Captain Kirk

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een softwareplatform gelanceerd dat als 'omgekeerde firewall' voor Internet of Things-apparaten moet dienen. De oplossing heet SPIN , wat staat voor Security and Privacy for In-home Networks. De SPIN-software is gebaseerd op OpenWRT, een populair opensourcebesturingssysteem dat voornamelijk voor routers wordt gebruikt. SPIN heeft als doel om het internet te beschermen tegen aanvallen die via gecompromitteerde IoT-apparaten worden uitgevoerd. Het gaat dan bijvoorbeeld om ddos-aanvallen. De software fungeert als een 'omgekeerde firewall' en blokkeert aanvalsverkeer van IoT-apparaten dat vanaf het thuisnetwerk van de gebruiker afkomstig is. "Op dezelfde manier beschermt SPIN ook gebruikers tegen bijvoorbeeld het lekken van privacygevoelige informatie door IoT-apparaten naar diensten op het internet", aldus de SIDN. De software inspecteert het netwerkverkeer dat via de router loopt en zodra het verdacht verkeer ziet wordt dit geblokkeerd. Volgens de SIDN is SPIN nu naar een productiewaardig niveau getild en is het klaar voor integratie met marktpartijen. Het Zwitserse EmbeDD, dat zich richt op de ontwikkeling van software voor modems en routers, is de eerste partner om SPIN verder op de markt te brengen. Zo integreert het Zwitserse bedrijf SPIN in hun zelfontwikkelde opensourceroutersoftware DD-WRT. Daarnaast hebben de SIDN en EmbeDD een oplossing ontwikkeld om SPIN in OpenWrt te integreren. SPIN verwerkt alle gegevens lokaal. Volgens de SIDN verlaten persoonlijke gegevens dan ook nooit het apparaat. Wel kan via de gebruikersinterface het surfgedrag van iedereen in het netwerk zichtbaar worden. Het is echter mogelijk om apparaten niet weer te geven. Verder blijkt dat SPIN voor de inspectie van netwerkverkeer geen gebruikmaakt van deep packet inspection. In plaats daarvan worden verkeerspatronen van apparaten vergeleken met het gedrag dat de fabrikant specificeert en dat van bekende dreigingen afkomstig is zoals de Mirai-malware. Doordat SPIN opensourcesoftware is kan de gemeenschap het verder doorontwikkelen. SIDN zal zich gaan richten op het inzetten en doorontwikkelen van SPIN als meettool voor onderzoeksdoeleinden, wat ook het oorspronkelijke doel was. "Op die manier blijven we met behulp van SPIN bijdragen aan een veiliger internet(-of-things)", zo laat de Stichting weten. bron: security.nl

Onderzoekers van securitybedrijf Devcore hebben toegang tot het intranet van Twitter gekregen omdat het bedrijf een beschikbare beveiligingsupdate voor een ernstig lek in de gebruikte vpn-oplossing niet had geïnstalleerd. Uiteindelijk lukte het de onderzoekers zelfs om de vpn-server van Twitter over te nemen. De Pulse Secure vpn-oplossing waar Twitter gebruik van maakt laat werknemers op afstand verbinding met het bedrijfsnetwerk maken. Via een kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april. De kwetsbaarheid werd ontdekt door onderzoekers Orange Tsai en Meh Chang, die Pulse Secure over het probleem informeerden. Tsai en Chang hadden gezien dat Twitter van de kwetsbare vpn-oplossing gebruikmaakte. Ze gaven Twitter echter de tijd om de patch te installeren, maar een maand na het uitkomen van de update was die nog steeds niet door het bedrijf uitgerold. Daarop besloten de onderzoekers Twitter via het vpn-lek aan te vallen en kregen zo toegang tot het intranet van het bedrijf. Het doel van Tsai en Chang was echter om willekeurige code op de server uit te voeren. Dit was mogelijk via de wachtwoorden van managers die op de vpn-oplossing hadden ingelogd. De wachtwoorden die de onderzoekers vonden waren echter gesalt en gehasht. Ze wisten door gebruik te maken van Amazon Web Services een wachtwoordhash uiteindelijk te kraken. "Ik denk dat we mazzel hebben gehad. Voor zover wij kunnen zien geldt er een sterk wachtwoordbeleid voor Twitterpersoneel. Maar het lijkt dat dit beleid niet voor de manager geldt. Het wachtwoord van de manager bestaat uit slechts tien karakters en het eerste karakter is een B", aldus Tsai. De wachtwoordhash kon in drie uur worden gekraakt, waarna remote code execution mogelijk was. De onderzoekers waarschuwden Twitter, waarna ze de hoogste bug bounty van 20.000 dollar van Twitter ontvingen. "Hoewel we het niet kunnen bewijzen, lijkt dit de eerste remote code execution op Twitter te zijn geweest", stelt Tsai. In een analyse van het beveiligingslek laat de onderzoeker verder zien hoe vpn-clients die met de gecompromitteerde vpn-server verbinding maakten konden worden overgenomen. Gisteren werd bekend dat ook in Nederland nog tientallen bedrijven de update niet hebben geïnstalleerd. bron: security.nl

