Captain Kirk

Phishingmails die van de Wereldgezondheidsorganisatie afkomstig lijken, malafide apps en andere scams die inspelen op de berichtgeving over het coronavirus zullen met prioriteit worden bestreden, zo heeft de Amerikaanse minister van Justitie William Barr bekendgemaakt (pdf). De afgelopen dagen waarschuwen allerlei instanties, waaronder de politie, voor phishingmails over het coronavirus. Ook apps die zich voordoen als coronatracker maar in werkelijkheid malware zijn en telefoons vergrendelen zijn inmiddels opgedoken. "De pandemie is al gevaarlijk genoeg zonder dat kwaadwillenden van openbare paniek proberen te profiteren en dit soort gedag kan niet worden getolereerd", stelt Barr in een brief. De justitieminister stelt vervolgens dat alle procureur-generaals het opsporen, onderzoeken en vervolgen van alle criminele activiteiten rond de huidige pandemie prioriteit moeten geven. Een oproep waar ook gehoor aan wordt gegeven. "Het is een absolute prioriteit voor mij en mijn team om crimineel gedrag rond de pandemie te onderzoeken en vervolgen. Burgers moeten alert blijven. Scammers en fraudeurs laten een gelegenheid om te scammen en frauderen nooit verloren gaan", aldus Mike Stuart, procureur-generaal van de Amerikaanse staat West Virginia. bron: security.nl

Twee zerodaylekken in de antivirussoftware van Trend Micro zijn actief aangevallen voordat er een beveiligingsupdate beschikbaar was. Dat heeft de virusbestrijder zelf in een bulletin bekendgemaakt. Het is niet voor het eerst dat de virusscanner van Trend Micro het doelwit van zeroday-aanvallen is. Afgelopen maandag kwam het antivirusbedrijf met beveiligingsupdates voor Trend Micro Apex One en OfficeScan die in totaal vijf kwetsbaarheden verhelpen. Twee van deze beveiligingslekken zijn aangevallen voordat de update werd uitgerold. Een aanvaller kon hierdoor willekeurige code op kwetsbare installaties uitvoeren. Verdere details over deze aanvallen zijn niet gegeven. Vorig jaar waarschuwde Trend Micro ook al voor zeroday-aanvallen op de antivirussoftware. Deze kwetsbaarheden zouden mogelijk zijn gebruikt bij een aanval op Mitsubishi Electric. Naast de twee zerodaylekken zijn ook drie andere kwetsbaarheden verholpen. De ernst van deze drie beveiligingslekken zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via deze kwetsbaarheden kon een aanvaller zonder inloggegevens willekeurige code met systeemrechten op de server uitvoeren. De Japanse overheid adviseert organisaties die van Trend Micro gebruikmaken om de updates zo snel als mogelijk te installeren. bron: security.nl

Adobe heeft belangrijke beveiligingsupdates uitgebracht die kritieke kwetsbaarheden in onder andere Adobe Acrobat en Reader, Coldfusion en Photoshop verhelpen waardoor een aanvaller in het ergste geval systemen volledig had kunnen overnemen. In het geval van Adobe Acrobat en Reader zijn er dertien kwetsbaarheden gepatcht. Alleen het openen van een kwaadaardig pdf-bestand of het bezoeken van een kwaadaardige of gecompromitteerde website was voldoende geweest voor een aanvaller om willekeurige code uit te voeren met rechten van de ingelogde gebruiker, informatie van het systeem te stelen of rechten te verhogen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2020.006.20042, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30166, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30518 voor Windows en macOS. Als voorbeeld noemt Adobe het installeren van de updates binnen dertig dagen. Photoshop De updates voor Adobe Photoshop CC 2019 en Photoshop 2020 verhelpen in totaal 22 beveiligingslekken die het uitvoeren van willekeurige code of het stelen van informatie mogelijk maakten. In dit geval zou een Photoshop-gebruiker een speciaal geprepareerde afbeelding moeten openen. Aangezien Photoshop in het verleden geen doelwit van aanvallers is geweest adviseert Adobe om de update te installeren als het uitkomt. ColdFusion Een andere belangrijke update is voor ColdFusion 2016 en 2018 verschenen. ColdFusion is een platform voor het ontwikkelen van webapplicaties. De twee nu verholpen kwetsbaarheden maakten het mogelijk om willekeurige bestanden uit de ColdFusion-installatiedirectory te lezen en bestanden in de webroot- of subdirectory uit te voeren. Dit maakt het uitvoeren van willekeurige code in de context van de ColdFusion-service mogelijk, waardoor een aanvaller toegang tot websites en webservers kan krijgen. Organisaties krijgen het advies om Update 14 voor ColdFusion 2016 en Update 8 voor ColdFusion 2018 snel te installeren. In het verleden is ColdFusion geregeld het doelwit van aanvallen geweest. bron: security.nl

