Captain Kirk

De Amerikaanse autoriteiten hebben met hulp van de Nederlandse politie vijftien domeinen van ddos-diensten in beslag genomen. Ook zijn er drie verdachten aangeklaagd voor het beheer van deze websites. Deze diensten, ook bekend als stressers of booters, voeren tegen betaling ddos-aanvallen uit. Volgens het Amerikaanse openbaar ministerie waren de aanvallen gericht tegen financiële instellingen, universiteiten, internetproviders, overheidssystemen en verschilleden gamingplatformen. Voordat de domeinnamen in beslag werden genomen werden de aangeboden ddos-diensten eerst door de FBI getest. De opsporingsdienst stelde vervolgens vast dat deze diensten netwerken van allerlei niveaus kunnen verstoren. Eén van de ddos-diensten waarvan de domeinnaam in beslag is genomen was al sinds 2012 operationeel en had meer dan 80.000 gebruikers. In de aankondiging van het nieuws bedankt het Amerikaanse openbaar ministerie ook het Team High Tech Crime van de Nederlandse politie. Het logo van de Nederlandse politie is daarnaast op de in beslag genomen domeinnamen te zien. bron: security.nl

De recente aanval met de Shamoon-malware, die servers van bedrijven in Europa en het Midden-Oosten wiste, begon met verschillende nagemaakte vacaturesites van deze bedrijven. Dat laat anti-virusbedrijf McAfee in een analyse weten. De nagemaakte vacaturesites vroegen gebruikers om met hun zakelijke inloggegevens in te loggen. Ook kregen bezoekers kwaadaardige HTML-applicaties (HTA-bestand) aangeboden. Deze HTA-bestanden waren in werkelijkheid malware die als backdoor fungeerden en allerlei inloggegevens van het systeem probeerden te stelen, zo laat Christiaan Beek, lead scientist en senior principal engineer bij McAfee, aan Security.nl weten. De gestolen inloggegevens werden vervolgens gebruikt om toegang tot de interne netwerken van deze bedrijven te krijgen. Nadat de aanvallers toegang tot de interne netwerken hadden verkregen werd de Shamoon-malware verspreid die bestanden en de Master Boot Record (MBR) van systemen overschreef. De systemen bleven daardoor onbruikbaar achter. Vorige week meldde Saipem, de Italiaanse dienstverlener aan de olie- en gasindustrie, dat honderden servers door de Shamoon-malware waren getroffen. Het ging om meer dan 300 servers in het Midden-Oosten, India, Aberdeen en Italië. Symantec meldt dat ook organisaties in de olie- en gasindustrie in de Verenigde Arabische Emiraten en Saoedi-Arabië zijn getroffen. De eerste versie van Shamoon wist in 2012 zo'n 30.000 computers van de Saoedische oliegigant Saudi Aramco te saboteren door allerlei gegevens te verwijderen en de Master Boot Record (MBR) van de harde schijf te overschrijven, waardoor het besturingssysteem niet meer kon worden gestart. Eind 2016 werd een tweede Shamoon-variant ontdekt, die het op Saoedische overheidsinstallaties had voorzien, alsmede andere organisaties in het Midden-Oosten. bron: security.nl

Wie een router zoekt moet controleren dat die geen MIPS-processor bevat. Meerdere populaire routers met een dergelijke processor zijn door een bug in een bepaalde Linuxkernel minder veilig en zouden daarom moeten worden vermeden. Daarnaast blijkt ook de beveiliging bij andere modellen tekort te schieten. Dat stellen onderzoekers van Cyber-ITL op basis van eigen onderzoek naar 28 routers van Asus, D-Link, Linksys, Netgear, Synology, TP-Link en Trendnet. Het gaat om routers die op ARM- en MIPS-processoren zijn gebaseerd. Om misbruik van kwetsbaarheden lastiger te maken kunnen ontwikkelaars verschillende maatregelen nemen, zoals address space layout randomization (ASLR), data execution prevention (DEP) en relocation read-only (RELRO). De routerfabrikanten blijken deze maatregelen nauwelijks in hun op Linux-gebaseerde router-firmware toe te passen, ook al ondersteunt Linux deze beveiligingsmaatregelen al zeer lang. Met name bij de routers die over een MIPS-processor beschikken gaat het mis. De MIPS-Linuxkernels van 2001 tot 2016 bevatten namelijk een bug waardoor stack based execution voor userland-processen wordt ingeschakeld. In 2016 verscheen een patch voor de MIPS-Linuxkernel om non-executable stacks in Linux MIPS mogelijk te maken. De patch geeft aanvallers echter de mogelijkheid om zowel ALSR als DEP te omzeilen. Het probleem is nog steeds in de MIPS-Linuxkernel aanwezig. De onderzoekers merken op dat de impact hiervan op het moment nog niet groot is, aangezien de routerfabrikanten nauwelijks nog van ALSR en DEP gebruikmaken. Gebruikers die een router zoeken krijgen wel het advies om apparaten met een MIPS-processor te vermijden, aangezien de problemen met deze architectuur nog wel enige tijd zullen aanhouden. "Gegeven de keuze tussen een Linux-gebaseerde router die op een ARM- of MIPS-processor draait, denken we dat een gebruiker statistisch meer bescherming geniet door een ARM-gebaseerd Linuxsysteem te kiezen." Aanvullend merken de onderzoekers op dat de veiligheid van routers ook tussen modellen van dezelfde fabrikant flink kan verschillen. bron: security.nl

