Captain Kirk

Het blokkeren van trackingcookies om de privacy van internetgebruikers te beschermen zoals Apple en Mozilla doen is volgens Google geen goede oplossing, aangezien het ten koste zou gaan van de inkomsten van websites en partijen stimuleert om op andere manieren internetgebruikers te volgen. De internetgigant heeft daarom de "Privacy Sandbox" aangekondigd, een aanpak waarbij gebruikers gerichte advertenties te zien krijgen, maar ook hun privacy zou worden beschermd. Google stelt in de aankondiging dat ongerichte advertenties de inkomsten van websites met 52 procent zouden laten dalen. Uit ander onderzoek blijkt echter dat trackingcookies websites slechts 4 procent meer per advertentie opleveren, wat neerkomt op een extra 0,00008 dollar (pdf). Daarnaast zou het blokkeren van trackingcookies het gebruik van fingerprinting aanmoedigen. Hierbij worden gebruikers gevolgd op basis van hun scherminstellingen, geïnstalleerde plug-ins, overzicht van beschikbare fonts en andere zaken. "In tegenstelling tot cookies kunnen gebruikers hun fingerprint niet verwijderen, en daarom niet controleren hoe hun informatie wordt verzameld", zegt Justin Schuh van Google. De Privacy Sandbox zou ervoor moeten zorgen dat websites geld aan gerichte advertenties kunnen verdienen en de privacy van gebruikers wordt beschermd. Het wordt omschreven als een "veilige omgeving" die personalisatie mogelijk maakt. Informatie van gebruikers wordt anoniem samengevoegd en veel meer gebruikersgegevens blijven alleen op het toestel. Tevens pleit Google voor de implementatie van een "privacy budget". Met dit privacy budget kunnen websites API's aanroepen totdat hiermee genoeg informatie is opgevraagd om een gebruiker tot een bepaalde groep te identificeren die groot genoeg is om anonimiteit te bieden. Verzoeken om meer informatie worden vervolgens door de browser geweigerd. Google vraagt nu andere browserontwikkelaars, websites en adverteerders om feedback op het plan. bron: security.nl

Multifactorauthenticatie (MFA), zoals het gebruik van een extra code tijdens het inloggen, voorkomt 99,9 procent van de aanvallen op accounts, zo stelt Microsoft. De softwaregigant laat weten dat het dagelijks meer dan 300 miljoen frauduleuze inlogpogingen op de eigen clouddiensten ziet. Met name dankzij gestolen, zwakke en hergebruikte wachtwoorden weten aanvallers toegang tot accounts te krijgen. Organisaties kunnen dergelijke aanvallen voorkomen door onveilige wachtwoorden te verbieden, legacy-authenticatie te blokkeren en medewerkers over phishing te trainen. De beste maatregel is echter het inschakelen van MFA, aldus Microsoft. "Door een extra barrière en beveiligingslaag op te werpen die het zeer lastig maakt voor aanvallers om te omzeilen, kan MFA meer dan 99,9 procent van de aanvallen op accounts blokkeren", zegt Microsofts Melanie Maynes. Organisaties zouden het implementeren van MFA echter uitstellen omdat er wordt gedacht dat dit externe hardware vereist en door gebruikers als een belemmering wordt ervaren. Volgens Matt Bromiley van SANS hoeft het geen alles-of-nietsaanpak te zijn. "Er zijn verschillende manieren van aanpak die een organisatie kan nemen om de verstoring te beperken terwijl er op een geavanceerde authenticatie wordt overgestapt." Daarbij verwacht Microsoft veel van protocollen zoals WebAuthn en CTAP2, die authenticatie zonder wachtwoorden mogelijk maken. "Wachtwoordloze authenticatie is niet alleen makkelijker voor gebruikers, maar ook zeer lastig en kostbaar voor aanvallers om te compromitteren", aldus Maynes. Eerder stelde Google al dat een usb-beveiligingssleutel de beste bescherming tegen phishing biedt. Sinds de internetgigant het inloggen op werkaccounts via een dergelijke sleutel heeft verplicht is geen van de meer dan 85.000 Google-medewerkers op zijn of haar werkaccount gephisht. bron: security.nl

Op 14 september wordt de Europese betaalrichtlijn PSD2 (Payment Service Directive 2) van kracht en moeten alle banken in de EU tweefactorauthenticatie voor internetbankieren gebruiken, zo meldt de Duitse overheid. Daarnaast is het gebruik van papieren TAN-codes niet meer toegestaan. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, zijn papieren TAN-codes in het verleden herhaaldelijk het doelwit van phishingaanvallen geweest en biedt het al meer dan tien jaar geen adequaat beveiligingsniveau. Ook het gebruik van TAN-codes die via sms worden verstuurd raadt het BSI al geruime tijd af, omdat criminelen deze codes bijvoorbeeld via sim-swapping kunnen onderscheppen. Banken kunnen zelf kiezen welke authenticatiemethodes ze aanbieden. De Duitse overheidsinstantie adviseert dat banken de authenticatie fysiek scheiden. "Dit houdt in dat bijvoorbeeld het invoeren van het wachtwoord en verificatie van je vingerafdruk niet op hetzelfde toestel of smartphone plaatsvindt. Daarom wordt aangeraden om twee apparaten voor internetbankieren te gebruiken, zodat de beveiligingsfactoren onafhankelijk van elkaar zijn." In het geval de huidige bank niet de gewenste beveiligingsmethode aanbiedt kunnen klanten naar de concurrent stappen, aldus het BSI. bron: security.nl

