Captain Kirk

Google waarschuwt Gmail-gebruikers duizenden keren per maand voor aanvallen die door een staat zijn gesteund of uitgevoerd. Het gaat dan met name om phishingaanvallen waarbij wordt geprobeerd om mensen op phishingsites te laten inloggen. Sinds 2012 laat Google een waarschuwing zien als het vermoedt dat gebruikers het doelwit zijn van door een staat gesponsorde aanvallers. De waarschuwingen worden ook getoond als Google de aanval heeft geblokkeerd. De internetgigant stelt dat het duizenden van dergelijke waarschuwingen per maand toont en dat de aanvallen van tientallen landen afkomstig zijn. Wanneer gebruikers een dergelijke waarschuwing krijgen is het belangrijk dat er direct actie wordt ondernomen, zegt Shane Huntley van Googles Threat Analysis Group. Zo wordt aangeraden om tweefactorauthenticatie in te stellen en mee te doen aan het Advanced Protection Programma van Google. Dit programma biedt extra bescherming voor accounts, onder andere door het inloggen met een usb-beveiligingssleutel te verplichten. bron: security.nl

Microsoft heeft via een gerechtelijk bevel zes domeinen van een hackergroep genaamd Fancy Bear uit de lucht laten halen en in bezit gekregen, zo heeft de softwaregigant zelf bekendgemaakt. Eén van de domeinen deed zich voor als een domeinnaam van het International Republican Institute, dat zich bezighoudt met het bevorderen van democratische principes en wordt geleid door een raad van bestuur die uit zes Republikeinse senatoren bestaat. Een ander domein lijkt op dat van het Hudson Institute, dat discussies organiseert over onder andere cybersecurity. Verder werd er een domein ontdekt dat naar de Amerikaanse Senaat refereert. Volgens Microsoft zijn er geen aanwijzingen dat de domeinen bij succesvolle aanvallen zijn ingezet voordat Microsoft er de controle over kreeg. Ook is onbekend wie het uiteindelijke doelwit was van mogelijke aanvallen waar deze domeinen bij betrokken zouden zijn. De afgelopen twee jaar heeft Microsoft via gerechtelijke bevelen 84 domeinen uit de lucht laten halen die van Fancy Bear zouden zijn. Volgens verschillende beveiligingsbedrijven is Fancy Bear, ook bekend als Pawn Storm, Strontium of APT28, een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. Eerder werden verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de Franse televisiezender TV5, de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, Europese hotels, het campagneteam van de Franse president Macron en vredesbeweging Pax door de groep aangevallen. bron: security.nl

In navolging van verschillende andere chatdiensten biedt nu ook Skype end-to-end versleutelde gesprekken. De optie staat echter niet standaard ingeschakeld. Begin dit jaar werd bekend dat Microsoft en Open Whisper Systems samenwerkten om end-to-end-encryptie aan Skype toe te voegen. Open Whisper Systems is de ontwikkelaar van het Signal Protocol, dat onder andere door WhatsApp en Signal worden gebruikt voor het end-to-end versleutelen van gesprekken. Hierdoor is de inhoud van een gesprek of bericht alleen toegankelijk voor de afzender en ontvanger. Om van de beveiligingsmaatregel in Skype gebruik te maken moeten gebruikers de optie "New Private Conversation" kiezen. De ontvanger ontvangt nu een uitnodiging. Zodra de ontvanger die accepteert worden alle gesprekken en berichten in die conversatie end-to-end versleuteld, totdat de gebruikers ermee stoppen. Een gebruiker kan op elk gegeven moment aan één versleuteld gesprek op één apparaat deelnemen. Het is mogelijk om het gesprek op een ander apparaat voort te zetten, maar de berichten die worden verstuurd en ontvangen zijn alleen beschikbaar op het apparaat dat op dat moment in gebruik is, zo meldt MSPoweruser. bron: security.nl