Onderzoekers van de Universiteit van York hebben in vijf populaire wachtwoordmanagers lekken gevonden waardoor een aanvaller wachtwoorden zou kunnen achterhalen. Het gaat om de wachtwoordmanagers Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows. Zo zijn LastPass en 1Password kwetsbaar voor een phishingaanval waarbij de gebruiker een malafide app downloadt, die zich vervolgens aan de wachtwoordmanager voordoet als een legitieme app. De wachtwoordmanager zal vervolgens de opgeslagen inloggegevens van de legitieme app aan de malafide app verstrekken. Verder bleek dat Dashlane en RoboForm kwetsbaar zijn voor bruteforce-aanvallen op de pincode waarmee er toegang tot opgeslagen wachtwoorden kan worden verkregen. Voor het uitvoeren van een dergelijke aanval moet een aanvaller wel toegang tot het toestel hebben. Een ander probleem doet zich voor bij de clipboardfunctie van computers. Wachtwoordmanagers laten gebruikers opgeslagen wachtwoorden kopiëren en plakken. Windows 10 biedt echter toegang tot het clipboard van een vergrendelde computer. Een aanvaller met fysieke toegang zou op deze manier gekopieerde wachtwoorden kunnen stelen. Alleen 1Password heeft maatregelen tegen een dergelijke aanval genomen. De onderzoekers rapporteerden de problemen aan de wachtwoordmanagers. Sommige problemen zijn opgelost, andere werden als klein risico bestempeld en niet verholpen. "In onze communicatie met de wachtwoordmanagers zagen we goede en slechte kanten in hoe ze omgaan met bugmeldingen. Positief was de reactie op ernstige of eenvoudig te verhelpen problemen die snel werden opgelost. Negatief was dat problemen die als lage prioriteit werden bestempeld te eenvoudig worden afgedaan", aldus de conclusie van de onderzoekers. bron: security.nl

Op 11 februari kwam Microsoft met een kritieke beveiligingsupdate voor Exchange, maar een maand later blijkt dat een groot aantal servers nog altijd ongepatcht is. En dat kan een serieus probleem voor organisaties zijn, aangezien servers via de kwetsbaarheid volledig zijn over te nemen. De enige vereiste voor een aanvaller is dat hij toegang tot het e-mailaccount van een gebruiker op de server heeft. Vervolgens is het mogelijk om willekeurige code met systeemrechten uit te voeren. Zo kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Een week geleden werd beken dat aanvallers actief misbruik van de kwetsbaarheid maken. Securitybedrijf Kenna Security besloot te onderzoeken hoe snel organisaties de Exchange-update uitrollen en de resultaten zijn niet bemoedigend, zegt onderzoeker Jonathan Cran. Hij bekeek de gegevens van honderden klanten en zag dat bij minder dan 15 procent de Exchange-update was geïnstalleerd. Daarnaast maakte Cran gebruik van een dataset van Outlook Web Access (OWA)-servers, verzameld via zoekmachine BinaryEdge. Het ging in totaal om 220.000 publiek toegankelijke OWA-servers. Daarvan bleek 74 procent zeker kwetsbaar te zijn. Volgens Cran is een mogelijke verklaring hiervoor dat Exchange een belangrijke rol speelt binnen organisaties en daarom niet zomaar kan of mag worden gepatcht. "Laat alles vallen en patch deze kwetsbaarheid meteen. Op dit moment vormt dit lek een groter risico dan de meeste andere kwetsbaarheden in de bedrijfsomgeving", aldus de onderzoeker. bron: security.nl

De Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, bevindt zich in grote financiële problemen nu Cisco zich als sponsor heeft teruggetrokken. De stichting verzamelt grote hoeveelheden informatie over botnets, malware en andere criminele netwerken en deelt die met providers en overheidsdiensten, zoals Computer Emergency Response Teams (CERTs). De afgelopen jaren heeft de Shadowserver Foundation bij het oprollen van meerdere grote botnets een belangrijke rol gespeeld. Dagelijks scant de organisatie vier miljard ip-adressen op mogelijk misbruik en worden er meer dan 700.000 malware-exemplaren geanalyseerd. De stichting kan dankzij allerlei sponsoren bestaan. Eind februari liet Cisco weten dat het stopte als grootste financiële sponsor in de Verenigde Staten. Daardoor raakte de Shadowserver Foundation meteen vier van de zeven gedoneerde ontwikkelaars/systembeheerders in de Verenigde Staten kwijt. De overige drie gedoneerde medewerkers zullen er op 26 mei mee stoppen. Tevens moet Shadowserver de complete Amerikaanse datacenterinfrastructuur voor 26 mei naar een nieuwe locatie verhuizen. Het gaat om 104 serverracks, 1340 servers en zo'n 12 petabytes aan opslag. "Als een kleine non-profitorganisatie heeft Shadowserver niet de financiële reserves om op deze onverwachte gebeurtenissen en van buiten opgelegde tijdschema's te reageren", zo laat de stichting weten. Zonder directe hulp zal Shadowserver dan ook moeten stoppen met het aanbieden van de belangrijkste diensten, waaronder de gratis netwerkrapporten met informatie over besmette systemen. "Dit betekent het einde van onze mogelijkheid om nationale CERTs en providers te waarschuwen over besmette slachtoffers binnen hun netwerken, en het tijdig voorkomen van te misbruiken, verkeerd geconfigureerde of gecompromitteerde apparaten wereldwijd. Shadowserver is de enige dagelijkse gratis dienst voor het internet op deze schaal", gaat de stichting verder. Er wordt dan ook met spoed naar nieuwe geldschieters gezocht. Belangrijk om hierbij te vermelden is dat het hier alleen om de Amerikaanse afdeling van Shadowserver gaat. De Europese tak wordt via de Europese entiteit van de stichting gefinancierd. "Maar zij zullen op de lange termijn waarschijnlijk ook de gevolgen van de sluiting van ons Amerikaans datacenter voelen", besluit de organisatie. bron: security.nl

