Captain Kirk

De publieke dns-dienst van Google ondersteunt nu DNS over HTTPS (DoH), zo heeft de internetgigant bekendgemaakt. Het domain name system (dns) speelt een belangrijke rol bij het opvragen van domeinnamen door internetgebruikers. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Het is echter ook mogelijk om een andere dns-provider te kiezen. Door het instellen van de dns-server van een andere aanbieder vragen internetgebruikers niet aan hun eigen provider waar het ip-adres van een bepaalde domeinnaam te vinden is, maar aan de ingestelde aanbieder. Google is naar eigen zeggen de grootste publieke dns-aanbieder ter wereld. Het probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Google is niet de enige partij die inzet op DoH. Vorig jaar vroeg Mozilla al aan Firefoxgebruikers om DoH te testen. Er is echter ook kritiek op de techniek. Gebruikers zouden bij gebruik van DoH juist extra kunnen worden 'gefingerprint' - vanwege de extra informatie die bij een verbinding kan worden meegegeven. Een ander probleem is dat applicaties zoals de browser zelf met externe resolver-diensten gaan communiceren in plaats van een centrale, uniforme methode te gebruiken. Iets wat geen exclusief DoH-probleem is, maar wel bij DoH gebeurt. "Het is nog te vroeg voor definitieve conclusies, want het kan nog alle kanten op. Hoe het uitgekristalliseerde plaatje eruit zal zien is onzeker. Zeker is dat er behoorlijk ingrijpende veranderingen zullen plaatsvinden. Het is daarom van belang deze ontwikkelingen te blijven volgen en te duiden en waar mogelijk in de juiste richting bij te sturen", zo liet SIDN Labs eind vorig jaar weten. bron: security.nl

Google heeft Chromebooks van extra bescherming tegen MDS-aanvallen voorzien, waardoor het mogelijk is om gevoelige gegevens van systemen te stelen, zoals wachtwoorden, creditcardgegevens en cookies. Via de aanval is het ook mogelijk om vanuit een virtual machine informatie van het hostsysteem uit te lezen of voor een Android-app om geprivilegieerd procesgeheugen te lezen. MDS staat voor Microarchitectural Data Sampling (MDS). Het gaat om een "speculative execution side channel" aanval die misbruik maakt van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. Verschillende MDS-aanvallen met de namen ZombieLoad, RIDL en Fallout werden vorige maand door onder andere onderzoekers van de Vrije Universiteit gedemonstreerd. Naar aanleiding van de kwetsbaarheden besloot Google al om in Chrome OS, het besturingssysteem dat op Chromebooks draait, Hyper-Threading standaard uit te schakelen. Gebruikers van wie de workflow voornamelijk interactief is zouden hier geen last van hebben, zo stelt Google. Met de lancering van Chrome OS 75 zijn er nu extra beschermingsmaatregelen aan het besturingssysteem toegevoegd. Gebruikers die zich zorgen over eventueel prestatieverlies maken kunnen Hyper-Threading weer inschakelen. Google merkt op dat het in dit geval gaat om een afweging tussen security en prestaties. "Intel-processors waar Hyper-Threading staat uitgeschakeld kunnen met verminderde prestaties te maken krijgen, wat afhangt van de workload. Maar met Hyper-Threading ingeschakeld kunnen gebruikers code uitvoeren, bijvoorbeeld door het bezoeken van een website of het draaien van een Android-app, die misbruik van MDS maakt om gevoelige geheugeninhoud te lezen", aldus de waarschuwing van Google. bron: security.nl

