Captain Kirk

Update De makers van videoconferentiesoftware Zoom hebben na felle kritiek van gebruikers en beveiligingsexperts toch besloten een update uit te brengen. Ook erkent het bedrijf dat het de problemen die onderzoeker Jonathan Leitschuh ontdekte initieel niet als een groot risico beschouwde. Leitschuh ontdekte dat het mogelijk is voor websites om Zoom-gebruikers ongevraagd aan een meeting deel te laten nemen waarbij hun webcam wordt ingeschakeld. Hiervoor is er geen enkele interactie van gebruikers vereist. In het geval gebruikers de Zoom-software hebben verwijderd is het via de achtergebleven localhost-webserver nog steeds mogelijk voor websites om de Zoom-software opnieuw te installeren. Wederom is er geen enkele interactie van de gebruiker vereist, behalve het bezoeken van een malafide site. Naar aanleiding van de gevonden kwetsbaarheden stelde Zoom dat het voor gebruikers zo eenvoudig mogelijk moet zijn om aan meetings en gesprekken deel te nemen. Het probleem met de webserver zou dan ook niet worden verholpen. Wel zou er een update uitkomen die de video-instelling van de eerste Zoom-meeting zal onthouden. In een nieuwe reactie laat Zoom weten dat het een update heeft uitgebracht waarmee de lokale webserver wordt verwijderd. Tevens kunnen gebruikers Zoom handmatig volledig verwijderen, inclusief de lokale webserver. Zoom erkent dat het de problemen met de webserver en de ingeschakelde webcam initieel niet als een groot risico voor gebruikers zag. Na kritiek van gebruikers en beveiligingsexperts heeft het toch besloten om met updates te komen. Dit weekend zal er een tweede update verschijnen die de keuze onthoudt als gebruikers bij hun eerste Zoom-meeting de webcam uitschakelen. bron: security.nl

Mozilla gaat certificaten van het omstreden securitybedrijf DarkMatter blokkeren, wat inhoudt dat Firefoxgebruikers bij het bezoeken van websites die van deze certificaten gebruikmaken een waarschuwing te zien krijgen. Volgens verschillende media houdt DarkMatter zich bezig met cybersurveillance in de Verenigde Arabische Emiraten, waarbij het zich onder andere richt op mensenrechtenactivisten en journalisten. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. DarkMatter beschikt op dit moment over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht hierop vindt plaats door DigiCert. DarkMatter had echter aan Mozilla gevraagd om een eigen rootcertificaat aan Firefox toe te voegen. Dit stuitte op verzet van beveiligingsexperts en burgerrechtenbewegingen die bang voor misbruik zijn. DarkMatter zou certificaten kunnen uitgeven waarmee man-in-the-middle-aanvallen tegen internetgebruikers zijn uit te voeren. Mozilla werd dan ook opgeroepen om dit verzoek te weigeren en de huidige intermediate certificaten te verwijderen. Naar aanleiding van het verzoek van DarkMatter en de oproep om het vertrouwen in de huidige certificaten op te zeggen vroeg Mozilla om feedback. Nu een aantal maanden later heeft de browserontwikkelaar een beslissing genomen. Volgens Mozillas Wayne Thayer is er naar allerlei elementen gekeken waarom certificaten van DarkMatter wel of niet zijn te vertrouwen, maar komt de beslissing uiteindelijk neer op het principe van Mozilla. Namelijk dat het de verantwoordelijkheid heeft om Firefoxgebruikers te beschermen. Vanuit dit standpunt is besloten om het vertrouwen in de intermediate certificaten van DarkMatter op te zeggen en het rootcertificaat van het bedrijf niet aan Firefox toe te voegen. Tevens zal Mozilla ook toekomstige verzoeken van DigitalTrust weigeren. Het proces om de certificaten te blokkeren zal binnenkort worden gestart. bron: security.nl

Tijdens de patchdinsdag van juli heeft Microsoft meer dan 70 kwetsbaarheden verholpen waaronder twee beveiligingslekken in Windows die actief werden aangevallen voordat er updates beschikbaar waren. Daarnaast waren details van zes andere kwetsbaarheden al openbaar gemaakt, maar volgens Microsoft zijn er geen aanvallen waargenomen die er misbruik van maakten. Het eerste zerodaylek is aanwezig in Windows 8.1 en Windows 10 en Server 2012, 2016 en 2019. De tweede zeroday bevindt zich in Windows 7 en Server 2008. Beide kwetsbaarheden maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. In het geval van de tweede zeroday was het mogelijk om code met kernelrechten uit te voeren. De zerodaylekken zijn op zichzelf niet voldoende om een systeem te compromitteren en moeten bijvoorbeeld met een ander beveiligingslek worden gecombineerd. De kwetsbaarheden werden gevonden door securitybedrijven ESET en Resecurity. Verdere details over de aanvallen waarbij de lekken werden aangevallen zijn niet bekendgemaakt. De zes kwetsbaarheden waarvan de details al openbaar waren bevonden zich in Docker, SymCrypt, Remote Desktop Services, Azure, Microsoft SQL Server en Windows. Via de lekken in Remote Desktop Services en Microsoft SQL Server was het mogelijk voor een aanvaller om willekeurige code uit te voeren. De andere vier kwetsbaarheden maakten een denial of service mogelijk of lieten een aanvaller zijn rechten verhogen. Het SymCrypt-lek, dat Windows-servers kan laten vastlopen, werd vorige maand door een Google-onderzoeker openbaar gemaakt. Verder heeft Microsoft kwetsbaarheden in Windows, Internet Explorer, Edge, Microsoft Office, Azure DevOps, .NET Framework, Azure, SQL Server, ASP.NET, Visual Studio, Exchange Server en niet nader genoemde "open source software" gepatcht. Op de meeste systemen worden de updates automatisch geïnstalleerd. bron: security.nl