Onderzoekers van securitybedrijf EnSilo hebben tijdens de BSides Las Vegas-conferentie laten zien hoe de kernelbeveiliging van Windows is te omzeilen en een aanvaller hoge rechten op een systeem kan krijgen (pdf). De techniek werkt volgens de onderzoekers waarschijnlijk ook tegen Linux en macOS. Microsoft heeft verschillende beveiligingsmaatregelen aan de kernel toegevoegd die het lastiger moeten maken om een aanval uit te voeren. Onderzoekers Omri Misgav en Udi Yavo hebben echter een nieuwe manier gevonden waardoor een aanvaller die al toegang tot een systeem heeft de beveiligingsmaatregelen kan omzeilen om systeemrechten te krijgen, zo beschrijven ze in een blogposting. Om de beveiligingsmaatregelen te omzeilen en rechten te verhogen manipuleren de onderzoekers de zogeheten "page tables". Dit is een datastructuur die besturingssystemen gebruiken om het virtuele naar het fysieke geheugen te mappen. Door de page tables op een bepaalde manier te manipuleren is het mogelijk om gedeelde codepagina's aan te passen waarmee alle processen in het systeem kunnen worden beïnvloed. "De sleutel tot het succes van de techniek is het feit dat dezelfde code voor zowel lage als hoge processen op dezelfde plek in het RAM-geheugen is opgeslagen, in een poging om fysiek geheugen efficiënter te gebruiken", zegt onderzoeker Misgav. Door dit gedeelde geheugen te gebruiken kunnen de onderzoekers een proces met hogere rechten een kwaadaardige payload laten uitvoeren. Een groot verschil met deze techniek en eerdere onderzoeken is dat de techniek ook werkt als de Virtualization Based Security (VBS) van Windows staat ingeschakeld. De onderzoekers stellen dat ze Microsoft voor hun presentatie over de techniek hebben ingelicht. bron: security.nl

Er is een nieuwe testversie van Tor Browser verschenen die websites sneller zou moeten laden dankzij HTTP/2. Deze herziening van het HTTP-protocol moet ervoor zorgen dat browsers webpagina's efficiënter en sneller kunnen laden, mede door het comprimeren van HTTP-headers en multiplexing, waarbij er meerdere verzoeken over één tcp-verbinding worden verstuurd. HTTP/2 wordt al sinds begin 2015 in Firefox ondersteund. Tor Browser is op Firefox gebaseerd, maar HTTP/2 was nooit ingeschakeld. Dit kwam mede door het risico op het fingerprinten van gebruikers. De ontwikkelaars van Tor Browser hebben HTTP/2 geaudit en een patch ontwikkeld zodat het binnen de browser staat ingeschakeld. "Dit zou op allerlei websites voor prestatieverbeteringen moeten zorgen", zegt Nicolas Vigier van het Tor Project. Doordat Tor Browser het verkeer over meerdere servers laat lopen om de privacy en het ip-adres van gebruikers te beschermen kan dit invloed op de snelheid hebben waarmee websites worden geladen. Er is op de website van het Tor Project dan ook een aparte vermelding die uitlegt waarom het Tor-netwerk traag is. Mogelijk dat HTTP/2 ook bij Tor-gebruikers voor betere prestaties kan gaan zorgen. Verder beschikt Tor Browser 8.0a10 over een herziene startpagina en verschillende andere aanpassingen. Het gaat hier nog wel om een vroege testversie. bron: security.nl

Criminelen gebruiken meer dan 10.000 gehackte WordPress-sites om internetgebruikers naar besmette advertenties door te sturen en zo met malware te infecteren. Dat laat securitybedrijf Check Point vandaag weten. De gehackte WordPress-sites die voor deze "malvertising" campagne worden gebruikt draaien allemaal een kwetsbare versie van de WordPress-software en konden zo worden overgenomen. De websites worden vervolgens van een JavaScript-bestand voorzien dat bezoekers doorstuurt naar een bepaald ip-adres en server. Naast het gebruik van WordPress-sites zetten de criminelen ook "potentieel ongewenste software" (PUPs) in die internetgebruikers op hun computer hebben geïnstalleerd. De PUPs wijzigen de startpagina van de gebruiker zijn browser en laten die naar de eerder genoemde server wijzen. Het bezoekersverkeer dat de WordPress-sites en PUPs genereren wordt door de eigenaar van de server aangeboden aan het advertentienetwerk AdsTerra, aldus onderzoekers van Check Point. Dit advertentienetwerk is in het verleden ook al eens in verband gebracht met besmette advertenties. Het verkeer van de gehackte WordPress-sites en PUPs wordt door het advertentienetwerk doorgestuurd naar resellers, die het weer verkopen aan criminelen. Deze criminelen gebruiken het doorgestuurde verkeer om bezoekers een advertentiepagina met de Rig-exploitkit te laten laden. De Rig-exploitkit maakt gebruik van bekende kwetsbaarheden in Adobe Flash Player en Microsoft Internet Explorer. Wanneer internetgebruikers deze software niet up-to-date hebben en worden doorgestuurd naar een advertentie of pagina met de exploitkit kunnen ze zonder verdere interactie met ransomware, bankmalware en andere soorten malware besmet raken. "Vanwege de vaak complexe aard van malware-campagnes en het gebrek aan geavanceerde technologie om te controleren en voorkomen dat besmette advertenties op advertentienetwerken terechtkomen, is het waarschijnlijk dat malvertising de komende jaren een populaire manier voor cybercriminelen blijft om illegale inkomsten te genereren", aldus Richard Clayton van Check Point. bron: security.nl

