Captain Kirk

Google maakt steeds vaker gebruik van 'privacy washing' om mensen te misleiden, zo stelt Proton, het bedrijf achter ProtonVPN en ProtonMail. Aanleiding zijn verschillende initiatieven die Google lanceerde en de privacy van gebruikers zouden beschermen, terwijl dat volgens Proton niet het geval is. Het laatste project waar de vpn- en mailaanbieder zich aan stoort is IP Protection. Volgens Google moet IP Protection de privacy van gebruikers beschermen door te voorkomen dat hun ip-adres voor tracking wordt gebruikt. In plaats daarvan wordt er gebruikgemaakt van een 'privacy proxy' waardoor de bestemming het echte ip-adres van de gebruiker niet kan zien. Proton stelt dat de feature het alleen maar eenvoudiger voor Google maakt om Chrome-gebruikers te bespioneren. "Dit is geen verrassing, aangezien dit het businessmodel van Google is. Wat wel zorgen baart, is dat Google dit adverteert als een privacyfeature", zegt Ben Wolford van Proton. "Steeds vaker maakt Google gebruik van privacy washing, een vorm van misleidende reclame bedoeld om mensen te laten denken dat hun producten meer privé zijn." Zo gebruikt Google Chrome bij de eerste versies van IP Protection de eigen proxyservers van Google om een tijdelijk ip-adres te genereren voor verschillende websites die van Google zelf zijn, aldus Wolford. Gebruikers moeten IP Protection wel zelf inschakelen. "Google wil je laten geloven dat de dienst privé is en tegelijkertijd je intieme data verzamelen en voorkomen dat concurrenten hetzelfde doen. IP Protection schermt je data af voor de rest van het internet, terwijl het aan de andere kant van de muur Googles surveillanceapparaat op jouw apparatuur bezegelt." bron: https://www.security.nl

Exchange Server 2019 krijgt dit jaar, net als vorig jaar, geen tweede grote update. Dat heeft Microsoft laten weten. Vorig jaar maakte het techbedrijf bekend dat het updatebeleid voor Exchange Server op de schop ging. In plaats van elk kwartaal werd besloten om voortaan twee Cumulative Updates per jaar voor Exchange Server uit te brengen. Eén in de eerste helft van het jaar, de ander in de tweede helft. Cumulative Updates bevatten bugfixes, nieuwe features en alle eerder uitgekomen beveiligingsupdates voor Exchange. Om beveiligingsupdates voor Exchange Server te kunnen ontvangen moet de server in kwestie een bepaalde CU-versie geïnstalleerd hebben. De tweede grote update voor Exchange Server van dit jaar was nog altijd niet verschenen en zal ook niet meer komen. November heeft nog minder dan twee weken en Microsoft brengt geen Cumulative Updates uit in december. Daardoor zal er geen H2 2023 CU verschijnen. Vorig jaar deed zich precies een zelfde situatie voor. Verder laat Microsoft weten dat Exchange Server 2019 nog twee Cumulative Updates zal ontvangen. Namelijk CU14 (H1 2024) en CU15 (H2 2024). CU14 zal waarschijnlijk volgend jaar januari verschijnen en biedt support voor onder andere TLS 1.3 en zal standaard Extended Protection inschakelen, dat servers tegen man-in-the-middle-aanvallen moet beschermen. bron: https://www.security.nl

Mozilla heeft een onbekend bedrag in e-mailbeveiliger Sendmarc geïnvesteerd. Het bedrijf helpt ondernemingen en organisaties bij het implementeren van DMARC voor hun e-mail. Dit is een protocol dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM). Via DMARC kan een organisatie aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen. Op deze manier kunnen spam en phishingmails worden gestopt. Sendmarc is wereldwijd actief en wordt onder andere door Fortune 500-bedrijven gebruikt. Mozilla heeft nu een belang in het bedrijf genomen, maar wil de omvang van de investering nog niet bekendmaken. "De investering helpt Sendmarc om essentiële DMARC-bescherming aan duizenden klanten wereldwijd te bieden", aldus de Firefox-ontwikkelaar. Mozilla doet de investering via het eigen durfkapitaalfonds Mozilla Ventures, dat investeert in tech start-ups die voor een beter internet zorgen, zo laat Mozilla verder weten. "DMARC, SPF en DKIM zijn een essentiële combinatie om veilig te e-mailen", zo stelt het Forum Standaardisatie. De beveiligingsstandaard is verplicht voor alle Nederlandse overheidsdomeinnamen, maar in de praktijk blijkt dat de overheid achterloopt bij het implementeren van de standaarden. bron: https://www.security.nl

