Captain Kirk

Tijdens een internationale politieoperatie, waar ook de Nederlandse politie aan deelnam, is een vanuit Oekraïne opererende ransomwaregroep opgerold. Dat laat Europol vandaag weten. De groep wordt verantwoordelijk gehouden voor wereldwijde aanvallen met de LockerGoga-, MegaCortex-, HIVE- en Dharma-ransomware. Organisaties in 71 landen zouden door de groep zijn aangevallen. Volgens Europol hadden de verdachten verschillende rollen in de criminele organisatie. Sommige waren verantwoordelijk voor het compromitteren van de netwerken van slachtoffers, terwijl andere zich bezighielden met het witwassen van het losgeld van slachtoffers. Om toegang tot de netwerken van slachtoffers te krijgen werd gebruikgemaakt van bruteforce-aanvallen, SQL-injection en phishingmails met malafide bijlagen om zo inloggegevens te stelen. Zodra er toegang was verkregen maakte de groep gebruik van tools zoals de TrickBot-malware, Cobalt Strike en PowerShell Empire om zich lateraal door het netwerk te bewegen en zoveel mogelijk systemen te infecteren voordat de ransomware werd uitgerold. Uit het onderzoek dat de autoriteiten naar de groep uitvoerden blijkt dat die meer dan 250 servers van grote bedrijven hebben versleuteld, wat voor honderden miljoenen euro's schade zorgde, aldus Europol. Het forensische onderzoek zorgde ervoor dat decryptietools voor varianten van de LockerGoga- en MegaCortex-ransomware konden worden ontwikkeld, die via nomoreransom.org beschikbaar zijn. Naast de Nederlandse politie en Openbaar Ministerie waren ook politiediensten uit Noorwegen, Frankrijk, Oekraïne, Duitsland, Zwitserland en Verenigde Staten betrokken, alsmede Europol en Eurojust. bron: https://www.security.nl

Meerdere gebruikers van Google Drive zijn maanden aan opgeslagen data verloren. Google heeft de problemen bevestigd, maar weet nog niet wat de oorzaak is en wanneer gebruikers hun bestanden terugkrijgen. Op Googles eigen forum klaagden de afgelopen dagen meerdere gebruikers dat ze opeens bestanden in Google Drive kwijt waren en de cloudopslag terugging naar de bestanden van april en mei dit jaar. Vrijwillige supportmedewerkers hebben een bericht op het forum geplaatst dat van een Google-engineer afkomstig is en waarin wordt gesteld dat meer personen problemen met hun Google Drive hebben. "We wachten nog op de probleemanalyse en hoe we het kunnen verhelpen. Vanwege het lopende onderzoek kunnen we nog niet zeggen wanneer het is opgelost." Ook op Hacker News maken meerdere mensen melding van het feit dat ze maanden aan gegevens zijn verloren. "Conclusie? Maak je eigen back-ups", reageert één lezer. bron: https://www.security.nl

Eerder dit jaar nam het Europees Parlement een resolutie aan om het gebruik van spyware zoals Pegasus door landen tegen te gaan, maar een half jaar verder zijn er nog geen wetten aangenomen om dergelijk misbruik aan te pakken. Het Europarlement heeft daarop een nieuwe resolutie aangenomen dat het gebrek aan handelen bekritiseert. Afgelopen juni presenteerde een speciale door het Europees Parlement ingestelde commissie onderzoek naar het gebruik van spyware door Europese overheden (pdf). Onder andere in Hongarije, Polen, Griekenland, Cyprus en Spanje zou spyware tegen onder andere oppositie en journalisten zijn ingezet. Daarop nam het Europarlement een resolutie aan waarin werd gesteld dat spyware alleen in uitzonderlijke omstandigheden en alleen voor een beperkte tijd mag worden ingezet. Verder werden er gerichte aanbevelingen voor de genoemde landen gedaan. Spyware zou alleen mogen worden gebruikt in EU-lidstaten waar beschuldigingen van spywaremisbruik uitgebreid zijn onderzocht, waar nationale wetgeving in lijn is met aanbevelingen van de Venetië Commissie en jurisprudentie van het Europees Hof van Justitie en waar exportregels worden gehandhaafd. Sinds de aanbevelingen van het onderzoeksrapport door het Parlement zijn aangenomen zijn er echter nieuwe gevallen van spywaremisbruik in Europa waargenomen, wat suggereert dat de huidige juridische regels tekort schieten. Zo zijn verschillende Europarlementariërs het doelwit van spyware geworden. In Griekenland lijkt het erop dat onderzoek naar spywaremisbruik door de autoriteiten opzettelijk wordt gedwarsboomd en in Polen heeft een onderzoekscommissie vastgesteld dat mensen vanwege politieke redenen met spyware zijn aangevallen. In Spanje is het onderzoek wegens het niet meewerken door de Israëlische autoriteiten stopgezet. Verder heeft het Franse bedrijf Nexa Technologies de Predator-spyware aan repressieve regimes verkocht. Volgens Europarlementariërs suggereert onderzoek dat de dual-use exportregels zijn overtreden, maar is er geen vervolgonderzoek ingesteld. Dit zou een omgeving voor 'kwaadwillende actoren' creëren, terwijl in de VS allerlei Europese spywarebedrijven op een blacklist zijn geplaatst. "Dit is een gangsters paradijs - Europa is een gangsters paradijs. Er is volledige immuniteit voor de misbruik van spyware en de illegale verkoop van spyware. En ik vraag me af als de Commissie dit niet kan oplossen, waarom we dan een Commissie hebben, als jullie niet de hoeders van de verdragen zijn?", stelde Europarlementariër Sophie in 't Veld de vraag. bron: https://www.security.nl

