Captain Kirk

Amazon: geen aangepaste chips of hardware aangetroffen Na Apple heeft ook Amazon een uitgebreide verklaring op de eigen website geplaatst waarin het het verhaal van Bloomberg over malafide microchips op Supermicro-moederborden ontkent. De publicatie bevat teveel fouten om te tellen, zegt Steve Schmidt, Amazons Chief Information Security Officer. Het verhaal van Bloomberg begon over Amazon dat in 2015 een bedrijf genaamd Elemental wilde overnemen. Elemental ontwikkelt software en servers voor het comprimeren en omzetten van videobestanden. Tijdens een onderzoek naar deze servers zouden malafide microchips zijn aangetroffen waardoor aanvallers het systeem op afstand hadden kunnen overnemen. De chips zouden door het Chinese leger zijn ontwikkeld en tijdens de productie van de Supermicro-moederborden, waarvan de servers gebruikmaakten, zijn toegevoegd. Volgens Amazon heeft het nog nooit in de eigen systemen en die van Elemental die van Supermicro-moederborden gebruikmaken problemen aangetroffen met betrekking tot aangepaste hardware of malafide chips. Ook is Amazon niet betrokken bij een onderzoek van de Amerikaanse overheid naar malafide microchips. Het verhaal van Bloomberg stelt verder dat na ontdekking van de malafide microchips in de Elemental-server, Amazon alle in gebruik zijnde Supermicro-moederborden liet onderzoeken en daarbij malafide chips in een Chinees datacentrum vond. Ook deze bewering is niet waar, aldus de techgigant. "De eerste en meest voor de hand liggende reden is dat we nooit aangepaste hardware of malafide chips in de servers van Elemental hebben gevonden. Daarnaast hebben we nog nooit aangepaste hardware of malafide chips in de servers in onze datacentra aangetroffen. De vermelding dat we de hardware en het datacentrum in China aan onze partner Sinnet verkochten omdat we van onze Supermicro-servers af wilden is absurd", stelt Schmidt. Eerder vandaag meldde het Britse National Cyber Security Centre dat het niet aan de beoordelingen van Apple en Amazon twijfelt bron: security.nl

Britse overheid achter Apple in verhaal over malafide microchips De Britse overheid heeft zich achter Apple geschaard in het verhaal over vermeende malafide microchips op moederborden van Supermicro. Bloomberg Businessweek kwam gisteren met het verhaal dat moederborden van Supermicro van een malafide microchip waren voorzien waardoor aanvallers op afstand toegang tot systemen konden krijgen. Deze chip zou door het Chinese leger zijn ontwikkeld en toegevoegd. De moederborden werden voor servers gebruikt die vervolgens bij bijna 30 bedrijven werden aangetroffen, waaronder Amazon en Apple. Beide bedrijven ontkenden de berichtgeving en krijgen nu bijval van het Britse National Cyber Security Centre (NCSC). "We zijn bekend met de mediaberichten, maar hebben op dit moment geen reden om te twijfelen aan de uitgebreide assessments van Amazon en Apple", zo laat het NCSC tegenover Reuters weten. De organisatie roept beveiligingsonderzoekers op om eventuele informatie over de berichtgeving te delen. Apple heeft inmiddels op de eigen website een uitgebreide verklaring gepubliceerd waarin het laat weten dat het verhaal van Bloomberg niet klopt. Ook laat het bedrijf weten dat het een dergelijk incident, mocht het zich voordoen, openbaar zou maken. Verder stelt Apple dat het niet bekend is met een onderzoek van de FBI naar de malafide microchips, zoals Bloomberg ook vermeldde. Sommige journalisten vroegen zich af of de Amerikaanse overheid Apple een zwijgbevel had opgelegd om niet over het voorval te praten, maar daar is geen sprake van, aldus het bedrijf. bron: security.nl

