Captain Kirk

Internetdienst Cloudflare heeft een dns-resolver voor Tor-gebruikers gelanceerd die extra privacy moet bieden. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Dns-verzoeken worden door een resolver verstuurd. Het is mogelijk om die zelf in te stellen, maar de meeste internetgebruikers maken gebruik van een resolver die door het netwerk wordt aangeraden. Op 1 april lanceerde Cloudflare een eigen dns-resolver met het adres 1.1.1.1. Het internetbedrijf omschrijft het als de eerste privacyvriendelijke dns-dienst die geen ip-adressen van gebruikers op schijf opslaat en alle logbestanden binnen 24 uur verwijdert. De dns-server van Cloudflare ziet echter wel het ip-adres van gebruikers. "Buitengewoon privacybewuste personen willen mogelijk niet hun ip-adres aan de resolver kenbaar maken en we respecteren dat. Daarom hebben we een Tor hidden service voor onze resolver gelanceerd", zegt Mahrud Sayrafi van Cloudflare. Een hidden service, tegenwoordig ook wel onion services genoemd, zijn servers die alleen via het Tor-netwerk toegankelijk zijn. Aangezien Tor het ip-adres van gebruikers verbergt krijgt Cloudflare op deze manier niet het echte ip-adres van de gebruikers van de dns-dienst te zien. Volgens Sayrafi biedt het gebruik van een aparte resolver voor Tor-gebruikers een extra beveiligingslaag. Gebruikers worden wel gewaarschuwd dat het om een experimentele dienst gaat die niet in productie of voor andere belangrijke zaken gebruikt moet worden totdat het meer getest is. Daarnaast is Cloudflare bezig om de snelheid van de dienst te verhogen. De dns-resolver is toegankelijk via tor.cloudflare-dns.com. bron: security.nl

Een beveiligingslek in een populaire Chrome-extensie met ruim 8 miljoen gebruikers maakte het mogelijk voor aanvallers om de webmail van deze gebruikers te benaderen en hun e-mails te lezen. Alleen het bezoeken van een gehackte of kwaadaardige website was in dit geval voldoende geweest. De kwetsbaarheid bevond zich in de Read&Write-extensie voor Chrome. Deze extensie helpt bij het maken van documenten, webpagina's en andere digitale content. Read&Write maakt gebruik van een programmeerinterface die websites met de extensie laat communiceren. Beveiligingsonderzoeker Matthew Bryant ontdekte dat het mogelijk was om via deze interface de extensie te kapen en data van andere websites te lezen via de geauthenticeerde sessie van de gebruiker. Als de gebruiker op het moment van de aanval bijvoorbeeld op Gmail was ingelogd was het mogelijk om zijn of haar e-mails te lezen. Bryant merkt op dat elke willekeurige website met de interface kon communiceren en de aanval had kunnen uitvoeren. De onderzoeker rapporteerde de kwetsbaarheid op 2 juni aan extensie-ontwikkelaar texthelp, waarna er op 4 juni een beveiligingsupdate verscheen. bron: security.nl

Een informaticastudent heeft in de anti-virussoftware van F-Secure een ernstig beveiligingslek ontdekt waardoor een aanvaller in het ergste geval het systeem van gebruikers met nauwelijks enige interactie had kunnen overnemen. Het lek bevond zich in de manier waarop F-Secure met RAR-bestanden omging. Door het scannen van een kwaadaardig RAR-bestand had een aanvaller willekeurige code kunnen uitvoeren. De kwetsbaarheid was op verschillende manieren te misbruiken. Bijna alle anti-virussoftware scant automatisch bestanden in de achtergrond. Archiefbestanden worden echter niet standaard gescand. In dit geval zou het dan ook niet voldoende zijn geweest om het doelwit een e-mail met een kwaadaardig RAR-bestand te sturen, tenzij gebruikers zelf een scan zouden uitvoeren of het scannen van archiefbestanden hadden ingeschakeld. De informaticastudent, die zichzelf "landave" noemt, ontdekte ook nog een andere aanvalsvector. De virusscanners van F-Secure onderscheppen http-verkeer en scannen automatisch bestanden tot 5MB in omvang. Deze automatische scan controleert ook archiefbestanden. Door het doelwit een webpagina te sturen of te laten bezoeken zou op deze manier de exploit kunnen worden uitgevoerd. De kwetsbaarheid, die de informaticastudent ook in het archiveringsprogramma 7-Zip ontdekte, werd op 11 maart aan F-Secure gemeld. Op 22 mei kwam F-Secure met een update gevolgd door een advisory op 1 juni. F-Secure heeft een programma voor het belonen van onderzoekers die kwetsbaarheden melden. Of, wanneer en wat voor beloning de informaticastudent krijgt is nog niet bekend. bron: security.nl