E-mailprovider Tuta adviseert Chrome-gebruikers om nu de overstap naar Firefox te maken, aangezien Mozillas browser een privacyvriendelijke oplossing is en adblockers niet gaat beperken. "Mainstream browsers zoals Google Chrome, Safari, Opera en Internet Explorer zijn allemaal browsers om te vermijden, aangezien ze je privacy niet respecteren. Het is beter om voor Firefox te kiezen", aldus Tuta dat eerder nog bekendstond als Tutanota. De mailprovider maakte een overzicht van tien private browsers, waarbij Firefox de beste keuze voor 'basic privacy' is, zo claimt Tuta. Google gaat verschillende aanpassingen aan Chrome doorvoeren die invloed op de werking van extensies heeft. Onlangs liet de ontwikkelaar van de populaire adblocker uBlock Origin weten dat zijn extensie hierdoor minder goed zal werken. Mozilla heeft aangegeven dat het deze aanpassingen niet in Firefox zal doorvoeren, waardoor adblockers gewoon blijven werken. Verder stelt Tuta dat Firefox meer privacyvoordelen dan de andere bekende browsers heeft, een groot aantal extensies ondersteunt en de code open source is. Voor maximale privacy adviseert Tuta het gebruik van Tor Browser, aangezien het standaard het ip-adres van gebruikers afschermt. bron: https://www.security.nl

Een kritieke kwetsbaarheid in twee beveiligingscamera's van fabrikant Synology maakt het mogelijk voor aanvallers om de apparaten op afstand over te nemen. Synology heeft firmware-updates uitgebracht om het probleem te verhelpen. Tijdens de Pwn2Own-hackwedstrijd in Toronto vorige maand demonstreerden onderzoekers meerdere succesvolle aanvallen tegen de BC500-beveiligingscamera van Synology. "De kwetsbaarheid maakt het mogelijk voor remote aanvallers om willekeurige code uit te voeren en laat remote gebruikers bij een kwetsbare firmwareversie de beveiligingsbeperkingen omzeilen", aldus de advisory. Naast de BC500 blijkt ook de TC500 kwetsbaar te zijn. Gebruikers wordt aangeraden om te updaten naar firmwareversie 1.0.7-0298 of nieuwer. bron: https://www.security.nl

Ministers uit de Europese Unie overleggen volgende maand over de oprichting van een Europees Cyberschild. Het gaat om een Europees netwerk van Security Operations Centers (SOCs) die zich gaan bezighouden met het opsporen, analyseren en verwerken van gegevens over cyberdreigingen en –incidenten. Het Europees Cyberschild is onderdeel van de Europese Cybersolidariteitsverordening (Cyber Solidarity Act) die de Europese Commissie eerder dit jaar presenteerd. Op 5 december vindt de Telecomraad plaats in Brussel, waarbij Europese telecomministers bijeenkomen en ook over de Cyber Solidarity Act zullen spreken. Het voorstel van de Cybersolidariteitsverordening gaat naast de oprichting van een Europees Cyberschild ook over het instellen van een Europees Cybernoodmechanisme en het instellen van een Europees Evaluatiemechanisme voor Cyberincidenten. "Op deze manier wil de Commissie bijdragen aan het versterken van het algehele situationeel bewustzijn van cyberdreigingen, het versterken van gemeenschappelijke responscapaciteiten en de algehele weerbaarheid van de Unie vergroten", stelt demissionair minister Adriaansens van Economische Zaken in een brief aan de Tweede Kamer (pdf). Het Europees Cyberschild zal bestaan uit zogenoemde nationale SOCs en grensoverschrijdende SOCs. De nationale SOCs gaan informatie uitwisselen, terwijl de grensoverschrijdende SOCs relevante informatie over grootschalige cybersecurityincidenten moeten verstrekken aan het EU-Cyber Crisis Liaison Organisation Netwerk (EU-CyCLONE), het Computer Security Incident Response Teams Netwerk (CSIRT-Netwerk) en de Europese Commissie. "Nederland heeft echter vragen ten aanzien van de praktische uitwerking van het voorstel. Hierbij gaat de aandacht van Nederland tijdens de onderhandelingen met name uit naar (het bewaken van) samenhang en het voorkomen van duplicatie met andere initiatieven binnen het cyberdomein, een sterkere rol van lidstaten in de (inzet van) de Cyber Reserve, effectiviteit en goede werking van de op te zetten mechanismen, en de link (van informatiedeling) met nationale veiligheid en de verantwoordelijkheid van lidstaten hierbij", aldus minister Adriaansens. Volgende maand zouden zowel het Europees Parlement als de Raad van de Europese Unie met een positie over het voorstel moeten komen. bron: https://www.security.nl