De afgelopen dagen is er een toename van besmette advertenties waargenomen die internetgebruikers in onder andere Europa met ransomware proberen te infecteren. De advertenties maken gebruik van een bijna anderhalf jaar oud beveiligingslek in Adobe Flash Player. Gebruikers die de update voor deze kwetsbaarheid, die op 8 februari 2018 uitkwam, niet hebben geïnstalleerd kunnen met ransomware besmet raken. Alleen het te zien krijgen van de besmette advertenties kan voldoende zijn, er is geen verdere interactie vereist, zo meldt antimalwarebedrijf Malwarebytes. Volgens onderzoeker Jerome Segura zijn dergelijke aanvallen de afgelopen maanden niet veel waargenomen, maar is er recentelijk een piek zichtbaar. Om de advertenties te verspreiden compromitteren de aanvallers de advertentieservers van de uitgever. Hoe dit precies wordt gedaan en om wat voor advertentieservers het gaat laat Malwarebytes niet weten. Door de aanval worden er via de advertentieserver van de uitgever besmette advertenties op zijn eigen websites geplaatst. De besmette advertenties verschenen onder andere op de website Onlinevideoconverter, waar mensen video's van YouTube en andere platformen kunnen converteren. De website zou 200 miljoen bezoekers per maand hebben. Bij ongepatchte bezoekers werd de Seon-ransomware geïnstalleerd. Aanvallen werden onder andere in Europa en de Verenigde Staten waargenomen. Gebruikers die Adobe Flash Player sinds februari 2018 hebben geüpdatet zijn niet kwetsbaar voor de aanvallen. Update Antivirusbedrijf Trend Micro maakt ook melding van de besmette advertenties. Volgens de virusbestrijder weten de criminelen in te breken op de Revive/OpenX-advertentieservers van uitgevers. Naast het verspreiden van ransomware worden de advertenties ook gebruikt voor de verspreiding van cryptominers. Tevens blijkt dat de gebruikte exploitkit die de malware installeert twee kwetsbaarheden in Adobe Flash Player misbruikt. Naast het lek dat in februari 2018 werd gepatcht gaat het ook om een kwetsbaarheid waarvoor in december 2018 een patch verscheen. bron: security.nl

Mozilla is een nieuw project gestart om online tracking zichtbaar voor internetgebruikers te maken en waarom het belangrijk is om third-party cookies te blokkeren. Via dergelijke cookies kunnen trackers en adverteerders internetgebruikers namelijk over het hele web volgen. Deze trackers opereren buiten het zicht van gebruikers, die zo niet weten dat ze overal worden gevolgd. "Daarom hebben we Track THIS gemaakt", zo laat Mozilla weten. Via Track THIS kunnen gebruikers een profiel kiezen waardoor adverteerders denken dat ze iemand anders zijn. Vervolgens worden er 100 op het profiel gebaseerde tabs geopend. Gebruikers moeten deze tabs hierna sluiten. Wanneer er nu een nieuw browservenster wordt geopend zullen alle getoonde advertenties zijn gebaseerd op het eerder gebruikte profiel. "Je advertenties zullen waarschijnlijk een aantal dagen hierdoor zijn beïnvloed, maar advertentietrackers zijn zeer geraffineerd. Ze kunnen je normale browsegedrag al veel eerder weergeven", merkt Mozilla op. De browserontwikkelaar adviseert afsluitend om Firefox te gebruiken, dat nu standaard third-party cookies blokkeert. bron: security.nl

Er is een nieuw malware-exemplaar actief dat slecht beveiligde Internet of Things-apparaten uitschakelt door de opslag te overschrijven, iptables-regels en netwerkconfiguratie te verwijderen en daarna het apparaat te stoppen en herstarten. Dat meldt onderzoeker Larry Cashdollar van Akamai op Twitter. De malware wordt Silexbot genoemd. In een boodschap laat de ontwikkelaar weten dat hij met deze malware wil voorkomen dat scriptkiddies onveilige IoT-apparaten voor hun botnet kunnen gebruiken. Silexbot heeft het volgens Cashdollar voorzien op Unix-achtige systemen en probeert via standaard inloggegevens toegang te krijgen. Beveiligingsonderzoeker Ankit Anubhav stelt dat hij met de ontwikkelaar heeft gesproken. Die zou geen financiële motieven hebben. Silexbot heeft als enig doel om slecht beveiligde systemen via een "permanent denial of service" uit te schakelen. ZDnet meldt dat al 2.000 apparaten door de malware zijn getroffen. Silexbot is niet uniek. Twee jaar geleden werd er malware genaamd BrickerBot ontdekt die slecht beveiligde IoT-apparaten ook opzettelijk saboteerde. Ook deze malware maakte gebruik van veelvoorkomende gebruikersnamen en wachtwoorden om via Telnet in te loggen en vervolgens allerlei bestanden te wissen. bron: security.nl

Microsoft heeft opslagdienst OneDrive van een persoonlijke datakluis voorzien die alleen toegankelijk is via een "sterke authenticatiemethode" of een tweede factor. Het gaat dan bijvoorbeeld om een vingerafdruk, gezichtsscan, pincode of een code die via e-mail, authenticator of sms is verkregen. Volgens de softwaregigant is de Personal Vault bedoeld om gevoelige gegevens in op te slaan. Op Windows 10-computers synchroniseert OneDrive de bestanden in de Personal Vault naar een locatie op de harde schijf die via BitLocker is versleuteld. Verder stelt Microsoft dat bestanden in de Personal Vault versleuteld in de Microsoft-cloud zijn opgeslagen. Een andere feature van de Personal Vault is dat die zich na een bepaalde tijd van inactiviteit vergrendelt. Eenmaal vergrendeld moeten gebruikers zich opnieuw authenticeren om hun bestanden te benaderen. Via de mobiele app van OneDrive wordt het straks mogelijk om gescande documenten en gemaakte foto's en video's direct in de Personal Vault op te slaan. De Personal Vault wordt binnenkort in Australië, Nieuw-Zeeland en Canada uitgerold en zal tegen het einde van dit jaar voor iedereen beschikbaar zijn. bron: security.nl