Microsoft is een nieuw bugbountyprogramma gestart waarbij het onderzoekers bedragen tot 20.000 dollar betaalt voor het melden van kritieke kwetsbaarheden in de eigen Defender-beveiligingssoftware en -diensten. Vooralsnog is het programma beperkt tot Microsoft Defender for Endpoint API's, maar zal in de toekomst verder worden uitgebreid met andere Defender-producten. Onder Defender biedt Microsoft onder andere een eigen virusscanner gericht op zowel eindgebruikers als bedrijven. Beveiligingssoftware, zoals antivirus, zit vaak diep genesteld in systemen of heeft vergaande rechten en toegang. Kwetsbaarheden kunnen dan ook grote gevolgen hebben. Voor een beveiligingslek waardoor een aanvaller via Defender willekeurige code op systemen kan uitvoeren biedt Microsoft 20.000 dollar. Kwetsbaarheden die een aanvaller de mogelijkheid geven om zijn rechten te verhogen of informatie te stelen worden met maximaal 8.000 dollar beloond. bron: https://www.security.nl

Firefox is van een nieuwe optie voorzien waarmee gebruikers een signaal naar websites kunnen sturen om geen gebruikersdata te delen of verkopen aan derde partijen. Daarnaast blokkeert de browser nu bij Duitse gebruikers cookiebanners en stript trackingparameters in URL's. Verder is voor alle gebruikers de bescherming tegen fingerprinting verbeterd. Met de lancering van Firefox 120 ondersteunt de browser nu een voorgestelde standaard genaamd Global Privacy Control (GPC). Via deze optie kunnen gebruikers aan websites aangeven dat ze niet willen dat hun data wordt gedeeld en verkocht aan derden. In sommige jurisdicties, zoals in de Amerikaanse staat Californië, wordt Global Privacy Control als een juridisch handhaafbare methode gezien waarmee consumenten zich voor gerichte advertenties kunnen afmelden of websites kunnen verzoeken om de verkoop of het delen van hun persoonlijke data te beperken. "Zonder GPC worden gebruikers gedwongen om herhaaldelijk hun bezwaar tegen tracking duidelijk te maken, wat kan leiden tot toestemmingsmoeheid, zelfs in gebieden waar gebruikers basale rechten rond hun data hebben", aldus Mozilla. "Zodra verzameld hebben de meeste mensen geen idee hoe data wordt opgeslagen, gedeeld of zelfs verkocht. GPC moet het eenvoudiger voor mensen maken om hun privacyvoorkeuren te communiceren en rechten uit te oefenen." Gebruikers moet GPC wel zelf binnen de browser inschakelen. Cookiebanners Een andere nieuwe feature in Firefox is het blokkeren van cookiebanners bij Duitse gebruikers. Firefox zal bij onze Oosterburen nu in alle privévensters standaard cookies weigeren en automatisch de 'irritante' cookiemeldingen bij websites sluiten. Verder staat voor Duitse gebruikers nu ook standaard in privévensters URL Tracking Protection ingeschakeld, waarbij Firefox trackingparameters in URL's stript. Wanneer de features in andere landen beschikbaar komen is nog niet bekend. Updaten naar de nieuwste Firefox-versie kan via de automatische updatefunctie en Mozilla.org. bron: https://www.security.nl

Computers in de Europese Unie die Windows 10 of 11 draaien zullen voor 6 maart volgend jaar aan de Digital Markets Act voldoen, zo heeft Microsoft aangekondigd. Gebruikers kunnen dan onder andere vooraf geïnstalleerde apps verwijderen, waaronder de Camera-app, Cortana, Microsoft Edge, Photos-app en de Web Search uit de Bing-zoekmachine. Gebruikers die de apps verwijderen kunnen die later weer via de Microsoft Store en internet installeren. Verder zal Windows aan gebruikers in de Europese Unie vragen of ze hun Microsoft-account met Windows willen synchroniseren, zodat hun data ook op andere Windows-apparaten en in Microsoft-producten beschikbaar is waar gebruikers inloggen. De informatie die van andere Microsoft-producten in een Microsoft-account wordt opgeslagen zal ook in Windows beschikbaar zijn. Windows gebruikt de regio die gebruikers tijdens de eerste setup aangeven om te bepalen of de computer zich in de Europese Unie bevindt. Eenmaal gekozen wordt de regio gebruikt om aan de Digital Markets Act te voldoen en kan alleen worden aangepast door het resetten van de pc. Microsoft heeft de mogelijkheid om bepaalde apps te verwijderen al toegevoegd aan testversies van Windows 11. Uiteindelijk zullen computers met Windows 10 versie 22H2 en Windows 11 versie 23H2 in de Europese Unie voor 6 maart volgend jaar 'DMA compliant' zijn, aldus Microsoft. bron: https://www.security.nl