Microsoft heeft een nieuwe optie aan een testversie van Windows 10 toegevoegd waardoor gebruikers met een via sms verkregen code op het besturingssysteem kunnen inloggen om hun account in te stellen. De softwaregigant wil op deze manier het gebruik van wachtwoorden terugdringen. In een aankondiging van de nieuwe testversie van Windows 10 laat Microsofts Dona Sarkar weten dat gebruikers van wie het Microsoftaccount aan hun telefoonnummer is gekoppeld, een sms-code kunnen gebruiken om in te loggen en vervolgens hun account op Windows 10 in te stellen. Zodra het account is ingesteld kunnen gebruikers inloggen via Windows Hello Face, Fingerprint of een pincode. Gebruikers die nog geen "wachtwoordloos telefoonnummeraccount" hebben kunnen dit aanmaken via een mobiele app zoals Word. Vervolgens kan dit account aan Windows worden toegevoegd en bij het inloggen worden gekozen. Vervolgens zal ook hierbij Windows Hello moeten worden gekozen om voortaan op het besturingssysteem in te loggen. De nieuwe optie is op dit moment alleen beschikbaar in de testversie van de Windows 10 Home-versie. Tamper Protection Een andere nieuwe optie in de testversie van Windows 10 is "Tamper Protection". Dit is een onderdeel van Windows Defender Antivirus. Wanneer ingeschakeld biedt het aanvullende bescherming tegen aanpassingen aan belangrijke beveiligingsinstellingen. Verder beschikt de testversie over de Windows Sandbox waarover gisteren al werd bericht. Wanneer de opties in de uiteindelijke versie van Windows 10 terechtkomen is nog niet bekend. bron: security.nl

Het No More Ransom-project van de Nederlandse politie, Europol en verschillende antivirus- en securitybedrijven heeft al meer dan 72.000 slachtoffers van ransomware geholpen met het gratis ontsleutelen van hun bestanden die door ransomware waren versleuteld. Dat laat Europol vandaag weten. No More Ransom werd in juli 2016 gelanceerd en biedt informatie over ransomware en allerlei decryptietools om versleutelde bestanden kosteloos te ontsleutelen. Sinds de start van het project hebben steeds meer partners zich bij No More Ransom aangesloten. De website biedt 59 decryptietools voor 91 ransomware-families. Vanaf vandaag zijn onder andere Cisco en antivirusbedrijf ESET onderdeel van No More Ransom geworden en hebben Microsoft en Symantec zich in een ondersteunende rol aangesloten. Tevens besloten Cyprus, Estland, Schotland en Zweden het afgelopen jaar om aan het project deel te nemen, waardoor inmiddels 41 opsporingsdiensten bij No More Ransom zijn betrokken. bron: security.nl

Microsoft heeft een noodpatch uitgebracht voor een actief aangevallen kwetsbaarheid in Internet Explorer waardoor aanvallers kwetsbare systemen volledig hadden kunnen overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website of te te zien krijgen van een besmette advertentie was voldoende geweest. Er was geen verdere interactie van IE-gebruikers vereist. Daarnaast was het mogelijk om de kwetsbaarheid te misbruiken via pdf-bestanden, Microsoft Office-documenten of andere andere documenten die embedded Internet Explorer scripting engine content ondersteunen, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De kwetsbaarheid, die in Internet Explorer 10 en 11 aanwezig is, werd door Google ontdekt en is bij gerichte aanvallen ingezet. Verdere details over deze aanvallen zijn nog niet gegeven. De noodpatch zal op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Vpn-dienst ProtonVPN steunt de ontwikkeling van het WireGuard-protocol, een nieuw protocol voor het opzetten van vpn-verbindingen. WireGuard is een cross-platform vpn-oplossing die naar eigen zeggen sneller, eenvoudiger en bruikbaarder dan IPSec wil zijn. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen. "Dit maakt het veel eenvoudiger dan eerdere vpn-protocollen, zoals IPsec en OpenVPN. Minder regels code maakt dat het WireGuard-protocol eenvoudiger is uit te rollen, te gebruiken en te auditen. Deze eenvoud houdt ook in dat WireGuard veiliger is, beter presteert en zeer efficiënt met resources omgaat", aldus Richie Koch van ProtonVPN. Koch merkt op dat deze verbeterde efficiëntie ervoor zorgt dat vpn-servers minder worden belast, waardoor servers een hogere maximale snelheid kunnen behalen. De verminderde belasting zorgt er ook voor dat één server meer gebruikers aankan en dat die gebruikers elk hogere snelheden halen. Zo is OpenVPN beperkt tot een snelheid van 300 Mbps, maar kan WireGuard veel hogere snelheden halen, gaat Koch verder. Belangrijker is dat verschillende onderzoeksgroepen WireGuard en de gebruikte cryptografie hebben onderzocht en geverifieerd. Door deze resultaten heeft ProtonVPN besloten om WireGuard te overwegen. De vpn-dienst heeft nu verschillende servers opgezet voor interne tests. Het zal echter nog wel even duren voordat er een publieke uitrol zal plaatsvinden. Dit komt mede doordat de ProtonVPN-software WireGuard moet ondersteunen. Om de ontwikkeling van WireGuard te steunen heeft ProtonVPN besloten om geld voor de ontwikkelaars in te zamelen. Daarbij wil de vpn-dienst minimaal 10.000 euro ophalen. bron: security.nl

