Captain Kirk

De Belgische politie waarschuwt jongeren om geen katvanger te worden, nu criminelen actief naar deze doelgroep op zoek zijn. Katvangers zijn mensen die hun rekening ter beschikking van criminelen stellen of geld dat via misdrijven is verkregen naar criminelen overmaken. Ook wordt katvangers gevraagd om hun bankpas en pincode af te staan. "Zodra de criminelen over die informatie beschikken, kunnen ze het van oplichting afkomstige geld op de overeenkomstige rekening overschrijven en het bedrag vervolgens aan een bankautomaat afhalen", zegt Olivier Bogaert, commissaris bij de Computer Crime Unit van de Belgische politie. Criminelen maken gebruik van van sociale netwerken, zoals Instagram, Snapchat of WhatsApp, om met jongeren in contact te treden. Jongeren worden ook benaderd in de buurt van scholen en zelfs in de schoolbus, aldus de Belgische politie. Ook zouden katvangers de beloofde beloning voor het meewerken nooit ontvangen en krijgen ze hun bankpas niet meer terug. "Door te doen wat de oplichters vragen, brengt de jongere zichzelf in een zwakke positie. Ze kunnen immers eisen om hen nog een keer te helpen. Weigert hij, dan volgen al snel (fysieke) bedreigingen. Bovendien verleent hij als 'geldezel' de oplichters onmisbare hulp en kan hij daarvoor vervolgd worden", aldus Bogaert. In het geval van minderjarigen worden de ouders aansprakelijk gesteld. "Zij zullen opdraaien voor de kosten", merkt de commissaris op. Vorig jaar maakte Europol nog bekend dat het meer aandacht aan het opsporen van katvangers gaat geven. De afgelopen jaren hebben Europol, banken en politiediensten tijdens speciale "katvangerweken" meer dan 2.000 katvangers geïdentificeerd, wat tot 400 arrestaties leidde. Meer dan 90 procent van alle frauduleuze transacties die werden ontdekt hadden banden met cybercrime, zoals phishing, webwinkelfraude en ceo-fraude. bron: security.nl

Het op privacy gerichte besturingssysteem Tails wil meer mensen bereiken en heeft daarom een nieuwe installatiemethode geïntroduceerd. Gebruikers hoeven geen ISO-image meer te downloaden, maar kunnen voortaan met een aparte image voor usb-sticks aan de slag. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Meer en meer laptops worden echter zonder dvd-speler geleverd. De installatie van Tails op een usb-stick was voorheen complex en vereiste twee usb-sticks. De nieuwe installatiemethode maakt het voor gebruikers van allerlei platformen eenvoudiger om Tails voortaan op een usb-stick te installeren. Zo is er voor macOS een grafische tool beschikbaar, zodat gebruikers niet meer vanaf de commandline hoeven te werken. Windows-gebruikers hoeven niet meer over twee usb-sticks te beschikken. Daarnaast zorgt de nieuwe installatiemethode voor usb-sticks die beter op nieuwe computers met UEFI werken. Verder is voor Linux-distributies de installatie sneller gemaakt en is het ook op deze platformen niet meer nodig om twee usb-sticks te gebruiken. Voor mensen met een dvd-speler of die Tails vanuit een virtual machine draaien zullen er gewoon ISO-bestanden beschikbaar blijven. Tails 3.12 verhelpt daarnaast allerlei beveiligingslekken, start sneller op en biedt betere hardwareondersteuning. De volgende versie van Tails staat gepland voor 19 maart. bron: security.nl

Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin een ernstig beveiligingslek is verholpen. Via een dergelijke kwetsbaarheid kan een aanvaller het onderliggende systeem overnemen, waarbij er nauwelijks interactie van de gebruiker is vereist. Alleen het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie is voldoende. Dergelijke kwetsbaarheden worden zelden in Chrome gevonden. Vorig jaar verhielp Google vier ernstige lekken, een recordaantal. In 2014, 2015, 2016 en 2017 werden er respectievelijk drie, twee, geen en drie ernstige kwetsbaarheden door externe onderzoekers in Chrome ontdekt en aan Google gerapporteerd. Het nu verholpen ernstige lek was aanwezig in QUIC, een door Google ontwikkeld netwerkprotocol. In 2017 werden er in QUIC ook al twee ernstige kwetsbaarheden ontdekt. De onderzoeker die het probleem bij Google meldde kreeg hiervoor een beloning van 7500 dollar. Daarnaast zijn er ook nog 57 andere beveiligingslekken in Chrome 72 gepatcht die minder ernstig van aard waren. Verder geeft Chrome 72 geen ftp-content meer weer in de browser en is de ondersteuning van public key pinning verwijderd. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning. Updaten naar Chrome 72.0.3626.81 gebeurt op de meeste systemen automatisch. bron: security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die over een verbeterde trackingbescherming beschikt. Gebruikers hebben nu keuze uit verschillende opties, afhankelijk van de gewenste privacybescherming. Zo is er de optie om alleen bekende trackers in privévensters te blokkeren. De strengere optie blokkeert alle bekende trackers en third-party trackingcookies in zowel de normale als privévensters. Dit kan er echter voor zorgen dat bepaalde websites niet meer werken, zo waarschuwt Mozilla. Als laatste is er de optie waarbij gebruikers zelf kunnen bepalen in welke vensters ze trackers willen blokkeren en wat voor soort cookies er moeten worden geblokkeerd. De opties staan nog niet standaard ingeschakeld. Dat zal later dit jaar gebeuren. Voordat Mozilla dit doet is de browserontwikkelaar van plan om eerst meer experimenten uit te voeren. Daarnaast is er voor de Android-, Mac- en Linux-versies betere bescherming tegen "stack smashing" toegevoegd. Deze aanvallen kunnen voor een overflow zorgen waardoor een aanvaller zijn code kan uitvoeren. Tevens is de pop-upblocker verbeterd en zal nu voorkomen dat websites meerdere pop-upvensters tegelijkertijd kunnen openen. Mozilla 65 is te downloaden via de automatische updatefunctie van de browser en Mozilla.org. bron: security.nl