Onderzoekers hebben ontdekt dat cybercriminelen nepberichten op gekaapte WordPress-sites plaatsen om zo ransomware te verspreiden. De criminelen injecteren JavaScript op de websites waarmee er een zogenaamd "Questions and Answers" forumbericht over de bestaande content van de site wordt geplaatst. Dit forumbericht heeft betrekking op het onderwerp van de website en bevat een bericht dat van de websitebeheerder afkomstig zou zijn. Dit bericht bevat weer een link naar een zip-bestand dat de Sodinokibi-ransomware bevat, zo stelt een Canadese onderzoeker met het alias Aura op Twitter. Wanneer het bestand wordt geopend zal de ransomware allerlei bestanden op de computer versleutelen. Het zogenaamde forumbericht wordt alleen getoond aan nieuwe bezoekers en bezoekers die de website enige tijd niet hebben bezocht. Zodra bezoekers de website herladen wordt de originele content van de site weergegeven, laat Bleeping Computer weten. Hoe de WordPress-sites precies worden overgenomen wordt niet door de onderzoeker gemeld. Dit weekend werd echter een nieuwe aanvalscampagne ontdekt waarbij aanvallers van kwetsbaarheden in minstens elf plug-ins gebruikmaken om WordPress-sites aan te vallen. bron: security.nl

Google kwam onlangs met het plan voor privacyvriendelijke gerichte advertenties, maar volgens de Amerikaanse burgerrechtenbeweging EFF is het de internetgigant helemaal niet te doen om de privacy van gebruikers en kijkt het alleen naar de eigen winst. Onderzoekers van Princeton University hadden onlangs ook hun kritiek geuit op de Privacy Sandbox, zoals Google het plan noemt. De Privacy Sandbox bestaat uit verschillende maatregelen die gerichte advertenties mogelijk moeten maken, terwijl de privacy van gebruikers zou worden beschermd. Volgens de internetgigant is het blokkeren van third-party cookies, die nu op grote schaal worden ingezet om internetgebruikers op het web te volgen, schadelijk voor de privacy van deze gebruikers. Het zou adverteerders namelijk dwingen om andere technieken toe te passen, zoals fingerprinting. Een lachwekkende claim, stelt Bennett Cyphers van de EFF. Het gebruik van trackingcookies is volgens hem juist de manier waarop Google mensen online volgt. Apple en Mozilla zijn daarentegen bezig om zowel trackingcookies als fingerprinting te blokkeren. Dat neemt niet weg dat het voorstel van Google ook positieve punten bevat. Het zou door het gebruik van "trust tokens" namelijk voor minder captcha's moeten zorgen en fingerprinting beperken. De rest van het voorstel is middelmatig tot regelrecht gevaarlijk, aldus Cyphers. Het plan biedt namelijk nog steeds ruimte om internetgebruikers te profileren. Daarnaast zou het gebruikers aan de hand van bepaalde kenmerken in groepen onderbrengen die nog steeds gevoelige informatie aan derde partijen prijsgeven. "Een groepsnaam zou eigenlijk gewoon een gedragskredietscore zijn: een tatoeage op je digitale voorhoofd die een beknopte samenvatting bevat van wie je bent, waarvan je houdt, waar je naar toe gaat, wat je koopt en met wie je omgaat", gaat Cyphers verder. De EFF is dan ook van mening dat de Privacy Sandbox gebruikers helemaal niet helpt. Google zou juist voorsorteren op een mogelijke toekomst zonder trackingcookies en verdedigt nu op twee fronten het businessmodel. Aan de ene kant roept het bedrijf dat third-party cookies prima zijn. Aan de andere kant wil het de werking van trackingcookies vervangen door de "Privacy Sandbox", zodat het gerichte advertenties kan blijven tonen mochten third-party cookies verdwijnen. "De Sandbox gaat niet over de privacy van gebruikers. Het gaat om Googles netto winst. Aan het eind van de dag is Google een advertentiebedrijf dat ook een browser blijkt te maken", besluit Cyphers . bron: security.nl

WordPress-sites worden op het moment actief aangevallen via bekende kwetsbaarheden in minstens elf plug-ins, zo waarschuwt securitybedrijf Wordfence. Via de kwetsbaarheden wordt kwaadaardige JavaScript-code op de websites geïnjecteerd. Deze code stuurt bezoekers door naar malafide websites. Daarnaast wordt geprobeerd om een backdoor te installeren om zo toegang tot de kwetsbare websites te krijgen. De kwetsbaarheden zijn aanwezig in Bold Page Builder, Blog Designer, Live Chat with Facebook Messenger, Yuzo Related Posts, Visual CSS Style Editor, WP Live Chat Support, Form Lightbox, Hybrid Composer en alle voormalige Nicdark-plug-ins, waaronder Booking, Travel en Learning. Het meest recente beveiligingslek bevindt zich in de Bold Page Builder-plug-in en werd vier dagen geleden gepatcht. De kwetsbaarheid zou al voor het uitkomen van de update door criminelen zijn aangevallen. Meer dan 20.000 WordPress-sites maken gebruik van Bold Page Builder. Beheerders van WordPress-sites krijgen dan ook het advies om themes en plug-ins up-to-date te houden. bron: security.nl