Onderzoekers hebben gedemonstreerd hoe ze via malafide BMC-firmware op afstand een server kunnen saboteren. De Baseboard Management Controller (BMC) is een speciale processor, die onafhankelijk van de hoofdprocessor van het systeem opereert. Via de BMC kunnen servers op afstand worden beheerd. Zo is het bijvoorbeeld via de BMC mogelijk om op afstand het besturingssysteem van de server te herinstalleren of de firmware van de machine te updaten. Onderzoekers van securitybedrijf Eclypsium hebben een aanval ontwikkeld waarbij ze via de BMC de server op afstand onbruikbaar kunnen maken. Om de aanval uit te voeren moet de server al door een aanvaller zijn gecompromitteerd, bijvoorbeeld via malware of gestolen inloggegevens. Vervolgens wordt de BMC met malafide firmware bijgewerkt. Hiervoor is geen authenticatie vereist. Deze malafide BMC-firmware bevat aanvullende code die de UEFI-systeemfirmware verwijdert en belangrijke onderdelen van de BMC-firmware. Deze aanpassingen zorgen ervoor dat dat de server en BMC niet meer kunnen worden gestart, waardoor het systeem onbruikbaar achterblijft. Volgens de onderzoekers is het belangrijk dat organisaties processen instellen voor het regelmatig installeren van firmware-updates, regelmatig scannen naar kwetsbaarheden en belangrijke firmware op malafide aanpassingen monitoren. bron: security.nl

De volgende versie van Google Chrome zal geen ftp-content meer in de browser weergeven, ook zal de ondersteuning van public key pinning worden verwijderd. Dat heeft Google bekendgemaakt. Volgens de techgigant is het uit 1971 stammende file transfer protocol (ftp) een niet te beveiligen legacy protocol. "Wanneer zelfs de Linux-kernel er afscheid van neemt is het tijd om verder te gaan", laat Google weten. Het stopzetten van de ftp-ondersteuning vindt gefaseerd plaats. Met Chrome 72 zal de browser geen content van ftp-servers meer in de browser weergeven. In plaats daarvan worden afbeeldingen, filmpjes en andere content gedownload. Chrome zal nog wel de inhoud van een ftp-directory weergeven, maar alle non-directory listings downloaden in plaats van in de browser weer te geven. Eerder besloot Mozilla al om in Firefox geen ftp-content meer te laden. Met Chrome 72 zal Google ook de ondersteuning van public key pinning stopzetten. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt. Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning. Ondanks de bescherming die de maatregel biedt kan het ook worden gebruikt voor het uitvoeren van een denial of service-aanval tegen een website en is er een risico van "hostile pinning". Dit is het geval wanneer een aanvaller een onterecht uitgegeven certificaat weet te verkrijgen. Verder zal Chrome 72 geen pop-ups toestaan tijdens het unloaden van pagina's, ongeacht of de pop-upblocker staat ingeschakeld. Daarnaast heeft Google het einde van de ondersteuning van TLS 1.0 en 1.1 aangekondigd. Deze protocollen worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. Zowel TLS 1.0 als 1.1 hebben verschillende zwakheden. Google wil daarom alleen nog TLS 1.2 en nieuwer gaan ondersteunen. Met de lancering van Chrome 81 begin 2020 zal de ondersteuning van TLS 1.0 en 1.1 waarschijnlijk worden stopgezet. Chrome 72 staat gepland voor de week van 29 januari 2019. bron: security.nl

