Captain Kirk

Firefox heeft dns-provider NextDNS als tweede aanbieder voor DNS over HTTPS (DoH) gekozen. Gebruikers die hun dns-verkeer via DoH willen beveiligen kunnen nu naast Cloudflare ook voor NextDNS kiezen. DNS over HTTPS versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Mozilla noemt het gebruik van DoH een belangrijke maatregel om de privacy en security van gebruikers te beschermen. Er wordt daarbij gewezen naar Amerikaanse providers die gegevens van hun klanten verkopen, dns manipuleren om advertenties te injecteren en browsegedrag verzamelen om gerichte advertenties te tonen. Mozilla wil DoH straks standaard voor Firefoxgebruikers inschakelen en koos voor een implementatie waarbij in eerste instantie alleen internetbedrijf Cloudflare de versleutelde dns-verzoeken zou ontvangen. Nu laat Mozilla weten dat het een tweede dns-provider heeft gevonden die aan het "Trusted Recursive Resolver programma" van Firefox zal deelnemen. Mozilla stelt dat het alleen providers kiest die aan een streng privacybeleid voldoen. Het gaat dan om het verzamelen en bewaren van zo min mogelijk data, transparant zijn over de data die toch wordt verzameld en het beperken van de mogelijkheid voor de dns-provider om content te blokkeren of aan te passen. Mozilla hoopt dat in de toekomst meer dns-providers zich bij het programma zullen aansluiten. Firefoxgebruikers die niet willen wachten totdat de maatregel automatisch wordt ingeschakeld kunnen DNS over HTTPS nu al zelf inschakelen. bron: security.nl

Bedrijven en organisaties die door ransomware zijn getroffen hebben vaak geen andere optie dan te betalen om hun gegevens terug te krijgen, aldus Microsoft. De softwaregigant wordt geregeld door getroffen klanten gevraagd of ze na een ransomware-aanval het gevraagde losgeld moeten betalen. Microsoft moedigt het betalen niet aan, maar stelt dat organisaties in de praktijk vaak beperkte opties hebben. "De pijnlijke waarheid voor de meeste organisaties is dat het betalen van het losgeld vaak de enige optie is", zegt Microsofts Ola Peters. De optie om systemen te herstellen is door het ontbreken van goede back-ups, of omdat die door de ransomware zijn versleuteld, niet meer aanwezig. Peters merkt op dat tal van Amerikaanse steden door ransomware zijn getroffen waarbij ook de back-ups werden versleuteld of verwijderd. "We moedigen slachtoffers van ransomware nooit aan om te betalen. Het betalen van het losgeld is vaak kostbaar, gevaarlijk en versterkt de capaciteiten van de aanvallers om hun operaties voort te zetten", gaat Peters verder. Daarnaast is er geen garantie dat het betalen ook een decryptiesleutel oplevert waarmee bestanden zijn te herstellen. Microsoft adviseert bedrijven dan ook om goed voorbereid te zijn op ransomware-infecties en andere cyberincidenten. Zo wordt aangeraden om e-mail te filteren, beveiligingsupdates te installeren, up-to-date antivirussoftware te gebruiken, beheerdersaccounts en standaard gebruikersaccounts te scheiden. "Het scheiden van deze geprivilegieerde accounts zorgt niet alleen voor het handhaven van de juiste access control, maar zorgt er ook voor dat één enkel gecompromitteerd account niet tot een volledig gecompromitteerde omgeving leidt", merkt Peters op. Afsluitend krijgen organisaties het advies om whitelisting toe te passen en regelmatig back-ups te maken die op een secondaire locatie worden bewaard. "Het is van het grootste belang dat alle getroffen bestanden eenvoudig zijn te herstellen via een goede back-up op een tweede locatie die niet door de ransomware is getroffen", besluit Peters. bron: security.nl

Een recent ontdekt beveiligingslek in vpn-implementaties op Linux, FreeBSD, OpenBSD, macOS, iOS en Android is niet voor massasurveillance te gebruiken en maakt ook het inspecteren van datapakketjes niet mogelijk, zo stelt vpn-provider ProtonVPN. De kwetsbaarheid maakt het wel mogelijk voor een aanvaller om te "raden" of een gebruiker een bepaalde website bezoekt. Wanneer dit een http-site is kan de aanvaller data in de onversleutelde verbinding injecteren. Voorwaarde is wel dat de aanvaller controle over het wifi-netwerk of lokale netwerk van het doelwit heeft. Volgens ProtonMail is de kwetsbaarheid dan ook niet te gebruiken voor massasurveillance en is het onwaarschijnlijk dat die tegen de doorsnee vpn-gebruiker wordt ingezet. ProtonMail stelt dat het als vpn-dienst weinig aan het probleem kan doen, aangezien het speelt bij het besturingssysteem van de gebruiker. In het geval van de eigen Linux-client heeft ProtonVPN een oplossing doorgevoerd waarbij er van IPTables gebruik wordt gemaakt. Eigenaren van een Androidtoestel of iPhone zouden over een geroot of gejailbreakt toestel moeten beschikken om zelf de benodigde beveiligingsaanpassingen door te voeren. Op de vraag of gebruikers zich over dit vpn-lek zorgen moeten maken stelt ProtonVPN dat dit afhankelijk is van het dreigingsmodel van de gebruiker en of die bijvoorbeeld verbinding met bepaalde wifi-netwerken of lokale netwerken maakt. In het geval er via een onbekend netwerk wordt gesurft kunnen Android-, iOS- en macOS-gebruikers ook van Tor Browser gebruikmaken, aldus de vpn-aanbieder. bron: security.nl