Mozilla gaat in Firefox 63 een maatregel doorvoeren die het lastiger moet maken om updates te blokkeren. Op dit moment biedt Firefox drie opties als het om updates gaat. De eerste optie is dat update automatisch wordt geïnstalleerd. Dan is er nog de optie dat er automatisch op updates wordt gecontroleerd, maar dat de gebruiker bepaalt of ze worden geïnstalleerd. Als laatste kunnen gebruikers ervoor kiezen om nooit op updates te controleren. Volgens Mozilla is het eenvoudig om deze laatste optie in te stellen en te vergeten, waardoor Firefox geen updates meer ontvangt. "Wanneer deze optie staat ingeschakeld stelt het gebruikers bloot aan ernstige beveiligingsproblemen en het lijkt niet verstandig om deze feature via de instellingen aan te bieden", aldus een Mozilla-medewerker. De browserontwikkelaar heeft dan ook besloten om de optie in Firefox 63 zowel vanuit het menu als about:config te verwijderen. Via about:config kunnen Firefox-gebruikers ook allerlei instellingen veranderen. De enige mogelijkheid om niet op Firefox-updates te controleren is door gebruik te maken van de Enterprise Policy Engine, zo meldt webontwikkelaar Soeren Hentzschel. Hiervoor moet er een specifiek json-bestand in een submap van de Firefox-directory worden geplaatst. Firefox 63 staat gepland voor 23 oktober van dit jaar. Bij gebruikers die ervoor hebben gekozen om geen updates te ontvangen zal dan de optie worden ingesteld die automatisch op updates controleert, maar de gebruiker de installatie laat bepalen. bron: security.nl

Anti-malwarebedrijf Malwarebytes heeft een gratis browser-extensie gelanceerd die advertenties, clickbait, malware, pop-ups en scams blokkeert. De extensie zou gebruikers niet alleen tegen allerlei dreigingen beschermen, ook zorgt het ervoor dat websites sneller worden geladen. Volgens de malwarebestrijder downloaden populaire websites veel ongewenste content in de achtergrond, waaronder clickbait-artikelen en advertenties. Door die te filteren zouden websites sneller worden geladen. De extensie blokkeert zowel clickbait-content alsmede websites die "dubieus gedrag" vertonen. Verder moet de extensie bescherming bieden tegen malware, phishingsites, browserlockers, helpdeskfraude en 'potentieel ongewenste programma's', zoals toolbars en pop-ups. De extensie bevindt zich nog in de betafase en is beschikbaar voor Chrome en Firefox. bron: security.nl

Wetenschappers van de Graz University of Technology in Oostenrijk hebben een Spectre-variant ontwikkeld waarbij het mogelijk is om data van systemen op een netwerk te stelen, zonder dat een aanvaller code op deze systemen hoeft uit te voeren. Echt snel is de NetSpectre-aanval echter niet, met een snelheid van 3 tot 60 bits per uur. Bij de oorspronkelijke Spectre-aanvallen moest een aanvaller eerst code op het systeem van het doelwit zien uit te voeren. Dat is in het geval van de NetSpectre-variant niet meer nodig. De onderzoekers hebben hun aanval gedemonstreerd op lokale netwerken en tussen virtual machines in de Google Cloud. Om de aanval uit te voeren moet er in de code die op het aangevallen systeem draait zogeheten Spectre-gadgets aanwezig. Dit zijn codefragmenten die bepaalde operaties uitvoeren. Zodra een systeem netwerkinterfaces of API's met een Spectre-gadget blootstelt, kunnen die via NetSpectre worden aangevallen en is het mogelijk om willekeurig geheugen over het netwerk uit te lezen. De aanvaller hoeft alleen een aantal aangepaste requests naar het doelwit te sturen en de tijd te meten om een geheime waarde uit het geheugen van het aangevallen systeem te lekken. Aangezien de aanval maximaal 60 bits aan data per uur kan opleveren, kan het dagen duren voordat encryptiesleutels of tokens zijn gestolen, zo meldt The Register. Toch stellen de onderzoekers dat NetSpectre een grote verschuiving is ten opzichte van de eerste Spectre-aanvallen. Niet alleen is NetSpectre op afstand uit te voeren, ook lopen veel meer en meer soorten apparaten risico. "Er moet nu ook rekening met Spectre-aanvallen worden gehouden op apparaten die geen code van de aanvaller draaien", aldus de conclusie van het onderzoeksrapport (pdf). Verder stellen de onderzoekers dat NetSpectre ook te gebruiken is om de beveiligingsmaatregel address-space layout randomization te verslaan. Red Hat komt vandaag met meer informatie over de aanval. Systemen die updates tegen de eerdere Spectre-aanvallen hebben ontvangen zijn ook beschermd tegen NetSpectre, aldus Intel. bron: security.nl