Microsoft heeft een wegwerp-sandbox voor Windows 10 ontwikkeld waarmee het mogelijk is om verdachte bestanden uit te voeren. De Windows Sandbox is een geïsoleerde, tijdelijke desktopomgeving voor het uitvoeren van onbetrouwbare software, zonder dat dit een blijvend effect op de computer heeft, zo laat Microsoft weten. De Windows Sandbox is eigenlijk een lichtgewicht virtual machine. Het heeft dan ook een besturingssysteem nodig om van te kunnen starten. In plaats van een aparte image hiervoor te gebruiken, zoals bij een normale virtual machine, maakt de Windows Sandox gebruik van een kopie van de geïnstalleerde Windows 10-versie op de computer. Verder maakt de sandbox gebruik van hardware gebaseerde virtualisatie voor het isoleren van de kernel. Op deze manier wordt er een aparte kernel geladen die de Windows Sandbox van de host isoleert. Alle software die in de Windows Sandbox wordt geïnstalleerd blijft alleen in de sandbox en heeft geen invloed op het onderliggende besturingssysteem, aldus Microsoft. Zodra de Windows Sandbox wordt gesloten worden alle daarin geïnstalleerde programma's en bestanden permanent verwijderd. De Windows Sandbox werkt alleen met Windows 10 Pro of Enterprise versie 18305 of nieuwer. Daarnaast moet virtualisatie in het BIOS worden ingeschakeld. Tevens moet het systeem over minimaal 4GB werkgeheugen, 1GB ruimte en twee CPU-cores beschikken. bron: security.nl

Een legitieme open source remote administration tool genaamd Quasar wordt ook voor cyberspionage gebruikt, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). Quasar maakt het mogelijk om systemen op afstand te beheren en wordt via GitHub aangeboden. Het kan bijvoorbeeld door een helpdesk worden gebruikt om gebruikers met problemen te helpen. Verschillende Advanced Persistent Threat (APT)-groepen maken echter ook gebruik van de tool voor het uitvoeren van cyberspionage en hebben het programma voor hun eigen doeleinden aangepast. Voordat aanvallers Quasar kunnen gebruiken moet een systeem al zijn gecompromitteerd. Volgens US-CERT kunnen organisaties en beheerders Quasar detecteren door netwerkverkeer te monitoren en naar de registersleutel te zoeken die de remote administration tool toevoegt of de directories waarin het zichzelf installeert. De meeste virusscanners zouden Quasar detecteren. In de waarschuwing geeft US-CERT verschillende signatures waarmee Quasar is te herkennen. bron: security.nl

Facebook heeft verschillende bedrijven toegang tot de privéberichten van gebruikers gegeven, zo stelt de New York Times op basis van interne documenten en interviews. Ook andere zakelijke partners kregen meer toegang tot data dan Facebook heeft toegegeven. Zo kon de Bing-zoekmachine van Microsoft zonder toestemming de namen van de vrienden van alle Facebookgebruikers bekijken. Amazon kreeg toestemming om de gebruikersnamen en contactgegevens via hun vrienden te verzamelen en Yahoo mocht de berichten van vrienden inzien, ook al had Facebook aangeven dat het al lang met deze manier van delen was gestopt. Netflix, Spotify en de Royal Bank of Canada kregen zelfs de mogelijkheid om privéberichten van gebruikers te lezen, schrijven en verwijderen. Tevens konden deze bedrijven alle deelnemers aan een gesprek zien. Spotify en Netflix verklaarden tegenover de New York Times dat ze niet wisten dat Facebook hen deze bevoegdheden had gegeven. Een woordvoerder van de Royal Bank of Canada betwistte dat de bank dergelijke toegang had. Facebook stelt dat geen van de overeenkomsten met de bedrijven de privacy van gebruikers heeft geschonden of de overeenkomst die het in 2011 met de Amerikaanse toezichthouder FTC sloot. Daarin stond onder andere dat Facebook gebruikers toestemming zou vragen voor het delen van gegevens. Verder verklaart de sociale netwerksite dat het geen misbruik door de partners heeft aangetroffen. Update Facebook bevestigt in een verklaring op de eigen website dat bedrijven toegang tot de berichten van gebruikers hebben gekregen. Verder laat de sociale netwerkdienst weten dat de eerder genoemde bedrijven alleen met toestemming van gebruikers toegang tot gegevens kregen. bron: security.nl

