Captain Kirk

Microsoft heeft tijdens de patchdinsdag van juni zes actief aangevallen zerodaylekken in Windows verholpen. Via de kwetsbaarheden had een aanvaller volledige controle over systemen kunnen krijgen. Van de zes zerodays is er één als kritiek aangemerkt. Het gaat om CVE-2021-33742, een kwetsbaarheid in het Windows MSHTML-platform waardoor remote code execution mogelijk is. Internet Explorer 11 en de Internet Explorer-mode in Microsoft Edge maken gebruik van het MSHTML-platform, alsmede andere applicaties. Het bekijken van malafide webcontent, bijvoorbeeld bij het bezoeken van een website, zou voldoende zijn om een aanvaller code op het systeem te laten uitvoeren. "Het is niet duidelijk hoe wijdverbreid de aanvallen zijn, maar aangezien deze kwetsbaarheid alle ondersteunde Windowsversies raakt zou deze update bovenaan de lijst van te testen en uit te rollen patches moeten staan", zegt Dustin Childs van het Zero Day Initiative. Via de overige aangevallen zerodaylekken kan een aanvaller zijn rechten op het systeem verhogen of informatie uit het kernelgeheugen lezen. Bij de 'elevation-of-privilege' kwetsbaarheden moet een aanvaller al toegang tot het systeem hebben. Daarnaast is er een kwetsbaarheid in Windows Remote Desktop Services verholpen waardoor een denial of service mogelijk is. Informatie over dit beveiligingslek was al voor het uitkomen van de update openbaar, maar volgens Microsoft is er geen misbruik van het lek gemaakt. Een andere kwetsbaarheid die volgens Childs de aandacht verdient is CVE-2021-31962 en betreft een kwetsbaarheid in Kerberos AppContainer. In een bedrijfsomgeving zou een aanvaller via dit beveiligingslek de Kerberos-authenticatie kunnen omzeilen en zich bij een willekeurige service principal name (SPN) kunnen authenticeren. Een aanvaller kan zo toegang tot elke willekeurige service krijgen die via een SPN toegankelijk is. "Aangezien SPN-authenticatie cruciaal is voor de security in Kerberos-implementaties, moet deze patch de hoogste prioriteit krijgen", stelt Childs. De beveiligingsupdates voor de in totaal vijftig kwetsbaarheden zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Hostingprovider TransIP heeft besloten om de HashCheckService die servers scant op de aanwezigheid van kindermisbruikmateriaal tijdelijk uit te schakelen nadat WordPress-afbeeldingen onterecht als het gewraakte materiaal waren aangemerkt en daardoor mogelijk bij klanten zijn verwijderd. Via de HashCheckService, die wordt aangeboden door het Expertisebureau Online Kindermisbruik (EOKM), kunnen internetbedrijven en hostingproviders aan de hand van hashes controleren of er kinderpornografisch materiaal op hun servers staat. De database van de HashCheckService bevat meer dan 3,2 miljoen hashes van bekend online kinderpornografisch beeldmateriaal. Door middel van een API (application programming interface) kunnen providers de database benaderen en kijken of de hashes van bestanden op hun servers overeenkomen met de hashes van de database. TransIP maakte de HashCheckService vorig jaar beschikbaar voor klanten. Die kunnen zo, wanneer ze de service inschakelen, hun webhostingserver laten scannen op de aanwezigheid van kindermisbruikmateriaal. De hashes waarvan de dienst gebruikmaakt zijn afkomstig van de Nationale Politie, Interpol en het National Center for Missing & Exploited Children. "De database wordt continu aangevuld door internationale politieorganen, waarbij er nu ondanks meervoudige controle een serie standaardafbeeldingen van WordPress-installaties en plugins is meegenomen", laat TransIP in een e-mail aan klanten weten. Hierdoor zijn deze WordPress-afbeeldingen aangemerkt als kindermisbruikmateriaal en kunnen zo bij een scan automatisch worden verwijderd. "Het gaat hier met nadruk niet om persoonlijke afbeeldingen. Het betreft afbeeldingen die automatisch worden aangevuld door WordPress bij het uitvoeren van updates. We adviseren je dan ook om te kijken of je deze handmatig kunt uitvoeren", aldus TransIP. Vanwege het incident heeft de hostingprovider besloten om het gebruik van de HashCheckService voorlopig in zijn geheel te pauzeren. "De garanties op de integriteit van de data vanuit het EOKM blijken onvoldoende. Hierover zijn wij met hen in overleg, maar totdat hier een oplossing voor komt laten wij de service uitgeschakeld. Dit betekent dat wij in de tussentijd niet je webhostingpakket(ten) kunnen scannen", maakt de provider duidelijk. bron: https://www.security.nl