Internetbedrijf Netcraft heeft de afgelopen zes maanden op meer dan 70.000 websites kwaadaardige JavaScript-code aangetroffen, zo laat het bedrijf zelf weten. De kwaadaardige code die door aanvallers aan de websites wordt toegevoegd probeert creditcardgegevens en persoonlijke informatie van bezoekers te stelen of laat het systeem van bezoekers cryptovaluta delven. Begin dit jaar meldde antivirusbedrijf Symantec dat in 2018 gemiddeld 4800 websites per maand slachtoffer van formjacking waren. Hierbij voegen aanvallers kwaadaardige JavaScript-code toe aan webwinkels. De toegevoegde code steelt vervolgens gegevens die klanten bij het bestellen van producten invoeren. Netcraft biedt al geruime tijd een extensie die gebruikers voor phishingsites waarschuwt, maar de nieuwste versie kan ook kwaadaardige JavaScript zoals cryptominers en "shopping site skimmers" detecteren. bron: security.nl

Onderzoekers van Cisco hebben in een beveiligingscamera van Nest meerdere kwetsbaarheden gevonden waardoor het mogelijk was voor een aanvaller om de camera uit te schakelen of in het ergste geval over te nemen. Google heeft inmiddels beveiligingsupdates uitgebracht. De beveiligingslekken waren aanwezig in de Nest Cam IQ Indoor, één van de duurste beveiligingscamera's van Nest. In totaal ontdekten de onderzoekers acht kwetsbaarheden, waarvan de ergste op een schaal van 1 tot en met 10 wat betreft de ernst met een 9 werd beoordeeld. De camera maakt voor de installatie en communicatie met andere Nest-apparaten voornamelijk gebruik van het Weave-protocol. De meeste kwetsbaarheden waren aanwezig in de code die voor het protocol wordt gebruikt. Zo had een aanvaller via de lekken de pairingcode in een periode van drie tot vier weken kunnen bruteforcen om toegang tot de camera te krijgen en die zelfs volledig over te nemen. Via verschillende andere kwetsbaarheden was het mogelijk voor een aanvaller om een denial of service-aanval uit te voeren en het apparaat onbruikbaar te maken, of om willekeurige code uit te voeren. Google werd op 18 april door Cisco over de kwetsbaarheden ingelicht en kwam eind juli met beveiligingsupdates. Cisco was oorspronkelijk van plan om tegelijkertijd de details openbaar te maken, maar besloot die datum uit te stellen naar gisteren. Nest-camera's kunnen zichzelf updaten en Google adviseert dan ook om de apparaten online te houden. bron: security.nl

Microsoft waarschuwt internetgebruikers voor criminelen die zogenaamde 404-pagina's gebruiken voor phishingaanvallen. 404-foutmeldingen worden normaliter getoond als de gebruiker een pagina probeert te bezoeken die niet kan worden gevonden. Bij de aanval waar Microsoft voor waarschuwt laten de aanvallers een aangepaste 404-pagina zien die op een legitieme inlogpagina van Microsoft lijkt. Slachtoffers klikken op de link en krijgen vervolgens de 404-pagina te zien die om hun inloggegevens vraagt. De aangepaste 404-pagina wordt op een domein van de aanvaller getoond. Die kan daardoor willekeurige links voor de phishingcampagnes gebruiken, aldus Microsoft. Het voordeel hiervan is dat een aanvaller zodoende een onbeperkt aantal links kan gebruiken, zonder dat er voor elke link een aparte phishingpagina moet worden aangemaakt. "We ontdekten ook dat de aanvallers willekeurige domeinen inzetten, waardoor het aantal phishinglinks exponentieel groeit", zo laat de softwaregigant via Twitter weten. Zodra slachtoffers hun inloggegevens invoeren worden ze naar de echte website van Microsoft doorgestuurd. bron: security.nl

Als het aan Google ligt zijn tls-certificaten die websites voor een versleutelde verbinding gebruiken straks nog maximaal 13 maanden geldig, in plaats van de 2 jaar en 3 maanden die nu wordt gehanteerd. Het voorstel van Googles Ryan Sleevi werd onlangs besproken tijdens een bijeenkomst van het CA/Browser Forum en afgelopen vrijdag gedeeld via de mailinglist van de organisatie. Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten. Volgens Sleevi, die steun kreeg voor zijn voorstel van Apple en Let's Encrypt, heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is. Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen. Sleevi pleit ervoor om het voorstel dan ook snel door te voeren. Browsers zouden dan vanaf maart 2020 de kortere levensduur van certificaten kunnen gaan handhaven. Het zal echter nog eens 825 dagen duren voordat het laatste certificaat met een langere levensduur is verlopen en browsers van de kortere levensduur zullen profiteren. Tegen die tijd zijn we al in juni 2022 beland, merkt Sleevi op. Certificaatautoriteit DigiCert is niet blij met het plan. Het bedrijf twijfelt aan de beoogde compliance-voordelen. Door een kortere levensduur kunnen certificaten sneller aan nieuwe regels voldoen, maar DigiCert stelt dat het CA/Browser Forum juist regels moet opstellen die lange tijd kunnen meegaan. "Deze veranderingen maken het veel lastiger voor bedrijven om hun internetverkeer en klanten te beschermen, zonder dat het voordelen heeft", zegt Timothy Hollebeek van DigiCert. Het bedrijf zal zich dan ook tegen het voorstel verzetten. Volgens beveiligingsonderzoeker Scott Helme lijkt het er echter op dat DigiCert vooral de commerciële belangen van diens grote klanten wil beschermen. bron: security.nl