HolaVPN, een vpn-dienst die naar eigen zeggen 175 miljoen gebruikers wereldwijd heeft, is onveilig, lekt het ip-adres van gebruikers en gebruikt de bandbreedte van gebruikers voor dubieuze zaken, zo claimt anti-virusbedrijf Trend Micro op basis van eigen onderzoek (pdf). Vanwege de uitkomsten van het onderzoek heeft de virusbestrijder besloten om HolaVPN als ongewenste en zeer risicovolle software te bestempelen. Een virtual private network (vpn) zorgt ervoor dat het verkeer van gebruikers via een beveiligde tunnel loopt. Dit zorgt ervoor dat internetproviders niet kunnen zien welke websites hun abonnees bezoeken en is het mogelijk om bepaalde websites die in een land worden geblokkeerd toch te bezoeken. Ook biedt een vpn bescherming op een openbaar wifi-netwerk. HolaVPN wordt gepresenteerd als een "community VPN", waarbij gebruikers hun internetverbinding met anderen kunnen delen. Onderzoek laat echter zien dat er van alles mis is met de vpn-dienst. Zo maakt HolaVPN geen gebruik van encryptie en lekt het de ip-adressen van HolaVPN-gebruikers. Daarnaast blijkt het "community" aspect van de vpn-dienst te ontbreken. Gebruikers delen hun internetverbindingen niet met elkaar. In plaats daarvan loopt het verkeer via duizenden exitnodes die in datacentra worden gehost. Elk systeem dat de gratis versie van HolaVPN installeert wordt veranderd in een exitnode die wordt verzilverd door een commerciële dienst genaamd Luminati. Dit is een zusterbedrijf van HolaVPN en eigendom van Hola Networks. Luminati verkoopt de bandbreedte van HolaVPN-gebruikers aan andere partijen. Die kunnen de bandbreedte van deze gebruikers voor allerlei doeleinden gebruiken. Meer dan 85 procent van al het Luminati-verkeer dat Trend Micro onderzocht ging naar mobiele advertenties, mobiele appdomeinen en partnerprogramma's die betalen voor verwijzingen en installaties van apps. Volgens de virusbestrijder worden elke dag miljoenen clicks op advertenties en advertentie-impressies via Luminati geladen. Verschillende partijen die van clickfraude worden verdacht zouden van Luminati gebruikmaken om verkeer van hun mobiele advertenties naar third-party landingspagina's door te sturen. "Dit is één van de manieren hoe een proxy-netwerk als Luminati kan worden misbruikt", zo staat in het onderzoeksrapport. De onderzoekers ontdekten dat het Luminati-verkeer ook wordt gebruikt voor het "scrapen" van online content. "Als de machine onderdeel van een bedrijfsnetwerk is, kan het als exitnode derde partijen mogelijk toegang tot bedrijfssystemen geven. HolaVPN kan aanvallers zakelijke firewalls laten omzeilen en ze de mogelijkheid bieden om het interne netwerk te verkennen", stelt Trend Micro. De virusbestrijder bestempelt HolaVPN voortaan als ongewenste, zeer risicovolle software en adviseert bedrijven en organisaties om HolaVPN niet op hun netwerk toe te staan. Internetgebruikers krijgen het advies om de vpn-software van hun computers te verwijderen. bron: security.nl

Verschillende Nest-camera's zijn door onbevoegden benaderd omdat gebruikers hergebruikte wachtwoorden voor hun Nest-account hadden ingesteld, zo heeft Alphabet bevestigd, het moederbedrijf van Nest en Google. Aanleiding voor de verklaring is het verhaal van een Nest-gebruiker die via zijn camera werd toegesproken door iemand die toegang tot het apparaat had gekregen. Nest-camera's bieden gebruikers de mogelijkheid om op afstand mee te kijken en de microfoon te bedienen. Dit wordt gedaan via een Nest-account. In het geval van de Nest-gebruiker had die het wachtwoord van zijn Nest-account ook voor meerdere websites gebruikt. In een verklaring tegenover The Arizona Republic stelt Alphabet dat het bekend is met wachtwoorden die bij andere bedrijven of websites zijn gestolen en worden gebruikt om Nest-camera's te benaderen. Gebruikers krijgen dan ook het advies een uniek wachtwoord in te stellen en tweefactorauthenticatie voor hun Nest-account te gebruiken. bron: security.nl

Nu Microsoft heeft besloten om Chromium als basis voor Edge te gebruiken is Mozilla bang dat zich opnieuw een browsermonopolie zal voordoen, net als met Internet Explorer begin deze eeuw. Dat stelt Mitchell Baker, medeoprichter en voorzitter van de Mozilla Foundation, in een column op CNN. Chromium is een door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome en andere browsers vormt. Google is al de dominante speler in de markt voor zoekmachines en heeft met Chrome ook de meestgebruikte browser. "Als Mozilla morgen zou verdwijnen, zou Google bijna een volledig monopolie hebben over hoe wij allemaal het web op Windows en Android ervaren. Een enorm gecombineerd marktaandeel", aldus Baker. Ze waarschuwt dat het machtiger maken van Google op allerlei gebieden riskant is., waaronder de inkomsten van Mozilla. "Google bepaalt zoveel van de content die mensen op internet ervaren, alsmede het businessmodel voor veel online bedrijven, van uitgevers tot browsers zoals Firefox tot winkels die klanten zoeken", gaat Baker verder. Zodra een bepaalde technologie genoeg marktaandeel heeft wordt het eenvoudiger voor webontwikkelaars om andere technologie te negeren. Iets wat Firefox zou kunnen overkomen nu Chromium zo'n groot marktaandeel heeft. Baker wijst naar het begin van deze eeuw, toen Microsoft met Internet Explorer een browsermonopolie had en internetgebruikers geen andere keuze hadden, mede omdat ontwikkelaars alleen websites maakten die in IE werkten. De Mozilla-topvrouw waarschuwt ontwikkelaars dan ook om dit pad niet opnieuw op te gaan. "Er is een trend gaande naar een digitaal monopolie, en de nieuwe controle die Google heeft verkregen zou ons moeten mobiliseren. We moeten vechten om te voorkomen dat een handvol bedrijven alles op internet bepalen", besluit Baker. bron: security.nl

