Captain Kirk

Gebruikers van de e-mailclient Thunderbird die versleuteld via PGP willen e-mailen kunnen dit weer doen, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Op 14 mei waarschuwde de EFF voor de EFAIL-aanval, die gericht is tegen versleutelde e-mail. Wanneer een aanvaller een versleutelde e-mail van het slachtoffer bezit kan die door het sturen van een e-mail naar het slachtoffer in bepaalde gevallen de inhoud van de onderschepte versleutelde e-mail achterhalen. De EFF gaf vervolgens het advies om voorlopig te stoppen met het gebruik van PGP. Dit zorgde voor felle kritiek van beveiligingsexperts, alsmede van de PGP-ontwikkelaars. "Advies om PGP-plug-ins uit te schakelen en het niet versleutelen van e-mails zijn volledig ongerechtvaardigd en kunnen levens in gevaar brengen. Het juiste antwoord op kwetsbare PGP-implementaties is niet om te stoppen met PGP, maar om veilige PGP-implementaties te gebruiken. Als een kwetsbaarheid in je besturingssysteem is ontdekt gooi je ook niet de computer weg, maar patch je die", aldus Andy Yen van ProtonMail. Nu laat de burgerrechtenbeweging weten dat het voor Thunderbird-gebruikers weer veilig is om PGP te gebruiken. Wel doen gebruikers er volgens de EFF verstandig aan om naar de laatste versie van zowel Thunderbird als Enigmail te updaten en e-mails in platte tekst weer te geven. Gebruikers van GPGTools en Apple Mail krijgen het advies om te wachten, aangezien deze combinatie nog steeds kwetsbaar is. bron: security.nl

Een beveiligingslek in de browserextensie van vpn-provider ZenMate maakte het mogelijk om het ip-adres en andere gevoelige data van 3,5 miljoen gebruikers te achterhalen. Dat laat onderzoeker Matthew Bryant weten. ZenMate heeft 43 miljoen gebruikers. De vpn-provider biedt verschillende extensies om van hun vpn-dienst gebruik te maken. Deze extensies hebben bij elkaar zo'n 3,5 miljoen gebruikers. Bryant ontdekte dat de browserextensie een verlopen domeinnaam vertrouwde, die hij vervolgens registreerde. Via deze domeinnaam, zenmate.li, is het mogelijk om te communiceren met de extensie die bij de gebruiker is geïnstalleerd. Zo kunnen accountgegevens worden opgevraagd, zoals e-mailadres, land en een Authentication UUID en secret token waarmee op het account van de gebruiker kan worden ingelogd. Verder is het mogelijk om de vpn-verbinding van de gebruiker uit te schakelen, zodat het mogelijk is om zijn werkelijke ip-adres te achterhalen. Alleen het bezoeken van een webpagina was voldoende geweest om de aanval uit te voeren. Er was geen verdere interactie van de gebruiker vereist, zo laat Bryant weten. Hij waarschuwde ZenMate op 28 mei. De vpn-provider kwam op dezelfde dag nog met een update voor de browserextensies. In onderstaande video demonstreert Bryant de aanval. bron: security.nl

