Captain Kirk

Een legitieme open source remote administration tool genaamd Quasar wordt ook voor cyberspionage gebruikt, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). Quasar maakt het mogelijk om systemen op afstand te beheren en wordt via GitHub aangeboden. Het kan bijvoorbeeld door een helpdesk worden gebruikt om gebruikers met problemen te helpen. Verschillende Advanced Persistent Threat (APT)-groepen maken echter ook gebruik van de tool voor het uitvoeren van cyberspionage en hebben het programma voor hun eigen doeleinden aangepast. Voordat aanvallers Quasar kunnen gebruiken moet een systeem al zijn gecompromitteerd. Volgens US-CERT kunnen organisaties en beheerders Quasar detecteren door netwerkverkeer te monitoren en naar de registersleutel te zoeken die de remote administration tool toevoegt of de directories waarin het zichzelf installeert. De meeste virusscanners zouden Quasar detecteren. In de waarschuwing geeft US-CERT verschillende signatures waarmee Quasar is te herkennen. bron: security.nl

Facebook heeft verschillende bedrijven toegang tot de privéberichten van gebruikers gegeven, zo stelt de New York Times op basis van interne documenten en interviews. Ook andere zakelijke partners kregen meer toegang tot data dan Facebook heeft toegegeven. Zo kon de Bing-zoekmachine van Microsoft zonder toestemming de namen van de vrienden van alle Facebookgebruikers bekijken. Amazon kreeg toestemming om de gebruikersnamen en contactgegevens via hun vrienden te verzamelen en Yahoo mocht de berichten van vrienden inzien, ook al had Facebook aangeven dat het al lang met deze manier van delen was gestopt. Netflix, Spotify en de Royal Bank of Canada kregen zelfs de mogelijkheid om privéberichten van gebruikers te lezen, schrijven en verwijderen. Tevens konden deze bedrijven alle deelnemers aan een gesprek zien. Spotify en Netflix verklaarden tegenover de New York Times dat ze niet wisten dat Facebook hen deze bevoegdheden had gegeven. Een woordvoerder van de Royal Bank of Canada betwistte dat de bank dergelijke toegang had. Facebook stelt dat geen van de overeenkomsten met de bedrijven de privacy van gebruikers heeft geschonden of de overeenkomst die het in 2011 met de Amerikaanse toezichthouder FTC sloot. Daarin stond onder andere dat Facebook gebruikers toestemming zou vragen voor het delen van gegevens. Verder verklaart de sociale netwerksite dat het geen misbruik door de partners heeft aangetroffen. Update Facebook bevestigt in een verklaring op de eigen website dat bedrijven toegang tot de berichten van gebruikers hebben gekregen. Verder laat de sociale netwerkdienst weten dat de eerder genoemde bedrijven alleen met toestemming van gebruikers toegang tot gegevens kregen. bron: security.nl

HolaVPN, een vpn-dienst die naar eigen zeggen 175 miljoen gebruikers wereldwijd heeft, is onveilig, lekt het ip-adres van gebruikers en gebruikt de bandbreedte van gebruikers voor dubieuze zaken, zo claimt anti-virusbedrijf Trend Micro op basis van eigen onderzoek (pdf). Vanwege de uitkomsten van het onderzoek heeft de virusbestrijder besloten om HolaVPN als ongewenste en zeer risicovolle software te bestempelen. Een virtual private network (vpn) zorgt ervoor dat het verkeer van gebruikers via een beveiligde tunnel loopt. Dit zorgt ervoor dat internetproviders niet kunnen zien welke websites hun abonnees bezoeken en is het mogelijk om bepaalde websites die in een land worden geblokkeerd toch te bezoeken. Ook biedt een vpn bescherming op een openbaar wifi-netwerk. HolaVPN wordt gepresenteerd als een "community VPN", waarbij gebruikers hun internetverbinding met anderen kunnen delen. Onderzoek laat echter zien dat er van alles mis is met de vpn-dienst. Zo maakt HolaVPN geen gebruik van encryptie en lekt het de ip-adressen van HolaVPN-gebruikers. Daarnaast blijkt het "community" aspect van de vpn-dienst te ontbreken. Gebruikers delen hun internetverbindingen niet met elkaar. In plaats daarvan loopt het verkeer via duizenden exitnodes die in datacentra worden gehost. Elk systeem dat de gratis versie van HolaVPN installeert wordt veranderd in een exitnode die wordt verzilverd door een commerciële dienst genaamd Luminati. Dit is een zusterbedrijf van HolaVPN en eigendom van Hola Networks. Luminati verkoopt de bandbreedte van HolaVPN-gebruikers aan andere partijen. Die kunnen de bandbreedte van deze gebruikers voor allerlei doeleinden gebruiken. Meer dan 85 procent van al het Luminati-verkeer dat Trend Micro onderzocht ging naar mobiele advertenties, mobiele appdomeinen en partnerprogramma's die betalen voor verwijzingen en installaties van apps. Volgens de virusbestrijder worden elke dag miljoenen clicks op advertenties en advertentie-impressies via Luminati geladen. Verschillende partijen die van clickfraude worden verdacht zouden van Luminati gebruikmaken om verkeer van hun mobiele advertenties naar third-party landingspagina's door te sturen. "Dit is één van de manieren hoe een proxy-netwerk als Luminati kan worden misbruikt", zo staat in het onderzoeksrapport. De onderzoekers ontdekten dat het Luminati-verkeer ook wordt gebruikt voor het "scrapen" van online content. "Als de machine onderdeel van een bedrijfsnetwerk is, kan het als exitnode derde partijen mogelijk toegang tot bedrijfssystemen geven. HolaVPN kan aanvallers zakelijke firewalls laten omzeilen en ze de mogelijkheid bieden om het interne netwerk te verkennen", stelt Trend Micro. De virusbestrijder bestempelt HolaVPN voortaan als ongewenste, zeer risicovolle software en adviseert bedrijven en organisaties om HolaVPN niet op hun netwerk toe te staan. Internetgebruikers krijgen het advies om de vpn-software van hun computers te verwijderen. bron: security.nl