De anti-virussoftware van Avast gaat cryptominers voortaan als tool of malware classificeren, afhankelijk van het gedrag van het programma. Volgens de virusbestrijder is cryptomining zo ongeremd aan het groeien dat het de richtlijnen heeft aangepast hoe cryptominers worden beoordeeld. Cryptominers gebruiken de rekenkracht van de computer om cryptovaluta te delven. Het kan zijn dat gebruikers hiervoor hun systeem willen gebruiken, maar het komt ook voor dat cybercriminelen besmette systemen hiervoor inzetten, zonder dat de legitieme eigenaar dit weet. Voortaan zullen de virusscanners van Avast een cryptominer als malware of tool bestempelen, afhankelijk van het gedrag. Zo moeten cryptominers duidelijk toestemming aan gebruikers vragen en over accepteren of weigeren knoppen beschikken. Verder kan het cryptominen na de installatie pas beginnen als de gebruiker hier toestemming voor heeft gegeven. Ook moeten gebruikers opnieuw hun toestemming geven als de gebruiksvoorwaarden van de cryptominer veranderen. Het gaat zowel om cryptominers die op een systeem worden geïnstalleerd, als cryptominers die in de browser van een computer draaien. bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft een nieuwe versie van de privacyplug-in Privacy Badger uitgebracht die een manier blokkeert waarop Google gebruikers volgt. Het gaat om een techniek genaamd link-tracking. Hierdoor ziet Google wanneer een gebruiker een link binnen een Google-product opent. Als gebruikers via de zoekmachine van Google zoeken toont Google een lijst met zoekresultaten. De links van deze zoekresultaten lijken normaal en naar de betreffende website te wijzen. Wanneer gebruikers echter op een link klikken wordt er eerst een verzoek naar google.com verstuurd zodat Google weet waar de gebruiker precies vandaan komt en naar welke website hij gaat. Zo kan Google niet alleen zien waar gebruikers op zoeken, maar ook welke links ze openen. De internetgigant gebruikt hiervoor verschillende technieken om deze vorm van tracking mogelijk te maken. Google gebruikt link-tracking niet alleen binnen de zoekmachine, maar ook bij andere producten zoals Hangouts en Google Docs waar gebruikers bijvoorbeeld privégesprekken voeren. "Zodoende kan Google zien of en wanneer je vriend, gezinslid of collega een link opent die je hen hebt gestuurd", zegt Bennett Cyphers van de burgerrechtenbeweging. De nieuwste versie van Privacy Badger blokkeert link-tracking in de zoekmachine, Hangouts en Google Docs. Eerder blokkeerde de plug-in deze trackingtechniek ook al op Facebook en Twitter. bron: security.nl

Het afgelopen jaar heeft Google negen beveiligingslekken in Safari aangetroffen via een tool die het zelf publiekelijk maakte. Een jaar geleden liet de internetgigant weten dat het 31 beveiligingslekken in verschillende browsers had aangetroffen via een tool genaamd Domato. De tool richt zich op het Document Object Model (DOM) van de browser. Het DOM is een programmeerinterface voor html- en xml-documenten. Het definieert de logische structuur van documenten en de manier waarop een document wordt benaderd en gemanipuleerd. DOM-engines in browsers zijn een voorname bron van beveiligingslekken, zo liet Ivan Fratric van Google destijds weten. Veel van deze kwetsbaarheden zijn via zogeheten fuzzers te vinden. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Naast het openbaar maken van de onderzoeksresultaten publiceerde Google ook de Domato-fuzzer. Nu een jaar verder heeft Fratric opnieuw onderzoek gedaan. Daarbij werd er specifiek gekeken naar Safari. Van de 31 kwetsbaarheden die Google vorig jaar openbaarde bevonden zich er 17 in Safari. De onderzoeker wilde dan ook kijken of er een jaar later iets veranderd was. Wederom werd er met Domato getest. De tool werd 100.000.000 gedraaid, wat uiteindelijk negen unieke beveiligingslekken in Safari opleverde die aan Apple werden gerapporteerd. De rekenkracht die voor het onderzoek was vereist kost naar schatting 1000 dollar. "Een bedrag dat voor een grote verscheidenheid aan hackers met verschillende motivaties betaalbaar is", aldus de onderzoeker in een analyse. "Apple misleidt met beveiligingsbulletins" De negen kwetsbaarheden werden tussen 15 juni en 2 juli van dit jaar aan Apple gerapporteerd. Op 17 september verscheen er een beveiligingsupdate voor iOS, tvOS en Safari. Fratric hekelt het feit dat Apple de kwetsbaarheden in eerste instantie niet in deze beveiligingsbulletins vermeldde. Dit gebeurde een week later nadat ook de beveiligingsupdate voor macOS verscheen waarin de problemen waren verholpen. "Dit is misleiding, omdat klanten die in Apple-beveiligingsbulletins zijn geïnteresseerd ze waarschijnlijk één keer lezen en dan het idee krijgen dat de updates veel minder en minder ernstige kwetsbaarheden verhelpen dan eigenlijk het geval is", zo stelt Fratric. Ook hekelt de onderzoeker het feit dat Apple niet altijd tegelijkertijd updates voor iOS en macOS uitbrengt, waardoor gebruikers van het ene platform risico kunnen lopen. bron: security.nl