Internetgebruikers die het op privacy gerichte besturingssysteem Tails willen installeren hebben vanaf volgende maand een extra optie die de installatie moet vereenvoudigen. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails is vanaf een usb-stick of dvd te starten. Hiervoor zijn er ISO-bestanden beschikbaar. Om de installatie voor Windows en macOS "drastisch" te vereenvoudigen en ondersteuning van UEFI-computers te verbeteren zullen er vanaf volgende maand ook usb-images beschikbaar worden gesteld. Zodoende hoeven gebruikers UEFI Secure Boot niet eerst uit te schakelen om Tails te starten en wordt het eenvoudiger om Tails op een usb-stick te installeren. De enige uitdaging die er nog is, is om een reproduceerbare usb-image te maken. Tails is opensourcesoftware, wat inhoudt dat gebruikers inzage in de broncode hebben. Via een reproduceerbare image hebben gebruikers de garantie dat hun versie van Tails daadwerkelijk op de broncode is gebaseerd. Er zijn al reproduceerbare ISO-images, maar de ontwikkelaars willen dit ook voor de usb-images realiseren. De eerste usb-images staan gepland met de lancering van Tails 3.12, die op 29 januari moet verschijnen. Financiering De ontwikkeling van Tails kost jaarlijks 200.000 euro, waarvan meer dan een derde van privépersonen afkomstig is. Om geld voor volgend jaar op te halen werd in oktober een donatiecampagne gestart. In de eerste helft van de campagne was 23 procent van het beoogde bedrag opgehaald. Het aantal donateurs is daarnaast met 64 procent toegenomen. In vergelijking met vorig jaar is er echter 51 procent minder geld opgehaald. "Meer mensen doneren, maar we missen de grote donateurs die we in het verleden hadden", aldus de ontwikkelaars. Het doneren van geld aan Tails is nog steeds mogelijk. Het privacybesturingssysteem wordt meer dan 20.000 keer per dag gebruikt. bron: security.nl

123456 is alweer voor het zesde jaar op rij het meest aangetroffen wachtwoord in datalekken. Dat meldt SplashData op basis van eigen onderzoek naar meer dan 5 miljoen wachtwoorden die via verschillende datalekken op internet terechtkwamen. Het bedrijf maakt al sinds 2011 elk jaar een overzicht van de Top 25 "ergste wachtwoorden". In 2011 en 2012 werd de lijst aangevoerd door het wachtwoord "password", maar sinds 2013 staat "123456" bovenaan. Nieuw in het overzicht dit jaar zijn onder andere "111111" en "sunshine". SplashData schat dat 10 procent van de internetgebruikers tenminste één wachtwoord uit de Top 25 van ergste wachtwoorden heeft gebruikt. Hieronder de tien meest aangetroffen wachtwoorden. 123456 password 123456789 12345678 12345 111111 1234567 sunshine qwerty iloveyou bron: security.nl

Heb je al de aangeboden stappen geprobeerd? Laat het ons even weten zodat we je, indien nodig, verder kunnen helpen.

Een nieuw datalek bij Facebook waardoor applicaties toegang tot meer foto's dan normaal kregen heeft zo'n 6,8 miljoen gebruikers geraakt. Dat heeft de sociale netwerksite vandaag bekendgemaakt. Het datalek ontstond door een fout in een programmeerinterface (API) en raakte personen die Facebooklogin gebruikten en applicaties toegang tot hun foto's hadden gegeven. Wanneer gebruikers een applicatie toegang tot hun foto's op Facebook geven, geeft Facebook de app meestal alleen toegang tot foto's die mensen in hun timeline plaatsen. Door de fout kregen apps ook toegang tot andere foto's, zoals afbeeldingen die op Facebook Stories of de Marketplace werden gedeeld. De fout raakte ook mensen die foto's naar Facebook hadden geüpload, maar niet geplaatst. In deze gevallen bewaart Facebook een kopie van de afbeelding. Deze foto's waren ook toegankelijk voor de apps. In totaal hadden 1500 apps mogelijk toegang tot de foto's van zo'n 6,8 miljoen Facebookgebruikers. De fout deed zich voor van 13 tot en met 25 september dit jaar, aldus Tomer Bar van Facebook. Volgende week komt Facebook met tools voor app-ontwikkelaars waarmee ze kunnen bepalen of hun gebruikers door de fout zijn getroffen. Facebook zegt verder dat het met deze ontwikkelaars zal samenwerken om de foto's van getroffen gebruikers te verwijderen. Tevens zullen alle getroffen gebruikers via een waarschuwing op Facebook worden geïnformeerd. bron: security.nl