Microsoft Exchange 2013 en nieuwer zijn kwetsbaar voor NTLM relay-aanvallen, waardoor een aanvaller op afstand systemen kan overnemen. Een praktische oplossing is nog niet voorhanden, wel verschillende workarounds, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Door de kwetsbaarheid kan een gebruiker met een mailbox, of een aanvaller die hier toegang toe heeft, domeinbeheerder worden. Volgens onderzoeker Dirk-jan Mollema is de aanval, genaamd "PrivExchange", bij de standaardinstallatie van Exchange mogelijk. De onderzoeker zegt dat bij waarschijnlijk 90 procent van de organisaties die hij heeft gezien en van Exchange gebruikmaken de aanval een aanvaller domeinbeheerder zou maken. Exchange ondersteunt een programmeerinterface (API) genaamd Exchange Web Services (EWS). Eén van de functies van deze API kan worden gebruikt om de Exchange-server met een willekeurige website verbinding te laten maken. Voor de verbinding wordt gebruik gemaakt van NTLM-authenticatie. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Vanaf Exchange 2013 maakt de NTLM-authenticatie over http geen gebruik van de NTLM Sign en Seal flags. Hierdoor zijn de authenticatiepogingen kwetsbaar voor NTLM relay-aanvallen. Een aanvaller die inloggegevens voor een Exchange-mailbox heeft en met zowel een Microsoft Exchange-server als een Windows-domeincontroller kan communiceren, kan vervolgens beheerdersrechten krijgen. Een aanvaller kan via de functies van de API de Exchange-server met zijn machine verbinding laten maken. Hierbij verstuurt de Exchange-server de NTLM-inloggegevens. Deze gegevens kan de aanvaller weer gebruiken om bij de domeincontroller in te loggen, zo laat het Internet Storm Center weten. Ook zou een aanvaller zonder Exchange-wachtwoord dezelfde aanval kunnen uitvoeren door een smb naar http relay-aanval te gebruiken, zolang ze zich in hetzelfde netwerksegment als de Exchange-server bevinden. Volgens het CERT/CC zijn er geen praktische oplossingen voor het probleem beschikbaar. Wel kunnen organisaties verschillende workarounds toepassen, zoals het uitschakelen van EWS push/pull subscriptions en het verwijderen van de privileges die Exchange op een domeinobject heeft. Ook Mollema beschrijft verschillende workarounds die organisaties kunnen toepassen. bron: security.nl

Beheerders van systemen met Windows Server 2012 of Windows Embedded 8 Standard moeten overstappen op Internet Explorer 11, anders zullen ze geen beveiligingsupdates meer voor de browser ontvangen. Op dit moment is Internet Explorer 10 de standaardbrowser voor deze besturingssystemen. Internet Explorer 11 is volgens Microsoft veiliger en sneller. Om de overstap naar deze versie mogelijk te maken kunnen commerciële klanten die Windows Server 2012 en Windows Embedded 8 Standard draaien IE11 binnen hun testomgevingen gebruiken. De browser zal aankomende lente worden aangeboden via de Microsoft Update Catalogus. Later dit jaar zal de IE11-upgrade ook via Windows Update en Windows Server Update Services (WSUS) zijn te downloaden. Beheerders hebben tot januari 2020 om de overstap van Internet Explorer 10 naar IE11 af te ronden. Hierna zullen er geen beveiligingsupdates en niet-security gerelateerde updates meer voor IE10 verschijnen. Ook zullen er geen gratis of betaalde ondersteuningsopties meer worden aangeboden. Microsoft adviseert organisaties om de beschikbare tijd te gebruiken om IE11 te testen, zodat de migratie op tijd kan worden afgerond. Windows Server 2012 wordt tot 10 oktober 2023 met beveiligingsupdates ondersteund. bron: security.nl