Opnieuw hebben de FBI en het Amerikaanse ministerie van Binnenlandse Veiligheid een waarschuwing afgegeven voor malware die door de Noord-Koreaanse overheid zou worden gebruikt. Het gaat om een SMB-worm genaamd Brambul en een remote access tool (RAT) met de naam Joanap. De Amerikaanse overheidsinstellingen wijzen naar rapporten van "betrouwbare derde partijen" dat het Noord-Koreaanse regime Joanap en Brambul al sinds 2009 hebben ingezet tegen bedrijven in de financiële, luchtvaart- en mediasector, alsmede de vitale infrastructuur. Het zou daarbij om zowel bedrijven in de Verenigde Staten als daarbuiten gaan. Via de Joanap-malware hebben aanvallers volledige controle over een systeem. De infectie vindt plaats door andere malware die al op het systeem actief is. Tijdens onderzoek naar de Joanap heeft de Amerikaanse overheid naar eigen zeggen 87 geïnfecteerde netwerknodes gevonden, waaronder in België, Spanje, Zweden, alsmede landen in Azië, het Midden-Oosten en Zuid-Amerika. Brambul wordt omgeschreven als een "brute-force authentication worm" die via een lijst met gebruikersnamen en wachtwoorden en het SMB-protocol toegang tot systemen probeert te krijgen. De initiële infectie vindt net als met de Joanap-malware plaats via andere malware die al op het systeem actief is. Brambul wordt onder andere gebruikt om informatie over systemen te verzamelen. Volgens de FBI kan de malware bij een succesvolle infectie voor verlies en diefstal van gevoelige bedrijfsgegevens zorgen, de bedrijfsvoering verstoren, financiële schade veroorzaken en de reputatie van de organisatie beschadigen. In de waarschuwing geeft de FBI "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat in deze waarschuwing voornamelijk om ip-adressen. Ook worden tips gegeven om infectie te voorkomen, zoals het uitschakelen van Microsofts bestands- en printerdeling, het beperken van de rechten van gebruikers en het inschakelen van een personal firewall op werkstations die ongewenste verbindingen blokkeert. In november en december vorig jaar, alsmede in februari en maart van dit jaar, publiceerden de FBI en Homeland Security ook al rapporten over "Noord-Koreaanse malware". bron: security.nl

Google heeft een nieuwe versie van Chrome gelanceerd die meerdere kwetsbaarheden verhelpt en een belangrijke beveiligingsoptie voor meer gebruikers beschikbaar maakt. In Chrome 67 zijn in totaal 34 kwetsbaarheden verholpen waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Voor het melden van de kwetsbaarheden betaalde Google externe onderzoekers een bedrag van 32.500 dollar. Het uiteindelijke bedrag voor Chrome 67 zal hoger uitvallen, aangezien de beloning voor verschillende kwetsbaarheden nog niet is bepaald. In de nieuwste versie van Googles browser is daarnaast de beveiligingsfeature genaamd Site Isolation voor meer gebruikers beschikbaar gemaakt. De feature werd al in Chrome 63 geïntroduceerd, maar was toen door een beperkt aantal gebruikers te gebruiken. Site Isolation zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden, aldus Google. Een nadeel van deze maatregel is wel dat het geheugengebruik met 10 tot 20 procent kan toenemen. Site Isolation kan voor alle websites en per website worden ingesteld. Google merkt op dat de maatregel ook tegen Spectre-aanvallen bescherming biedt. Public key pinning Verder is in Chrome 67 http-gebaseerde public key pinning verwijderd, een maatregel die gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt. Volgens Google maken webmasters en domeineigenaren echter weinig gebruik van public key pinning. Dit komt mede doordat de maatregel lastig is te gebruiken en die ervoor kan zorgen dat websites onbruikbaar worden. Google is dan ook van plan om de ondersteuning van public key pinning af te bouwen en uiteindelijk helemaal te verwijderen. Daarom is de ondersteuning van http public key pinning, waarbij er met dynamische 'pins' wordt gewerkt, in Chrome 67 uitgefaseerd. Uiteindelijk zal ook de ondersteuning van statistische pins worden gestopt. In plaats van public key pinning wil Google voor alle publiek vertrouwde certificaten op een andere techniek genaamd certificaattransparantie overstappen. Updaten naar Chrome 67.0.3396.62 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Europol heeft vandaag in Den Haag een apart team gelanceerd om misdaad op het dark web tegen te gaan. De lancering vond plaats tijdens een bijeenkomst van opsporingsdiensten uit 28 landen die in het teken stond van de bestrijding van criminaliteit op het dark web. De afgelopen jaren was Europol meerdere keren betrokken bij het oprollen van marktplaatsen die op het dark web illegale goederen aanboden. De organisatie wil misdaad op het dark web op een meer gecoördineerde wijze aanpakken. Het vandaag gelanceerde "Dark Web Investigations Team" moet hierbij helpen. Volgens Europol zal het team een "complete, gecoördineerde aanpak" bieden. De aanpak bestaat uit het delen van informatie, het bieden van operationele ondersteuning en expertise en de ontwikkeling van tools, tactieken en technieken om onderzoeken op het dark web uit te voeren. Tevens zal het team trainingen en preventie- en bewustzijnscampagnes organiseren. Dit moet een "360 graden strategie tegen criminaliteit op het dark web" vormen, aldus de aankondiging. Het Dark Web Team zal in het Europese Cybercrime Centrum van Europol in Den Haag worden opgenomen. Het "dark web" is een term die wordt gebruikt voor een deel van het internet dat niet zonder specifieke software, configuraties of autorisatie toegankelijk is. Eind vorig jaar liet Roger Dingledine, één van de ontwikkelaars van het Tor-netwerk en medeoprichter van het Tor Project, nog weten dat het dark web helemaal niet bestaat. "Er is eigenlijk helemaal geen dark web. Het bestaat niet. Het gaat om slechts een paar webpagina's", aldus Dingledine tijdens de Def Con-hackerconferentie in Las Vegas. bron: security.nl