De makers van OpenSSL hebben een nieuwe versie uitgebracht die nu ook de Windows-certificaatstore als locatie van vertrouwde rootcertificaten kan gebruiken. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. OpenSSL kan ook met certificaten werken en gebruikers kunnen certificaten die ze vertrouwen in een directory van de applicatie plaatsen. Met OpenSSL 3.2 is het nu ook mogelijk om de store met certificaten die Windows vertrouwt als locatie van vertrouwde rootcertificaten te gebruiken. Dit moet op dit moment nog handmatig worden ingeschakeld, maar zal in een toekomstige versie waarschijnlijk standaard ingesteld worden. Daarnaast zijn erin OpenSSL 3.2 verschillende andere nieuwe features toegevoegd en is de support voor algoritmes uitgebreid. bron: https://www.security.nl

De ontwikkelaars van de Lumma-malware claimen dat ze in staat zijn om verlopen Google-cookies van besmette systemen te herstellen, zodat aanvallers ze alsnog kunnen gebruiken om toegang tot accounts te krijgen. Dat blijkt uit screenshots van een forum waar de ontwikkelaars de nieuwe feature aankondigen. De Lumma-malware is ontwikkeld voor het stelen van allerlei soorten informatie van besmette systemen. Gebruikers betalen een maandelijks bedrag van tussen de 250 en 1000 dollar om de malware te kunnen gebruiken. De ontwikkelaars bieden drie abonnementen en claimen vierhonderd afnemers te hebben. Volgens de ontwikkelaars is het met de nieuwste versie van de malware mogelijk om verlopen sessiecookies te herstellen. Dit is echter niet onafhankelijk geverifieerd. De makers van de Rhadamanthys-malware bieden echter een soortgelijke feature. Daarnaast liet Alon Gal van securitybedrijf Hudson Rock onlangs weten dat de ontwikkelaars ook beweerden dat ze een manier hadden gevonden om Google-cookies van besmette systemen te stelen die niet verlopen of worden ingetrokken, zelfs als het slachtoffer zijn wachtwoord wijzigt. Dit zou volgens Gal voor een grote verschuiving in de cybercrime-wereld zorgen en aanvallers in staat stellen om meer accounts binnen te dringen. Ook deze claims van de ontwikkelaar zijn echter nog niet bevestigd, merkt Gal op. bron: https://www.security.nl

Aanvallers zijn erin geslaagd om officiële software van CyberLink van malware te voorzien en zo systemen wereldwijd te infecteren, zo waarschuwt Microsoft. CyberLink maakt multimediasoftware en is onder andere bekend vanwege PowerDVD. De aanvallers hebben de officiële installer van een CyberLink-applicatie van malware voorzien, aldus Microsoft. Het techbedrijf laat niet weten welke applicatie van CyberLink door de aanvallers besmet is, maar uit de links die het vermeldt lijkt het om Promeo te gaan, software voor het bewerken van video en graphics. De malware in de installer downloadt aanvullende malware, die met een geldig certificaat van CyberLink is gesigneerd en op de legitieme update-infrastructuur van CyberLink wordt gehost. Microsoft detecteerde meer dan honderd besmette systemen in onder andere Japan, Taiwan, Canada en de Verenigde Staten. Volgens het techbedrijf is de aanval uitgevoerd door de Lazarus Groep, die vanuit Noord-Korea opereert. De groep houdt zich bezig met spionage, diefstal van persoonlijke en zakelijke informatie, inbraken bij banken en wiper-aanvallen. Wat het doel van de supplychain-aanval via CyberLink is, is op dit moment onduidelijk. bron: https://www.security.nl

Een kritieke kwetsbaarheid in de WordPress-plug-in UserPro maakt het mogelijk voor aanvallers om het wachtwoord van elke willekeurige gebruiker te wijzigen, waaronder de admin, en zo de site over te nemen. De ontwikkelaars van UserPro, dat op meer dan twintigduizend websites is geïnstalleerd, werden op 10 mei ingelicht en kwamen op 31 oktober met een patch die het probleem volledig verhelpt. UserPro biedt WordPress-sites extra gebruikersbeheer, zoals aangepaste registratieformulieren en inlogvensters. Een beveiligingslek in de plug-in, aangeduid als CVE-2023-2449, maakt het mogelijk voor aanvallers om de wachtwoorden van alle gebruikers te wijzigen. Het probleem wordt veroorzaakt doordat de plug-in de standaard wachtwoordresetfunctie van WordPress gebruikt gecombineerd met onvoldoende validatie van de resetfunctie. "De functie gebruikt de plaintext waarde van de wachtwoordreset-key in plaats van een gehashte waarde, wat inhoudt dat die eenvoudig is te achterhalen en te gebruiken", aldus securitybedrijf Wordfence dat het probleem ontdekte en rapporteerde. Om misbruik van CVE-2023-2449 te kunnen maken moet een aanvaller wel over een andere kwetsbaarheid beschikken, maar twee van dergelijke lekken werden ook door Wordfence ontdekt. Nadat de ontwikkelaars op 10 mei waren ingelicht kwamen die op 27 juli met een gedeeltelijke oplossing. Op 31 oktober verscheen versie 5.1.5 van de plug-in waarin het probleem volledig is verholpen. Wordfence heeft de details nu openbaar gemaakt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. bron: https://www.security.nl