In aanloop naar het einde van Adobe Flash Player is Microsoft niet van plan om het afspelen van Flash in Edge en Internet Explorer 11 standaard uit te schakelen, zo meldt de softwaregigant. Wel zal Microsoft Flash uitschakelen in de Chromium-versie van Edge en volgt daarmee Google en Mozilla. Vanwege een lange geschiedenis van beveiligingsproblemen en het feit dat Flash inmiddels een verouderde technologie is heeft Adobe besloten om de ondersteuning van de browserplug-in in 2020 te beëindigen. Alle browserontwikkelaars zullen de volledige ondersteuning van Flash volgend jaar geheel uit hun browser verwijderen. Eind juli lanceerde Google Chrome 76 waarin Flash standaard staat uitgeschakeld. Gebruikers kunnen de technologie nog wel per website inschakelen, maar zullen dit vervolgens voor elke website apart moeten bevestigen. Deze bevestiging moet na het herstarten van de browser opnieuw worden gegeven. Volgende week verschijnt Firefox 69 waarin Flash ook standaard zal zijn uitgeschakeld. Microsoft is echter niet van plan om voor Edge en Internet Explorer 11 een dergelijke update door te voeren. Voor gebruikers van deze twee browsers blijft de Flash-ervaring voor de rest van het jaar ongewijzigd. Microsoft stelt dat het in december 2020 de Flash-ondersteuning uit beide browsers verwijdert. Chrome heeft als letterlijke deadline "eind 2020" gegeven, wat ook geldt voor de op Chromium-gebaseerde versie van Edge. Mozilla zal Flash begin 2020 uit Firefox verwijderen. Alleen de Firefox Extended Support Release (ESR) zal tot eind volgend jaar Flash-ondersteuning blijven ontvangen. bron: security.nl

Softwarebedrijf Foxit Software, ontwikkelaar van de pdf-lezer Foxit Reader, is getroffen door een datalek. Aanvallers hebben gegevens van gebruikers gestolen die bij het bedrijf een account hadden aangemaakt. Het gaat om e-mailadressen, wachtwoorden, gebruikersnamen, telefoonnummers, bedrijfsnamen en ip-adressen. Betaalgegevens zijn niet buitgemaakt. Of de gestolen wachtwoorden waren gehasht laat Foxit Software in de aankondiging van het incident niet expliciet weten. Van alle getroffen gebruikers is het wachtwoord gereset. Door het aanmaken van een account bij de softwareontwikkelaar kunnen gebruikers toegang krijgen tot testversies, bestelgeschiedenis, productregistratie en supportinformatie. Hoe de aanvaller toegang tot het systeem kon krijgen en hoeveel gebruikers zijn getroffen is niet bekendgemaakt. Foxit Software zegt dat alle getroffen gebruikers zijn geïnformeerd en het een securitybedrijf heeft ingehuurd om de beveiliging aan te scherpen en toekomstige beveiligingsincidenten te voorkomen. bron: security.nl

Meer dan 2500 WordPress-sites draaien een script dat al vijf jaar niet meer wordt ondersteund en in het verleden op grote schaal is gebruikt om websites mee aan te vallen. Het gaat om TimThumb, een eenvoudig PHP-script om de afmetingen van afbeeldingen aan te passen. Een groot aantal WordPress-sites maakte er gebruik van. In 2011 werd er een kwetsbaarheid in het script ontdekt waardoor aanvallers willekeurige PHP-scripts naar websites met TimThumb konden uploaden. Jarenlang werd hier op grote schaal misbruik van gemaakt. Zo gebruikten aanvallers het lek om kwaadaardige code aan WordPress-sites toe te voegen die bezoekers met malware probeerde te infecteren. In 2014 maakte de ontwikkelaar bekend dat hij, mede vanwege de impact van het beveiligingslek, de ondersteuning en beheer van TimThumb stopte. Gebruik van het script was dan ook op eigen risico, aldus de ontwikkelaar. Nu vijf jaar later zijn er nog altijd 2512 websites waarop het script draait, zo stelt securitybedrijf Sucuri. Negentig procent van deze websites bleek een bekend kwaadaardig bestand te bevatten. "Dit houdt in dat er nog steeds kans op misbruik is via de bekende TimThumb-lekken. Het laat ook zien hoe belangrijk het is om onderdelen te gebruiken die actief worden beheerd en ondersteund", aldus onderzoeker Denis Sinegubko. bron: security.nl

In negen populaire WordPress-plug-ins zijn ernstige beveiligingslekken ontdekt waarmee het mogelijk is om de achterliggende website volledig over te nemen. De plug-ins hebben bij elkaar meer dan 1,5 miljoen actieve installaties en op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal met een 9 beoordeeld. "Het interessante is dat acht van de negen beveiligingslekken via hetzelfde eenvoudige codepatroon zijn gevonden waardoor ze kwetsbaar voor SQL-injection waren. Ondanks de mogelijkheid tot misbruik kan het filteren van gebruikersinvoer veel ontwikkelaars gewoon niets schelen", stelt onderzoeker Tin Duong van securitybedrijf Fortinet, dat de kwetsbaarheden ontdekte. Via SQL-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen. SQL-injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. "SQL-injection is geen nieuwe techniek, maar het vormt altijd een serieuze beveiligingsdreiging voor webapplicaties en webservers. Om het te voorkomen zouden ontwikkelaars altijd programmeerstandaarden en best practices voor veilig programmeren moeten volgen", merkt Duong op. Fortinet waarschuwde de betreffende ontwikkelaars die de afgelopen weken met updates kwamen. In de praktijk blijkt dat WordPress-gebruikers hun plug-ins niet altijd updaten en zo risico lopen om te worden aangevallen. De kwetsbaarheden zijn onder andere aanwezig in de plug-ins NextGEN Gallery, Photo Gallery en Popup Builder die respectievelijk meer dan 900.000, 300.000 en 100.000 actieve installaties hebben. bron: security.nl

