Captain Kirk

Aanvallers hebben bijna duizend op Magento gebaseerde webwinkels gecompromitteerd en voorzien van kwaadaardige JavaScript-code die betaalgegevens van klanten onderschept, zoals creditcardnummer, naam, adresgegevens en telefoonnummer. Dat meldt securitybedrijf Sanguine Security. Het toevoegen van kwaadaardige code aan webwinkels om gegevens van klanten te stelen wordt formjacking genoemd. In totaal werden 962 gecompromitteerde webwinkels gevonden waar de code op automatische wijze aan was toegevoegd. Het gaat voornamelijk om kleine webwinkels, laat onderzoeker Willem de Groot tegenover Bleeping Computer weten. Hoe de aanvallers toegang tot de webwinkels wisten te krijgen is nog niet bekend, maar sommige van de webshops misten updates. Vorige maand waarschuwde De Groot nog dat aanvallers honderden webwinkels hadden gekaapt via een Magento-lek waarvoor in maart een beveiligingsupdate was verschenen. De beheerders van de webshops hadden deze patch echter niet geïnstalleerd. bron: security.nl

Britse internetproviders hebben Mozilla genomineerd voor de "Internet Villain" award die jaarlijks wordt uitgereikt aan de persoon of organisatie die een negatieve impact heeft op nieuwe standaarden of bestaande online beschermingsmaatregelen, de vrijheid van meningsuiting en online copyright en de wereldwijde logistieke keten van telecombedrijven. De award is in het leven geroepen door de Internet Services Providers Association (ISPA). De organisatie riep het publiek op om via Twitter nominaties in te zenden. De hiervoor aangegeven hashtag is nauwelijks gebruikt. Toch stelt de ISPA dat het publiek Mozilla als internetboef heeft genomineerd. Dit zou vanwege de introductie van dns over https (DoH) zijn gedaan. Via DoH zou de filterverplichting die in het Verenigd Koninkrijk geldt kunnen worden omzeild, alsmede software voor ouderlijk toezicht. Op deze manier zou Mozilla veiligheidsstandaarden in het VK ondermijnen, aldus de ISPA op de eigen website. DoH zorgt voor een versleutelde verbinding voor dns-verzoeken, zodat informatie van het dns-verzoek niet kan lekken. Op dit moment zijn dns-verzoeken onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. Het gaat dan bijvoorbeeld om de domeinnaam die de gebruiker opvraagt of zijn ip-adres, of een groot deel hiervan. De nominatie van Mozilla zorgde op Twitter voor een golf van kritiek. Veel critici vinden dat Mozilla juist voor de "Internet Hero" award genomineerd had moeten worden. Vanwege de nominatie besloot de Britse provider Andrews & Arnold, die niet bij de ISPA is aangesloten, het lidmaatschapsgeld dat het had moeten betalen als het wel lid was geweest, naar Mozilla over te maken. De uitreiking van de awards vindt plaats op 11 juli. Naast Mozilla zijn ook de Amerikaanse president Donald Trump en Artikel 13 over auteursrecht genomineerd voor de Internet Villain award. bron: security.nl

Onderzoekers hebben een exemplaar van de Sodinokibi-ransomware ontdekt die een beveiligingslek in Windows gebruikt om de hoogst mogelijke rechten op het systeem te krijgen. De kwetsbaarheid werd op 9 oktober vorig jaar door Microsoft gepatcht en was daarvoor al bij zerodayaanvallen gebruikt. De Sodinokibi-ransomware kwam eerder in het nieuws omdat het een kwetsbaarheid in Oracle WebLogic-servers gebruikte om zich te verspreiden en dat klanten van een gecompromitteerde managed service provider (MSP) met deze ransomware werden besmet. De nu ontdekte versie maakt misbruik van een kwetsbaarheid in het Win32k-component van Windows. Alle ondersteunde versies van Windows waren kwetsbaar voordat de update in oktober vorig jaar verscheen. Via de kwetsbaarheid kan de ransomware systeemrechten verkrijgen. Volgens antivirusbedrijf Kaspersky komt het zelden voor dat ransomware een beveiligingslek gebruikt om de eigen rechten te verhogen. Eind vorig jaar werd echter een versie van de GandCrab-ransomware aangetroffen die deze tactiek ook toepaste. Door het verkrijgen van systeemrechten kan ransomware bestanden versleutelen zonder dat anti-virussoftware dit proces kan stoppen. bron: security.nl