Er is vandaag een nieuwe Firefox verschenen die gebruikers door Mozilla gecontroleerde extensies aanraadt. De maatregel moet bijdragen aan een veiliger extensie-ecosysteem, zegt Mozilla's Marissa Wood. Extensies vormen een belangrijk onderdeel van Firefox, aangezien ze gebruikers de mogelijkheid geven om de browser aan hun voorkeuren aan te passen. Dit brengt ook risico's met zich mee. Malafide extensies kunnen bijvoorbeeld allerlei gevoelige gegevens stelen of kwaadaardige acties uitvoeren. Het "Recommended Extensions" programma moet gebruikers de zekerheid geven dat ze een veilige, goedwerkende extensie installeren. Ook moet het om een extensie gaan die een groot publiek aanspreekt. Alle extensies op de lijst zijn gecontroleerd op veiligheid, nut en bruikbaarheid. Eén van de aanbevolen extensies is de gratis wachtwoordmanager Bitwarden. Daarnaast is het in Firefox 68 eenvoudiger om malafide extensies te rapporteren. Dit is nu direct via de Firefox Add-ons Manager te doen. Een andere nieuwe feature verhelpt de tls-foutmeldingen die antivirusprogramma's veroorzaken. Een deel van deze programma's onderschept het https-verkeer van gebruikers, om het op zaken als malware en phishing te controleren. Doordat https-verkeer is versleuteld, is het standaard niet toegankelijk voor antivirussoftware. Virusscanners omzeilen dit door een eigen rootcertificaat op computers te installeren, waardoor de inhoud van het webverkeer toch geanalyseerd kan worden. Firefox herkent dit certificaat niet en geeft daarom een waarschuwing. Firefox beschikt over een optie waardoor rootcertificaten die door de gebruiker of een programma op de computer zijn geïnstalleerd, toch door de browser worden vertrouwd. Vanaf Firefox 68 zal de browser wanneer het ziet dat verkeer wordt onderschept deze optie automatisch inschakelen en de verbinding opnieuw proberen. Als dit het probleem verhelpt blijft de optie ingeschakeld, tenzij de gebruiker die handmatig uitschakelt. Https voor toegang tot camera en microfoon Verder moeten websites en applicaties die toegang tot de webcam en microfoon willen nu verplicht een https-verbinding gebruiken. "Camera en microfoon zijn krachtige features en Firefox zal ze alleen in een veilige context toegankelijk maken", stelt Mozillas Jan-Ivar Bruaroey, die het een veiligheids- en privacyverbetering noemt. In Google Chrome was het gebruik van https om de camera of microfoon te kunnen benaderen al verplicht. Firefox 68 verhelpt ook meerdere kwetsbaarheden, maar die zijn op het moment van schrijven nog niet openbaar gemaakt. Updaten naar de nieuwste versie kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

De versleutelde e-maildienst Tutanota biedt gebruikers nu ook een gratis end-to-end versleutelde cloudkalender, alsmede end-to-end versleutelde aankondigingen van aankomende afspraken. "In tegenstelling tot andere kalenderdiensten weten we niet wanneer, waar of met wie je een afspraak hebt. We hebben geen zicht op je dagelijkse activiteiten", aldus Matthias Pfau, medeoprichter van Tutanota. Pfau stelt dat alle online kalenders de gegevens van hun gebruikers in de cloud opslaan, waar ze eenvoudig toegang tot persoonlijke data kunnen krijgen. Tutanota slaat gegevens ook in de cloud op. "Maar door de ingebouwde end-to-end-encryptie hebben alleen gebruikers met hun wachtwoord toegang tot de data", aldus Pfau. Hij merkt op dat met name het versturen van de versleutelde notificaties erg veel tijd in beslag nam. De kalender bevindt zich nog in de bètafase. De definitieve versie zal dan ook over veel meer features beschikken. "De versleutelde kalender is de volgende feature op weg om een veilig Google-alternatief te worden", besluit Pfau. Tutanota biedt gratis accounts, alsmede betaalde abonnementen. De broncode van de gehele e-maildienst is daarnaast open source. bron: security.nl