Er is een nieuwe versie van het e-mailprogramma Thunderbird verschenen die tal van verbeteringen en aanpassingen bevat, waaronder op securitygebied. Zo zijn in Thunderbird 68 verbeteringen doorgevoerd aan de scamwaarschuwingen die gebruikers bij malafide e-mails te zien krijgen. Thunderbird waarschuwt gebruikers voor e-mails waarvan het vermoedt dat het om een kwaadaardig bericht gaat. Dit wordt op basis van verschillende eigenschappen van de e-mail gedaan, zoals onderwerp, inhoud en links. In het geval de scamwaarschuwing alleen op basis van een "bad" link is zal Thunderbird de waarschuwing voortaan alleen tonen als gebruikers de link ook daadwerkelijk openen. Dit moet voorkomen dat Thunderbird-gebruikers het tonen van scamwaarschuwingen wegens false positives uitschakelen. Tevens is de detectie van mogelijke phishing in berichten met bepaalde formulieren verbeterd en wordt het SMTP-wachtwoord dat de gebruiker heeft ingevoerd verwijderd bij het verwijderen van het betreffende account. Eerder werd het wachtwoord niet verwijderd als de gebruiker het account verwijderde of de server- of gebruikersnaam wijzigde. De e-mailclient geeft nu ook meer informatie als een bericht wegens een beveiligingsprobleem niet kan worden verstuurd. Eerst verscheen er alleen de melding "unknown error", maar nu krijgt de gebruiker meer details te zien. Vanwege alle aanpassingen ten opzichte van de vorige versies wordt Thunderbird 68 alleen als directe download via Thunderbird.net aangeboden en niet als upgrade voor Thunderbird 60.0 en eerder. Voor gebruikers van deze versies staat Thunderbird 68.1 gepland, die via de automatische updatefunctie zal worden geïnstalleerd. bron: security.nl

Het Tor Project is op zoek naar nieuwe servers om overheidscensuur te omzeilen, aangezien de huidige servers vroeger of later op een blocklist kunnen belanden. Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd. De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er "Tor-bridges". Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. Op dit moment zijn er zo'n duizend Tor-bridges, waarvan er zeshonderd het obfs4-obfuscatieprotocol ondersteunen om het netwerkverkeer aan te passen. "Helaas zijn deze aantallen al enige tijd onveranderd. Het is niet voldoende om veel bridges te hebben. Uiteindelijk kunnen ze allemaal op blocklists belanden. Daarom hebben we een continue stroom van nieuwe bridges nodig die nog nergens worden geblokkeerd", zegt Philipp Winter van het Tor Project. Winter stelt dat het vrij eenvoudig is om een Tor-bridge op te zetten en dat dit weinig risico's met zich meebrengt en weinig bandbreedte gebruikt. "Maar ze hebben een grote impact op mensen waar internet wordt gecensureerd", aldus de Tor Project-medewerker. Doordat de bridges niet openbaar zijn zullen ze waarschijnlijk niet voor veel abusemeldingen zorgen of door populaire diensten worden geblokkeerd. Het is al mogelijk om een Tor-bridge vanaf een thuisnetwerk met een statisch ip-adres te draaien, aldus Winter. Het Tor Project roept internetgebruikers op om een Tor-bridge te gaan draaien. Onder beheerders van deze nieuwe servers zal het Tor Project tien T-shirts verloten als ze de fingerprint van hun Tor-bridge doorsturen. bron: security.nl

De Franse politie heeft met behulp van antivirusbedrijf Avast een botnet van 850.000 computers uitgeschakeld en opgeschoond. De computers waren met de Retadup-malware besmet, die op geïnfecteerde machines een cryptominer, ransomware of wachtwoordsteler installeerde. Het protocol dat Retadup gebruikte om met besmette computers te communiceren bevatte een ontwerpfout. Daardoor was het mogelijk om de malware van de geïnfecteerde machines te verwijderen als de command & control-server was overgenomen. Het verwijderen van de malware was mogelijk zonder dat gebruikers hiervoor iets hoefden te doen. Het grootste deel van Retadup-infrastructuur bevond zich in Frankrijk. Daarop besloot Avast de Franse politie te informeren en werd er een desinfectiescenario voorgesteld en getest. De botnetserver zou worden overgenomen en via de ontwerpfout kon Retadup van besmette systemen worden verwijderd. Afgelopen juli kreeg de Franse politie van de openbaar aanklager groen licht om de operatie uit te voeren. De botnetserver werd vervangen door een desinfectieserver die besmette computers de opdracht gaf om de malware te verwijderen. Een deel van de botnetinfrastructuur bevond zich in de Verenigde Staten, waarop de Franse politie de FBI waarschuwde. De Amerikaanse opsporingsdienst haalde de betreffende servers op 8 juli uit de lucht, waardoor de malwaremakers geen controle meer over de geïnfecteerde machines hadden. Sinds de operatie is de Retadup-malware van 850.000 computers verwijderd, waarvan het grootste deel in Latijns-Amerika werd aangetroffen. De meeste slachtoffers bleken Windows 7 te draaien en sommige slachtoffers hadden opzettelijk hun antivirussoftware uitgeschakeld. bron: security.nl