Verschillende Nest-camera's zijn door onbevoegden benaderd omdat gebruikers hergebruikte wachtwoorden voor hun Nest-account hadden ingesteld, zo heeft Alphabet bevestigd, het moederbedrijf van Nest en Google. Aanleiding voor de verklaring is het verhaal van een Nest-gebruiker die via zijn camera werd toegesproken door iemand die toegang tot het apparaat had gekregen. Nest-camera's bieden gebruikers de mogelijkheid om op afstand mee te kijken en de microfoon te bedienen. Dit wordt gedaan via een Nest-account. In het geval van de Nest-gebruiker had die het wachtwoord van zijn Nest-account ook voor meerdere websites gebruikt. In een verklaring tegenover The Arizona Republic stelt Alphabet dat het bekend is met wachtwoorden die bij andere bedrijven of websites zijn gestolen en worden gebruikt om Nest-camera's te benaderen. Gebruikers krijgen dan ook het advies een uniek wachtwoord in te stellen en tweefactorauthenticatie voor hun Nest-account te gebruiken. bron: security.nl

Nu Microsoft heeft besloten om Chromium als basis voor Edge te gebruiken is Mozilla bang dat zich opnieuw een browsermonopolie zal voordoen, net als met Internet Explorer begin deze eeuw. Dat stelt Mitchell Baker, medeoprichter en voorzitter van de Mozilla Foundation, in een column op CNN. Chromium is een door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome en andere browsers vormt. Google is al de dominante speler in de markt voor zoekmachines en heeft met Chrome ook de meestgebruikte browser. "Als Mozilla morgen zou verdwijnen, zou Google bijna een volledig monopolie hebben over hoe wij allemaal het web op Windows en Android ervaren. Een enorm gecombineerd marktaandeel", aldus Baker. Ze waarschuwt dat het machtiger maken van Google op allerlei gebieden riskant is., waaronder de inkomsten van Mozilla. "Google bepaalt zoveel van de content die mensen op internet ervaren, alsmede het businessmodel voor veel online bedrijven, van uitgevers tot browsers zoals Firefox tot winkels die klanten zoeken", gaat Baker verder. Zodra een bepaalde technologie genoeg marktaandeel heeft wordt het eenvoudiger voor webontwikkelaars om andere technologie te negeren. Iets wat Firefox zou kunnen overkomen nu Chromium zo'n groot marktaandeel heeft. Baker wijst naar het begin van deze eeuw, toen Microsoft met Internet Explorer een browsermonopolie had en internetgebruikers geen andere keuze hadden, mede omdat ontwikkelaars alleen websites maakten die in IE werkten. De Mozilla-topvrouw waarschuwt ontwikkelaars dan ook om dit pad niet opnieuw op te gaan. "Er is een trend gaande naar een digitaal monopolie, en de nieuwe controle die Google heeft verkregen zou ons moeten mobiliseren. We moeten vechten om te voorkomen dat een handvol bedrijven alles op internet bepalen", besluit Baker. bron: security.nl