Een beveiligingslek in de videoconferentiesoftware Zoom maakt het voor willekeurige websites mogelijk om toegang tot miljoenen webcams te krijgen. Alleen het bezoeken van een website volstaat om de aanval uit te voeren. De software van Zoom zou door meer dan 750.000 bedrijven wereldwijd worden gebruikt. Organisaties gebruiken het voor videoconferenties en andere zaken. Zoom claimde in 2015 meer dan 40 miljoen gebruikers te hebben. Een kwetsbaarheid in de Zoom-software voor macOS zorgt ervoor dat willekeurige websites gebruikers zonder toestemming aan een Zoom-gesprek kunnen laten deelnemen, met hun webcam ingeschakeld. In het geval gebruikers de Zoom-software hebben verwijderd is het via de achtergebleven localhost-webserver nog steeds mogelijk voor websites om de Zoom-software opnieuw te installeren. Wederom is er geen enkele interactie van de gebruiker vereist, behalve het bezoeken van een malafide site. De kwetsbaarheid die toegang tot de webcam geeft maakt gebruik van een feature in Zoom om uitnodigingslinks te versturen. Zodra een gebruiker een dergelijke link in hun browser opent wordt de Zoom-software gestart. Onderzoeker Jonathan Leitschuh ontdekte dat deze feature niet op veilige wijze is geïmplementeerd. Het is mogelijk om de uitnodigingslink in een iframe te verbergen die vervolgens bij het bezoeken van de betreffende website automatisch wordt uitgevoerd. Leitschuh rapporteerde de kwetsbaarheid op 26 maart van dit jaar aan Zoom. Het softwarebedrijf had tien dagen nodig om de kwetsbaarheid te bevestigen. Uiteindelijk heeft Zoom besloten de kwetsbaarheden waardoor gebruikers door alleen het bezoeken van een website aan een videoconferentie kunnen worden toegevoegd of de Zoom-software opnieuw wordt geïnstalleerd niet te verhelpen. Het bedrijf wil het naar eigen zeggen zo eenvoudig mogelijk voor gebruikers maken om aan een meeting deel te nemen, aldus de verklaring. Zoom stelt verder dat gebruikers zien dat ze zonder hun toestemming zijn uitgenodigd aan een gesprek of meeting en die vervolgens kunnen verlaten. Tevens zal het bedrijf een update uitbrengen die ervoor zorgt dat de video-instelling van de eerste Zoom-meeting wordt onthouden. Als gebruikers bij die eerste meeting hebben ingesteld dat de webcam moet zijn uitgeschakeld, zal dit ook voor toekomstige meetings gelden. Daarnaast hebben gebruikers de optie om de webcam via de instellingen uit te schakelen. bron: security.nl

Microsoft waarschuwt gebruikers voor een aanvalscampagne waarbij lnk-bestanden worden gebruikt om een backdoor op systemen te installeren. De aanval begint met een e-mail die naar een malafide url met documenten, certificaten of bestellingen lijkt te wijzen. Zodra de gebruiker op de link klikt krijgt die een zip-bestand aangeboden. Dit zip-bestand bevat het kwaadaardige lnk-bestand genaamd certidao.htm.lnk. Lnk-bestanden worden vaak als snelkoppeling op het bureaublad gebruikt, maar kunnen ook scripts aanroepen die vervolgens malware op het systeem installeren. In het geval van de aanval waarvoor Microsoft waarschuwt maken de aanvallers ook nog eens gebruik van een dubbele extensie. Windows laat standaard extensies niet zien, waardoor slachtoffers kunnen denken dat het om een htm-bestand gaat. Het openen van het lnk-bestand zorgt ervoor dat de Astaroth-backdoor wordt geïnstalleerd. Deze backdoor is ontwikkeld voor het stelen van gevoelige informatie van systemen, zoals wachtwoorden, toetsaanslagen en andere data, die vervolgens naar de aanvaller worden gestuurd. Met deze gestolen data kan de aanvaller zich lateraal door het netwerk van de aangevallen organisatie bewegen, financiële fraude plegen of gegevens van het slachtoffer aan andere criminelen verkopen, aldus Microsoft, dat de malware detecteert. bron: security.nl

In een RubyGem waarmee applicaties de sterkte van de wachtwoorden van hun gebruikers kunnen meten is een backdoor aangetroffen. Het gaat om de RubyGem StrongPassword. RubyGems zijn packages die een Ruby-applicatie of -library bevatten en eenvoudig door andere software zijn te gebruiken. Onlangs verscheen er op RubyGems.org, de officiële RubyGems-repository, een nieuwe versie van StrongPassword. Via RubyGems.org kunnen ontwikkelaars allerlei libraries downloaden en binnen hun applicatie gebruiken. In het geval van StrongPassword was er geen melding gemaakt van aanpassingen in de nieuwe versie. Webontwikkelaar Tute Costa analyseerde de nieuwe versie en ontdekte een backdoor waardoor een aanvaller op afstand code kan uitvoeren. Costa waarschuwde de ontwikkelaar. Die liet weten dat iemand de controle over StrongPassword op RubyGems.org had gekregen en zodoende een malafide nieuwe versie kon aanbieden. Costa informeerde ook de security-coördinator van Ruby on Rails, waarna de malafide versie werd verwijderd en de oorspronkelijke ontwikkelaar weer controle over StrongPassword kreeg. Inmiddels was de gebackdoorde versie 537 keer gedownload. Hoe de aanvaller controle over de RubyGem wist te krijgen is niet bekendgemaakt. Op Hacker News vragen verschillende mensen dan ook om een uitleg van RubyGems.org over de aanval. In april werd er in een andere Ruby-library op de website ook een backdoor aangetroffen. bron: security.nl