De Belgische politie wil het eenvoudiger voor slachtoffers van cybercrime maken om aangifte te doen, aangezien dat nu nog te weinig wordt gedaan. Dat laat de Federale Politie in de Veiligheidsmonitor 2018 weten (pdf). Vorig jaar steeg het aantal geregistreerde slachtoffers van "informaticacriminaliteit" met 14,8 procent. Met name het aantal mensen dat aangifte van phishing deed steeg. Van 475 in 2017 naar 1277 in 2018. Ook het aantal aangiften van informaticabedrog, hacking en "valsheid in informatica" lieten een stijging zien. Valsheid in informatica is het wijzigen of wissen van gegevens in een computersysteem of het gebruik van die gegevens veranderen. Zo steeg het aantal slachtoffers van informaticabedrog van 17.500 naar 19.300. Het aantal hackingslachtoffers ging van zo'n 2600 naar 3600 en het aantal mensen dat aangifte van valsheid in informatica deed groeide met 400 en ging van 800 naar 1200. De Belgische politie stelt dat het werkelijke aantal slachtoffers van cybercrime waarschijnlijk hoger ligt. Slechts 14 procent van de respondenten die aangaven in het afgelopen jaar slachtoffer te zijn geweest van "inbraak in een computer of smartphone", deed hier ook aangifte van. Voor zowel "oplichting via internet" als "intimidatie en pesten via internet", deed 22 procent van de slachtoffers aangifte. "Met andere woorden: zo’n 200.000 via internet gepleegde feiten zouden niet aangegeven zijn. Een belangrijke uitdaging voor de toekomst zal dus zijn om dit cijfer omlaag te krijgen", aldus de Federale Politie. Om dit te realiseren wil de politie gaan inzetten op preventie en het eenvoudiger maken voor slachtoffers om aangifte te doen. bron: security.nl

De Alexa-spraakassistent van Amazon bewaart alle opgenomen audio van gebruikers voorgoed, totdat gebruikers die zelf verwijderen. Dat heeft het bedrijf in een reactie op vragen van de Amerikaanse senator Chris Coons laten weten. Coons had gevraagd hoelang Amazon transcripties van opnamen bewaart. "We bewaren de stem-opnamen van klanten en transcripties totdat de klant ervoor kiest om die te verwijderen", aldus het antwoord van Amazon. Audio-opnamen zijn te verwijderen via de Alexa-app en de Alexa Privacy Hub. Zodra een gebruiker zijn opnamen verwijdert, zegt Amazon ook de bijbehorende transcriptie te verwijderen. "We verwijderen die transcripties van alle primaire opslagsystemen van Alexa en we streven ernaar dat die transcripties niet op andere opslagsystemen van Alexa bewaard blijven", stelt Amazon verder (pdf). Bepaalde transcripties blijven echter wel bewaard, bijvoorbeeld als de spraakassistent wordt gebruikt om een bestelling te plaatsen of een product aan te schaffen. Ook voor bepaalde verzoeken, zoals het instellen van een alarm of herinnering of het versturen van een bericht naar iemand, blijft de onderliggende data bewaard. Coons stelt dat het antwoord van Amazon de mogelijkheid openhoudt dat transcripties van gebruikers niet overal verwijderd worden, ook al heeft een gebruiker zijn audio-opname verwijderd. Tevens is het volgens de senator nog steeds onduidelijk of de data met derde partijen wordt gedeeld, in welke mate en hoe deze derde partijen de data gebruiken. Coons maakt zich dan ook nog steeds zorgen over de bescherming van gebruikersgegevens door Amazon. bron: security.nl

In ip-beveiligingscamera's van Alecto, D-Link en Eminent zijn kwetsbaarheden gevonden waardoor aanvallers op afstand met de beelden kunnen meekijken of het apparaat kunnen uitschakelen. Het gaat om de Alecto DVC-215IP, de D-Link DCS-2670L en de Eminent EM6360. De Eminent-camera blijkt over twee verborgen gebruikersaccounts te beschikken waarmee een aanvaller kan inloggen. Deze accounts zijn niet bij de gebruiker bekend. Bij de Alecto-camera is het mogelijk om het beheerderswachtwoord te resetten naar de standaardinstelling, waardoor er vervolgens toegang kan worden verkregen. In het geval van de D-Link is het mogelijk om een aanval op de webinterface van de camera uit te voeren waardoor de camera zichzelf herstart. Op deze manier kan een aanvaller het beeld op zwart zetten. Om de aanvallen uit te kunnen voeren moeten de camera's wel toegankelijk vanaf het internet zijn en moet een aanvaller het ip-adres van het apparaat kennen. De Consumentenbond meldde de kwetsbaarheden bij de fabrikanten. Alecto heeft inmiddels een firmware-update uitgebracht. Voor de D-Link en Eminent zijn nog geen updates verschenen. bron: security.nl