Minstens 115.000 Drupal-websites bevatten een zeer ernstig beveiligingslek waardoor aanvallers de websites volledig kunnen overnemen. Dat meldt Troy Mursch van Bad Packets Report. De kwetsbaarheid werd eind maart gepatcht. Twee weken na het uitkomen van de beveiligingsupdate werden ongepatchte Drupal-sites aangevallen. Onderzoekers stelden dat alle ongepatchte sites op dat moment als gehackt beschouwd moesten worden. Ondanks het belang van de beveiligingsupdate en berichtgeving over aangevallen websites zijn er nog altijd veel ongepatchte Drupal-sites te vinden. Voor het onderzoek keek Mursch alleen naar Drupal 7-sites. Dit is de populairste versie van het contentmanagementsysteem. Er zijn echter ook zo'n 215.000 Drupal-sites die op versie 8 draaien. Deze versie was ook kwetsbaar, maar websites met Drupal 8 zijn niet voor het onderzoek gescand. In totaal vond Mursch bijna 500.000 Drupal 7-sites. 115.000 waren kwetsbaar omdat ze de belangrijke beveiligingsupdate van maart niet hadden geïnstalleerd. Zo'n 135.000 websites waren niet kwetsbaar. Van 225.000 Drupal-sites kon niet worden vastgesteld welke versie ze gebruikten. Mursch heeft besloten de websites niet openbaar te maken. Het zou in ieder geval gaan om overheids- en onderwijssites. Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) en het Drupal Security Team hebben het overzicht van kwetsbare websites wel ontvangen. bron: security.nl

Mozilla heeft een beurs van in totaal 225.000 dollar uitgeloofd voor mensen die het publiek de dreiging van kunstmatige intelligentie en machine learning kunnen laten begrijpen. De beurs is bedoeld voor technologen en mediaproducenten die laten zien hoe dreigingen voor het internet het alledaagse leven van mensen kunnen beïnvloeden. "We zoeken specifiek projecten die naar kunstmatige intelligentie en machine learning kijken. In een wereld waar bevooroordeelde algoritmen, scheve datasets en defecte aanbevelingsengines YouTube-gebruikers kunnen radicaliseren, racisme bevorderen en nepnieuws verspreiden, is het belangrijker dan ooit om kunst en promotiewerk te ondersteunen dat internetgebruikers onderwijst en betrekt", aldus Mozilla. De opensource-ontwikkelaar noemt video's, games, browserextensies en datavisualisaties als voorbeelden van mogelijk promotiewerk. Geïnteresseerden kunnen tot 1 augustus van dit jaar hun aanvraag indienen. Op 15 september zullen de winnaars bekend worden gemaakt, gevolgd door een publieke aankondiging tijdens of rond Mozilla's festival genaamd "MozFest", dat eind oktober plaatsvindt. bron: security.nl

Het Agentschap Telecom wil dat er minimumeisen en standaarden voor de veiligheid van Internet of Things-apparaten komen. Volgens de overheidsinstantie groeit het aantal kwetsbare apparaten dat met internet verbonden wordt. Deze apparaten zijn echter toegankelijk voor aanvallers, wat uiteindelijk kan leiden tot grootschalige uitval van ict-netwerken en geautomatiseerde bedrijfsprocessen. Agentschap Telecom pleit dan ook voor de standaardisatie van veiligheidseisen waar Internet of Things-apparatuur minimaal aan moet voldoen. "Het systeem van productregulering via CE markering dat we in Europa kennen om storing door (radio)apparatuur te voorkomen heeft zich bewezen. Uitbreiden van dit stelsel met cybereisen is een snelle en effectieve oplossing om IoT-apparatuur veiliger te maken", zegt directeur-hoofdinspecteur Peter Spijkerman. In afwachting van wetgeving om IoT-apparatuur veiliger te maken is het volgens het Agentschap Telecom nodig om gebruikers van apparaten meer bewust te maken van het belang van veilige apparatuur. "Ook kan de industrie meer zelf verantwoordelijkheid nemen door cyberveiligheid in acht te nemen bij het ontwerpen van producten", aldus de overheidsinstantie. bron: security.nl

Tal van organisaties lekken gevoelige gegevens via verkeerd ingestelde Google Groups, aanleiding voor Google om een waarschuwing te geven. Google Groups is een onderdeel van Googles G Suite en laat organisaties online fora en e-mailgroepen aanmaken. Standaard staan de groepen op "privé" ingesteld. Het is ook mogelijk om de privacyinstellingen aan te passen en uitgewisselde e-mails voor iedereen toegankelijk te maken. Securitybedrijf Kenna Security deed onderzoek naar een aantal topdomeinen en ontdekte meer dan 9600 organisaties met publieke Google Groups-instellingen. Zo'n 3.000 van deze organisaties lekten via de verkeerd ingestelde privacyinstellingen gevoelige e-mail. Het gaat om ziekenhuizen, universiteiten, kranten, televisiestations en Amerikaanse overheidsinstellingen. Kenna Security waarschuwde Google, dat de belangrijkste organisaties probeerde te informeren. Gegeven de omvang van het probleem zijn veel van de gevonden organisaties nog steeds blootgesteld. Op dezelfde dag dat het securitybedrijf de bevindingen publiceerde kwam Google met een waarschuwing. De internetgigant bevestigt dat sommige klanten per ongeluk gevoelige informatie hebben gedeeld als gevolg van verkeerd ingestelde Google Groups-instellingen. Om dit te voorkomen heeft Google een uitleg online geplaatst met adviezen om Google Groups juist in te stellen en krijgen organisaties het advies dit te controleren. bron: security.nl

