Captain Kirk

Cisco heeft eigenaren van een Small Business Switch gewaarschuwd voor een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand als beheerder kan inloggen. De kwetsbaarheid ontstaat doordat de software in bepaalde gevallen een gebruikersaccount met verhoogde rechten inschakelt, zonder de beheerders van het systeem hierover te waarschuwen. De Small Business Switches van Cisco beschikken standaard over een gebruiker met verhoogde rechten die voor de initiële login wordt gebruikt en niet van het systeem kan worden verwijderd. Een beheerder kan het account echter uitschakelen door een ander gebruikersaccount van verhoogde rechten te voorzien. Wanneer alle door de gebruiker ingestelde accounts met het rechtenniveau 15 van het systeem zijn verwijderd, wordt het standaardaccount weer ingeschakeld zonder dat de switch hier melding van maakt. In deze gevallen kan een aanvaller op het systeem inloggen en als beheerder opdrachten uitvoeren. Cisco heeft nog geen beveiligingsupdate beschikbaar gesteld, maar er is wel een workaround, namelijk het instellen van tenminste één gebruiker met rechtenniveau 15. Het beveiligingslek is aanwezig in de Cisco Small Business 200, 300 en 500 series switches, de Cisco 250 en 350 series switches en de Cisco 350, 350X en 550X series switches. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. bron: security.nl

De voornaamste functie van anti-virussoftware is het voorkomen van malware, maar een virusscanner moet ook in staat zijn om een eventuele infectie te verwijderen. Het Oostenrijkse testlab AV-Comparatives voert elk jaar een test uit waarbij anti-virusprogramma's alleen op het verwijderen van malware worden getest. Tijdens de normale tests van AV-Comparatives waarbij de detectie van malware wordt getest doen normaal 18 anti-virusbedrijven mee. De test met het verwijderen van malware is echter optioneel en anti-virusbedrijven kunnen aangeven dat ze niet mee willen doen, iets wat acht bedrijven ook deden. Voor de test, die van februari tot oktober plaatsvond, werd er gewerkt met 40 verschillende malware-exemplaren. De test is bedoeld voor eindgebruikers die een infectie oplopen en een pakket zoeken om de malware te verwijderen. De virusscanners werden dan ook pas na de infectie op het systeem geïnstalleerd en geüpdatet. Wanneer dit niet mogelijk bleek werd het systeem in veilige modus herstart. Als ook dit niet werkte werd er uitgeweken naar een 'rescue disk' van de anti-virusleverancier. Na de installatie werd er een volledige scan van het systeem uitgevoerd. AV-Comparatives herstartte hierna het systeem en controleerde handmatig of de malware en alle onderdelen waren verwijderd. Hiervoor konden de virusscanners verschillende punten krijgen. Hoe minder sporen er van de malware achterbleven des te hoger de score. Ook werd er gekeken naar de eenvoud waarmee de malware was te verwijderen. Als het systeem in veilige modus of via een rescue disk moest worden opgeschoond leverde dit een lagere score op. De virusscanners konden maximaal 100 punten voor het verwijderen van de malware scoren. Kaspersky Lab zet met 99 punten de hoogste score neer, gevolgd door Avast, Avira en Bitdefender met elk 94 punten. F-Secure en Vipre eindigen met respectievelijk 75 en 78 punten onderaan. Van de anti-virusbedrijven die aan de test deelnamen bieden Avira, Emsisoft, ESET, Kaspersky Lab en Vipre gratis verwijdertools aan. In het geval van Avast en Tencent zijn de virusscanners zelf al gratis. bron: security.nl

Cryptobeurs Gate.io heeft StatCounter van de website verwijderd nadat bekend werd dat aanvallers de meetdienst hadden gehackt en gebruikt voor het aanvallen van gebruikers van Gate.io. StatCounter is een populaire dienst waarmee websites het aantal bezoekers kunnen meten. Hiervoor moeten websites de JavaScriptcode van StatCounter aan hun eigen website toevoegen. Iets dat door meer dan 688.000 websites is gedaan, zo blijkt uit cijfers van de zoekmachine PublicWWW. Anti-virusbedrijf ESET maakte dinsdag bekend dat aanvallers de JavaScriptcode van StatCounter hadden aangepast. De aangepaste code had het voorzien op Gate.io-gebruikers die bitcoins wilden overmaken. Zodra gebruikers een transactie uitvoerden werd het bitcoin-adres door de JavaScriptcode aangepast, waardoor bitcoins naar een wallet van de aanvallers gingen. Gate.io is een redelijk populaire cryptobeurs, met name in China. StatCounter heeft nog altijd niet op het incident gereageerd. De kwaadaardige code is echter op dinsdag 6 november verwijderd, aldus ESET. Vanwege het beveiligingsincident heeft Gate.io besloten om StatCounter van de website te verwijderen, zo meldt de cryptobeurs op Twitter en de eigen website. StatCounter claimt dat meer dan 2 miljoen websites van de dienst gebruikmaken. bron: security.nl