Het Amerikaanse Cyber Command heeft via Twitter een waarschuwing gegeven voor aanvallen die misbruik maken van een oude kwetsbaarheid in Microsoft Outlook. Het beveiligingslek, dat securitybedrijf SensePost aan Microsoft rapporteerde, werd op 10 oktober 2017 door de softwaregigant gepatcht. Via de kwetsbaarheid kan een aanvaller een beveiligingsfeature van het e-mailprogramma omzeilen en vervolgens via de startpagina van Outlook willekeurige commando's uitvoeren. Uiteindelijk kan er zo malware op het systeem worden geïnstalleerd. Om misbruik van de kwetsbaarheid te maken kan een aanvaller een speciaal geprepareerd document met een exploit naar een doelwit sturen. Een andere aanvalsvector bestaat uit het gebruik van gecompromitteerde e-mailaccounts en features van Exchange om de exploit bij gebruikers te krijgen. Aanvallers zouden al sinds halverwege 2018 misbruik van de kwetsbaarheid maken, zo meldde securitybedrijf FireEye eind vorig jaar. Organisaties krijgen het advies om de beschikbare patch te installeren en tweefactorauthenticatie voor e-mailaccounts in te stellen. Het U.S. Cyber Command is een afdeling van het Pentagon die zich met cyberoperaties bezighoudt. Het werd in 2009 opgericht. Vorig jaar besloot de organisatie om malware naar online virusscandienst VirusTotal te uploaden. Door het uploaden van niet-geclassificeerde malware wil het Cyber Command samenwerken met de publieke sector. bron: security.nl

Windows 10 maakt bewust geen back-ups van het Register meer, zo heeft Microsoft laten weten. Het besturingssysteem maakte altijd standaard back-ups van Register en plaatste die in de RegBack-map. Met de lancering van de Windows 10 April 2018 Update (Windows 10 versie 1803) worden de back-ups niet meer automatisch gemaakt. De Taakplanner laat echter gewoon weten dat de back-ups zijn gelukt. Microsoft heeft nu een uitleg online geplaatst waarin het laat weten dat deze aanpassing bewust is doorgevoerd en de ruimte die Windows op de harde schijf inneemt moet beperken. In het geval een systeem met een corrupt register moet worden hersteld, adviseert Microsoft om van Systeemherstel gebruik te maken. Gebruikers die Registerback-ups willen blijven gebruiken kunnen dit via een aanpassing aan het Register instellen. bron: security.nl

Mozilla heeft een oplossing ontwikkeld voor de tls-foutmeldingen die antivirusprogramma's bij het bezoeken van websites veroorzaken. Volgens de browserontwikkelaar heeft 60 procent van de Firefoxgebruikers op Windows antivirussoftware geïnstalleerd. Een deel van deze programma's onderschept het https-verkeer van gebruikers, om het op zaken als malware en phishing te controleren. Doordat https-verkeer is versleuteld, is het standaard niet toegankelijk voor antivirussoftware. Virusscanners omzeilen dit door een eigen rootcertificaat op computers te installeren, waardoor de inhoud van het webverkeer toch geanalyseerd kan worden. De certificaten die antivirusprogramma's gebruiken worden standaard niet door Firefox vertrouwd. In het geval virusscanners de verbinding van de gebruiker onderscheppen laat de browser daarom een waarschuwing aan gebruikers zien dat het niet op een veilige manier verbinding met de website kan maken. Firefox beschikt over een optie waardoor rootcertificaten die door de gebruiker of een programma op de computer zijn geïnstalleerd, toch door de browser worden vertrouwd. Vanaf Firefox 68 zal de browser wanneer het ziet dat verkeer wordt onderschept deze optie automatisch inschakelen en de verbinding opnieuw proberen. Als dit het probleem verhelpt blijft de optie ingeschakeld, tenzij de gebruiker die handmatig uitschakelt. Volgens Mozilla moet dit de problemen waar Firefoxgebruikers tegen aanlopen sterk verminderen. In Firefox 68 ESR (Extended Support Release) zal de optie standaard zijn ingeschakeld. Firefox ESR is een versie die alleen maar beveiligingsupdates ontvangt en is vooral voor bedrijven en organisaties bedoeld. Door het accepteren van de interne rootcertificaten van de organisatie, moet het proces voor systeembeheerders om Firefox uit te rollen worden gestroomlijnd. Als laatste is er aan Firefox 68 een indicator toegevoegd waarmee de gebruiker kan zien of een website van een geïmporteerd rootcertificaat gebruikmaakt. Firefox 68 staat gepland voor 9 juli. bron: security.nl