Begin dit jaar lanceerde Google een Chrome-extensie die gebruikers voor gelekte wachtwoorden waarschuwt, wat in een periode van een maand 316.000 keer gebeurde. De waarschuwing leidt echter niet altijd tot het aanpassen van het wachtwoord. Dat blijkt uit onderzoek van Google. De Password Checkup-extensie is te vergelijken met de dienst Have I Been Pwned en waarschuwt gebruikers als hun gebruikersnaam en wachtwoord in een verzameling van meer dan 4 miljard gelekte inloggegevens voorkomen. Bijna 670.000 Chrome-gebruikers hebben de extensie geïnstalleerd. Deze gebruikers hebben over een periode van een maand 21 miljoen keer op websites en diensten ingelogd. In 316.000 gevallen gaf de extensie een waarschuwing omdat het wachtwoord was gelekt, wat neerkomt op 1,5 procent van de logins. Bij 26 procent van de onveilige wachtwoorden waarvoor de extensie waarschuwde besloot de gebruiker het wachtwoord vervolgens te wijzigen. Veertig procent van deze nieuwe wachtwoorden is echter te raden, aldus Google. Volgens de internetgigant kan het verschillende redenen hebben waarom gebruikers de waarschuwingen negeren. Bijvoorbeeld omdat ze het de moeite niet waard vinden om een nieuw wachtwoord in te stellen, omdat het om een gedeeld account gaat of omdat ze niet voldoende informatie over het instellen van een nieuw wachtwoord krijgen. "We ontdekten dat gebruikers gelekte, onveilige wachtwoorden voor sommige van de meest gevoelige financiële, overheids- en e-mailaccounts gebruiken. Het risico was nog groter bij webwinkels, nieuws- en entertainmentsites", zegt Elie Bursztein van Google. Er is nu een nieuwe versie van Password Checkup uitgebracht die gebruikers de mogelijkheid geeft om geen telemetrie met Google te delen. bron: security.nl

Twee nieuwe beveiligingslekken in de Remote Desktop Services (RDS) van Windows, inmiddels DejaBlue genoemd, kunnen voor grote economische schade zorgen, zo waarschuwt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Microsoft kwam dinsdagavond met beveiligingsupdates voor de twee kwetsbaarheden. Via de lekken kan een aanvaller computers zonder enige interactie van de gebruiker overnemen. De aanvaller hoeft alleen via het Remote Desktopprotocol (RDP) verbinding te maken. Geldige inloggegevens zijn niet nodig. In mei kwam Microsoft met een updaete voor een andere kwetsbaarheid in RDS genaamd BlueKeep. Hoewel updates voor dit lek al sinds mei beschikbaar zijn, zijn wereldwijd honderdduizenden machines die via internet toegankelijk zijn nog ongepatcht. In Duitsland gaat het om meer dan 10.000 machines. Het werkelijke aantal kwetsbare computers is waarschijnlijk veel groter, aangezien machines binnen bedrijfsnetwerken de updates waarschijnlijk ook missen, aldus het BSI. De Duitse overheidsinstantie beschouwt de kwetsbaarheden in RDS als zeer ernstig en roept organisaties en gebruikers op om de beschikbare patches te installeren. "Deze kwetsbaarheden maken aanvallen mogelijk die voor grote economische schade kunnen zorgen en moeten daarom met prioriteit worden behandeld. Met een dergelijke opeenstapeling van kwetsbaarheden is het slechts een kwestie van tijd voordat er aanvallen vergelijkbaar met WannaCry zullen plaatsvinden", zegt BSI-directeur Arne Schönbohm. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie verwacht dat de kwetsbaarheden op zeer korte termijn zullen worden misbruikt door aanvallers. "Dergelijke kwetsbaarheden hebben de potentie om grootschalig te worden gebruikt, zo blijkt uit het verleden. Het NCSC benadrukt daarom dat het belangrijk is om deze update direct uit te voeren", zo laat de organisatie weten. bron: security.nl