Aanvallers hebben in 2015 een officiële website van computerfabrikant Supermicro gehackt en gebruikt voor het verspreiden van besmette firmware, zo meldt Bloomberg Businessweek en is bevestigd door Apple en Facebook. Het ging om firmware voor de netwerkkaarten die op de moederborden van Supermicro aanwezig zijn. Via de aangepaste code hadden aanvallers de communicatie van een server kunnen overnemen, aldus het bericht. Zowel Apple als Facebook stellen dat systemen met de besmette firmware nooit voor productiedoeleinden zijn ingezet. Vanwege de besmette firmware besloot Apple de relatie met Supermicro te verbreken. Verder laat een bron aan Bloomberg weten dat Apple verschillende Supermicro-servers had ontvangen waarvan de netwerkkaarten verouderde firmware draaiden. Deze netwerkkaarten bevatten een ernstig beveiligingslek dat in nieuwere firmware-versies was verholpen. Aanvallers hadden van deze kwetsbaarheid misbruik kunnen maken. De bevestiging van Apple staat lijnrecht over een eerdere verklaring een jaar geleden. Toen ontkende het bedrijf nog dat er in servers van fabrikant Supermicro die Apple gebruikte besmette firmware was aangetroffen. Ook ontkende Apple dat er in het ontwerplab servers met besmette firmware zouden zijn gebruikt en dat deze firmware afkomstig was van de website van Supermicro. Gisteren kwam Bloomberg al met een verhaal over een kwaadaardige microchip die aan de moederborden van Supermicro was toegevoegd. De servers met deze microchip, waardoor aanvallers op afstand toegang tot de systemen hadden kunnen krijgen, zouden bij bijna 30 bedrijven zijn aangetroffen, waaronder Apple en Amazon. Beide bedrijven ontkenden dit. Bloomberg verklaarde vervolgens dat het zich op 17 bronnen had gebaseerd die de aanwezigheid van de microchip en een onderzoek door de Amerikaanse overheid hiernaar bevestigden. bron: security.nl

Facebook heeft besloten gebruikers langer te laten wachten voordat hun account wordt verwijderd. Zodra een gebruiker zijn account opheft hanteerde de sociale netwerksite altijd een afkoelperiode van 14 dagen voordat het begon met het verwijderen van een account en bijbehorende data. Deze periode is nu naar 30 dagen verlengd. In deze periode kunnen gebruikers nog op hun beslissing terugkomen. Een woordvoerder van Facebook laat tegenover The Verge weten dat het mensen zag inloggen na de afkoelperiode van 14 dagen. Mogelijk ging om het gebruikers die wilden controleren of hun account ook daadwerkelijk was opgeheven. Door de periode te verlengen kunnen gebruikers volgens de woordvoerder een "beter geïnformeerde keuze" maken. Het inloggen op een Facebookaccount tijdens de afkoelperiode zorgt er niet voor dat het account automatisch wordt hersteld. Wel krijgen gebruikers de optie om hun verzoek te annuleren. Het verstrijken van de afkoelperiode houdt niet in dat ook meteen alle Facebookdata weg is. "Het kan tot maximaal negentig dagen duren vanaf de start van het verwijderproces voordat alle dingen die je hebt geplaatst, zijn verwijderd. Terwijl we deze gegevens verwijderen, zijn deze niet toegankelijk voor andere Facebook-gebruikers", zo laat de sociale netwerksite weten. bron: security.nl

De Belgische onderzoeker Mathy Vanhoef die vorig jaar het wereldnieuws haalde met de KRACK-aanval tegen WPA2 heeft een verbeterde versie ontwikkeld. Via de KRACK-aanval kan een aanvaller met WPA- en WPA2-beveiligd wifi-verkeer ontsleutelen en manipuleren. Veel leveranciers brachten vanwege de aanval beveiligingsupdates uit. Daarop besloot Vanhoef te onderzoeken of de producten wel goed geupdatet waren om aanvallen te voorkomen. Uit het onderzoek bleek dat de meeste leveranciers hun producten goed hadden geupdatet, maar dat aanvallen in bepaalde gevallen nog steeds mogelijk waren. Daarnaast heeft hij een methode ontdekt om de officiële verdediging van wifi tegen KRACK te omzeilen, waardoor een aanvaller broadcast en multicast frames opnieuw kan afspelen. Tevens heeft de onderzoeker een verbeterde versie van de aanval ontwikkeld die het eenvoudiger en effectiever moet maken om ongepatchte wifi-apparaten aan te vallen. Vanhoef stelt dat de meeste leveranciers inmiddels ook nieuwe updates hebben uitgebracht om gebruikers te beschermen. Ook zouden de ontwikkelde technieken een kleine impact in de praktijk hebben. Gebruikers hoeven zich dan ook geen zorgen te maken als ze hun apparaten up-to-date houden. "Toch is ons onderzoek een goede reminder dat het patchen van kwetsbaarheden in de praktijk lastig kan zijn en dat we moeten blijven controleren of onze apparaten wel goed zijn geüpdatet", aldus Vanhoef. De onderzoeker heeft een nieuw onderzoeksrapport geschreven dat over twee weken tijdens de Computer and Communications Security (CCS)-conferentie in Toronto zal worden gepresenteerd. Dit rapport beschrijft ook hoe bepaalde kwetsbaarheden zijn aan te vallen die vorig jaar al werden geopenbaard, maar die destijds niet in detail zijn besproken. Vanhoef heeft inmiddels ook een nieuwe website genaamd krackattacks.com voor het vervolgonderzoek gelanceerd. Daarop laat hij weten dat ondanks alle aandacht voor de KRACK-aanval, het erop lijkt dat maar weinig mensen er misbruik van maken. Dat zou door twee redenen zijn te verklaren. Door de samenwerking met fabrikanten op het moment van de aankondiging waren veel apparaten al gepatcht. Daarnaast maakte de onderzoeker geen aanvalstools beschikbaar, wat het lastig voor anderen maakt om de aanval in de praktijk uit te voeren. Ondanks het uitbrengen van updates blijken veel Android-toestellen nog steeds kwetsbaar te zijn omdat die geen updates meer ontvangen. bron: security.nl