De bende die verantwoordelijk wordt gehouden voor het hacken van meer dan 100 banken en het stelen van meer dan 1 miljard euro heeft opnieuw geraffineerde phishingmails verstuurd. Eind maart meldde Europol de aanhouding van de vermeende leider van de "Cobalt" groep. Ondanks de arrestatie van de vermeende bendeleider is de groep nog altijd actief. De laatste aanvallen van de groep die zijn waargenomen waren gericht tegen banken in Rusland en landen van de voormalige Sovjet-Unie, zo meldt securitybedrijf Group-IB. Het is echter ook waarschijnlijk dat financiële instellingen in het westen het doelwit waren, aangezien de phishingmails in het Engels waren opgesteld, aldus de onderzoekers. Bij een phishingaanval op 23 mei verstuurde de groep een e-mail die zogenaamd van anti-virusbedrijf Kaspersky Lab afkomstig leek. Volgens het bericht zijn er activiteiten op de computer van de ontvanger waargenomen die in strijd met bestaande wetgeving zijn. De ontvanger wordt vervolgens opgeroepen om de meegestuurde brief te lezen en uitleg te geven. Als dit niet binnen 48 uur gebeurt wordt er met maatregelen gedreigd. Het bestand waar de e-mail naar linkt is in werkelijkheid malware. Group-IB stelt dat de e-mails waren verstuurd vanaf een .com-domein met daarin de naam Kaspersky. Deze domeinnaam was geregistreerd onder een naam die ook eerder was gebruikt voor het registreren van domeinen die de Cobalt-groep gebruikte. ECB Gisteren detecteerde het securitybedrijf een nieuwe phishingaanval van de groep. Dit keer ging het om een bericht dat zogenaamd van de Europese Centrale Bank (ECB) afkomstig was. Hiervoor hadden de aanvallers wederom een aparte domeinnaam geregistreerd. De e-mail bevatte een kwaadaardig Word-document dat misbruik van een bekende kwetsbaarheid in Microsoft Office maakt. Het beveiligingslek werd op 14 november vorig jaar door Microsoft gepatcht. Wanneer het document met een ongepatchte Office-versie wordt geopend zal er een backdoor worden geïnstalleerd. Volgens Group-IB laten de aanvallen zien dat de groep nog steeds actief en gevaarlijk is. bron: security.nl