Internetgebruikers die het op privacy gerichte besturingssysteem Tails willen installeren hebben vanaf volgende maand een extra optie die de installatie moet vereenvoudigen. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails is vanaf een usb-stick of dvd te starten. Hiervoor zijn er ISO-bestanden beschikbaar. Om de installatie voor Windows en macOS "drastisch" te vereenvoudigen en ondersteuning van UEFI-computers te verbeteren zullen er vanaf volgende maand ook usb-images beschikbaar worden gesteld. Zodoende hoeven gebruikers UEFI Secure Boot niet eerst uit te schakelen om Tails te starten en wordt het eenvoudiger om Tails op een usb-stick te installeren. De enige uitdaging die er nog is, is om een reproduceerbare usb-image te maken. Tails is opensourcesoftware, wat inhoudt dat gebruikers inzage in de broncode hebben. Via een reproduceerbare image hebben gebruikers de garantie dat hun versie van Tails daadwerkelijk op de broncode is gebaseerd. Er zijn al reproduceerbare ISO-images, maar de ontwikkelaars willen dit ook voor de usb-images realiseren. De eerste usb-images staan gepland met de lancering van Tails 3.12, die op 29 januari moet verschijnen. Financiering De ontwikkeling van Tails kost jaarlijks 200.000 euro, waarvan meer dan een derde van privépersonen afkomstig is. Om geld voor volgend jaar op te halen werd in oktober een donatiecampagne gestart. In de eerste helft van de campagne was 23 procent van het beoogde bedrag opgehaald. Het aantal donateurs is daarnaast met 64 procent toegenomen. In vergelijking met vorig jaar is er echter 51 procent minder geld opgehaald. "Meer mensen doneren, maar we missen de grote donateurs die we in het verleden hadden", aldus de ontwikkelaars. Het doneren van geld aan Tails is nog steeds mogelijk. Het privacybesturingssysteem wordt meer dan 20.000 keer per dag gebruikt. bron: security.nl

123456 is alweer voor het zesde jaar op rij het meest aangetroffen wachtwoord in datalekken. Dat meldt SplashData op basis van eigen onderzoek naar meer dan 5 miljoen wachtwoorden die via verschillende datalekken op internet terechtkwamen. Het bedrijf maakt al sinds 2011 elk jaar een overzicht van de Top 25 "ergste wachtwoorden". In 2011 en 2012 werd de lijst aangevoerd door het wachtwoord "password", maar sinds 2013 staat "123456" bovenaan. Nieuw in het overzicht dit jaar zijn onder andere "111111" en "sunshine". SplashData schat dat 10 procent van de internetgebruikers tenminste één wachtwoord uit de Top 25 van ergste wachtwoorden heeft gebruikt. Hieronder de tien meest aangetroffen wachtwoorden. 123456 password 123456789 12345678 12345 111111 1234567 sunshine qwerty iloveyou bron: security.nl

Heb je al de aangeboden stappen geprobeerd? Laat het ons even weten zodat we je, indien nodig, verder kunnen helpen.

Een nieuw datalek bij Facebook waardoor applicaties toegang tot meer foto's dan normaal kregen heeft zo'n 6,8 miljoen gebruikers geraakt. Dat heeft de sociale netwerksite vandaag bekendgemaakt. Het datalek ontstond door een fout in een programmeerinterface (API) en raakte personen die Facebooklogin gebruikten en applicaties toegang tot hun foto's hadden gegeven. Wanneer gebruikers een applicatie toegang tot hun foto's op Facebook geven, geeft Facebook de app meestal alleen toegang tot foto's die mensen in hun timeline plaatsen. Door de fout kregen apps ook toegang tot andere foto's, zoals afbeeldingen die op Facebook Stories of de Marketplace werden gedeeld. De fout raakte ook mensen die foto's naar Facebook hadden geüpload, maar niet geplaatst. In deze gevallen bewaart Facebook een kopie van de afbeelding. Deze foto's waren ook toegankelijk voor de apps. In totaal hadden 1500 apps mogelijk toegang tot de foto's van zo'n 6,8 miljoen Facebookgebruikers. De fout deed zich voor van 13 tot en met 25 september dit jaar, aldus Tomer Bar van Facebook. Volgende week komt Facebook met tools voor app-ontwikkelaars waarmee ze kunnen bepalen of hun gebruikers door de fout zijn getroffen. Facebook zegt verder dat het met deze ontwikkelaars zal samenwerken om de foto's van getroffen gebruikers te verwijderen. Tevens zullen alle getroffen gebruikers via een waarschuwing op Facebook worden geïnformeerd. bron: security.nl