Op dinsdag 10 juli kwam Microsoft met beveiligingsupdates voor een beveiligingslek in het .NET Framework, maar die blijken bij sommige gebruikers voor problemen te zorgen, zo heeft de softwaregigant bekendgemaakt. Via de kwetsbaarheid, die in alle ondersteunde Windows-versies aanwezig was, kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. In bepaalde gevallen kunnen de updates ervoor zorgen dat applicaties niet meer starten of goed werken. Microsoft zegt van het probleem te weten en heeft een onderzoek ingesteld. De softwaregigant geeft verder aan dat de beveiligingsupdates voor de kwetsbaarheid opnieuw zullen worden uitgebracht zodra ze beschikbaar zijn. In de tussentijd worden gebruikers een beheerders verwezen naar een FAQ over aanbevolen acties die genomen kunnen worden voor het uitrollen van de updates. bron: security.nl

Onderzoekers van anti-virusbedrijf Trend Micro waarschuwen voor een nieuwe exploitkit die computers via bekende kwetsbaarheden in Adobe Flash Player en Microsoft Internet Explorer met een bootkit en cryptominer infecteert. Het gaat om de Underminer-exploitkit die via advertenties wordt verspreid. Zodra internetgebruikers met een kwetsbare versie van Internet Explorer of Flash Player de advertenties te zien krijgen wordt de Mellifera-cryptominer en een bootkit geïnstalleerd. De cryptominer zou naar verluidt op meer dan 500.000 computers draaien. De bootkit infecteert de bootsector van het systeem. De Flash-lekken die de exploitkit gebruikt werden in juli 2015 en februari 2018 door Adobe gepatcht. Het IE-lek werd in mei 2016 door Microsoft verholpen. Gebruikers krijgen dan ook het advies om hun systeem en software up-to-date te houden. bron: security.nl

De versleutelde e-maildienst ProtonMail heeft adresverificatie en volledige PGP-support geïntroduceerd, dat gebruikers extra bescherming moet bieden. Via adresverificatie kunnen gebruikers zeker weten dat ze met de juiste persoon communiceren terwijl de PGP-support versleutelde mail interoperabiliteit toevoegt. Voor de introductie van adresverificatie was het mogelijk als ProtonMail was gecompromitteerd om de communicatie van gebruikers te compromitteren door de gebruiker een valse publieke encryptiesleutel te sturen. Hierdoor zou de e-mailcommunicatie worden versleuteld op een manier dat een aanvaller, in bezit van de bijbehorende privésleutel, de e-mails kon onderscheppen en ontsleutelen. Adresverificatie moet hier een oplossing voor bieden. Het maakt gebruik van een feature die ProtonMail eerder introduceerde genaamd "Versleutelde contacten". Hierbij wordt het adresboek van de gebruiker gesigneerd en versleuteld op een manier waardoor alleen de gebruiker nog de inhoud kan bekijken. Wanneer ProtonMail-gebruikers een e-mail van een ProtonMail-contact ontvangen hebben ze de optie om de publieke sleutel van deze gebruiker in het versleutelde adresboek op te slaan. Aangezien het adresboek is versleuteld en digitaal gesigneerd is het niet mogelijk om de publieke sleutel te manipuleren, aldus Any Yen van ProtonMail. "Dit houdt in dat als er e-mails naar dit contact worden gestuurd, het niet langer mogelijk is voor een kwaadwillende derde partij, en zelfs ProtonMail, om je te misleiden een kwaadaardige publieke sleutel te gebruiken die verschilt van de sleutel die je hebt vertrouwd", zo stelt Yen. Hij merkt op dat adresverificatie een geavanceerde feature is die mogelijk niet nodig is voor doorsnee gebruikers. "Maar aangezien journalisten en activisten ProtonMail voor gevoelige communicatie gebruiken, hebben we van adresverificatie een prioriteit gemaakt." PGP-support De volledige PGP-support die nu is toegevoegd zorgt ervoor dat ProtonMail-gebruikers met PGP-versleutelde e-mails naar niet-ProtonMail-gebruikers kunnen versturen door de publieke PGP-sleutels van deze gebruikers te importeren. Daarnaast is het mogelijk om op het ProtonMail-account PGP-mail te ontvangen van andere PGP-gebruikers in de wereld. Gebruikers kunnen nu hun publieke sleutel exporteren en die met anderen delen. ProtonMail biedt zowel gratis als betaalde accounts aan. bron: security.nl