Afgelopen zondag was het precies dertig jaar geleden dat de eerste versie van encryptiesoftware Pretty Good Privacy (PGP) op internet verscheen. Inmiddels is sterke encryptie overal aanwezig, maar dreigt er ook een nieuwe crypto-oorlog, zo waarschuwt PGP-bedenker Philip Zimmermann in een essay over de dertigste verjaardag van zijn software. PGP versie 2.0 verscheen in september 1992 en ondersteunde tien buitenlandse talen, draaide op verschillende platformen en bood allerlei nieuwe functies waardoor het de meestgebruikte methode werd voor het versleutelen van e-mail. Zimmermann werd doelwit van een strafrechtelijk onderzoek of hij de Amerikaanse wapenexportwetgeving had overtreden. De Amerikaanse autoriteiten lieten het onderzoek begin 1996 vallen, maar stelden nog steeds beperkingen aan het exporteren van encryptiesoftware. In 2000 werden de beperkingen opgeheven. Sinds de lancering van PGP 1.0 zijn er dertig jaar verstreken en is sterke encryptie overal aanwezig, van vpn's en browsers tot bank-apps, schijfversleuteling, cryptovaluta en het Tor-netwerk. Volgens Zimmermann is deze ontwikkeling niet meer tegen te houden, maar is dat toch wat verschillende overheden proberen. Onder andere Australië, het Verenigd Koninkrijk, de Verenigde Staten en andere liberale democratieën hebben zich tegen end-to-end encryptie uitgesproken. "Twintig jaar nadat de we dachten de crypto-oorlog te hebben gewonnen. Is het weer nodig om te mobiliseren?", vraagt de PGP-bedenker zich af. Volgens Zimmermann is de noodzaak op het recht op privégesprekken nooit belangrijker geweest. "Veel democratieën glijden af naar populistische autocratieën. Gewone burgers en grassroots politieke bewegingen moeten zich zich zo goed als mogelijk tegen deze opkomende autocratieën beschermen." Zimmermann waarschuwt dat wanneer een autocratie een overal aanwezige surveillance-infrastructuur bouwt of erft, het bijna onmogelijk wordt om politieke oppositie te organiseren, zoals in China het geval is. En het gaat niet alleen om de persoonlijke veiligheid, ook de nationale veiligheid staat op het spel, aldus de PGP-bedenker. Hij wijst onder andere naar het gebruik van Huawei voor de 5G-infrastructuur in Europa. Zimmermann stelt dat producten met end-to-end encryptie essentieel voor de Europese nationale veiligheid zijn en er op beleidsterrein moet worden gestreden om het recht op end-to-end encryptie te behouden. bron: https://www.security.nl

Abuse.ch, een platform dat zich met de bestrijding van botnets en malware bezighoudt, heeft een nieuw onderkomen bij de universiteit van Bern gevonden. In de toekomst zal Abuse.ch als een onderzoeksproject van het Institute for Cybersecurity and Engineering ICE worden geleid. Het platform werd vijftien jaar geleden gestart door de Zwitserse beveiligingsonderzoeker Roman Hüssy. Abuse.ch werd mede vanwege de trackers van de Zeus- en SpyEye-botnets bekend. Informatie van het platform wordt door allerlei bedrijven, onderzoekers, Security Operations Centers, Computer Security Incident Response Teams en Computer Emergency Response Teams gebruikt om netwerken en systemen te beschermen. Inmiddels bestaat Abuse.ch uit vijftig servers en tweehonderd sandboxes. Elke maand genereert het platform honderddertig terabyte aan netwerkverkeer en verwerkt twee miljoen api-verzoeken per dag. Toch is het nog altijd een eenmansoperatie. Volgens Hüssy is het beheer van het platform een uitdaging geworden, niet per se vanuit een technisch oogpunt, maar voornamelijk door de kosten van de infrastructuur en vereiste kennis voor bigdata-analyse. Om de toekomst van Abuse.ch veilig te stellen wilde de Zwitserse beveiligingsonderzoeker er een onderzoeksproject van maken. Zodoende wordt het mogelijk om financiering van derde partijen te ontvangen en mogelijk beroep te doen op onderzoeksbeurzen. Ook wordt het mogelijk om iemand aan te nemen die het werk van Hüssy aan Abuse.ch gaat ondersteunen. Er gelden echter enkele voorwaarden om van Abuse.ch een onderzoeksproject te kunnen maken en één daarvan is dat Hüssy bij een universiteit aan de slag gaat en hij voor die functie financiering vindt. De onderzoeker stapte naar verschillende grote organisaties die van de data van Abuse.ch gebruikmaken met het verzoek om hem te helpen, maar kreeg geen gehoor. Eind vorig jaar waarschuwde Hüssy dat het voortbestaan van Abuse.ch in gevaar kon komen als hij geen voldoende geld zou binnen zou halen om van het platform een onderzoeksproject te maken. Dat is nu gelukt, zo laat de onderzoeker weten. Abuse.ch zal net als voorheen op een niet-commerciële basis worden gerund. bron: https://www.security.nl

New York Pizza heeft miljoenen persoonsgegevens van klanten gelekt. Bij een inbraak op de systemen van een leverancier werd de data buitgemaakt, zo laat de pizzaketen in een e-mail aan klanten en op de eigen website weten. Het gaat om naam, adresgegevens, e-mailadres, telefoonnummer, bestelde pizza's, wachtwoordhash en in een "klein aantal" gevallen ook de geboortedatum in het geval van verjaardagsbestellingen. De NOS meldt dat het om 3,9 miljoen klantgegevens gaat. "We zijn zo snel mogelijk gestart met het informeren van onze klanten en medewerkers. Ook hebben wij de partijen met wie wij samenwerken geïnformeerd. Daarnaast hebben wij externe specialisten ingeschakeld die het incident onderzoeken, wie achter de aanval zit, en hoe dit in de toekomst kan worden voorkomen", aldus New York Pizza in een reactie op het datalek. Klanten wordt aangeraden hun wachtwoord te wijzigen en alert te zijn op phishingmails. bron: https://www.security.nl

Aanvallers maken actief misbruik van een zerodaylek in de WordPressplug-in Fancy Product Designer, waardoor meer dan zeventienduizend sites risico lopen om te worden overgenomen. Een beveiligingsupdate om het probleem te verhelpen is nog niet beschikbaar. Dat meldt securitybedrijf Wordfence. Fancy Product Designer is een WordPressplug-in waarmee webwinkels hun klanten bestanden kunnen laten uploaden, zoals afbeeldingen en pdf-documenten. Bijvoorbeeld voor het ontwerpen van eigen T-shirts, bekers, posters of muismatten. De plug-in blijkt niet goed te controleren of er geen malafide bestanden worden geüpload. Daardoor is het mogelijk om op elke website die van de plug-in gebruikmaakt PHP-bestanden te uploaden waardoor aanvallers de website volledig kunnen overnemen. De kwetsbaarheid, CVE-2021-24370, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Wordfence ontdekte op 31 mei dat de kwetsbaarheid in ieder geval sinds 16 mei actief wordt gebruikt om WordPress-sites mee over te nemen. Het securitybedrijf waarschuwde de ontwikkelaars van de plug-in. Die hebben nog geen beveiligingsupdate beschikbaar gemaakt. Vanwege de actieve aanvallen besloot Wordfence gebruikers nu al te waarschuwen. Details over het lek worden pas na het uitkomen van de patch openbaar gemaakt. bron: https://www.security.nl