Microsoft waarschuwt klanten die Linux in hun Azure-cloudomgeving gebruiken voor verschillende kwetsbaarheden in de Linux-kernel waardoor een aanvaller op afstand een denial of service kan veroorzaken. Het gaat in totaal om vier beveiligingslekken die betrekking hebben op de minimum segment size (MSS) en het TCP Selective Acknowledgement (SACK) mechanisme. De beveiligingslekken werden door streamingdienst Netflix ontdekt. Via SACK-pakketten kan de ontvanger bij een tcp-verbinding niet-opeenvolgende data bevestigen. Op deze manier kan de afzender alleen de data versturen die niet bij de ontvanger is aangekomen. Maximum segment size (MSS) is een parameter in de TCP-header van een pakket waarin de hoeveelheid data staat vermeld die een gereconstrueerd TCP-segment bevat. Onderzoekers hebben nu ontdekt hoe het mogelijk is om via een reeks SACK-pakketten met een lage MSS een integer overflow te veroorzaken, die tot een kernel panic leidt. Dit kan ervoor zorgen dat het systeem moet worden herstart. Deze kwetsbaarheid wordt "SACK Panic" genoemd. Via de andere kwetsbaarheden is het mogelijk om de bandbreedte te vergroten die nodig is om dezelfde hoeveelheid data af te leveren of het systeem ernstig te belasten. Microsoft adviseert Azure-klanten die een Linux-kernel in hun Azure-omgeving gebruiken om de betreffende Linux-aanbieder om advies te vragen. Daarnaast is ervoor gebruikers van Azure Sphere, dat voor IoT-producten wordt gebruikt, een update verschenen. Verder moeten klanten met Azure HDInsight-clusters die voor 24 juni zijn aangemaakt hun virtual machines herstarten. Onlangs waarschuwde Microsoft Azure-klanten ook voor een Linux-worm die zich via een lek in e-mailserversoftware Exim verspreidde. bron: security.nl

De Britse overheid heeft een waarschuwing voor de Ryuk-ransomware gegeven die bij gerichte aanvallen tegen bedrijven en organisaties wordt ingezet. Verschillende Amerikaanse overheidsinstanties en gemeenten werden eerder al door de ransomware getroffen en zagen zich gedwongen om te betalen. Zo betaalde een Amerikaans district 400.000 dollar losgeld om versleutelde bestanden ontsleuteld te krijgen. Het Britse National Cyber Security Centre (NCSC) doet onderzoek naar campagnes waarbij de ransomware is ingezet. Volgens het NCSC wordt de ransomware pas dagen of zelfs maanden na de initiële infectie bij het slachtoffer geïnstalleerd. De aanvallers gebruiken deze tijd om het netwerk te verkennen en belangrijke systemen te zoeken, zodat de aanval een maximale impact heeft. Dit biedt echter ook kansen om de organisatiebrede installatie van de ransomware te voorkomen als de initiële infectie wordt gedetecteerd en verholpen. Ryuk is in verband gebracht met andere malware, zoals Emotet en Trickbot. Deze malware kan Ryuk op systemen installeren. De installer van de ransomware probeert bepaalde antivirussoftware te stoppen en installeert vervolgens de juiste versie van Ryuk, afhankelijk van de systeemarchitectuur, aldus het NCSC. Om infectie door Ryuk en andere malware te voorkomen adviseert het NCSC om systemen up-to-date te houden, applicaties te whitelisten, antivirussoftware te gebruiken, netwerkscheiding toe te passen, URI-reputatiediensten te gebruiken en ervoor zorgen dat remote management interfaces die RDP gebruiken alleen vanuit een privaat netwerk toegankelijk zijn, waarbij er een VPN wordt gebruikt om het netwerk op afstand te benaderen (pdf). bron: security.nl

Bedrijfsdocumenten, systeemwachtwoorden, 750 gigabyte aan mailback-ups en andere gegevens van databedrijf Attunity waren voor iedereen op internet toegankelijk. Onderzoekers van securitybedrijf UpGuard ontdekten drie publiek toegankelijke Amazon S3-buckets van het bedrijf, dat begin dit jaar door het Zweedse data-analyticsbedrijf Qlik werd overgenomen. Attunity verzorgt data-replicatie, data-integratie en big data-management voor allerlei bedrijven. Naar eigen zeggen is de helft van de Fortune 100 klant van het bedrijf. Halverwege mei ontdekten onderzoekers drie S3-buckets van Attunity. Amazon Simple Storage Service (S3) is een cloudopslagdienst. Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. De hoeveelheid gegevens in de drie buckets van Attunity is onbekend, maar onderzoekers besloten een bestand van ongeveer één terabyte te downloaden. Het ging onder andere om mailback-ups van in totaal 750 gigabyte. Ook back-ups van OneDrive-accounts werden aangetroffen. In de back-ups werden wachtwoorden voor Twitter- en vpn-accounts aangetroffen, alsmede allerlei data van werknemers. Het ging onder andere om salarisgegevens, namen en geboortedata. In de buckets vonden de onderzoekers ook inloggegevens voor de SAP-systemen van Attunity. Verder werden er van sommige klanten data aangetroffen, waaronder Netflix. Na te zijn ingelicht door de onderzoekers werden de buckets beveiligd. bron: security.nl