Hoewel om een buitengewone situatie gaat is ook bij de bestrijding van het coronavirus de AVG van kracht, zo heeft het Europees Comité voor gegevensbescherming (EDPB) bekendgemaakt. De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG). Op dit moment zijn zowel publieke als private organisaties bezig met de bestrijding van het coronavirus en kunnen daarbij persoonsgegevens verwerken. "Databeschermingsmaatregelen zoals de AVG zijn geen belemmering voor maatregelen die in de strijd tegen het coronavirus worden genomen. Ik wil echter onderstrepen dat zelfs in deze buitengewone tijden de dataverwerker de bescherming van persoonlijke data van de personen in kwestie moet beschermen. Er moet dan ook rekening worden gehouden met een aantal zaken om de rechtmatige verwerking van persoonlijke gegevens te garanderen", zegt EDPB-voorzitter Andrea Jelinek. In het geval van de huidige uitbraak biedt de AVG juridische grondslagen om persoonlijke data te verwerken, zonder de noodzaak om toestemming van de persoon in kwestie te krijgen. "Dit geldt bijvoorbeeld wanneer het verwerken van persoonlijke data noodzakelijk is in het openbaar belang wat betreft de volksgezondheid, om vitale belangen te beschermen of andere juridische verplichtingen", aldus Jelinek. Wanneer er elektronische communicatiegegevens worden verwerkt, zoals mobiele locatiegegevens, gelden er extra regels. Zo kunnen locatiegegevens alleen worden gebruikt wanneer ze zijn geanonimiseerd, of met toestemming van de betrokkenen. "Autoriteiten zouden zich eerst moeten richten op het verwerken van locatiegegevens op anonieme wijze. Dit kan helpen bij het genereren van overzichten met het aantal mobiele apparaten op een bepaalde locatie", gaat de EDPB-voorzitter verder. Wanneer het niet mogelijk is om geanonimiseerde data te verwerken kunnen lidstaten in het belang van nationale en openbare veiligheid noodwetgeving doorvoeren. "Deze noodwetgeving is mogelijk onder de voorwaarde dat het een noodzakelijke, gepaste en proportionele maatregel binnen een democratische samenleving is. Wanneer dergelijke maatregelen worden geïntroduceerd zijn lidstaten verplicht om voldoende beschermingsmaatregelen toe te voegen, zoals de mogelijkheid voor individuen om naar de rechter te stappen", besluit Jelinek. bron: security.nl

De partij achter de Brave-browser heeft bij de Ierse privacytoezichthouder een officiële klacht tegen Google Ierland ingediend voor het overtreden van de AVG (pdf). Google zou namelijk het beginsel van doelbinding, zoals beschreven in de privacywetgeving overtreden, stelt Johnny Ryan van Brave. "Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel", zo laat de Autoriteit Persoonsgegevens over doelbinding weten (pdf). Ryan vroeg Google zes maanden lang wat het bedrijf met zijn gegevens doet. Google zou hier echter geen antwoord op hebben gegeven. Daarnaast heeft Brave een document gepubliceerd waarin het claimt dat Google op allerlei vlakken het principe van doelbinding overtreedt en data van gebruikers voor allerlei andere doeleinden gebruikt dan wordt aangegeven (pdf). Daarbij baseert Brave zich op documenten van Google zelf. "Het onderzoek laat zien dat Google persoonlijke data via integraties met websites, apps en besturingssystemen verzamelt voor honderden slecht gedefinieerde verwerkingsdoeleinden", aldus Ryan. "Googles doelen zijn zo vaag omschreven dat ze geen betekenis of limiet hebben. Het resultaat is een intern vrij gebruik van data die het AVG-principe van doelbinding overtreedt." Brave wil dat de Ierse toezichthouder tegen Google optreedt. Dit zou verschillende gevolgen voor het techbedrijf kunnen hebben. Zo zou Google niet langer automatisch via de eigen producten data over gebruikers mogen verzamelen, zou het niet meerdere toestemmingsverzoeken voor verschillende verwerkingsdoeleinden kunnen bundelen en zouden Google-gebruikers hun eerder gegeven toestemming kunnen intrekken. Naast het indienen van de klacht heeft Brave Europese toezichthouders hier ook op gewezen. bron: security.nl

WordPress krijgt een automatische updatefunctie voor plug-ins en themes die gebruikers hebben geïnstalleerd, wat het aantal aanvallen op WordPress-sites moet terugdringen. Dat heeft de softwareontwikkelaar via de eigen website bekendgemaakt. Volgens marktvorser W3Techs wordt WordPress door 36 procent van alle websites op internet gebruikt. Bij websites met een bekend contentmanagementsysteem (CMS) is dit zelfs 63 procent. In het verleden werden WordPress-sites geregeld gecompromitteerd omdat beheerders beschikbare beveiligingsupdates voor het platform niet hadden geïnstalleerd. Om deze gebruikers te beschermen kwam WordPress eind 2013 met een automatische updatefunctie voor alleen het CMS. WordPress biedt gebruikers ook honderden themes en plug-ins voor het aanpassen van websites, die door externe partijen zijn ontwikkeld. De afgelopen jaren hebben aanvallers op grote schaal gebruikgemaakt van kwetsbaarheden in plug-ins en themes om WordPress-sites te compromitteren en van kwaadaardige code te voorzien. Deze code probeerde bezoekers weer met malware te infecteren of stuurde ze door naar spamsites. In tegenstelling tot de WordPress-updates moeten gebruikers updates voor hun theme of plug-in handmatig installeren. Iets wat niet alle beheerders doen, waardoor websites kwetsbaar zijn voor aanvallen. Daar gaat nu verandering in komen. De versie van WordPress 5.4 die in augustus verschijnt zal namelijk over een automatische updatefunctie voor plug-ins en themes beschikken. Beheerders moeten zelf aangeven welke themes en plug-ins ze automatisch willen laten updaten. Daarnaast zal het CMS ook een e-mail versturen wanneer er updates zijn doorgevoerd. De automatische updatefunctie is nu als losse WordPressplug-in te testen, maar zal straks onderdeel van WordPress zelf worden. Via de plug-in hoopt het WordPress-team feedback over de werking te ontvangen. De updatefunctie moet het aantal gecompromitteerde WordPress-sites gaan terugdringen, hoewel het niet alle aanvallen zal stopen. Het vereist namelijk dat beheerders zelf aangeven dat ze hiervan gebruik willen maken. Daarnaast zijn er de afgelopen maanden meerdere zerodaylekken in plug-ins ontdekt die werden aangevallen voordat er een update beschikbaar was. In sommige gevallen worden kwetsbare themes en plug-ins niet meer onderhouden door de ontwikkelaar, waardoor websites ondanks een automatische updatefunctie kwetsbaar blijven, tenzij beheerders ze verwijderen. Beheerders krijgen dan ook het advies om gebruikte plug-ins en themes nauwlettend in de gaten te houden. Hieronder een voorbeeld van hoe de updatefunctie er mogelijk gaat uitzien. bron: security.nl