De zeer populaire adblocker uBlock Origin gaat door nieuw Google-beleid een belangrijk onderdeel missen voor het blokkeren van advertenties en trackers, zo heeft ontwikkelaar Raymond Gorhill laten weten. De manier waarop extensies binnen Chrome en andere browsers mogen werken staat beschreven in een manifest. Google zal versie drie (V3) van het manifest voor extensies gaan verplichten en extensies die op V2 zijn gebaseerd bij Chrome-gebruikers uitschakelen. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API in Manifest V3 voorgesteld genaamd declarativeNetRequest (DNR). DNR zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Dit zorgde voor felle kritiek van extensie-ontwikkelaars en Google besloot daarop de uitfasering van Manifest V2-extensies tijdelijk uit te stellen en kondigde aanpassingen aan. Vorige week maakte het techbedrijf bekend dat het de migratie naar Manifest V3 hervat en volgend jaar juni begint met het uitschakelen van Manifest V2-extensies bij Chrome-gebruikers. In de aankondiging stelde Google dat het door de gedane aanpassingen de zorgen bij extensie-ontwikkelaars had weggenomen. Volgens Gorhill zal een belangrijk onderdeel van uBlock Origin niet naar de Manifest V3-versie van de adblocker kunnen worden overgezet en zal de adblocker daardoor straks minder effectief zijn. Het gaat dan specifiek om dynamic filtering. Veel adblockers maken gebruik van statische filters gebaseerd op lijsten met bekende advertentienetwerken en trackers om die te blokkeren. Dat doet uBlock Origin ook, maar het biedt ook dynamic filtering, dat regels vergelijkbaar met die van een firewall toepast. Deze belangrijke feature zal niet in Manifest V3 mogelijk zijn, aldus Gorhill op Twitter. bron: https://www.security.nl

Het Tor Project heeft onlangs een groot aantal relays uit het Tor-netwerk verwijderd omdat de personen die ze hadden toegevoegd er geld mee wilden verdienen. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Onlangs ontdekte het Tor Project verschillende servers die door beheerders waren toegevoegd die daar geld mee wilden verdienen. De serverbeheerders doen mee aan een project dat cryptotokens belooft als ze hun server onderdeel van het Tor-netwerk maken. Volgens het Tor Project zijn deze servers vanwege verschillende redenen schadelijk voor het netwerk. Zo voldoen de servers niet allemaal aan de eisen die het Tor Project stelt en kunnen dit soort financiële prikkels een grote dreiging voor de integriteit van het netwerk en reputatie van het project vormen. "Aangezien ze individuen met kwade bedoelingen kunnen aantrekken, gebruikers in gevaar kunnen brengen en de door vrijwilligers-gedreven geest van de Tor-gemeenschap kunnen verstoren", aldus Isabela Bagueros, directeur van het Tor Project. De organisatie deed onderzoek naar de toegevoegde servers en nam ook contact op met de beheerders. Die bleken vaak niet te weten waar ze precies deel aan namen of servers in onveilige of risicovolle regio's beheerden. "Het is duidelijk voor ons geworden dat dit project niet goed voor het Tor-netwerk of Tor Project is. Daarom hebben we aan onze directory authorities voorgesteld de servers te verwijderen, die hier voor stemden", stelt Bagueros. De naam van het 'financial scheme' is niet door Bagueros bekendgemaakt, maar het gaat mogelijk om het ATOR Protocol. Dit project beloont personen met de ATOR-cryptovaluta als ze hun servers aan het Tor-netwerk toevoegen. ATOR biedt ook een Router Hotspot en Relay waarmee gebruikers hun verkeer via Tor kunnen laten lopen. Daarnaast heeft het project als doel om geanonimiseerde betalingen mogelijk te maken, waarbij het gebruikmaakt van het Tor-netwerk. bron: https://www.security.nl