Windows 10 gaat het juiste moment voorspellen voor het herstarten van de computer na de installatie van beveiligingsupdates, zo heeft Microsoft aangekondigd. Op internet zijn tal van klachten te vinden over het herstarten van systemen op het verkeerde moment om het installeren van updates af te ronden. Iets dat ook Microsoft erkent. "Heb je ooit moeten stoppen met wat je aan het doen was, of op je computer moeten wachten omdat het apparaat op het verkeerde moment werd geüpdatet? We hebben geluisterd", zegt Microsofts Dona Sarkar. De softwaregigant heeft in Windows 10 de herstartlogica aangepast wanneer er updates gepland staan. Dit nieuwe systeem zou adaptiever en proactiever moeten zijn. Het voorspellingsmodel zou nauwkeurig kunnen voorspellen wat het juiste moment is om de computer te herstarten. Er wordt niet alleen gekeken of het apparaat in gebruik is voordat het systeem wordt herstart, maar ook of de gebruiker niet even van zijn plek is en snel weer zal terugkeren. Op de vraag hoe nauwkeurig dit model is laat Sarkar weten dat het model op interne apparaten is toegepast en de resultaten veelbelovend zijn. De functie is nu aan de nieuwste testversie van Windows 10 toegevoegd. Wanneer een apparaat toch op het verkeerde moment herstart kunnen gebruikers dit aan Microsoft doorgeven. bron: security.nl

Ruim 131 miljoen e-mailadressen die bij het Amerikaanse marketingbedrijf Exactis werden gestolen zijn toegevoegd aan de zoekmachine Have I Been Pwned. Een beveiligingsonderzoeker vond een 2 terabyte grote database van het bedrijf op een publiek toegankelijke server. De database bevat gegevens van miljoenen Amerikanen, zoals adresgegevens, e-mailadressen, leeftijd, interesses, gewoontes en het geslacht van iemands kinderen, en informatie van miljoenen bedrijven. Wat vooral opviel aan de database was het grote aantal eigenschappen dat per persoon werd bijgehouden. Naast openbare records en algemene contactgegevens ging het bijvoorbeeld ook of iemand rookt, geloofsovertuiging, gezinssamenstelling, opleidingsniveau, inkomen, gesproken talen, ip-adressen, investeringen of iemand huisdieren heeft en allerlei andere zaken. Een kleine subset van de database met ruim 131 miljoen e-mailadressen is nu met Have I Been Pwned gedeeld. Dit is een zoekmachine van beveiligingsonderzoeker Troy Hunt waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun gegevens ooit bij een website zijn gestolen. De toevoegde dataset is het grootste datalek dat dit jaar een Have I Been Pwned is toegevoegd. bron: security.nl

Google gaat een eigen usb-beveiligingssleutel verkopen waarmee gebruikers hun accounts kunnen beveiligen. Het gaat om de Titan Security Key, een fysieke usb-sleutel die als tweede factor tijdens het inloggen fungeert. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Volgens Google biedt dit een betere bescherming dan tweefactorauthenticatie via sms. Daarnaast zou het phishing moeten voorkomen. "Een tactiek die criminelen veel gebruiken is het opzetten van phishingsites die moeten doorgaan voor die van Google, om vervolgens om codes voor authenticatie in twee stappen te vragen. Beveiligingssleutels bieden een betere bescherming tegen deze en andere aanvallen doordat ze versleuteling toepassen en alleen werken voor de sites waarvoor ze moeten werken", aldus Google. "We hebben altijd gezegd dat het gebruik van beveiligingssleutels de sterkste, meest phishingbestendige authenticatiefactor voor belangrijke gebruikers is, met name cloudbeheerders", zegt Jennifer Lin van Google. De internetgigant liet eerder deze week weten dat Google-medewerkers sinds begin vorig jaar verplicht moeten inloggen via een beveiligingssleutels en er sindsdien geen enkel werkaccount is gephisht. De Titan Security Key beschikt over door Google ontwikkelde firmware en werkt naast Google ook voor andere websites, zoals Facebook, Twitter, GitHub en Dropbox. De usb-beveiligingssleutels zijn nu beschikbaar voor Google Cloud-klanten en zullen binnenkort voor iedereen via de Google Store verkrijgbaar zijn. bron: security.nl