Draadloze toetsenborden en muizen van fabrikant Logitech zijn door een beveiligingslek op afstand af te luisteren, waardoor een aanvaller bijvoorbeeld wachtwoorden kan achterhalen en zelfs het systeem met malware kan infecteren. Het is namelijk niet alleen mogelijk om het draadloze verkeer tussen de computer en het toetsenbord te onderscheppen, een aanvaller kan ook malafide commando's naar de computer sturen. De problemen, die werden ontdekt door beveiligingsonderzoeker Marcus Mengs, spelen bij alle Logitech-apparaten die van de zogeheten Unifying-radiotechnologie gebruikmaken. Kwetsbare Unifying usb-ontvangers en draadloze toetsenborden worden sinds 2009 door Logitech geleverd, zo meldt het Duitse Heise. De technologie wordt zowel in goedkope als duurdere modellen gebruikt. De kwetsbare usb-ontvangers zijn via een klein logo van een oranje ster te herkennen. Heise laat weten dat Logitech sommige van de kwetsbaarheden zal verhelpen, maar niet allemaal. Dit zou namelijk voor comptabiliteitsproblemen tussen verschillende Unifying-producten kunnen zorgen. Het gaat onder andere om een kwetsbaarheid waardoor een aanvaller toetsenbordcommando's in het versleutelde radioverkeer van de Unifying-toetsenborden kan injecteren, zonder dat de encryptiesleutel bekend hoeft te zijn. De aanvaller moet in dit geval wel tijdelijk toegang tot het toetsenbord hebben en wat toetsen indrukken. Het opgenomen radioverkeer is vervolgens te gebruiken om op afstand de aanval uit te voeren. Een andere kwetsbaarheid, waardoor een aanvaller de versleutelde communicatie kan ontsleutelen als het pairingproces is opgenomen, zal ook niet worden verholpen. Logitech adviseert om apparaten alleen te pairen wanneer het zeker is dat er binnen een straal van tien meter "geen verdachte activiteit" plaatsvindt. Twee andere kwetsbaarheden waardoor een aanvaller met toegang tot de ontvanger de encryptiesleutel kan achterhalen, die voor het versleutelen van de communicatie wordt gebruikt, zal Logitech wel patchen. Gebruikers krijgen het advies om op firmware-updates te controleren. Wie geen risico wil lopen wordt aangeraden een keyboard en muis met draad te gebruiken. bron: security.nl

Sinds vorige maand blokkeert Firefox standaard third-party trackingcookies die worden gebruikt om internetgebruikers op internet te volgen en gerichte advertenties te tonen. Binnenkort zal de browser ook laten zien hoeveel trackers het dagelijks blokkeert. Naast het blokkeren van verschillende soorten trackers worden ook fingerprinters en cryptominers door de browser tegengehouden. Om gebruikers een idee te geven van hoeveel tracking er plaatsvindt genereert de browser straks een "Protection Report". In het rapport staat het totaal aantal geblokkeerde trackers in de afgelopen week, alsmede het totaal aantal geblokkeerde trackers sinds het begin. Trackers worden verdeeld over socialmediatrackers zoals like-knoppen, cross-site trackingcookies die gebruikers over meerdere websites volgen, advertentietrackers en fingerprinters die gebruikers op basis van hun systeem en instellingen tracken. Daarnaast laat het overzicht ook het aantal geblokkeerde cryptominers zien, die de rekenkracht van het systeem gebruiken om cryptovaluta te delven. Het overzicht is nu al te bekijken in de Nightly-versie van Firefox 69 door in de adresbalk "about:protections" in te voeren. Mozilla laat via Twitter weten dat het getoonde rapport vooralsnog een voorbeeld is. Firefox Nightly is een vroege testversie van de browser. De definitieve versie van Firefox 69 staat gepland voor 3 september. bron: security.nl

Aanvallers hebben bijna duizend op Magento gebaseerde webwinkels gecompromitteerd en voorzien van kwaadaardige JavaScript-code die betaalgegevens van klanten onderschept, zoals creditcardnummer, naam, adresgegevens en telefoonnummer. Dat meldt securitybedrijf Sanguine Security. Het toevoegen van kwaadaardige code aan webwinkels om gegevens van klanten te stelen wordt formjacking genoemd. In totaal werden 962 gecompromitteerde webwinkels gevonden waar de code op automatische wijze aan was toegevoegd. Het gaat voornamelijk om kleine webwinkels, laat onderzoeker Willem de Groot tegenover Bleeping Computer weten. Hoe de aanvallers toegang tot de webwinkels wisten te krijgen is nog niet bekend, maar sommige van de webshops misten updates. Vorige maand waarschuwde De Groot nog dat aanvallers honderden webwinkels hadden gekaapt via een Magento-lek waarvoor in maart een beveiligingsupdate was verschenen. De beheerders van de webshops hadden deze patch echter niet geïnstalleerd. bron: security.nl

Britse internetproviders hebben Mozilla genomineerd voor de "Internet Villain" award die jaarlijks wordt uitgereikt aan de persoon of organisatie die een negatieve impact heeft op nieuwe standaarden of bestaande online beschermingsmaatregelen, de vrijheid van meningsuiting en online copyright en de wereldwijde logistieke keten van telecombedrijven. De award is in het leven geroepen door de Internet Services Providers Association (ISPA). De organisatie riep het publiek op om via Twitter nominaties in te zenden. De hiervoor aangegeven hashtag is nauwelijks gebruikt. Toch stelt de ISPA dat het publiek Mozilla als internetboef heeft genomineerd. Dit zou vanwege de introductie van dns over https (DoH) zijn gedaan. Via DoH zou de filterverplichting die in het Verenigd Koninkrijk geldt kunnen worden omzeild, alsmede software voor ouderlijk toezicht. Op deze manier zou Mozilla veiligheidsstandaarden in het VK ondermijnen, aldus de ISPA op de eigen website. DoH zorgt voor een versleutelde verbinding voor dns-verzoeken, zodat informatie van het dns-verzoek niet kan lekken. Op dit moment zijn dns-verzoeken onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. Het gaat dan bijvoorbeeld om de domeinnaam die de gebruiker opvraagt of zijn ip-adres, of een groot deel hiervan. De nominatie van Mozilla zorgde op Twitter voor een golf van kritiek. Veel critici vinden dat Mozilla juist voor de "Internet Hero" award genomineerd had moeten worden. Vanwege de nominatie besloot de Britse provider Andrews & Arnold, die niet bij de ISPA is aangesloten, het lidmaatschapsgeld dat het had moeten betalen als het wel lid was geweest, naar Mozilla over te maken. De uitreiking van de awards vindt plaats op 11 juli. Naast Mozilla zijn ook de Amerikaanse president Donald Trump en Artikel 13 over auteursrecht genomineerd voor de Internet Villain award. bron: security.nl