Een programma dat gebruikers helpt bij het updaten van hun drivers heeft malware op systemen geïnstalleerd nadat aanvallers toegang tot de updateserver kregen. Het gaat om het programma DriveTheLife, maar ook andere soortgelijke applicaties die op dezelfde infrastructuur draaien zijn getroffen. Welke applicaties dit zijn laat antivirusbedrijf Bitdefender niet weten. De virusbestrijder beschouwt DriveTheLife als een "potentieel ongewenste applicatie". Het gaat dan om software die met andere programma's is gebundeld, toolbars installeert en pop-ups of advertenties toont. Een onderdeel van DriveTheLife dat normaliter updates van een legitiem domein downloadt werd eind vorig jaar gemanipuleerd zodat het malware vanaf een domein van de aanvallers downloadde, aldus Bitdefender in een rapport. Dergelijke aanvallen worden "supply chain attacks" genoemd en kunnen zeer effectief voor aanvallers zijn. NotPetya is een bekend voorbeeld van malware die zich via een supply-chain-aanval verspreidde. De malware die zich via DriveTheLife verspreidde werd de afgelopen maanden met allerlei modules uitgebreid om zich verder binnen het netwerk te verspreiden. Zo maakt de malware gebruik van de EternalBlue-exploit van de NSA om systemen via een oud Windows-lek te infecteren, alsmede een explolit voor Microsoft SQL Server. Ook probeert de malware systemen in het lokale netwerk via een verzameling van zwakke en veelvoorkomende wachtwoorden en wachtwoordsteler Mimikatz te besmetten. De malware installeert daarnaast een cryptominer die de rekenkracht van het systeem gebruikt om cryptovaluta te delven. Om niet te worden opgemerkt stopt de cryptominer wanneer de gebruiker een videogame speelt. Het zou gebruikers opvallen dat de computer tijdens het spelen trager werkt, wat tot de ontdekking van de cryptominer kan leiden. Volgens onderzoeker Liviu Arsene is het een interessante eigenschap van de cryptominer om met het spelen van games rekening te houden. Infecties zijn wereldwijd waargenomen, maar de meeste besmettingen werden in India aangetroffen. bron: security.nl

Verschillende wifi-routers bieden de mogelijkheid om een gastnetwerk op te zetten dat gasten of bepaalde apparaten mogen gebruiken, maar via dit netwerk kan een aanvaller gevoelige data van het hostnetwerk stelen. Dat melden onderzoekers van de Ben-Gurion University op basis van eigen onderzoek. Voor het onderzoek werden routers van verschillende fabrikanten en prijsniveaus onderzocht en in alle gevallen was het mogelijk om de scheiding tussen het gastnetwerk en het hostnetwerk te overbruggen. De onderzoekers maakten hiervoor gebruik van "covert channels" die door het versturen van speciaal geprepareerd netwerkverkeer zijn uit te buiten. Het gaat om twee soorten covert channels, namelijk directe en timing channels. In het geval van een direct covert channel wordt uitgewisselde data onbedoeld doorgestuurd tussen het host- en gastnetwerk. Bij de timing-aanvallen wordt er misbruik gemaakt van de gedeelde resources op de router, zoals cpu-tijd, netwerk en IPC-buffers. Informatie van het hostnetwerk kan zo bereikbaar zijn vanaf het gastnetwerk. Via het versturen van bepaalde DHCP-, ICMP- of ARP-pakketten kan een aanvaller proberen de data te bemachtigen. De onderzoekers vonden in totaal negen beveiligingslekken in routers van TP-Link, D-Link, Edimax en Linksys die de covert channels mogelijk maken. De fabrikanten werden vervolgens in mei gewaarschuwd. Linksys liet echter weten dat het de kwetsbaarheden niet zal verhelpen en de andere fabrikanten gaven helemaal geen reactie. De onderzoekers stellen dan ook dat een hardwarematige oplossing die enige manier lijkt om gast- en hostnetwerken echt van elkaar te scheiden (pdf). bron: security.nl