Er is een belangrijke beveiligingsupdate voor Firefox en Tor Browser verschenen die twee ernstige kwetsbaarheden verhelpt waardoor een aanvaller in het ergste geval code op het systeem had kunnen uitvoeren. Alleen het bezoeken van een gehackte of kwaadaardige website zou hiervoor voldoende zijn geweest. Mozilla stelt dat een aanvaller via ernstige beveiligingslekken code kan uitvoeren en software kan installeren zonder interactie van de gebruiker op het bezoeken van een website na. Via de nu verholpen kwetsbaarheden zou het uitvoeren van willekeurige code in een gesandboxt contentproces mogelijk zijn geweest, aldus de omschrijving. Mozilla heeft de kwetsbaarheden verholpen in Firefox 62.0.3 en Firefox ESR 60.2.2. Aangezien Tor Browser op Firefox is gebaseerd is ook hiervan een nieuwe versie verschenen, namelijk Tor Browser 8.0.2. Updaten kan via de automatische updatefunctie of via de websites van Mozilla of het Tor Project. bron: security.nl

Mozilla heeft een nieuwe versie van de mobiele privacybrowser Firefox Focus uitgebracht. Firefox Focus blokkeert standaard advertenties en trackers en maakt het mogelijk om met een druk op de knop alle gegevens van de browsesessie te wissen. De nieuwe versie bevat verschillende cosmetische aanpassingen, alsmede nieuwe features en in het geval van de Android-versie zelfs een geheel nieuwe engine. Zo hebben gebruikers nu de mogelijkheid om zoeksuggesties in te schakelen. Hierbij wordt hetgeen dat de gebruiker in de adresbalk intikt naar de ingestelde zoekmachine gestuurd, die vervolgens verschillende suggesties terugstuurt. Vanwege privacyredenen staat de feature echter standaard uitgeschakeld. De grootste aanpassing is echter in de Android-versie doorgevoerd. Deze versie beschikt nu over een geheel eigen engine en is niet meer afhankelijk van Androids WebView. De nieuwe engine heet GeckoView en is door Mozilla zelf ontwikkeld. Volgens de browserontwikkelaar zorgt GeckoView ervoor dat er allerlei nieuwe privacyfeatures aan Firefox Focus kunnen worden toegevoegd. bron: security.nl

Microsoft heeft de Windows 10 October 2018 Update uitgebracht, de tweede grote feature-update voor Windows 10 van dit jaar die extra privacyinstellingen en beveiligingsverbeteringen introduceert. Zo kunnen gebruikers op een gedeelde Windows 10-computer nu de primaire privacyinstellingen zelf kiezen. Voorheen werd de keuze die de eerste gebruiker bij de installatie maakte voor alle latere accounts doorgevoerd. Verder kunnen gebruikers via een opt-in ervoor kiezen om hun activiteitsgeschiedenis naar Microsoft te sturen. Op het gebied van security bevat de October 2018 Update ook verschillende aanpassingen. Edge ondersteunt nu Web Authentication, waardoor gebruikers zonder wachtwoorden op websites kunnen inloggen. In plaats van een wachtwoord kan er gebruik worden gemaakt van Windows Hello of een usb-beveiligingssleutel. Gebruikers van Azure Active Directory en Active Directory die met Windows Hello for Business werken kunnen zich nu via biometrische kenmerken op een remote desktop authenticeren. Het Windows Defender Security Center is omgedoopt naar Windows Security en er zijn aanpassingen doorgevoerd aan de Controlled folder-functie die tegen ransomware bescherming moet bieden en de weergave van informatie over dreigingen op het systeem. De Windows 10 October 2018 Update verplicht het daarnaast voor anti-virussoftware om als een beveiligd proces te draaien. Een beveiligd proces staat alleen vertrouwde, gesigneerde code toe en heeft ingebouwde bescherming tegen aanvallen waarbij wordt geprobeerd om code in het proces te injecteren. Dit moet de Windows-kernel beschermen tegen aanvallen die op systeemkritieke onderdelen zijn gericht. Virusscanners bevinden zich diep in het besturingssysteem en een kwetsbaarheid of aanval kan dan ook vergaande gevolgen hebben. Op het gebied van updates heeft Microsoft ook verschillende veranderingen doorgevoerd. Zo zullen toekomstige maandelijkse updates sneller en eenvoudiger kunnen worden uitgerold en zullen de updates een veel kleinere omvang hebben. Verder zal de installatie van grote feature-updates minder tijd in beslag nemen. De Windows 10 October 2018 Update kan handmatig worden geïnstalleerd en zal vanaf 9 oktober via de automatische updatefunctie worden aangeboden. bron: security.nl

Aangezien er geen reactie meer komt op dit topic, trekken we hieruit de conclusie dat het opgelost is en sluiten we dit topic af. Mocht je het topic - om één af andere reden - terug heropend wil zien, stuur dan een PB (persoonlijk bericht) naar één van de moderatoren.