Door het namaken van de website van een bekende cryptobeurs hebben criminelen 24 miljoen euro aan bitcoin van duizenden mensen weten te stelen, zo heeft Europol bekendgemaakt. Na een 14 maanden durend onderzoek naar de diefstal zijn zes personen opgepakt. Het gaat om twee mannen van 21 en 26 jaar zijn die in Rotterdam zijn aangehouden op verdenking van witwassen. In Amsterdam is een 19-jarige vrouw opgepakt, zij wordt ook verdacht van witwassen. De overige verdachten zijn aangehouden in het Verenigd Koninkrijk. Volgens Europol registreerden de verdachten een domeinnaam die erg leek op die van de niet nader genoemde cryptobeurs. Een werkwijze die ook wel typosquatting wordt genoemd. Op de nagemaakte website voerden slachtoffers hun inloggegevens in, waardoor er toegang tot hun bitcoinwallets kon worden gekregen. In totaal zou er 24 miljoen euro aan bitcoin zijn buitgemaakt. Europol denkt dat er minstens 4000 mensen in twaalf landen slachtoffer zijn geworden, maar het aantal gedupeerden blijft groeien, zo laat de opsporingsdienst weten. bron: security.nl

Mozilla gaat de Background Intelligent Transfer Service (BITS) van Windows gebruiken om Firefox-updates te downloaden. Op deze manier kan de update-agent ook Firefox-updates downloaden wanneer de browser is gesloten, zo laat Mozillas Kirk Steuber weten. "Dit moet het updaten voor iedereen eenvoudiger maken en de tijd verminderen om nieuwe updates te downloaden voor gebruikers die niet goed door het huidige updateproces worden ondersteund omdat ze Firefox niet vaak gebruiken of een trage internetverbinding hebben", zegt Mozillas Matt Howell. Het voordeel van BITS is dat het bestanden in de achtergrond kan downloaden. Wanneer de download als bijvoorbeeld Local Service is gestart, gaat de download ook door als de huidige gebruiker uitlogt en een andere gebruiker inlogt. De toekomstige update-agent van Firefox zal dan ook los van de browser draaien. Zodra Firefox wordt gestart, vraagt het de update-agent om eventueel beschikbare updates te downloaden. Op deze manier houdt Firefox de controle over het updatesysteem, terwijl het downloaden en installeren van de updates door de update-agent wordt gedaan. De nieuwe updatefunctie is nu in de Nightly-versie van Firefox te testen. bron: security.nl

De Duitse overheid gaat samen met de grootste Duitse ouderenbond digitale beveiligingstips aan senioren geven. Dat meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI deed onderzoek waaruit blijkt dat driekwart van de ouderen tussen de 60 en 69 jaar een smartphone gebruikt en 58 procent een laptop bezit. Driekwart van de groep zou regelmatig informatie over cybersecurity opzoeken. Aanleiding voor het BSI om zich ook op senioren te gaan richten. "Digitalisering biedt met name oudere mensen veel mogelijkheden om het alledaagse leven comfortabeler te maken en sociale interactie te faciliteren", zegt Arne Schönbohm, directeur van het BSI. Schönbohm noemt als voorbeeld smart home-oplossingen, chat-apps en sociale netwerken. Uit ervaring zou echter blijken dat verschillende leeftijdsgroepen anders met nieuwe technologieën en bijbehorende risico's omgaan. "Het is belangrijk om advies op verschillende doelgroepen af te stemmen en op zo'n manier dat ze het kunnen toepassen", gaat de BSI-directeur verder. De overheidsorganisatie gaat nu materiaal ontwikkelen om ouderen te informeren en bewust te maken. Tevens zullen er periodiek bepaalde onderwerpen worden uitgelicht. De samenwerking tussen het BSI en de Duitse ouderenbond BAGSO werd vandaag tijdens een speciaal evenement in Bonn aangekondigd. De overheidsinstantie was aanwezig om ouderen te laten zien hoe ze hun smartphone moeten beveiligen. bron: security.nl