Adware en cryptominers waren in het tweede kwartaal van dit jaar de voornaamste dreigingen, zo stelt anti-malwarebedrijf Malwarebytes op basis van eigen detecties. De hoeveelheid adware die op systemen van eindgebruikers werd gedetecteerd nam met 19 procent toe ten opzichte van het eerste kwartaal. Cryptominers die computers naar digitale valuta laten delven werden minder vaak gedetecteerd, maar zijn nog altijd de tweede dreiging bij eindgebruikers en zelfs de eerste dreiging die op zakelijke computers werd gevonden. De meeste malware-categorieën kenden echter een behoorlijke dip in het aantal detecties. Met name banking Trojans die worden gebruikt om gegevens voor internetbankieren te stelen werden veel minder aangetroffen, zo blijkt uit het kwartaalrapport (pdf). bron: security.nl

Onderzoekers hebben Android-malware ontdekt die Windows-computers probeert te besmetten. De malware wordt buiten de Google Play Store om verspreid en doet zich voor als WhatsApp of Telegram. Zodra een gebruiker de kwaadaardige app installeert hebben aanvallers volledig controle over het toestel. Eenmaal actief zal de malware echter ook in de afbeeldingenmap van de telefoon de Windows-malware plaatsen, die vervolgen de naam "DCIM" krijgt. Dit is de naam van de directory waarin de met de telefoon gemaakte foto's worden geplaatst. Een gebruiker die foto's van zijn telefoon naar zijn computer wil kopiëren zal geregeld naar deze map gaan. Zodra de gebruiker het bestand vanaf zijn Windows-computer opent raakt ook dit systeem met een remote access Trojan besmet. Volgens onderzoekers van Qihoo 360 is het de eerste keer dat Android-malware op deze manier wordt ingezet om computers te besmetten. De malware is vooral in Turkije, Jordanië en Syrië aangetroffen. bron: security.nl

Gratis virusscanners doen niet onder voor betaalde anti-viruspakketten, zo blijkt uit een verzameling van 'real-world' anti-virustests die door het Oostenrijkse testlab AV-Comparatives werden uitgevoerd. Voor de tests, die van februari tot en met juni van dit jaar plaatsvonden, werd er met echte besmette links en drive-by downloads op internet getest. In de testperiode werden er 1080 kwaadaardige links en websites met een gepatcht Windows 10-systeem bezocht. F-Secure en Trend Micro weten alle malware-exemplaren zonder tussenkomst van de gebruiker te blokkeren. De gratis versies van Avast en AVG missen zes exemplaren. Microsofts Windows Defender, de in Windows 10 ingebouwde virusscanner, mist één exemplaar. In twintig andere gevallen was het aan de gebruiker om te bepalen of de malware werd uitgevoerd of niet. Van de achttien virusscanners eindigt Quick Heal onderaan. Dit anti-viruspakket mist 19 malware-exemplaren en laat de gebruiker twintig keer beslissen. Naast de detectie van malware werd er ook op false positives getest, waarbij de virusscanners met legitieme, schone software en domeinen kregen te maken. Het ging om zo'n duizend willekeurig gekozen populaire domeinen en zo'n tweeduizend populaire en nieuwe/aanbevolen downloads. F-Secure en Trend Micro, die zo goed presteerden bij de detectie van malware, gaan nu hard onderuit. F-Secure gaat maar liefste 111 keer de fout in, terwijl Trend Micro 38 keer vals alarm geeft. Ook Symantec heeft moeite met dit onderdeel, zo blijkt uit de 24 valse waarschuwingen. Emsisoft, Kaspersky Lab en VIPRE presteren op dit onderdeel het beste met één false positive. Vanwege het grote aantal false postives krijgen F-Secure, Trend Micro en Symantec een lagere uiteindelijke beoordeling. Uiteindelijk worden Avast, AVG, Avira, Bitdefender, Kaspersky Lab, McAfee, Tencent en VIPRE als 'Advanced+' beoordeeld, de hoogste beoordeling. De gratis virusscanners van Microsoft en Panda worden als Advanced beoordeeld, net als de oplossingen van Symantec, ESET, Trend Micro en F-Secure. De oplossing van BullGuard eindigt onderaan en krijgt alleen de vermelding "getest". bron: security.nl