Een botnet dat besmette apparaten ddos-aanvallen laat uitvoeren maakt gebruik van twee zerodaylekken om routers en digitale videorecorders te infecteren, zo meldt internetbedrijf Akamai. Aangezien er nog geen beveiligingsupdates voor de problemen beschikbaar zijn, die worden volgende maand verwacht, heeft Akamai de namen van de fabrikanten en kwetsbare modellen niet vrijgegeven. Het botnet heeft het voorzien op routers en videorecorders met standaard admin-inloggegevens. De zeroday-exploit tegen de routerfabrikant lijkt tegen één model gericht te zijn, maar een variant van dit model lijkt ook kwetsbaar te zijn. De feature waar de aanvallers misbruik van maken komt veel voor en het is volgens Akamai dan ook mogelijk dat de code ook bij andere producten wordt hergebruikt. In het geval van de videorecorderfabrikant maakt dit bedrijf zo'n honderd verschillende camera's. Aangezien het niet mogelijk is om vanaf het internet systeeminformatie van besmette apparaten te achterhalen is onduidelijk hoeveel modellen kwetsbaar zijn. Akamai heeft zoals gezegd nog geen uitgebreide technische details gegeven. Wel heeft het internetbedrijf Snort- en YARA-rules beschikbaar gemaakt waarmee beheerders mogelijke infecties in hun netwerken kunnen detecteren. bron: https://www.security.nl

Onderzoekers zijn erin geslaagd om op drie verschillende laptops van Dell, Lenovo en Microsoft de vingerafdrukcontrole van Windows Hello te omzeilen. Via Windows Hello kunnen gebruikers onder andere door een scan van de vingerafdruk inloggen. Microsoft betaalde onderzoekers van securitybedrijf Blackwing om te onderzoeken of het mogelijk was de authenticatie te omzeilen. Bij alle drie de laptops (Dell Inspiron 15, Lenovo ThinkPad T14 en Microsoft Surface Pro Type Cover met Fingerprint ID) blijkt dat het geval. De vingerafdruksensors waarop de onderzoekers het hadden voorzien maken gebruik van een 'match on chip' of MoC, in plaats van 'match on host'. MoC-sensoren beschikken over een op de chip ingebouwde microprocessor en opslag. Daardoor vindt de vingerafdrukcontrole op de chip plaats. Een database met 'vingerafdruk templates' (de biometrische data die door de vingerafdruksensor is verkregen) wordt op de chip opgeslagen en het aanmelden van een vingerafdruk vindt direct plaats op de chip. Doordat de vingerafdruk-templates nooit de chip verlaten moet dit het risico wegnemen dat biometrisch materiaal opgeslagen op het host-systeem wordt gestolen als de host wordt gecompromitteerd. Deze aanpak moet ook voorkomen dat een aanvaller een afbeelding van een geldige vingerafdruk naar de host stuurt om te laten controleren en zo de authenticatie te omzeilen. MoC-sensoren zijn echter kwetsbaar voor spoofing- en relay-aanvallen. Om dit tegen te gaan bedacht Microsoft het Secure Device Connection Protocol (SDCP). Het protocol moet ervoor zorgen dat de vingerafdruksensor wordt vertrouwd en in goede conditie is en dat de invoer tussen de sensor en host wordt beschermd. Het eerste dat de onderzoekers ontdekten was dat SDCP op twee van de drie laptops niet was ingeschakeld. Daarnaast bleek het bij alle drie de laptops mogelijk Windows Hello te misleiden. In het geval van de Dell-laptop blijkt dat de chip twee databases bijhoudt voor Windows en Linux. Door middel van een man-in-the-middle-aanval, waarbij de vingerafdruksensor wordt losgekoppeld en vervangen door een Raspberry Pi, is het mogelijk geldige vingerafdrukken in de Windows-database te enumereren. Vervolgens voegt de aanvaller zijn vingerafdruk als een geldige Windows-gebruiker toe aan de Linux-database. Daarna wordt er een configuratie packet naar de sensor gestuurd om voortaan de Linux-database te gebruiken. De aanvaller kan zo met zijn eigen vingerafdruk als een geldige Windows-gebruiker inloggen. Ook de Lenovo- en Microsoft-laptop zijn door middel van spoofing-aanvallen te misleiden. De onderzoekers doen fabrikanten verschillende aanbevelingen, waaronder het inschakelen van SDCP. bron: https://www.security.nl