Onderzoekers hebben een nieuwe variant van de Satan-ransomware ontdekt die uiteenlopende kwetsbaarheden gebruikt om zich te verspreiden en systemen te infecteren. De Satan-ransomware is een "ransomware as a service". Via een dergelijke dienst kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In april werd bekend dat de Satan-ransomware de veelbesproken Eternalblue-exploit gebruikte om zich te verspreiden. Deze exploit werd bij de NSA gestolen en verscheen vorig jaar april op internet. Het beveiligingslek in de Windows SMB-service waar de exploit gebruik van maakt werd in maart 2017 door Microsoft gepatcht. Nu meldt securitybedrijf AlienVault dat de nieuwste versies van de Satan-ransomware ook gebruikmaken van kwetsbaarheden in JBoss en Oracle Weblogic. Het gaat om beveiligingslekken die vorig jaar al door de softwareleveranciers werden gepatcht. Daarnaast probeert de ransomware ook via bruteforce-aanvallen op Tomcat-webapplicaties toegang tot systemen te krijgen. Zodra de aanval van de ransomware succesvol is worden allerlei bestanden op het systeem versleuteld en moet er 0,3 bitcoin (~2.000 euro) worden betaald voor het ontsleutelen. bron: security.nl

Het Zero Day Initiative (ZDI), een securitybedrijf dat onderzoekers betaalt voor het melden van onbekende kwetsbaarheden, heeft een beveiligingslek in Windows geopenbaard waarvoor nog geen update beschikbaar is en waardoor een aanvaller op afstand code kan uitvoeren. Alleen het bezoeken van een gehackte of kwaadaardige website of het openen van een speciaal geprepareerd bestand is voldoende. De kwetsbaarheid bevindt zich in de manier waarop er binnen JScript met foutobjecten wordt omgegaan. Microsoft werd op 23 januari over het probleem ingelicht. Precies drie maanden later liet Microsoft weten dat het problemen had om de kwetsbaarheid zonder proof-of-concept exploit te reproduceren. Een dag later op 24 april stelde het ZDI dat de exploit al met de eerste bugmelding in januari was verstuurd en stuurde de exploit opnieuw. Op 1 mei bevestigde Microsoft de ontvangst van de exploit. Het ZDI geeft organisaties 120 dagen de tijd om een gemelde kwetsbaarheid te verhelpen, waarna de details openbaar worden gemaakt. Microsoft wist dit en vroeg het ZDI om meer tijd voordat de details online zouden verschijnen. Het ZDI weigerde dit en heeft nu beperkte details van de kwetsbaarheid online gezet. Als tijdelijke oplossing adviseert het securitybedrijf om de interactie met applicaties tot alleen vertrouwde bestanden te beperken. De volgende patchcyclus van Microsoft staat gepland voor dinsdag 12 juni. bron: security.nl

WordPress heeft besloten om tien plug-ins voor webwinkels die via WordPress.org werden aangeboden te sluiten, aangezien ze beveiligingslekken bevatten en er geen updates van de ontwikkelaar beschikbaar zijn. Het gaat om plug-ins van ontwikkelaar Multidots voor op WooCommerce-gebaseerde webwinkels. WooCommerce is een zeer populair webwinkelplatform voor WordPress. Via het systeem is het mogelijk om WordPress-sites in een webshop te veranderen. Multidots ontwikkelt weer plug-ins voor WooCommerce. Het gaat onder andere om plug-ins voor het delen van content via WhatsApp en Viber, het tonen van cookiemeldingen en een teller van het aantal bezoeken. De tien onveilige plug-ins van Multidots hebben bij elkaar een kleine 20.000 installaties. De kwetsbaarheden in de plug-ins variëren van SQL Injection tot cross-site request forgery en cross-site scripting. In het ergste geval kunnen aanvallers zo toegang tot de database van de website krijgen en die bijvoorbeeld overnemen. Securitybedrijf Threatpress ontdekte de problemen en waarschuwde Multidots op 8 mei. Aangezien de softwareontwikkelaar geen datum voor de updates noemde besloot Threatpress om WordPress te informeren, dat de tien plug-ins vorige week sloot. Webwinkels die de plug-ins hebben geïnstalleerd zijn echter nog steeds kwetsbaar, aangezien het aan beheerders van de webshops is om ze uit te schakelen. bron: security.nl