Een beveiligingslek in de pdf-lezer van Google Chrome is eind juni "per ongeluk" verholpen, zo meldt onderzoeker Zhou Aiting van het Qihoo 360 Vulcan Team. Aiting had op 17 april een kwetsbaarheid in de pdf-lezer van Chrome gevonden waardoor een aanvaller willekeurige code had kunnen uitvoeren. De kwetsbaarheid alleen was niet voldoende om uit de sandbox van Chrome te beveiligen, waardoor een aanvaller in het ergste geval data van andere websites had kunnen stelen of aanpassen. Twee dagen nadat Google door de onderzoeker was ingelicht werd er een patch voor het probleem ontwikkeld. Deze patch werd op 10 mei onder Chrome-gebruikers uitgerold. Voor zijn bugmelding ontving Aiting 5.000 dollar. De onderzoeker ontdekte dat de patch niet volledig was en het nog steeds mogelijk bleek om het beveiligingslek aan te vallen. Eind juni kwam er echter een onverwachte oplossing voor het probleem. Google besloot namelijk het datatype waardoor de aanval mogelijk was in de pdf-lezer te verwijderen en door het gebruik van een vector te vervangen. Daardoor werd ook de kwetsbaarheid "per ongeluk" verholpen, aldus Aiting. bron: security.nl

Het ontwikkelplatform GitHub gaat ontwikkelaars voortaan waarschuwen als ze voor hun softwareproject gebruikmaken van Python-packages met bekende kwetsbaarheden. Het kan dan bijvoorbeeld gaan om softwarebibliotheken of opensourceprogramma's waar het project gebruik van maakt. Meer dan 75 procent van de GitHub-projecten heeft dergelijke "dependencies". De waarschuwingen laten ontwikkelaars weten waar de kwetsbaarheid zich bevindt, wat die precies inhoudt en wat een mogelijke oplossing is. Bij publieke repositories staan de waarschuwingen automatisch ingeschakeld. De beveiligingswaarschuwingen werden eind vorig jaar ingevoerd voor JavaScript en Ruby. GitHub wist op deze manier miljoenen kwetsbaarheden in softwareprojecten van gebruikers te ontdekken. Vanaf deze week wordt ook Python ondersteund. Op dit moment worden Python-gebruikers voor een aantal recente kwetsbaarheden gewaarschuwd. GitHub is echter van plan om de komende weken ook oudere Python-kwetsbaarheden aan de database toe te voegen, zo laat het ontwikkelplatform in een blogposting weten. bron: security.nl

De makers van het op privacy gerichte besturingssysteem Tails zoeken mensen die willen helpen met het testen van de nieuwe VeraCrypt-support. VeraCrypt is een programma voor het versleutelen van systemen en bestanden. Tails heeft nu ondersteuning voor VeraCrypt in het besturingssysteem ingebouwd, zodat gebruikers eenvoudig hun met VeraCrypt versleutelde schijven en containers kunnen ontsleutelen. De VeraCrypt-ondersteuning is in een nieuwe bètaversie te testen. De ontwikkelaars hopen op feedback van gebruikers, zoals de aanwezigheid van bugs, de bruikbaarheid van de feature, of er dingen duidelijker kunnen en of er technische problemen zijn. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat allerlei tools bevat om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen, privacy-experts en klokkenluider Edward Snowden aangeraden. Dagelijks maken zo'n 22.000 mensen gebruik van Tails. bron: security.nl

De software van securitybedrijf Malwarebytes blokkeert verschillende dubieuze adblockers wat voor vragen van gebruikers heeft gezorgd. "Het gaat hier niet om een false positive", zo laat het bedrijf weten. Onder andere in de Chrome Web Store verschijnen geregeld malafide extensies die zich als bekende adblocker voordoen. Zo werd in april bekend dat miljoenen Chrome-gebruikers een nep-adblocker hadden geïnstalleerd. Om gebruikers te beschermen blokkeert Malwarebytes verschillende van deze nep-adblockers. Het gaat om AdRemover for Google Chrome, uBlock Plus, Adblock Pro, HD for YouTube en Webutation. Aangezien de mogelijkheden van Malwarebytes zijn beperkt om de extensies volledig te verwijderen worden de domeinen geblokkeerd waar de extensies verbinding mee maken. In het geval gebruikers een waarschuwing over een malafide extensie krijgen doen ze er verstandig aan om die te verwijderen, aldus het advies van het securitybedrijf. Verder wordt gebruikers aangeraden om eerst de extensie te controleren voordat ze die installeren. bron: security.nl