Het Amerikaanse Cyber Command, een afdeling van het Pentagon die zich met cyberoperaties bezighoudt, heeft voor het eerst malware naar VirusTotal geüpload, de online virusscandienst van Google. Via VirusTotal kunnen gebruikers verdachte bestanden door de engines van zo'n 60 verschillende anti-virusprogramma's laten scannen. Geüploade bestanden kunnen met anti-virusleveranciers en premium VirusTotal-klanten worden gedeeld. Door het uploaden van niet-geclassificeerde malware wil het Cyber Command samenwerken met de publieke sector. Het gaat specifiek om malware die het Cyber Command zelf heeft ontdekt en waarvan het delen de grootste impact heeft op het "verbeteren van de wereldwijde cybersecurity", zo laat de organisatie op de eigen website weten. De malware die het Cyber Command uploadt is via deze pagina op VirusTotal te vinden. Een aantal jaren geleden lanceerde de FBI nog een portaal voor het uploaden van malware. bron: security.nl

Een nieuwe kwetsbaarheid in Oracles virtualisatiesoftware VirtualBox maakt een guest-to-host escape mogelijk. Doordat de onderzoeker de kwetsbaarheid openbaar heeft gemaakt zonder Oracle vooraf te informeren is het onbekend wanneer er een beveiligingsupdate zal verschijnen. In afwachting van een patch kunnen gebruikers zich echter beschermen door een standaardinstelling te wijzigen. VirtualBox biedt gebruikers de mogelijkheid om op hun eigen systeem, de host, een virtual machine te draaien, wat het guest-systeem is. Beveiligingsonderzoekers gebruiken virtualisatiesoftware veelal om bijvoorbeeld malware te onderzoeken. De infectie blijft op deze manier alleen tot het guest-systeem beperkt. Met behulp van de kwetsbaarheid kan een aanvaller met root- of adminrechten op het guest-systeem code met verminderde rechten op het host-systeem uitvoeren. Dit houdt in dat de aanvaller het guest-systeem al moet hebben gecompromitteerd, bijvoorbeeld via malware. Aanpassen standaardconfiguratie De kwetsbaarheid is aanwezig in de door VirtualBox gesimuleerde Intel PRO/1000 MT Desktop (82540EM) netwerkadapter wanneer die in de Network Address Translation (NAT) mode staat ingesteld. Dit is de standaardconfiguratie van VirtualBox. Door het aanpassen van deze standaardconfiguratie kunnen gebruikers zich tegen aanvallen beschermen. De netwerkadapter moet dan naar "PCNet" of naar "Paravirtualized" worden aangepast. De volgende patchronde van Oracle staat gepland voor 15 januari 2019. Het is onduidelijk of Oracle voor deze kwetsbaarheid van dit schema zal afwijken. bron: security.nl

Onderzoekers hebben een botnet van 100.000 routers ontdekt die worden gebruikt voor het versturen van spam. Om toegang tot de routers te krijgen maken de aanvallers gebruik van een kwetsbaarheid in Broadcom UPnP, dit is Broadcoms implementatie van het Universal Plug en Play (UPnP)-protocol. Dit is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbare implementatie wordt door verschillende routerfabrikanten gebruikt, waaronder Asus, D-link, Zyxel, US Robotics, TP-link en Netgear. Onderzoekers van securitybedrijf 360 Netlab vonden 116 verschillende routers die onderdeel van het botnet zijn. Zodra de aanvallers toegang tot een router verkrijgen wordt er proxysoftware geïnstalleerd. De proxy ontvangt vervolgens instructies om verkeer naar de mailservers van Outlook, Hotmail en Yahoo! door te sturen. Eerder dit jaar waarschuwde ook internetgigant Akamai dat tienduizenden thuisrouters via een UPnP-lek als proxy werden gebruikt. Gebruikers kunnen zich onder andere beschermen door UPnP uit te schakelen of een firewall in te stellen die al het inkomende verkeer naar UDP-poort 1900 blokkeert. bron: security.nl

Google heeft de afgelopen 2 jaar via een eigen fuzzer meer dan 9.000 bugs in opensourcesoftware gevonden en aan de betreffende ontwikkelaars gerapporteerd. OSS-Fuzz, zoals de fuzzer wordt genoemd, combineert verschillende fuzzing-engines en draait op een grote gedistribueerde fuzzing-infrastructuur. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In het geval van de bugs die Google vond en rapporteerde ging het zowel om beveiligingslekken als stabiliteitsproblemen. Naast OSS-Fuzz gebruikt Google ook verschillende interne tools om bugs in zowel de eigen als opensourcecode te vinden. Voorheen werden gevonden problemen handmatig bij het betreffende opensourceproject gemeld. Dit proces was echter vrij complex, aldus Google. Daarom gaat de internetgigant nu alle fuzzingtools verenigen en automatiseren. Opensourceprojecten die binnen OSS-Fuzz geïntegreerd worden zullen straks zowel door interne als externe fuzzingtools van Google worden bekeken. Dit moet ervoor zorgen dat bugs sneller worden gevonden. De komende weken gaat Google verschillende belangrijke opensourceprojecten benaderen of ze OSS-Fuzz binnen hun project willen integreren. Om opensourceprojecten bij de integratie te helpen biedt Google een bedrag van tussen de 1.000 en 20.000 dollar. bron: security.nl