Beste Ldv, Dit is een bekende manier om toegang te krijgen op je computer. Ze bellen je op en melden dat je een probleem hebt. Volgens willen ze je best helpen en koet je "even" een tooltje op je computer downloaden zodat ze mee kunnen kijken. Volgens nemen ze alles over en mag je vaak je beurs trekken om bepaalde, door de beller veroorzaakte, problemen op te lossen. Zolang je je systeem up-to-date houdt, regelmatig scant op virussen en een backup bij houdt, hoef je je geen zorgen te maken. De vrienden uit vaak India zullen je waarschijnlijk nog wel vaker bellen. Doe ze maar de groeten van mij

Google heeft een gratis opensourcetool gelanceerd om Linux-systemen tegen usb-injectieaanvallen te beschermen. Het gaat dan specifiek om aanvallen waarbij er bijvoorbeeld een usb-stick op een systeem wordt aangesloten die zich als toetsenbord voordoet en toetsaanslagen op het systeem injecteert. Een aanvaller zou zo kunnen proberen om toegang tot systemen te krijgen of vertrouwelijke data stelen. De "USB Keystroke Injection Protection" van Google moet dergelijke aanvallen voorkomen. De tool kijkt hoe toetsaanslagen worden ingevoerd om te bepalen of het om een aanval gaat of een persoon die bijvoorbeeld inlogt. Bij een injectieaanval worden toetsaanslagen namelijk veel sneller ingevoerd dan een mens zou kunnen. Gebruikers kunnen een gewenste invoerwaarde opgeven die met hun typesnelheid overeenkomt, of dit laten monitoren door de tool. De tool is zelf in twee modes te draaien, namelijk Hardening en Monitor. Standaard staat de Hardening-mode ingeschakeld, die alle als verdacht geclassificeerde usb-apparaten blokkeert. De Monitoring-mode blokkeert deze apparaten niet, maar slaat informatie over het apparaat op in een logbestand. "Toetsaanslaginjectieaanvallen zijn lastig te detecteren en te voorkomen, aangezien ze via usb plaatsvinden, de meestgebruikte aansluiting voor computerapparatuur, en een Human Interface Device-driver vereisen, die op de meeste besturingssystemen met muis- toetsenbordinvoer aanwezig is", zegt Sebastian Neuner van Google. "De tool maakt het lastiger voor aanvallers terwijl de gebruiker niet hoeft te beslissen of een apparaat kwaadaardig of goedaardig is, behalve bij het verfijnen van de heuristieke waarden." De tool draait als een daemon en is via GitHub verkrijgbaar. bron: security.nl

Een fout in Tor Browser zorgt ervoor dat JavaScript op het hoogste beveiligingsniveau kan worden uitgevoerd, terwijl dit eigenlijk niet zou moeten kunnen. Het Tor Project, dat de browser onderhoudt, werkt aan een oplossing. In afwachting van een fix kunnen gebruikers JavaScript zelf uitschakelen. Tor Browser biedt gebruikers verschillende beveiligingsniveaus, namelijk standard, safer en safest. Op het veiligste niveau staat JavaScript standaard op alle websites uitgeschakeld. Veel browseraanvallen maken gebruik van JavaScript en door het uitschakelen hiervan wordt het aanvalsoppervlak voor gebruikers verkleind. In het verleden zijn JavaScript-exploits tegen gebruikers van Tor Browser ingezet. Onder andere de FBI gebruikte JavaScript om gebruikers van de browser te ontmaskeren. Bij de lancering van de nieuwste Tor Browser, versie 9.0.6, meldt het Tor Project dat er een bug in de browser zit die het uitvoeren van JavaScript op het hoogste beveiligingsniveau mogelijk maakt. Er wordt aan een oplossing gewerkt. Gebruikers die niet willen dat JavaScript kan worden uitgevoerd kunnen dit volledig in de browser uitschakelen via onderstaande instructies. bron: security.nl