Google maakt steeds vaker gebruik van 'privacy washing' om mensen te misleiden, zo stelt Proton, het bedrijf achter ProtonVPN en ProtonMail. Aanleiding zijn verschillende initiatieven die Google lanceerde en de privacy van gebruikers zouden beschermen, terwijl dat volgens Proton niet het geval is. Het laatste project waar de vpn- en mailaanbieder zich aan stoort is IP Protection. Volgens Google moet IP Protection de privacy van gebruikers beschermen door te voorkomen dat hun ip-adres voor tracking wordt gebruikt. In plaats daarvan wordt er gebruikgemaakt van een 'privacy proxy' waardoor de bestemming het echte ip-adres van de gebruiker niet kan zien. Proton stelt dat de feature het alleen maar eenvoudiger voor Google maakt om Chrome-gebruikers te bespioneren. "Dit is geen verrassing, aangezien dit het businessmodel van Google is. Wat wel zorgen baart, is dat Google dit adverteert als een privacyfeature", zegt Ben Wolford van Proton. "Steeds vaker maakt Google gebruik van privacy washing, een vorm van misleidende reclame bedoeld om mensen te laten denken dat hun producten meer privé zijn." Zo gebruikt Google Chrome bij de eerste versies van IP Protection de eigen proxyservers van Google om een tijdelijk ip-adres te genereren voor verschillende websites die van Google zelf zijn, aldus Wolford. Gebruikers moeten IP Protection wel zelf inschakelen. "Google wil je laten geloven dat de dienst privé is en tegelijkertijd je intieme data verzamelen en voorkomen dat concurrenten hetzelfde doen. IP Protection schermt je data af voor de rest van het internet, terwijl het aan de andere kant van de muur Googles surveillanceapparaat op jouw apparatuur bezegelt." bron: https://www.security.nl

Exchange Server 2019 krijgt dit jaar, net als vorig jaar, geen tweede grote update. Dat heeft Microsoft laten weten. Vorig jaar maakte het techbedrijf bekend dat het updatebeleid voor Exchange Server op de schop ging. In plaats van elk kwartaal werd besloten om voortaan twee Cumulative Updates per jaar voor Exchange Server uit te brengen. Eén in de eerste helft van het jaar, de ander in de tweede helft. Cumulative Updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie een bepaalde CU-versie geïnstalleerd hebben. De tweede grote update voor Exchange Server van dit jaar was nog altijd niet verschenen en zal ook niet meer komen. November heeft nog minder dan twee weken en Microsoft brengt geen Cumulative Updates uit in december. Daardoor zal er geen H2 2023 CU verschijnen. Vorig jaar deed zich precies een zelfde situatie voor. Verder laat Microsoft weten dat Exchange Server 2019 nog twee Cumulative Updates zal ontvangen. Namelijk CU14 (H1 2024) en CU15 (H2 2024). CU14 zal waarschijnlijk volgend jaar januari verschijnen en biedt support voor onder andere TLS 1.3 en zal standaard Extended Protection inschakelen, dat servers tegen man-in-the-middle-aanvallen moet beschermen. bron: https://www.security.nl

Mozilla heeft een onbekend bedrag in e-mailbeveiliger Sendmarc geïnvesteerd. Het bedrijf helpt ondernemingen en organisaties bij het implementeren van DMARC voor hun e-mail. Dit is een protocol dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM). Via DMARC kan een organisatie aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen. Op deze manier kunnen spam en phishingmails worden gestopt. Sendmarc is wereldwijd actief en wordt onder andere door Fortune 500-bedrijven gebruikt. Mozilla heeft nu een belang in het bedrijf genomen, maar wil de omvang van de investering nog niet bekendmaken. "De investering helpt Sendmarc om essentiële DMARC-bescherming aan duizenden klanten wereldwijd te bieden", aldus de Firefox-ontwikkelaar. Mozilla doet de investering via het eigen durfkapitaalfonds Mozilla Ventures, dat investeert in tech start-ups die voor een beter internet zorgen, zo laat Mozilla verder weten. "DMARC, SPF en DKIM zijn een essentiële combinatie om veilig te e-mailen", zo stelt het Forum Standaardisatie. De beveiligingsstandaard is verplicht voor alle Nederlandse overheidsdomeinnamen, maar in de praktijk blijkt dat de overheid achterloopt bij het implementeren van de standaarden. bron: https://www.security.nl

Microsoft is een nieuw bugbountyprogramma gestart waarbij het onderzoekers bedragen tot 20.000 dollar betaalt voor het melden van kritieke kwetsbaarheden in de eigen Defender-beveiligingssoftware en -diensten. Vooralsnog is het programma beperkt tot Microsoft Defender for Endpoint API's, maar zal in de toekomst verder worden uitgebreid met andere Defender-producten. Onder Defender biedt Microsoft onder andere een eigen virusscanner gericht op zowel eindgebruikers als bedrijven. Beveiligingssoftware, zoals antivirus, zit vaak diep genesteld in systemen of heeft vergaande rechten en toegang. Kwetsbaarheden kunnen dan ook grote gevolgen hebben. Voor een beveiligingslek waardoor een aanvaller via Defender willekeurige code op systemen kan uitvoeren biedt Microsoft 20.000 dollar. Kwetsbaarheden die een aanvaller de mogelijkheid geven om zijn rechten te verhogen of informatie te stelen worden met maximaal 8.000 dollar beloond. bron: https://www.security.nl