Aansluitend op stegosoft: wanneer je de mogelijkheid voor 5G hebt, zou ik dit zeker doen. De verbinding is stabieler en sneller. Enig nadeel van de 5G is dat de reikwijdte een stuk korter is dan de 2,4 G. Daarnaast denk ik dat de uitval wel eens veroorzaakt zou kunnen worden door storing van andere wifi-punten. Wanneer je een androidtelefoon hebt, is het tooltje Wifi Analyzer een aanrader. Hiermee kun je zien welke punten er in de buurt zijn, welke kanalen vol en welke vrij. Wanneer je op de app leest dat bijvoorbeeld 9 druk is, 10 en 11 niet, kies dan voor 11 zodat je ook overlap van kanaal 9 en 10 voorkomt.

Mozilla vraagt Firefox-gebruikers om dns over https te testen, aangezien dit protocol de privacy van internetgebruikers vergroot. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Het probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. Dns over https (DoH) moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Dns-verzoeken worden door een resolver verstuurd. Het is mogelijk om die zelf in te stellen, maar de meeste internetgebruikers maken gebruik van een resolver die door het netwerk wordt aangeraden. Dit kan een probleem zijn wanneer er een onbetrouwbare resolver wordt aangeraden, die bijvoorbeeld allerlei informatie over gebruikers opslaat of verzoeken naar bepaalde websites kaapt. De oplossing voor dit probleem is een Trusted Recursive Resolver (TRR). Dat kan elke partij zijn die de gebruiker vertrouwt, maar Mozilla is nu een test met Cloudflare gestart. Cloudflare zegt dat het alle persoonlijke informatie van dns-verzoeken na 24 uur verwijdert en geen data met derde partijen deelt. Volgens Mozilla zullen er ook regelmatig audits worden uitgevoerd om te controleren dat alle gegevens zoals afgesproken worden verwijderd. Het is al mogelijk om dns over https in Firefox in te schakelen. Het werkt echter het beste in Firefox 62 en nieuwer, waarvan nu een testversie is verschenen. Daarnaast is Mozilla met gebruikers van de testversie van Firefox 62 een experiment gestart waarbij automatisch de dns over https-dienst van Cloudflare wordt gebruikt. Als eerste wordt er gekeken of DoH naar behoren presteert. Geen totale bescherming Mozilla merkt op dat dns over https en Trusted Recursive Resolver het aantal mensen beperkt dat kan zien welke websites iemand bezoekt, maar dat het datalekken niet helemaal voorkomt. Zodra het dns-verzoek is beantwoord zal de gebruiker nog steeds verbinding met het ip-adres van de website maken. Hiervoor wordt een verzoek verstuurd dat de servernaam bevat. Dit verzoek is onversleuteld, wat inhoudt dat de provider van de gebruiker nog steeds kan zien waar de gebruiker naar toe gaat. Zodra de verbinding met de webserver is gemaakt is alles echter versleuteld en kan deze versleutelde verbinding voor elke website worden gebruikt die de webserver host, niet alleen voor de initieel opgevraagde website. Dit is mogelijk door HTTP/2 samengevoegde verbindingen en zorgt ervoor dat gebruikers meerdere websites op één webserver kunnen bezoeken zonder dat hun provider hier weet van heeft. Door de toename van content delivery netwerken (cdn's) zullen steeds meer websites vanaf een enkele server worden aangeboden, en doordat het mogelijk is om meerdere samengevoegde verbindingen open te hebben, zal deze maatregel steeds effectiever als privacyschild zijn, aldus Mozilla. bron: security.nl

Anti-virusbedrijf Trend Micro waarschuwt voor een nieuwe campagne waarbij besmette advertenties worden gebruikt om ongepatchte IE-gebruikers met een cryptominer te infecteren. De aanvallers maken gebruik van een ernstig beveiligingslek in Internet Explorer dat op 8 mei door Microsoft werd gepatcht. IE-gebruikers die deze update niet hebben geïnstalleerd en een besmette advertentie te zien krijgen kunnen zonder enige verdere interactie met een cryptominer worden geïnfecteerd. Deze cryptominer gebruikt de rekenkracht van het systeem om de digitale valuta Monero te delven, wat voor een grote belasting van het systeem zorgt. Trend Micro laat niet weten op welke websites de besmette advertenties zijn verschenen. Gebruikers en organisaties die de update nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen. bron: security.nl