Adobe heeft tijdens de patchdinsdag van augustus meer dan honderd beveiligingslekken in de eigen software gepatcht, waaronder Acrobat Reader en Photoshop. In totaal verschenen er beveiligingsupdates voor acht verschillende pakketten. De grootste update is voor Adobe Acrobat en Reader uitgekomen. In de pdf-lezers zijn in totaal 75 kwetsbaarheden verholpen. Via de beveiligingslekken had een aanvaller willekeurige code op het systeem kunnen uitvoeren als een gebruiker een kwaadaardig pdf-bestand zou openen of was het mogelijk geweest om bepaalde informatie te achterhalen. Adobe heeft de update als belangrijk bestempeld en verwacht niet dat aanvallers op korte termijn misbruik van de gepatchte lekken zullen maken. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.012.20036, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30144, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30499 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. Een andere grote update verscheen voor Photoshop. Met Photoshop CC 19.1.9 en 20.0.6 zijn 34 kwetsbaarheden in de software opgelost. Via de beveiligingslekken had een aanvaller, als het slachtoffer een speciaal geprepareerde afbeelding had geopend, willekeurige code kunnen uitvoeren. Aangezien Photoshop in het verleden geen doelwit van aanvallers is geweest adviseert Adobe om de update te installeren als het uitkomt. Naast Photoshop en Acrobat zijn er ook beveiligingsupdates voor After Effects, Character Animator, Premiere Pro, Prelude, Creative Cloud Desktop Application en Experience Manager uitgebracht. Het gaat onder andere om kwetsbaarheden waardoor een aanvaller in het ergste geval het systeem van de gebruiker volledig mee kan overnemen. Adobe is niet bekend met aanvallen die misbruik van de nu gepatchte kwetsbaarheden maken. bron: security.nl

Windows-gebruikers worden dringend geadviseerd om Microsofts beveiligingsupdates van augustus zo snel als mogelijk te installeren. Naast verschillende kwetsbaarheden in Windows Remote Desktop Services die door een worm zijn te misbruiken bevat het besturingssysteem verschillende andere lekken waardoor een aanvaller op afstand kwetsbare systemen zonder interactie van gebruikers kan overnemen. Tijdens de patchdinsdag van augustus kwam Microsoft met updates voor in totaal 93 kwetsbaarheden. De belangrijkste beveiligingslekken zijn vier kwetsbaarheden in Remote Desktop Services die op afstand zijn te misbruiken. Voor twee van deze lekken gaf Microsoft zelfs een aparte waarschuwing omdat ze door een worm gebruikt kunnen worden om zich van de ene naar de andere machine te verspreiden, zonder dat er enige interactie van gebruikers is vereist. Hiervoor hoeft een aanvaller alleen via RDP met de computer verbinding te maken. Een ander beveiligingslek dat de aandacht verdient is een kwetsbaarheid in de Windows DHCP Client. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller de computer van zijn slachtoffer overnemen. Net als bij de kwetsbaarheden in Remote Desktop Services is er geen interactie van de gebruiker vereist. Volgens het Zero Day Initiative kan een worm zich in theorie ook via dit lek verspreiden. De Stuxnetworm die negen jaar geleden werd ontdekt maakte misbruik van een lek in de manier waarop Windows met LNK-bestanden omging. In 2019 wordt het besturingssysteem opnieuw door een soortgelijke kwetsbaarheid geplaagd. Door het slachtoffer een kwaadaardig LNK-bestand te laten openen kan een aanvaller kwetsbare systemen overnemen. Een aanvaller zou een dergelijk bestand op een usb-stick kunnen plaatsen. "Het is een handige manier om een air-gapped systeem aan te vallen", zo stelt het Zero Day Initiative. Gebruikers van Microsoft Word zijn daarnaast gewaarschuwd voor een kwetsbaarheid die op afstand is te misbruiken. De meeste Word-lekken vereisen dat het slachtoffer een kwaadaardig document met een exploit opent. In dit geval is dat niet nodig. Via de voorbeeldweergave (preview pane) in Outlook is het mogelijk om de kwetsbaarheid op afstand aan te vallen en kwaadaardige code uit te voeren. Van de 93 kwetsbaarheden die Microsoft heeft gepatcht zijn er 29 als ernstig aangemerkt, wat inhoudt dat een aanvaller die kan gebruiken om systemen over te nemen. Deze meeste van deze kwetsbaarheden zijn aanwezig in Microsoft Edge en Graphics. In het geval van dit laatste onderdeel wordt de kwetsbaarheid veroorzaakt door de manier waarop Windows fonts verwerkt. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Beste Skaya, Zoals je zelf al zegt hangt of staat het met de voorkeur van de gebruiker. Ik werk met beide. Zowel laptop als desktop. Beide hebben voor- en nadelen. Qua prestatie is het maar net wat voor configuratie van laptop of desktop je kiest. In mij geval heb ik beide twee stevige machines tot mijn beschikking. Voordeel van de laptop is dat je overal kunt werken wat in mijn geval geregeld gebeurd. Nadeel voor thuis in mijn geval is dat ik altijd eerst de laptop moet gaan pakken om er mee aan de slag te kunnen. Daarbij is het scherm van de laptop, ook al is het een groot scherm, beperkter dan mijn desktop. Voordeel van de desktop is dat deze altijd klaar staat. Maar dan weer als nadeel op één vaste plek in het huis. De ruimte die een desktop in beslag neemt heb ik ondervangen door een zogenaamde all-in-one met een lekker groot scherm. Daarmee is gelijk nog een voordeel aan een desktop; wanneer je lang achter de computer moet werken, werkt dat een stuk rustiger dan een laptop en heb ik vaak meerdere vensters naast elkaar open staan. Dus tja, een advies in de keuze. Ik zou eerst eens goed bedenken wat je met je computer wilt gaan doen. Waarvoor ga je hem gebruiken? Aan welke eisen moet je computer voldoen. Ga je hem alleen thuis gebruiken? Waar komt de computer dan het meeste te staan. Niet iedereen wil een computer in de woonkamer en dan is een laptop weer handig. Maakt dat niet uit dan zou ik voor een all-in-one gaan. Hoe minder je met een laptop of computer sleept, hoe beter. Ga je toch regelmatig buiten de deur werken, dan een laptop. Dus tja, het hangt af wat je er mee gaat doen en waar je er mee gaat werken.