Organisaties die gebruikmaken van een NetScaler ADC of NetScaler Gateway moeten na het installeren van de recent uitgebrachte kritieke beveiligingsupdate ook alle actieve of persistente sessies door middel van een kill-commando uitschakelen. Tevens zijn er verschillende stappen die organisaties kunnen nemen om te kijken of hun NetScaler-servers zijn gecompromitteerd, zo laat NetScaler in een vandaag gepubliceerd advies weten. NetScaler ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. Via de NetScaler Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Op 10 oktober kwam NetScaler met een update voor een kritieke kwetsbaarheid aangeduid als CVE-2023-4966 en 'CitrixBleed'. Via het lek kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen. Al voor het uitkomen van de update bleek dat aanvallers misbruik van het beveiligingslek maken, maar dat was toen nog niet bij NetScaler bekend. Inmiddels vinden er grootschalige aanvallen plaats, waarbij onder andere de criminelen achter de LockBit-ransomware het op kwetsbare systemen hebben voorzien. Beveiligingsonderzoeker Kevin Beaumont liet onlangs weten op basis van een scan via zoekmachine Shodan dat veel LockBit-slachtoffers een kwetsbaar NetScaler-apparaat in hun netwerk hadden staan. Volgens NetScaler moeten organisaties na de installatie van de update voor CVE-2023-4966 alle actieve en persistente sessies via een kill-commando uitschakelen. Daarnaast moet ernaar verdachte patronen van 'verdachte sessies' worden gezocht, alsmede verschillende logs worden gecontroleerd. Verder geeft NetScaler advies voor organisaties die hun eigen forensisch onderzoek op ongepatchte servers uitvoeren. bron: https://www.security.nl

Adblockers zijn een belangrijke maatregel waarmee internetgebruikers zich tegen malafide advertenties, besmette downloads en scams kunnen beschermen, en het is dan ook duidelijk waarom iedereen er één zou moeten gebruiken, zo stelt Jonathan Munshaw van Cisco. De afgelopen tijd zijn verschillende uitgevers en Google begonnen met het aanpakken van adblockers. Zo kunnen gebruikers van YouTube in bepaalde gevallen alleen video's bekijken als ze hun adblocker uitschakelen of een betaald abonnement nemen. Ook Spotify heeft in de algemene voorwaarden opgenomen dat het gebruik van een adblocker niet is toegestaan en veel nieuwswebsites tonen meldingen dat een adblocker eerst moet worden uitgeschakeld voordat er content kan worden gelezen. "Het is prima dat uitgevers geld vragen voor hun content of het achter een betaalmuur zetten, of zelfs betaalde abonnementen om geen advertenties in podcasts of video's te tonen. Maar we kunnen het er allemaal over eens zijn dat adblockers goed voor het internet zijn en gebruikers beschermen", merkt Munshaw op. Volgens Munshaw van Cisco Talos is het argument van bedrijven zoals Google dat adblockers ervoor zorgen dat contentmakers door adblockers inkomsten mislopen grotendeels ongegrond. YouTube-sterren zouden de effecten van een adblocker nauwelijks merken, wat ook geldt voor doorsnee YouTubers, zo stelt hij. Munshaw hoopt dan ook dat de recentelijk ingediende klacht over de adblocker-blokkade op YouTube, dat het in strijd met Europees recht is, effect zal hebben. bron: https://www.security.nl

Google heeft een nieuwe versie van de eigen Titan Security Key gelanceerd, die onder andere 250 unieke passkeys kan opslaan. De eerste versie van de fysieke beveiligingssleutel werd in 2018 gelanceerd. De Titan Security Key maakt gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Hierdoor werkt de beveiligingssleutel alleen op de website waarvoor die is geregistreerd. Inmiddels zet Google ook vol in op het gebruik van passkeys, een gezamenlijk initiatief van Apple, Google en Microsoft. Passkeys zijn gebaseerd op de Web Authentication (WebAuthn) standaard en maken ook gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen. Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om de passkey op het toestel te kunnen gebruiken moet eerst een vinger of het gezicht van de gebruiker worden gescand, of een ontgrendelingspatroon of pincode worden opgegeven. Passkeys maken namelijk gebruik van het mechanisme waarmee het betreffende apparaat of systeem van de gebruiker wordt ontgrendeld. Ze zijn echter niet gebonden aan het betreffende apparaat en dezelfde private key kan op meerdere toestellen bestaan. "We zijn zeer enthousiast over de potentie van passkeys, maar we weten ook dat er geen security wondermiddel voor iedereen is. Sommige mensen willen een oplossing die niet afhankelijk is van smartphones of gebruiken apparaten die passkeys niet ondersteunen. Iedereen heeft verschillende manieren voor security, maar we delen allemaal hetzelfde doel: het stoppen van aanvallen", zegt Christiaan Brand van Google. Het techbedrijf heeft ervoor gekozen om de nieuwste versie van de Titan Security Key dan ook de mogelijkheid te geven om 250 passkeys op te slaan. Wanneer de nieuwe beveiligingssleutel wordt gebruikt voor een Google-account, biedt de sleutel de optie om een pincode in te stellen om zo toegang tot het account te krijgen in plaats van een wachtwoord. De nieuwe sleutel is beschikbaar als USB-A en USB-C en ondersteunt NFC. bron: https://www.security.nl