Microsoft Edge krijgt een optie om websites standaard via https te laden, wat bescherming tegen man-in-the-middle-aanvallen moet bieden, zo laat Microsoft weten. "Automatic HTTPS" wordt standaard gebruikt voor websites waarvan wordt aangenomen dat ze ook https ondersteunen. Daarnaast kunnen gebruikers instellen dat de browser altijd van https gebruik moet maken. De meeste websites ondersteunen inmiddels beveiligde verbindingen via https. Veel van deze sites zijn echter niet ingesteld om het gebruik van https te verplichten, waardoor aanvallers kunnen toeslaan wanneer er een redirect van http naar https plaatsvindt, zo stelt Microsoft. Sommige websites sturen gebruikers daarnaast helemaal niet door van http naar https. Om verbindingsfouten te voorkomen maakt Edge gebruik van een lijst met domeinen die waarschijnlijk https ondersteunen. Microsoft genereert deze lijst op basis van topdomeinen die veel verkeer via https ontvangen en niet zijn ingesteld om alleen via https toegankelijk te zijn. Voor gebruikers die websites alleen over https willen bezoeken biedt de browser daarvoor straks ook een optie. Wel waarschuwt Microsoft dat deze gebruikers mogelijk met meer foutmeldingen te maken kunnen krijgen. Automatic HTTPS is nu te testen in de testversies van Microsoft Edge 92. bron: https://www.security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die ook in privénavigatie bescherming tegen cross-site tracking biedt. De privacymaatregel met de naam Total Cookie Protection (TCP) was sinds februari al beschikbaar in de 'strict mode' van de Enhanced Tracking Protection (ETP). TCP zorgt ervoor dat bij elke bezochte website een aparte "cookie jar" wordt gebruikt, waardoor een trackingcookie van de ene website niet meer voor andere sites toegankelijk is. Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection. Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP zo'n drieduizend van de meestgebruikte en waargenomen trackers. De bescherming van ETP is echter afhankelijk van de Disconnect-lijst en dat die up-to-date is. Trackers kunnen de lijst eenvoudig omzeilen door nieuwe domeinnamen te registreren. Daarnaast kan het lang duren voordat een nieuw trackingdomein aan de lijst wordt toegevoegd. Total Cookie Protection moet ervoor zorgen dat tracking via cookies tot het verleden gaat behoren, aldus Mozilla. Cookies zijn nog altijd zeer effectief voor het volgen van internetgebruikers op het web. Een tracker die op meerdere websites als derde partij actief is kan voor het eigen trackingdomein third-party cookies bij bezoekers plaatsen. Zo is het mogelijk om internetgebruikers over meerdere websites te volgen. Met Total Cookie Protection worden alle cookies van een domein dat de gebruiker bezoekt in een aparte cookie jar opgeslagen, gescheiden van andere websites die hun eigen cookie jar hebben. Ook al is een tracker op meerdere websites actief, dan zullen de trackingcookies nog steeds beperkt zijn tot de cookie jar van de betreffende website. Volgens Mozilla heeft dit grote voordelen voor de privacy van gebruikers, omdat het nu mogelijk is om een uitgebreidere bescherming te bieden dan met de Disconnect-lijst het geval is, terwijl dit geen gevolgen heeft voor websites zolang ze geen cross-site access vereisen. Met de lancering van Firefox 89 is Total Cookie Protection nu ook beschikbaar in de privénavigatie van de browser. Verder is in deze versie de vormgeving van Firefox op de schop genomen en zijn er negen kwetsbaarheden verholpen. Door één van deze beveiligingslekken, alleen aanwezig in de Androidversie van Firefox, was de ingebouwde wachtwoordmanager kwetsbaar voor domeinspoofing. Daardoor kon de wachtwoordmanager door een malafide website worden verleid om het wachtwoord van een andere website te suggereren. Updaten naar Firefox 89 kan via de ingebouwde updatefunctie en Mozilla.org. bron: https://www.security.nl

Klanten van Accellion zijn door een probleem met een mailtool afgelopen december niet door het softwarebedrijf gewaarschuwd voor een zeroday-aanval waarbij twee tot dan toe onbekende kwetsbaarheden werden gebruikt om systemen over te nemen. Dat blijkt uit een rapport van KPMG dat onderzoek deed naar misbruik van de beveiligingslekken bij de centrale bank van Nieuw-Zeeland (pdf). De zeroday-aanval was gericht tegen de Accellion File Transfer Appliance (FTA)-server. FTA was een twintig jaar oude oplossing die organisaties gebruikten voor het uitwisselen van grote bestanden. Op 16 december waarschuwde een klant Accellion voor een aanval. Verder onderzoek wees uit dat de aanvallers misbruik van twee zerodaylekken maakten om toegang tot FTA-servers te krijgen. Nadat er toegang was verkregen installeerden de aanvallers een webshell om hun toegang te behouden en gegevens te stelen. Onder andere de Clop-ransomwaregroep maakte misbruik van de lekken. Op 20 december kwam Accellion met een beveiligingsupdate voor de kwetsbaarheden. Eén van de organisaties die op 25 december via de beveiligingslekken werd aangevallen was de centrale bank van Nieuw-Zeeland. De bank liet KPMG de aanval en het resulterende datalek onderzoeken. Daaruit blijkt dat Accellion klanten via e-mail had willen waarschuwen. Een probleem met de e-mailtool zorgde er echter voor dat deze waarschuwing niet werd verstuurd. De bank werd uiteindelijk op 6 januari van dit jaar alsnog ingelicht en rolde een dag later de beschikbare beveiligingsupdate uit. Volgens de onderzoekers heeft de vertraagde waarschuwing bijgedragen aan de inbraak en de manier waarop de bank had kunnen reageren om de aanval te voorkomen. "We waren te afhankelijk van Accelloin, de leverancier van de FTA, om ons voor kwetsbaarheden in hun systeem te waarschuwen. In dit geval bleven de waarschuwingen op hun systeem achter en bereikten de centrale bank niet voordat de aanval plaatsvond. We hebben geen voorafgaande waarschuwing ontvangen", aldus de bank. De bank erkent dat het maatregelen had kunnen treffen om de impact van de aanval te beperken. Inmiddels is FTA door Accellion uitgefaseerd. Naast de centrale bank van Nieuw-Zeeland lieten de Nederlandse Aardolie Maatschappij (NAM), securitybedrijf Qualys, de Australian Securities and Investments Commission (ASIC), de Amerikaanse staat Washington, de Amerikaanse supermarktketen Kroger en advocatenkantoor Jones Day weten dat erop hun FTA-server was ingebroken. bron: https://www.security.nl