Microsoft heeft beveiligingsadvies gepubliceerd over het gebruik van softwarematige encryptie door BitLocker, nu onderzoekers kwetsbaarheden in zelfversleutelende ssd-schijven van Samsung en Crucial hebben ontdekt. De kwetsbaarheden zorgen ervoor dat een aanvaller met fysieke toegang zonder kennis van het wachtwoord toegang tot gegevens op de ssd-schijf kan krijgen. BitLocker is de encryptiesoftware van Microsoft die standaard met Windows 10 Pro, Enterprise en Education wordt geleverd, alsmede bij Windows 8.1 Pro en Enterprise en Windows 7 Enterprise en Ultimate. BitLocker zal standaard de hardwarematige versleuteling van de harde schijf gebruiken als het over deze functionaliteit beschikt. Beheerders die softwarematige encryptie op zelfversleutelende harde schijven willen afdwingen kunnen dit doen middels een Group Policy. Nadat de harde schijf via hardwarematige encryptie is versleuteld moet die eerst worden ontsleuteld voordat de softwarematige encryptie kan worden toegepast. Alleen het instellen van de Group Policy is niet voldoende om bestaande data opnieuw te versleutelen, zo laat Microsoft weten. Het is niet nodig om de harde schijf na het aanpassen van de BitLocker-instellingen te formatteren of applicaties opnieuw te installeren. bron: security.nl

Aanvallers zijn erin geslaagd om de populaire meetdienst StatCounter te hacken en hebben hier vervolgens gebruik van gemaakt bij een aanval op cryptobeurs Gate.io. StatCounter meet het aantal bezoekers dat een website krijgt en heeft naar eigen zeggen meer dan 2 miljoen aangesloten websites. Deze websites moeten de StatCounter-JavaScriptcode aan hun website toevoegen zodat bezoekers kunnen worden gemeten. Door StatCounter te hacken konden aanvallers hun JavaScriptcode op alle websites plaatsen die van de meetdienst gebruikmaken. De kwaadaardige code die werd toegevoegd zocht specifiek naar een url die verwees naar het overmaken van bitcoins. De specifieke url werd alleen bij Gate.io aangetroffen, een redelijk populaire cryptobeurs, met name in China. De JavaScriptcode die de aanvallers hadden toegevoegd verving het bitcoinadres waar Gate.io-gebruikers bitcoins naar wilden overmaken. De aanval werd ontdekt door anti-virusbedrijf ESET. De virusbestrijder stelt dat slachtoffers de aanpassing waarschijnlijk niet meteen opmerkten, aangezien de aanpassing pas plaatsvond nadat ze op verzonden hadden geklikt. Het is op dit moment onbekend hoeveel bitcoins de aanvallers hebben gestolen. Volgens onderzoeker Matthieu Faou laat de aanval zien dat zelfs websites die up-to-date en goed beschermd zijn risico lopen als er een zwakke schakel aanwezig is. In dit geval was het een externe derde partij die op een groot aantal websites actief is. "Dit is weer een reminder dat externe JavaScriptcode onder beheer van een derde partij staat en op elk moment en zonder aankondiging kan worden aangepast", aldus Faou. Zowel StatCounter als Gate.io zijn door ESET ingelicht, maar beide bedrijven hebben op het moment van schrijven nog geen melding van het incident gemaakt. bron: security.nl

Onderzoekers hebben een side-channel-aanval via videokaarten van Nvidia gedemonstreerd waardoor aanvallers wachtwoorden kunnen stelen of het surfgedrag van gebruikers kunnen volgen. Webbrowsers maken gebruik van videokaarten om beelden op desktops, laptops en smartphone weer te geven (pdf). De aanval die onderzoekers van de University of California, Riverside ontwikkelden maakt gebruik van WebGL en OpenGL. Dit zijn programmeerinterfaces waardoor een applicatie de videokaart kan gebruiken. De onderzoekers maakten een kwaadaardige applicatie die in de browser of op de desktop kan worden uitgevoerd en via WebGL of OpenGL andere applicaties kan bespioneren die ook van de videokaart gebruikmaken. Op deze manier is het mogelijk om te zien welke websites de gebruiker bezoekt of kunnen zijn wachtwoorden worden achterhaald. De onderzoekers hebben hun bevindingen aan videokaartfabrikant Nvidia gerapporteerd. Het bedrijf is van plan om een patch te ontwikkelen waarmee systeembeheerders de optie krijgen om de side-channel-aanval tegen te gaan. Ook is het onderzoeksrapport met AMD en Intel gedeeld, zodat beide bedrijven kunnen zien of ook hun videokaarten kwetsbaar zijn. In de toekomst is de groep van plan om de haalbaarheid van een side-channel-aanval op de videokaart van Androidtelefoons te onderzoeken. bron: security.nl