Google Chrome en Mozilla Firefox zullen binnenkort stoppen met het weergeven van Extended Validation (EV) certificaten in de adresbalk. Volgens Google biedt de visuele weergave van een EV-certificaat niet de beoogde bescherming en heeft ook Mozilla twijfels over de effectiviteit ervan. Naast de bekende tls-certificaten die websites gebruiken voor het aanbieden van een beveiligde verbinding en identificatie zijn er ook EV-certificaten. Deze certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken. Bij EV-certificaten wordt de naam van de entiteit die het certificaat heeft aangevraagd in de adresbalk van de browser weergegeven. Voordat het certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale tls-certificaten het geval is. EV-certificaten zijn dan ook duurder dan normale tls-certificaten en worden anders door de browser weergegeven. Onder andere banken maken er vaak gebruik van. Met de lancering van Chrome 77 volgende maand zal de browser EV-certificaten niet meer in de adresbalk tonen. "Gebruikers lijken geen veilige keuzes te maken, zoals het invoeren van een wachtwoord of creditcardinformatie, wanneer de gebruikersinterface is veranderd of verwijderd, wat noodzakelijk voor de EV-gebruikersinterface zou zijn om zinvolle bescherming te bieden", zegt Devon O'Brien van Google. Daarnaast neemt de weergave van EV-certificaten veel ruimte in beslag, merkt O'Brien op. Een ander punt van kritiek is de mogelijkheid om via verschillende juridische entiteiten gelijknamige EV-certificaten aan te vragen. "Vanwege deze problemen en de beperkte bruikbaarheid vinden we dat het beter past in de pagina-informatie", gaat O'Brien verder. In oktober volgt Mozilla met Firefox 70. Informatie over het EV-certificaat wordt aan het identificatiepanel van de browser toegevoegd. Eerder besloot Apple al om EV-certificaten niet meer volledig in Safari weer te geven. bron: security.nl

Onderzoekers van securitybedrijf Eclypsium hebben in meer dan veertig drivers van zeker twintig leveranciers kwetsbaarheden gevonden waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten verder kan verhogen. Het gaat om drivers van bekende bios-leveranciers, alsmede hardwarefabrikanten zoals Asus, AMD, Intel, Nvidia en Realtek. Vanwege embargo's hebben de onderzoekers nog niet alle kwetsbare leveranciers bekendgemaakt. Via de kwetsbaarheden kan een aanvaller toegang tot de kernel van het systeem krijgen, maar ook de bios-firmware. Zodoende is het mogelijk om een systeem verder te compromitteren en wordt het lastiger om bijvoorbeeld malware te verwijderen. Een aanvaller die malware op een systeem weet uit te voeren kan via de kwetsbare drivers zijn kwaadaardige code met hogere rechten uitvoeren. In het geval de kwetsbare drivers niet aanwezig zijn kan een aanvaller die installeren. In dit geval moet de aanvaller al over beheerdersrechten beschikken. Eclypsium adviseert organisaties en gebruikers dan ook om op kwetsbare drivers te controleren en nieuwe drivers te installeren zodra die beschikbaar komen. bron: security.nl

WordPress overweegt om onveilige websites die van het contentplatform gebruikmaken automatisch naar een veilige versie te updaten, zo heeft het via de eigen website bekendgemaakt. WordPress is het meestgebruikte contentplatform op internet. Volgens W3Techs draait 34,4 procent van de websites op WordPress. Hoewel het platform over een automatische updatefunctie beschikt, zijn er nog veel onveilige versies in gebruik. WordPress overweegt dan ook om deze websites automatisch naar een veilige versie te updaten. Beheerders van deze websites worden van tevoren gewaarschuwd en krijgen de gelegenheid om de automatische update naar een veilige versie te voorkomen. Daarnaast wordt de automatische update op kleine schaal uitgerold, zodat WordPress kan controleren of websites blijven werken. Tevens is het plan om onveilige websites naar de oudste veilige versie te updaten, wat de kans dat er dingen misgaan moet verkleinen. Volgens Ian Dunn van WordPress is het updaten van grote WordPress-versies al een relatief veilig proces. Toch wil het contentplatform niet dat websites door een automatische update stoppen met werken. Het plan is dan ook om eerst met een klein aantal websites te testen en eventuele problemen te verhelpen. Websites zullen ook één versie per keer worden geüpdatet, om de kans op problemen te verkleinen. Het voornemen heeft voor zeer veel reacties van WordPress-gebruikers gezorgd. Veel gebruikers maken zich zorgen over problemen die zich bij het updaten kunnen voordoen, maar volgens Dunn is het risico van een automatische update voor deze onveilige sites veel kleiner dan via een beveiligingslek te worden aangevallen en overgenomen. bron: security.nl