Netwerkfabrikanten Zyxel en Lancom en telecomprovider Deutsche Telekom steunen de veiligheidsregels voor routers van de Duitse overheid. De richtlijnen van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, werden vorige maand geïntroduceerd. Al het interne netwerk- en internetverkeer loopt via de router. Een aanvaller die toegang tot een router weet te krijgen heeft zo toegang tot allerlei persoonlijke data. Daarnaast zijn slecht beveiligde routers een geliefd doelwit van cybercriminelen die de apparaten aan botnets toevoegen, waarmee vervolgens grootschalige ddos-aanvallen worden uitgevoerd. Met de regels wil het BSI de veiligheid van routers dan ook vergroten. Zo moeten routers updates kunnen ontvangen, moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Tevens mag de router geen verborgen accounts bevatten. De richtlijnen zijn aanbevelingen en niet verplicht. Toch hebben netwerkfabrikanten Zyxel en Lancom hun steun voor de veiligheidsregels uitgesproken. "De richtlijn wil veiligheidsverplichtingen voor routers standaardiseren en transparantie voor eindgebruikers scheppen, wat in lijn is met onze inzet voor veilige producten", aldus Zyxel. Lancom laat zelfs weten dat alle routers met versie 10.20 van het routerbesturingssysteem LCOS aan de vereisten van de richtlijn voldoen. Naast netwerkfabrikanten heeft ook Deutsche Telekom zich achter de veiligheidsregels geschaard. Volgens de telecomprovider voldoen de eigen routers bijna volledig aan de richtlijn en zal dit bij toekomstige routers volledig zijn. Het BSI is blij met de steun voor de veiligheidsregels en stelt dat die voor meer veiligheid in de digitale wereld zullen zorgen. bron: security.nl

Door een fout was het mogelijk voor oudere Twitter-apps om toegang tot privéberichten van gebruikers te krijgen, ook al kregen gebruikers te zien dat de apps geen toegang tot privéberichten hadden. Dat ontdekte onderzoeker Terence Eden, die het probleem bij Twitter rapporteerde. Applicaties die toegang tot de Twitter-programmeerinterface (API) willen krijgen moeten door Twitter zijn goedgekeurd. Een aantal jaren geleden lekten de officiële Twitter API-keys, waardoor app-ontwikkelaars toch de Twitter-programmeerinterface konden benaderen, ook al had Twitter hun app niet goedgekeurd. Bij deze apps liet Twitter in het permissiescherm weten dat privéberichten niet door de app konden worden benaderd, maar dat bleek toch mogelijk te zijn. Op deze manier zouden gebruikers kunnen worden misleid. Eden vermoedt dat oudere apps eigenlijk nooit ontwikkeld waren om toegang tot privéberichten te krijgen, maar gedurende de tijd ooit zijn geüpgraded waardoor dit toch mogelijk was. De onderzoeker meldde het probleem op 6 november van dit jaar bij Twitter, waarna het probleem een maand later door de microbloggingdienst werd verholpen. Twitter zegt dat het alle oude apps heeft geaudit. Voor zijn melding ontving Eden een beloning van bijna 3.000 dollar. bron: security.nl

Een beveiligingslek in de software van Logitech geeft websites toegang tot het toetsenbord en een beveiligingsupdate is nog niet voorhanden. De kwetsbaarheid is aanwezig in Logitech Options, software waarmee gebruikers hun muis en toetsenbord kunnen instellen en aanpassen. Beveiligingsonderzoeker Tavis Ormandy van Google ontdekte dat de software een websocket-server op poort 10134 opent, waar websites verbinding mee kunnen maken. Dit is mogelijk doordat er geen "origin checking" plaatsvindt, aldus de onderzoeker. Websites kunnen vervolgens opdrachten naar deze websocket-server sturen. Hiervoor moet wel een id worden meegestuurd. Het is echter mogelijk om dit id in enkele seconden via een bruteforce-aanval te achterhalen. Hierna is het mogelijk om de draaiknop op het toetsenbord te configureren, zodat er bijvoorbeeld toetsaanslagen naar andere applicaties worden gestuurd. Ormandy waarschuwde Logitech op 12 september van dit jaar. Op 18 september had de onderzoeker overleg met de engineers van Logitech, die lieten weten dat er een oplossing zou worden ontwikkeld. Twee weken later op 1 oktober verscheen er een nieuwe versie van de software, maar die blijkt nog steeds kwetsbaar te zijn. Ormandy adviseert gebruikers dan ook om Logitech Options uit te schakelen totdat er een update beschikbaar is. Google geeft bedrijven 90 dagen de tijd om gerapporteerde problemen op te lossen. Aangezien deze deadline is verstreken heeft Ormandy de details van de kwetsbaarheid openbaar gemaakt. Update Logitech heeft inmiddels Logitech Options 7.00 voor macOS en Windows uitgebracht waarin de kwetsbaarheid is verholpen. bron: security.nl