Vanaf volgende maand gaat Chrome alle advertenties blokkeren op websites die geregeld malafide of misleidende advertenties aan bezoekers tonen. Vorig jaar kondigde Google al maatregelen aan om Chrome-gebruikers tegen ongewenste pop-ups en redirects te beschermen. Het gaat in dit geval om het onverwachts doorsturen van gebruikers naar ongewenste content, zoals een nieuwe pagina. Dit wordt bijvoorbeeld gedaan door websites die zich voordoen als afspeelknop of transparante overlays op websites, die alle clicks afvangen en nieuwe tabs of vensters openen. Dergelijke redirects besloot Chrome vanaf begin dit jaar te blokkeren. De aanpak ging echter niet ver genoeg, zegt Googles Vivek Sekhar. De meeste vervelende ervaringen waar Chrome-gebruikers mee te maken krijgen worden niet geblokkeerd. Het gaat dan in bijna alle gevallen om malafide of misleidende advertenties. Bijvoorbeeld advertenties die zich als systeemwaarschuwingen of als knoppen voordoen om de advertentie te sluiten. Sommige van deze advertenties worden gebruikt om persoonlijke informatie te stelen, aldus Sekhar. Met de lancering van Chrome 71 in december gaat de browser daarom alle advertenties blokkeren op websites die geregeld malafide of misleidende advertenties laten zien. Webmasters kunnen via de Google Search Console zien of dergelijke advertenties op hun website zijn aangetroffen. Zodra dit het geval is krijgen webmasters 30 dagen de tijd om het probleem op te lossen voordat de advertenties worden geblokkeerd. bron: security.nl

Geregeld zijn er bedrijven die claimen dat ze een oplossing hebben die wachtwoorden overbodig maken, maar de realiteit is dat wachtwoorden nog lang niet zijn verdwenen, zo stelt beveiligingsexpert Troy Hunt. Hunt erkent dat mensen slecht zijn in het kiezen van veilige wachtwoorden en er niet op een veilige manier mee omgaan. Wachtwoorden blijven dan ook een risicovolle afweging voor veel mensen, aldus de expert. Sommige mensen pleiten voor het gebruik van een wachtwoordmanager en aanvullende beveiliging zoals tweefactorauthenticatie, terwijl anderen wachtwoorden helemaal wil laten verdwijnen. Partijen zoals de Fast IDentity Online (FIDO)-Alliantie die het wachtwoord willen uitbannen zijn de afgelopen jaren met allerlei oplossingen gekomen. Het gaat dan bijvoorbeeld om tokens of apps waarmee gebruikers zich kunnen authenticeren. Toch missen al deze producten iets waardoor ze niet met het wachtwoord kunnen concurreren. "Ondanks de vele tekortkomingen heeft het wachtwoord iets dat het voor heeft op technisch superieure alternatieven, en dat is dat iedereen weet hoe het moet worden gebruikt. Iedereen", laat Hunt weten. "Daarom zullen wachtwoorden niet in de nabije toekomst verdwijnen." "Hoeveel aandacht er ook wordt gegeven aan hoe slecht wachtwoorden zijn of hoeveel accounts er zijn gehackt en wat het kost als mensen niet op hun account kunnen inloggen zal dit veranderen. Ook de technische bekwaamheid van alternatieve oplossingen zal de discussie niet veranderen, omdat het niet kan concurreren met wachtwoorden op die ene standaard waar organisaties zo gericht op zijn: namelijk bruikbaarheid", merkt de expert op. Volgens Hunt introduceren oplossingen die het wachtwoordprobleem claimen op te lossen weer nieuwe uitdagingen en problemen. De expert sluit dan ook af door te zeggen dat we voor de nabije toekomst beter moeten worden in het authenticatiesysteem dat iedereen kent, het wachtwoord. bron: security.nl