De makers van de Sodinokibi-ransowmare, ook bekend als REvil, dreigen bestanden van slachtoffers te publiceren tenzij het gevraagde losgeld wordt betaald. De ransomware zou de bestanden voor het versleutelen stelen en naar de aanvallers sturen, zo meldt de website Bleeping Computer. Bij één slachtoffer zou deze tactiek al zijn toegepast. Het gaat om de Amerikaanse datacenterprovider CyrusOne, die begin deze maand met Sodinokibi besmet raakte. Eén van de personen die bij de Sodinokibi-ransowmare is betrokken heeft op een forum aangekondigd dat gestolen bestanden zullen worden gebruikt om getroffen bedrijven en organisaties onder druk te zetten. Wanneer een organisatie het losgeld niet betaalt, worden de gegevens online gezet of met een concurrent gedeeld. De schade die dit veroorzaakt zou volgens de makers groter zijn dan het betalen van het losgeld. Door ransomware getroffen organisaties stellen geregeld dat er geen aanwijzingen zijn dat er gegevens zijn gestolen. "Een zeer zorgwekkende verandering als ransomware dreigt om data te publiceren tenzij het losgeld wordt betaald, en zelfs de AVG als reden noemt", zegt Raj Samani van antivirusbedrijf McAfee. De Sodinokibi-ransomware wordt onder andere verspreid via bekende kwetsbaarheden in Oracle WebLogic-servers en kwaadaardige macro's in Microsoft Office-documenten. Onlangs raakten meer dan honderd Amerikaanse tandartsenpraktijken met deze ransomware besmet nadat aanvallers toegang tot hun it-dienstverlener hadden gekregen. bron: security.nl

De beruchte Emotet-malware, die voor een aantal van de grootste ransomware-uitbraken van het afgelopen jaar verantwoordelijk was, is weer begonnen met het versturen van e-mails die linken naar macro-documenten. Het Emotet-botnet werd afgelopen september na een periode van zo'n vier maanden weer actief. Sindsdien verstuurde Emotet alleen maar Microsoft Office-documenten met kwaadaardige macro's die wanneer ingeschakeld het systeem infecteerden. Voorheen gebruikte Emotet een combinatie van bijlagen en links naar Office-documenten. De keuze voor alleen bijlagen was volgens anti-spamorganisatie Spamhaus opvallend, aangezien spamfilters Office-documenten met verdachte macrofuncties standaard blokkeren. Sinds zes december zijn er echter weer Emotet-mails gesignaleerd die naar Office-documenten linken. Uit cijfers van Spamhaus blijkt dat het Emotet-botnet dagelijks honderdduizenden e-mails verstuurd, met een piek van 600.000 berichten op 21 november. Emotet maakt gebruik van de adresboeken van Outlook en Thunderbird om nieuwe slachtoffers te vinden. Deze personen ontvangen elke dag één e-mail van Emotet. Dit moet ervoor zorgen dat de e-mails niet teveel opvallen. Emotet was oorspronkelijk ontwikkeld als een banking Trojan waarmee geld van rekeningen werd gestolen, maar wordt inmiddels ook gebruikt voor het installeren van aanvullende malware, waaronder ransomware. bron: security.nl

De IETF is een standaardenorganisatie die zich bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. Twee jaar geleden werd het voorstel voor "security.txt" ingediend. Het gaat om een bestandje waarmee organisaties en websites kunnen aangeven hoe onderzoekers gevonden kwetsbaarheden kunnen rapporteren. Volgens de bedenkers van het voorstel beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Het bestand security.txt moet dit voorkomen. Google is één van de partijen die al van security.txt gebruikmaakt. De bedenkers van het voorstel lanceerden de website securitytxt.org, waarmee het mogelijk is om een dergelijk tekstbestand te genereren. De Internet Engineering Steering Group (IESG), verantwoordelijk voor het internetstandaardenproces bij de IETF, zal de komende weken een beslissing nemen of security.txt een standaard wordt. Het is daarbij nog mogelijk om tot 6 januari volgend jaar op het voorstel te reageren. Een ander bekend txt-bestand waar de IETF eerder over besliste is de "Robots exclusion standard", of beter bekend als "robots.txt". Hiermee kunnen websites aangeven welke delen van de site niet door webcrawlers mogen worden gescand en geïndexeerd. bron: security.nl