De Autoriteit Persoonsgegevens heeft de Ierse privacytoezichthouder gevraagd om onderzoek te doen naar de Home- en Pro-versies van Windows 10, aangezien het besturingssysteem mogelijk nog steeds de Europese privacyregels overtreedt. Dat laat de Nederlandse privacytoezichthouder vandaag weten. Twee jaar geleden deed de Autoriteit Persoonsgegevens onderzoek naar de privacy van Windows 10-gebruikers. Daaruit bleek dat Microsoft via telemetrie onrechtmatig persoonsgegevens verwerkte en zo de privacy van gebruikers schond. Vorig jaar april voerde de softwaregigant verschillende aanpassingen aan Windows 10 door om de privacy van gebruikers te beschermen. Zo worden gebruikers beter geïnformeerd over de gegevens die Microsoft verzamelt en waarvoor ze worden verwerkt. Daarnaast kunnen gebruikers op een duidelijke actieve wijze kiezen voor hun privacyinstellingen. Volgens de Nederlandse privacytoezichthouder hebben deze aanpassingen tot een daadwerkelijke verbetering van de privacy gezorgd. "Maar tegelijkertijd blijkt dat Microsoft ook andere gegevens van gebruikers op afstand verzamelt. Mogelijk overtreedt Microsoft hierdoor nog steeds de privacyregels", aldus de Autoriteit Persoonsgegevens. De toezichthouder heeft de resultaten van het onderzoek met andere Europese privacytoezichthouders gedeeld. Aangezien het Europese hoofdkantoor van Microsoft in Ierland is gevestigd heeft de AP aan de Ierse privacytoezichthouder gevraagd een nieuw onderzoek in te stellen. Windows 10-gebruikers krijgen van de Autoriteit Persoonsgegevens het advies om bij de installatie en het gebruik van het besturingssysteem goed te letten op de privacyinstellingen. "Microsoft mag persoonsgegevens verwerken op het moment dat daarvoor op de juiste manier toestemming is gevraagd", zo stelt de toezichthouder. bron: security.nl

Een beveiligingslek maakte het mogelijk om Instagram-accounts zonder enige interactie van gebruikers over te nemen, zo ontdekte beveiligingsonderzoeker Laxman Muthiyah, die eerder al een andere kwetsbaarheid vond waarmee accounts waren te kapen. Instagram-gebruikers die hun wachtwoord zijn vergeten kunnen hun mobiele telefoonnummer invoeren. Vervolgens wordt er een zescijferige code naar de telefoon gestuurd. De gebruiker moet deze code bij Instagram invoeren en kan daarna een nieuw wachtwoord instellen. Instagram maakt gebruik van een device-ID om wachtwoordresetcodes te valideren. Als een gebruiker een passcode via zijn telefoon opvraagt wordt er tegelijkertijd een device-ID verstuurd. Hetzelfde device-ID wordt gebruikt om de passcode te verifiëren. Muthiyah ontdekte dat het mogelijk is om met één device-ID van meerdere gebruikers de passcode op te vragen. Voor een zescijferige passcode zijn er één miljoen mogelijkheden. "Wanneer we passcodes van meerdere gebruikers opvragen, vergroten we de kans om het account te hacken. Als we met hetzelfde device-ID de passcode van honderdduizend gebruikers opvragen, kun je een succesratio van tien procent hebben, aangezien honderdduizend codes voor hetzelfde device-ID worden uitgegeven. Als we passcodes voor één miljoen gebruikers vragen, kunnen we alle één miljoen accounts eenvoudig hacken door de passcode incrementeel te verhogen", aldus Muthiyah. De onderzoeker waarschuwde Facebook dat het beveiligingsprobleem vervolgens oploste. Voor zijn melding ontving Muthiyah een beloning van 10.000 dollar. Voor de andere, eerdere kwetsbaarheid waarmee het mogelijk was om Instagram-accounts te kapen ontving hij 30.000 dollar. bron: security.nl