TripAdvisor heeft de wachtwoorden van een onbekend aantal gebruikers gereset die bij andere websites waren gestolen en bij de reis- en restaurantsite werden hergebruikt. Gebruikers ontvingen een e-mail van TripAdvisor dat hun wachtwoord is gereset omdat die op lijsten met gelekte inloggegevens voorkomt. Om deze gebruikers te beschermen is het wachtwoord gereset. TripAdvisor adviseert getroffen gebruikers om een "unieke combinatie van woorden, getallen, symbolen, en zowel grote als kleine letters" te gebruiken. Tevens moet het wachtwoord uit minimaal acht karakters bestaan en geen veelgebruikte woorden bevatten. De e-mail van TripAdvisor zorgde voor vragen bij gebruikers. Zo vroegen verschillende gebruikers zich af of het bericht daadwerkelijk van de website afkomstig was en of er geen sprake van een datalek is. Iets wat volgens TripAdvisor niet het geval is. Daarnaast vragen gebruikers zich af hoe het kan dat TripAdvisor de wachtwoorden van gebruikers kan vergelijken met die van gelekte inloggegevens. Details over hoe het dit heeft gedaan worden niet door TripAdvisor gegeven, maar zoals ook sommige Twitteraars opmerken heeft de website waarschijnlijk gelekte plaintext-wachtwoorden van andere sites via het eigen hashingalgoritme vergeleken en zo overeenkomstige wachtwoorden van gebruikers kunnen identificeren. bron: security.nl

Bestandsuitwisselingsdienst WeTransfer heeft door een fout e-mails met downloadlinks naar de bestanden van gebruikers naar de verkeerde personen gestuurd. Gebruikers die bestanden via WeTransfer willen delen kunnen het e-mailadres van de beoogde ontvanger en zichzelf opgeven. Zodra het bestand is geüpload ontvangen de opgegeven e-mailadressen een bericht met een link om het bestand te downloaden. Op 16 en 17 juni zijn er e-mails met deze downloadlinks naar de verkeerde personen gemaild, zo laat WeTransfer in een e-mail aan getroffen gebruikers weten. "Onze records laten zien dat die bestanden zijn benaderd, maar bijna zeker door de bedoelde ontvanger. Desondanks hebben we uit voorzorg de link geblokkeerd om verdere downloads te voorkomen", aldus WeTransfer in het bericht. Naar aanleiding van het incident besloot de dienst ook om gebruikers van hun account uit te loggen of te vragen om hun wachtwoord te wijzigen. Tevens meldt WeTransfer dat het alle relevante autoriteiten heeft geïnformeerd. Het onderzoek naar de oorzaak en omvang van het het datalek loopt nog. WeTransfer zegt op een later moment meer details te zullen geven. bron: security.nl

Weer zijn klanten van een managed service provider (MSP) met ransomware geïnfecteerd nadat criminelen toegang tot de MSP kregen. Managed service providers verlenen allerlei soorten diensten aan hun klanten, zoals systeembeheer. Op Reddit werd er gisteren melding gemaakt van een aanval waarbij er via een niet nader genoemde MSP ransomware werd verspreid. Volgens securitybedrijf Huntress Labs wisten de aanvallers via RDP toegang te krijgen. Vervolgens maakten ze gebruik van de Webroot managementconsole om de ransomware op klantsystemen te downloaden en aanwezige antivirussoftware uit te schakelen. Tevens werden aanwezige back-ups verwijderd. Via de managementconsole kunnen systeembeheerders op afstand bestanden downloaden en uitvoeren. Webroot laat in een reactie op Reddit weten dat inderdaad een aantal klanten die van de managementconsole gebruikmaken zijn getroffen door aanvallers. Deze aanvallers wisten via een combinatie van het remote desktopprotocol (RDP) en een "slechte cyberhygiëne" wat betreft authenticatie binnen te dringen. Om ervoor te zorgen dat klanten security best practices volgen heeft Webroot alle klanten van hun managementconsoles uitgelogd en het gebruik van tweefactorauthenticatie verplicht gesteld. Huntress Labs laat in een update over het incident weten dat de aanvallers ook gebruik van Kaseya hebben gemaakt. Dit is een tool om systemen op afstand mee te beheren. Bij een soortgelijke aanval in februari maakten aanvallers ook al gebruik van Kaseya. Destijds werden klanten van een MSP met de GandCrab-ransomware besmet. Dit maal gaat het om de Sodinokibi-ransomware. bron: security.nl