Onderzoekers hebben honderden malafide webwinkels ontdekt die namaakgoederen als echte producten verkopen en door andere cybercriminelen zijn besmet met malware die creditcardgegevens steelt. Het gaat om schoenenwinkels die schoenen van allerlei bekende merken claimen te verkopen. De schoenen zijn echter namaak, aldus securitybedrijf Malwarebytes. Klanten die bij deze webshops producten bestellen lopen risico om twee keer slachtoffer te worden. Criminelen zijn er namelijk in geslaagd om toegang tot de webwinkels te krijgen en hebben daar JavaScriptcode aan toegevoegd die creditcardgegevens van klanten steelt. Gegevens die klanten op de betaalpagina invoeren, zoals creditcardnummers en andere data, wordt naar een remote server gestuurd. Volgens onderzoeker Jerome Segura zijn de webwinkels gecompromitteerd doordat die verouderde versies van Magento en PHP draaiden. Deze oude versies bevatten bekende kwetsbaarheden waardoor het mogelijk is om op afstand willekeurige code binnen de webwinkel uit te voeren en die over te nemen. bron: security.nl

De Duitse internetprovider 1&1 Telecom is veroordeeld tot een boete van 9,5 miljoen euro wegens het overtreden van de AVG. Het bedrijf bleek de gegevens van klanten niet goed te beschermen. Alleen door het opgeven van een naam en geboortedatum was het mogelijk om klantgegevens op te vragen. Volgens de Duitse toezichthouder BfDI heeft 1&1 Telecom hiermee de AVG overtreden, die stelt dat organisaties gepaste technische en organisatorische maatregelen moeten nemen om persoonlijke gegevens te beschermen. Na kritiek van de BfDI heeft de internetprovider het authenticatieproces aangepast door aanvullende informatie te vragen. Daarnaast wordt er nu een nieuwe authenticatieprocedure doorgevoerd. Ondanks deze maatregelen is de boete volgens de toezichthouder op zijn plaats. De overtreding vormde namelijk een risico voor alle klanten. De boete is vanwege de medewerking van 1&1 aan de lage kant van het mogelijke boetbedrag uitgevallen. De internetprovider laat op de eigen website weten dat het tegen de boete beroep aantekent omdat die buitensporig zou zijn. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin maar liefst twee ernstige kwetsbaarheden zijn verholpen waardoor een aanvaller het onderliggende systeem had kunnen overnemen. De beveiligingslekken bevonden zich in de wachtwoordmanager en het bluetooth-onderdeel van Chrome. Veel details over de kwetsbaarheden zijn nog niet bekendgemaakt. In het geval van het lek in de wachtwoordmanager, die door Sergei Glazunov van Google werd gevonden, ging het om een heap buffer overflow waardoor het uitvoeren van willekeurige code op het systeem mogelijk was. Het bluetooth-lek betrof een use after free. Dit lek werd ontdekt door Gengming Liu en Jianyu Chen van Tencent Keen Security Lab. Google beloonde de onderzoekers voor hun bugmelding met 20.000 dollar. In beide kwetsbaarheden was alleen het bezoeken van een speciaal geprepareerde webpagina voldoende om de aanvaller willekeurige code uit te laten uitvoeren. In tegenstelling tot andere browsers worden ernstige kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Dit jaar gaat het echter om een "recordaantal". Tot nu toe staat de teller op vijf "critical" kwetsbaarheden. Vorig jaar waren het vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Met Chrome 79.0.3945.79 zijn in totaal 51 kwetsbaarheden verholpen. Naast de twee ernstige lekken gaat het ook om kwetsbaarheden waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren. bron: security.nl