De Europese Unie werkt aan de ontwikkeling van een wallet-app waarmee EU-burgers zich straks in heel Europa bij zowel bedrijven als overheden kunnen identificeren. Daarnaast is de app te gebruiken voor de opslag van wachtwoorden en betaalgegevens. "Deze nieuwe digitale identiteit geeft elke Europeaan de sleutels tot zijn digitale tweeling", liet Thierry Breton, EU-commissaris voor Interne Markt, eerder dit jaar weten. De plannen voor de wallet-app worden morgen aangekondigd, meldt de Financial Times. De app, die in de hele Europese Unie zal zijn te gebruiken, ondersteunt onder andere biometrische beveiliging. Gebruikers kunnen bijvoorbeeld door middel van een vingerafdruk of gezichtsscan de app openen. Naast de toepassing van online identificatie fungeert de wallet volgens de FT ook als een 'kluis' waarin gebruikers officiële documenten zoals een rijbewijs kunnen opslaan. De EU zou daarnaast maatregelen treffen om te voorkomen dat informatie uit de wallet voor andere commerciële doeleinden worden ingezet, zoals advertenties. Op dit moment overlegt Brussel met de lidstaten over de technische standaarden voor de uitrol van de app, die over een jaar volledig operationeel zou moeten zijn. De app wordt niet verplicht, maar personen die bij de wallet zijn betrokken laten tegenover de FT weten dat gebruikers van een "extra veilig digitaal ecosysteem en grotere flexibiliteit" zullen profiteren. Wat dit precies inhoudt is nog niet duidelijk gemaakt. bron: https://www.security.nl

De SolarWinds-aanval was geen 'gewone spionage' en laat zien dat er regels voor cyberspionage moeten komen, zo stelt Microsoft. Daarnaast moeten landen sancties treffen wanneer deze regels worden overtreden. Dat zegt Tom Burt, Microsofts Corporate Vice President. Vorige week waarschuwde Microsoft voor een phishingaanval gericht tegen overheidsinstanties en ngo's die het werk zou zijn van de groep achter de SolarWinds-aanval. De Amerikaanse overheid heeft de aanval bevestigd, maar nog niet vastgesteld dat die is uitgevoerd door de SolarWinds-aanvallers. Er zit echter een verschil tussen deze phishingaanval en de SolarWinds-aanval, en de laatste toont de noodzaak van regels voor cyberspionage, aldus Burt. Bij de SolarWinds-aanval werden updates van het softwarebedrijf voorzien van een backdoor waardoor de aanvallers aanvullende malware bij een selecte groep slachtoffers konden installeren. Deze aanval was volgens Burt vanwege twee redenen geen gewone spionage. Ten eerste werd voor deze aanval het online updateproces van SolarWinds gebruikt. "Alle leveranciers maken gebruik van online updates om hun klanten te beschermen en die updates moeten te vertrouwen zijn", merkt Microsofts vicepresident op. "Door het gebruik van updates voor malafide doeleinden wordt dat vertrouwen aangetast en de veiligheid van het gehele digitale ecosysteem in gevaar gebracht." Daarnaast was de aanval niet gericht. Meer dan 18.000 klanten van SolarWinds installeerden de besmette updates van de aanvallers. Door deze ongerichte aanpak zijn bedrijven onnodig op kosten gejaagd, gaat Burt verder. "Dit is geen 'gewone spionage'. In vergelijking waren de phishingaanvallen van vorige week gericht op spionagedoelwitten en maakten geen misbruik van een kernproces dat essentieel is voor de veiligheid van het digitale ecosysteem", reageert Burt op sommige mensen die de SolarWinds-aanval als gewone spionage bestempelden. De phishingaanval, de SolarWinds-aanval en de Exchange-aanval van eerder dit jaar laten volgens Burt zien dat bedrijven en overheden sneller maatregelen moeten treffen. Ten eerste moeten organisaties zich beter verdedigen. Ten tweede moet er meer worden gedaan om schadelijke aanvallen af te schrikken. Zo stelde de Amerikaanse overheid dat de SolarWinds-aanval door Rusland is uitgevoerd en legde hiervoor Russische bedrijven, instellingen en personen sancties op. Burt stelt dat de SolarWinds-aanval aantoont dat er duidelijkere regels moeten komen voor wat bijvoorbeeld 'gewone spionage' is en wanneer de grens wordt overschreden. bron: https://www.security.nl