Er is een nieuwe testversie van Microsoft Edge verschenen die over ingebouwde trackingbescherming beschikt. Volgens Microsoft geeft dit gebruikers meer controle over hun online data. De trackingbescherming van Edge moet voorkomen dat gebruikers worden gevolgd door derde partijen die op een website actief zijn. "Bij het bezoeken van een website kunnen trackers van andere sites via cookies en andere opslagmechanismen informatie in de browser opslaan. Deze informatie kan de bezochte sites en de content die je interessant vond bevatten, waarmee een digitaal profiel kan worden gebouwd dat organisaties kunnen gebruiken om je gepersonaliseerde content te tonen als je andere sites bezoekt", aldus Microsoft. De trackingbescherming in de testversie van Edge bevindt zich nog in de kinderschoenen en zal volgens Microsoft waarschijnlijk veranderen. Daarnaast moeten gebruikers de optie zelf aanzetten door in de adresbalk edge://flags#edge-tracking-prevention in te schakelen. Vervolgens zijn de instellingen van de trackingbescherming via het privacymenu in te stellen. De trackingbescherming kent drie niveaus: unrestricted, balanced en strict. Alle drie de niveaus blokkeren kwaadaardige trackers. De laatste twee niveaus blokkeren ook potentiële trackers van websites die gebruikers niet hebben bezocht. Het strengste niveau kan er ook voor zorgen dat sommige websites niet meer werken. Tevens kunnen gebruikers ervoor kiezen om voor vertrouwde sites trackers toe te staan. Voor het identificeren van trackers maakt de browser gebruik van een lijst, de Trust Protection Lists, die via updates zal worden bijgewerkt. bron: security.nl

De populaire online virusscandienst VirusTotal wordt onderdeel van Google Cloud, zo heeft oprichter Bernardo Quintero bekendgemaakt. Via VirusTotal kunnen gebruikers verdachte bestanden door de engines van zo'n 60 verschillende anti-virusprogramma's laten scannen. Vervolgens wordt er allerlei informatie over het bestand weergegeven. VirusTotal werd in 2012 door Google overgenomen. Een jaar geleden werd de virusscandienst bij securitybedrijf Chronicle ondergebracht. Chronicle is een zusterbedrijf van Google en biedt allerlei securitydiensten. Zo lanceerde Chronicle een zakelijke versie van VirusTotal. Chronicle wordt echter bij Google Cloud ondergebracht, zo werd gisteren bekend. Volgens Google Cloud zijn de producten van Chronicle een goede aanvulling en zal VirusTotal helpen bij het verzamelen van dreigingsinformatie. Gebruikers van VirusTotal hoeven zich geen zorgen te maken, aldus Quintero. "Net zoals onze overstap naar Google een aantal jaren geleden, verandert het niet de missie of focus van VirusTotal. We blijven onafhankelijk opereren, gericht op onze missie om je te beschermen op het web." bron: security.nl

De Duitse overheid werkt aan minimale eisen waar veilige browsers aan moeten voldoen, zodat ze door overheidspersoneel mogen worden gebruikt. Twee jaar geleden publiceerde het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken al een eerste versie van de eisen. Nu twee jaar later wordt er aan een update gewerkt, en een conceptversie is nu openbaar gemaakt (pdf). in de "Mindeststandard des BSI für sichere Web-Browser" staan verschillende eisen waaraan een veilige browser moet voldoen, zoals de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), het veilig opslaan van wachtwoorden en certificaatbeheer. Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt. Daarbij moet de leverancier in het geval van ernstige kwetsbaarheden binnen 21 dagen met een update komen. Tevens moet de browser het mogelijk maken om verzamelde gegevens zoals cookies te verwijderen. Een andere voorwaarde is dat de browser met minimale rechten kan draaien en over een sandbox beschikt. Naast eisen die aan de browser en leverancier worden gesteld, stelt de Duitse overheidsinstantie ook eisen aan het gebruik van de browser. Zo moet de installatie van add-ons centraal worden geregeld en moeten gebruikers niet in staat zijn om zelf add-ons te installeren. Tevens moet het synchroniseren van gegevens met de cloud en andere externe diensten zijn uitgeschakeld. 2-browserstrategie Het BSI stelt verder dat beheerders in het geval van een ernstig beveiligingslek in de browser binnen zeven dagen in actie moeten komen, ongeacht of er een beveiligingsupdate beschikbaar is. Voor deze gevallen wijst de overheidsinstantie naar de "2-browserstrategie" waarbij er op een andere browser wordt overgestapt zolang er geen beveiligingsupdate voor de andere browser beschikbaar is. Met het openbaar maken van de conceptversie hoopt het BSI feedback van partijen te ontvangen. bron: security.nl