Firefox is van een nieuwe optie voorzien waarmee gebruikers een signaal naar websites kunnen sturen om geen gebruikersdata te delen of verkopen aan derde partijen. Daarnaast blokkeert de browser nu bij Duitse gebruikers cookiebanners en stript trackingparameters in URL's. Verder is voor alle gebruikers de bescherming tegen fingerprinting verbeterd. Met de lancering van Firefox 120 ondersteunt de browser nu een voorgestelde standaard genaamd Global Privacy Control (GPC). Via deze optie kunnen gebruikers aan websites aangeven dat ze niet willen dat hun data wordt gedeeld en verkocht aan derden. In sommige jurisdicties, zoals in de Amerikaanse staat Californië, wordt Global Privacy Control als een juridisch handhaafbare methode gezien waarmee consumenten zich voor gerichte advertenties kunnen afmelden of websites kunnen verzoeken om de verkoop of het delen van hun persoonlijke data te beperken. "Zonder GPC worden gebruikers gedwongen om herhaaldelijk hun bezwaar tegen tracking duidelijk te maken, wat kan leiden tot toestemmingsmoeheid, zelfs in gebieden waar gebruikers basale rechten rond hun data hebben", aldus Mozilla. "Zodra verzameld hebben de meeste mensen geen idee hoe data wordt opgeslagen, gedeeld of zelfs verkocht. GPC moet het eenvoudiger voor mensen maken om hun privacyvoorkeuren te communiceren en rechten uit te oefenen." Gebruikers moet GPC wel zelf binnen de browser inschakelen. Cookiebanners Een andere nieuwe feature in Firefox is het blokkeren van cookiebanners bij Duitse gebruikers. Firefox zal bij onze Oosterburen nu in alle privévensters standaard cookies weigeren en automatisch de 'irritante' cookiemeldingen bij websites sluiten. Verder staat voor Duitse gebruikers nu ook standaard in privévensters URL Tracking Protection ingeschakeld, waarbij Firefox trackingparameters in URL's stript. Wanneer de features in andere landen beschikbaar komen is nog niet bekend. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Computers in de Europese Unie die Windows 10 of 11 draaien zullen voor 6 maart volgend jaar aan de Digital Markets Act voldoen, zo heeft Microsoft aangekondigd. Gebruikers kunnen dan onder andere vooraf geïnstalleerde apps verwijderen, waaronder de Camera-app, Cortana, Microsoft Edge, Photos-app en de Web Search uit de Bing-zoekmachine. Gebruikers die de apps verwijderen kunnen die later weer via de Microsoft Store en internet installeren. Verder zal Windows aan gebruikers in de Europese Unie vragen of ze hun Microsoft-account met Windows willen synchroniseren, zodat hun data ook op andere Windows-apparaten en in Microsoft-producten beschikbaar is waar gebruikers inloggen. De informatie die van andere Microsoft-producten in een Microsoft-account wordt opgeslagen zal ook in Windows beschikbaar zijn. Windows gebruikt de regio die gebruikers tijdens de eerste setup aangeven om te bepalen of de computer zich in de Europese Unie bevindt. Eenmaal gekozen wordt de regio gebruikt om aan de Digital Markets Act te voldoen en kan alleen worden aangepast door het resetten van de pc. Microsoft heeft de mogelijkheid om bepaalde apps te verwijderen al toegevoegd aan testversies van Windows 11. Uiteindelijk zullen computers met Windows 10 versie 22H2 en Windows 11 versie 23H2 in de Europese Unie voor 6 maart volgend jaar 'DMA compliant' zijn, aldus Microsoft. bron: https://www.security.nl

De zeer populaire adblocker uBlock Origin gaat door nieuw Google-beleid een belangrijk onderdeel missen voor het blokkeren van advertenties en trackers, zo heeft ontwikkelaar Raymond Gorhill laten weten. De manier waarop extensies binnen Chrome en andere browsers mogen werken staat beschreven in een manifest. Google zal versie drie (V3) van het manifest voor extensies gaan verplichten en extensies die op V2 zijn gebaseerd bij Chrome-gebruikers uitschakelen. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). DNR zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Dit zorgde voor felle kritiek van extensie-ontwikkelaars en Google besloot daarop de uitfasering van Manifest V2-extensies tijdelijk uit te stellen en kondigde aanpassingen aan. Vorige week maakte het techbedrijf bekend dat het de migratie naar Manifest V3 hervat en volgend jaar juni begint met het uitschakelen van Manifest V2-extensies bij Chrome-gebruikers. In de aankondiging stelde Google dat het door de gedane aanpassingen de zorgen bij extensie-ontwikkelaars had weggenomen. Volgens Gorhill zal een belangrijk onderdeel van uBlock Origin niet naar de Manifest V3-versie van de adblocker kunnen worden overgezet en zal de adblocker daardoor straks minder effectief zijn. Het gaat dan specifiek om dynamic filtering. Veel adblockers maken gebruik van statische filters gebaseerd op lijsten met bekende advertentienetwerken en trackers om die te blokkeren. Dat doet uBlock Origin ook, maar het biedt ook dynamic filtering, dat regels vergelijkbaar met die van een firewall toepast. Deze belangrijke feature zal niet in Manifest V3 mogelijk zijn, aldus Gorhill op Twitter. bron: https://www.security.nl