Hostingbedrijf DomainFactory heeft klanten gewaarschuwd voor een datalek en adviseert om van allerlei diensten het wachtwoord te wijzigen. Volgens de hostingprovider, die onderdeel van GoDaddy is, heeft de aanvaller mogelijk toegang gehad tot klantnamen, bedrijfsnamen, klantnummers, adresgegevens, e-mailadresssen, telefoonnummers, het DomainFactory-telefoonwachtwoord, geboortedatum en banknaam en rekeningnummer. Details over hoe de aanvaller toegang wist te krijgen worden niet gegeven, behalve dat de gebruikte aanvalsvector is beveiligd en er aanvullende maatregelen zijn genomen om ongeautoriseerde toegang te voorkomen. DomainFactory stelt dat met gecompromitteerde gegevens identiteits- en bankfraude kan worden gepleegd. Klanten krijgen dan ook het advies hun bankafschriften in de gaten te houden. Daarnaast worden klanten aangeraden om hun klanten-, telefoon-, e-mail-, ftp-, ssh- en database-wachtwoorden te wijzigen. DomainFactory geeft verder aan dat het melding heeft gedaan bij de Duitse beschermingsautoriteit. bron: security.nl

Aanvallers zijn erin geslaagd om certificaten van netwerkbedrijf D-Link en Changing Information Technologies te stelen die worden gebruikt voor het signeren van software en hebben daarmee hun malware gesigneerd. De gestolen certificaten werden gebruikt voor het signeren van de Plead-malware en een gerelateerde wachtwoordsteler. De Plead-malware is een backdoor die aanvallers op afstand volledige controle over het systeem geeft, zo meldt anti-virusbedrijf ESET. Via de wachtwoordsteler werden in Google Chrome, Internet Explorer, Microsoft Outlook en Mozilla Firefox opgeslagen wachtwoorden gestolen. Het bij D-Link gestolen certificaat werd op 3 juli ingetrokken, een dag later volgde het certificaat van Changing Information Technology. Toch maken de aanvallers nog steeds van dit laatste certificaat gebruik voor het signeren van hun malware. Hoe de aanvallers de certificaten konden stelen is onbekend. Door hun malware met de gestolen certificaten te signeren konden de aanvallers die als legitieme applicatie voordoen en heeft de malware een grotere kans om niet te worden opgemerkt. Het komt vaker voor dat aanvallers gestolen certificaten voor hun malware gebruiken. Een bekend voorbeeld is de Stuxnet-worm die gebruikmaakte van certificaten die bij RealTeak en JMicron waren gestolen. Volgens anti-virusbedrijf Trend Micro is de Plead-malware tegen de Taiwanese overheid en private organisaties ingezet. De aanvallers hebben het daarbij vooral op vertrouwelijke documenten voorzien. Om de malware te verspreiden maken de aanvallers gebruik van spearphishingmails die een kwaadaardige bijlage bevatten of naar de malware linken. De meegestuurde of gelinkte bestanden doen zich voor als documenten en maken gebruik van de right-to-left-override (RTLO) techniek om de bestandsextensie van de malware te verbergen. bron: security.nl

Firefox gaat gebruikers beter uitleggen waarom ze bij het bezoeken van een website een certificaatwaarschuwing krijgen. Websites die een beveiligde verbinding aanbieden maken hiervoor gebruik van een tls-certificaat. De browser controleert voor het opzetten van de verbinding de geldigheid van het certificaat is. Als er een probleem wordt aangetroffen geeft de browser een waarschuwing. Certificaatwaarschuwingen kunnen voor verschillende redenen worden gegeven, zoals de tijd van de computer die niet goed staat ingesteld of een verlopen certificaat. Het kan echter ook gaan om een man-in-the-middle-aanval waarbij een aanvaller via een malafide tls-certificaat gegevens van de gebruiker probeert te stelen. Firefox zal nu beter aan gebruikers uitleggen wat het exacte probleem is, wat ze eraan kunnen doen en de gebruiker een optie bieden om de pagina te verlaten. De nieuwe waarschuwing moet in Firefox 63 verschijnen, die voor 23 oktober gepland staat. bron: security.nl