Firefox gaat binnenkort standaard allerlei trackers blokkeren, waarbij de nadruk ligt op trackers die worden gebruikt voor het maken van profielen van internetgebruikers. Het gaat dan bijvoorbeeld om supercookies en fingerprinting en verschillende vormen van tracking waarbij gebruikers over meerdere websites via cookies en url-parameters worden gevolgd. "Al jarenlang hebben internetgebruikers grote privacyschendingen moeten verduren. Hun browsegedrag wordt stelselmatig en stilletjes over het web gevolgd. Trackingtechnieken zijn inmiddels zo geavanceerd dat gebruikers geen zinnige controle meer hebben over hun persoonlijke data wordt gebruikt", aldus Mozilla's Steven Englehardt. Om de privacy van Firefox-gebruikers te beschermen gaat Mozilla daarom standaard trackers in de browser blokkeren. De browserontwikkelaar heeft nu het beleid gepubliceerd waarin staat vermeld welke trackers straks worden geblokkeerd. Het gaat dan om trackingtechnieken waarmee profielen van internetgebruikers worden gemaakt en trackingtechnieken die gebruikers niet op zinnige wijze zelf kunnen stoppen. Partijen die niet willen dat ze straks worden geblokkeerd worden door Mozilla opgeroepen om te stoppen met het tracken van Firefox-gebruikers over verschillende websites. Voor het classificeren van trackers maakt Mozilla gebruik van de Tracking Protection List van Disconnect, een populaire privacyplug-in. Englehardt benadrukt dat het nu gepubliceerde anti-trackingbeleid geen definitieve versie is. "Het is een levend document dat we zullen bijwerken in reactie op nieuwe trackingtechnieken. We vinden dat alle browsers een fundamentele verplichting hebben om hun gebruikers tegen tracking te beschermen en we hopen dat de publicatie van ons beleid de discussie helpt over welke privacybescherming standaard voor alle internetgebruikers zou moeten gelden." bron: security.nl

De FBI, Europol en verschillende Europese politiediensten hebben een online marktplaats gesloten die toegang tot gehackte servers verkocht. Het ging om xDedic, waar cybercriminelen in gecompromitteerde RDP-gegevens handelden. Via het Remote Desktopprotocol is het mogelijk om op afstand op servers in te loggen. In 2016 werd voor het bestaan van de marktplaats gewaarschuwd, waar op dat moment RDP-inloggegevens van 70.000 servers werden aangeboden. In dat zelfde jaar startte het Belgische openbaar ministerie een onderzoek naar xDedic. Via "speciale onderzoekstechnieken" werd de criminele infrastructuur achter de xDedic-website zichtbaar en konden er kopieën van de belangrijkste servers worden gemaakt, zo laat Eurojust weten. Een analyse van de inhoud van de servers leidde naar de identiteit van de xDedic-beheerders. Vorig jaar vond er overleg plaats tussen de FBI, Europol, Oekraïne en België, waarbij de operatie tegen de website werd besproken. Met een gerechtelijk bevel van een Amerikaanse rechter werden op 24 januari servers en domeinen van de website in beslag genomen. In Oekraïne werden ook systemen in beslag genomen, alsmede drie verdachten ondervraagd. Volgens Europol en het Amerikaanse openbaar ministerie werden servers van allerlei organisaties wereldwijd aangeboden, waaronder overheidsdiensten, zorginstellingen, universiteiten en pensioenfondsen. De autoriteiten denken dat de website voor meer dan 68 miljoen dollar aan fraude heeft gefaciliteerd. Waar dit bedrag op is gebaseerd wordt niet duidelijk gemaakt. bron: security.nl

De populaire videosite Dailymotion is het doelwit van een aanval geworden waarbij aanvallers accounts van gebruikers via hergebruikte wachtwoorden probeerden over te nemen. Het ging om wachtwoorden die eerder bij andere websites waren gestolen, zo laat de videosite in een verklaring weten. Bij een niet nader genoemd aantal accounts wisten de aanvallers via de hergebruikte wachtwoorden in te loggen. Van deze accounts zijn de wachtwoorden gereset en moeten gebruikers een nieuw wachtwoord instellen. Tevens heeft Dailymotion melding gemaakt van het incident bij de Franse privacytoezichthouder CNIL, aldus een e-mail die gebruikers ontvingen. Dailymotion heeft naar eigen zeggen 300 miljoen unieke maandelijkse gebruikers. Onlangs wisten aanvallers ook Nest-camera's via hergebruikte wachtwoorden over te nemen, alsmede RTL-accounts, accounts van Dunkin' Donuts en Eurostar. Gebruikers krijgen dan ook het advies om voor elk account een uniek wachtwoord in te stellen. bron: security.nl