Netwerkfabrikanten Zyxel en Lancom en telecomprovider Deutsche Telekom steunen de veiligheidsregels voor routers van de Duitse overheid. De richtlijnen van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, werden vorige maand geïntroduceerd. Al het interne netwerk- en internetverkeer loopt via de router. Een aanvaller die toegang tot een router weet te krijgen heeft zo toegang tot allerlei persoonlijke data. Daarnaast zijn slecht beveiligde routers een geliefd doelwit van cybercriminelen die de apparaten aan botnets toevoegen, waarmee vervolgens grootschalige ddos-aanvallen worden uitgevoerd. Met de regels wil het BSI de veiligheid van routers dan ook vergroten. Zo moeten routers updates kunnen ontvangen, moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Tevens mag de router geen verborgen accounts bevatten. De richtlijnen zijn aanbevelingen en niet verplicht. Toch hebben netwerkfabrikanten Zyxel en Lancom hun steun voor de veiligheidsregels uitgesproken. "De richtlijn wil veiligheidsverplichtingen voor routers standaardiseren en transparantie voor eindgebruikers scheppen, wat in lijn is met onze inzet voor veilige producten", aldus Zyxel. Lancom laat zelfs weten dat alle routers met versie 10.20 van het routerbesturingssysteem LCOS aan de vereisten van de richtlijn voldoen. Naast netwerkfabrikanten heeft ook Deutsche Telekom zich achter de veiligheidsregels geschaard. Volgens de telecomprovider voldoen de eigen routers bijna volledig aan de richtlijn en zal dit bij toekomstige routers volledig zijn. Het BSI is blij met de steun voor de veiligheidsregels en stelt dat die voor meer veiligheid in de digitale wereld zullen zorgen. bron: security.nl

Door een fout was het mogelijk voor oudere Twitter-apps om toegang tot privéberichten van gebruikers te krijgen, ook al kregen gebruikers te zien dat de apps geen toegang tot privéberichten hadden. Dat ontdekte onderzoeker Terence Eden, die het probleem bij Twitter rapporteerde. Applicaties die toegang tot de Twitter-programmeerinterface (API) willen krijgen moeten door Twitter zijn goedgekeurd. Een aantal jaren geleden lekten de officiële Twitter API-keys, waardoor app-ontwikkelaars toch de Twitter-programmeerinterface konden benaderen, ook al had Twitter hun app niet goedgekeurd. Bij deze apps liet Twitter in het permissiescherm weten dat privéberichten niet door de app konden worden benaderd, maar dat bleek toch mogelijk te zijn. Op deze manier zouden gebruikers kunnen worden misleid. Eden vermoedt dat oudere apps eigenlijk nooit ontwikkeld waren om toegang tot privéberichten te krijgen, maar gedurende de tijd ooit zijn geüpgraded waardoor dit toch mogelijk was. De onderzoeker meldde het probleem op 6 november van dit jaar bij Twitter, waarna het probleem een maand later door de microbloggingdienst werd verholpen. Twitter zegt dat het alle oude apps heeft geaudit. Voor zijn melding ontving Eden een beloning van bijna 3.000 dollar. bron: security.nl

Een beveiligingslek in de software van Logitech geeft websites toegang tot het toetsenbord en een beveiligingsupdate is nog niet voorhanden. De kwetsbaarheid is aanwezig in Logitech Options, software waarmee gebruikers hun muis en toetsenbord kunnen instellen en aanpassen. Beveiligingsonderzoeker Tavis Ormandy van Google ontdekte dat de software een websocket-server op poort 10134 opent, waar websites verbinding mee kunnen maken. Dit is mogelijk doordat er geen "origin checking" plaatsvindt, aldus de onderzoeker. Websites kunnen vervolgens opdrachten naar deze websocket-server sturen. Hiervoor moet wel een id worden meegestuurd. Het is echter mogelijk om dit id in enkele seconden via een bruteforce-aanval te achterhalen. Hierna is het mogelijk om de draaiknop op het toetsenbord te configureren, zodat er bijvoorbeeld toetsaanslagen naar andere applicaties worden gestuurd. Ormandy waarschuwde Logitech op 12 september van dit jaar. Op 18 september had de onderzoeker overleg met de engineers van Logitech, die lieten weten dat er een oplossing zou worden ontwikkeld. Twee weken later op 1 oktober verscheen er een nieuwe versie van de software, maar die blijkt nog steeds kwetsbaar te zijn. Ormandy adviseert gebruikers dan ook om Logitech Options uit te schakelen totdat er een update beschikbaar is. Google geeft bedrijven 90 dagen de tijd om gerapporteerde problemen op te lossen. Aangezien deze deadline is verstreken heeft Ormandy de details van de kwetsbaarheid openbaar gemaakt. Update Logitech heeft inmiddels Logitech Options 7.00 voor macOS en Windows uitgebracht waarin de kwetsbaarheid is verholpen. bron: security.nl