Ik ben even op zoek gegaan maar kan niet veel vinden over hoe je de settings kunt aanpassen in de ap. Het enige wat te vinden is, gaat over How To Save A Video In Windows Movie Maker HD 1080P. Ik weet niet of dit hetzelfde programma is. Is er uberhaubt een mogelijkheid om ergens iets in de ap in te stellen?

Aangezien er geen reactie meer komt op dit topic, trekken we hieruit de conclusie dat het opgelost is en sluiten we dit topic af. Mocht je het topic - om één af andere reden - terug heropend wil zien, stuur dan een PB (persoonlijk bericht) naar één van de moderatoren.

Aangezien er geen reactie meer komt op dit topic, trekken we hieruit de conclusie dat het opgelost is en sluiten we dit topic af. Mocht je het topic - om één af andere reden - terug heropend wil zien, stuur dan een PB (persoonlijk bericht) naar één van de moderatoren.

Door een aanval op Facebook zijn bijna 50 miljoen gebruikers getroffen, zo heeft de sociale netwerksite vandaag bekendgemaakt. De aanvallers maakten misbruik van een kwetsbaarheid in de "weergeven als" feature, waarmee gebruikers kunnen zien hoe hun profiel er voor iemand anders uitziet. Via het beveiligingslek, dat door drie verschillende bugs werd veroorzaakt, wisten de aanvallers zogeheten toegangstokens te stelen, waarmee ze de accounts van gebruikers hadden kunnen overnemen. Via een toegangstoken blijven gebruikers op Facebook ingelogd, zonder dat ze elke keer bij het gebruik van de app opnieuw moeten inloggen. Naar aanleiding van de aanval heeft Facebook van de bijna 50 miljoen getroffen gebruikers de toegangstokens gereset. Ook is dit uit voorzorg bij 40 miljoen andere accounts gedaan omdat de "weergeven als" feature ook bij hen is toegepast. Daardoor moeten zo'n 90 miljoen mensen opnieuw op Facebook inloggen of op de apps die van Facebook Login gebruikmaken. Zodra deze gebruikers opnieuw zijn ingelogd krijgen ze een melding van Facebook te zien waarin het incident wordt gemeld. De sociale netwerksite heeft verder besloten om de "weergeven als" feature gedurende een onderzoek tijdelijk uit te schakelen. Facebook stelt dat het onderzoek net begonnen is en het nog niet is vastgesteld of de aanvallers misbruik van de accounts hebben gemaakt of dat er toegang tot andere informatie is verkregen. Mochten er meer accounts getroffen zijn dan zullen ook van deze accounts de tokens worden gereset. bron: security.nl

De in Windows 10 ingebouwde virusscanner Windows Defender is weer uitgeroepen tot "top product" in een nieuwe anti-virustest van het Duitse testlab AV-Test. De anti-viruspakketten werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 275 "zero-day" malware-exemplaren en bijna 20.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 100 procent gehaald. Ook de test met de 20.000 exemplaren leverde een gemiddelde detectiescore van 100 procent op. Zestien virusscanners weten op dit onderdeel de maximale 6 punten te halen, gevolgd door twee scanners met respectievelijk 5,5 en 5 punten. Deze virusscanners weten geen 100 procent score neer te zetten. De in Windows 10 ingebouwde gratis virusscanner Windows Defender detecteert in beide tests wel 100 procent van de malware en scoort de maximale 6 punten. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Acht pakketten halen de maximale 6 punten. Windows Defender komt op 5,5 punten uit. K7 en PC Pitstop eindigen met elk 4,5 punten onderaan. Als laatste onderdeel, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Acht pakketten halen op dit onderdeel de maximale 6 punten, waaronder Windows Defender. PC Pitstop eindigt met 2,5 punten onderaan. Uiteindelijk weten Avira, Bitdefender Kaspersky Lab, McAfee en Vipre de maximale 18 punten te scoren, gevolgd door zes pakketten, waaronder Windows Defender, met 17,5 punten. AV-Test beoordeelt anti-viruspakketten met 17,5 punten of meer als 'Top product'. De laatste plek is voor PC Pitstop met 12,5 punten. Bij de vorige test van AV-Test wist Windows Defender voor het eerst als 'top product' uit de bus te komen. bron: security.nl