Wat ik wilde duidelijk maken is dat alle bedrijven, dus ook Google, aan de toezichthouders hebben moeten laten zien hoe zij met data en gegevens om gaan. Dus in dat opzicht zeggen zij dus toe zich te houden aan de wetten en afspraken. In dat opzicht is je data wel ok. Mijn idee van Excel komt uit eigen ervaring. Ik onderhoud ook alle login's, wachtwoorden en toegangscodes van sites en bedrijven waar wij mee te maken hebben. Een tic van mij is dat ik niet wil dat dat ergens in de cloud zwerft. Ik hou graag zelf de controle :)

Verschillende nieuwssites hebben de afgelopen dagen bericht over een nieuw beveiligingslek in VLC media player waardoor het mogelijk is voor een aanvaller om systemen in het ergste geval over te nemen. Dat is niet het geval, zo heeft VideoLAN laten weten, de ontwikkelaar van VLC. De kwetsbaarheid bevindt zich in een third-party library waar de mediaspeler gebruik van maakt. Het probleem is alleen meer dan zestien maanden geleden al in VLC gepatcht. Het beveiligingslek werd door iemand gerapporteerd die een oude versie van Ubuntu gebruikte. Hoewel het geen nieuwe kwetsbaarheid betreft besloot MITRE toch een nieuw CVE-nummer voor dit lek uit te geven. Via het CVE-nummer kan de kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. MITRE kent deze CVE-nummers toe. Volgens VideoLAN had MITRE nooit een CVE-nummer voor dit lek mogen uitgeven. Ook haalt de VLC-ontwikkelaar op Twitter uit naar de Duitse overheid, dat met een beveiligingsbulletin voor de kwetsbaarheid kwam. Er was echter geen contact met VideoLAN opgenomen en ook het beveiligingslek was niet onderzocht. Als laatste hekelt VideoLAN de website Gizmodo die gebruikers zelfs opriep om VLC te verwijderen. bron: security.nl

De populaire gratis adware-verwijdertool AdwCleaner is van een nieuwe feature voorzien waardoor die ook vooraf geïnstalleerde software kan detecteren en verwijderen. Veel computers worden geleverd met aanvullende software die door de fabrikant is geïnstalleerd, ook bekend als 'bloatware'. "De meeste vooraf geïnstalleerde software is niet nodig voor het functioneren van de computer. Sterker nog, in sommige gevallen kan het een negatieve impact op de prestaties van de computer hebben", aldus David Ruiz van Malwarebytes, het securitybedrijf dat sinds 2016 de eigenaar van AdwCleaner is. Naast de gevolgen voor het systeem vindt Malwarebytes dat gebruikers zelf de keuze moeten hebben welke software op hun systeem geïnstalleerd is. Het securitybedrijf benadrukt dat het vooraf geïnstalleerde software niet als malware beschouwt, maar dat sommige gebruikers het als hinderlijk ervaren. Het verwijderen van deze software kan soms lastig zijn, aldus Ruiz. Met de nieuwste versie van AdwCleaner is het nu mogelijk om onnodige vooraf geïnstalleerde applicaties in quarantaine te plaatsen of te verwijderen. bron: security.nl

Veertig procent van de zerodayaanvallen tegen Windows werken niet tegen de laatste versie van het besturingssysteem die op dat moment beschikbaar was. Dat laat Microsoft-engineer Matt Miller via Twitter weten. De cijfers waar Miller zich op baseert zijn afkomstig van het Microsoft Security Response Center. De voornaamste reden waarom de zerodayaanvallen niet tegen de laatste Windowsversie werken komt door beveiligingsmaatregelen die Microsoft heeft toegevoegd. In 66 procent van de gevallen zorgen deze mitigaties ervoor dat de zerodayaanval niet werkt. Het gaat in dit geval om aanvallen op kwetsbaarheden waarvoor Microsoft nog geen update heeft ontwikkeld. Dit jaar zijn er verschillende zerodays in Windows gevonden, maar geen enkele werkte tegen de laatste Windowsversie. Miller baseert zich hierbij alleen op kwetsbaarheden in Windows. Beveiligingslekken in browsers zijn niet in de analyse meegenomen. Volgende maand geeft Miller een presentatie over het onderzoek. Eerder dit jaar stelde de Microsoft-engineer dat wanneer kwetsbaarheden in Windows, Office en andere Microsoft-producten voor de eerste keer worden aangevallen, het waarschijnlijk als zerodayaanval is. Het aantal exploits voor net gepatchte beveiligingslekken neemt juist af. De zerodays die door Microsoft werden gezien waren voornamelijk bij gerichte aanvallen ingezet. Verder is verouderde software vaak het doelwit van exploits. bron: security.nl