Er is een nieuwe versie van het populaire cms-platform WordPress verschenen die een bug verhelpt waardoor Google en andere zoekmachines in bepaalde gevallen wachtwoorden en e-mailadressen van gebruikers konden indexeren. WordPress 5.0.1 verhelpt meerdere beveiligingsproblemen, waaronder verschillende cross-site scripting-kwetsbaarheden. Daarnaast is er een bug verholpen waarbij het activatiescherm voor gebruikers door zoekmachines kon worden geïndexeerd. In bepaalde bijzondere configuraties konden zoekmachines hierbij ook e-mailadressen en standaard gegenereerde wachtwoorden indexeren. Deze beveiligingsfout werd door het Nederlandse bedrijf Yoast gevonden. Hoeveel websites mogelijk door de fout zijn getroffen laat WordPress niet weten. Een andere kwetsbaarheid die nu is opgelost maakte het voor 'contributors' mogelijk om de website over te nemen. Dit beveiligingslek werd in in augustus tijdens de BSides-beveiligingsconferentie onthuld. Beheerders van een WordPress-site krijgen het advies om naar WordPress 5.0.1 te upgraden. Voor gebruikers die nog niet naar versie 5 zijn geüpgraded is versie 4.9.9 verschenen. WordPress is het populairste contentmanagementsysteem (cms) op internet. Het wordt volgens cijfers van W3Techs door 32,5 procent van alle websites op internet gebruikt en heeft onder cms-platformen een marktaandeel van zo'n 60 procent. bron: security.nl

Internet of Things-apparaten die voor het eerst online komen worden al binnen 5 minuten aangevallen. Dat stelt securitybedrijf Arbor Networks op basis van eigen data. Het Mirai-botnet en andere IoT-botnets hebben aangetoond dat IoT-apparaten een interessant doelwit voor cybercriminelen zijn. IoT-apparaten worden nog altijd geleverd met standaardwachtwoorden die gebruikers niet hoeven te wijzigen, beschikken meestal niet over een automatische updatefunctie en zijn via allerlei diensten zoals Telnet toegankelijk. Arbor Networks heeft verschillende honeypots die zich voordoen als een IoT-apparaat. Een honeypot is een systeem dat opzettelijk is neergezet om te worden aangevallen, om zo aanvallers en hun tactieken in kaart te kunnen brengen. De onderzoekers zagen dat de aanvallen die in de eerste minuten plaatsvinden nadat een apparaat online is gekomen vooral bruteforce-aanvallen zijn. Hierbij wordt geprobeerd om met standaardwachtwoorden op het apparaat in te loggen. Binnen 24 uur kregen dezelfde IoT-apparaten te maken met aanvallen waarbij werd geprobeerd om via bekende kwetsbaarheden binnen te komen. Het gaat onder andere om vier kwetsbaarheden uit 2014, 2015, 2017 en 2018. Zo maakt de Mirai-malware gebruik van deze beveiligingslekken om IoT-apparaten te infecteren. Volgens Arbor Networks is het tempo waarin IoT-apparaten worden gepatcht zo langzaam, dat deze oude kwetsbaarheden nog steeds succesvol door IoT-botnets worden gebruikt. Door het grote aantal IoT-apparaten op internet is het vinden van kwetsbare apparaten eenvoudig. Tel daarbij op dat IoT-apparaten bijna continu staan ingeschakeld en aanvallers kunnen in korte tijd een groot botnet opzetten. Deze botnets worden vervolgens voor het uitvoeren van ddos-aanvallen ingeschakeld. Doordat IoT-malware eenvoudig is aan te passen om nieuwe kwetsbaarheden aan te vallen verwacht Arbor Networks dat het aantal IoT-botnets volgend jaar verder zal toenemen. bron: security.nl

Onderzoekers van securitybedrijf Check Point zijn erin geslaagd om in een periode van 50 dagen 54 kwetsbaarheden in Adobe Reader te vinden. De beveiligingslekken zijn de afgelopen maanden door het softwarebedrijf in de pdf-lezer gepatcht. Voor het onderzoek werd er van een "fuzzer" gebruikgemaakt. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. "De resultaten verbijsterden ons. In die 50 dagen wisten we meer dan 50 nieuwe kwetsbaarheden in Adobe Reader te vinden. Dat is gemiddeld één beveiligingslek per dag, niet het normale tempo voor dergelijk onderzoek", zeggen onderzoekers Yoav Alon en Netanel Ben-Simon. Ze merken op dat fuzzers veel meer kunnen dan een paar jaar geleden. Toch zijn er veel onderzoekers die er geen gebruik van maken. Reden voor Alon en Ben-Simon om details over hun onderzoek openbaar te maken, alsmede de gebruikte hardware en tools. bron: security.nl

