3x Veiliger – Week 41

CBP en Binnenlandse zaken oneens over beveiliging DigiD

Voornamelijk overheidssites, maar ook de websites van bijvoorbeeld verzekeraars, maken gebruik van DigiD. Allemaal websites waarvan burgers mogen verwachten dat deze goed beveiligd zijn. Toch vind het CBP dat er nog wel wat aan te maken is op deze beveiliging, met name door een verwarring die is ontstaan met het reclamebureau Digi-D. Daarom pleit het CBP voor een verplichte two-factor authentication bij het gebruik van DigiD. Het ministerie van Binnenlandse Zaken dat verantwoordelijk is voor DigiD kan zich niet vinden in de kritiek van het CBP. Zij stelt dat de organisaties die DigiD gebruiken zelf kunnen bepalen of two-factor authenticatie noodzakelijk is en wijst op de verantwoordelijkheid van gebruikers om zelf voor veilige wachtwoorden te zorgen.

bron:
http://www.nu.nl/tech/4141140/cbp-wil-sterkere-beveiliging-digid.html
http://www.nu.nl/tech/4142136/binnenlandse-zaken-oneens-met-kritiek-digid-beveiliging.html

Huawei zal geen beveiligingspatch uitbrengen voor “verouderde” routers.

De chinese fabrikant Huawei zal geen beveiligingspatches uitbrengen voor verschillende routers. Het bedrijf motiveert dit met de stelling dat de routers niet langer ondersteunt zijn. De beveiligingsgaten in de firmware van de routers hebben onder andere betrekking op het via een cookie kunnen verkrijgen van het in plaintext opgeslagen admininistrator password, maar tot data kunnen verkrijgen van apparaten op het netwerk achter de getroffen routers.
Eigenaren van de Huawei E960, E968, B970, B932, B933, B220, B260A, B270, B972, B200-20, B200-30, B200-40 of B200-50 kunnen daarom beter een nieuwe router aanschaffen.

bron:
http://www.fierceitsecurity.com/story/huawei-wont-patch-routers-critical-security-holes/2015-10-08

WordPress Security: Brute Force aanvallen op XML-RPC.php

Het is weer raak met aanvallen op het populaire CMS WordPress. Dit keer gaat het om een nieuw type aanvallen waarbij de XML-RPC functionaliteit van WordPress wordt misbruikt. Door een fout in de XML-RPC functionaliteit is het namelijk mogelijk om met slechts 1 verzoek honderden wachtwoorden ineens te proberen. Doordat er niet van de reguliere inlogmethodes gebruik worden gemaakt om wachtwoorden te raden, blijven deze pogingen ook vaak niet opgemerkt door beveiligingsplugins. Wel is het mogelijk om deze pogingen te blokkeren door middels een Applicatie Firewall system.multicall verzoeken uit te schakelen of door de XML-RPC functionaliteit volledig uit te schakelen.

bron:
http://thehackernews.com/2015/10/WordPress-BruteForce-Amplification.html


Leave a Reply