Bijna 10.000 routers van Cisco die via internet toegankelijk zijn, zijn kwetsbaar voor aanvallen omdat ze beveiligingsupdates missen die afgelopen woensdag werden uitgebracht. Aanvallers zijn inmiddels actief op zoek naar deze kwetsbare apparaten. Beheerders krijgen dan ook het advies om de updates zo snel als mogelijk te installeren. Cisco kwam afgelopen woensdag met beveiligingsupdates voor de Small Business RV320 en RV325 Dual Gigabit WAN VPN Routers. Via één van de verholpen kwetsbaarheden kan een aanvaller op afstand de configuratie-instellingen uitlezen, waaronder het gehashte wachtwoord van de beheerder. De inloggegevens in combinatie met een andere kwetsbaarheid maken het vervolgens mogelijk om willekeurige commando's met rootrechten uit te voeren. Een aantal dagen na het uitkomen van de updates zag onderzoeker Troy Mursch van Bad Packets Report dat aanvallers naar kwetsbare RV320- en RV325-routers aan het zoeken zijn en er publieke exploitcode beschikbaar is. Iets wat ook door Cisco is bevestigd. De onderzoeker besloot daarop zelf een scan uit te voeren en ontdekte 9700 van deze routers die via internet toegankelijk zijn en waar de beveiligingsupdates nog niet zijn geïnstalleerd. Naast het installeren van de updates krijgen beheerders het advies om het beheerderswachtwoord te wijzigen, aangezien dat mogelijk al gecompromitteerd is. bron: security.nl

WordPress-sites van goede doelen, liefdadigheidsinstellingen en andere organisaties die gebruikmaken van de Total Donations-plug-in worden op dit moment actief aangevallen en overgenomen via een zogeheten zero-day. Een kwetsbaarheid waarvoor geen beveiligingsupdate beschikbaar is. In dit geval zal er waarschijnlijk ook geen patch meer worden ontwikkeld. WordPress-sites die van de plug-in gebruikmaken krijgen dan ook het advies om Total Donations meteen te verwijderen, zo laat securitybedrijf Wordfence weten. Total Donations is een plug-in waarmee WordPress-sites campagnes en beoogde doelen kunnen opgeven. Het gaat om een betaalde plug-in die buiten de WordPress repository wordt aangeboden. Via een beveiligingslek in de plug-in kan een aanvaller beheerderstoegang krijgen en zo de website volledig overnemen. Volgens Wordfence wordt deze kwetsbaarheid, die in versie 2.0.5 en ouder aanwezig is, actief gebruikt om websites over te nemen. Onderzoekers van het bedrijf vonden naast dit beveiligingslek ook tientallen andere kwetsbaarheden. Het lukte echter niet om de ontwikkelaars van Total Donations te benaderen. Het project lijkt verlaten te zijn, waardoor een update waarschijnlijk nooit meer zal verschijnen, zo laat één van de onderzoekers weten. Gebruikers wordt daarom geadviseerd de plug-in te verwijderen, in plaats van te deactiveren. bron: security.nl

Vergeet ook iet om je box te resetten. Even de stekkers eruit voor een paar minuten en dan heropstarten.

De Europese privacytoezichthouders hebben sinds de invoering van de Algemene verordening gegevensbescherming (AVG) vorig jaar mei meer dan 95.000 klachten van burgers ontvangen, zo heeft de Europese Commissie in een verklaring over Data Protection Day bekendgemaakt. Volgens de Europese Commissie zijn de positieve effecten van de AVG al merkbaar. "Burgers zijn bewuster over het belang van databescherming en hun rechten. En ze oefenen deze rechten uit, zoals privacytoezichthouders in hun dagelijkse werkzaamheden zien. Ze hebben nu meer dan 95.000 klachten van burgers ontvangen." De klachten gaan vooral over telemarketing, e-mailmarketing en videosurveillance. De Europese Commissie stelt verder dat de privacytoezichthouders de nieuwe privacyregels ook handhaven en hun acties beter onderling coördineren. Ook helpen de toezichthouders bedrijven en burgers met het uitleggen van hun rechten en verplichtingen. Onlangs kreeg Google van de Franse privacytoezichthouder CNIL nog een boete van 50 miljoen euro opgelegd wegens het overtreden van de AVG. De hoogste boete sinds de nieuwe privacywetgeving van kracht werd. Ondanks de lovende woorden merkt de Europese Commissie op dat er wel vijf EU-lidstaten zijn die hun juridisch raamwerk nog aan de nieuwe Europese privacyregels moeten aanpassen. bron: security.nl

De afgelopen weken zijn allerlei e-mails verstuurd die claimden dat de ontvanger een voicemailbericht had ontvangen. In werkelijkheid ging het om een phishingaanval waarbij werd geprobeerd inloggegevens te ontfutselen. De e-mails hadden als onderwerp "Voice Delivery Report" en als bijlage een EML-bestand. De aanvallers probeerden het bestand, VRF_audio-mail.923.e.wav.eml, door de vermelding van .wav als een audiobestand voor te doen. Wanneer de ontvanger het bestand opent wordt er een e-mailbericht geladen dat stelt dat er een nieuw voicemailbericht is ontvangen. Via de links in de e-mail kan dit zogenaamde bericht worden beluisterd of opgeslagen. In werkelijkheid wijzen de links naar een phishingsite, zo meldt securitybedrijf EdgeWave. Cybercriminelen gebruiken al langer voicemailberichten als onderwerp, maar vaak wordt er op deze manier malware verspreid. Om gebruikers te beschermen krijgen organisaties het advies om e-mails met EML-bijlagen te blokkeren of in quarantaine te plaatsen. Tevens wordt geadviseerd om uitgaande verbindingen naar .gq-domeinen te blokkeren, aangezien de phishingmails hier gebruik van maken. bron: security.nl