In navolging van Mozilla gaat ook Google de certificaten van het omstreden securitybedrijf DarkMatter in Android en Chrome blokkeren. Dat heeft Chrome-engineer Devon O'Brien op de mailinglist van Mozilla laten weten. Verschillende partijen kwamen met berichten dat DarkMatter zich bezighoudt met cybersurveillance in de Verenigde Arabische Emiraten, waarbij het zich onder andere richt op mensenrechtenactivisten en journalisten. DarkMatter beschikt op dit moment over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht hierop vindt plaats door DigiCert. DarkMatter had echter aan Mozilla gevraagd om een eigen rootcertificaat aan Firefox toe te voegen, waardoor het zonder toezicht van een ander bedrijf certificaten zou kunnen uitgeven. Naar aanleiding van de berichtgeving in de media en het verzoek van DarkMatter riepen verschillende burgerrechtenbewegingen en beveiligingsexperts op om het verzoek van het securitybedrijf te weigeren en alle al vertrouwde certificaten te blokkeren. Tegenstanders van het bedrijf zijn bang dat het certificaten zal uitgeven voor het uitvoeren van man-in-the-middle-aanvallen om zo versleuteld verkeer te onderscheppen. Vervolgens ontstond er op de mailinglist van Mozilla een uitgebreide discussie over het blokkeren van DarkMatter. Twee weken geleden maakte Mozilla bekend dat het de certificaten ging blokkeren om zo gebruikers te beschermen. Gisterenavond maakte O'Brien duidelijk dat Google gelijke stappen in Android en Chrome gaat nemen. "We verwachten dat deze aanpassingen worden doorgevoerd via ons bestaand updatemechanisme voor gebruikers en geen gebruikersinteractie vereisen", aldus de Chrome-engineer. bron: security.nl

Honderdduizenden servers op internet zijn kwetsbaar door een beveiligingslek in de ftp-serversoftware ProFTPD en een beveiligingsupdate is nog niet beschikbaar. Via de kwetsbaarheid kan een aanvaller zonder schrijfpermissies elk bestand op de ftp-server kopiëren, zo ontdekte onderzoeker Tobias Madel. Het computer emergency response team van de Duitse overheid (CERT-Bund) waarschuwt dat een aanvaller op afstand ook willekeurige code zou kunnen uitvoeren. Madel waarschuwde ProFTPD op 28 september vorig jaar en liet weten dat hij op 28 juli van dit jaar de details openbaar zou maken. Op 17 juli liet ProFTPD weten dat er een oplossing was ontwikkeld, maar die is nog niet uitgerold. "Er is geen gepatchte versie beschikbaar", aldus Madel. ProFTPD 1.3.6, de laatste versie die op 9 april 2017 verscheen, is ook kwetsbaar. In afwachting van een beveiligingsupdate adviseert CERT-Bund om "mod_copy" in de ProFTPD-configuratie uit te schakelen. Volgens zoekmachine Shodan zijn er honderdduizenden ProFTPD-servers op internet te vinden. bron: security.nl

De Britse beveiligingsonderzoeker Marcus Hutchins heeft via Twitter gewaarschuwd voor grootschalig misbruik van de BlueKeep-kwetsbaarheid in Windows nadat iemand uitgebreide details over het beveiligingslek online heeft gezet. De uitleg kan het eenvoudiger maken om een exploit te ontwikkelen. De afgelopen weken maakten verschillende onderzoekers en securitybedrijven melding dat ze een exploit hadden ontwikkeld om via BlueKeep kwetsbare computers op afstand over te nemen. De kwetsbaarheid is aanwezig in de Remote Desktop Services van Windows XP, Server 2003, Windows 7 en Server 2008. Nieuwere Windowsversies zijn niet kwetsbaar. Het beveiligingslek werd in mei door Microsoft gepatcht, maar meer dan 800.000 computers hebben de update ondanks waarschuwingen van overheidsinstanties uit allerlei landen nog altijd niet geïnstalleerd. Er zijn echter nog geen aanvallen in het wild waargenomen. Met de nu online verschenen uitleg kan dat veranderen. Het maakt het namelijk eenvoudiger voor aanvallers om een exploit te ontwikkelen. "De moeilijkheidsgraad komt voornamelijk door de noodzaak om het RDP-protocol te reverse engineeren om te zien hoe een heap spray is uit te voeren", zegt Hutchins tegenover Ars Technica. "De auteur legt dit allemaal uit, dus het enige dat echt nodig is, is het implementeren van het RDP-protocol en zijn uitleg volgen. Alleen basaal begrip is voldoende. Wat waarschijnlijk zal gebeuren nu de lat lager is gelegd, is dat meer mensen misbruik van het lek kunnen maken, en er meer kans is dat iemand volledige exploitcode openbaar maakt." Hutchins krijgt bijval van Jake Williams, die in het verleden exploits voor de Amerikaanse geheime dienst NSA ontwikkelde en zelf een BlueKeep-exploit schreef. "Het is de meest uitgebreide technische documentatie die tot nu online is verschenen", laat hij weten. Toch denkt Williams dat de nu verschenen uitleg er niet voor zorgt dat minder kundige exploitschrijvers nu een crashvrije exploit kunnen ontwikkelen. Volgens Hutchins maakt dat niet uit voor aanvallers die bijvoorbeeld sabotage of ontregeling als doel hebben. bron: security.nl

