooks in 2012 is dan ook moeilijk te realiseren, naar de mening van de fabrikanten. Acer, Lenovo, Toshiba en Asus hebben in september hun ultrabooks gepresenteerd en de verkoop gaat in oktober van start.

---

China, Google, Microsoft en de moraal

Bron: webwereld.nl

Door Volkert Deen , woensdag 31 augustus 2011

Microsoft sloot onlangs een samenwerkingsovereenkomst met Baidu, terwijl Google China vorig jaar juist principieel de rug toe keerde. Wat is juist?

Grote zakelijke beslissingen hebben regelmatig verregaande ethische consequenties. Helaas hoor je daar gewoonlijk weinig van voor het te laat is, maar dat wil niet zeggen dat een discussie over ethiek niet gewoon gevoerd kan worden. Zeker onder ons, op deze website voor IT-managers.

IT-ers zijn vaak geneigd bij hun technische innovaties in eerste instanties te denken aan een specifiek probleem dat moet worden opgelost. Een beetje moderne IT-manager denkt daarbij ook nog aan de gevolgen van die oplossing voor de aandeelhouders - maar de morele consequenties, dat is meer iets voor de baas van het bedrijf. Die is tenslotte eindverantwoordelijk. Bovendien mag een beetje ethiek een mooie intellectuele uitdaging niet in de weg staan...

Toch kan het geen kwaad je zo nu en dan af te vragen wat de gevolgen zijn van wat je doet met de technologie die je ter beschikking staat. Dat dat tot prachtige morele dilemma's kan leiden blijkt wel uit het feit dat twee reuzen op IT-gebied op hetzelfde terrein twee totaal verschillende beslissingen kunnen nemen. Chinese censuur

Dit voorbeeld gaat over China en zoekmachines. China's grootste zoekmachine, met 80% van de Chinese markt, is Baidu. Baidu is een echt Chinese zoekmachine, in de zin dat de resultaten naar verluid in hoge mate gestuurd worden door de Chinese regering, maar ook in de zin dat de engine buiten het Chinese taalgebied maar weinig voorstelt. Om in dat laatste verandering te brengen zoeken de Chinezen al langere tijd toenadering tot de grote Westerse zoekspecialisten.

Vorig jaar besloot Google in een heus en vakkundig opgeklopt mediaoffensief dat het niet wilde meewerken aan de censuur die China wilde afdwingen op Google.cn. David Drummond, senior VP Corporate Development en Chief Legal Officer bij Google, schreef in een blogpost: "We hebben besloten dat we onze resultaten op Google.cn niet langer willen censureren." Later voegde hij er nog aan toe: "We willen dat zo veel mogelijk mensen toegang hebben tot onze diensten, inclusief gebruikers op het Chinese vasteland, maar de Chinese regering heeft tijdens onze onderhandelingen heel duidelijk gemaakt dat zelfcensuur een wettelijke vereiste is waarover niet te onderhandelen valt." Voor Google was dat een brug te ver.

Nu, ruim een jaar later, blijkt Microsoft daar heel andere ideeën over te hebben. Onlangs sloot het een deal waarin MS-zoekmachine Bing alle Engelstalige zoekopdrachten zal gaan afhandelen voor Baidu. Daarbij gaat het bedrijf er, net als Baidu, mee akkoord dat de zoekresultaten stevig gecensureerd kunnen worden door de Chinese regering. Een woordvoerster van Microsoft, tegenover de New York Times: "Microsoft respecteert en houdt zich aan de wet- en regelgeving van ieder land waarmee we zaken doen. We werken in China op een manier die de lokale autoriteiten en cultuur respecteert, maar ook duidelijk maakt dat we van mening verschillen over officieel content management beleid."

Buigen of barsten?

Twee zeer grote en (invloed)rijke multinationals met twee totaal verschillende standpunten. Google dat vasthoudt aan de eigen principes, Microsoft dat bereid is zijn principes te laten varen als dat meer oplevert. Althans, dat is de eerste gekleurde mening die je overal op het web ziet opduiken. Je kunt het ook omdraaien en stellen dat Google zijn wil probeert op te leggen aan een van de grootste landen met een van de oudste culturen ter wereld, terwijl Microsoft bereid is zich te voegen naar de plaatselijke zeden en gewoonten.

Wat zal uiteindelijk effectiever blijken: het de Chinezen lekker zelf laten uitzoeken totdat ze bereid zijn het op 'onze' manier te doen, of ze onder hun eigen voorwaarden op weg helpen? En, een stapje verder: moet je als IT-bedrijf bereid zijn een ethisch standpunt in te nemen en desnoods van (een deel van) je winst af te zien omdat je je aan bepaalde principes wenst te houden? En wiens principes moeten dat dan zijn - die van de ontwikkelaars, de board of directors, de aandeelhouders, de regering, de klanten, de publieke opinie? Of moet je je juist volledig richten op de techniek, en ervan uitgaan dat die van zichzelf nooit goed of slecht is? Waar in de hele informatietechnologie begint de moraal?

Ik nodig je van harte uit hierover in discussie te gaan - de reactiemodule hieronder staat geheel tot je beschikking.

---

Gratis tekst en foto's uitwisselen met Samsung ChatON

Bron: hear.nl

Door hear+see, maandag 29 augustus 2011

Samsung introduceert ChatON, een nieuwe gratis en wereldwijde mobiele communicatiedienst. ChatON werkt op vrijwel alle platforms voor mobiele telefoons en smartphones. Met ChatON kunnen gebruikers onderling niet alleen tekst uitwisselen, maar ook handgeschreven notities, foto’s en video’s. Gebruikers van ChatON kunnen bovendien groepchats houden. Via een web-client zijn content en conversaties uitwisselbaar tussen mobiele telefoons en pc’s.

---

Toekomst Apple onzeker door vertrek Jobs

Bron: webwereld.nl

Door René Schoemaker, donderdag 25 augustus 2011

De toekomst van Apple zonder de charismatische Steve Jobs is onzeker. Analisten verschillen fundamenteel van mening. "Apple is niet dezelfde Apple zonder Steve Jobs."

---

Wikileaks bevestigt wissen geheime data door ex-woordvoerder

Bron: tweakers.net

Door Dimitri Reijerman, zondag 21 augustus 2011