Microsoft heeft een nieuwe testversie van Edge uitgebracht die is voorzien van een feature waardoor gebruikers via een usb-beveiligingssleutel op websites kunnen inloggen. Hiervoor ondersteunt de browser de Web Authentication API (WebAuthN). Deze programmeerinterface biedt gebruikers de mogelijkheid om in plaats van een wachtwoord via een usb-token in te loggen of kan een usb-token als tweede factor gebruiken in plaats van bijvoorbeeld een via sms verkregen code. De feature werkt echter alleen bij websites die Web Authentication ondersteunen. Naast usb-tokens zal Web Authentication in de toekomst ook smartphones of biometrische kenmerken gaan ondersteunen, zoals inloggen via gezichtsherkenning of vingerafdrukken. Op dit moment werkt Web Authentication alleen nog met usb-tokens. Onlangs lanceerde Mozilla een nieuwe Firefox-versie die ook met WebAuthN werkt. De Edge-versie die de standaard ondersteunt is te vinden in de Windows 10 Insider Preview Build 17682. bron: security.nl

Softwareontwikkelaar AgileBits heeft een compleet vernieuwde 1Password voor Windows gelanceerd. 1Password is een populaire wachtwoordmanager waarmee gebruikers allerlei wachtwoorden voor websites en applicaties in kluizen kunnen opslaan en beheren. De nu gelanceerde versie is volgens de ontwikkelaars compleet vernieuwd. Zo is vormgeving aangepast en zijn er verschillende nieuwe features toegevoegd, waaronder ondersteuning van Windows Hello. Dit is de biometrische inlogfunctie van Windows 10. Gebruikers kunnen nu via bijvoorbeeld hun vingerafdruk of gezichtsscan toegang tot de opgeslagen wachtwoorden krijgen. Een andere aanpassing is dat alle kluizen zich op één plek bevinden. 1Password 7 is voor huidige gebruikers met een "standalone" licentie een betaalde upgrade en gratis voor gebruikers met een abonnement. bron: security.nl

Steam is een platform voor de computer waarop gebruikers games en software kunnen aanschaffen. De kwetsbaarheid die Court ontdekte bevond zich in de Steam client library en kon een buffer overflow veroorzaken. Hiervoor moest een aanvaller speciaal geprepareerde UDP-pakketten naar het slachtoffer versturen. Er was geen interactie van de gebruiker vereist. Het beveiligingslek was al minstens 10 jaar in de Steamsoftware aanwezig. Tot vorig jaar juli was het mogelijk om via de kwetsbaarheid willekeurige code op de systemen van gebruikers uit te voeren, zoals het installeren van malware. Valve had namelijk nagelaten een belangrijke beveiligingsmaatregel genaamd ASLR te implementeren. Address Space Layout Randomization (ASLR) maakt het lastiger voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken. Sinds Valve deze maatregel vorig jaar juli toevoegde was het nog steeds mogelijk om via het beveiligingslek op afstand willekeurige code uit te voeren, maar was er een tweede kwetsbaarheid vereist om dit mogelijk te maken. Court meldde het probleem op 20 februari van dit jaar aan Valve. Twaalf uur later was het al in een betaversie van de software gepatcht. Op 22 maart werd de beveiligingsupdate onder gebruikers uitgerold. bron: security.nl

Bij alle Belgische banken kunnen klanten straks via de Itsme-app inloggen. Itsme is een inlogmethode waarbij gebruikers via hun smartphone het inloggen bevestigen. Gebruikers moeten op de banksite aangeven dat ze via Itsme willen inloggen. Vervolgens verschijnt er op de telefoon een pop-up die vraagt om de inlogpoging te bevestigen, waarna de gebruiker zijn vijfcijferige Itsme-code moet invoeren. Gebruikers hoeven zo alleen hun Itsme-code te onthouden. De app heeft als doel om wachtwoorden en kaartlezers van banken te vervangen. De vier Belgische grootbanken Belfius, BNP Paribas Fortis en KBC ondersteunen Itsme al en later dit jaar volgen de overige Belgische banken. De app heeft nu 350.000 actieve gebruikers, maar hoopt de standaard digitale inlogmethode voor alle 11 miljoen Belgen te worden, zo meldt De Tijd. Banken hebben echter nog geen concrete plannen om de kaartlezer af te schaffen. bron: security.nl

Gebruikers van de e-mailclient Thunderbird die versleuteld via PGP willen e-mailen kunnen dit weer doen, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Op 14 mei waarschuwde de EFF voor de EFAIL-aanval, die gericht is tegen versleutelde e-mail. Wanneer een aanvaller een versleutelde e-mail van het slachtoffer bezit kan die door het sturen van een e-mail naar het slachtoffer in bepaalde gevallen de inhoud van de onderschepte versleutelde e-mail achterhalen. De EFF gaf vervolgens het advies om voorlopig te stoppen met het gebruik van PGP. Dit zorgde voor felle kritiek van beveiligingsexperts, alsmede van de PGP-ontwikkelaars. "Advies om PGP-plug-ins uit te schakelen en het niet versleutelen van e-mails zijn volledig ongerechtvaardigd en kunnen levens in gevaar brengen. Het juiste antwoord op kwetsbare PGP-implementaties is niet om te stoppen met PGP, maar om veilige PGP-implementaties te gebruiken. Als een kwetsbaarheid in je besturingssysteem is ontdekt gooi je ook niet de computer weg, maar patch je die", aldus Andy Yen van ProtonMail. Nu laat de burgerrechtenbeweging weten dat het voor Thunderbird-gebruikers weer veilig is om PGP te gebruiken. Wel doen gebruikers er volgens de EFF verstandig aan om naar de laatste versie van zowel Thunderbird als Enigmail te updaten en e-mails in platte tekst weer te geven. Gebruikers van GPGTools en Apple Mail krijgen het advies om te wachten, aangezien deze combinatie nog steeds kwetsbaar is. bron: security.nl