Google heeft de domeinnaam Duck.com overhandigd aan de privacyzoekmachine DuckDuckGo, zo hebben beide partijen bekendgemaakt. De domeinnaam was sinds 2010 eigendom van Google nadat het On2 Technologies overnam, dat de domeinnaam daarvoor bezat. Sindsdien wees Duck.com naar de zoekmachine van Google, tot ergernis van DuckDuckGo. Volgens de privacyzoekmachine zou dit DuckDuckGo-gebruikers verwarren. Vorige week werd bekend dat de domeinnaam in handen van DuckDuckGo was gekomen. "We zijn blij dat Google heeft besloten om Duck.com over te dragen aan DuckDuckGo. Dit maakt het eenvoudiger voor mensen om DuckDuckGo te gebruiken", zegt DuckDuckGo-ceo Gabriel Weinberg tegenover Elliot Silver. Google laat weten dat het het eigendom en de rechten van duck.com heeft overgedragen aan DuckDuckGo. Of DuckDuckGo hiervoor heeft betaald laten beide partijen niet weten. Duck.com wijst nu naar DuckDuckGo.com. De privacyzoekmachine werd tien jaar geleden gelanceerd. Het maakt geen profielen van gebruikers, slaat geen ip-adressen op en logt geen gebruikersgegevens. bron: security.nl

Er is een nieuwe versie van het op privacy gerichte besturingssysteem Tails verschenen dat gebruikers van een virtual machine waarschuwt voor de risico's als er geen gebruik van vrije software wordt gemaakt. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails is vanaf een usb-stick of dvd te starten. Het is echter ook mogelijk om het besturingssysteem via een virtual machine te starten. Gebruikers hoeven in dit geval niet over een usb-stick of dvd te beschikken om met Tails aan de slag te gaan. Het brengt echter ook risico's met zich mee. Zowel de virtualisatiesoftware dat voor de virtual machine wordt gebruikt als het host-systeem waarop de virtualisatiesoftware draait kunnen namelijk zien wat de gebruiker in Tails aan het doen is, aldus de ontwikkelaars. Tails waarschuwde al als er niet-vrije virtualisatiesoftware werd gebruikt. Deze waarschuwing is nu verder uitgebreid. Ook wanneer er vrije virtualisatiesoftware op een niet-vrij besturingssysteem wordt gebruikt krijgen gebruikers een waarschuwing te zien. In deze waarschuwing wordt aangeraden om zowel voor de virtualisatiesoftware als het besturingssysteem vrije software te gebruiken. Vrije software is software die gebruikers rechten toekent voor het gebruiken, kopiëren of verspreiden van de software. Dit kan zowel tegen betaling als gratis. Daarbij moet de broncode beschikbaar zijn. Tails is zelf ook vrije software. Updaten naar de nieuwste versie van Tails, met versienummer 3.11, kan via Tails.boum.org. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht die meerdere kwetsbaarheden verhelpt en alle door Symantec uitgegeven tls-certificaten blokkeert, wat voor waarschuwingen op sommige websites kan zorgen. Het gaat om de certificaten die websites gebruiken voor het opzetten van een beveiligde verbinding en om zich tegenover gebruikers te identificeren. Symantec maakte bij het uitgeven van tls-certificaten verschillende fouten waarop browserontwikkelaars besloten om het vertrouwen in de certificaten van het bedrijf op te zeggen. Wanneer een browser een niet vertrouwd certificaat tegenkomt krijgen gebruikers een waarschuwing te zien. Om de overlast voor websites en internetgebruikers te beperken werd besloten om de blokkade gefaseerd door te voeren. Eerst werden alle Symantec-certificaten die voor 1 juli 2016 zijn uitgegeven niet meer vertrouwd. Met de lancering van Firefox 64 heeft Mozilla besloten om ook alle resterende certificaten te blokkeren. Eerder besloot Google Chrome deze maatregel door te voeren. Uit onderzoek van begin oktober bleek dat meer dan 3.000 Nederlandse websites nog van Symantec-certificaten gebruikmaakten. Bij een certificaatwaarschuwing van de browser kunnen gebruikers de achterliggende website nog steeds bezoeken, maar dit wordt afgeraden omdat het bijvoorbeeld om een man-in-the-middel-aanval zou kunnen gaan. Verder heeft Mozilla met de nieuwe Firefox-versie 11 beveiligingslekken in de browser gepatcht. Twee van deze kwetsbaarheden zijn als ernstig beoordeeld. Een aanvaller kan bij dergelijke kwetsbaarheden in het ergste geval een systeem volledig overnemen. Alleen het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie is in dit geval voldoende. Er is geen verdere interactie van de gebruiker vereist. Updaten naar Firefox 64 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Nederland is een belangrijke aanbieder van servers waar het Tor-anonimiteitsnetwerk gebruik van maakt. Dat laat het Tor Project weten, de organisatie die voor het netwerk verantwoordelijk is. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo'n 500 van deze servers staan in Nederland, waarmee we op de vierde plek staan van landen die Tor-servers hosten. Alleen in Duitsland, de Verenigde Staten en Frankrijk staan meer Tor-servers. Als er een overzicht wordt gemaakt op basis van de hoeveelheid verkeer die elke Tor-server in een bepaald land aankan staat Nederland op de derde plek en is Duitsland nog steeds koploper. Volgens Iain Learmonth van het Tor Project is het analyseren en meten van het netwerk van essentieel belang om de gezondheid en diversiteit van het Tor-netwerk in kaart te brengen. Dit helpt bij het reageren op overheidscensuur en het aanpassen van Tor Browser en andere apps op veranderende netwerkomstandigheden. Learmonth merkt daarbij op dat het analyseren van een anonimiteitssysteem met grote voorzichtigheid moet worden gedaan, zodat de privacy van gebruikers geen risico loopt en de cijfers nuttig zijn voor onderzoekers en ontwikkelaars. bron: security.nl