Onderzoekers hebben een exemplaar van de Sodinokibi-ransomware ontdekt die een beveiligingslek in Windows gebruikt om de hoogst mogelijke rechten op het systeem te krijgen. De kwetsbaarheid werd op 9 oktober vorig jaar door Microsoft gepatcht en was daarvoor al bij zerodayaanvallen gebruikt. De Sodinokibi-ransomware kwam eerder in het nieuws omdat het een kwetsbaarheid in Oracle WebLogic-servers gebruikte om zich te verspreiden en dat klanten van een gecompromitteerde managed service provider (MSP) met deze ransomware werden besmet. De nu ontdekte versie maakt misbruik van een kwetsbaarheid in het Win32k-component van Windows. Alle ondersteunde versies van Windows waren kwetsbaar voordat de update in oktober vorig jaar verscheen. Via de kwetsbaarheid kan de ransomware systeemrechten verkrijgen. Volgens antivirusbedrijf Kaspersky komt het zelden voor dat ransomware een beveiligingslek gebruikt om de eigen rechten te verhogen. Eind vorig jaar werd echter een versie van de GandCrab-ransomware aangetroffen die deze tactiek ook toepaste. Door het verkrijgen van systeemrechten kan ransomware bestanden versleutelen zonder dat anti-virussoftware dit proces kan stoppen. bron: security.nl

De Belgische politie wil het eenvoudiger voor slachtoffers van cybercrime maken om aangifte te doen, aangezien dat nu nog te weinig wordt gedaan. Dat laat de Federale Politie in de Veiligheidsmonitor 2018 weten (pdf). Vorig jaar steeg het aantal geregistreerde slachtoffers van "informaticacriminaliteit" met 14,8 procent. Met name het aantal mensen dat aangifte van phishing deed steeg. Van 475 in 2017 naar 1277 in 2018. Ook het aantal aangiften van informaticabedrog, hacking en "valsheid in informatica" lieten een stijging zien. Valsheid in informatica is het wijzigen of wissen van gegevens in een computersysteem of het gebruik van die gegevens veranderen. Zo steeg het aantal slachtoffers van informaticabedrog van 17.500 naar 19.300. Het aantal hackingslachtoffers ging van zo'n 2600 naar 3600 en het aantal mensen dat aangifte van valsheid in informatica deed groeide met 400 en ging van 800 naar 1200. De Belgische politie stelt dat het werkelijke aantal slachtoffers van cybercrime waarschijnlijk hoger ligt. Slechts 14 procent van de respondenten die aangaven in het afgelopen jaar slachtoffer te zijn geweest van "inbraak in een computer of smartphone", deed hier ook aangifte van. Voor zowel "oplichting via internet" als "intimidatie en pesten via internet", deed 22 procent van de slachtoffers aangifte. "Met andere woorden: zo’n 200.000 via internet gepleegde feiten zouden niet aangegeven zijn. Een belangrijke uitdaging voor de toekomst zal dus zijn om dit cijfer omlaag te krijgen", aldus de Federale Politie. Om dit te realiseren wil de politie gaan inzetten op preventie en het eenvoudiger maken voor slachtoffers om aangifte te doen. bron: security.nl

De Alexa-spraakassistent van Amazon bewaart alle opgenomen audio van gebruikers voorgoed, totdat gebruikers die zelf verwijderen. Dat heeft het bedrijf in een reactie op vragen van de Amerikaanse senator Chris Coons laten weten. Coons had gevraagd hoelang Amazon transcripties van opnamen bewaart. "We bewaren de stem-opnamen van klanten en transcripties totdat de klant ervoor kiest om die te verwijderen", aldus het antwoord van Amazon. Audio-opnamen zijn te verwijderen via de Alexa-app en de Alexa Privacy Hub. Zodra een gebruiker zijn opnamen verwijdert, zegt Amazon ook de bijbehorende transcriptie te verwijderen. "We verwijderen die transcripties van alle primaire opslagsystemen van Alexa en we streven ernaar dat die transcripties niet op andere opslagsystemen van Alexa bewaard blijven", stelt Amazon verder (pdf). Bepaalde transcripties blijven echter wel bewaard, bijvoorbeeld als de spraakassistent wordt gebruikt om een bestelling te plaatsen of een product aan te schaffen. Ook voor bepaalde verzoeken, zoals het instellen van een alarm of herinnering of het versturen van een bericht naar iemand, blijft de onderliggende data bewaard. Coons stelt dat het antwoord van Amazon de mogelijkheid openhoudt dat transcripties van gebruikers niet overal verwijderd worden, ook al heeft een gebruiker zijn audio-opname verwijderd. Tevens is het volgens de senator nog steeds onduidelijk of de data met derde partijen wordt gedeeld, in welke mate en hoe deze derde partijen de data gebruiken. Coons maakt zich dan ook nog steeds zorgen over de bescherming van gebruikersgegevens door Amazon. bron: security.nl

