Hackers claim to have found a new vulnerability in the cryptographic library as serious as Heartbleed, and are selling it for 2.5 bitcoins

Security experts have expressed doubts about a hacker claim that there's a new vulnerability in the patched version of OpenSSL, the widely used cryptographic library repaired in early April.

A group of five hackers writes in a posting on Pastebin that they worked for two weeks to find the bug and developed code to exploit it. They've offered the code for the price of 2.5 bitcoins, around $870.

A new flaw in OpenSSL could pose just as much of a threat as Heartbleed did. But the hackers' claim was met with immediate suspicion on Full Disclosure, a forum for discussing vulnerability reports.

One commentator, Todd Bennett, wrote the technical description of their claim is "rather extraordinary."

The open-source OpenSSL code is used by millions of web sites to create encrypted communications between client computers and servers. The flaw disclosed in early April, nicknamed "Heartbleed," can be abused to reveal login credentials or a server's private SSL key.

More than two-thirds of the websites affected by the flaw have patched OpenSSL, according to McAfee.

The hackers said they've found a buffer overflow vulnerability that is similar to Heartbleed. They claim they've spotted a missing bounds check in the handling of the variable "DOPENSSL_NO_HEARTBEATS."

"We could successfully overflow the 'DOPENSSL_NO_HEARTBEATS' and retrieve 64kb chunks of data again on the updated version," they wrote.

They have not published their exploit code, so there is no way to verify their claim. The group provided an email address for questions, but did not immediately respond to a query.

A Google search showed the same email address has been used in other offers for data on Pastebin. In March, it was used in a Pastebin posting advertising a trove of data from Mt. Gox, the defunct Tokyo-based bitcoin exchange that was hacked.

The same advertisement also offered database dumps from "carding" websites, or those selling stolen credit card data, and data from CryptoAve, another virtual currency exchange that's been attacked by hackers. Scammers often try to make money by falsely claiming they have data of interest to the hacking community.

The Heartbleed flaw has since touched off an effort to strengthen the security of widely used open-source products. The OpenSSL Project, for example, had just one full-time employee and only received about $2,000 in donations annual despite its critical role in protecting communications.

On Thursday, a group of technology companies and organizations launched the Core Infrastructure Initiative, a project intended to generate funds for full-time developers on important open-source products.

The group's participants include Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation.

I’m not much of a Nostradamus, but one thing I can predict with near certainty is that this time next year we are likely to find ourselves witnessing an all-time high in the rate of online credit and debit card fraud. Ironically, that surge in online theft will be the result of efforts to make the offline use of credit and debit cards more secure.

By Oct. 1 of next year, retail establishments are supposed to be able to accept new credit and debit cards that have a chip embedded and require the use of a PIN when making purchases at the checkout counter. The point is to make the cards smarter so that financial institutions can better detect fraudulent usage. Requiring a PIN clearly adds a layer of identification and protection that can deter such fraud.

How do we know that this effort to increase security at the point of sale is going to actually drive online fraud? We already saw it happen in Europe.

In 2002, European financial institutions starting rolling out these very same cards and point-of-sale terminals. We call this technology EMV (Europay, MasterCard and Visa). Financial institutions intend to make EMV a global standard for authenticating credit and debit card transactions using integrated chip technology.

This technology has now been partially or fully deployed in about 14 countries and regions, including most Asian Pacific nations, all of Europe, most of Latin America and the Caribbean. Every country and region in which EMV has been deployed has seen a corresponding surge in online fraud.

Four years after beginning the deployment of cards and new point-of-sale terminals, about 99 percent of businesses and consumers were utilizing EMV. No doubt the cards were effective at cutting offline abuse. Before EMV, Europe saw fraud losses in stores of about 13 basis points of net sales. After EMV, the offline fraud rate plummeted to just 3.5 basis points, according to Douglas King in the study, “Chip-and-Pin: Success and Challenges in Reducing Fraud.”

However, the online world was a fraud nightmare. Online credit and debit card fraud rates more than doubled from the pre-EMV days. In 2004, Europe had an online credit and debit card fraud rate of 25 percent. By 2010, the rate had soared to 64 percent. Further, the European Central Bank’s February 2014 report on card fraud found that card-not-present (CNP) payments, i.e. payments via the internet, post or phone, were the source of 60 percent of total fraud incidents across Europe in 2012. With about $1.1 billion in fraud losses in 2012, CNP fraud showed the highest growth rate, up 21.2 percent from 2011, and analysts project this growth rate will continue to increase in 2013 and 2014.