Tijdens de laatste patchdinsdag van 2018 heeft Microsoft een kwetsbaarheid in de Windows-kernel gepatcht die actief werd aangevallen voordat er een beveiligingsupdate beschikbaar was. Via het beveiligingslek kon een aanvaller die al toegang tot een systeem had zijn rechten verhogen. In totaal werden er 39 kwetsbaarheden gedicht, waarvan er 10 als ernstig zijn aangemerkt. Het aangevallen beveiligingslek in de Windows-kernel werd in oktober door anti-virusbedrijf Kaspersky Lab ontdekt en op 29 oktober aan Microsoft gerapporteerd. Volgens de virusbestrijder maken verschillende groepen misbruik van de kwetsbaarheid. Het beveiligingslek geeft een aanvaller de mogelijkheid om zijn rechten op een al gecompromitteerd systeem te verhogen en code in kernelmode uitvoeren. Het lek is echter ook te combineren met andere kwetsbaarheden waardoor het mogelijk zou zijn om een remote aanval tegen internetgebruikers uit te voeren en uit de sandbox van browsers zoals Google Chrome en Microsoft Edge te ontsnappen. Verder is er een kwetsbaarheid in het .NET Framework opgelost waardoor een denial of service mogelijk was. Details over dit beveiligingslek waren al voor het verschijnen van de beveiligingsupdate bekend, maar volgens Microsoft is er geen misbruik van gemaakt. Overige gepatchte beveiligingslekken bevonden zich onder andere in Internet Explorer, Microsoft Edge, Windows, Microsoft Office, ChakraCore, Microsoft Exchange Server en Microsoft Visual Studio. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Adobe heeft beveiligingsupdates voor Adobe Reader en Acrobat uitgebracht die in totaal 87 kwetsbaarheden verhelpen, waarvan er 39 als ernstig zijn aangemerkt. Het is daarmee de op twee na grootste patchronde in de geschiedenis van de pdf-lezers. In juli van dit jaar zette Adobe een nieuw "record" met een update voor 104 beveiligingslekken in Adobe Acrobat en Reader. Twee jaar eerder verscheen er een patch voor 92 kwetsbaarheden. Via de beveiligingslekken kan een aanvaller in het ergste geval volledige controle over een systeem krijgen. Alleen het openen van een kwaadaardige pdf-document is in dit geval voldoende. De resterende kwetsbaarheden zijn door Adobe als "belangrijk" bestempeld en maakten het mogelijk om informatie te achterhalen. Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.010.20064, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30110, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30461 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken. bron: security.nl

Bij een extern onderzoek naar oudere en nieuwe moederborden van Supermicro zijn geen aangepaste malafide chips aangetroffen, zo heeft de hardwarefabrikant in een brief aan klanten laten weten. Mediabedrijf Bloomberg zorgde in oktober voor grote ophef door te beweren dat het Chinese leger erin was geslaagd om aangepaste chips op moederborden van Supermicro te plaatsen die als backdoor fungeren. De moederborden werden vervolgens gebruikt voor servers die onder andere bij Apple en Amazon zouden zijn aangetroffen. Apple, Amazon en Supermicro ontkenden het verhaal. De hardwarefabrikant voerde meteen een eigen onderzoek uit waarbij geen aangepaste chips werden aangetroffen. Daarnaast liet het bedrijf een onderzoek door een extern onderzoeksbureau uitvoeren. Ook dat onderzoek heeft geen bewijs voor aangepaste hardware opgeleverd. Supermicro heeft klanten nu over de onderzoeksbevindingen ingelicht, zo meldt persbureau Reuters. Bij het onderzoek werden moederborden getest die op dit moment worden verkocht en die in het verleden aan Apple en Amazon zijn geleverd, aldus bronnen. Ook de software en ontwerpbestanden werden gecontroleerd. Supermicro heeft het verhaal van Bloomberg altijd ontkend en stelt dat de uitkomsten van het externe onderzoek geen verrassing zijn. Amazon, Apple en Supermicro riepen Bloomberg in oktober op om het verhaal in te trekken, aangezien er geen bewijs voor de aangepaste chips is getoond. Volgens een bron zou Supermicro ook nog naar juridische opties kijken. bron: security.nl