Microsoft heeft tijdens de laatste patchdinsdag van 2019 een actief aangevallen zerodaylek in Windows gepatcht. De kwetsbaarheid werd in combinatie met twee aangevallen zerodaylekken in Chrome gebruikt. Via het lek kon een aanvaller die al toegang tot het systeem had zijn rechten verhogen. Dat laat antivirusbedrijf Kaspersky weten. Het bedrijf meldde vorige maand al dat het een "watering hole attack" had ontdekt waarbij de Chrome-lekken werden gebruikt om gebruikers met malware te infecteren. Bij een dergelijke aanval plaatsen aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezoeken. In dit geval werd de exploit op een niet nader genoemde Koreaanse nieuwssite geplaatst. Nu blijkt dat de aanvallers de zerodaylekken in Chrome, waarvan er in ieder geval één begin november werd gepatcht, combineerden met de kwetsbaarheid in Windows om uit de Chrome-sandbox te ontsnappen en hogere rechten op de computer te krijgen. Verdere details over de aanval zijn niet bekendgemaakt. Overige kwetsbaarheden In totaal heeft Microsoft tijdens de patchdinsdag van december 36 kwetsbaarheden verholpen in Windows, Internet Explorer, Microsoft Office, SQL Server, Visual Studio en Skype for Business. Zeven daarvan zijn er als ernstig bestempeld. Het gaat onder andere om een lek in de virtualisatiesoftware Windows Hyper-V, waardoor een gebruiker op een gevirtualiseerd gastsysteem het onderliggende hostsysteem kan overnemen. Tevens is er een ernstige kwetsbaarheid gepatcht waardoor een aanvaller Windowscomputers via speciaal geprepareerde fonts had kunnen overnemen. De beveiligingsupdates worden op de meeste computers automatisch geïnstalleerd. Microsoft heeft tijdens de laatste patchdinsdag van 2019 een actief aangevallen zerodaylek in Windows gepatcht. De kwetsbaarheid werd in combinatie met twee aangevallen zerodaylekken in Chrome gebruikt. Via het lek kon een aanvaller die al toegang tot het systeem had zijn rechten verhogen. Dat laat antivirusbedrijf Kaspersky weten. Het bedrijf meldde vorige maand al dat het een "watering hole attack" had ontdekt waarbij de Chrome-lekken werden gebruikt om gebruikers met malware te infecteren. Bij een dergelijke aanval plaatsen aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezoeken. In dit geval werd de exploit op een niet nader genoemde Koreaanse nieuwssite geplaatst. Nu blijkt dat de aanvallers de zerodaylekken in Chrome, waarvan er in ieder geval één begin november werd gepatcht, combineerden met de kwetsbaarheid in Windows om uit de Chrome-sandbox te ontsnappen en hogere rechten op de computer te krijgen. Verdere details over de aanval zijn niet bekendgemaakt. Overige kwetsbaarheden In totaal heeft Microsoft tijdens de patchdinsdag van december 36 kwetsbaarheden verholpen in Windows, Internet Explorer, Microsoft Office, SQL Server, Visual Studio en Skype for Business. Zeven daarvan zijn er als ernstig bestempeld. Het gaat onder andere om een lek in de virtualisatiesoftware Windows Hyper-V, waardoor een gebruiker op een gevirtualiseerd gastsysteem het onderliggende hostsysteem kan overnemen. Tevens is er een ernstige kwetsbaarheid gepatcht waardoor een aanvaller Windowscomputers via speciaal geprepareerde fonts had kunnen overnemen. De beveiligingsupdates worden op de meeste computers automatisch geïnstalleerd. bron: security.nl

Antivirusbedrijf Avast verdient miljoenen dollars aan de verkoop van het surfgedrag van gebruikers. De data wordt verzameld via de browserextensies die miljoenen mensen hebben geïnstalleerd. De data bevat echter geen identificerende gegevens, zo laat Avast-ceo Ondrej Vlcek aan zakenblad Forbes weten. Onlangs besloten Mozilla en Opera de browserextensies van Avast uit hun extensie-stores te verwijderen. Volgens Vlcek is er geen sprake van een privacyschandaal. De gegevens die de extensies vastleggen zijn namelijk niet naar gebruikers te herleiden, zo merkt hij op. De verzamelde data wordt geanalyseerd door het bedrijf Jumpshot, waar Avast een meerheidsbelang in heeft. Vervolgens wordt de data aan klanten verkocht. Het gaat dan om investeerders en "brand managers". Die kunnen zo zien hoe mensen van het internet gebruikmaken. Bijvoorbeeld welk percentage gebruikers van de ene naar de andere website gaat. Vlcek benadrukt dat adverteerders de data niet kunnen gebruiken om gerichte advertenties aan specifieke gebruikers te tonen. De verkoop van de data levert Avast vele miljoen dollars op. In de eerst helft van dit jaar had het antivirusbedrijf een omzet van 430 miljoen dollar. Twintig miljoen daarvan was afkomstig van de verkoop van surfgegevens. Avast heeft naar eigen zeggen 400 miljoen gebruikers. bron: security.nl

De afgelopen jaren zijn tal van overheidsinstanties, schooldistricten en bedrijven wereldwijd door de Ryuk-ransomware getroffen, die bij gerichte aanvallen wordt verspreid. De aanvallers achter de Ryuk hebben naar schatting miljoenen euro's met de ransomware verdiend. Slachtoffers die betalen ontvangen een decryptietool om hun versleutelde bestanden te ontsleutelen. Securitybedrijf Emsisoft waarschuwt dat de nieuwste decryptietool die de aanvallers verstrekken bij het ontsleutelen grote bestanden kan beschadigen, wat tot dataverlies kan leiden. Wanneer de Ryuk-ransomware een bestand van 54,4MB of groter tegenkomt wordt alleen een bepaald gedeelte versleuteld. Dit moet het versleutelproces van alle bestanden op de computer versnellen. Gedeeltelijk versleutelde bestanden beschikken over een iets andere footer aan het einde van het bestand. In één van de laatste Ryuk-versies is een aanpassing doorgevoerd aan het berekenen van de lengte van de footer. Dit heeft als neveneffect dat bestanden bij het ontsleutelen kunnen worden ingekort. Afhankelijk van het soort bestand kan dit grote gevolgen hebben. Het gaat dan bijvoorbeeld om virtuele schijftypes en databasebestanden die door de decryptietool beschadigd raken en niet meer goed zullen werken. Organisaties die de decryptietool uitvoeren wordt dan ook geadviseerd eerst een back-up te maken. Daarnaast biedt Emsisoft een oplossing die er wel voor zorgt dat versleutelde bestanden goed worden ontsleuteld. In dit geval moeten organisaties nog steeds eerst het losgeld betalen en de decryptietool van de aanvallers krijgen. bron: security.nl