Google-zusterbedrijf Chronicle heeft een zakelijke versie van VirusTotal gelanceerd. Via VirusTotal kunnen gebruikers verdachte bestanden door de engines van zo'n 60 verschillende anti-virusprogramma's laten scannen. Vervolgens wordt er allerlei informatie over het bestand weergegeven. VirusTotal Enterprise biedt naast de standaardfunctionaliteit van VirusTotal ook allerlei aanvullende features. Zo kunnen gebruikers naar bepaalde malware-exemplaren zoeken, relaties tussen malaware analyseren en private verbanden weergeven. Normaliter geeft VirusTotal een overzicht weer van verbanden tussen malware en domeinen en zijn die voor iedereen zichtbaar. De private versie hiervan genaamd "Private Graph" laat gebruikers hun eigen interne infrastructuur weergeven en houdt deze informatie privé, aldus Chronicle. Dit is het securitybedrijf dat eerder dit jaar door Alphabet, het moederbedrijf van Google, werd gelanceerd. VirusTotal Enterprise is een nieuwe dienst die door Chronicle wordt aangeboden. De Private Graph kan bijvoorbeeld worden gebruikt bij onderzoek naar interne beveiligingsincidenten. Verder zou het via VirusTotal Enterprise mogelijk zijn om honderd keer sneller te zoeken en wordt er ook nauwkeuriger gezocht. Tevens is de malware-analyse uitgebreid en worden er meer details weergegeven, zoals embedded domeinen, ip-adressen en andere zaken. bron: security.nl

De FBI heeft een waarschuwing afgegeven voor aanvallen via het Remote Desktop Protocol (RDP). Volgens de Amerikaanse opsporingsdienst is er sinds eind 2016 een toename van aanvallen via RDP en hebben aanvallers manieren gevonden om kwetsbare RDP-sessies te vinden, om zo inloggegevens te stelen en ransomware te verspreiden. Via het Remote Desktop Protocl is het mogelijk om op afstand op een systeem in te loggen. De FBI stelt dat aanvallers gebruikmaken van zwakke wachtwoorden en verouderde RDP-versies om toegang tot systemen te krijgen. De aanvallers worden daarbij geholpen doordat beheerders onbeperkte toegang tot de standaard RDP-poort (tcp-poort 3389) mogelijk maken en het aantal inlogpogingen per gebruiker niet beperken. Zodra de aanvallers op een systeem weten in te loggen proberen ze het achterliggende netwerk aan te vallen. Een bekend voorbeeld is de SamSam-ransomware. Deze ransomware wordt bij gerichte aanvallen ingezet en kan grote gevolgen voor getroffen organisaties hebben. De FBI meldt dat de aanvallers achter SamSam in juli via een bruteforce-aanval de RDP-inloggegevens van een gezondheidsbedrijf wisten te achterhalen en zo toegang tot het bedrijfsnetwerk kregen en duizenden machines versleutelden. Om dergelijke aanvallen te voorkomen krijgen zowel bedrijven als eindgebruikers het advies om te controleren of ze RDP hebben ingeschakeld. Indien niet nodig moet de dienst worden uitgeschakeld. Verder moeten beheerders sterke wachtwoorden en een lockout policy instellen om bruteforce-aanvallen tegen te gaan. Ook wordt het gebruik van tweefactorauthenticatie en RDP-logging aangeraden en het beperken van toegang tot RDP-verbindingen. bron: security.nl

Wereldwijd zijn meer dan 200.000 MikroTik-routers geïnfecteerd geraakt met malware die in het http-verkeer van aangesloten apparaten een cryptominer injecteert. De cryptominer gebruikt vervolgens de rekenkracht van deze apparaten voor het delven van cryptovaluta. De MikroTik-routers worden geïnfecteerd via een beveiligingslek waar op 23 april van dit jaar een update voor verscheen. Hoewel de beveiligingsupdate al vijf maanden beschikbaar is hebben nog niet alle beheerders en eigenaren die geïnstalleerd. Volgens onderzoeker Troy Mursch van Bad Packets Report zijn er inmiddels meer dan 80 unieke aanvalscampagnes die naar kwetsbare routers zoeken om die vervolgens te infecteren. Sommige van deze campagnes proberen detectie te voorkomen door niet de volledige rekenkracht te gebruiken van apparaten die op de router zijn ingesloten. In plaats daarvan wordt zo'n 80 procent van de processor ingezet voor het delven van cryptovaluta zoals Monero en Electroneum. Mursch stelt dat het aantal besmette routers inmiddels de 200.000 is gepasseerd. Aanvallers kunnen de besmette routers voor veel meer zaken gebruiken dan alleen cryptomining. Eerder deze maand werden nog duizenden gehackte MikroTik-routers ontdekt die het verkeer van gebruikers naar aanvallers doorstuurden. Die kunnen zo gevoelige gegevens onderscheppen. Gebruikers van een MikroTik-router met RouterOS 6.42 of ouder krijgen dan ook het dringende advies om te updaten naar een nieuwere versie. bron: security.nl