Een aanvaller is de afgelopen dagen erin geslaagd om op tientallen Nest-camera's in te loggen doordat de eigenaren hun wachtwoord hadden hergebruikt. Vervolgens gaf de aanvaller de eigenaren via de microfoon van de camera de opdracht om zich op het kanaal van YouTube-ster PewDiePie te abonneren. Tegenover Vice Magazine laat de aanvaller weten dat hij gebruikmaakt van gebruikersnamen en wachtwoorden die via datalekken openbaar zijn geworden. Met deze gelekte inloggegevens probeert de aanvaller vervolgens op Nest-accounts in te loggen. Dit is mogelijk omdat de eigenaren het gelekte wachtwoord ook voor hun Nest-account gebruiken. De aanvaller claimt dat hij op deze manier inmiddels de juiste inloggegevens voor 4.000 Nest-accounts in handen heeft. Deze accounts geven weer toegang tot de Nest-camera van de gebruiker. Het inloggen op Nest-camera's via hergebruikte wachtwoorden is niet nieuw. Vorige maande stelde Alphabet, het moederbedrijf van Nest en Google, dat het bekend is met wachtwoorden die bij andere bedrijven of websites zijn gestolen en worden gebruikt om Nest-camera's te benaderen. Gebruikers krijgen dan ook het advies een uniek wachtwoord in te stellen en tweefactorauthenticatie voor hun Nest-account te gebruiken. bron: security.nl

Via een onbeveiligde Elasticsearch-database zijn miljoenen hypotheek- en kredietrapporten gelekt. Het ging om zeer gevoelige gegevens, zoals social security nummers, namen, telefoonnummers, adresgegevens, kredietverleden en andere zaken die onderdeel van een hypotheek- of kredietrapport zijn. De 51GB grote database werd door beveiligingsonderzoeker Bob Diachenko gevonden en bevatte 24 miljoen records. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. In dit geval was de database zonder wachtwoord voor iedereen op internet benaderbaar. De gegevens bleken afkomstig te zijn van het databedrijf Ascension Data & Analytics, dat voor financiële instellingen en banken data-analyse verricht en papieren documenten via OCR (Optical character recognition) naar digitale bestanden omzet. In een verklaring tegenover TechCrunch laat het bedrijf weten dat het datalek is ontstaan door een configuratiefout bij de leverancier van het systeem. Na ontdekking van de fout is de server meteen uitgeschakeld. Ascension Data & Analytics meldt verder dat er een onderzoek naar het incident is ingesteld. bron: security.nl

Onderzoekers van securitybedrijf Lookout hebben chatgesprekken gevonden tussen een niet nader genoemde inlichtingendienst en aanbieders van zeroday-exploits voor Android, iOS, Internet Explorer, Edge en Adobe Flash Player. Eén van de medewerkers van de inlichtingendienst testte de malware op zijn eigen telefoon, waardoor WhatsApp-gegevens naar een server werden geüpload waar de onderzoekers die vonden. De WhatsApp-berichten bleken allerlei gesprekken te bevatten tussen de dienst en aanbieders van zeroday-exploits voor onbekende kwetsbaarheden in iOS, Android, Flash Player en Edge/IE. Zo claimden de aanbieders over een persistente root-exploit voor iOS 10 te beschikken die geen click van de gebruiker vereist. De aanval zou via een kwaadaardig iMessage-bericht kunnen worden uitgevoerd. Ook wordt er een zeroday-exploit aangeboden die misbruik maakt van een kwetsbaarheid in de Android Mediaserver en werkt tegen Android 4.4.4 tot en met 7.1. De exploit kan via MMS worden verstuurd en is te gebruiken tegen toestellen van HTC, Samsung, ASUS, Motorola, Xiaomi, LG, Sony en Huawei. De exploit zou tussen de 6 en 15 seconden voor het uitvoeren nodig hebben. Eén van de aanbieders is de NSO Group, die in het verleden vaker wegens de verkoop van zeroday-exploits in het nieuws is gekomen. Het bedrijf claimt over een exploit te beschikken die via SMS kan worden uitgevoerd. De exploit start de standaard browser van het slachtoffer en downloadt vervolgens een Trojaans paard. Diensten die de aanval inzetten wordt aangeraden dit 's nachts te doen, aangezien de browser van de gebruiker enige seconden wordt geopend. Onderzoekers Andrew Blaich en Michael Flossman van securitybedrijf Lookout presenteerden hun bevindingen tijdens de Shmoocon-conferentie. Ze stellen dat de dienst zeer effectief was in het ontwikkelen van een cybersurveillanceprogramma, aangezien er naar schatting 50GB aan gestolen data werd gevonden. "Deze actor maakte verschillende operationele securityfouten waardoor hij werd ontdekt en we langere tijd inzicht in zijn operaties kregen." De naam van de inlichtingendienst is nog niet bekendgemaakt, maar de onderzoekers hebben wel een vervolg op hun onderzoek aangekondigd. bron: security.nl