De publieke dns-dienst van Google ondersteunt nu DNS over HTTPS (DoH), zo heeft de internetgigant bekendgemaakt. Het domain name system (dns) speelt een belangrijke rol bij het opvragen van domeinnamen door internetgebruikers. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Het is echter ook mogelijk om een andere dns-provider te kiezen. Door het instellen van de dns-server van een andere aanbieder vragen internetgebruikers niet aan hun eigen provider waar het ip-adres van een bepaalde domeinnaam te vinden is, maar aan de ingestelde aanbieder. Google is naar eigen zeggen de grootste publieke dns-aanbieder ter wereld. Het probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Google is niet de enige partij die inzet op DoH. Vorig jaar vroeg Mozilla al aan Firefoxgebruikers om DoH te testen. Er is echter ook kritiek op de techniek. Gebruikers zouden bij gebruik van DoH juist extra kunnen worden 'gefingerprint' - vanwege de extra informatie die bij een verbinding kan worden meegegeven. Een ander probleem is dat applicaties zoals de browser zelf met externe resolver-diensten gaan communiceren in plaats van een centrale, uniforme methode te gebruiken. Iets wat geen exclusief DoH-probleem is, maar wel bij DoH gebeurt. "Het is nog te vroeg voor definitieve conclusies, want het kan nog alle kanten op. Hoe het uitgekristalliseerde plaatje eruit zal zien is onzeker. Zeker is dat er behoorlijk ingrijpende veranderingen zullen plaatsvinden. Het is daarom van belang deze ontwikkelingen te blijven volgen en te duiden en waar mogelijk in de juiste richting bij te sturen", zo liet SIDN Labs eind vorig jaar weten. bron: security.nl

Google heeft Chromebooks van extra bescherming tegen MDS-aanvallen voorzien, waardoor het mogelijk is om gevoelige gegevens van systemen te stelen, zoals wachtwoorden, creditcardgegevens en cookies. Via de aanval is het ook mogelijk om vanuit een virtual machine informatie van het hostsysteem uit te lezen of voor een Android-app om geprivilegieerd procesgeheugen te lezen. MDS staat voor Microarchitectural Data Sampling (MDS). Het gaat om een "speculative execution side channel" aanval die misbruik maakt van de architectuur die ontwikkeld is om de prestaties van processors te verbeteren. Verschillende MDS-aanvallen met de namen ZombieLoad, RIDL en Fallout werden vorige maand door onder andere onderzoekers van de Vrije Universiteit gedemonstreerd. Naar aanleiding van de kwetsbaarheden besloot Google al om in Chrome OS, het besturingssysteem dat op Chromebooks draait, Hyper-Threading standaard uit te schakelen. Gebruikers van wie de workflow voornamelijk interactief is zouden hier geen last van hebben, zo stelt Google. Met de lancering van Chrome OS 75 zijn er nu extra beschermingsmaatregelen aan het besturingssysteem toegevoegd. Gebruikers die zich zorgen over eventueel prestatieverlies maken kunnen Hyper-Threading weer inschakelen. Google merkt op dat het in dit geval gaat om een afweging tussen security en prestaties. "Intel-processors waar Hyper-Threading staat uitgeschakeld kunnen met verminderde prestaties te maken krijgen, wat afhangt van de workload. Maar met Hyper-Threading ingeschakeld kunnen gebruikers code uitvoeren, bijvoorbeeld door het bezoeken van een website of het draaien van een Android-app, die misbruik van MDS maakt om gevoelige geheugeninhoud te lezen", aldus de waarschuwing van Google. bron: security.nl

De afgelopen dagen is er een toename van besmette advertenties waargenomen die internetgebruikers in onder andere Europa met ransomware proberen te infecteren. De advertenties maken gebruik van een bijna anderhalf jaar oud beveiligingslek in Adobe Flash Player. Gebruikers die de update voor deze kwetsbaarheid, die op 8 februari 2018 uitkwam, niet hebben geïnstalleerd kunnen met ransomware besmet raken. Alleen het te zien krijgen van de besmette advertenties kan voldoende zijn, er is geen verdere interactie vereist, zo meldt antimalwarebedrijf Malwarebytes. Volgens onderzoeker Jerome Segura zijn dergelijke aanvallen de afgelopen maanden niet veel waargenomen, maar is er recentelijk een piek zichtbaar. Om de advertenties te verspreiden compromitteren de aanvallers de advertentieservers van de uitgever. Hoe dit precies wordt gedaan en om wat voor advertentieservers het gaat laat Malwarebytes niet weten. Door de aanval worden er via de advertentieserver van de uitgever besmette advertenties op zijn eigen websites geplaatst. De besmette advertenties verschenen onder andere op de website Onlinevideoconverter, waar mensen video's van YouTube en andere platformen kunnen converteren. De website zou 200 miljoen bezoekers per maand hebben. Bij ongepatchte bezoekers werd de Seon-ransomware geïnstalleerd. Aanvallen werden onder andere in Europa en de Verenigde Staten waargenomen. Gebruikers die Adobe Flash Player sinds februari 2018 hebben geüpdatet zijn niet kwetsbaar voor de aanvallen. Update Antivirusbedrijf Trend Micro maakt ook melding van de besmette advertenties. Volgens de virusbestrijder weten de criminelen in te breken op de Revive/OpenX-advertentieservers van uitgevers. Naast het verspreiden van ransomware worden de advertenties ook gebruikt voor de verspreiding van cryptominers. Tevens blijkt dat de gebruikte exploitkit die de malware installeert twee kwetsbaarheden in Adobe Flash Player misbruikt. Naast het lek dat in februari 2018 werd gepatcht gaat het ook om een kwetsbaarheid waarvoor in december 2018 een patch verscheen. bron: security.nl