Onderzoekers van de Radboud Universiteit hebben ernstige kwetsbaarheden in zelfversleutelende ssd-schijven van Samsung en Crucial ontdekt waardoor een aanvaller met fysieke toegang zonder kennis van het wachtwoord toegang tot gegevens op de schijven kan krijgen (pdf). De kwetsbaarheden bevinden zich specifiek in implementaties van de TCG Opal-standaard. Dit is een standaard voor zelfversleutelende schijven waar verschillende implementaties van bestaan. De eerste kwetsbaarheid is dat er geen cryptografische link is tussen het gegeven wachtwoord van de eindgebruiker en de sleutel die gebruikt wordt voor de encryptie van gebruikersdata. "Het wachtwoord zou verplicht moeten zijn om de schijfencryptiesleutel te bemachtigen en deze vereiste zou cryptografisch moeten worden afgedwongen. Het ontbreken van deze eigenschap is catastrofaal. De bescherming van de gebruikersgegevens is dan niet langer afhankelijk van geheimen. Alle informatie die nodig is om de data van de gebruiker te achterhalen bevindt zich op de schijf en is te achterhalen. Helaas is het niet geheel triviaal om dit juist te implementeren", zo schrijven de onderzoekers. Het tweede probleem is dat sleutel-informatie op een 'wear-leveled storage chip' wordt opgeslagen. Om de levensduur van ssd-schijven te verlengen wordt van wear leveling gebruikgemaakt. Hierbij wordt de data zo gerangschikt dat het verwijderen en herschrijven van data gelijk over de schijf wordt verdeeld. Dit voorkomt dat een bepaald deel van de ssd-schijf meer wordt gebruikt dan andere delen en eerder kapot gaat. Oudere kopieën van een sector blijven echter bewaard totdat die wordt overschreven. De onderzoekers schetsen een scenario waarbij een schijfencryptiesleutel onbeveiligd is opgeslagen, waarna de gebruiker een wachtwoord instelt en de onbeveiligde sleutel met een versleutelde versie wordt vervangen. Door wear leveling kan de nieuwe variant op een ander deel van de opslagchip worden opgeslagen en wordt de oude locatie als ongebruikt aangegeven. Wanneer deze locatie niet wordt overschreven, kan de onbeveiligde variant van de schijfencryptiesleutel nog steeds worden achterhaald. Verder blijkt dat Microsoft BitLocker dat met Windows wordt geleverd, kwetsbaar is wanneer het met de kwetsbare ssd-schijven wordt gebruikt. De encryptieoplossing van Microsoft vertrouwt namelijk op de hardwarematige encryptie van een harde schijf als die aangeeft dit te ondersteunen. Kwetsbare schijven De kwetsbaarheden zijn aangetoond de Crucial (Micron) MX100, MX200 en MX300 shijven, de Samsung T3 en T5 externe usb-stations en de Samsung 840 EVO en 850 EVO schijven. De onderzoekers merken op dat niet alle beschikbare schijven op de markt zijn getest. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid werd door de onderzoekers benaderd en is het afgelopen jaar met zowel de onderzoekers als fabrikanten in contact geweest om de kwetsbaarheden te verhelpen. Samsung heeft updates voor de T5 en T3 beschikbaar gemaakt. Eigenaren van een T1 moeten met hun leverancier contact opnemen. Daarnaast adviseert Samsung softwarematige versleuteling. Crucial (Micron) zegt aan updates te werken, maar die zijn nog niet beschikbaar. Het NCSC wijst erop dat het aanpassen van de standaardinstelling voor BitLocker-gebruikers niet voldoende is om het risico te vermijden. Bij het aanpassen worden de reeds opgeslagen gegevens namelijk niet opnieuw versleuteld. "Alleen een volledig nieuwe installatie, inclusief verwijderen en herformateren van gegevens, zorgt voor encryptie via BitLocker", aldus het NCSC. Om misbruik te voorkomen zullen de onderzoekers van de Radboud Universiteit geen exploits of aanvalstools beschikbaar maken. bron: security.nl

Een nieuw beveiligingslek in processors van Intel maakt het mogelijk om gevoelige data van systemen te stelen, zoals OpenSSL-privésleutels. Dat hebben onderzoekers van de Tampere University of Technology en Universidad Tecnologica de la Habana op de Open Source Security Mailing List laten weten. De kwetsbaarheid wordt PortSmash genoemd en is een side-channel-kwetsbaarheid, net zoals Spectre en Meltdown waren. In het geval van PortSmash speelt het probleem bij Intel-processoren die van Simultaneous multithreading (SMT) gebruikmaken. Hierdoor kunnen meerdere programma-instructies tegelijkertijd op één processor-core worden uitgevoerd. Een kwaadaardig proces dat naast een legitiem proces op dezelfde processor-core draait kan informatie van dit legitieme proces stelen. De onderzoekers merken op dat het hier om een lokale aanval gaat in de zin dat een aanvaller zijn kwaadaardige proces op dezelfde fysieke processor-core als het slachtoffer moet draaien. Dit is vooral een probleem in serveromgevingen waar bijvoorbeeld virtual machines van verschillende gebruikers op dezelfde fysieke machine draaien. In hun aankondiging merken de onderzoekers op hoe ze via PortSmash een OpenSSL-privésleutel van een TLS-server hebben kunnen stelen. Intel werd op 1 oktober van dit jaar door de onderzoekers geïnformeerd, terwijl OpenSSL op 26 oktober de informatie over PortSmash ontving. Het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid laat weten dat er buiten het uitschakelen van hyper-threading op Intel-processoren vooralsnog geen mitigerende maatregelen bekend zijn. bron: security.nl