Google kan internetgebruikers geen zinnige privacybescherming bieden en tegelijkertijd de eigen zakelijke belangen beschermen, zo stellen onderzoekers van Princeton University. Onlangs kwam Google in het nieuws wegens de aankondiging van een "Privacy Sandbox", die gerichte advertenties en privacy mogelijk moet maken, maar volgens Jonathan Mayer en Arvind Narayanan is er sprake van misleiding en zelfs "privacy gaslighting". Apple en Mozilla beschermen de privacy van gebruikers door onder andere trackingcookies te blokkeren. Deze cookies worden gebruikt om internetgebruikers over het web te volgen en gerichte advertenties te tonen. Google doet dit niet. Vorige week kwam het bedrijf met een verklaring waarom dit zo is. Het blokkeren van trackingcookies zou namelijk voor ergere vormen van tracking zorgen. Daarnaast zouden websites doordat ze geen gerichte advertenties meer kunnen tonen allerlei inkomsten mislopen. Google pleitte daarom voor het ontwikkelen van standaarden waarbij gebruikers toch gerichte advertenties te zien krijgen en hun privacy wordt beschermd. Volgens Mayer en Narayanan vertelt Google dingen niet waar zijn, worden gebruikers misleid en probeert het bedrijf alleen de eigen belangen te beschermen. Zo ondermijnt het blokkeren van trackingcookies niet de privacy van internetgebruikers en is het ook maar de vraag of het tot het gebruik van fingerprinting leidt, zoals Google claimt. Zelfs als dit het geval zou zijn, zouden browserontwikkelaars ook maatregelen tegen fingerprinting moeten nemen, zoals Apple en Mozilla op dit moment doen. De onderzoekers noemen het argument van Google absurd en vergelijken het met de politie die stelt dat er een probleem met zakkenrollers is. Als het de zakkenrollers echter aanpakt zullen die overstappen op berovingen, wat nog erger zou zijn. In plaats van fingerprinting te accepteren zou het juist een reden moeten zijn om gebruikers hier tegen te beschermen. Daarnaast wordt webtracking slechts op kleine schaal toegepast en zal dit waarschijnlijk niet veranderen, aldus de onderzoekers. En zelfs als fingerprinting op grote schaal wordt toegepast, zou het blokkeren van trackingcookies nog steeds beschermen tegen partijen die op deze manier mensen op het web volgen. "Het is niet de eerste keer dat Google oneerlijke argumenten gebruikt om te suggereren dat een privacybeschermingsmaatregel terugslaat. We noemen dit privacy gaslighting, omdat het een poging is om gebruikers en beleidsmaker ervan te overtuigen dat een duidelijke privacybeschermingsmaatregel, die al door de concurrenten van Google wordt gebruikt, eigenlijk geen privacybescherming is", aldus de onderzoekers. In de aankondiging van de Privacy Sandbox stelt Google dat gerichte advertenties nodig zijn om gratis content op internet mogelijk te maken. Door het blokkeren van trackingcookies zouden gerichte advertenties niet meer mogelijk zijn en websites gemiddeld 52 procent van de inkomsten mislopen. De cijfers van Google zijn echter gebaseerd op een eigen onderzoek waarvan de details juist ontbreken. Andere onderzoeken laten juist zien dat gerichte advertenties nauwelijks voor meer inkomsten zorgen. Afsluitend liet Google weten dat het via de ontwikkeling van nieuwe standaarden privacy en gerichte advertenties wil beschermen. Een proces dat jaren in beslag kan nemen. "Google spreekt over een proces van meerdere jaren voor een afgezwakte privacybescherming. En zelfs dat is onzeker", merken Mayer en Narayanan op. Zo heeft de advertentie-industrie jarenlang het standaardisatieproces van de Do Not Track-maatregel uitgesteld. Volgens de onderzoekers bestaat het Chrome-team uit slimme engineers die hun gebruikers willen beschermen en voor websecurity veel hebben betekend. Op privacygebied is dat een ander verhaal. "Het is onwaarschijnlijk dat Google zinnige privacy kan bieden en tegelijkertijd de zakelijke belangen kan beschermen", stellen Mayer en Narayanan. Chrome zal op privacygebied dan ook steeds verder achterlopen op Firefox en Safari. "Het is teleurstellend, maar geen verassing, dat het Chrome-team de bedrijfsbelangen van Google via oneerlijke technische argumenten verhuld", besluiten de onderzoekers. bron: security.nl

WordPress-sites worden op het moment actief aangevallen via bekende kwetsbaarheden in plug-ins van ontwikkelaar Nicdark en een uitbreiding voor de Simple 301 Redirects-plug-in. Dat laat securitybedrijf Wordfence weten. Nicdark biedt vijf verschillende plug-ins voor WordPress waarmee websites onder andere donaties en reserveringen kunnen beheren. De plug-ins zijn volgens de ontwikkelaar meer dan 15.000 keer gedownload. Uit cijfers van WordPress blijkt dat meer dan 6700 actieve websites van de plug-ins gebruikmaken. Hoewel het om vijf verschillende plug-ins gaat bevatten ze allemaal hetzelfde beveiligingslek waardoor een aanvaller zonder inloggegevens willekeurige WordPress-opties kan aanpassen. Zo is het bijvoorbeeld mogelijk voor een aanvaller om zichzelf als beheerder van de website te registreren. Bij de waargenomen aanvallen wijzigen aanvallers alleen de site-url van de website, waardoor bezoekers automatisch naar malafide sites worden doorgestuurd of malafide content te zien krijgen. De kwetsbaarheden in de plug-ins zijn onlangs gepatcht, maar niet alle websites hebben de update geïnstalleerd. Hetzelfde geldt voor een uitbreiding van de Simple Redirects-plug-in. Via Simple Redirects kunnen gebruikers requests eenvoudig naar een andere pagina op hun eigen site of het internet doorsturen. De "Simple 301 Redirects – Addon – Bulk Uploader" biedt de mogelijkheid om een csv-bestand met oude en nieuwe url's te uploaden die vervolgens als invoer door Simple Redirects worden gebruikt. Via de kwetsbaarheid kan een aanvaller zijn eigen redirect opgeven en bezoekers zo naar malafide sites doorsturen. Twee weken geleden verscheen er een update voor Bulk Uploader, die meer dan 10.000 actieve installaties heeft. bron: security.nl

Veertien miljoen klanten van hostingbedrijf Hostinger zijn slachtoffer van een datalek geworden nadat een aanvaller toegang kreeg tot een database met hun gegevens, zo laat het bedrijf weten. Vanwege het datalek heeft Hostinger besloten om de wachtwoorden van alle gebruikers te resetten. Op 23 augustus ontdekte het hostingbedrijf dat een "ongeautoriseerde derde partij" toegang had gekregen tot een server met een autorisatietoken. Vanaf deze server werd vervolgens een andere server benaderd. Via deze server kon de aanvaller toegang tot de database met klantgegevens krijgen. Het gaat om gebruikersnamen, e-mailadressen, gehashte wachtwoorden, namen en ip-adressen van zo'n 14 miljoen Hostinger-klanten. Naar aanleiding van het datalek zijn van alle klanten het wachtwoord gereset en hebben die een e-mail met instructies ontvangen. Volgens Hostinger heeft het datalek geen gevolgen voor de accounts van klanten en hun domeinen, websites en e-mail die ze bij het hostingbedrijf hebben ondergebracht. Hoe de aanvaller toegang tot de server wist te krijgen laat Hostinger niet weten. Wel besloot het hostingbedrijf om van alle systemen binnen de eigen infrastructuur de wachtwoorden te resetten. bron: security.nl