OpenSSH krijgt bescherming tegen sidechannelaanvallen zoals Spectre, Meltdown, Rowhammer en Rambleed, zo blijkt uit een nieuwe feature die is ontwikkeld. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. Bij sidechannelaanvallen zoals Spectre, Meltdown en Rowhammer kunnen aanvallers toegang tot informatie in het geheugen krijgen waar ze eigenlijk geen toegang toe horen te hebben. Hierdoor is het bijvoorbeeld mogelijk om encryptiesleutels te achterhalen. Er is nu een feature voor OpenSSH ontwikkeld die privésleutels in het geheugen tegen dergelijke aanvallen beschermt. Privésleutels worden met een symmetrische sleutel versleuteld die is afgeleid van een relatief grote "prekey" die uit 16KB aan willekeurige data bestaat. Een aanvaller moet in dit geval de volledige prekey zien te achterhalen voordat de afgeschermde privésleutel kan worden ontsleuteld. Volgens de ontwikkelaar is dit gezien de "bit error rates" van de huidige generatie aanvallen onwaarschijnlijk. "Hopelijk kunnen we deze feature over een paar jaar verwijderen als computerarchitectuur minder onveilig is geworden", aldus OpenSSH-ontwikkelaar Damien Miller op de OpenBSD-mailinglist. bron: security.nl

Mozilla heeft ook het tweede zerodaylek in Firefox dat recentelijk werd gebruikt om gebruikers aan te vallen gepatcht. Het gaat om een kwetsbaarheid waardoor het mogelijk is om uit de sandbox van de browser te breken. Dinsdag verhielp de browserontwikkelaar het eerste zerodaylek in Firefox. Via deze kwetsbaarheid kon een aanvaller willekeurige code op het systeem uitvoeren. De twee zerodaylekken werden in combinatie gebruikt om Firefoxgebruikers met malware te infecteren. De aanvaller moest namelijk eerst uit de sandbox van de browser zien te breken voordat het onderliggende systeem kon worden aangevallen. Iets waarvoor minimaal twee verschillende kwetsbaarheden nodig zijn. Alleen het bezoeken van een kwaadaardige website was voldoende om te worden gecompromitteerd. Om gebruikers naar dergelijke websites te lokken stuurde de aanvaller e-mails met een link. Eén van de doelwitten was cryptobeurs Coinbase, dat openheid van zaken gaf en informatie over de aanval en kwetsbaarheden met zowel Mozilla als het publiek deelde. Iets waarop zeer positief gereageerd werd, aldus Coinbase chief information security officer Philip Martin. Veel organisaties houden informatie over daadwerkelijke aanvallen voor zichzelf of geven nauwelijks informatie. Coinbase zal op een later moment met aanvullende details over de aanval komen. Beveiligingsonderzoeker Patrick Wardle werd ook door een slachtoffer van de aanvaller benaderd en liet weten dat de Firefox-zerodaylekken werden gebruikt om een backdoor op het systeem te installeren. Op dit moment is alleen bekend dat Mac-gebruikers het doelwit waren. Firefoxgebruikers krijgen het advies om te updaten naar Firefox 67.0.4 of Firefox ESR 60.7.2. Dit kan via de automatische updatefunctie of Mozilla.org. Aangezien de nu verholpen kwetsbaarheid het op zichzelf niet mogelijk maakt om een systeem te compromitteren is de impact lager ingeschaald dan het zerodaylek dat Mozilla afgelopen dinsdag patchte. bron: security.nl

Wifi-extenders van netwerkfabrikant TP-Link zijn door een beveiligingslek op afstand over te nemen. Een aanvaller hoeft daarbij niet over inloggegevens van het apparaat te beschikken en kan door de kwetsbaarheid code met rootrechten uitvoeren. Een wifi-extender wordt gebruikt voor het versterken van het signaal van wifi-routers. Onderzoeker Grzegorz Wypych van IBM X-Force ontdekte dat een aanvaller door het versturen van een geprepareerd http-verzoek shellcommando's kan uitvoeren. Doordat alle processen op de wifi-extender al met rootrechten draaien, wordt de code van de aanvaller ook als root uitgevoerd. In totaal bleken vier wifi-extenders kwetsbaar te zijn. TP-Link heeft firmware-updates voor deze modellen uitgebracht. Het gaat om de RE365, RE500, RE650 en RE350. bron: security.nl