Vanaf begin volgend jaar moeten ontwikkelaars van Firefox-extensies hun Firefox-account met tweefactorauthenticatie (2FA) beschermen, zo heeft Mozilla aangekondigd. De maatregel moet voorkomen dat aanvallers het account van een extensie-ontwikkelaar kunnen overnemen om vervolgens malware onder gebruikers te verspreiden. Mozilla stelt dat het ervoor zal zorgen dat het inschakelen en gebruik van 2FA zo eenvoudig mogelijk is voordat de maatregel van kracht wordt. Zodra 2FA is verplicht zullen ontwikkelaars hier melding van krijgen wanneer ze een aanpassing aan hun extensie willen doorvoeren. Ontwikkelaars van Google Chrome-extensies waren vorig jaar herhaaldelijk doelwit van phishingaanvallen waarbij werd geprobeerd om hun accounts over te nemen en vervolgens malafide updates voor de betreffende extensie uit te rollen. Wanneer Mozilla de maatregel precies invoert is nog niet bekend. bron: security.nl

Er is een nieuwe versie van Internet.nl gelanceerd die nu ook kan testen of websites en mailservers aan de TLS-richtlijnen van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid voldoen. Internet.nl is een testtool van het Platform Internetstandaarden dat als doel heeft om het gebruik van moderne internetstandaarden verder te vergroten. Internet.nl controleerde al op allerlei zaken en heeft nu ook de nieuwste TLS-richtlijnen van het NCSC toegevoegd. In april van dit jaar publiceerde de overheidsinstantie een nieuwe versie van de richtlijnen om rekening te houden met de ontwikkeling van de TLS-standaard. De nieuwe richtlijnen bieden configuraties op basis van TLS 1.3, dat de nieuwste versie van het TLS-protocol is. Daarnaast wordt aangeraden om bepaalde configuraties uit te faseren, zoals TLS 1.0, TLS 1.1 en 3DES en algoritmes voor statische sleuteluitwisselingen. Via Internet.nl kunnen organisaties nu eenvoudig controleren of hun mailserver of website hieraan voldoet. Het Platform Internetstandaarden stelt dat behoorlijk wat mailservers alleen oudere TLS-versies ondersteunen. "Als de verzendende en ontvangende mailserver niet allebei dezelfde TLS-versie ondersteunen, dan zullen ze doorgaans terugvallen op onversleuteld transport. Om die reden kan het raadzaam zijn om de TLS-versies met status 'uit te faseren' voorlopig te blijven ondersteunen. Maak op basis van loggegevens een weloverwogen keuze voor het uitzetten van deze 'uit te faseren' TLS-versies." bron: security.nl

Onderzoekers hebben een ransomware-exemplaar ontdekt dat antivirussoftware probeert te omzeilen door Windowscomputers in de veilige modus te starten. In de veilige modus is de meeste beveiligingssoftware namelijk niet actief, waardoor de ransomware ongehinderd bestanden op de computer kan versleutelen. Snatch, zoals de ransomware door antivirusbedrijf Sophos wordt genoemd, maakt voor zichzelf een service aan die in de veilige modus wordt geladen. Vervolgens wordt de computer van het slachtoffer in de veilige modus herstart en de ransomware geladen. De criminelen achter de Snatch-ransomware zoeken naar kwetsbare, toegankelijke services. Het gaat dan bijvoorbeeld om systemen die via het Remote Desktopprotocol (RDP), TeamViewer en VNC toegankelijk zijn. Sophos is bekend met een incident waarbij de aanvallers via een bruteforce-aanval het beheerdersaccount van een Microsoft Azure-server wisten te achterhalen. Vervolgens werd er via RDP op de server ingelogd. Vanaf de Azure-server gebruikten de aanvallers het beheerdersaccount om op een domeincontrollermachine op hetzelfde netwerk in te loggen. Gedurende een aantal weken werd het netwerk van het slachtoffer verkend, waarna geprobeerd werd de ransomware te installeren. Het Amerikaanse securitybedrijf Coveware, dat voor bedrijven met cybercriminelen onderhandelt over het losgeld en ontsleutelen van bestanden, heeft tussen juli en oktober voor twaalf klanten met de criminelen achter de Snatch-ransomware onderhandeld. Om infecties door de ransomware te voorkomen adviseert Sophos om RDP-toegang niet voor heel het internet toegankelijk te maken. Organisaties die remote toegang willen bieden moeten dit via een VPN doen. Verder wordt het gebruikt van multifactorauthenticatie voor gebruikers met beheerdersrechten aangeraden. Tevens doen organisaties er verstandig aan om al hun machines te monitoren. De meeste infecties en aanvallen vonden plaats via onbeschermde en niet gemonitorde systemen. bron: security.nl