In ip-beveiligingscamera's van Alecto, D-Link en Eminent zijn kwetsbaarheden gevonden waardoor aanvallers op afstand met de beelden kunnen meekijken of het apparaat kunnen uitschakelen. Het gaat om de Alecto DVC-215IP, de D-Link DCS-2670L en de Eminent EM6360. De Eminent-camera blijkt over twee verborgen gebruikersaccounts te beschikken waarmee een aanvaller kan inloggen. Deze accounts zijn niet bij de gebruiker bekend. Bij de Alecto-camera is het mogelijk om het beheerderswachtwoord te resetten naar de standaardinstelling, waardoor er vervolgens toegang kan worden verkregen. In het geval van de D-Link is het mogelijk om een aanval op de webinterface van de camera uit te voeren waardoor de camera zichzelf herstart. Op deze manier kan een aanvaller het beeld op zwart zetten. Om de aanvallen uit te kunnen voeren moeten de camera's wel toegankelijk vanaf het internet zijn en moet een aanvaller het ip-adres van het apparaat kennen. De Consumentenbond meldde de kwetsbaarheden bij de fabrikanten. Alecto heeft inmiddels een firmware-update uitgebracht. Voor de D-Link en Eminent zijn nog geen updates verschenen. bron: security.nl

Het Amerikaanse Cyber Command heeft via Twitter een waarschuwing gegeven voor aanvallen die misbruik maken van een oude kwetsbaarheid in Microsoft Outlook. Het beveiligingslek, dat securitybedrijf SensePost aan Microsoft rapporteerde, werd op 10 oktober 2017 door de softwaregigant gepatcht. Via de kwetsbaarheid kan een aanvaller een beveiligingsfeature van het e-mailprogramma omzeilen en vervolgens via de startpagina van Outlook willekeurige commando's uitvoeren. Uiteindelijk kan er zo malware op het systeem worden geïnstalleerd. Om misbruik van de kwetsbaarheid te maken kan een aanvaller een speciaal geprepareerd document met een exploit naar een doelwit sturen. Een andere aanvalsvector bestaat uit het gebruik van gecompromitteerde e-mailaccounts en features van Exchange om de exploit bij gebruikers te krijgen. Aanvallers zouden al sinds halverwege 2018 misbruik van de kwetsbaarheid maken, zo meldde securitybedrijf FireEye eind vorig jaar. Organisaties krijgen het advies om de beschikbare patch te installeren en tweefactorauthenticatie voor e-mailaccounts in te stellen. Het U.S. Cyber Command is een afdeling van het Pentagon die zich met cyberoperaties bezighoudt. Het werd in 2009 opgericht. Vorig jaar besloot de organisatie om malware naar online virusscandienst VirusTotal te uploaden. Door het uploaden van niet-geclassificeerde malware wil het Cyber Command samenwerken met de publieke sector. bron: security.nl

Windows 10 maakt bewust geen back-ups van het Register meer, zo heeft Microsoft laten weten. Het besturingssysteem maakte altijd standaard back-ups van Register en plaatste die in de RegBack-map. Met de lancering van de Windows 10 April 2018 Update (Windows 10 versie 1803) worden de back-ups niet meer automatisch gemaakt. De Taakplanner laat echter gewoon weten dat de back-ups zijn gelukt. Microsoft heeft nu een uitleg online geplaatst waarin het laat weten dat deze aanpassing bewust is doorgevoerd en de ruimte die Windows op de harde schijf inneemt moet beperken. In het geval een systeem met een corrupt register moet worden hersteld, adviseert Microsoft om van Systeemherstel gebruik te maken. Gebruikers die Registerback-ups willen blijven gebruiken kunnen dit via een aanpassing aan het Register instellen. bron: security.nl

Mozilla heeft een oplossing ontwikkeld voor de tls-foutmeldingen die antivirusprogramma's bij het bezoeken van websites veroorzaken. Volgens de browserontwikkelaar heeft 60 procent van de Firefoxgebruikers op Windows antivirussoftware geïnstalleerd. Een deel van deze programma's onderschept het https-verkeer van gebruikers, om het op zaken als malware en phishing te controleren. Doordat https-verkeer is versleuteld, is het standaard niet toegankelijk voor antivirussoftware. Virusscanners omzeilen dit door een eigen rootcertificaat op computers te installeren, waardoor de inhoud van het webverkeer toch geanalyseerd kan worden. De certificaten die antivirusprogramma's gebruiken worden standaard niet door Firefox vertrouwd. In het geval virusscanners de verbinding van de gebruiker onderscheppen laat de browser daarom een waarschuwing aan gebruikers zien dat het niet op een veilige manier verbinding met de website kan maken. Firefox beschikt over een optie waardoor rootcertificaten die door de gebruiker of een programma op de computer zijn geïnstalleerd, toch door de browser worden vertrouwd. Vanaf Firefox 68 zal de browser wanneer het ziet dat verkeer wordt onderschept deze optie automatisch inschakelen en de verbinding opnieuw proberen. Als dit het probleem verhelpt blijft de optie ingeschakeld, tenzij de gebruiker die handmatig uitschakelt. Volgens Mozilla moet dit de problemen waar Firefoxgebruikers tegen aanlopen sterk verminderen. In Firefox 68 ESR (Extended Support Release) zal de optie standaard zijn ingeschakeld. Firefox ESR is een versie die alleen maar beveiligingsupdates ontvangt en is vooral voor bedrijven en organisaties bedoeld. Door het accepteren van de interne rootcertificaten van de organisatie, moet het proces voor systeembeheerders om Firefox uit te rollen worden gestroomlijnd. Als laatste is er aan Firefox 68 een indicator toegevoegd waarmee de gebruiker kan zien of een website van een geïmporteerd rootcertificaat gebruikmaakt. Firefox 68 staat gepland voor 9 juli. bron: security.nl