Making credit and debit cards smarter made the crooks smarter. They stopped using cards with EMV technology in brick-and-mortar stores. Even the thieves knew that using one of the new EMV cards in a store was quickly going to get the card shut down.

So they doubled their efforts at stealing online, where the chips in cards did no good when all that was required were card numbers. Additionally, the bad guys shifted more of their nefarious online activity to foreign countries where it’s even harder to tell a legitimate card user from a thief.

When EMV technology was established, the crooks also started targeting debit cards over credit. Most debit cards use the magnetic stripe and therefore behave like credit cards without the chip and pin, making it easier for fraudsters to exploit both offline using the swipe and online using the debit card number.

Some will probably ask why online retailers don’t just require a PIN for all purchases as in-store clerks do with EMV. We may see more of that kind of adoption here in the U.S. than we’ve seen in other countries that saw this surge in online fraud, even as offline fraud declined. However, putting any barrier to check out in the ecommerce world means a lot of full shopping carts that never make it to purchase.

http://www.reviewjournal.com/business/todays-crime-kings-hackers-who-commit-cyber-fraud-every-18-seconds

Vierentwintig uur. Dat is hoe lang een bedrijf heeft om te detecteren en melden van frauduleuze accountactiviteit.

Voor persoonlijke accounts is het 60 dagen. Anders niet wordt de diefstal gedekt door banken.

In de jaren 1930 werden bankovervallers en ontvoerders de koningen van misdaad. Tijdens de jaren ' 80 was het gangsters. Vandaag het hackers plegen cyberfraud elke 18 seconden, rekken tot meer dan 110 miljard dollar in gestolen geld elk jaar is.

Trok zich terug FBI-agent Jeff Lanza uit Kansas City, Mo., gedeelde tips voor een verblijf veilig woensdag tijdens een evenement van de stad Nationale Bank in het centrum van InNEVation.

Naast de elementaire voorzorgsmaatregelen te nemen — installeren anti-virus software, keeping up met de updates van het systeem, het kiezen van een complex wachtwoord — Lanza zei tech gebruikers moeten extra stappen om te beschermen hun informatie online, vooral ondernemers, die hebben meestal meer op het spel maar minder tijd verslag diefstal en laten vallen.

Verschillende belangrijke punten naar voren gekomen vanuit Lanza's talk.

■ De woorden "DHL," "Kennis" en "levering" zijn de top drie woorden gebruikt in phishing e-mails, waar oplichters poseren als gerenommeerde bedrijven om te proberen om user­names, wachtwoorden of account informatie te stelen. "Don't give iedereen informatie tenzij u weet wie ze zijn en waarom zij moeten die informatie," zei Lanza. Als een e-mail er verdacht uitziet, Controleer zorgvuldig de URL, of het websiteadres. Beweeg over hyperlinks met de cursor te onthullen van de echte URL.

■ Als een "site onderhoud" waarschuwing ijslollie opwaarts na inloggen op de website van een bank, bel onmiddellijk de bank te bevestigen. De meeste doen niet site onderhoud uitvoeren tijdens kantooruren en de waarschuwing zou een kunstgreep om te kopen dieven tijd om geld te stelen.

■ Indien mogelijk, gereserveerd één computer die moet worden gebruikt voor toegang tot online accounts. Geen e-mail of sociale media of werkbladen — die taken kunnen worden voltooid op andere computers, Lanza zei.

■ Controleer of wachtwoorden zijn ten minste acht tekens lang, die het aantal wachtwoord mogelijkheden om een biljard, waardoor het moeilijker voor hackers om spleet te verhogen. Mobiele telefoon app Keeper, beschikbaar voor iPhone en Android, bewaart wachtwoorden in mappen. Mobiele en Web app Dashlane beheert wachtwoorden en automatisch logt gebruikers in hun rekeningen.

■ Er zijn een paar verschillende soorten Wi-Fi beschermde toegang. Altijd kiest voor WPA2-codering om een draadloos netwerk te beveiligen.

■ om te controleren voor diefstal van identiteit, kredietrapporten driemaal per jaar, één keer met elk agentschap vragen — Equifax, Experian en TransUnion. De Federal Deposit Insurance Corp kunnen consumenten vragen een vrij kredietrapport elke twaalf maanden uit elk van de agentschappen door te bellen 877-322-8228 of een bezoek aan www.annualcreditreport.com.