Er komt een Europees keurmerk voor veilige clouddiensten dat aangeeft dat aangesloten aanbieders aan de Europese digitale veiligheidseisen voldoen. Dit moet gebruikers zekerheid over de veiligheid van de clouddienst en hun data geven, zo laat het ministerie van Economische Zaken weten. Het voorstel voor één Europees certificeringsysteem voor veilige clouddiensten is afkomstig van de publiek-private CSPCERT-werkgroep. De Nederlandse publiek-private samenwerking Partnering Trust speelde samen met Duitsland en Oostenrijk een belangrijke rol bij de invulling van het keurmerk. "Omdat aangesloten aanbieders aan dezelfde digitale veiligheidseisen voldoen, wordt het makkelijker om binnen de EU verschillende aanbieders te vergelijken", aldus het ministerie. Het Europese Agentschap voor netwerk- en informatiebeveiliging (ENISA) zal het voorstel van de werkgroep nu verder uitwerken in een Europees certificeringsschema onder de Cyber Security Act. Deze Europese verordening voor cybersecurity certificering van ict-producten, diensten en processen wordt eind deze maand van kracht. "Clouddiensten worden steeds belangrijker voor de Europese digitale economie. Nederland heeft als internationaal georiënteerde economie en knooppunt van data in het bijzonder belang bij een veilig en toegankelijk digitaal domein", zegt Focco Vijselaar, directeur-generaal Bedrijfsleven & Innovatie van het Economische Zaken. bron: security.nl

Er is een gratis decryptietool voor de nieuwste versie van de GandCrab-ransomware verschenen waarmee slachtoffers kosteloos hun bestanden kunnen terugkrijgen. Eerdere decryptietools hebben meer dan 30.000 slachtoffers geholpen bij het kosteloos ontsleutelen van hun bestanden. Dat heeft antivirusbedrijf Bitdefender bekendgemaakt. De ontwikkelaars van GandCrab kondigden begin deze maand hun afscheid aan. Ze hadden naar eigen zeggen voldoende geld met de ransomware verdiend. GandCrab werd als een 'ransomware as a service' aangeboden. Via dergelijke diensten kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Volgens Bitdefender heeft GandCrab naar schatting meer dan 1,5 miljoen slachtoffers gemaakt. Voor verschillende versies van de ransomware werden decryptietools ontwikkeld waarmee slachtoffers hun versleutelde bestanden kunnen ontsleutelen. Bogdan Botezatu van Bitdefender stelt dat deze decryptietools de positie van de ransomware-operators verzwakte, omdat nieuwe slachtoffers liever besloten te wachten op een nieuwe decryptietool dan het losgeld te betalen. Uiteindelijk hebben 30.000 mensen van deze decryptietools gebruik gemaakt. In februari verscheen er een decryptietool die met GandCrab versie 5.0.4 tot en met versie 5.1 werkte. De ransomware-ontwikkelaars kwamen vervolgens met versie 5.2 die niet met deze tool kon worden ontsleuteld. Bitdefender heeft nu een update voor de decryptietool uitgebracht zodat ook slachtoffers van GandCrab versie 5.2 worden geholpen. De decryptietool is te downloaden via No More Ransomware, een project dat mede door de Nederlandse politie werd gestart. bron: security.nl

De Franse overheid heeft een decryptietool voor de PyLocky-ransomware ontwikkeld waarmee slachtoffers kosteloos hun bestanden kunnen ontsleutelen. PyLocky verspreidt zich via e-mailberichten. Eenmaal actief versleutelt het allerlei bestanden en vraagt een bedrag voor het ontsleutelen ervan. Volgens het Franse ministerie van Binnenlandse Zaken is de ransomware zeer actief in Europa en heeft die veel Franse slachtoffers gemaakt. Het gaat zowel om bedrijven als thuisgebruikers. De decryptietool kan bestanden die door PyLocky versie 1 en 2 zijn versleuteld ontsleutelen. Om de tool te kunnen gebruiken moeten gebruikers Java hebben geïnstalleerd. De Franse overheid geeft geen support op de tool en ook geen garanties. Gebruik is geheel op eigen risico. bron: security.nl