Het Tor Project heeft onlangs een groot aantal relays uit het Tor-netwerk verwijderd omdat de personen die ze hadden toegevoegd er geld mee wilden verdienen. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Onlangs ontdekte het Tor Project verschillende servers die door beheerders waren toegevoegd die daar geld mee wilden verdienen. De serverbeheerders doen mee aan een project dat cryptotokens belooft als ze hun server onderdeel van het Tor-netwerk maken. Volgens het Tor Project zijn deze servers vanwege verschillende redenen schadelijk voor het netwerk. Zo voldoen de servers niet allemaal aan de eisen die het Tor Project stelt en kunnen dit soort financiële prikkels een grote dreiging voor de integriteit van het netwerk en reputatie van het project vormen. "Aangezien ze individuen met kwade bedoelingen kunnen aantrekken, gebruikers in gevaar kunnen brengen en de door vrijwilligers-gedreven geest van de Tor-gemeenschap kunnen verstoren", aldus Isabela Bagueros, directeur van het Tor Project. De organisatie deed onderzoek naar de toegevoegde servers en nam ook contact op met de beheerders. Die bleken vaak niet te weten waar ze precies deel aan namen of servers in onveilige of risicovolle regio's beheerden. "Het is duidelijk voor ons geworden dat dit project niet goed voor het Tor-netwerk of Tor Project is. Daarom hebben we aan onze directory authorities voorgesteld de servers te verwijderen, die hier voor stemden", stelt Bagueros. De naam van het 'financial scheme' is niet door Bagueros bekendgemaakt, maar het gaat mogelijk om het ATOR Protocol. Dit project beloont personen met de ATOR-cryptovaluta als ze hun servers aan het Tor-netwerk toevoegen. ATOR biedt ook een Router Hotspot en Relay waarmee gebruikers hun verkeer via Tor kunnen laten lopen. Daarnaast heeft het project als doel om geanonimiseerde betalingen mogelijk te maken, waarbij het gebruikmaakt van het Tor-netwerk. bron: https://www.security.nl

Organisaties die gebruikmaken van een NetScaler ADC of NetScaler Gateway moeten na het installeren van de recent uitgebrachte kritieke beveiligingsupdate ook alle actieve of persistente sessies door middel van een kill-commando uitschakelen. Tevens zijn er verschillende stappen die organisaties kunnen nemen om te kijken of hun NetScaler-servers zijn gecompromitteerd, zo laat NetScaler in een vandaag gepubliceerd advies weten. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Op 10 oktober kwam NetScaler met een update voor een kritieke kwetsbaarheid aangeduid als CVE-2023-4966 en 'CitrixBleed'. Via het lek kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen. Al voor het uitkomen van de update bleek dat aanvallers misbruik van het beveiligingslek maken, maar dat was toen nog niet bij NetScaler bekend. Inmiddels vinden er grootschalige aanvallen plaats, waarbij onder andere de criminelen achter de LockBit-ransomware het op kwetsbare systemen hebben voorzien. Beveiligingsonderzoeker Kevin Beaumont liet onlangs weten op basis van een scan via zoekmachine Shodan dat veel LockBit-slachtoffers een kwetsbaar NetScaler-apparaat in hun netwerk hadden staan. Volgens NetScaler moeten organisaties na de installatie van de update voor CVE-2023-4966 alle actieve en persistente sessies via een kill-commando uitschakelen. Daarnaast moet ernaar verdachte patronen van 'verdachte sessies' worden gezocht, alsmede verschillende logs worden gecontroleerd. Verder geeft NetScaler advies voor organisaties die hun eigen forensisch onderzoek op ongepatchte servers uitvoeren. bron: https://www.security.nl