Wie een TikTok-account wil aanmaken kan hiervoor het beste een apart e-mailadres gebruiken, zo adviseert de Belgische politie. Daarnaast wordt in plaats van de TikTok-app aangeraden de site via een browser te gebruiken. "TikTok zal uiteraard nog steeds info kunnen vergaren via de cookies of andere trackers. Maar als je Firefox gebruikt, kun je in de privacy- en veiligheidsinstellingen de strikte modus activeren om het delen te beperken", zegt commissaris Olivier Bogaert. Verder adviseert Bogaert het gebruik van een apart e-mailadres voor het aanmaken van een TikTok-account. "Kijk ook de instellingen na, want hier is het mogelijk om het delen van bepaalde gegevens te beperken. Om je te beschermen geef je TikTok best geen toestemming om de contacten van de telefoon of je vrienden op Facebook te synchroniseren." bron: https://www.security.nl

De Europese privacytoezichthouders zijn richtlijnen overeengekomen die moeten verduidelijken welke trackingtechnieken onder de ePrivacy Verordening zijn toegestaan. Daarmee wil de EDPB meer 'juridische zekerheid' aan dataverwerkers en individuen geven. Het gaat dan om zaken als trackinglinks, trackingpixels, lokale verwerking en unieke identifiers, om er zo voor te zorgen dat de verplichtingen van de verordening niet worden omzeild. Het gaat dan specifiek om Artikel 5.3 van de ePrivacy Verordening. "Het is geen geheim dat het volgen van de activiteiten van internetgebruikers de privacy van mensen ernstig kan schaden", zegt Anu Talus, voorzitter van de EDPB. "De onduidelijkheden met betrekking tot waarop Artikel 5.3 van de ePrivacy Verordening op van toepassing is en de opkomst van nieuwe technieken, als aanvulling op of alternatief voor traditionele cookies, hebben voor allerlei nieuwe privacyrisico's gezorgd." Om het artikel en de toepassing daarvan te verduidelijken gaan de richtlijnen van de EDPB vooral in op sleutelbegrippen zoals 'informatie', 'eindapparatuur van een abonnee of gebruiker', 'elektronisch communicatienetwerk', 'het verkrijgen van toegang' en 'opgeslagen informatie/opslag'. Daarnaast biedt de richtlijn ook praktische use cases over het gebruik van populaire trackingtechnieken. De overeengekomen richtlijnen worden nu op juridische inhoud gecontroleerd en vertaald, en zullen dan online verschijnen. Vervolgens kan het publiek er gedurende zes weken op reageren. Het Europees Comité voor gegevensbescherming (EDPB). De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG), waaronder ook de Autoriteit Persoonsgegevens. bron: https://www.security.nl

Een kwetsbaarheid in de Microsoft Azure Command-Line Interface (CLI) maakt het mogelijk voor aanvallers om wachtwoorden en inloggegevens via logbestanden te stelen. Microsoft heeft een update uitgebracht om het probleem te verhelpen. De Azure command-line interface is een verzameling commando's voor het creëren en beheren van Azure resources en wordt onder andere voor softwareontwikkeling gebruikt. Bij sommige van de commando's die de Azure CLI uitvoert worden inloggegevens plaintext in logbestanden opgeslagen. In het geval de logs in 'open source repositories' zijn opgeslagen kan een aanvaller zo gebruikersnamen en wachtwoorden van gebruikers achterhalen. Ook bij afgeschermde repositories waarbij een aanvaller bijvoorbeeld minimale leesrechten heeft is dit mogelijk. "Vanwege de data die ze opslaan en workloads die ze uitvoeren, behoren Continuous Integration and Continuous Deployment (CI/CD) systemen door de belangrijkste en gevoeligste in je organisatie", aldus Aviad Hahami van securitybedrijf Palo Alto Networks die het probleem ontdekte. Volgens Microsoft gaat het hier om een kritieke kwetsbaarheid, aangeduid als CVE-2023-36052. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Organisaties worden door Microsoft opgeroepen om te updaten naar Azure CLI versie 2.54 en gegeven advies op te volgen om te voorkomen dat inloggegevens onbedoeld in logbestanden voor CI/CD-omgevingen verschijnen. bron: https://www.security.nl