Wie privacy op internet belangrijk vindt kan beter geen Google Chrome gebruiken, zo stelt de versleutelde e-maildienst ProtonMail. Volgens de e-mailprovider moet elke discussie over privacy en webbrowsers met Chrome beginnen, dat ruim 60 procent van al het webverkeer verwerkt. "Google gebruikt Chrome als een venster om alles te kunnen bekijken wat je online doet. Tenzij je je Google-privacyinstellingen aanpast, verzamelt Chrome elke website die je bezoekt zodat Google je gerichte advertenties kan tonen", aldus ProtonMail. "Erger nog, Chrome blokkeert nauwelijks dat andere adverteerders en trackers je via cookies en fingerprinting monitoren." De e-maildienst wijst naar een artikel van The Washington Post dat Chrome tijdens een week browsen meer dan 11.000 trackingcookies toeliet die Mozilla Firefox automatisch blokkeerde. "Wil je dat 11.000 ogen meekijken elke keer dat je op internet iets zoekt?", stelt ProtonMail de vraag. Internetgebruikers die hun privacy belangrijk vinden krijgen dan ook het advies om naar een andere browser over te stappen. In totaal doet ProtonMail drie suggesties voor een privacyvriendelijke browser: Brave, Firefox en Tor Browser. De browsers worden geprezen omdat ze standaard trackers blokkeren en gebruikers allerlei opties bieden voor het beschermen van hun privacy. Een eervolle vermelding is er voor de DuckDuckGo-browser. "De browser die je kiest heeft een grote impact op je online privacy. Door naar een privacygerichte browser over te stappen kun je je surfgeschiedenis beschermen tegen bedrijven en trackers die alles wat je online doet willen monitoren", besluit ProtonMail. bron: security.nl

Een aanvaller heeft klantgegevens van online speelgoedwinkel Toppie Speelgoed gestolen en biedt de data nu op internet te koop aan. Mogelijk gaat het om bijna tienduizend Nederlandse en Belgische klanten, zo meldt VRT NWS. De winkel verkoopt producten via de eigen site en Bol.com. "Een hacker heeft misbruik gemaakt van een technisch proces dat we een tijdje geleden hebben uitgevoerd en waarbij klantengegevens van de ene server naar de andere zijn overgezet. De oplichters kunnen gelukkig niet de hele aankoopgeschiedenis van onze klanten zien, geen betaalmethodes of bankrekeningnummers", zegt Mike Bruinsma van Toppie Speelgoed. De hoeveelheid gelekte gegevens is afhankelijk van waar klanten het speelgoed kochten. De gestolen aankoopgeschiedenis bestaat uit aankoop, kosten, naam, betaalwijze en adresgegevens. Wanneer er direct bij Toppie Speelgoed werd gekocht zijn ook e-mailadres en telefoonnummer buitgemaakt. In het geval de bestelling via Bol.com werd geplaatst ging het alleen om naam en afleveradres. Bol.com verstuurt namelijk beperkte gegevens naar externe partners die via de website producten aanbieden. Bol.com benadrukt dat het incident buiten het eigen systeem heeft plaatsgevonden en te wijten is aan het systeem van de ondernemer. Toppie Speelgoed heeft inmiddels de Autoriteit Persoonsgegevens over het datalek gewaarschuwd. bron: security.nl

Een beveiligingslek in Linux, FreeBSD, OpenBSD, macOS, iOS en Android maakt het in bepaalde gevallen mogelijk voor aanvallers om verbindingen in de vpn-tunnel te kapen, te zien of er bepaalde websites worden bezocht en of de gebruiker een vpn gebruikt. De aanvaller hoeft hiervoor alleen pakketjes naar het doelwit te kunnen sturen. Dat stellen onderzoekers van de Universiteit van New Mexico. Om de aanval uit te voeren moet een slachtoffer wel met een kwaadaardig wifi-netwerk zijn verbonden of moet de aanvaller op hetzelfde netwerk zitten. Vervolgens kan de aanvaller door het versturen van bepaalde pakketjes zien of de gebruiker een specifieke website bezoekt en is het mogelijk om verkeer in de tcp-stream te injecteren. Het probleem is aanwezig in vpn-implementaties zoals OpenVPN, WireGuard en IKEv2/IPSec, alsmede *nix-gebaseerde besturingssystemen. Het maakt daarbij niet uit of er van ipv4 of ipv6 gebruik wordt gemaakt. Gebruikers kunnen verschillende maatregelen nemen om zich te beschermen, waaronder het inschakelen van reverse path filtering en bogon filtering, hoewel deze opties ook nieuwe problemen kunnen introduceren. Een andere mogelijke optie is het toevoegen van padding aan versleutelde pakketjes. De onderzoekers merken echter op dat dit geen bevredigende oplossingen zijn. Pas nadat er een goede workaround is gevonden zullen ze meer details over hun onderzoek vrijgeven. bron: security.nl