Adblockers zijn een belangrijke maatregel waarmee internetgebruikers zich tegen malafide advertenties, besmette downloads en scams kunnen beschermen, en het is dan ook duidelijk waarom iedereen er één zou moeten gebruiken, zo stelt Jonathan Munshaw van Cisco. De afgelopen tijd zijn verschillende uitgevers en Google begonnen met het aanpakken van adblockers. Zo kunnen gebruikers van YouTube in bepaalde gevallen alleen video's bekijken als ze hun adblocker uitschakelen of een betaald abonnement nemen. Ook Spotify heeft in de algemene voorwaarden opgenomen dat het gebruik van een adblocker niet is toegestaan en veel nieuwswebsites tonen meldingen dat een adblocker eerst moet worden uitgeschakeld voordat er content kan worden gelezen. "Het is prima dat uitgevers geld vragen voor hun content of het achter een betaalmuur zetten, of zelfs betaalde abonnementen om geen advertenties in podcasts of video's te tonen. Maar we kunnen het er allemaal over eens zijn dat adblockers goed voor het internet zijn en gebruikers beschermen", merkt Munshaw op. Volgens Munshaw van Cisco Talos is het argument van bedrijven zoals Google dat adblockers ervoor zorgen dat contentmakers door adblockers inkomsten mislopen grotendeels ongegrond. YouTube-sterren zouden de effecten van een adblocker nauwelijks merken, wat ook geldt voor doorsnee YouTubers, zo stelt hij. Munshaw hoopt dan ook dat de recentelijk ingediende klacht over de adblocker-blokkade op YouTube, dat het in strijd met Europees recht is, effect zal hebben. bron: https://www.security.nl

Google heeft een nieuwe versie van de eigen Titan Security Key gelanceerd, die onder andere 250 unieke passkeys kan opslaan. De eerste versie van de fysieke beveiligingssleutel werd in 2018 gelanceerd. De Titan Security Key maakt gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Inmiddels zet Google ook vol in op het gebruik van passkeys, een gezamenlijk initiatief van Apple, Google en Microsoft. Passkeys zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken ook gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. "We zijn zeer enthousiast over de potentie van passkeys, maar we weten ook dat er geen security wondermiddel voor iedereen is. Sommige mensen willen een oplossing die niet afhankelijk is van smartphones of gebruiken apparaten die passkeys niet ondersteunen. Iedereen heeft verschillende manieren voor security, maar we delen allemaal hetzelfde doel: het stoppen van aanvallen", zegt Christiaan Brand van Google. Het techbedrijf heeft ervoor gekozen om de nieuwste versie van de Titan Security Key dan ook de mogelijkheid te geven om 250 passkeys op te slaan. Wanneer de nieuwe beveiligingssleutel wordt gebruikt voor een Google-account, biedt de sleutel de optie om een pincode in te stellen om zo toegang tot het account te krijgen in plaats van een wachtwoord. De nieuwe sleutel is beschikbaar als USB-A en USB-C en ondersteunt NFC. bron: https://www.security.nl

Wie een TikTok-account wil aanmaken kan hiervoor het beste een apart e-mailadres gebruiken, zo adviseert de Belgische politie. Daarnaast wordt in plaats van de TikTok-app aangeraden de site via een browser te gebruiken. "TikTok zal uiteraard nog steeds info kunnen vergaren via de cookies of andere trackers. Maar als je Firefox gebruikt, kun je in de privacy- en veiligheidsinstellingen de strikte modus activeren om het delen te beperken", zegt commissaris Olivier Bogaert. Verder adviseert Bogaert het gebruik van een apart e-mailadres voor het aanmaken van een TikTok-account. "Kijk ook de instellingen na, want hier is het mogelijk om het delen van bepaalde gegevens te beperken. Om je te beschermen geef je TikTok best geen toestemming om de contacten van de telefoon of je vrienden op Facebook te synchroniseren." bron: https://www.security.nl

De Europese privacytoezichthouders zijn richtlijnen overeengekomen die moeten verduidelijken welke trackingtechnieken onder de ePrivacy Verordening zijn toegestaan. Daarmee wil de EDPB meer 'juridische zekerheid' aan dataverwerkers en individuen geven. Het gaat dan om zaken als trackinglinks, trackingpixels, lokale verwerking en unieke identifiers, om er zo voor te zorgen dat de verplichtingen van de verordening niet worden omzeild. Het gaat dan specifiek om Artikel 5.3 van de ePrivacy Verordening. "Het is geen geheim dat het volgen van de activiteiten van internetgebruikers de privacy van mensen ernstig kan schaden", zegt Anu Talus, voorzitter van de EDPB. "De onduidelijkheden met betrekking tot waarop Artikel 5.3 van de ePrivacy Verordening op van toepassing is en de opkomst van nieuwe technieken, als aanvulling op of alternatief voor traditionele cookies, hebben voor allerlei nieuwe privacyrisico's gezorgd." Om het artikel en de toepassing daarvan te verduidelijken gaan de richtlijnen van de EDPB vooral in op sleutelbegrippen zoals 'informatie', 'eindapparatuur van een abonnee of gebruiker', 'elektronisch communicatienetwerk', 'het verkrijgen van toegang' en 'opgeslagen informatie/opslag'. Daarnaast biedt de richtlijn ook praktische use cases over het gebruik van populaire trackingtechnieken. De overeengekomen richtlijnen worden nu op juridische inhoud gecontroleerd en vertaald, en zullen dan online verschijnen. Vervolgens kan het publiek er gedurende zes weken op reageren. Het Europees Comité voor gegevensbescherming (EDPB). De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG), waaronder ook de Autoriteit Persoonsgegevens. bron: https://www.security.nl