Microsoft waarschuwt klanten die Linux in hun Azure-cloudomgeving gebruiken voor verschillende kwetsbaarheden in de Linux-kernel waardoor een aanvaller op afstand een denial of service kan veroorzaken. Het gaat in totaal om vier beveiligingslekken die betrekking hebben op de minimum segment size (MSS) en het TCP Selective Acknowledgement (SACK) mechanisme. De beveiligingslekken werden door streamingdienst Netflix ontdekt. Via SACK-pakketten kan de ontvanger bij een tcp-verbinding niet-opeenvolgende data bevestigen. Op deze manier kan de afzender alleen de data versturen die niet bij de ontvanger is aangekomen. Maximum segment size (MSS) is een parameter in de TCP-header van een pakket waarin de hoeveelheid data staat vermeld die een gereconstrueerd TCP-segment bevat. Onderzoekers hebben nu ontdekt hoe het mogelijk is om via een reeks SACK-pakketten met een lage MSS een integer overflow te veroorzaken, die tot een kernel panic leidt. Dit kan ervoor zorgen dat het systeem moet worden herstart. Deze kwetsbaarheid wordt "SACK Panic" genoemd. Via de andere kwetsbaarheden is het mogelijk om de bandbreedte te vergroten die nodig is om dezelfde hoeveelheid data af te leveren of het systeem ernstig te belasten. Microsoft adviseert Azure-klanten die een Linux-kernel in hun Azure-omgeving gebruiken om de betreffende Linux-aanbieder om advies te vragen. Daarnaast is ervoor gebruikers van Azure Sphere, dat voor IoT-producten wordt gebruikt, een update verschenen. Verder moeten klanten met Azure HDInsight-clusters die voor 24 juni zijn aangemaakt hun virtual machines herstarten. Onlangs waarschuwde Microsoft Azure-klanten ook voor een Linux-worm die zich via een lek in e-mailserversoftware Exim verspreidde. bron: security.nl

De Britse overheid heeft een waarschuwing voor de Ryuk-ransomware gegeven die bij gerichte aanvallen tegen bedrijven en organisaties wordt ingezet. Verschillende Amerikaanse overheidsinstanties en gemeenten werden eerder al door de ransomware getroffen en zagen zich gedwongen om te betalen. Zo betaalde een Amerikaans district 400.000 dollar losgeld om versleutelde bestanden ontsleuteld te krijgen. Het Britse National Cyber Security Centre (NCSC) doet onderzoek naar campagnes waarbij de ransomware is ingezet. Volgens het NCSC wordt de ransomware pas dagen of zelfs maanden na de initiële infectie bij het slachtoffer geïnstalleerd. De aanvallers gebruiken deze tijd om het netwerk te verkennen en belangrijke systemen te zoeken, zodat de aanval een maximale impact heeft. Dit biedt echter ook kansen om de organisatiebrede installatie van de ransomware te voorkomen als de initiële infectie wordt gedetecteerd en verholpen. Ryuk is in verband gebracht met andere malware, zoals Emotet en Trickbot. Deze malware kan Ryuk op systemen installeren. De installer van de ransomware probeert bepaalde antivirussoftware te stoppen en installeert vervolgens de juiste versie van Ryuk, afhankelijk van de systeemarchitectuur, aldus het NCSC. Om infectie door Ryuk en andere malware te voorkomen adviseert het NCSC om systemen up-to-date te houden, applicaties te whitelisten, antivirussoftware te gebruiken, netwerkscheiding toe te passen, URI-reputatiediensten te gebruiken en ervoor zorgen dat remote management interfaces die RDP gebruiken alleen vanuit een privaat netwerk toegankelijk zijn, waarbij er een VPN wordt gebruikt om het netwerk op afstand te benaderen (pdf). bron: security.nl

Bedrijfsdocumenten, systeemwachtwoorden, 750 gigabyte aan mailback-ups en andere gegevens van databedrijf Attunity waren voor iedereen op internet toegankelijk. Onderzoekers van securitybedrijf UpGuard ontdekten drie publiek toegankelijke Amazon S3-buckets van het bedrijf, dat begin dit jaar door het Zweedse data-analyticsbedrijf Qlik werd overgenomen. Attunity verzorgt data-replicatie, data-integratie en big data-management voor allerlei bedrijven. Naar eigen zeggen is de helft van de Fortune 100 klant van het bedrijf. Halverwege mei ontdekten onderzoekers drie S3-buckets van Attunity. Amazon Simple Storage Service (S3) is een cloudopslagdienst. Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. De hoeveelheid gegevens in de drie buckets van Attunity is onbekend, maar onderzoekers besloten een bestand van ongeveer één terabyte te downloaden. Het ging onder andere om mailback-ups van in totaal 750 gigabyte. Ook back-ups van OneDrive-accounts werden aangetroffen. In de back-ups werden wachtwoorden voor Twitter- en vpn-accounts aangetroffen, alsmede allerlei data van werknemers. Het ging onder andere om salarisgegevens, namen en geboortedata. In de buckets vonden de onderzoekers ook inloggegevens voor de SAP-systemen van Attunity. Verder werden er van sommige klanten data aangetroffen, waaronder Netflix. Na te zijn ingelicht door de onderzoekers werden de buckets beveiligd. bron: security.nl