Microsoft heeft een waarschuwing afgegeven voor een Linux-worm die zich op dit moment verspreidt via een lek in de e-mailserversoftware Exim. Beheerders krijgen het advies om de beschikbare beveiligingsupdate te installeren. Volgens Microsoft beschikt het Azure-cloudplatform over maatregelen om de verspreiding van de worm te beperken, maar lopen ongepatchte klanten nog steeds het risico geïnfecteerd te raken. Via de kwetsbaarheid in Exim kan een aanvaller op afstand kwetsbare e-mailservers overnemen. Gebruikers van Azure virtual machines (vm) zijn zelf verantwoordelijk voor het updaten van de besturingssystemen die ze op deze machines draaien. Klanten kunnen bijvoorbeeld op een Azure-vm een mailserver installeren. "Aangezien een worm actief misbruik maakt van dit beveiligingslek, roept Microsoft klanten op om Azure security best practices te volgen en de patch te installeren of anders de netwerktoegang tot virtual machines met kwetsbare Exim-versies te beperken. Microsoft stelt dat er een gedeeltelijke oplossing voor kwetsbare systemen is. Via Network Security Groups (NSGs) is het mogelijk om netwerkverkeer te filteren of blokkeren. Op deze manier is de worm te blokkeren. Kwetsbare systemen lopen echter nog steeds risico als het ip-adres van de aanvaller door Network Security Groups wordt toegestaan. Aanvallers gebruiken de kwetsbaarheid in Exim op dit moment om cryptominers op systemen te installeren. Volgens een scan van zoekmachine Shodan zouden er wereldwijd 3,6 miljoen kwetsbare mailservers zijn, waaronder 137.000 servers in Nederland. bron: security.nl

Een aanvaller heeft in februari toegang gekregen tot een systeem van Symantecs testlab in Australië. Dat heeft het securitybedrijf tegenover The Guardian bevestigd. Bij de inbraak maakte de aanvaller bestanden en een lijst met vermeende klanten buit. Volgens Symantec ging het alleen om testdata. Aangezien er met dummybestanden werd gewerkt en het systeem geen gevoelige persoonlijke informatie bevatte besloot het bedrijf de inbraak op het "geïsoleerde lab" niet te melden. De systemen van het lab waren niet verbonden met het bedrijfsnetwerk van Symantec. Hoe de aanvaller toegang wist te krijgen is niet bekend. In mei liet antivirusbedrijf Trend Micro weten dat een aanvaller toegang tot een netwerk van de virusbestrijder had gekregen en daar debugging gerelateerde informatie had gestolen. bron: security.nl

Fabrikant Yubico heeft verschillende YubiKey FIPS-sleutels laten terugroepen wegens een beveiligingslek. Via de hardwarematige beveiligingssleutels kunnen gebruikers op hun accounts inloggen. Bij de kwetsbare sleutels kan de buffer met willekeurige waarden voorspelbare inhoud bevatten, wat de cryptografische operaties van de sleutel kan beïnvloeden. Door de kwetsbaarheid kan een aanvaller die verkeer van de sleutel weet te onderscheppen tussen de FIDO-client en de dienst waarop wordt ingelogd, zich tegenover deze dienst als de beveiligingssleutel voordoen. In het geval de YubiKey wordt gebruikt voor het genereren van eenmalige wachtwoorden zou een aanvaller via malware op het systeem de wachtwoordvalidatiesequentie kunnen onderscheppen en opnieuw voor de YubiKey FIPS-sleutel afspelen. Op deze manier kunnen eenmalige wachtwoorden worden verkregen. Yubico heeft de kwetsbaarheid zelf in maart gevonden. Het probleem speelt bij de YubiKey FIPS, YubiKey Nano FIPS, YubiKey C FIPS en YubiKey C Nano FIPS met firmware 4.4.2 en 4.4.4. Het probleem is in firmware 4.4.5 verholpen. Vanwege de kwetsbaarheid heeft Yubico kwetsbare sleutels teruggeroepen. Klanten die hun sleutel nog niet hebben teruggestuurd kunnen dat via deze pagina doen. bron: security.nl

Mailservers worden actief aangevallen via een beveiligingslek in Exim waarvoor begin deze maand een update verscheen. Dat melden verschillende beveiligingsonderzoekers op Twitter. In Nederland zouden meer dan 137.000 kwetsbare mailservers draaien, zo blijkt uit cijfers van zoekmachine Shodan. Exim is een message/mail transfer agent (MTA) die wordt gebruikt voor het afleveren van e-mails. De software draait op 57 procent van alle mailservers wereldwijd. Via de kwetsbaarheid kan een aanvaller op afstand commando's met rootrechten uitvoeren. Aanvallers maken nu actief gebruik van het beveiligingslek om een script te uploaden dat een RSA-authenticatiesleutel aan de SSH-server toevoegt. Op deze manier kunnen de aanvallers via SSH als root inloggen en zo de server volledig overnemen. Vervolgens wordt er een cryptominer geïnstalleerd, zo laat onderzoeker Amit Serper van securitybedrijf Cybereason in een blogpost weten. Tevens installeren de aanvallers een poortscanner die naar andere kwetsbare mailservers zoekt. Volgens Serper lopen meer dan 3,5 miljoen mailservers risico om te worden aangevallen. Beheerders krijgen het advies om de beschikbare beveiligingsupdate zo snel als mogelijk te installeren. Daarnaast kan er worden gekeken naar de aanwezigheid van de RSA-sleutel van de aanvallers. bron: security.nl