Het Duitse AV-Test Institute heeft 21 antivirusprogramma's voor Windows 10 vergeleken waaruit blijkt dat de geteste virusscanners elkaar weinig ontlopen. Van de 21 pakketten werden er 17 als "Top Product" bestempeld, waaronder de gratis virusscanner Microsoft Defender die standaard in Windows 10 zit. De antivirusprogramma's werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 278 "zero-day" malware-exemplaren en bijna 17.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,3 procent gehaald. De test met de bijna 17.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Acht virusscanners scoren op beide onderdelen 100 procent (AhnLab, Avast, AVG, Bitdefender, ESET, G DATA, Microsoft en NortonLifeLock). Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Microworld en PC Matic zetten met respectievelijk 4 en 4,5 punten de laagste detectiescore neer Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Twintig van de 21 pakketten scoren de maximale 6 punten. Alleen Avira komt lager uit met 5,5 punten. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden meer dan een miljoen schone websites en bestanden gebruikt. Zestien pakketten halen de maximale 6 punten. PC Matic eindigt op dit onderdeel met 4 punten onderaan. Van de 21 virusscanners weten er uiteindelijk veertien op alle drie de vlakken maximaal te scoren. PC Matic is met 14,5 punten hekkensluiter. Om als topproduct bestempeld te worden was het niet nodig om de maximale score te halen. Ook producten met 17,5 punten krijgen dit stempel. Naast het gratis Microsoft Defender wist ook het gratis Avast Free Antivirus de maximale score te halen. bron: https://www.security.nl

Een groep aanvallers heeft een paar dagen voor de publicatie over een zerodaylek in de vpn-software van Pulse Secure webshells van besmette systemen verwijderd, zo claimt securitybedrijf FireEye. Op 20 april kwamen Pulse Secure en FireEye met een waarschuwing voor een actief aangevallen zerodaylek in de Pulse Secure-software. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10. Daarnaast bleek dat de aanvallers ook van andere, al bekende kwetsbaarheden in de software gebruikmaakten om systemen te compromitteren. Tussen 17 en 20 april zagen onderzoekers van FireEye dat de aanvallers achter deze aanvallen van tientallen systemen de webshells verwijderden die ze via de beveiligingslekken hadden geïnstalleerd. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. "Het is ongewoon voor Chinese spionagegroepen om een groot aantal backdoors in de omgevingen van slachtoffers te verwijderen rond de tijd van openbaarmaking. Deze acties laten zorgen over de operationele veiligheid en gevoeligheid voor publiciteit zien", zegt Dan Perez van FireEye. Of de aanvallers mogelijk wisten van het onderzoek van het securitybedrijf of dat het puur toeval is laat Perez niet weten. Volgens de onderzoeker doen de aanvallers veel moeite om detectie te voorkomen. Zo worden timestamps van bestanden gewijzigd en logbestanden, core dumps en bestanden met gestolen data geregeld aangepast of verwijderd. Verder hebben de aanvallers uitgebreide kennis van netwerkapparaten en het aangevallen netwerk, aldus Perez. Dit kan het lastig voor organisaties maken om een overzicht te krijgen van wat de aanvallers hebben buitgemaakt en sinds wanneer ze in het netwerk aanwezig zijn. De aanvallers hebben het voorzien op inloggegevens, andere vertrouwelijke data en het behouden van toegang tot het netwerk. Volgens FireEye heeft het tientallen getroffen organisaties in Europa en de Verenigde Staten waargenomen, die actief zijn in de defensie-industrie, overheid, telecomsector, onderwijsinstellingen, transport en financiële sector. Tevens claimt het securitybedrijf dat de spionageactiviteiten van de aanvallers doelen van de Chinese overheid ondersteunen. bron: https://www.security.nl

Mozilla gaat de werking van adblockers in Firefox na overleg met extensie-ontwikkelaars niet beperken zoals het geval is bij Google Chrome. Twee jaar geleden kondigde Google Manifest v3 aan, een verzameling van aanpassingen hoe extensies binnen Chrome zullen werken. Sinds januari van dit jaar ondersteunt Chrome extensies die aan Manifest v3 voldoen, maar oude extensies werken ook nog steeds in Chrome. Een van deze aanpassing in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Adblockers zouden hierdoor minder effectief advertenties kunnen blokkeren. Mozilla stelt dat DNR de werking van onder andere adblockers beperkt. De browserontwikkelaar is echter van plan om ondersteuning van Manifest v3 aan Firefox toe te voegen. Na overleg met adblocker-ontwikkelaars is nu besloten om zowel de webRequest API als DNR te ondersteunen. Zodoende kunnen extensie-ontwikkelaars de API kiezen die voor hen en hun gebruikers het beste werkt. Mozilla zegt dat het de webRequest API blijft ondersteunen totdat er een betere oplossing is die alle belangrijke scenario's afdekt, aangezien DNR zoals het op dit moment door Chrome wordt geïmplementeerd niet voldoet aan de eisen van extensie-ontwikkelaars, zegt Mozillas Rob Wu. Wanneer Firefox Manifest v3 zal ondersteunen is nog onbekend. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de software Checkbox Survey wordt actief door aanvallers gebruikt om servers aan te vallen. Checkbox biedt software voor het maken van online enquêtes en onderzoeken. Het bedrijf claimt dat het wereldwijd honderden klanten heeft, waaronder grote bedrijven en organisaties als Microsoft, Philips, de NAVO, Boeing, Vodafone, Pfizer en Unilever. Checkbox Survey versie 6 en eerder bevatten een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand op kwetsbare servers willekeurige code met de rechten van de webserver kan uitvoeren. Het beveiligingslek wordt veroorzaakt doordat de software niet goed omgaat met ASP.NET View State data. Om aanvallen via malafide gebruikersinvoer te voorkomen kan ASP.NET van een ViewState Message Authentication Code (MAC) gebruikmaken. In het geval van Checkbox Survey versie 6 en ouder wordt de MAC-instelling op de server genegeerd. Zonder de MAC kan een aanvaller willekeurige data creëren wat tot het uitvoeren van willekeurige code op de server leidt, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De organisatie stelt dat er actief misbruik van het beveiligingslek wordt gemaakt., Het CERT/CC meldt dat Checkbox Survey versie 6 niet meer wordt ondersteund, maar het softwarebedrijf laat op de eigen website weten dat de Checkbox Survey versie 6 vanaf 1 juli 2021 pas end-of-life zal zijn. De kwetsbaarheid is niet aanwezig in versie 7 van de software. Het CERT/CC raadt organisaties aan om versie 6, wanneer een update naar versie 7 niet mogelijk is, van systemen te verwijderen. bron: https://www.security.nl