De CAPTCHA-oplossing van Google wordt op zeer veel websites gebruikt om misbruik door bots te voorkomen, maar onderzoeker Andres Riancho ontdekte begin dit jaar een manier om de maatregel op bepaalde websites te omzeilen. ReCAPTCHA vraagt bijvoorbeeld aan gebruikers om uit verschillende afbeeldingen de soortgelijke afbeeldingen te selecteren. Zodra de gebruiker dit heeft gedaan en op "verifiëren" klikt wordt er een http-verzoek naar de website gestuurd. Om het antwoord van de gebruiker te controleren stuurt de website een verzoek naar de programmeerinterface (API) van reCAPTCHA met het antwoord van de gebruiker. De website moet zich hiervoor bij de reCAPTCHA-API authenticeren en een gegenereerde hash versturen. Is het antwoord van de gebruiker correct, dan laat de API dit aan de website weten. Riancho ontdekte dat reCAPTCHA via "HTTP Parameter Pollution" te omzeilen is. Hierbij worden de http-parameters van een webapplicatie "vervuild" zodat een aanvaller de invoervalidatie kan omzeilen of fouten binnen de applicatie kan veroorzaken. Voor het uitvoeren van de aanval op reCAPTCHA waren echter twee vereisten. Ten eerste moest de webapplicatie of website een HTTP parameter pollution kwetsbaarheid in de reCAPTCHA-implementatie hebben. Iets wat bij zo'n 60 procent van de implementaties van reCAPTCHA het geval bleek te zijn. Ten tweede moest de webapplicatie een url op een bepaalde manier genereren waarbij de antwoordparameter eerst kwam. Iets wat Riancho bij 5 tot 10 procent van de reCAPTCHA-implementaties aantrof. Volgens de onderzoeker zorgden deze vereisten ervoor dat zo'n 3 procent van de websites die reCAPTCHA gebruikt kwetsbaar was. Dit lijkt een klein percentage, maar gezien de populariteit van reCAPTCHA gaat het om veel websites. Riancho waarschuwde Google op 29 januari. Een dag later stelde de techgigant dat reCAPTCHA naar behoren werkte. De onderzoeker vroeg Google om de bugmelding nog eens te lezen, waarna het bedrijf de kwetsbaarheid bevestigde. Op 25 maart kwam Google met een update voor het probleem. Voor zijn bugmelding ontving Riancho 500 dollar, dat hij aan een goed doel doneerde. bron: security.nl

Een security-audit van de netwerkcode van NetBSD heeft honderden patches opgeleverd. Ook zijn er tientallen kwetsbaarheden verholpen, waarvan een aardig aantal op afstand kon worden aangevallen, zo stelt Maxime Villard, die de audit uitvoert. NetBSD is een Unix-achtig besturingssysteem. Het is van BSD afgeleid en ondersteunt een groot aantal hardwareplatformen. Op verzoek van The NetBSD Foundation is Villard met de audit bezig. Hoewel de audit nog niet is afgelopen heeft hij besloten om al wat resultaten openbaar te maken, waaronder verschillende gevonden kwetsbaarheden. Het gaat onder andere om een IPv6-bufferoverflow waardoor het mogelijk was om een "zeer vervelende" denial of service te veroorzaken. Ook verschillende van BSD afgeleide besturingssysteem bleken met dit probleem te maken hebben, dat inmiddels is gepatcht. Hoewel de audit op NetBSD is gericht, dient die alle BSD-besturingssystemen. Het werk van Villard heeft dan ook verschillende patches voor FreeBSD en OpenBSD opgeleverd. De onderzoeker merkt op dat vanwege tijdbeperkingen niet alle protocollen en lagen van de netwerkcode zijn doorgelicht. Mogelijk zal dit later dit jaar worden opgepakt. The NetBSD Foundation is een non-profitorganisatie en afhankelijk van donaties om dergelijke audits uit te laten voeren. Het is dan ook nog niet bekend of er een volgende audit komt. bron: security.nl

Een detector voor het opsporen van malafide websites heeft de vierde editie van de Dutch Open Hackathon 2018 gewonnen. Het evenement is een initiatief van Stichting Dutch Open Innovation, Big Data Innovatiehub, het Kadaster, Koninklijk Instituut Van Ingenieurs (KIVI), KPN, Politie, PostNL en SIDN. Meer dan honderden ontwikkelaars uit binnen- en buitenland namen deel aan het event. Zij konden gebruikmaken van uiteenlopende datasets en programmeerinterfaces (API's) van de partners en sponsors van het evenement. De keuze van de jury viel op CrimeBusterBot, een automatische bot die malafide websites opspoort. Op basis van webcrawling-informatie en het uitvoeren van een dns-analyse kan de bot complete netwerken van malafide websites blootleggen. Bij de ontwikkeling van de CrimeBusterBot zijn machine learning-technieken toegepast die ervoor zorgen dat de tool automatisch websites aanmerkt als mogelijk malafide. In eerste instantie is de toepassing niet direct gericht op consumenten, maar moet het vooral de Politie en SIDN ondersteunen in hun strijd tegen deze vorm van cybercrime. De ontwikkelaars omschrijven CrimeBusterBot als een tool waarmee gebruikers aan de hand van politiegegevens, certificaat en fysieke adresvalidatie kunnen valideren of een website betrouwbaar is. Ook wordt er gebruik gemaakt van data van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert. Volgens de jury pakt CrimeBusterBot een relevant probleem aan en maakt het goed gebruik van de data die de partners beschikbaar hebben gesteld. De ontwikkelaars van CrimeBusterBot wonnen met hun eerste plaats een bedrag van 7.500 euro. Ook wonnen zij de pioniersprijs die werd uitgereikt namens SIDN Fonds. bron: security.nl