Onderzoekers hebben tijdens een beveiligingsconferentie vier sniffing-aanvallen tegen browsers gedemonstreerd waarmee de surfgeschiedenis van gebruikers is te achterhalen. Al jaren geleden hebben onderzoekers aangetoond dat het mogelijk was om te achterhalen op welke linkjes gebruikers hadden geklikt. Daarop kwamen browserontwikkelaars met verschillende tegenmaatregelen. Een onderzoeksteam van UC San Diego en Stanford University heeft nu aangetoond hoe via moderne browserfeatures de surfgeschiedenis van gebruikers opnieuw is te achterhalen. De aanvallen zijn vervolgens getest tegen de vier grote browsers, (Chrome, Firefox, Edge en IE) en verschillende browsers die op security zijn gericht (ChromeZero, Brave, FuzzyFox, DeterFox en Tor Browser). Twee van de aanvallen werken tegen alle browsers behalve Tor Browser. De andere twee aanvallen zijn specifiek gericht tegen features die in op Chromium-gebaseerde browsers aanwezig zijn. Via één van de aanvallen was het mogelijk voor een kwaadaardige website of aanvaller om met een snelheid van 3.000 url's per seconde de surfgeschiedenis uit te lezen. Gebruikers van Tor Browser hoeven zich geen zorgen over de aanvallen te maken, omdat deze browser standaard de surfgeschiedenis niet bewaart. De onderzoekers merken op dat het beschermen van de surfgeschiedenis essentieel voor de privacy van gebruikers is. "De vier aanvallen in dit onderzoek tonen aan dat moderne browsers systematisch falen in het beschermen van de surfgeschiedenis tegen webaanvallers", aldus de conclusie van het onderzoeksrapport. De aanvallen werken zowel tegen populaire browsers als browsers die meer op privacy en security zijn gericht, en slagen op verschillende besturingssystemen. Volgens de onderzoekers moeten browserontwikkelaars dan ook maatregelen nemen om de surfgeschiedenis beter te beschermen. Ze stellen een oplossing voor die een kleine impact op de prestaties en de styling van bezochte links heeft. "Maar we denken dat deze kosten de privacyvoordelen waard zijn", zo stellen de onderzoekers, die hun bevindingen tijdens de USENIX Workshop on Offensive Technologies (WOOT '18) presenteerden (pdf). bron: security.nl

Een malafide browserextensie is verantwoordelijk voor het stelen van privéberichten en persoonsgegevens van Facebookgebruikers, die vervolgens op internet te koop werden aangeboden. Dat laat de sociale netwerksite tegenover de BBC weten. In een advertentie boden aanvallers toegang tot gecompromitteerde Facebookaccounts aan. Daarbij waren als monster gegevens van meer dan 81.000 accounts online geplaatst, waaronder ook privéberichten. In de meeste gevallen gaat het om Facebookgebruikers in Rusland en Oekraïne. Volgens Facebook is een niet nader genoemde extensie verantwoordelijk voor de datadiefstal en heeft het browserontwikkelaars ingelicht om bekende malafide extensies uit hun stores te verwijderen. bron: security.nl

Windows Defender is de eerste virusscanner die in een sandbox kan draaien, maar gebruikers die deze belangrijke beveiligingsmaatregel inschakelen moeten wel hun systeem herstarten in plaats van uitschakelen. Anders wordt de sandbox niet actief. Dat meldt Didier Stevens, handler bij het Internet Storm Center. Een beveiligingslek in een virusscanner kan grote gevolgen voor het onderliggende systeem hebben. Om de impact van dergelijke kwetsbaarheden te beperken heeft Microsoft besloten om Windows Defender in een sandbox te laten draaien. Een aanvaller moet niet alleen een kwetsbaarheid in de anti-virussoftware zien te vinden, maar ook in de sandbox voordat hij het onderliggende systeem kan aanvallen. De sandbox staat nog niet standaard ingeschakeld. Gebruikers van Windows Defender op Windows 10 versie 1703 of nieuwer kunnen dit echter zelf inschakelen door een variabele in te stellen. Hierbij is het wel belangrijk dat het systeem wordt herstart in plaats van uitgeschakeld. Alleen bij een herstart wordt de sandbox namelijk geactiveerd. In de blogposting over de sandbox vermeldde Microsoft ook dat gebruikers het systeem moeten herstarten. Stevens maakte melding bij Microsoft dat de sandbox, afhankelijk van de ingestelde variabele, niet wordt uitgeschakeld of ingeschakeld bij het uitschakelen van het systeem. De ingestelde aanpassing wordt alleen bij een herstart doorgevoerd. Microsoft laat in een reactie op Twitter weten dat het aan een oplossing werkt die in de toekomst via een engine-update wordt uitgerold. Windows Defender is een standaardonderdeel van Windows 8.1 en Windows 10 en presteert tijdens tests vaak net zo goed als betaalde anti-virusoplossingen. bron: security.nl