Google heeft een nieuwe Rowhammer-aanval op dram-geheugen geïntroduceerd waardoor een aanvaller bestaande beschermingsmethodes kan omzeilen en in meer geheugenrijen 'bit flips' kan veroorzaken. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk voor een aanvaller op een systeem om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De eerste Rowhammer-aanval werd tegen DDR3-geheugen gedemonstreerd. Om dergelijke aanvallen te voorkomen namen geheugenfabrikanten allerlei maatregelen in DDR4-geheugen, dat door moderne systemen en telefoons wordt gebruikt. Die maatregelen blijken tegen de originele Rowhammer-aanval te werken, maar zijn kwetsbaar voor nieuwe varianten. Eén van deze varianten werd vorig jaar door onderzoekers van de Vrije Universiteit (VU) Amsterdam gedemonstreerd. Nu heeft Google ook een nieuwe aanval ontwikkeld. Deze aanval wordt Half-Double genoemd. In tegenstelling tot de oorspronkelijke Rowhammer-aanval, waarbij bit flips alleen mogelijk zijn op een afstand van één geheugenrij, waardoor alleen de aangrenzende geheugenrijen zijn aan te vallen, maakt Half-Double het mogelijk om bits in verder gelegen geheugenrijen aan te passen. Volgens Google is de aanval mogelijk doordat de afstand tussen rijen van dram-geheugen steeds kleiner wordt. Het techbedrijf heeft met partijen in de halfgeleiderindustrie overlegd om te zoeken naar oplossingen voor het Rowhammer-fenomeen. "We publiceren dit onderzoek omdat we denken dat het de kennis over het Rowhammer-fenomeen vergroot en zowel onderzoekers als industriepartners zal helpen om samen oplossingen te ontwikkelen", aldus Salman Qazi van Google. bron: https://www.security.nl

Sinds 2018 waarschuwt Firefox gebruikers voor websites die zijn getroffen door een bekend datalek, maar dat zal in de toekomst deels veranderen. Voorheen kregen gebruikers een pop-up te zien wanneer de bezochte website recentelijk aan datalekzoekmachine Have I Been Pwned was toegevoegd. Vervolgens werd de gebruiker opgeroepen om via Firefox Monitor te controleren of zijn account was gecompromitteerd. Firefox toonde altijd een waarschuwing, ongeacht het soort gestolen data. Om de ruis die dit soort meldingen kunnen veroorzaken tegen te gaan zal Firefox nu alleen nog waarschuwingen tonen bij datalekken waarbij wachtwoorden zijn gelekt. "Hoewel we alle persoonlijke data belangrijk vinden, zorgen de waarschuwingen voor al deze datalekken voor ruis waar lastig op te reageren is. Een betere oplossing is om alleen te waarschuwen wanneer het belangrijk is om in actie te komen om je data te beschermen", zegt Luke Crouch van Mozilla. Gebruikers die voor alle datalekken een waarschuwing willen ontvangen kunnen zich aanmelden voor Firefox Monitor. bron: https://www.security.nl

De Duitse mededingingsautoriteit is een onderzoek gestart naar de voorwaarden waaronder Google de gegevens van gebruikers verwerkt en de marktpositie van het techbedrijf. De afgelopen maanden lanceerde het Bundeskartellamt soortgelijke onderzoeken naar Amazon en Facebook. Volgens de mededingingsautoriteit moeten gebruikers bij het gebruik van Googles diensten altijd akkoord gaan met bepaalde voorwaarden waarin de dataverwerking door Google staat uitgelegd. Het Bundeskartellamt zal nu onderzoeken in hoeverre de voorwaarden Google in staat stellen om data over meerdere diensten te verwerken en wat de impact van het beleid is op de informatie die via third-party websites en apps wordt verkregen. Ook kijkt de mededingingsautoriteit welke keuze gebruikers eigenlijk hebben als het gaat om de verwerking van hun data door Google. Verder wordt de marktpositie van Google onder de loep genomen, waarbij de toezichthouder wijst naar de dominantie van diensten zoals Google Search, Android, YouTube en Google Maps. "Het businessmodel van Google is voor een groot deel afhankelijk van het verwerken van gegevens van gebruikers", zegt Andreas Mundt, voorzitter van het Bundeskartellamt. Door de toegang die het techbedrijf heeft tot de gegevens van gebruikers geniet het een strategisch voordeel ten opzichte van concurrenten. De mededingingsautoriteit richt zich daarom met name op de dataverwerkingsvoorwaarden. "Een belangrijke vraag in deze context is of gebruikers die van Googles diensten gebruik willen maken voldoende keuze hebben in hoe Google hun data zal gebruiken", aldus Mundt. bron: https://www.security.nl

Quizsite DailyQuiz.me, voorheen bekend als ThisCrush.com, blijkt in januari te zijn getroffen door een datalek, waardoor aanvallers toegang kregen tot de gegevens van acht miljoen accounts, waaronder wachtwoorden in plaintext. Dat laat beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned weten. Via DailyQuiz kunnen gebruikers allerlei quizzen doen. In januari van dit jaar kreeg een aanvaller toegang tot de gebruikersdatabase van de site. Die bevatte meer dan acht miljoen unieke e-mailadressen, ip-adressen en wachtwoorden die in plaintext waren opgeslagen, aldus Hunt. Hoewel veel websites het hashen van wachtwoorden toepassen zijn er ook nog altijd sites die ze in plaintext opslaan. Dit is met name een risico voor gebruikers die hun wachtwoord op meerdere websites hergebruiken. De buitgemaakte data wordt sinds januari op een forum te koop aangeboden. Hunt heeft de meer dan acht miljoen gestolen e-mailadressen toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun accounts onderdeel van een datalek zijn geworden. Van de buitgemaakte e-mailadressen was 55 procent al via een ander datalek bij de zoekmachine bekend. DailyQuiz laat inmiddels een waarschuwing zien waarin gebruikers worden opgeroepen om hun wachtwoord aan te passen. bron: https://www.security.nl