Het lijkt mij wat omslachtig om iedere keer de batterij te wisselen door met je nagel de achterkant te openen. In dat geval zou ik toch gaan voor een powerbankje. Ik heb er zelf een met eigen zonnecellen. Dus die laad zichzelf weer op. Mocht je van telefoon wisselen en er een zoeken met een lange batterijduur: ik ben zelf erg tevreden over mijn eigen telefoon, de CAT S41. Deze heb ik vorig jaar aangeschaft omdat ik met mijn hobby (metaal detectie) veel zoek ik de modder en dus een stevig toestel wilde hebben. Hij is waterdicht, stof en val-vrij en doet dik vijf dagen met een volle batterij: https://www.coolblue.nl/product/793347/cat-s41.html

Het uitfaseren van wachtwoorden verhoogt de kosten voor aanvallers en moet daarom worden gedaan, zo stelt Ann Johnson, vicepresident van de Microsoft Enterprise Cybersecurity Group. Volgens Johnson is phishing nog altijd de voornaamste manier waardoor aanvallers toegang tot accounts weten te krijgen. "Daarom proberen we wachtwoorden uit het ecosysteem te krijgen: we willen dat iedereen wachtwoordloos wordt. Als we wachtwoorden uitfaseren gaan de kosten van een aanval omhoog. En dat is wat je wilt, we willen de kosten van aanvallen verhogen", aldus Johnson in een interview met The Irish Times. Eerder deze week liet Microsoft via de eigen website weten dat het van Windows 10 een "wachtwoordloos platform" wil maken. Met de lancering van de Windows 10 May 2019 Update kunnen gebruikers nu op allerlei manieren accounts zonder wachtwoord aanmaken. In plaats van wachtwoorden ziet Johnson een oplossing in biometrie, zowel voor eindgebruikers als personeel van bedrijven. "Aan het eind van de dag zijn wachtwoorden veel minder betrouwbaar dan biometrie", zo laat ze weten. Toch zijn niet alle experts over biometrie te spreken. "Biometrie is eenvoudig te stelen. Je laat je vingerafdrukken op alles wat je aanraakt achter, je irisscan overal waar je kijkt", aldus beveiligingsexpert Bruce Schneier in 1998. De expert merkt verder op dat het eenvoudig is om wachtwoorden te wijzigen, maar dat dit bij vingerafdrukken niet mogelijk is. "Biometrie is eenvoudig, gemakkelijk en wanneer goed gebruikt erg veilig. Het is alleen geen wondermiddel." Internet of Things Tevens laat Johnson in het interview met The Irish Times weten dat ze geen smart speakers in haar woning heeft. "En dat ben ik ook niet van plan. We hebben allemaal een grens van wat acceptabel is. Ik heb ook nauwelijks Internet of Things-apparaten in huis." bron: security.nl

Tijdens een Europese operatie tegen namaakgoederen die door Europol werd gecoördineerd zijn ruim 3.000 malafide webwinkels uit de lucht gehaald en meer dan 16.000 socialmedia-accounts geblokkeerd. De 3300 websites boden namaakgoederen aan, zoals kleding en accessoires, sportspullen, medicijnen, auto-onderdelen, mobiele telefoons, elektronische apparaten en onderdelen, parfum en cosmetica. Tevens werden 30 verdachten aangehouden en 4,7 miljoen namaakgoederen in beslag genomen. Volgens Europol blijven criminele bendes gebruikmaken van de mogelijkheden die websites, social media en instant messaging bieden om namaakgoederen aan de man te brengen. "De exponentiële groei van internetplatforms heeft ook invloed op de ontwikkeling van online marktplaatsen, bekend als e-stores, die als alternatieve retailkanalen worden gezien", aldus de opsporingsdienst. Europol zegt dat het daarom meer gaat doen om de online verkoop van namaakgoederen te onderzoeken. "Om de dreiging tegen te gaan is Europol de omvang van het probleem aan het onderzoeken, bewijs aan het verzamelen en social media en verkoopplatforms aan het monitoren." bron: security.nl