Er is een nieuwe versie van het populaire cms-platform WordPress verschenen die een bug verhelpt waardoor Google en andere zoekmachines in bepaalde gevallen wachtwoorden en e-mailadressen van gebruikers konden indexeren. WordPress 5.0.1 verhelpt meerdere beveiligingsproblemen, waaronder verschillende cross-site scripting-kwetsbaarheden. Daarnaast is er een bug verholpen waarbij het activatiescherm voor gebruikers door zoekmachines kon worden geïndexeerd. In bepaalde bijzondere configuraties konden zoekmachines hierbij ook e-mailadressen en standaard gegenereerde wachtwoorden indexeren. Deze beveiligingsfout werd door het Nederlandse bedrijf Yoast gevonden. Hoeveel websites mogelijk door de fout zijn getroffen laat WordPress niet weten. Een andere kwetsbaarheid die nu is opgelost maakte het voor 'contributors' mogelijk om de website over te nemen. Dit beveiligingslek werd in in augustus tijdens de BSides-beveiligingsconferentie onthuld. Beheerders van een WordPress-site krijgen het advies om naar WordPress 5.0.1 te upgraden. Voor gebruikers die nog niet naar versie 5 zijn geüpgraded is versie 4.9.9 verschenen. WordPress is het populairste contentmanagementsysteem (cms) op internet. Het wordt volgens cijfers van W3Techs door 32,5 procent van alle websites op internet gebruikt en heeft onder cms-platformen een marktaandeel van zo'n 60 procent. bron: security.nl

Internet of Things-apparaten die voor het eerst online komen worden al binnen 5 minuten aangevallen. Dat stelt securitybedrijf Arbor Networks op basis van eigen data. Het Mirai-botnet en andere IoT-botnets hebben aangetoond dat IoT-apparaten een interessant doelwit voor cybercriminelen zijn. IoT-apparaten worden nog altijd geleverd met standaardwachtwoorden die gebruikers niet hoeven te wijzigen, beschikken meestal niet over een automatische updatefunctie en zijn via allerlei diensten zoals Telnet toegankelijk. Arbor Networks heeft verschillende honeypots die zich voordoen als een IoT-apparaat. Een honeypot is een systeem dat opzettelijk is neergezet om te worden aangevallen, om zo aanvallers en hun tactieken in kaart te kunnen brengen. De onderzoekers zagen dat de aanvallen die in de eerste minuten plaatsvinden nadat een apparaat online is gekomen vooral bruteforce-aanvallen zijn. Hierbij wordt geprobeerd om met standaardwachtwoorden op het apparaat in te loggen. Binnen 24 uur kregen dezelfde IoT-apparaten te maken met aanvallen waarbij werd geprobeerd om via bekende kwetsbaarheden binnen te komen. Het gaat onder andere om vier kwetsbaarheden uit 2014, 2015, 2017 en 2018. Zo maakt de Mirai-malware gebruik van deze beveiligingslekken om IoT-apparaten te infecteren. Volgens Arbor Networks is het tempo waarin IoT-apparaten worden gepatcht zo langzaam, dat deze oude kwetsbaarheden nog steeds succesvol door IoT-botnets worden gebruikt. Door het grote aantal IoT-apparaten op internet is het vinden van kwetsbare apparaten eenvoudig. Tel daarbij op dat IoT-apparaten bijna continu staan ingeschakeld en aanvallers kunnen in korte tijd een groot botnet opzetten. Deze botnets worden vervolgens voor het uitvoeren van ddos-aanvallen ingeschakeld. Doordat IoT-malware eenvoudig is aan te passen om nieuwe kwetsbaarheden aan te vallen verwacht Arbor Networks dat het aantal IoT-botnets volgend jaar verder zal toenemen. bron: security.nl

Onderzoekers van securitybedrijf Check Point zijn erin geslaagd om in een periode van 50 dagen 54 kwetsbaarheden in Adobe Reader te vinden. De beveiligingslekken zijn de afgelopen maanden door het softwarebedrijf in de pdf-lezer gepatcht. Voor het onderzoek werd er van een "fuzzer" gebruikgemaakt. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. "De resultaten verbijsterden ons. In die 50 dagen wisten we meer dan 50 nieuwe kwetsbaarheden in Adobe Reader te vinden. Dat is gemiddeld één beveiligingslek per dag, niet het normale tempo voor dergelijk onderzoek", zeggen onderzoekers Yoav Alon en Netanel Ben-Simon. Ze merken op dat fuzzers veel meer kunnen dan een paar jaar geleden. Toch zijn er veel onderzoekers die er geen gebruik van maken. Reden voor Alon en Ben-Simon om details over hun onderzoek openbaar te maken, alsmede de gebruikte hardware en tools. bron: security.nl