Microsoft heeft buiten de vaste patchcyclus om een noodpatch voor Windows uitgebracht die een ernstig beveiligingslek in SMBv3 verhelpt waardoor aanvallers zowel servers als clients kunnen overnemen. Het lek werd dinsdag onbedoeld geopenbaard. Op dat moment was er nog geen patch beschikbaar. Wel kwam Microsoft met een tijdelijke oplossing. Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Door het versturen van een speciaal geprepareerd pakket naar een kwetsbare SMBv3-server kan een aanvaller willekeurige code op de server uitvoeren. De aanvaller hoeft hierbij niet over een wachtwoord te beschikken om op de server zelf in te kunnen inloggen. Daarnaast is het mogelijk om kwetsbare SMB-clients over te nemen die verbinding met een kwaadaardige SMBv3-server maken. Een aanvaller zou bijvoorbeeld eerst de server kunnen aanvallen en vervolgens alle clients die verbinding maken infecteren. Als tijdelijke oplossing raadde Microsoft aan om SMBv3-compressie uit te schakelen. Vandaag meldt de softwaregigant dat gebruikers die de beveiligingsupdates van dinsdag 10 maart hebben geïnstalleerd update KB4551762 voor Windows 10 en Windows Server versies 1903 en 1909 moeten installeren om de SMBv3-kwetsbaarheid te verhelpen. Het probleem is niet aanwezig bij oudere versies van Windows die SMBv3.1.1 compressie niet ondersteunen. De update wordt via de automatische updatefunctie van Windows geïnstalleerd. Securitybedrijf Kryptos Logic liet eerder vandaag weten dat het 48.000 kwetsbare systemen had gevonden die via internet toegankelijk zijn. bron: security.nl

De ontwikkelaars van ProtonMail en ProtonVPN zullen de komende weken een alternatieve routering uitrollen zodat gebruikers van de diensten gebruik kunnen blijven maken ook als overheden die censureren. De afgelopen maanden werd ProtonMail in onder andere Rusland geblokkeerd. Een nieuwe alternatieve routeringsfeature moet dergelijke blokkades omzeilen, zodat de Proton-servers toegankelijk blijven. De nieuwe feature zal automatisch detecteren wanneer er censuur plaatsvindt en vervolgens een alternatieve route naar de Proton-servers opzetten. Deze methode zal niet altijd succesvol zijn, maar kan helpen om bepaalde blokkades te omzeilen. "Dit is een actief onderzoeksgebied voor ons team, dus in de loop van de tijd zullen onze anticensuurmogelijkheden met de release van nieuwe versies beter worden", stelt Proton. Bij een alternatieve routering wordt er gebruikgemaakt van de infrastructuur en netwerken van derde partijen waar Proton geen controle over heeft. Het gaat onder andere om Google, dat volgens Proton geen goed verleden heeft als het om privacy gaat. "Deze derde partijen kunnen niet je data zien, maar wel je ip-adres en dat je verbinding probeert te maken met Proton", aldus het techbedrijf. Daarnaast wordt er van aangepaste TLS-encryptie gebruikgemaakt om de alternatieve routering te laten werken. Proton merkt op dat er met public key pinning wordt gewerkt en dit problematisch kan zijn wanneer een Proton-server wordt gecompromitteerd. De alternatieve routeringsfunctie is dan ook optioneel en gebruikers kunnen die in de app uitschakelen. Afsluitend laat Proton weten dat de komende tijd meer anticensuurmaatregelen zullen worden aangekondigd. bron: security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen die meerdere kwetsbaarheden verhelpt, alsmede problemen met verschillende wifi-chipsets van Realtek. Tails 4.4 bevat nieuwe versies van Tor Browser, Thunderbird en de Linux-kernel. De update van de Linux-kernel moet voor betere hardware-ondersteuning zorgen. Daarnaast zijn er specifieke problemen met de ondersteuning van de Realtek RTL8822BE en RTL8822CE wifi-chipsets verholpen. Aangezien Tails 4.4 veel kwetsbaarheden verhelpt krijgen gebruikers het dringende advies om zo snel als mogelijk naar de nieuwste versie te upgraden. Dit kan via de automatische upgradefunctie of tails.boum.org. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. bron: security.nl

Google heeft de desktopversie van Chrome van een gastmodus voorzien waarbij alle opgeslagen informatie na het sluiten van de browser wordt verwijderd. Volgens Google is de gastmodus ideaal om andermans computer te gebruiken of iemand toegang tot de eigen computer te geven. Ook bij het gebruik van een openbare computer, bijvoorbeeld van een bibliotheek of café, zou de maatregel handig zijn, zo laat het techbedrijf weten. De gastmodus van Chrome is zowel via een enterprise policy of command-line switch in te stellen, zodat de browser altijd in deze modus wordt gestart. Google merkt op dat ondanks het gebruik van de gastmodus anderen wel het surfgedrag kunnen zien, zoals de internetprovider, de beheerder van het netwerk en zoekmachines. Beveiligingsexperts waarschuwen geregeld om openbare computers niet voor vertrouwelijke of persoonlijke zaken te gebruiken. Een aantal jaren geleden werden e-mails van het Amerikaanse anti-dopingagentschap USADA gestolen, vermoedelijk nadat een medewerker op een openbare computer had ingelogd. bron: security.nl

De afgelopen jaren hebben cybercriminelen op grote schaal afpersingsmails verstuurd en nu wordt er van deze berichten gebruikgemaakt om malware te verspreiden. De afpersingsmails stelden vaak dat er compromitterende foto's van het slachtoffer waren gemaakt en hij of zij een bedrag moest betalen om te voorkomen dat de afbeeldingen naar contacten werden gestuurd. Nu is er een spamcampagne ontdekt waarbij criminelen claimen dat een dergelijk afpersingsslachtoffer niet heeft betaald en daarom compromitterende foto's, in dit geval naaktfoto's van zijn vriendin, naar zijn contacten zijn gestuurd. De ontvanger van het bericht zou één van deze contacten zijn. Als bijlage is een doc-bestand met kwaadaardige macro's meegestuurd. Wanneer de ontvanger het doc-bestand opent en macro's inschakelt wordt de Racoon-malware geïnstalleerd. Deze malware steelt wachtwoorden, creditcardgegevens, cookies en surfgeschiedenis uit browsers. Daarnaast steelt Racoon cryptowallets, inloggegevens voor ftp-servers en e-mailwachtwoorden. "Deze nieuwe kijk op afpersingsmails is zeer opmerkelijk. Het laat het slachtoffer geloven dat iemand die ze kennen is aangevallen en dat dit niets met hen te maken heeft. Als mensen zich niet als slachtoffer identificeren kunnen ze zich veel onvoorzichtiger gedragen, met name als ze nieuwsgierig zijn wie het oorspronkelijke slachtoffer was", stelt IBM in een analyse. bron: security.nl