Er is een nieuwe testversie van Microsoft Edge verschenen die over ingebouwde trackingbescherming beschikt. Volgens Microsoft geeft dit gebruikers meer controle over hun online data. De trackingbescherming van Edge moet voorkomen dat gebruikers worden gevolgd door derde partijen die op een website actief zijn. "Bij het bezoeken van een website kunnen trackers van andere sites via cookies en andere opslagmechanismen informatie in de browser opslaan. Deze informatie kan de bezochte sites en de content die je interessant vond bevatten, waarmee een digitaal profiel kan worden gebouwd dat organisaties kunnen gebruiken om je gepersonaliseerde content te tonen als je andere sites bezoekt", aldus Microsoft. De trackingbescherming in de testversie van Edge bevindt zich nog in de kinderschoenen en zal volgens Microsoft waarschijnlijk veranderen. Daarnaast moeten gebruikers de optie zelf aanzetten door in de adresbalk edge://flags#edge-tracking-prevention in te schakelen. Vervolgens zijn de instellingen van de trackingbescherming via het privacymenu in te stellen. De trackingbescherming kent drie niveaus: unrestricted, balanced en strict. Alle drie de niveaus blokkeren kwaadaardige trackers. De laatste twee niveaus blokkeren ook potentiële trackers van websites die gebruikers niet hebben bezocht. Het strengste niveau kan er ook voor zorgen dat sommige websites niet meer werken. Tevens kunnen gebruikers ervoor kiezen om voor vertrouwde sites trackers toe te staan. Voor het identificeren van trackers maakt de browser gebruik van een lijst, de Trust Protection Lists, die via updates zal worden bijgewerkt. bron: security.nl

De populaire online virusscandienst VirusTotal wordt onderdeel van Google Cloud, zo heeft oprichter Bernardo Quintero bekendgemaakt. Via VirusTotal kunnen gebruikers verdachte bestanden door de engines van zo'n 60 verschillende anti-virusprogramma's laten scannen. Vervolgens wordt er allerlei informatie over het bestand weergegeven. VirusTotal werd in 2012 door Google overgenomen. Een jaar geleden werd de virusscandienst bij securitybedrijf Chronicle ondergebracht. Chronicle is een zusterbedrijf van Google en biedt allerlei securitydiensten. Zo lanceerde Chronicle een zakelijke versie van VirusTotal. Chronicle wordt echter bij Google Cloud ondergebracht, zo werd gisteren bekend. Volgens Google Cloud zijn de producten van Chronicle een goede aanvulling en zal VirusTotal helpen bij het verzamelen van dreigingsinformatie. Gebruikers van VirusTotal hoeven zich geen zorgen te maken, aldus Quintero. "Net zoals onze overstap naar Google een aantal jaren geleden, verandert het niet de missie of focus van VirusTotal. We blijven onafhankelijk opereren, gericht op onze missie om je te beschermen op het web." bron: security.nl

De Duitse overheid werkt aan minimale eisen waar veilige browsers aan moeten voldoen, zodat ze door overheidspersoneel mogen worden gebruikt. Twee jaar geleden publiceerde het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken al een eerste versie van de eisen. Nu twee jaar later wordt er aan een update gewerkt, en een conceptversie is nu openbaar gemaakt (pdf). in de "Mindeststandard des BSI für sichere Web-Browser" staan verschillende eisen waaraan een veilige browser moet voldoen, zoals de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), het veilig opslaan van wachtwoorden en certificaatbeheer. Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt. Daarbij moet de leverancier in het geval van ernstige kwetsbaarheden binnen 21 dagen met een update komen. Tevens moet de browser het mogelijk maken om verzamelde gegevens zoals cookies te verwijderen. Een andere voorwaarde is dat de browser met minimale rechten kan draaien en over een sandbox beschikt. Naast eisen die aan de browser en leverancier worden gesteld, stelt de Duitse overheidsinstantie ook eisen aan het gebruik van de browser. Zo moet de installatie van add-ons centraal worden geregeld en moeten gebruikers niet in staat zijn om zelf add-ons te installeren. Tevens moet het synchroniseren van gegevens met de cloud en andere externe diensten zijn uitgeschakeld. 2-browserstrategie Het BSI stelt verder dat beheerders in het geval van een ernstig beveiligingslek in de browser binnen zeven dagen in actie moeten komen, ongeacht of er een beveiligingsupdate beschikbaar is. Voor deze gevallen wijst de overheidsinstantie naar de "2-browserstrategie" waarbij er op een andere browser wordt overgestapt zolang er geen beveiligingsupdate voor de andere browser beschikbaar is. Met het openbaar maken van de conceptversie hoopt het BSI feedback van partijen te ontvangen. bron: security.nl