Het bedrijf achter de populaire privacyplug-in Ghostery heeft afgelopen vrijdag tijdens het versturen van een e-mail over de nieuwe Europese privacywetgeving de e-mailadressen van gebruikers gelekt. Ghostery is een gratis browserplug-in die advertenties en trackers blokkeert en miljoenen gebruikers heeft. Gebruikers die hiervoor kiezen kunnen een Ghostery-account aanmaken en zich op een mailinglist abonneren. Het Ghostery-account geeft toegang tot verschillende features, zoals het synchroniseren van instellingen over meerdere apparaten. Bij het versturen van de e-mail over de privacywetgeving is van sommige van deze gebruikers het e-mailadres gelekt. In een verklaring stelt Ghostery dat het onlangs heeft besloten om met het gebruik van een third-party e-mailplatform te stoppen en e-mailadressen van gebruikers nu via een eigen systeem beheert. Door een "technisch probleem" en "menselijke fout" werden de e-mails over de nieuwe Europese privacywetgeving in batches verstuurd, waarbij het e-mailadres van alle geadresseerde gebruikers in het "To" veld zichtbaar was. Cliqz, dat de eigenaar van Ghostery is, maakt excuses voor het incident. Het bedrijf heeft, zoals de privacywetgeving vereist, melding van het incident gemaakt. Ook gaat het maatregelen nemen om herhaling te voorkomen. bron: security.nl

Onderzoekers hebben vorige week tijdens een beveiligingsconferentie in San Francisco laten zien hoe een akoestische aanval op harde schijven een laptop kan laten crashen en een bewakingscamera kan saboteren. Dat harde schijven voor dergelijke aanvallen kwetsbaar zijn is niet nieuw. Afgelopen december waarschuwden onderzoekers ook al voor akoestische dos-aanvallen. Akoestische resonantie is een fenomeen waarbij een akoestisch signaal op bepaalde frequenties voor vibraties in een voorwerp zorgt, dat in het ergste geval tot de vernietiging van het voorwerp kan leiden. Een doorsnee harde schijf bestaat uit verschillende platters, platte ronde schijven met een dun laagje van ferromagnetisch materiaal, en de lees- en schrijfkoppen, die zich dicht op de platters bevinden. De data wordt op de platters opgeslagen en de koppen zijn verantwoordelijk voor het lezen en schrijven van data. Doordat harde schijven steeds meer data bevatten moeten de lees- en schrijfkoppen zeer nauwkeurig opereren. Een kleine afwijking van de koppen kan voor een storing zorgen en zelfs de platters beschadigen, waardoor er permanente schade ontstaat. Dit keer keken onderzoekers van de Universiteit van Michigan en Zhejiang University hoe akoestische aanvallen werken en wat er tegen kan worden worden gedaan. "Beschikbaarheid is de belangrijkste beveiligingseigenschap van een harde schijf voor consumenten. Zonder beschikbaarheid heeft het weinig zin om naar beveiligingseigenschappen als vertrouwelijkheid en integriteit te kijken", aldus de onderzoekers (pdf). Toch worden magnetische harde schijven nog steeds voor allerlei belangrijke toepassingen gebruikt, waaronder medische apparatuur. Plotselinge bewegingen kunnen dergelijke harde schijven beschadigen en data corrumperen. Uit eerder onderzoek blijkt dat ook dat luide geluiden, zoals schreeuwen en brandalarmen, de harde schijf kunnen laten vibreren. Deze geluiden kunnen ervoor zorgen dat de harde schijf niet meer reageert. "Wat een mysterie blijft is hoe en waarom onbedoelde vibraties bizarre storingen in harde schijven en ongedefinieerd gedrag in besturingssystemen veroorzaken", zo stellen de onderzoekers. Voor het onderzoek keken ze dan ook hoe opzettelijke vibraties op bepaalde frequenties voor permanent dataverlies, crashes en fysieke beschadigingen kunnen zorgen. Zo laten de onderzoekers een Windows 10-laptop via de ingebouwde speakers van de laptop crashen en lukt het ze om een bewakingscamera geen beeld op te laten nemen. Harde schijven beschikken over een "feedback controller" die de schrijf- en leeskoppen op de juiste positie probeert te houden. Het probleem is echter dat deze controller niet weet dat er een aanval plaatsvindt. De onderzoekers besloten daarop wat extra logica aan de controller toe te voegen die informatie over de aanval verstrekt. Een akoestische aanval en de verplaatsing van de koppen is voorspelbaar. Op deze manier kan de feedback controller op de aanval anticiperen en zo de beweging van de koppen compenseren. Dergelijke logica kan via een firmware-update aan de harde schijf worden toegevoegd. bron: security.nl