Windows-systemen waarop handschriftherkenning is ingeschakeld slaan automatisch tekstinputs op in een bestand genaamd waitlist.dat. Dat ontdekte Digital Forensics and Incident Response (DFIR) expert Barnaby Skeggs. Het bestand is onversleuteld en kan makkelijk worden uitgelezen. Zodra de feature is ingeschakeld begint Windows met het verzamelen van toetsaanslagen en slaat deze op in het bestand waitlist.dat. Microsoft gebruikt dit bestand om woorden te voorspellen. Dit bestand wordt echter onversleuteld opgeslagen. Skeggs ontdekte dat het bestand alle teksten bevatte van e-mails en documenten die hij op z'n systeem heeft bekeken of gemaakt, "Niet alleen de bestanden die via de touchscreen-functie zijn gemaakt of geopend. De gebruiker hoeft de bestanden of e-mails niet eens te openen. Zolang er een kopie van het bestand op de schijf staat en het bestandsformaat wordt ondersteund door de Microsoft Search Indexer service," zegt Skeggs in een interview met ZDNet. Oud probleem De beveiligingsonderzoeker heeft dit probleem al twee jaar eerder aangekaart en daar een blogpost aan gewijd, maar dat kreeg destijds weinig aandacht. Vorige maand gooide Skeggs er een tweet uit waarin hij een "tip" gaf hoe het bestand gebruikt kon worden om wachtwoorden en andere gevoelige informatie te achterhalen. Omdat de data onversleuteld wordt opgeslagen, is het zeer makkelijk voor malware om het bestand te kopiëren of door te ploegen op zoek naar wachtwoorden. De onderzoeker heeft, als proof of concept twee applicaties uitgebracht waarmee het bestand kan worden geanalyseerd en teksten makkelijk kunnen worden geëxtraheerd. De eerste applicatie heeft wlrip en de tweede wlripEXE. Het gewraakte bestand is te vinden op de volgende locatie: C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\waitList.dat Deze manier van dataverzameling wordt al gedaan sinds Windows 8 en wellicht ook in oudere versies van Windows, dit is nog niet getest door de onderzoeker. Workaround Het bestand kan gewoon worden gewist. De handschriftherkenning-feature moet wel worden uitgeschakeld om te voorkomen dat het systeem direct opnieuw begint met verzamelen. Het is niet bekend of er al malware is die misbruik maakt van deze feature en/of het bestand uitleest. Ook is er geen bewijs dat deze informatie wordt verstuurd naar Microsoft. bron: webwereld.nl

Onderzoekers hebben nieuwe Internet of Things-malware ontdekt die zich net als andere exemplaren via Telnet verspreidt, maar een stuk geavanceerder is. De malware wordt Torii genoemd en ondersteunt verschillende architecturen, zoals MIPS, ARM, x86, x64, PowerPC, SuperH en Motorola 68000. De malware gebruikt zwakke of standaard wachtwoorden om via Telnet op apparaten in te loggen. Vervolgens wordt er een script uitgevoerd dat eerst de architectuur van het systeem vaststelt en dan de bijpassende malware installeert. Veel IoT-malware is via een reboot van het systeem te verwijderen, maar Torii past zes verschillende methodes toe om op het systeem actief te blijven, aldus onderzoekers van anti-virusbedrijf Avast. Verder valt de malware op omdat het maatregelen neemt die analyse moeten bemoeilijken en worden gegevens over het besmette systeem naar de aanvallers teruggestuurd. Het doel van de malware is op dit moment nog onduidelijk. De meeste Internet of Things-malware gebruikt besmette systemen voor ddos-aanvallen of het delven van cryptovaluta, maar dergelijke activiteiten zijn in het geval van Torii nog niet waargenomen. Hoeveel apparaten door Torii zijn besmet is niet bekend. De onderzoekers vonden zo'n 600 infecties, maar stellen dat dit waarschijnlijk een klein onderdeel van het totale aantal is. bron: security.nl