Antivirusbedrijf Avast heeft vanwege een ernstig beveiligingslek besloten om een onderdeel van de antivirussoftware uit te schakelen. Volgens de virusbestrijder is dit nodig om de meer dan vierhonderd miljoen gebruikers tegen misbruik van de kwetsbaarheid te beschermen. Het beveiligingslek werd ontdekt door beveiligingsonderzoekers Tavis Ormandy en Natalie Silvanovich van Google. De kwetsbaarheid bevond zich in de JavaScript-interpreter van de virusscanner. Dit onderdeel van de antivirussoftware controleert verdachte JavaScript-bestanden. Het beveiligingslek maakte het volgens Avast in theorie mogelijk voor aanvallers om op afstand code uit te voeren. Ormandy waarschuwde Avast op 4 maart voor het beveiligingslek. Op 9 maart publiceerde de onderzoeker een tool waarmee het eenvoudiger werd om de JavaScript-interpreter te onderzoeken. Eventueel gevonden kwetsbaarheden zouden door een worm zijn te misbruiken, waarschuwde Ormandy. Vandaag meldt Avast dat het kwetsbare onderdeel bij gebruikers is uitgeschakeld. De virusbestrijder benadrukt dat dit geen gevolgen voor de functionaliteit van de antivirussoftware heeft, aangezien die over meerdere beveiligingslagen beschikt. Volgens Ormandy heeft Avast de juiste beslissing genomen, aangezien er een zeer groot oppervlakte was om gebruikers aan te vallen. bron: security.nl

TLS-certificaten, die websites gebruiken voor het opzetten van een beveiligde verbinding, zijn straks nog maar één jaar geldig in plaats van de 2 jaar en 3 maanden zoals nu het geval is. Dat stelt Google. Het techbedrijf lijkt daarmee vooruit te lopen op afspraken van het CA/Browser (CA/B) Forum. Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Google stelde vorig jaar voor dat browsers vanaf maart dit jaar alleen nog maar TLS-certificaten van maximaal 13 maanden zouden moeten accepteren. Afgelopen september besloot het CA/Browser Forum over het inkorten van de levensduur te stemmen. Apple, Cisco, Google, Microsoft, Mozilla, Opera en internetbedrijf 360 waren voorstander, alsmede verschillende certificaatuitgevers, waaronder Amazon, Let's Encrypt en de Nederlandse overheidsinstantie Logius, verantwoordelijk voor PKIoverheid. Negentien certificaatuitgevers waren echter tegen en twee onthielden zich van stemming. Daardoor werd het voorstel niet aangenomen. Vorige maand werd bekend dat Apple niet gaat wachten totdat het CA/Browser Forum de kortere levensduur omarmt. Het techbedrijf zal eenzijdig de nieuwe termijn gaan handhaven. Safari zal certificaten met een levensduur van meer dan 398 dagen niet meer vertrouwen, waardoor gebruikers bij het bezoek van websites met een dergelijk certificaat een waarschuwing te zien krijgen. Nu meldt Google dat de levensduur van certificaten in de "nabije toekomst" naar één jaar wordt teruggebracht. Dit heeft als gevolg dat certificaten vaker zullen moeten worden vervangen. Daarom gaat Google automatisch beheer van TLS-certificaten voor gebruikers van Google-diensten inschakelen. "Ons doel is eenvoudig: we willen dat TLS out of the box werkt, ongeachte welke Google-dienst je gebruikt", zegt Siddharth Bhai van Google. Hiervoor maakt Google gebruik van een interne Automatic Certificate Management Environment (ACME), genaamd Google Trust Services. Hierdoor hoeven gebruikers zich geen zorgen meer te maken over verlopen certificaten, omdat certificaten voor klanten automatisch worden verlengd, merkt Bhai op. Daarnaast krijgen alle Blogger-blogs, Google Sites en Google My Business-sites nu standaard https voor hun eigen domeinen. bron: security.nl