Een beveiligingslek in de browserextensie van vpn-provider ZenMate maakte het mogelijk om het ip-adres en andere gevoelige data van 3,5 miljoen gebruikers te achterhalen. Dat laat onderzoeker Matthew Bryant weten. ZenMate heeft 43 miljoen gebruikers. De vpn-provider biedt verschillende extensies om van hun vpn-dienst gebruik te maken. Deze extensies hebben bij elkaar zo'n 3,5 miljoen gebruikers. Bryant ontdekte dat de browserextensie een verlopen domeinnaam vertrouwde, die hij vervolgens registreerde. Via deze domeinnaam, zenmate.li, is het mogelijk om te communiceren met de extensie die bij de gebruiker is geïnstalleerd. Zo kunnen accountgegevens worden opgevraagd, zoals e-mailadres, land en een Authentication UUID en secret token waarmee op het account van de gebruiker kan worden ingelogd. Verder is het mogelijk om de vpn-verbinding van de gebruiker uit te schakelen, zodat het mogelijk is om zijn werkelijke ip-adres te achterhalen. Alleen het bezoeken van een webpagina was voldoende geweest om de aanval uit te voeren. Er was geen verdere interactie van de gebruiker vereist, zo laat Bryant weten. Hij waarschuwde ZenMate op 28 mei. De vpn-provider kwam op dezelfde dag nog met een update voor de browserextensies. In onderstaande video demonstreert Bryant de aanval. bron: security.nl

Opnieuw hebben de FBI en het Amerikaanse ministerie van Binnenlandse Veiligheid een waarschuwing afgegeven voor malware die door de Noord-Koreaanse overheid zou worden gebruikt. Het gaat om een SMB-worm genaamd Brambul en een remote access tool (RAT) met de naam Joanap. De Amerikaanse overheidsinstellingen wijzen naar rapporten van "betrouwbare derde partijen" dat het Noord-Koreaanse regime Joanap en Brambul al sinds 2009 hebben ingezet tegen bedrijven in de financiële, luchtvaart- en mediasector, alsmede de vitale infrastructuur. Het zou daarbij om zowel bedrijven in de Verenigde Staten als daarbuiten gaan. Via de Joanap-malware hebben aanvallers volledige controle over een systeem. De infectie vindt plaats door andere malware die al op het systeem actief is. Tijdens onderzoek naar de Joanap heeft de Amerikaanse overheid naar eigen zeggen 87 geïnfecteerde netwerknodes gevonden, waaronder in België, Spanje, Zweden, alsmede landen in Azië, het Midden-Oosten en Zuid-Amerika. Brambul wordt omgeschreven als een "brute-force authentication worm" die via een lijst met gebruikersnamen en wachtwoorden en het SMB-protocol toegang tot systemen probeert te krijgen. De initiële infectie vindt net als met de Joanap-malware plaats via andere malware die al op het systeem actief is. Brambul wordt onder andere gebruikt om informatie over systemen te verzamelen. Volgens de FBI kan de malware bij een succesvolle infectie voor verlies en diefstal van gevoelige bedrijfsgegevens zorgen, de bedrijfsvoering verstoren, financiële schade veroorzaken en de reputatie van de organisatie beschadigen. In de waarschuwing geeft de FBI "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat in deze waarschuwing voornamelijk om ip-adressen. Ook worden tips gegeven om infectie te voorkomen, zoals het uitschakelen van Microsofts bestands- en printerdeling, het beperken van de rechten van gebruikers en het inschakelen van een personal firewall op werkstations die ongewenste verbindingen blokkeert. In november en december vorig jaar, alsmede in februari en maart van dit jaar, publiceerden de FBI en Homeland Security ook al rapporten over "Noord-Koreaanse malware". bron: security.nl