NAS-systemen van fabrikant QNAP die een kwetsbare versie van Hybrid Backup Sync (HBS 3) draaien zijn sinds de week van 19 april het doelwit van ransomware-aanvallen. Daarvoor waarschuwt de NAS-fabrikant in een security advisory. HBS 3 is een oplossing voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen. QNAP stelt dat het om een ernstig beveiligingslek gaat, aangeduid als CVE-2021-28799. Op 22 april kwam QNAP met een waarschuwing en stelde dat er beveiligingsupdates waren uitgerold om het probleem te verhelpen. De Qlocker-ransomware blijkt van dit beveiligingslek misbruik te maken om kwetsbare NAS-systemen te infecteren. Eenmaal actief verplaatst de ransomware bestanden op het NAS-systeem naar een met wachtwoord beveiligd 7z-bestand. Slachtoffers moeten vervolgens 0,01 bitcoin betalen voor het ontsleutelen van hun bestanden. De eerste meldingen van getroffen gebruikers dateren van 20 april. Honderden QNAP-gebruikers zouden de afgelopen weken door de Qlocker-ransomware zijn getroffen en bij elkaar 350.000 dollar losgeld hebben betaald. De bende achter deze ransomware zou inmiddels zijn gestopt. Slachtoffers kunnen daardoor niet meer het losgeld betalen om hun data terug te krijgen. Meerdere QNAP-gebruikers vonden dat ze niet goed door de NAS-fabrikant werden geholpen. Het ging onder andere om lange wachttijden voor de helpdesk. Vandaag komt QNAP met een update over de aanvallen door Qlkocker en stelt dat de ransomware misbruik maakt van het eerder genoemde lek in HBS 3. Gebruikers wordt dan ook opgeroepen om naar een nieuwere versie van de software te updaten. bron: https://www.security.nl

Microsoft stopt op 15 juni 2022 met de support van Internet Explorer 11, zo heeft het techbedrijf aangekondigd. Alleen op Windows 7, Windows 8,1, Windows 10 LTSC en Windows 10 Server blijft Microsoft de browser ondersteunen. Op alle andere Windowsversie zal IE11 worden vervangen door Edge. Volgens Microsoft is Edge niet alleen veiliger en biedt het een modernere browse-ervaring, het ondersteunt via de Internet Explorer-mode ook legacy websites en applicaties. Als eerste zullen Microsoft 365 en andere applicaties van het techbedrijf Internet Explorer 11 vanaf 17 augustus dit jaar niet meer ondersteunen. Op 15 juni 2022 zal daarna de support van de browser volledig worden beëindigd. Thuisgebruikers die nog met Internet Explorer 11 werken worden opgeroepen om voor volgend jaar 15 juni naar Edge over te stappen. In het geval van organisaties kan het zijn dat die nog van honderden legacy IE-gebaseerde websites en apps gebruikmaken. Voor deze organisaties heeft Microsoft een stappenplan opgesteld en laat weten dat de Internet Explorer-mode in Edge tot minstens 2029 zal worden ondersteund. bron: https://www.security.nl

Google gaat de informatie die Chrome via de user-agent verstuurt pas volgend jaar beperken, zo laat het techbedrijf weten. De user-agent-string die met elk http-request wordt verstuurd bevat informatie over onder andere het besturingssysteem van de gebruiker, gebruikte browser en versienummer, apparaatmodel en onderliggende architectuur. De combinatie van deze parameters en grote aantal mogelijke waardes zorgt ervoor dat internetgebruikers alleen aan de hand van hun User-Agent zijn te identificeren. Iets wat de via de website AmIUnique.org is te testen. Ook Google stelt dat de user-agent het fingerprinten van gebruikers mogelijk maakt. Daarnaast kan het voor compatibiliteitsproblemen zorgen wanneer browsers verkeerde informatie via de user-agent doorgeven. Iets wat volgens Google voornamelijk bij kleinere browsers het geval is. Begin vorig jaar kondigde Google het plan aan om de informatie die via de user-agent wordt verstrekt te beperken. Websites zullen dan niet meer zien welke specifieke browserversie of besturingssysteem iemand gebruikt. Straks zal alleen nog worden weergegeven dat het bijvoorbeeld om een Android-, macOS- of Windows-gebruiker gaat die van Chrome 93 gebruikmaakt, waarbij het specifieke versienummer niet meer wordt meegestuurd. Zo kunnen websites nog steeds zien dat het om een mobiele of desktopgebruiker gaat en welke browser en besturingssysteem hij gebruikt. Wanneer meer informatie is vereist wijst Google naar het gebruik van user-agent client hints. Deze oplossing biedt toegang tot dezelfde informatie als de normale user-agent, maar dan op een privacyvriendelijke manier waarmee wordt voorkomen dat de browser standaard alles uitzendt, zo stellen de bedenkers. Oorspronkelijk was Google van plan om de beperkingen vorig jaar al door te voeren, maar zag daar vanwege de coronapandemie vanaf. Vandaag meldt het techbedrijf dat het van plan is om de uitfasering van de user agent gefaseerd door te voeren. Om ontwikkelaars en het web-ecosysteem voldoende tijd te geven om hierop te reageren is echter besloten dat de user-agent van de releaseversie van Chrome dit jaar niet zal worden aangepast. Wanneer de uitfasering precies plaatsvindt wordt later bekendgemaakt. Apple Safari en Mozilla Firefox hebben al beperkingen aan de user-agent doorgevoerd. bron: https://www.security.nl