Back-updienst Backblaze heeft het jaarlijkse overzicht gepubliceerd van de betrouwbaarheid van harde schijven, gebaseerd op bijna 105.000 harde schijven die het in gebruik heeft. Sinds 2013 verzamelt het bedrijf statistieken over de uitval van gebruikte harde schijven. 2018 was een goed jaar wat betreft de uitval van harde schijven. Met een jaarlijkse uitvalratio van 1,25 procent was dit het laagste ratio tot nu toe. Verder blijkt dat de gemiddelde grootte van de gebruikte schijven is toegenomen van 4,5TB in 2016 naar 7,7TB in 2018. Sinds het tweede kwartaal van 2016 heeft Backblaze 45 Toshiba-schijven van 5TB in gebruik en geen van deze schijven is uitgevallen. Ook de 10TB-schijven van Seagate presteren goed met een jaarlijkse uitvalratio van 0,33 procent. Verder doen de 4TB-schijven van HGST het goed in de cijfers van Backblaze. De 14TB-schijven van Toshiba laten op jaarbasis de hoogste uitval zien, maar deze schijven werden pas in het vierde kwartaal van vorig jaar toegevoegd. Backblaze verwacht dan ook dat de uitvalratio over de tijd zal afnemen. Volgens de back-updienst was de grote trend in 2018 de migratie naar grotere harde schijven. Zo werd schijven van 2TB, 3TB en 4TB vervangen door schijven die 8TB tot en met 14TB groot zijn. Bij Backblaze groeide de totale opslag van 500 petabytes naar meer dan 750 petabytes. bron: security.nl

E-mail was vorig jaar de belangrijkste manier voor cybercriminelen om eindgebruikers aan te vallen, zo stelt anti-malwarebedrijf Malwarebytes in een vandaag verschenen rapport. Een jaar eerder waren exploits die van kwetsbaarheden in browsers en browserplug-ins gebruikmaken nog de populairste infectiemethode. Verschillende soorten malware zoals Emotet en TrickBot werden in 2018 op grote schaal via e-mail verspreid. De e-mails hadden bijlagen of links die naar de malware wezen. Het ging dan bijvoorbeeld om Microsoft Office-documenten met een embedded macro. Zodra gebruikers de macro inschakelden werd het systeem met malware besmet. Het gebruik van exploits, die misbruik maken van kwetsbaarheden in software, kende juist een daling. Dat komt volgens Malwarebytes doordat verschillende exploit-ontwikkelaars in 2017 werden opgepakt en browsers steeds veiliger worden. Het gebruik van zogeheten drive-by downloads, waarbij internetgebruikers via gehackte websites of besmette advertenties met malware geïnfecteerd raken, nam dan ook af. In 2018 vonden verschillende zeroday-aanvallen plaats die misbruik maakten van nieuwe kwetsbaarheden in Adobe Flash Player en Internet Explorer. In plaats van slachtoffers naar een website te lokken maakten de aanvallers bij deze aanvallen gebruik van Microsoft Office-documenten, waar een exploit voor het beveiligingslek aan was toegevoegd. Ook voor dit jaar verwacht Malwarebytes dat cybercriminelen social engineering, waarbij gebruikers worden verleid om bestanden of links te openen, weer uitgebreid zullen toepassen. bron: security.nl

In Nederland en België is er een nieuw ransomware-exemplaar met de naam Anatova gedetecteerd. Of de ransomware ook slachtoffers heeft gemaakt is onbekend, maar dit wordt niet uitgesloten, zo laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. McAfee publiceerde een blogposting over Anatova, waarin ook het aantal detecties in verschillende landen wordt getoond. De meeste detecties werden in de Verenigde Staten aangetroffen, gevolgd door België. Het gaat hier niet om infecties, maar om gevallen waarbij de anti-virussoftware van McAfee de ransomware detecteerde en stopte. Beek merkt op dat het hier alleen om de detecties van McAfee gaat en er niet kan worden uitgesloten dat er in Nederland of België systemen besmet zijn geraakt. De virusbestrijder ontdekte de ransomware op een private p2p-website waar gebruikers allerlei bestanden uitwisselen. Waarschijnlijk zijn er meer manieren waarop de ransomware wordt verspreid, maar die zijn nog niet bekend. Beek denkt dat de verspreiding via de p2p-website een testrun betreft om te kijken hoe succesvol de ransomware is. Net als andere ransomware versleutelt Anatova allerlei bestanden voor losgeld, waarbij er ook naar bestanden op netwerkmappen wordt gezocht. Om bestanden zo snel mogelijk te versleutelen versleutelt Anatova alleen bestanden van 1MB of kleiner. Voor het ontsleutelen moeten slachtoffers zo'n 630 euro betalen. Bij slachtoffers wordt er een tekstbestand in de mappen van versleutelde bestanden achtergelaten. Slachtoffers kunnen daarnaast één jpg-bestand kosteloos laten ontsleutelen. Opvallend aan de ransomware is dat die systemen in bepaalde landen niet versleutelt. Naast GOS-landen, wat vaker voorkomt, gaat het ook om Syrië, Egypte, Marokko, Irak en India. Een reden waarom deze specifieke landen worden vermeden kan McAfee niet geven. Onlangs besloten makers van de bekende GandCrab-ransomware om Syrische slachtoffers kosteloos hun bestanden terug te geven nadat een Syrische man liet weten dat hij door de ransomware foto's en video's van zijn omgekomen zoons was kwijtgeraakt. bron: security.nl

