Nederlander doet upnp-lek uit de doeken

Donderdag 18 mei 2006, 13:36 - Systeembeheerders en consumenten wordt aangeraden direct de firmware van hun router te vernieuwen en universal plug & play (upnp) uit te schakelen.


De Nederlander Armijn Hemel heeft donderdag tijdens de Sane-conferentie namelijk uit de doeken gedaan hoe gevaarlijk het upnp-protocol volgens hem is. Aanvallers kunnen redelijk simpel de controle over routers en pc's overnemen. Dit risico was al langer bekend. Hemel vertelt vandaag hoe het lek exact misbruikt kan worden.

"Upnp is 'broken by design', omdat het zonder security is gedaan", stelt Hemel tegenover Webwereld. "De specificaties zijn te onduidelijk waardoor er veel fouten voor komen in de implementaties, die kunnen leiden tot allerlei 'leuke' overnames van netwerken en routers zelf."

Door een speciaal geprepareerd datapakketje te versturen kunnen kwaadwillenden de controle over een router of pc overnemen. Diverse fabrikanten hebben inmiddels een nieuwe versie van hun firmware online gezet. Hemel is echter bang dat dit niet veel helpt aangezien de meeste gebruikers de firmware niet zelf zullen updaten. Schakel upnp uit en update de firmware is dan ook vooralsnog het devies.

Hemel presenteert de ontdekking tijdens de System Administration and Network Engineering (Sane) conferentie in Delft onder de naam 'Universal Plug and Play: Dead simple or simply deadly?'

bron: WebWereld

Justitie mag advocaten blijven afluisteren

Politie en justitie mogen de telefoongesprekken tussen advocaten en hun cliënten blijven aftappen. Dat is het gevolg van een uitspraak van de rechtbank in Den Haag van 15 maart 2005. De Nederlandse Vereniging van Strafrecht Advocaten (NVSA) had een kort geding aangespannen over het afluisteren.

Justitie mag gesprekken met advocaten afluisteren en opnemen. Volgens de rechtbank vallen de telefoongesprekken niet per definitie onder het verschoningsrecht van advocaten. De officier van justitie moet achteraf beslissen of het gesprek wel of niet onder het verschoningsrecht valt. Wanneer dat het geval is, moeten de opname en het proces-verbaal vernietigd worden. De informatie mag vervolgens niet in het strafproces gebruikt worden maar de officier van justitie heeft dan al wel kennis genomen van de inhoud van het gesprek.

De essentie van het verschoningsrecht is dat de burger zich vrijelijk tot een raadsman moet kunnen wenden en met hem moet kunnen communiceren zonder inmenging van de overheid.

In 2003 oordeelde het College Bescherming Persoonsgegevens (CBP) dat de huidige werkwijze van politie en OM bij het opnemen en registreren van vertrouwelijke communicatie met advocaten onrechtmatig is. "Het stelselmatig opnemen, registreren, uitwerken en kennisnemen van deze vertrouwelijke communicatie door de politie en het OM is strijdig met de bij wet en verdrag erkende bijzondere positie van beroepsgeheimhouders. Het is daarmee ook in strijd met de Wet politieregisters en de Wet bescherming persoonsgegevens," aldus het CBP.

Nederland tapland
Uit internationaal onderzoek naar afluisterpraktijken is gebleken dat Nederland met 62 taps per 100.000 inwoners extreem vaak telefoongesprekken afluistert. Alleen Italië luistert met 76 taps per 100.000 inwoners nog meer af. Ter vergelijking: de Verenigde Staten hebben slechts 0,5 taps per 100.000 inwoners. Per inwoner wordt in Nederland dus 120 maal meer getapt dan in de VS.

Volgens de NVSA worden ook advocaten, vooral in grote strafzaken, door politie en justitie veelvuldig afgeluisterd. Volgens de strafrechtadvocaten is het tappen van hun gesprekken met cliënten een inbreuk op hun verschoningsrecht. Volgens de advocaten bewaart Justitie in strijd met de regels regelmatig gesprekken tussen advocaten en hun cliënten. Hoe vaak dit gebeurt is niet bekend, maar soms komen advocaten hier per toeval achter.

'Amerikaanse senaat moet afluisterpraktijken toetsen'

De controverse rond de afluisterpraktijken op Amerikaanse internetters die het Witte Huis na de aanslagen van 11 september 2001 in stelling bracht, heeft zich op de vraag gericht omtrent de functie van het komende onderzoek naar de zaak. Volgens Democratisch senator Charles Schumer moet de senaat topfunctionarissen van het Witte Huis horen om duidelijkheid te krijgen over de legaliteit van de door de NSA uitgevoerde praktijken. Volgens een Amerikaanse wet uit 1978 zou het verboden zijn om zonder tussenkomst van een rechtbank Amerikaanse staatsburgers op Amerikaans grondgebied te bespioneren. Republikeins senator Mitch McConnell zegt dat het onderzoek zich juist moet richten op de vraag wie de informatie over het afluisterprogramma naar de New York Times heeft gelekt, aangezien dat een wig zou drijven tussen de pogingen van de regering om de Verenigde Staten vrij van terreuraanslagen te houden.

homeland security Het Witte Huis stelt dat het afluisterprogramma legaal is. Het zou regelmatig door topfunctionarissen van het ministerie van Justitie zijn getoetst en Congresleden zouden van het bestaan op de hoogte zijn geweest. De regering stelt dat presidentiële bevoegdheden, samen met een resolutie die het Congres eind 2001 aannam, de wettelijke basis voor het programma vormen. De New York Times plaatst daar vraagtekens bij en wijst op de weigering in 2004 van procureur en staatssecretaris van justitie James Comey om het programma te verlengen, omdat hij vraagtekens plaatste bij de wettelijkheid ervan. Toenmalig minister van jusitie John Ashcroft lag op dat moment in het ziekenhuis; regeringsfunctionarissen zou na de weigering van Comey op ziekenbezoek zijn gegaan om de handtekening van de minister te verkrijgen. Volgens de New York Times zou ook Ashcroft niet happig op het verlengen van het afluisterprogramma zijn geweest; het is niet duidelijk of het Witte Huis de handtekening uiteindelijk los wist te peuteren.

Dat er wellicht vraagtekens geplaatst mogen worden bij de capaciteit van de NSA om zich aan de wet te houden, blijkt uit het bekend worden dat de instantie zich niet aan regels heeft gehouden met betrekking tot het tracken van bezoekers op hun website. De site van de NSA zou werken met zogenaamde 'persistent cookies', wiens levensduur niet verloopt, wat volgens richtlijnen uit 2000 en 2003 verboden zou zijn voor overheidssites. Volgens een woordvoerder van de NSA is er een fout gemaakt bij het upgraden van serversoftware en is het euvel inmiddels verholpen. Er zou ook het een en ander schorten aan het cookiebeleid van de Witte Huis-site; hier zouden mini-afbeeldingen (web beacons) in combinatie met cookies worden gebruikt om bezoekers te tracken. Het Witte Huis zegt dat dit slechts bedoeld is om bezoekersaantallen bij te houden.


Door Mick de Neeve - zondag 1 januari 2006 22:20 - Bron: Reuters