Google heeft een nieuwe versie van Chrome gelanceerd die meerdere kwetsbaarheden verhelpt en een belangrijke beveiligingsoptie voor meer gebruikers beschikbaar maakt. In Chrome 67 zijn in totaal 34 kwetsbaarheden verholpen waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Voor het melden van de kwetsbaarheden betaalde Google externe onderzoekers een bedrag van 32.500 dollar. Het uiteindelijke bedrag voor Chrome 67 zal hoger uitvallen, aangezien de beloning voor verschillende kwetsbaarheden nog niet is bepaald. In de nieuwste versie van Googles browser is daarnaast de beveiligingsfeature genaamd Site Isolation voor meer gebruikers beschikbaar gemaakt. De feature werd al in Chrome 63 geïntroduceerd, maar was toen door een beperkt aantal gebruikers te gebruiken. Site Isolation zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden, aldus Google. Een nadeel van deze maatregel is wel dat het geheugengebruik met 10 tot 20 procent kan toenemen. Site Isolation kan voor alle websites en per website worden ingesteld. Google merkt op dat de maatregel ook tegen Spectre-aanvallen bescherming biedt. Public key pinning Verder is in Chrome 67 http-gebaseerde public key pinning verwijderd, een maatregel die gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt. Volgens Google maken webmasters en domeineigenaren echter weinig gebruik van public key pinning. Dit komt mede doordat de maatregel lastig is te gebruiken en die ervoor kan zorgen dat websites onbruikbaar worden. Google is dan ook van plan om de ondersteuning van public key pinning af te bouwen en uiteindelijk helemaal te verwijderen. Daarom is de ondersteuning van http public key pinning, waarbij er met dynamische 'pins' wordt gewerkt, in Chrome 67 uitgefaseerd. Uiteindelijk zal ook de ondersteuning van statistische pins worden gestopt. In plaats van public key pinning wil Google voor alle publiek vertrouwde certificaten op een andere techniek genaamd certificaattransparantie overstappen. Updaten naar Chrome 67.0.3396.62 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Europol heeft vandaag in Den Haag een apart team gelanceerd om misdaad op het dark web tegen te gaan. De lancering vond plaats tijdens een bijeenkomst van opsporingsdiensten uit 28 landen die in het teken stond van de bestrijding van criminaliteit op het dark web. De afgelopen jaren was Europol meerdere keren betrokken bij het oprollen van marktplaatsen die op het dark web illegale goederen aanboden. De organisatie wil misdaad op het dark web op een meer gecoördineerde wijze aanpakken. Het vandaag gelanceerde "Dark Web Investigations Team" moet hierbij helpen. Volgens Europol zal het team een "complete, gecoördineerde aanpak" bieden. De aanpak bestaat uit het delen van informatie, het bieden van operationele ondersteuning en expertise en de ontwikkeling van tools, tactieken en technieken om onderzoeken op het dark web uit te voeren. Tevens zal het team trainingen en preventie- en bewustzijnscampagnes organiseren. Dit moet een "360 graden strategie tegen criminaliteit op het dark web" vormen, aldus de aankondiging. Het Dark Web Team zal in het Europese Cybercrime Centrum van Europol in Den Haag worden opgenomen. Het "dark web" is een term die wordt gebruikt voor een deel van het internet dat niet zonder specifieke software, configuraties of autorisatie toegankelijk is. Eind vorig jaar liet Roger Dingledine, één van de ontwikkelaars van het Tor-netwerk en medeoprichter van het Tor Project, nog weten dat het dark web helemaal niet bestaat. "Er is eigenlijk helemaal geen dark web. Het bestaat niet. Het gaat om slechts een paar webpagina's", aldus Dingledine tijdens de Def Con-hackerconferentie in Las Vegas. bron: security.nl

De bende die verantwoordelijk wordt gehouden voor het hacken van meer dan 100 banken en het stelen van meer dan 1 miljard euro heeft opnieuw geraffineerde phishingmails verstuurd. Eind maart meldde Europol de aanhouding van de vermeende leider van de "Cobalt" groep. Ondanks de arrestatie van de vermeende bendeleider is de groep nog altijd actief. De laatste aanvallen van de groep die zijn waargenomen waren gericht tegen banken in Rusland en landen van de voormalige Sovjet-Unie, zo meldt securitybedrijf Group-IB. Het is echter ook waarschijnlijk dat financiële instellingen in het westen het doelwit waren, aangezien de phishingmails in het Engels waren opgesteld, aldus de onderzoekers. Bij een phishingaanval op 23 mei verstuurde de groep een e-mail die zogenaamd van anti-virusbedrijf Kaspersky Lab afkomstig leek. Volgens het bericht zijn er activiteiten op de computer van de ontvanger waargenomen die in strijd met bestaande wetgeving zijn. De ontvanger wordt vervolgens opgeroepen om de meegestuurde brief te lezen en uitleg te geven. Als dit niet binnen 48 uur gebeurt wordt er met maatregelen gedreigd. Het bestand waar de e-mail naar linkt is in werkelijkheid malware. Group-IB stelt dat de e-mails waren verstuurd vanaf een .com-domein met daarin de naam Kaspersky. Deze domeinnaam was geregistreerd onder een naam die ook eerder was gebruikt voor het registreren van domeinen die de Cobalt-groep gebruikte. ECB Gisteren detecteerde het securitybedrijf een nieuwe phishingaanval van de groep. Dit keer ging het om een bericht dat zogenaamd van de Europese Centrale Bank (ECB) afkomstig was. Hiervoor hadden de aanvallers wederom een aparte domeinnaam geregistreerd. De e-mail bevatte een kwaadaardig Word-document dat misbruik van een bekende kwetsbaarheid in Microsoft Office maakt. Het beveiligingslek werd op 14 november vorig jaar door Microsoft gepatcht. Wanneer het document met een ongepatchte Office-versie wordt geopend zal er een backdoor worden geïnstalleerd. Volgens Group-IB laten de aanvallen zien dat de groep nog steeds actief en gevaarlijk is. bron: security.nl