Een beveiligingslek in Linux, FreeBSD, OpenBSD, macOS, iOS en Android maakt het in bepaalde gevallen mogelijk voor aanvallers om verbindingen in de vpn-tunnel te kapen, te zien of er bepaalde websites worden bezocht en of de gebruiker een vpn gebruikt. De aanvaller hoeft hiervoor alleen pakketjes naar het doelwit te kunnen sturen. Dat stellen onderzoekers van de Universiteit van New Mexico. Om de aanval uit te voeren moet een slachtoffer wel met een kwaadaardig wifi-netwerk zijn verbonden of moet de aanvaller op hetzelfde netwerk zitten. Vervolgens kan de aanvaller door het versturen van bepaalde pakketjes zien of de gebruiker een specifieke website bezoekt en is het mogelijk om verkeer in de tcp-stream te injecteren. Het probleem is aanwezig in vpn-implementaties zoals OpenVPN, WireGuard en IKEv2/IPSec, alsmede *nix-gebaseerde besturingssystemen. Het maakt daarbij niet uit of er van ipv4 of ipv6 gebruik wordt gemaakt. Gebruikers kunnen verschillende maatregelen nemen om zich te beschermen, waaronder het inschakelen van reverse path filtering en bogon filtering, hoewel deze opties ook nieuwe problemen kunnen introduceren. Een andere mogelijke optie is het toevoegen van padding aan versleutelde pakketjes. De onderzoekers merken echter op dat dit geen bevredigende oplossingen zijn. Pas nadat er een goede workaround is gevonden zullen ze meer details over hun onderzoek vrijgeven. bron: security.nl

Microsoft heeft in de eerste drie maanden van dit jaar 44 miljoen Azure AD- en Microsoft-accounts gevonden waarvan het wachtwoord door de gebruiker was hergebruikt. De softwaregigant gebruikte een database met meer dan 3 miljard gelekte wachtwoorden om de wachtwoorden van eigen gebruikers te controleren. In het geval van 44 miljoen accounts werd er een match met de 3 miljard gelekte wachtwoorden gevonden. In deze gevallen besloot Microsoft het wachtwoord van de betreffende accounts te resetten. "Gegeven de frequentie waarmee wachtwoorden door meerdere individuen worden hergebruikt, is het belangrijk om je wachtwoord extra te beschermen. Multifactorauthenticatie is een belangrijk beveiligingsmechanisme dat je beveiliging drastisch kan verbeteren", aldus Microsoft. Het techbedrijf wijst ook naar een onderzoek van 2018 onder bijna 30 miljoen gebruikers en hun wachtwoorden die via datalekken op straat kwamen te liggen. Daaruit bleek dat het hergebruik en het enigszins aanpassen van wachtwoorden voor andere diensten door 52 procent van de gebruikers wordt gedaan. Uit hetzelfde onderzoek kwam naar voren dat 30 procent van de aangepaste wachtwoorden en alle hergebruikte wachtwoorden binnen tien pogingen zijn te kraken. Door dit gedrag lopen gebruikers risico dat hun account wordt gekaapt, zo waarschuwt Microsoft. bron: security.nl

Er is een ernstig remote authenticatielek in OpenBSD gepatcht dat aanvallers op afstand toegang tot verschillende systemen had kunnen geven. De kwetsbaarheid in het authenticatiesysteem werd ontdekt door onderzoekers van securitybedrijf Qualys en maakte het mogelijk om de authenticatie te omzeilen. Door het opgeven van een bepaalde gebruikersnaam kon een remote aanvaller in het geval van smtpd, ldapd en radiusd de authenticatie beïnvloeden zodat die automatisch succesvol was. Zodoende was het mogelijk om zonder geldig wachtwoord in te loggen. Hiervoor moest de gebruikersnaam "-schallenge" (of "-schallenge:passwd") worden gebruikt. Zodra een aanvaller deze gebruikersnaam opgaf werd hij automatisch ingelogd. De aanval werkte vanwege "defense-in-depth" maatregelen niet tegen sshd. Qualys waarschuwde de ontwikkelaars van OpenBSD, die binnen 40 uur met een patch kwamen. Naast het authenticatielek zijn ook drie andere kwetsbaarheden verholpen waardoor een aanvaller die al toegang tot een systeem had zijn rechten kon verhogen. Gebruikers van OpenBSD 6.5 en OpenBSD 6.6 krijgen het advies om de laatste updates te installeren. bron: security.nl

In het Midden-Oosten heeft een "vernietigende aanval" plaatsgevonden met malware die de Master Boot Record (MBR) van harde schijven wist en partities overschrijft, waardoor data verloren gaat en systemen niet meer opstarten, zo stelt IBM op basis van eigen onderzoek. Landen en namen van organisaties die door de aanval zijn getroffen zijn niet bekendgemaakt. De malware in kwestie wordt door IBM "ZeroCleare" genoemd en gebruikt het programma RawDisk van het softwarebedrijf Eldos om data te wissen. "De aanvallers achter ZeroCleare gebruiken RawDisk om de MBR te wissen en schijfpartities van een groot aantal systemen te beschadigen", aldus Limor Kessem van IBM. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. In 2012 werden 30.000 computers van de Saoedische oliegigant Saudi Aramco door zogeheten "wiper-malware" gewist. Die aanval begon met documenten met kwaadaardige macro's. Hoe aanvallers toegang tot systemen van de getroffen organisaties kregen om ZeroCleare te installeren laat IBM niet weten. Wel claimt het bedrijf dat de malware bij een "vernietigende aanval" in het Midden-Oosten is ingezet die bedrijven in de energie en industriële sectoren heeft getroffen. Volgens IBM maken aanvallers bij de meeste aanvallen gebruik van accounts met verhoogde rechten om zich verder in het netwerk te bewegen. Er wordt dan ook aangeraden om het aantal van dergelijke accounts te beperken en ze van multifactorauthenticatie te voorzien. Daarnaast moet het niet mogelijk zijn om met één account alle systemen te benaderen. Tevens doen organisaties er verstandig aan om back-ups te maken, die te testen en offline te bewaren. bron: security.nl