■ tot stand brengen van een cultuur van veiligheid. Niet waarschuwen werknemers slechts eenmaal; herzien beleid regelmatig op vergaderingen.

Lanza zei dat hij nooit maakt gebruik van een betaalkaart online of op gas stations of restaurants. In plaats daarvan maakt hij gebruik van creditcards omdat ze niet zijn rechtstreeks gekoppeld aan een betaalrekening.

Ongeacht waarborgen gebruikt, gebruik gezond verstand.

"Soms technologie mislukt," zei Lanza. "Onze back-up is onze hersenen. Onze back-up is onze waakzaamheid."

http://www.theguardian.com/technology/2013/oct/30/online-fraud-costs-more-than-100-billion-dollars

On line fraude kost de wereldeconomie "vele malen meer" dan de oorspronkelijke schattingen in de verliezen van $12.100 (£62bn) een jaar, een wereldberoemde expert op veiligheid van de cyberruimte heeft gezegd.

Eugene Kaspersky zei het bedrag gestolen van banken, financiële instellingen, bedrijven en particulieren kan worden ten minste het dubbele de $12.100 naar schatting drie jaar geleden. Mede-oprichter van Kaspersky Lab, een anti-virus software bedrijf, zei dat de volgende grote cyber schok voor de economie van de wereld zou kunnen worden een online aanvallen op een staat nationale infrastructuur, zoals in de film Die Hard 4, waarin Bruce Willis cybercriminelen die dreigen gevechten te kappen en saboteren de Verenigde Staten vervoerssysteem tot stand brengen, elektrische centrales en aandelenmarkt.

Spreken op het Web Top in Dublin, de Russische internet veiligheid ondernemer zei: "drie jaar geleden werd ons verteld dat de jaarlijkse kosten van cybercriminaliteit ongeveer 100 miljard Amerikaanse dollars was. Ik zou zeggen dat vandaag dat cijfer wordt vermenigvuldigd vele malen, het is veel meer dan dat bedrag. "

Hij zei dat zijn veiligheid bedrijf werkt met verschillende mondiale financiële bedrijven om hen te beschermen tegen criminele hackers. "Ik denk dat nu de situatie nog slechter is dan het drie jaar geleden was. Over het geheel genomen lijkt het alsof het ruikt zoals, het klinkt als honderd miljard vermenigvuldigd vele malen meer.''

Zijn Moskou gebaseerde bedrijf had gestopt met hakkers stelen van honderden miljoenen euro's van een bank. "We erin geslaagd om te stoppen met deze on-line bankoverval die gericht was op ongeveer 100 miljoen euro of als je vier miljard Russische roebel. Dat was slechts één geval van poging tot cyber-overval dat het ons gelukt om te voorkomen dat omdat mijn jongens van op hen letten waren."

De Russische cyber veiligheid bewijs zei dat staten "cyber huurlingen,'' ervaren internet criminele hackers die stelen geld van banken, voor online spionage en sabotage projecten werden werven. De slechtste daden van cyber oorlogvoering zou toekomstige aanvallen op "kritieke infrastructuur" – elektrische centrales, ziekenhuizen, fabrieken en vervoer. "Gewoon eens een kijkje op Die Hard 4 omdat ze verhalen in het over deze soorten cyberaanvallen hadden. Deze productie werd gemaakt in 2007 en hoewel de helft van de film is niet waar het is niet volledige Holywood fantasie. De cyber-bit is geen fantasie meer omdat het is realiteit nu. Systemen met moderne elektrische centrales, fabrieken en enzovoort zijn veel ingewikkelder, en helaas ze niet in een 100 procent manier worden gemaakt, zodat ze kwetsbaar zijn,"Kaspersky zei.

In antwoord op een wereld waarin particulieren, bedrijven en landen des te meer worden blootgesteld aan cyber aanval, heeft Kaspersky opgeroepen tot lessen zo spoedig basisschool in internetbeveiliging worden ingevoerd. Zijn bedrijf is de uitrol van een onderwijsprogramma met Microsoft over de hele wereld te bereiken kinderen over cyber bescherming. "Van twee jaar oude kinderen leren over het Internet dus voor de rest van de wereld we moeten om kinderen te leren hoe zich te gedragen in de netwerken. Het is alsof we kinderen leren hoe zich te gedragen op de straat, hoe veilig de straat oversteken, niet te vertrouwen van iedereen. Het is zowel etnische als technische en het is zonder winstoogmerk. Het is eigenlijk technische dat later de ethische bit eerste komt."