Mozilla wil dat Brussel het voorlopige voorstel over de Europese digitale identiteit publiceert, aangezien hier binnenkort al een eerste stemming over plaatsvindt. Vorige week bereikten het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie een voorlopig akkoord over de Europese digitale identiteit. Er volgen nu formele stemmingen over het plan, die voor deze maand, volgende maand en februari volgend jaar gepland staan. De Commissie industrie, onderzoek en energie (ITRE) van het Europees Parlement stemt eind november over het overeengekomen voorstel. Volgende maand zal de Europese Raad dit doen, gevolgd door een plenaire stemming in het Europees Parlement in februari volgend jaar. De tekst van het voorstel is echter nog steeds niet openbaar, tot onvrede van Mozilla. De Firefox-ontwikkelaar maakt zich grote zorgen over Artikel 45 van het voorstel, wat volgens Mozilla de veiligheid van versleutelde verbindingen op het web ondermijnt. Digitale rechtenbeweging epicenter.works stelde dat Brussel, na felle kritiek van techbedrijven, beveiligingsexperts en academici, aanpassingen aan het artikel heeft doorgevoerd, maar Mozilla maakt zich nog altijd grote zorgen over Artikel 45 en de gevolgen ervan. De Europese Commissie stelde in een reactie op de kritiek dat het om een 'misverstand' ging en dat experts die het had gesproken stelden dat er geen risico is dat overheden hierdoor kunnen spioneren of de vertrouwelijkheid van versleutelde verbindingen in het geding is. Brussel heeft echter niet laten weten met welke experts het contact heeft gehad. Ook bij het voorstel voor client-side scanning, om zo alle chatberichten van burgers te controleren, wilde de Europese Commissie dit niet openbaar maken. Mozilla wil nu dat het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie de uiteindelijke tekst voor de Europese digitale identiteit zo snel mogelijk openbaar maken, beveiligingsexperts voldoende tijd krijgen om het wetsvoorstel te bestuderen voordat er verdere actie wordt ondernomen en transparant zijn over welke experts er zijn geraadpleegd. bron: https://www.security.nl

Zeshonderdduizend WordPress-sites zijn kwetsbaar door een beveiligingslek in de plug-in WP Fastest Cache. De ontwikkelaar heeft twee dagen geleden een beveiligingsupdate uitgebracht, maar die is door het grootste deel van de sites nog niet geïnstalleerd. WP Fastest Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Het is op meer dan één miljoen websites geïnstalleerd. Een kwetsbaarheid (CVE-2023-6063) in de plug-in zorgt ervoor dat een ongeauthenticeerde aanvaller door middel van SQL-injection de volledige inhoud van de database kan uitlezen, zo meldt WPScan. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. De ontwikkelaar kwam twee dagen geleden met versie 1.2.2 waarin het probleem is verholpen, maar uit cijfers van WordPress.org blijkt dat vierhonderdduizend sites de update hebben geïnstalleerd en dus nog zeshonderdduizend websites kwetsbaar zijn. bron: https://www.security.nl

De FBI heeft het IPstorm-botnet offline gehaald, dat besmette systemen als proxy gebruikte. Volgens de beheerder, die inmiddels in de Verenigde Staten schuld heeft bekend, telde het botnet 23.000 proxies. Het Amerikaanse ministerie van Justitie stelt dat de IPstorm-malware wereldwijd Android-, Linux-, macOS- en Windows-systemen infecteerde. De besmette systemen werden vervolgens via de websites proxx.io en proxx.net als proxy aangeboden. Klanten van de proxydienst betaalden honderden dollars per maand om hun verkeer via de besmette machines te laten lopen. De botnetbeheerder bekende dat hij minstens 550.000 dollar met het proxybotnet heeft verdiend. Naast de 'plea agreement' waarmee de verdachte schuld bekende, heeft hij ook aangegeven afstand van al zijn cryptowallets te doen die voor de dienst werden gebruikt. De verdachte bekende drie keer schuldig te zijn aan het beschadigen van beveiligde computers, waarop een gevangenisstraf van maximaal dertig jaar staat. bron: https://www.security.nl

VMware waarschuwt organisaties voor een kritieke kwetsbaarheid in VMware Cloud Director Appliance (VCD Appliance) waardoor een aanvaller de authenticatie kan omzeilen om zo via poort 22 (ssh) of poort 5480 (appliance management console) toegang tot het systeem te krijgen. De VCD Appliance is een vooraf geconfigureerde virtual machine voor het draaien van VMware Cloud Director services. De kwetsbaarheid (CVE-2023-34060) doet zich alleen voor wanneer de VMware Cloud Director Appliance van een oudere versie is geüpgraded naar versie 10.5. Bij nieuwe installaties van de VCD Appliance is het probleem niet aanwezig. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. VMware heeft nog geen update beschikbaar om het probleem te verhelpen, maar biedt een script als workaround. bron: https://www.security.nl