Mozilla is een nieuw project gestart om online tracking zichtbaar voor internetgebruikers te maken en waarom het belangrijk is om third-party cookies te blokkeren. Via dergelijke cookies kunnen trackers en adverteerders internetgebruikers namelijk over het hele web volgen. Deze trackers opereren buiten het zicht van gebruikers, die zo niet weten dat ze overal worden gevolgd. "Daarom hebben we Track THIS gemaakt", zo laat Mozilla weten. Via Track THIS kunnen gebruikers een profiel kiezen waardoor adverteerders denken dat ze iemand anders zijn. Vervolgens worden er 100 op het profiel gebaseerde tabs geopend. Gebruikers moeten deze tabs hierna sluiten. Wanneer er nu een nieuw browservenster wordt geopend zullen alle getoonde advertenties zijn gebaseerd op het eerder gebruikte profiel. "Je advertenties zullen waarschijnlijk een aantal dagen hierdoor zijn beïnvloed, maar advertentietrackers zijn zeer geraffineerd. Ze kunnen je normale browsegedrag al veel eerder weergeven", merkt Mozilla op. De browserontwikkelaar adviseert afsluitend om Firefox te gebruiken, dat nu standaard third-party cookies blokkeert. bron: security.nl

Er is een nieuw malware-exemplaar actief dat slecht beveiligde Internet of Things-apparaten uitschakelt door de opslag te overschrijven, iptables-regels en netwerkconfiguratie te verwijderen en daarna het apparaat te stoppen en herstarten. Dat meldt onderzoeker Larry Cashdollar van Akamai op Twitter. De malware wordt Silexbot genoemd. In een boodschap laat de ontwikkelaar weten dat hij met deze malware wil voorkomen dat scriptkiddies onveilige IoT-apparaten voor hun botnet kunnen gebruiken. Silexbot heeft het volgens Cashdollar voorzien op Unix-achtige systemen en probeert via standaard inloggegevens toegang te krijgen. Beveiligingsonderzoeker Ankit Anubhav stelt dat hij met de ontwikkelaar heeft gesproken. Die zou geen financiële motieven hebben. Silexbot heeft als enig doel om slecht beveiligde systemen via een "permanent denial of service" uit te schakelen. ZDnet meldt dat al 2.000 apparaten door de malware zijn getroffen. Silexbot is niet uniek. Twee jaar geleden werd er malware genaamd BrickerBot ontdekt die slecht beveiligde IoT-apparaten ook opzettelijk saboteerde. Ook deze malware maakte gebruik van veelvoorkomende gebruikersnamen en wachtwoorden om via Telnet in te loggen en vervolgens allerlei bestanden te wissen. bron: security.nl

Microsoft heeft opslagdienst OneDrive van een persoonlijke datakluis voorzien die alleen toegankelijk is via een "sterke authenticatiemethode" of een tweede factor. Het gaat dan bijvoorbeeld om een vingerafdruk, gezichtsscan, pincode of een code die via e-mail, authenticator of sms is verkregen. Volgens de softwaregigant is de Personal Vault bedoeld om gevoelige gegevens in op te slaan. Op Windows 10-computers synchroniseert OneDrive de bestanden in de Personal Vault naar een locatie op de harde schijf die via BitLocker is versleuteld. Verder stelt Microsoft dat bestanden in de Personal Vault versleuteld in de Microsoft-cloud zijn opgeslagen. Een andere feature van de Personal Vault is dat die zich na een bepaalde tijd van inactiviteit vergrendelt. Eenmaal vergrendeld moeten gebruikers zich opnieuw authenticeren om hun bestanden te benaderen. Via de mobiele app van OneDrive wordt het straks mogelijk om gescande documenten en gemaakte foto's en video's direct in de Personal Vault op te slaan. De Personal Vault wordt binnenkort in Australië, Nieuw-Zeeland en Canada uitgerold en zal tegen het einde van dit jaar voor iedereen beschikbaar zijn. bron: security.nl