Miljoenen Windows-gebruikers draaien verouderde software met allerlei beveiligingslekken, zo blijkt uit onderzoek van anti-virusbedrijf Avast onder 163 miljoen computers (pdf). De anti-virussoftware van Avast geeft informatie door over de systemen waarop het is geïnstalleerd. Zo kon de virusbestrijder in kaart brengen welke programma's gebruikers hebben geïnstalleerd. Google Chrome is het meest geïnstalleerde programma dat op 91 procent van de computers staat, gevolgd door Adobe Acrobat Reader, WinRAR, Microsoft Office en Mozilla Firefox. Windows Live Essentials, dat sinds januari 2017 niet meer door Microsoft wordt ondersteund, staat nog steeds op 16 procent van de onderzochte computers. Gebruikers krijgen dan ook het advies om niet gebruikte software te verwijderen. Verder blijkt dat maar liefst 55 procent van alle geïnstalleerde applicaties niet de laatste versie is. Zo blijken de meeste installaties van Adobe Shockwave, VLC Media Player, Skype en Java Runtime ernstig achter te lopen, aldus Avast. Tevens blijkt dat veel installaties van Firefox en Thunderbird verouderd zijn, ook al beschikken deze programma's al enige tijd over een automatische updatefunctie. In 2017 was nog 48 procent van alle applicaties verouderd. Windows 7 is onder Avast-gebruikers het meestgebruikte besturingssysteem (43 procent), gevolgd door Windows 10 (40 procent). Miljoenen Windows 7-systemen draaien echter niet de laatste versie van het besturingssysteem. Zo draait 15 procent de RTM-versie van 2009. In het geval van Windows 10 is 9 procent verouderd. Ook hier gaat het om miljoenen systemen. Niet alleen lopen de Windows-versies achter, ook Microsoft Office is vaak niet up-to-date of verouderd. Zo blijkt dat 15 procent van de gebruikers Office 2007 draait, dat inmiddels niet meer door Microsoft wordt ondersteund. Het onderzoek laat zien dat de gemiddelde pc zes jaar oud is. De helft van de systemen heeft 4GB geheugen en 85 procent alleen een traditionele harde schijf. bron: security.nl

Een groep van 265 beveiligingsonderzoekers heeft in tien maanden tijd zo'n 100.000 websites offline weten te krijgen die voor de verspreiding van malware werden gebruikt. De takedowns waren onderdeel van URLhaus, een project dat begin vorig jaar werd gelanceerd. Via URLhaus worden door malware gebruikte url's verzameld en gedeeld. Sinds de lancering hebben onderzoekers gemiddeld 300 malware-sites per dag bij het project gerapporteerd. Na de ontdekking van een url moet die vervolgens door de betreffende provider uit de lucht worden gehaald. Gemiddeld zijn malware-sites meer dan een week actief voordat ze offline gaan. "Dat is meer dan genoeg om elke dag duizenden apparaten te infecteren", zegt Roman Hussy, de man achter URLhaus en Abuse.ch. Met name de drie Chinese partijen waar de meeste malware-sites werden gevonden reageren langzaam. De abuse-afdeling van deze providers hebben meer dan een maand nodig om op abusemeldingen te reageren. Volgens Hussy is URLhaus dankzij de "infosec community" een groot succes. "Het is het bewijs dat het delen van informatie de sleutel is in het bestrijden van malware en botnets." Er is echter nog een lange weg te gaan wat betreft de reactietijd van abuse-afdelingen bij providers, aldus Hussy. "Een gemiddelde reactietijd van meer dan een week is gewoon te lang en het bewijs van slechte internethygiëne." De onderzoeker hoopt dat Chinese hostingproviders in de toekomst sneller zullen gaan reageren op de abusemeldingen over hun netwerk. "Het is gewoon niet acceptabel dat malware-sitess meer dan een maand actief blijven." bron: security.nl

Malwarebytes heeft een update uitgebracht die moet voorkomen dat de beveiligingssoftware Windows 7-computers laat vastlopen. Sinds december klaagden gebruikers van het populaire anti-malwareprogramma dat hun Windows 7-systemen vastliepen. Alleen het uitschakelen van de computer was de enige manier om het systeem weer aan de praat te krijgen. Het bleek echter lastig om de exacte oorzaak te bepalen, waarop de malwarebestrijder de hulp van gebruikers vroeg. Onlangs lukte het Malwarebytes om het probleem te reproduceren. Het bleek te liggen in een combinatie van systemen met multiple core processors en de Web Protection-module op Windows 7. Meer dan een maand na de eerste meldingen verscheen afgelopen vrijdag een update (3.6.1 v1.0.527) die het vastlopen moet voorkomen. Verschillende gebruikers die met de vastlopers te maken kregen melden op het Malwarebytes-forum dat hun computer na de installatie van de update niet meer is vastgelopen. Malwarebytes behoort tot de populairste beveiligingssoftware onder Windows-gebruikers. bron: security.nl