Tijdens de patchdinsdag van november heeft Microsoft in totaal 63 kwetsbaarheden verholpen, waaronder drie zerodaylekken. Via de drie kwetsbaarheden kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen of Microsofts SmartScreen-beveiligingsmaatregel omzeilen. Details over de aanvallen zijn niet door Microsoft gegeven. Twee kwetsbaarheden in de Windows DWM Core Library (CVE-2023-36033) en Windows Cloud Files Mini Filter Driver (CVE-2023-36036) maken het mogelijk voor een aanvaller die toegang tot het systeem heeft om SYSTEM-rechten te krijgen. Via CVE-2023-36025 is het mogelijk om SmartScreen te omzeilen. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet. Via de kwetsbaarheid is het mogelijk om ervoor te zorgen dat er geen waarschuwingen worden getoond. Het afgelopen jaar zijn SmartScrreen-kwetsbaarheden onder andere bij ransomware-aanvallen gebruikt. De Windows-updates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Versleutelde e-maildienst Tuta, dat eerder nog bekendstond als Tutanota, ontkent een honeypot voor inlichtingendiensten uit de Five Eyes-landen te zijn, zoals een voormalige Canadese inlichtingenfunctionaris beweert. De man staat in Canada terecht voor het lekken van vertrouwelijke informatie. Hij zou informatie verkregen door de Canadese inlichtingendiensten, alsmede die uit de Verenigde Staten, Australië, Nieuw-Zeeland en het Verenigd Koninkrijk, hebben verkocht aan criminelen. Een evenknie bij een buitenlandse inlichtingendienst zou de functionaris in 2014 hebben ingelicht over het plan om door middel van het opzetten van een versleutelde e-maildienst met de naam Tutanota inlichtingen over criminelen te verzamelen. Het idee was dat criminelen de dienst zouden gebruiken en diensten dan met alle berichten konden meelezen. Op deze manier zou Tutanota dan als honeypot fungeren. In een verklaring laat Tuta weten dat de getuigenis van de inlichtingenfunctionaris volledig verzonnen is. "Deze beschuldigingen tegen Tuta zijn vals. Tutanota is nooit en zal nooit een dekmantel voor inlichtingendiensten zijn. Dit is in strijd met onze missie als privacybeschermende organisatie." De e-maildienst noemt het met name gevaarlijk dat dergelijke beschuldigingen de geloofwaardigheid van het bedrijf in twijfel trekken. "Het is niet acceptabel dat deze vermeende crimineel zonder enig bewijs te geven dat we hebben deelgenomen aan het gedrag in zijn verklaring, Tutanota voor de bus kan gooien, en ook zonder te laten weten welke 'buitenlandse inlichtingendienst' deze informatie heeft gegeven." Tuta spreekt dan ook van lasterlijke uitspraken. bron: https://www.security.nl

Internet.nl heeft een Docker-container gelanceerd waarmee het mogelijk is om web- en mailservers op moderne internetstandaarden te testen. Daarnaast moet het 'kant-en-klaar Docker-pakket' ervoor zorgen dat het uitrollen, doorontwikkelen, testen en schalen van de code veel eenvoudiger wordt. Internet.nl is een initiatief van het Platform Internetstandaarden en maakt het mogelijk om websites, mailservers en verbindingen op verschillende standaarden te testen. Het gaat dan bijvoorbeeld om zaken als IPv6, DNSSEC, HTTPS, HSTS, DANE en RPKI. "Tot nu toe was het opzetten van Internet.nl uitdagend en omslachtig. Dit was regelmatig een ergernis voor onszelf, en belemmerde ook anderen die de Internet.nl-code wilden gebruiken en eraan wilden bijdragen", aldus de ontwikkelaars. De Docker-container moet het eenvoudiger maken om servers te gaan testen. "Niet alleen op onze eigen servers die de afgelopen 12 maanden meer dan 5 miljoen tests hebben uitgevoerd, maar ook op de servers van anderen", laten de ontwikkelaars verder weten. "Wij geloven dat deze 'containerisation' van Internet.nl een enorme stap voorwaarts is", zegt Gerben Klein Baltink, voorzitter van Platform Internetstandaarden dat Internet.nl ontwikkelt. "Het 'kant-en-klare' pakket maakt het gebruik van de code gebruiksvriendelijker voor onszelf en voor anderen. Dat komt ook de kwaliteit van de code ten goede." De nieuwe versie moet het voor anderen eenvoudiger maken om de Internet.nl-code op hun eigen servers te gebruiken of voor externe ontwikkelaars om aan het project bij te dragen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de firewalls, routers en switches van fabrikant Juniper om organisaties aan te vallen, zo melden het bedrijf en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Juniper kwam op 17 augustus van dit jaar met updates voor vijf kwetsbaarheden in Junos OS, het besturingssysteem dat op de netwerkapparaten van de fabrikant draait. Eén van deze kwetsbaarheden, aangeduid als CVE-2023-36845, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op de apparaten uit te voeren. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De andere vier kwetsbaarheden hebben een lagere impact, maar zijn bij elkaar ook te gebruiken voor het uitvoeren van een aanval. Alle vijf de beveiligingslekken worden bij de aanvallen misbruikt. Het CISA heeft Amerikaanse federale overheidsinstanties opgedragen om de updates voor 17 november te installeren en roept andere organisaties op om de patches ook zo snel mogelijk te installeren mocht dat nog niet zijn gedaan. bron: https://www.security.nl