De privégegevens van 52,5 miljoen gebruikers van het sociale netwerk Google Plus waren door een fout in een programmeerinterface (API) voor apps en ontwikkelaars toegankelijk, zo heeft Google bekendgemaakt. Het probleem werd veroorzaakt door een fout in een software-update die in november werd geïntroduceerd. Een week na de introductie werd het probleem door Google zelf gevonden en verholpen. Via de fout konden apps profielgegevens van gebruikers opvragen die niet openbaar waren. Daarnaast hadden de apps toegang tot profielgegevens die gebruikers met elkaar hadden gedeeld, maar niet openbaar hadden gemaakt. Volgens Google zijn er geen aanwijzingen dat apps of ontwikkelaars misbruik van de fout hebben gemaakt. Google gaat alle getroffen gebruikers informeren. In oktober bleek dat Google een ander datalek in het sociale netwerk had verzwegen dat 500.000 gebruikers raakte. Vanwege dit datalek werd besloten om Google Plus voor eindgebruikers in augustus 2019 te sluiten. Google stelt dat het nieuwe datalek aanleiding is om deze datum naar april 2019 te vervroegen. Tevens zullen in de komende 90 dagen alle programmeerinterfaces uit de lucht worden gehaald. bron: security.nl

Chinese autoriteiten hebben een 22-jarige verdachte gearresteerd die verantwoordelijk zou zijn voor de uitbraak van WeChat ransomware in China. De man is op 5 december In Dongguan in het zuiden van China opgepakt. Hij wordt ervan verdacht ransomware te hebben gemaakt en verspreid. Meer dan 100.000 computers in China zijn besmet geraakt, meldt de Chinese omroep CGTN. De ransomware is onderzocht door het Chinese cybersecuritybedrijf Huorong Security. De malware was aanvankelijk verstopt in een populair Chinees softwarepakket voor programmeurs en zou vervolgens in ongeveer 50 programma's zijn ingebouwd. Als een van die programma's werd geïnstalleerd, werden alle .gif, .temp en .exe-bestanden op de pc van het slachtoffer versleuteld. Ook werden login-gegevens van diverse Chinese internetdiensten gestolen. De ransomware dankt zijn naam aan de manier waarop het losgeld betaald moet worden. Het slachtoffer moet omgerekend 14 euro betalen om de bestanden weer terug te krijgen. Het bedrag kan met behulp van een QR-code via de betaaldienst WeChat van het bedrijf Tencent betaald worden. De man liep tegen de lamp omdat de QR-code is verbonden aan een persoonlijk account. Medewerkers van Tencent hebben de verdachte op die manier kunnen identificeren en de gegevens aan de politie overhandigd. bron: security.nl

De officiële Linux-website linux.org is afgelopen vrijdag enige tijd gecompromiteerd geweest. De beheerder Mike McLagan wijt het incident aan openbare whois-informatie het ontbreken van tweefactor-authenticatie op zijn domein beheerdersaccount. Een cybervandaal wist afgelopen vrijdag in te breken op het registrar-account van McLagan bij Network Solutions. Daar wist de vandaal de DNS-gegevens van linux.org aan te passen en om te leiden naar een eigen website. Bezoekers van de Linux-site kregen vrijdag enige uren de boodschap 'G3T 0WNED L1NUX N3RDZ' te zien, inclusief een onsmakelijke foto en een protest tegen transgenders, waarschijnlijk omdat een van de Linux-ontwikkelaars transgender is. Tegenover The Register verklaart McLagan dat de data op de server onaangetast is. Wel werden naast linux.org ook linux.com, linuxonline.com en linuxhq.com offline gehaald door de hacker. McLagan wijt het incident onder meer aan de openbare whois-gegevens waarin een e-mailadres van de administratief beheerder staat. Hij vermoedt dat de hacker is binnengedrongen in die Yahoo-mailbox die in de whois staat en zo een nieuw wachtwoord bij Network Solutions-accounts heeft aangevraagd. McLagan steekt de hand ook in eigen boezem en zegt dat met het gebruik van multifactor-authenticatie dit nooit zou zijn gebeurd. bron: security.nl