Onderzoekers van anti-virusbedrijf ESET hebben naar eigen zeggen voor het eerst een UEFI-rootkit ontdekt die bij een echte aanval is ingezet en het opnieuw installeren van het besturingssysteem of het vervangen van de harde schijf kan overleven. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. In het verleden hebben onderzoekers verschillende aanvallen tegen UEFI gedemonstreerd, maar volgens onderzoekers van ESET zijn UEFI-rootkits nooit eerder bij een daadwerkelijke aanval waargenomen. Eerder dit jaar waarschuwde securitybedrijf Arbor Networks dat aanvallers de anti-diefstalsoftware LoJack, ook bekend als Computrace, gebruikten om toegang tot gehackte machines te krijgen. LoJack is ontwikkeld om gestolen laptops en computers terug te vinden. De anti-diefstalsoftware bevindt zich in de firmware van de laptop of desktop en maakt het mogelijk om gestolen machines te traceren, zelfs als de harde schijf wordt geformatteerd of vervangen. Ook is het via LoJack mogelijk om op afstand code op het systeem uit te voeren. Tijdens het onderzoek naar systemen waarbij de LoJack-software was gebruikt vonden onderzoekers van ESET ook verschillende tools waarmee het mogelijk was om de UEFI-firmware van het systeem te lezen en aan te passen. In één geval bleek dat een deel van het flashgeheugen ook was uitgelezen, aangepast en opnieuw overschreven. Op deze manier hadden de aanvallers een kwaadaardige UEFI-module aan het flashgeheugen toegevoegd. Deze module kon malware tijdens het opstartproces uitvoeren. Het ging specifiek om malware die de LoJack-software als backdoor gebruikte. Door de firmware aan te passen kan de rootkit een herinstallatie van het besturingssysteem en zelfs het vervangen van de harde schijf overleven. Om een dergelijke rootkit te verwijderen zou de UEFI-firmware opnieuw moeten worden geflasht. Iets wat doorsnee gebruikers meestal niet doen, zo stellen de onderzoekers. Die merken wel op dat de UEFI-rootkit niet goed is gesigneerd. Het inschakelen van Secure Boot, dat vereist dat alle firmware-onderdelen zijn gesigneerd, had de rootkit dan ook gestopt. Volgens ESET is de rootkit waarschijnlijk ontwikkeld door een groep genaamd Fancy Bear, ook bekend als Pawn Storm, Strontium of APT28. Volgens verschillende securitybedrijven betreft het een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. bron: security.nl

Eerder dit jaar werden honderdduizenden routers en NASsen door de VPNFilter-malware geïnfecteerd, maar het is nog altijd onduidelijk hoe dit precies kon gebeuren, zo stelt Cisco. Eenmaal actief kan de malware verschillende dingen doen, zoals het stelen van inloggegevens en het onbruikbaar maken van apparaten door de firmware te overschrijven. Daarnaast kan de malware, zodra een router eenmaal is geïnfecteerd, ook computers in het achterliggende netwerk aanvallen. Cisco heeft nieuw onderzoek naar de malware gepubliceerd, waarbij de onderzoekers vooral keken naar een protocol dat MikroTik-routers gebruiken. De aanvallers hadden het voornamelijk op deze apparaten voorzien. Het nieuwe onderzoek bevestigt dat VPNFilter aanvallers de mogelijkheid bood om vanaf besmette routers en NASsen achterliggende systemen aan te vallen. Zo werd er een module ontdekt die http-verkeer op de aanwezigheid van uitvoerbare Windows-bestanden te controleren. Waarschijnlijk om die in real-time aan te passen als ze door de gebruiker werden gedownload. Een andere module die de onderzoekers vonden is waarschijnlijk ontworpen om toegang tot bepaalde versleutelde chat-applicaties te blokkeren. Ook bleken de aanvallers besmette routers als proxy te kunnen gebruiken. Eén van de belangrijkste vragen is echter nog altijd niet beantwoord, namelijk de gebruikte verspreidingsmethode. Vermoedelijk werden bekende kwetsbaarheden gebruikt, maar Cisco heeft hier nog altijd geen definitief bewijs van. De dreiging van VPNFilter is volgens de onderzoekers zo goed als geneutraliseerd. De kanalen die de aanvallers gebruikten om met besmette systemen te communiceren zijn uitgeschakeld. Daarnaast was een deel van de malware niet persistent en alleen actief in het geheugen. Waarschijnlijk zijn veel getroffen systemen dan ook opgeschoond na een reboot. Wat betreft het persistente deel van de malware zijn er geen signalen dat de aanvallers hebben geprobeerd om daarmee nog verbinding te maken. bron: security.nl

De populaire opensource-browserextensie uBlock Origin is van een nieuwe feature voorzien waarmee gebruikers alle JavaScript op een website met één knop aan en uit kunnen zetten. UBlock Origin blokkeert advertenties, trackers en domeinen die malware verspreiden. Veel websites maken gebruik van JavaScript voor het laden van advertenties en trackers. Ook voor de verspreiding van malware op gehackte websites wordt geregeld JavaScript gebruikt. De nu geïntroduceerde "JavaScript master switch" laat gebruikers eenvoudig JavaScript in- en uitschakelen en heeft voorrang boven de filterregels die zijn ingesteld. UBlock Origin is de op één na populairste Firefox-extensie met 4,7 miljoen gebruikers. Daarnaast hebben meer dan 10 miljoen Chrome-gebruikers de extensie geïnstalleerd. De JavaScript-knop is aanwezig in versie 1.17.0. bron: security.nl