De Belgische Federal Computer Crime Unit (FCCU) die zich met de bestrijding van cybercrime bezighoudt heeft met een groot personeelstekort te maken, waardoor het onvoldoende mensen heeft om een normale werking te verzekeren. Dat laat De Standaard vandaag weten. De FCCU zou voor een normale operationele bezetting 44 mensen moeten tellen, maar nu werken er nog maar 13 mensen. In het voorjaar verschenen er al berichten dat de bezetting was gedaald naar 22 tot 25 personen. Dat aantal is de afgelopen maanden nog verder afgenomen. Ook de laatste Franstalige medewerker is inmiddels vertrokken. Een reden voor het vertrek wordt niet gegeven. De Standaard merkt wel op dat het bedrijfsleven doorgaans beter betaalt. De FCCU werkt nu aan een strategische nota om jonge it'ers te rekruteren. bron: security.nl

Wanneer je hem draait in een virtuele box, lijkt mij het risico klein. Waarvoor gebruik je XP-nog? Ikzelf heb bijvoorbeeld nog een XP draaien in een muziekstudio. De pc staat compleet los van netwerk en internet. Het hoeft alleen maar het mengpaneel en een console aan te sturen en de mp3-bestanden af te spelen. Nieuwe bestanden gaan eerst door de scanner op een andere pc. Op die manier kun je nog gewoon doorgaan met XP. Doe je in jouw geval misschien niets meer mer XP, dan zou ik verwijdering overwegen.

Anti-virusbedrijf Avast heeft opnieuw gebruikers van Windows XP en Vista gewaarschuwd dat de support vanaf 1 januari 2019 zal worden beperkt. Gebruikers zullen dan geen nieuwe updates meer ontvangen die bijvoorbeeld nieuwe beveiligingsfeatures introduceren. Ook is onduidelijk of deze gebruikers nog op beveiligingsupdates voor kwetsbaarheden in de anti-virussoftware kunnen rekenen. Wel blijven Windows XP- en Vista-gebruikers van Avast virusdefinities ontvangen, waarmee de virusscanners nieuwe malware kunnen detecteren. Avast adviseert verder dat alle gebruikers naar Windows 10 updaten. Zodoende kan men van de laatste upgrades gebruik blijven maken en wordt de kans op aanvallen verkleind, aldus de virusbestrijder. Volgens StatCounter draait 1,35 procent van de Nederlandse Windows-gebruikers nog op Windows XP of Vista. bron: security.nl

In een ip-camera van fabrikant Yi Technologies zijn verschillende kwetsbaarheden ontdekt waardoor een aanvaller in het ergste geval op afstand kan meekijken of de camera kan saboteren. Dat laat Cisco weten. Camera's van Yi Technologies worden ook in Nederland aangeboden. Onderzoekers vonden in totaal negen kwetsbaarheden in de Yi Technology Home Camera 27US. Het is een standaard Internet of Things-camera die gebruikers de mogelijkheid biedt om via het internet mee te kijken en eenvoudig is te installeren. Ook biedt het offline en cloudopslag. Via de beveiligingslekken is het mogelijk om op afstand code op het systeem uit te voeren, het apparaat uit te schakelen of de netwerkauthenticatie te omzeilen. Een aanvaller kan zo met de camera meekijken, de camera uitschakelen zodat er niet wordt opgenomen, opgenomen beelden verwijderen en via de camera andere apparaten in het netwerk aanvallen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden is het ergste beveiligingslek met een 9,6 beoordeeld. Deze kwetsbaarheid ontstaat doordat de camera, zodra die is aangesloten, via http verbinding maakt met een server om de tijd te synchroniseren. Een aanvaller die het verzoek van de camera weet te onderscheppen kan vervolgens een antwoord terugsturen dat een buffer overflow veroorzaakt. Hierdoor wordt het mogelijk om willekeurige code op de camera uit te voeren. Een aantal van de kwetsbaarheden is op afstand te misbruiken, anderen alleen met fysieke toegang. Yi Technologies werd op 1 mei over de beveiligingslekken geïnformeerd en kwam op 22 oktober met een update. Daarop heeft Cisco nu de details bekendgemaakt. Eigenaren van een Yi Home Camera krijgen het advies de nieuwste firmware te installeren. bron: security.nl