De Franse privacytoezichthouder CNIL heeft Google een boete van 50 miljoen euro opgelegd wegens het overtreden van de Algemene verordening gegevensbescherming (AVG). Volgens de autoriteit schiet de internetgigant tekort in de informatievoorziening over het verwerken en opslaan van gegevens voor het personaliseren van advertenties, alsmede het verkrijgen van geldige toestemming. "Essentiële informatie, zoals het doel van de dataverwerking, de bewaartermijn van data en de soorten persoonlijke data die voor gepersonaliseerde advertenties worden gebruikt, zijn buitensporig over verschillende documenten verspreid, met knoppen en links die voor aanvullende informatie moeten worden geklikt. De relevante informatie is alleen na verschillende stappen toegankelijk, waarbij soms vijf tot zes acties nodig zijn", aldus CNIL. Daarnaast gaat Google de fout in door te stellen dat het over een juridische basis beschikt voor het verwerken van gegevens voor gepersonaliseerde advertenties. "Google stelt dat het toestemming van gebruikers verkrijgt voor het verwerken van data voor gepersonaliseerde advertenties. Deze toestemming is echter voor twee redenen niet geldig", zo gaat de Franse privacytoezichthouder verder. De eerste reden is dat gebruikers niet voldoende door Google worden geïnformeerd. De informatie over de dataverwerkingen is over verschillende documenten verspreid en zorgt ervoor dat de gebruiker niet in staat is om de omvang van de dataverwerkingen te beseffen. Verder is de verzamelde toestemming niet "specifiek" noch "ondubbelzinnig", stelt CNIL. Als er een account wordt aangemaakt kan de gebruiker wel verschillende opties over het account aanpassen, maar het is niet mogelijk om de weergave van gepersonaliseerde advertenties in het eerste scherm in te stellen. Daarnaast staat het weergeven van gepersonaliseerde advertenties bij de uitgebreidere opties standaard geselecteerd. Verder moet een gebruiker bij het aanmaken van een account zijn toestemming geven voor alle dataverwerkingen door Google, wat niet specifiek is en daarmee in overtreding van de AVG, aldus CNIL. Het is de eerste keer dat de Franse privacytoezichthouder de nieuwe boetebevoegdheid van de AVG inzet. De hoogte van het bedrag worden volgens CNIL gerechtvaardigd door de ernst van de overtreding aangaande de essentiële principes van de AVG, namelijk transparantie, informatie en toestemming. CNIL stelt verder dat Android een groot marktaandeel op de Franse markt heeft en dagelijks duizenden mensen een Google-account aanmaken om hun smartphone te gebruiken. Het economische model van het bedrijf is daarnaast op gepersonaliseerde advertenties gebaseerd. Daarom is het van het grootste belang om aan de wetgeving te voldoen, zo besluit de toezichthouder. bron: security.nl

Aanvallers maken misbruik van een beveiligingslek in Adminer, een populaire tool voor het beheren van MySQL- en PostgreSQL-databases, om wachtwoorden van webwinkels te stelen. Dat laat de Nederlandse beveiligingsonderzoeker Willem de Groot in een analyse weten. Om de wachtwoorden te kunnen stelen moeten aanvallers een open Adminer-installatie van het slachtoffer verbinding met een kwaadaardige MySQL-server laten maken. "Dit is niet lastig, aangezien veel mensen het in de root van hun website installeren", aldus De Groot. Adminer maakt dan verbinding met de kwaadaardige servers. De aanvallers vragen Adminer om een specifiek bestand dat het wachtwoord van geïnstalleerde applicaties gaat. Het gaat dan bijvoorbeeld om webwinkels die op het Magento-platform zijn gebaseerd, of WordPress-websites. De kwetsbaarheid zou al sinds augustus 2018 bekend zijn. De Groot laat weten dat de aanvalsmethode al op z'n minst sinds oktober 2018 door criminelen wordt gebruikt. Destijds had de onderzoeker nog niet door wat er precies plaatsvond. Wel zag hij dat criminelen het lek gebruikten om op verschillende grote webwinkels een skimmer te injecteren die creditcardgegevens van klanten opving en terugstuurde. De Groot merkt op dat hij Adminer versie 4.3.1 tot en met 4.6.2 heeft getest en al deze versies zijn kwetsbaar. Adminer versie 4.6.3, die vorig jaar juni verscheen, blijkt niet kwetsbaar te zijn. "Het is onduidelijk of het beveiligingslek opzettelijk is verholpen of per ongeluk, aangezien Adminer geen beveiligingsupdate vermeld", aldus de onderzoeker. Beheerders krijgen het advies om naar de laatste versie (4.7.0) te upgraden en toegang tot de database via een extra wachtwoord of ip-filter te beschermen. bron: security.nl