De Rowhammer-aanval, die vijf jaar geleden werd onthuld, blijkt in aangepaste vorm ook tegen DDR4- geheugen te werken, waarvan eerst nog werd aangenomen dat het hier tegen bestand was. Dat hebben onderzoekers van de Vrije Universiteit (VU) Amsterdam aangetoond in een nieuw onderzoek. Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben. Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk voor een aanvaller op een systeem om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De eerste Rowhammer-aanval werd tegen DDR3-geheugen gedemonstreerd. Om dergelijke aanvallen te voorkomen namen geheugenfabrikanten allerlei maatregelen in DDR4-geheugen, dat door moderne systemen en telefoons wordt gebruikt. Die maatregelen blijken tegen de originele Rowhammer-aanval te werken, maar zijn kwetsbaar voor nieuwe varianten. Onderzoekers van de VU besloten de beveiligingsmaatregelen die fabrikanten aan hun geheugen toevoegden te onderzoeken. Daardoor kregen de onderzoekers niet alleen inzicht in de werking van de maatregelen, maar ook hoe die zijn te omzeilen. "Via nieuwe hammering-patronen is het eenvoudig om tal van nieuwe bit flips te veroorzaken. Wederom laten deze resultaten het gevaar zien van een gebrek aan transparantie en security-by-obscurity. Dit is met name problematisch omdat in tegenstelling tot softwarekwetsbaarheden, deze hardware bit flips niet na de productie zijn te verhelpen", aldus de onderzoekers. Om de aanval uit te voeren moet een aanvaller wel in staat zijn om kwaadaardige code op de aangevallen machine uit te voeren. "Het is belangrijk om te onthouden dat Rowhammer of afgeleide aanvallen, zoals de nieuwe TRR-techniek, vereisen dat een aanvaller lokaal kwaadaardige code op het aangevallen systeem kan uitvoeren. Daarom adviseert Oracle klanten om goede security practices op te volgen, zoals het toepassen van verminderde rechten en het up-to-date houden van besturingssysteemsoftware en firmware", aldus Oracle in een analyse van de aanval. De onderzoekers ontwikkelden een tool genaamd TRRespass waarmee kan worden gekeken of geheugenmodules voor de nieuwe aanval kwetsbaar zijn. Deze tool is open source en via GitHub verkrijgbaar. Daarnaast zullen de onderzoekers een Android-app uitbrengen. Het geheugen in verschillende telefoons, waaronder de Google Pixel 3 en Samsung Galaxy S10, is namelijk ook kwetsbaar voor de nieuwe Rowhammer-aanval. bron: security.nl

Microsoft waarschuwt organisaties voor een kritiek beveiligingslek in SMBv3 waardoor een aanvaller op afstand code op de SMB-server of SMB-client kan uitvoeren en een beveiligingsupdate is nog niet beschikbaar. "Microsoft is bekend met een remote code execution-kwetsbaarheid in de manier waarop het Microsoft Server Message Block 3.1.1 (SMBv3) protocol bepaalde verzoeken verwerkt", aldus een advisory van Microsoft. Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Door het versturen van een speciaal geprepareerd pakket naar een SMBv3-server kan een aanvaller willekeurige code op de server kunnen uitvoeren. De aanvaller hoeft hierbij niet over een wachtwoord te beschikken om op de server zelf in te kunnen inloggen. Daarnaast is het mogelijk om SMB-clients over te nemen die verbinding met een kwaadaardige SMBv3-server maken. Een aanvaller zou bijvoorbeeld eerst de server kunnen aanvallen en vervolgens alle clients die verbinding maken infecteren. Volgens sommige berichten zou een worm zich via het lek kunnen verspreiden, zo laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. De organisatie wijst naar een blogpost van Cisco over de maandelijkse patchdinsdag van Microsoft waarin details over het beveiligingslek stonden vermeld. Inmiddels is de blogpost aangepast en de verwijzing naar de kwetsbaarheid verwijderd. Een aantal uren na de publicatie verscheen de advisory van Microsoft online. Het CERT/CC stelt dat op dit moment geen praktische oplossing voorhanden is. Als tijdelijke oplossing wordt aangeraden om SMBv3-compressie uit te schakelen. Tevens wordt aangeraden om uitgaande SMB-verbindingen (TCP-poort 445 voor SMBv3) van het lokale netwerk naar het WAN te blokkeren. Ook moeten SMB-verbindingen van het internet geen verbinding met het bedrijfsnetwerk kunnen maken. Microsoft adviseert organisaties om beveiligingsupdates voor de kwetsbaarheid meteen te installeren zodra die beschikbaar komen. Wanneer dit is, is nog onbekend. bron: security.nl

Tijdens de patchdinsdag van maart heeft Microsoft 115 kwetsbaarheden in Windows, Office en andere programma's gepatcht, waaronder een LNK-lek waardoor aanvallers kwetsbare systemen zouden kunnen overnemen. Van de 115 beveiligingslekken zijn er 26 als kritiek aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller willekeurige code op het systeem uitvoeren, met nauwelijks enige interactie van gebruikers. In het geval van het LNK-lek volstaat het openen van een usb-stick of remote share waarop een kwaadaardig LNK-bestand staat. Het is niet nodig om het bestand zelf te openen. LNK is de extensie die Windows voor snelkoppelingen gebruikt. De kwetsbaarheid bevond zich in de manier waarop Windows LNK-bestanden verwerkt. Een aanvaller zou het slachtoffer een usb-stick of remote share met een snelkoppeling en malware kunnen aanbieden. Zodra de usb-stick of remote share in Windowsverkenner of andere applicatie wordt geopend, zorgt het beveiligingslek ervoor dat Windows de snelkoppeling automatisch uitvoert en de malware waarnaar wordt verwezen. Vorige maand kwam Microsoft ook al met een beveiligingsupdate voor een soortgelijke LNK-kwetsbaarheid en eerder kon de beruchte Stuxnetworm zich via een dergelijk lek verspreiden. Verder zijn er meerdere ernstige kwetsbaarheden in Edge, Internet Explorer, Microsoft Office en Dynamics Business Central verholpen. Via twee beveiligingslekken in Windows Defender kon een aanvaller die al toegang tot een systeem had zijn rechten via de ingebouwde virusscanner verhogen. Op de meeste systemen zullen de beveiligingsupdates automatisch worden geïnstalleerd. bron: security.nl