Microsoft gaat de inlogopties voor Windows 10 aanpassen wat het eenvoudiger voor mensen moet maken om zonder wachtwoord in te loggen. Naast het gebruik van een wachtwoord biedt het besturingssysteem via Windows Hello ook verschillende andere inlogmanieren. Zo kan er worden gekozen om met biometrische informatie in te loggen zoals een vingerafdruk of irisscan, en is het mogelijk om een pincode of fotowachtwoord in te stellen. Volgens gebruikers was het vorige ontwerp van de inlogopties onoverzichtelijk en verwarrend. Microsoft heeft nu in de nieuwste testversie van Windows 10 een aanpassing doorgevoerd om de inlogopties te vereenvoudigen. "We denken dat deze aanpassing je helpt om de veiligste inlogoptie voor jouw wensen te kiezen, of het nu een pincode of een biometrische factor zoals vingerafdruk of gezichtsherkenning is", zegt Microsofts Dona Sarkar. Het nieuwe ontwerp toont een overzicht van de verschillende inlogopties, wat gebruikers een beter geïnformeerde keuze moet laten maken. "Security zou niet intimiderend moeten zijn en we willen je helpen bij het elimineren van wachtwoorden. Daarom willen we dat je eenvoudig je eerste verdedigingslinie kan instellen door je apparaat met Windows Hello te beveiligen", aldus Sarkar. bron: security.nl

Internetgebruikers die op hun Google-account willen inloggen moeten voortaan JavaScript hebben ingeschakeld, zo laat Google weten. De maatregel zou nodig zijn voor het uitvoeren van een risicoanalyse. Als gebruikers op de Google-inlogpagina hun gebruikersnaam en wachtwoord invoeren voert de internetgigant naar eigen zeggen een "risk assesment" uit. Alleen als er niets verdacht aan de inlogpoging is wordt die goedgekeurd. Deze risicoanalyse is nu verbeterd, maar dit vereist wel dat de gebruiker in zijn browser JavaScript heeft ingeschakeld. Zonder JavaScript kan de risicoanalyse niet worden uitgevoerd. JavaScript staat standaard ingeschakeld en de meeste mensen laten dit zo, maar bij 0,1 procent van de Google-gebruikers staat JavaScript uitgeschakeld. Dit kan bijvoorbeeld voor privacy- of veiligheidsredenen worden gedaan. Veel exploits en trackers op internet maken namelijk gebruik van JavaScript. Gebruikers waar JavaScript staat uitgeschakeld krijgen nu een melding te zien. Op deze website legt Google uit hoe gebruikers JavaScript kunnen inschakelen. bron: security.nl

Een zeroday-lek in de Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) software van Cisco wordt op dit moment actief aangevallen en een beveiligingsupdate is nog niet beschikbaar, zo laat de netwerkgigant zelf weten. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand een denial of service veroorzaken. De Adaptive Security Appliance (ASA) software bevindt zich in in allerlei netwerkapparaten van Cisco, zoals firewalls, security appliances en routers, die door bedrijven en organisaties worden gebruikt. De kwetsbaarheid wordt veroorzaakt door het niet goed verwerken van SIP-verkeer. Door het versturen van specifieke SIP-verzoeken kan een aanvaller het netwerkapparaat herstarten of voor een hoge processorbelasting zorgen, waardoor een denial of service ontstaat. Cisco meldt in het beveiligingsbulletin over de kwetsbaarheid dat er nog geen updates of workarounds voorhanden zijn. Het beveiligingslek is aanwezig in de Cisco ASA-software versie 9.4 en nieuwer en Cisco FTD-software versie 6.0 en nieuwer als SIP-inspectie staat ingeschakeld en de software op bepaalde netwerkapparaten draait. Netwerkbeheerders kunnen aan de uitvoer van "show conn port 5060" zien of ze worden aangevallen. In dit geval wordt er een groot aantal onvolledige SIP-verbindgen getoond en de uitvoer laat ook een hoge processorbelasting zien. Ook kunnen aanvallen ervoor zorgen dat het netwerkapparaat crasht of herstart. Hoewel er geen updates of workarounds zijn kunnen beheerders wel SIP-inspectie uitschakelen, ip-adressen blokkeren of verkeer met ongeldige waardes filteren. bron: security.nl

Er is een nieuwe versie van Adblock Plus verschenen, de populairste browserextensie op internet, die verminderd geheugengebruik belooft en een nieuwe gebruikersinterface introduceert. Volgens ontwikkelaar Eyeo vermindert Adblock Plus 3.4 het geheugengebruik met 50 procent. Daardoor moeten websites sneller worden geladen. De nieuwe gebruikersinterface moet ervoor zorgen dat gebruikers eenvoudiger door de browseruitbreiding kunnen navigeren. Een andere belangrijke toevoeging is de mogelijkheid om screenshots naar de ontwikkelaar te sturen van zaken die volgens gebruikers geblokkeerd hadden moeten worden. Adblock Plus heeft naar eigen zeggen alleen al op de desktop meer dan 100 miljoen gebruikers. bron: security.nl