Ruim 14.000 vpn-endpoints van Pulse Secure, waaronder meer dan 400 in Nederland, bevatten een ernstig beveiligingslek waardoor aanvallers gevoelige informatie kunnen stelen en toegang tot het vpn-netwerk kunnen krijgen. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Ook werd het lek tijdens de afgelopen Black Hat-conferentie uitgeroepen tot het "beste server-side beveiligingslek" van het afgelopen jaar. De Pulse Secure vpn-oplossing laat werknemers op afstand verbinding met een bedrijfsnetwerk maken. Via een kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats, zo maakte onderzoeker Kevin Beaumont vorige week bekend. Sinds 22 augustus wordt er ook op grote schaal naar kwetsbare endpoints gezocht, zo laat onderzoeker Troy Mursch weten. Mursch besloot zelf een scan op internet uit te voeren om te kijken hoeveel kwetsbare endpoints online zijn te vinden. De scan leverde 14.528 apparaten op, waarvan 420 in Nederland. De kwetsbare endpoints staan bij universiteiten, ziekenhuizen, energiebedrijven, banken, Fortune 500-bedrijven en overheden. Mursch heeft de informatie onder andere met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid gedeeld. bron: security.nl

Mocht je toch een alternatief zoeken: kijk eens naar Openshot. Dat is een mooi alternatief.

Mocht de eigenaar de laptop toch een tweede leven willen geven, kun je inderdaad overwegen om Linux op het systeem te zetten. Linux kun je gratis ophalen en samen met Open Office heb je dan toch weer een leuke en vlotte laptop. Ik doe dit zelf ook met oude laptops. Als linuxversie gebruik ik Mint. Deze leer je het snelste daar de lay-out en structuur behoorlijk op Windows lijkt. Het is een idee.

Ik zie geen reactie en ga er dus van uit dat het antwoord voldoende is geweest. Succes met de beslissing. Om het hier overzichtelijk te houden, zet ik dit item op slot.

Twee beveiligingslekken in de ssl vpn's van Fortinet en Pulse Secure worden op het moment actief aangevallen. Daarvoor waarschuwt de Britse beveiligingsonderzoeker Kevin Beaumont. Voor beide kwetsbaarheden zijn updates beschikbaar, maar online zijn nog tal van kwetsbare systemen te vinden. Het beveiligingslek in de ssl vpn van Pulse Secure is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Ook werd het lek tijdens de afgelopen Black Hat-conferentie uitgeroepen tot het "beste server-side beveiligingslek" van het afgelopen jaar. Via de kwetsbaarheid kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats, aldus Beaumont. De kwetsbaarheid in de Fortinet ssl vpn firewalls maakt het mogelijk voor een aanvaller om op afstand de inloggegevens te bemachtigen. De apparaten worden als "perimeter security" ingezet, wat het een gevaarlijk beveiligingslek maakt, merkt Beaumont op. Voor dit beveiligingslek verscheen op 24 mei een update, gevolgd door twee exploits op 14 en 17 augustus. Sinds 21 augustus wordt de kwetsbaarheid actief aangevallen. Volgens de Britse onderzoeker zijn er een half miljoen van deze vpn-apparaten op internet te vinden. Beheerders die de beveiligingsupdate nog niet hebben geïnstalleerd krijgen het advies dit zo snel als mogelijk te doen. bron: security.nl

Onderzoekers hebben een malware-exemplaar ontdekt dat op besmette computers doc- en pdf-bestanden infecteert om zich zo verder te kunnen verspreiden. De malware wordt Asruex genoemd en de initiële besmetting vindt plaats via een lnk-bestand, waarmee de malware op het systeem wordt gedownload. Eenmaal actief zoekt de malware naar pdf- en doc-bestanden op netwerkschijven en usb-sticks en voorziet die van twee oude exploits. Het gaat om een beveiligingslek in Adobe Reader van 2010 en een beveiligingslek in Microsoft Word van 2012. Wanneer de exploit aan het document is toegevoegd en het bestand vervolgens met een kwetsbare versie van Word of Adobe Reader wordt geopend, kan de malware ook het betreffende systeem infecteren. Om slachtoffers niets te laten vermoeden krijgen die gewoon het oorspronkelijke document te zien. In de achtergrond wordt echter de exploit uitgevoerd en de malware geïnstalleerd. Naast pdf- en doc-documenten kan de malware ook exe-bestanden infecteren. Via de malware, die als backdoor fungeert, hebben aanvallers volledige controle over het systeem. Volgens antivirusbedrijf Trend Micro laat het gebruik van de oude kwetsbaarheden zien dat de aanvallers weten dat hun slachtoffers met verouderde software werken. bron: security.nl