Door het namaken van de website van een bekende cryptobeurs hebben criminelen 24 miljoen euro aan bitcoin van duizenden mensen weten te stelen, zo heeft Europol bekendgemaakt. Na een 14 maanden durend onderzoek naar de diefstal zijn zes personen opgepakt. Het gaat om twee mannen van 21 en 26 jaar zijn die in Rotterdam zijn aangehouden op verdenking van witwassen. In Amsterdam is een 19-jarige vrouw opgepakt, zij wordt ook verdacht van witwassen. De overige verdachten zijn aangehouden in het Verenigd Koninkrijk. Volgens Europol registreerden de verdachten een domeinnaam die erg leek op die van de niet nader genoemde cryptobeurs. Een werkwijze die ook wel typosquatting wordt genoemd. Op de nagemaakte website voerden slachtoffers hun inloggegevens in, waardoor er toegang tot hun bitcoinwallets kon worden gekregen. In totaal zou er 24 miljoen euro aan bitcoin zijn buitgemaakt. Europol denkt dat er minstens 4000 mensen in twaalf landen slachtoffer zijn geworden, maar het aantal gedupeerden blijft groeien, zo laat de opsporingsdienst weten. bron: security.nl

Mozilla gaat de Background Intelligent Transfer Service (BITS) van Windows gebruiken om Firefox-updates te downloaden. Op deze manier kan de update-agent ook Firefox-updates downloaden wanneer de browser is gesloten, zo laat Mozillas Kirk Steuber weten. "Dit moet het updaten voor iedereen eenvoudiger maken en de tijd verminderen om nieuwe updates te downloaden voor gebruikers die niet goed door het huidige updateproces worden ondersteund omdat ze Firefox niet vaak gebruiken of een trage internetverbinding hebben", zegt Mozillas Matt Howell. Het voordeel van BITS is dat het bestanden in de achtergrond kan downloaden. Wanneer de download als bijvoorbeeld Local Service is gestart, gaat de download ook door als de huidige gebruiker uitlogt en een andere gebruiker inlogt. De toekomstige update-agent van Firefox zal dan ook los van de browser draaien. Zodra Firefox wordt gestart, vraagt het de update-agent om eventueel beschikbare updates te downloaden. Op deze manier houdt Firefox de controle over het updatesysteem, terwijl het downloaden en installeren van de updates door de update-agent wordt gedaan. De nieuwe updatefunctie is nu in de Nightly-versie van Firefox te testen. bron: security.nl

De Duitse overheid gaat samen met de grootste Duitse ouderenbond digitale beveiligingstips aan senioren geven. Dat meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Het BSI deed onderzoek waaruit blijkt dat driekwart van de ouderen tussen de 60 en 69 jaar een smartphone gebruikt en 58 procent een laptop bezit. Driekwart van de groep zou regelmatig informatie over cybersecurity opzoeken. Aanleiding voor het BSI om zich ook op senioren te gaan richten. "Digitalisering biedt met name oudere mensen veel mogelijkheden om het alledaagse leven comfortabeler te maken en sociale interactie te faciliteren", zegt Arne Schönbohm, directeur van het BSI. Schönbohm noemt als voorbeeld smart home-oplossingen, chat-apps en sociale netwerken. Uit ervaring zou echter blijken dat verschillende leeftijdsgroepen anders met nieuwe technologieën en bijbehorende risico's omgaan. "Het is belangrijk om advies op verschillende doelgroepen af te stemmen en op zo'n manier dat ze het kunnen toepassen", gaat de BSI-directeur verder. De overheidsorganisatie gaat nu materiaal ontwikkelen om ouderen te informeren en bewust te maken. Tevens zullen er periodiek bepaalde onderwerpen worden uitgelicht. De samenwerking tussen het BSI en de Duitse ouderenbond BAGSO werd vandaag tijdens een speciaal evenement in Bonn aangekondigd. De overheidsinstantie was aanwezig om ouderen te laten zien hoe ze hun smartphone moeten beveiligen. bron: security.nl

TripAdvisor heeft de wachtwoorden van een onbekend aantal gebruikers gereset die bij andere websites waren gestolen en bij de reis- en restaurantsite werden hergebruikt. Gebruikers ontvingen een e-mail van TripAdvisor dat hun wachtwoord is gereset omdat die op lijsten met gelekte inloggegevens voorkomt. Om deze gebruikers te beschermen is het wachtwoord gereset. TripAdvisor adviseert getroffen gebruikers om een "unieke combinatie van woorden, getallen, symbolen, en zowel grote als kleine letters" te gebruiken. Tevens moet het wachtwoord uit minimaal acht karakters bestaan en geen veelgebruikte woorden bevatten. De e-mail van TripAdvisor zorgde voor vragen bij gebruikers. Zo vroegen verschillende gebruikers zich af of het bericht daadwerkelijk van de website afkomstig was en of er geen sprake van een datalek is. Iets wat volgens TripAdvisor niet het geval is. Daarnaast vragen gebruikers zich af hoe het kan dat TripAdvisor de wachtwoorden van gebruikers kan vergelijken met die van gelekte inloggegevens. Details over hoe het dit heeft gedaan worden niet door TripAdvisor gegeven, maar zoals ook sommige Twitteraars opmerken heeft de website waarschijnlijk gelekte plaintext-wachtwoorden van andere sites via het eigen hashingalgoritme vergeleken en zo overeenkomstige wachtwoorden van gebruikers kunnen identificeren. bron: security.nl