Windows 11 gaat gebruikers de optie geven om meer vooraf geïnstalleerde apps te verwijderen. Dat heeft Microsoft bij de aankondiging van een nieuwe Windows 11 Insider Preview Build laten weten. Gebruikers kunnen na de installatie al bepaalde apps verwijderen, maar niet allemaal. Met Preview Build 23585 van Windows 11 is het mogelijk om de Camera app, Cortana, Photos app en People app te verwijderen, alsmede de Remote Desktop (MSTSC) client. Vanaf maart 2024 moeten verschillende grote techbedrijven, waaronder Microsoft, aan de nieuwe Digital Markets Act (DMA) voldoen. Door de DMA moeten gebruikers onder andere vooraf geïnstalleerde apps kunnen verwijderen. Ook mogen app-ontwikkelaars niet meer worden gedwongen om het betaalsysteem te gebruiken van appstores en mogen platforms eigen producten of diensten niet bevoordelen, bijvoorbeeld door ze bovenaan de zoekresultaten te zetten. Verder zorgt de DMA ervoor dat gebruikers eigen data van een platform naar een ander platform kunnen meenemen en chatdiensten interoperabel zijn. bron: https://www.security.nl

Bij de wereldwijde zeroday-aanval die eind mei van dit jaar plaatsvond en gebruikmaakte van een kwetsbaarheid in MOVEit Transfer zijn zo'n 2600 organisaties getroffen en de gegevens van meer dan zeventig miljoen personen gestolen. Dat stelt antivirusbedrijf Emsisoft op basis van datalekmeldingen. De Amerikaanse staat Maine is één van de nieuwste slachtoffers die zich heeft gemeld, en stelt dat criminelen bij de aanval de gegevens van 1,3 miljoen individuen in handen kregen. MOVEit Transfer is een door softwarebedrijf Progress aangeboden applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van duizenden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties. Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Progress Software, de ontwikkelaar van MOVEit Transfer, heeft tot nu toe van 23 klanten bericht gehad dat ze door de aanval zijn getroffen. Een aantal van hen wil een schadevergoeding. Daarnaast is Progress onderdeel van 58 massaclaims die zijn aangespannen door personen van wie gegevens bij de zeroday-aanval zijn gestolen. Nog altijd zijn er organisaties die laten weten getroffen te zijn. De Amerikaanse staat Maine moest bij de eigen procureur-generaal melden dat het ook slachtoffer was geworden. Bij de aanval zijn onder andere rijbewijsnummers en social-securitynummers buitgemaakt. Het gaat om de gegevens van 1,32 miljoen mensen. De meeste organisaties die doelwit van de zeroday-aanval werden bevinden zich in de Verenigde Staten. Het gaat meestal om onderwijsinstellingen, gezondheidsorganisaties en financieel en professioneel dienstverleners. bron: https://www.security.nl

Windows Server 2012 krijgt tot eind 2026 betaalde beveiligingsupdates, zo heeft Microsoft aangekondigd. De support van Windows Server 2012 en Windows Server R2 eindigde afgelopen 10 oktober, wat inhoudt dat Microsoft geen patches meer voor gevonden kwetsbaarheden uitbrengt. Net als het met andere Windowsversies heeft gedaan biedt Microsoft ook voor Windows Server 2012 'Extended Security Updates'. Het gaat hier om betaalde beveiligingsupdates die voor een periode van steeds een jaar worden afgenomen. In totaal zullen de betaalde updates maximaal drie jaar worden aangeboden. Organisaties die nu een driejarig abonnement afsluiten kunnen dan van 14 november tot en met 13 oktober 2026 op beveiligingsupdates rekenen. Volgens Microsoft moet dit organisaties die nog met Windows Server 2012 werken de gelegenheid geven om naar een nieuwere Windowsversie te migreren. bron: https://www.security.nl