WordPress-sites zijn het doelwit van een aanvalscampagne waarbij aanvallers via kwetsbaarheden in verschillende plug-ins kwaadaardige code aan de websites toevoegen. De toegevoegde code stuurt bezoekers door naar kwaadaardige Android-apps, helpdeskfraude en illegale advertenties voor medicijnen en pornografie. Dat laat securitybedrijf Wordfence in een analyse weten. De beveiligingslekken waar de aanvallers gebruik van maken bevinden zich in de plug-ins Coming Soon and Maintenance Mode, Yellow Pencil Visual CSS Style Editor en Blog Designer. Voor alle drie de plug-ins zijn beveiligingsupdates verschenen om de kwetsbaarheden te verhelpen. Toch blijkt dat de patches nog niet op alle WordPress-sites zijn geïnstalleerd. Door de kwetsbaarheden kunnen aanvallers kwaadaardige JavaScript-code aan de websites toevoegen. Deze code wordt automatisch geladen als iemand de website bezoekt en stuurt de bezoeker vervolgens door naar een malafide website. "We verwachten dat de aanvallers soortgelijke kwetsbaarheden die in de toekomst bekend worden snel zullen gebruiken", zegt Mikey Veenstra van Wordfence. Webmasters krijgen dan ook het advies om regelmatig op updates voor plug-ins en themes te controleren. Zelfs als het changelog van een nieuwe versie geen melding maakt van een beveiligingsupdate, kan het zijn dat de ontwikkelaar een dergelijke vermelding heeft weggelaten, aldus Veenstra. bron: security.nl

Securitybedrijf Tenable heeft verschillende kwetsbaarheden in Comodo Antivirus en Comodo Antivirus Advanced onthuld waardoor een aanvaller onder andere systeemrechten kan krijgen en uit de sandbox van de beveiligingssoftware kan ontsnappen en updates zijn nog niet beschikbaar. In totaal gaat het om vijf kwetsbaarheden die verschillende aanvallen mogelijk maken. Zo kan een aanvaller de virusdefinitiedatabase aanpassen. Op deze manier is het mogelijk om false positives te veroorzaken waardoor schone bestanden ten onrechte als malware worden aangemerkt, maar kan een aanvaller ook de virusscanner omzeilen door alle aanwezig virussignatures te verwijderen. Een andere kwetsbaarheid maakt het mogelijk om uit de sandbox van de virusscanner te ontsnappen en code met systeemrechten uit te voeren. Daarnaast is het mogelijk om processen van de antivirussoftware te laten crashen of stoppen en zo een denial of service te veroorzaken. Tenable waarschuwde Comodo op 17 april van dit jaar. Begin mei bevestigde het bedrijf verschillende van de kwetsbaarheden. Vervolgens vroeg Tenable herhaaldelijk wanneer de problemen zouden worden gepatcht, maar kreeg vervolgens geen antwoord. Tenable stelt dat er op dit moment geen patches voor de kwetsbaarheden beschikbaar zijn. Het bedrijf adviseert Comodo-gebruikers om beschikbare updates te installeren. Een andere optie is het overstappen op een ander antiviruspakket. In onderstaande video wordt één van de kwetsbaarheden gedemonstreerd. bron: security.nl

Acht extensies voor Google Chrome en Mozilla Firefox blijken de vertrouwelijke data van 4 miljoen gebruikers te hebben verzameld. Het gaat om persoonlijke identificeerbare informatie en gevoelige bedrijfsgegevens, zoals medicijnrecepten, belastingaangifte, online aankopen, genetische profielen, creditcardgegevens en reisplannen. De verzamelde data werd vervolgens door datahandelaar Nacho Analytics doorverkocht aan diens klanten. Dat ontdekte beveiligingsonderzoeker Sam Jadali. Het gaat om de extensies SpeakIt!, FairShare Unlock, Hover Zoom, SuperZoom, PanelMeasurement, Branded Surveys en Panel Community Surveys. De extensies verzamelen zeer gevoelige gebruikersgegevens van url's, paginatitels en referrers. De verzamelde data wordt dan gefilterd op domein en te koop aangeboden, aldus Jadali. In één geval ging het om gegevens van een bedrijfsproject en werknemerstaken van duizenden bedrijven. De browser-extensies, die met name voor Chrome zijn ontwikkeld, waren bij tal van Fortune 500-bedrijven geïnstalleerd. Ook internetgebruikers die de extensies niet hadden geïnstalleerd konden risico lopen dat hun data zou lekken, bijvoorbeeld als ze met iemand communiceerden die de extensies wel aan zijn browser had toegevoegd. Een boekhouder die de extensies had geïnstalleerd kon zo data van zijn klanten lekken. Deze data was vervolgens voor iedereen op internet te koop. Jadali waarschuwde Google en Mozilla die de extensies bij gebruikers uitschakelden. Gebruikers krijgen daarnaast het advies de betreffende extensies uit hun browser te verwijderen. bron: security.nl