De CAPTCHA-oplossing van Google wordt op zeer veel websites gebruikt om misbruik door bots te voorkomen, maar onderzoeker Andres Riancho ontdekte begin dit jaar een manier om de maatregel op bepaalde websites te omzeilen. ReCAPTCHA vraagt bijvoorbeeld aan gebruikers om uit verschillende afbeeldingen de soortgelijke afbeeldingen te selecteren. Zodra de gebruiker dit heeft gedaan en op "verifiëren" klikt wordt er een http-verzoek naar de website gestuurd. Om het antwoord van de gebruiker te controleren stuurt de website een verzoek naar de programmeerinterface (API) van reCAPTCHA met het antwoord van de gebruiker. De website moet zich hiervoor bij de reCAPTCHA-API authenticeren en een gegenereerde hash versturen. Is het antwoord van de gebruiker correct, dan laat de API dit aan de website weten. Riancho ontdekte dat reCAPTCHA via "HTTP Parameter Pollution" te omzeilen is. Hierbij worden de http-parameters van een webapplicatie "vervuild" zodat een aanvaller de invoervalidatie kan omzeilen of fouten binnen de applicatie kan veroorzaken. Voor het uitvoeren van de aanval op reCAPTCHA waren echter twee vereisten. Ten eerste moest de webapplicatie of website een HTTP parameter pollution kwetsbaarheid in de reCAPTCHA-implementatie hebben. Iets wat bij zo'n 60 procent van de implementaties van reCAPTCHA het geval bleek te zijn. Ten tweede moest de webapplicatie een url op een bepaalde manier genereren waarbij de antwoordparameter eerst kwam. Iets wat Riancho bij 5 tot 10 procent van de reCAPTCHA-implementaties aantrof. Volgens de onderzoeker zorgden deze vereisten ervoor dat zo'n 3 procent van de websites die reCAPTCHA gebruikt kwetsbaar was. Dit lijkt een klein percentage, maar gezien de populariteit van reCAPTCHA gaat het om veel websites. Riancho waarschuwde Google op 29 januari. Een dag later stelde de techgigant dat reCAPTCHA naar behoren werkte. De onderzoeker vroeg Google om de bugmelding nog eens te lezen, waarna het bedrijf de kwetsbaarheid bevestigde. Op 25 maart kwam Google met een update voor het probleem. Voor zijn bugmelding ontving Riancho 500 dollar, dat hij aan een goed doel doneerde. bron: security.nl

Een security-audit van de netwerkcode van NetBSD heeft honderden patches opgeleverd. Ook zijn er tientallen kwetsbaarheden verholpen, waarvan een aardig aantal op afstand kon worden aangevallen, zo stelt Maxime Villard, die de audit uitvoert. NetBSD is een Unix-achtig besturingssysteem. Het is van BSD afgeleid en ondersteunt een groot aantal hardwareplatformen. Op verzoek van The NetBSD Foundation is Villard met de audit bezig. Hoewel de audit nog niet is afgelopen heeft hij besloten om al wat resultaten openbaar te maken, waaronder verschillende gevonden kwetsbaarheden. Het gaat onder andere om een IPv6-bufferoverflow waardoor het mogelijk was om een "zeer vervelende" denial of service te veroorzaken. Ook verschillende van BSD afgeleide besturingssysteem bleken met dit probleem te maken hebben, dat inmiddels is gepatcht. Hoewel de audit op NetBSD is gericht, dient die alle BSD-besturingssystemen. Het werk van Villard heeft dan ook verschillende patches voor FreeBSD en OpenBSD opgeleverd. De onderzoeker merkt op dat vanwege tijdbeperkingen niet alle protocollen en lagen van de netwerkcode zijn doorgelicht. Mogelijk zal dit later dit jaar worden opgepakt. The NetBSD Foundation is een non-profitorganisatie en afhankelijk van donaties om dergelijke audits uit te laten voeren. Het is dan ook nog niet bekend of er een volgende audit komt. bron: security.nl