Microsoft en partners in 35 landen hebben tijdens een gecoördineerde actie het Necurs-botnet ontregeld. Volgens Microsoft heeft het botnet meer dan negen miljoen computers besmet en is het één van de grootste spambotnets op internet. Dagelijks zou het botnet miljoenen spamberichten versturen. Tijdens een periode van 58 dagen zagen onderzoekers dat één met Necurs besmette computer 3,8 miljoen spamberichten verstuurde. De criminelen achter Necurs zouden toegang tot besmette computers aan andere criminelen verhuren of verkopen. Verder zou Necurs ook betrokken zijn bij het verspreiden van banking Trojans, ransomware en cryptominers. Op 5 maart verstrekte een Amerikaanse rechter een bevel waardoor Microsoft de Amerikaanse infrastructuur die Necurs gebruikt voor het infecteren van computers kon overnemen. Necurs maakt gebruik van een algoritme voor het genereren van domeinen die worden gebruikt om met besmette computers te communiceren. Microsoft analyseerde dit algoritme en kon zo meer dan zes miljoen unieke domeinnamen voorspellen die in de komende 25 maanden zouden worden gegenereerd. Deze domeinen werden aan verschillende registries wereldwijd doorgegeven zodat die de domeinen kunnen blokkeren waardoor ze niet door Necurs zijn te gebruiken. "Door bestaande websites over te nemen en de mogelijkheid om nieuwe te registreren hebben we het botnet ernstig ontregeld", aldus Tom Burt van Microsoft. Het techbedrijf zal nu met allerlei internetproviders gaan samenwerken om met Necurs besmette computers op te schonen. bron: security.nl

Vandaag is er een nieuwe versie van Firefox verschenen die meerdere kwetsbaarheden verhelpt, support van TLS 1.0 en 1.1 uitschakelt, de privacy van videogesprekken verbetert en Facebookgebruikers op de Container-extensie wijst. Firefox 74 bevat meerdere nieuwe features en aanpassingen. Daarnaast zijn er twaalf kwetsbaarheden verholpen die als "high" zijn bestempeld. Via dergelijke kwetsbaarheden kan een kwaadaardige website gevoelige data van andere geopende websites stelen of data of code in die websites injecteren, waarbij alleen het bezoeken van de kwaadaardige website voldoende was geweest. Mozilla merkt op dat met genoeg moeite het misschien mogelijk was geweest om via de beveiligingslekken willekeurige code op systemen uit te voeren. Firefox biedt nu ook meer privacy bij telefoon- en videogesprekken via het web. Hiervoor maakt de browser gebruik van mDNS ICE (Multicast DNS Interactive Connectivity Establishment) dat door WebRTC (Real-Time Communicatie) te gebruiken is. De browser voorziet in bepaalde WebRTC-scenario's het ip-adres van de computer van een willekeurig ID. Facebook Container Daarnaast staat in de release notes van Firefox 74 apart Facebook Container vermeld. Facebook Container is een browserextensie die het Facebookprofiel isoleert van de rest van de activiteiten die de gebruiker op het web uitvoert. Hiervoor wordt er van een aparte container gebruikgemaakt. Dit moet het lastiger voor Facebook maken om gebruikers via third-party cookies op andere websites te volgen. Als gebruikers bijvoorbeeld een link op Facebook.com openen die naar een andere website wijst zal die buiten de container worden geladen. De extensie bestaat al enige tijd, maar wordt niet alleennu apart in de release notes genoemd, maar ook op de pagina die de nieuwe Firefoxversie aankondigt. Tevens is de ondersteuning van TLS 1.0 en 1.1 uitgeschakeld. Websites die voor het opzetten van een beveiligde verbinding van deze encryptieprotocollen gebruikmaken zorgen nu voor een foutmelding in de browser. Volgens cijfers van internetbedrijf Netcraft gaat het om 850.000 websites. Updaten naar Firefox 74 kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

Verschillende populaire adblock- en vpn-apps hebben in het geheim gegevens van miljoenen mensen verzameld, zo claimt BuzzFeed News op basis van eigen onderzoek. Het gaat om Free and Unlimited VPN, Luna VPN, Mobile Data, en Adblock Focus die in de Google Play Store zijn en waren te vinden. Van Adblock Focus was ook een iOS-versie in de Apple App Store beschikbaar, terwijl Luna VPN daar nog steeds is te downloaden. Zodra de apps geïnstalleerd zijn krijgen gebruikers de vraag om een rootcertificaat te installeren. Vanwege het beveiligingsrisico voor gebruikers beperken Apple en Google rootcertificaatrechten. De apps omzeilen deze beperkingen door gebruikers via een externe website een certificaat te laten installeren. Met het certificaat is het mogelijk om verkeer van en naar de telefoon te inspecteren. De apps blijken van het analyticsbedrijf Sensor Tower te zijn. Gebruikers wordt echter niet verteld dat hun data naar dit bedrijf gaat. Het bedrijf laat BuzzFeed News weten dat het alleen geanonimiseerde gebruiks- en analyticsdata verzamelt, die vervolgens in de eigen producten wordt verwerkt. Het inlichtingenplatform van Sensor Tower wordt door ontwikkelaars, durfinvesteerders, uitgevers en andere partijen gebruikt om de populariteit, gebruikstrends en omzet van apps te volgen. Wegens het overtreden van de regels waren eerder meerdere Sensor Tower-apps al uit de App Store verwijderd. Na te zijn ingelicht door BuzzFeed News verwijderde Apple ook Adblock Focus. Luna VPN is echter nog steeds te downloaden. Google heeft Mobile Data uit de Play Store verwijderd. Wat betreft de andere apps zeggen beide techbedrijven dat ze die nog aan het onderzoeken zijn. bron: security.nl