Microsoft heeft besloten om in Edge 79 standaard meer soorten trackers te blokkeren, waardoor de browser nu zo'n 25 procent meer trackers blokkeert dan met Edge 78 het geval is. De browser doet dit door onder andere te kijken naar de manier waarop gebruikers met websites omgaan. De trackingbescherming in de Chromium-versie van Edge kent drie niveaus: basic, balanced en strict. Alle drie de niveaus blokkeren kwaadaardige trackers. De laatste twee niveaus blokkeren ook potentiële trackers van websites die gebruikers niet hebben bezocht. Het strengste niveau kan er ook voor zorgen dat sommige websites niet meer werken. Microsoft wilde kijken of het in de balanced mode, die standaard staat ingeschakeld, meer trackers kan blokkeren. Hiervoor kijkt de browser naar de relatie tussen de gebruiker en bezochte websites. Iets wat mogelijk is via de "Site Engagement" score van Chromium. Deze score laat zien hoe betrokken een gebruiker bij een bepaalde website is. Hoe vaker de gebruiker een bepaalde website bezoekt, des te groter de betrokkenheid. Microsoft merkt op dat deze score lokaal op de computer wordt berekend en het systeem nooit verlaat. Door het berekenen van de score is het mogelijk om meer trackers te identificeren, aangezien dit domeinen zijn die de gebruiker niet of nauwelijks bezoekt. Op deze manier blokkeert Edge 79 in de balanced mode 25 procent meer trackers, aldus Microsoft. Tevens is het nu makkelijker om in de browser te zien welke trackers er zijn geblokkeerd. Microsoft heeft ervoor gekozen om Edge voortaan op Chromium te baseren, de browser die ook de basis van Chrome vormt. De op Chromium-gebaseerde versie van Edge is echter alleen nog als testversie beschikbaar. Wanneer die in de definitieve versie van Windows 10 verschijnt is nog onbekend. bron: security.nl

Mozilla is onder Amerikaanse Firefoxgebruikers een nieuwe bètatest van de eigen vpn-dienst gestart. Firefox Private Network (FPN) is een browserextensie die een versleutelde verbinding biedt. Doordat het oorspronkelijke ip-adres van de gebruiker is verborgen, zou dit het ook lastiger moeten maken om de gebruiker op het web te volgen, aldus Mozilla. In september vond de eerste bètatest van de vpn-dienst plaats. Vandaag is een tweede test begonnen. Deelnemers aan de test kunnen twaalf uur per maand hun verbindingen via de vpn-dienst versleutelen. Voorwaarde is wel dat de gebruiker een Firefox-account heeft. Volgens Mozilla is de dienst ideaal met het oog op de feestdagen, als mensen tijdens het reizen eerder geneigd zijn een openbaar wifi-netwerk te gebruiken. Wanneer de extensie voor gebruikers in andere landen beschikbaar komt is nog niet bekend. Voor Firefoxgebruikers die een "full-device" vpn zoeken biedt Mozilla een volwaardige vpn-dienst, die onbeperkt is te gebruiken. De dienst bestaat uit een vpn-applicatie en werkt vooralsnog alleen op Windows 10. Gedurende de bètatest kost de vpn-dienst 5 dollar per maand. Op dit moment is er echter een wachtlijst. Ondersteuning van Android en iOS zal "binnenkort" volgen. bron: security.nl

Mozilla heeft de Firefox-extensies van antivirusbedrijven Avast en AVG van de eigen marktplaats verwijderd omdat ze gegevens van gebruikers zouden verzamelen. Verschillende andere extensies werden vanwege het ongevraagd verzamelen van data bij alle Firefoxgebruikers geblokkeerd. Dat laat Wladimir Palant weten, de ontwikkelaar van Adblock Plus. Een maand geleden publiceerde Palant onderzoek naar de extensies van Avast, die het surfgedrag van gebruikers in detail verzamelen. Iets dat ook in het privacybeleid van Avast staat vermeld. De extensies hadden deze gegevens echter niet nodig om te kunnen werken. Mozilla verbiedt dat Firefox-extensies zonder toestemming en medeweten van gebruikers data verzamelen. Palant waarschuwde zowel Google als Mozilla over de extensies. Gisteren besloot Mozilla tientallen extensies bij Firefoxgebruikers te blokkeren omdat ze zonder toestemming van gebruikers data verzamelen. De extensies van Avast en AVG zijn niet bij gebruikers geblokkeerd, maar wel van addons.mozilla.org verwijderd. Volgens Palant zou Mozilla hierover met Avast in gesprek zijn. Google heeft nog geen stappen tegen de extensies genomen. bron: security.nl