Mozilla gaat Firefox van een nieuwe beveiligingsmaatregel voorzien genaamd Site Isolation die gebruikers tegen toekomstige varianten van de Spectre-aanval en soortgelijke kwetsbaarheden moet beschermen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen. "Deze nieuwe beveiligingsarchitectuur zorgt ervoor dat Firefox code van verschillende sites volledig kan scheiden, en zo beschermt tegen kwaadaardige sites die gevoelige data van andere bezochte sites proberen te benaderen", zegt Anny Gakhokidze van Mozilla. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen. Om dergelijke aanvallen te voorkomen is het nodig dat elke site op OS-niveau in een apart proces wordt geladen. Firefox maakt al gebruik van verschillende processen om bijvoorbeeld webcontent te laden. Toch biedt dit volgens Gakhokidze nog niet voldoende bescherming, omdat het kan voorkomen dat twee verschillende websites hetzelfde besturingssysteemproces gebruiken en zo het procesgeheugen delen. Vervolgens zou het via een kwetsbaarheid als Spectre mogelijk voor de ene site zijn om data van de andere sites in dit geheugen te benaderen. Met Site Isolation wordt dit voorkomen. Naast de bescherming die de maatregel biedt heeft het ook andere voordelen. Door meer websites in gescheiden processen te laden zal de ene website geen invloed hebben op de reactie van websites in andere processen. Door meer processen te gebruiken voor het laden van websites kan ook de belasting over meerdere cpu-cores worden verdeeld, waardoor de onderliggende hardware efficiënter wordt gebruikt. Daarnaast zal de betere scheiding ervoor zorgen dat een crashende website of tab geen invloed op websites in andere processen heeft, wat voor een betere stabiliteit en gebruikerservaring zorgt, aldus Gakhokidze. Site Isolation is nu beschikbaar in de desktopversies van Firefox Nightly, Firefox Beta en Firefox Release, maar moet nog wel door gebruikers zelf worden ingeschakeld. Volgens Gakhokidze gaat het om een "monumentale aanpassing" binnen Firefox die gebruikers tegen toekomstige varianten van Spectre moet beschermen. bron: https://www.security.nl

Google houdt er rekening mee dat dit jaar een recordaantal van zestig zerodaylekken zal worden gevonden die actief bij aanvallen zijn ingezet. Dat liet Maddie Stone van Google Project Zero weten tijdens een conferentie van het Australische Cyber Emergency Response Team (AusCERT). In de eerste vijf maanden van dit jaar registreerde Google 22 zerodaylekken die zijn gebruikt om gebruikers van de betreffende software aan te vallen. Het gaat dan met name om software van Microsoft (8) Apple (7) en Google (5). Als deze trend zich doorzet komt het totaal aantal zerodaylekken voor 2021 uit op zestig, merkte Stone op. In 2020 registreerde Google nog 25 zerodays. In 2015 werden tot nu toe de meeste zerodaylekken gevonden, namelijk 28. Volgens Stone hebben onderzoekers nu een beter beeld van de aanvallen die plaatsvinden, in plaats van dat slechts een klein gedeelte wordt gezien. Het Google Project Zero-team waar Stone deel van uitmaakt heeft als motto "make zero-day hard." Het is de bedoeling om het lastiger voor aanvallers te maken om zerodays in te zetten. Zo moet de toepassing van nieuwe technieken de ontwikkeling van exploits bemoeilijken. Daarnaast moeten softwareleveranciers betere beveiligingsupdates ontwikkelen om ervoor te zorgen dat gerelateerde kwetsbaarheden door één patch worden afgevangen. De huidige patchmethodes maken het niet lastiger om andere zerodays te vinden, stelt Stone. Eerder dit jaar stelde Google al dat een kwart van de in 2020 ontdekte zerodays door betere patches van leveranciers voorkomen had kunnen worden. Tevens moeten updates voor zerodaylekken sneller worden ontwikkeld en aangeboden. "Het is volledig haalbaar om tot een punt te komen waar zerodays veel lastiger zijn dan het nu is", zegt Stone tegen ISMG. "Dus laten we ervoor gaan." bron: https://www.security.nl

Door het wijzigen van de taal- en toetsenbordinstellingen van een computer kunnen infecties door ransomware worden voorkomen, zo stellen experts. Het is al jaren bekend dat verschillende malware-exemplaren, voordat ze een systeem infecteren, eerst de taal- en toetsenbordinstellingen controleren. Wanneer op het systeem de taalinstelling van bijvoorbeeld voormalige Sovjet-landen wordt aangetroffen schakelt de malware zichzelf uit. Deze controle voeren de aanvallers volgens beveiligingsonderzoekers uit om vervolging door de Russische autoriteiten te voorkomen. "Dit is voor hun juridische bescherming", zegt Allison Nixon van Unit221B tegenover it-journalist Brian Krebs. "Het installeren van een Cyrillisch toetsenbord, of het wijzigen van een registersleutel naar "RU" kan genoeg zijn om malware te overtuigen dat je Russisch bent en niet moet worden aangevallen. Dit is als een 'vaccin' tegen Russische malware te gebruiken." Het wijzigen van taal- en toetsenbordinstellingen is weer actueel geworden naar aanleiding van de aanval met de DarkSide-ransomware op de Colonial Pipeline Company in de Verenigde Staten. Een onderzoeker had eerder al ontdekt dat deze ransomware geen systemen in landen uit de voormalige Sovjet-Unie infecteert, zoals Security.NL vorige week berichtte. Verschillende experts stellen op Twitter dat het toevoegen van een Russisch toetsenbord of taalinstelling vaak voldoende is om ransomware te misleiden. "Uiteindelijk zullen Russische hackers met hetzelfde probleem te maken krijgen waar verdedigers in het westen mee te maken hebben - het feit dat het zeer lastig is om een binnenlandse van een buitenlandse machine te onderscheiden die zich als binnenlandse voordoet", aldus Nixon. Het aanpassen van deze instellingen biedt geen honderd procent zekerheid. Onlangs liet securitybedrijf FireEye nog weten dat het een exemplaar van de DarkSide-ransomware had aangetroffen die de systeemtaal niet controleerde. bron: https://www.security.nl