Onderzoekers hebben bankmalware ontdekt die een nieuwe techniek gebruikt om de browser te manipuleren en zo geld van bankrekeningen te stelen. De meeste banking Trojans injecteren zich in de processen van de browser om zich zo te verbergen en gegevens voor internetbankieren te stelen. De BackSwap-malware kaapt echter verschillende events van de "Windows message loop". De malware zoekt vervolgens naar objecten waarin vermeld staat dat de gebruiker een transactie gaat uitvoeren. Zodra de malware ziet dat een gebruiker geld naar een rekening overmaakt wordt er voor de specifieke bank kwaadaardige JavaScript-code geladen. Deze code vervangt in de achtergrond het rekeningnummer waar het slachtoffer geld naar wil overmaken. Op het scherm wordt echter het originele rekeningnummer weergegeven. "Beveiligingsmaatregelen tegen ongeautoriseerde transacties, zoals tweefactorauthenticatie, zullen in dit geval niet helpen, aangezien de rekeninghouder de transactie wil uitvoeren", zegt Michal Poslusny van anti-virusbedrijf ESET. Volgens de onderzoeker heeft de nieuwe techniek als voordeel voor de malware-auteur dat de code niet afhankelijk van de browserarchitectuur is en geen speciale rechten vereist. De BackSwap-malware verspreidt zich via e-mailbijlagen en heeft het op vijf banken in Polen voorzien, waaronder ING. Alleen als het slachtoffer een bedrag in een bepaalde bandbreedte overmaakt wordt de malware actief en zal het rekeningnummer wijzigen. Meestal gaat het om een bedrag tussen de 2300 en 4600 euro. bron: security.nl

Google heeft een nieuwe testversie van Chrome uitgerold die over een betere pop-upblocker beschikt. Twintig procent van de meldingen die Chrome-gebruikers op de desktop doen gaat over ongewenste content. Het gaat dan bijvoorbeeld om third-party websites die vermomd zijn als een speelknop of transparante overlays op websites die alle clicks afvangen en een nieuwe tab of nieuw venster openen. Dergelijke methodes worden geregeld door scamsites en voor de verspreiding van adware en andere ongewenste software gebruikt. In Chrome 64 voorkomt de pop-upblocker dat websites met dergelijke content nieuwe tabs of vensters kunnen openen. Webmasters kunnen via de Google Search Console zien of dergelijke content op hun website is aangetroffen en maatregelen nemen. De nieuwe pop-upblocker is nu te testen in de betaversie van Chrome 64. bron: security.nl

Met de lancering van de Windows 10 April 2018 Update is het nu ook mogelijk om in de InPrivate browsing-mode van Microsoft Edge extensies in te schakelen. Net als Chrome en Firefox ondersteunt ook Edge een "private browsing-mode" die geen informatie over bezochte websites op het systeem opslaat. Voorheen was het in deze mode niet mogelijk om extensies in te schakelen. Na installatie van de Windows 10 April 2018 Update kunnen gebruikers echter per extensie bepalen of ze die ook in de InPrivate browsing-mode willen inschakelen. Hoewel Edge de standaard browser van Windows 10 is, heeft de browsers slechts een marktaandeel van zo'n 4 procent. Daarnaast blijft het aantal beschikbare extensies ver achter bij Chrome en Firefox. Waar deze browsers tienduizenden extensies hebben, zijn er voor Edge slechts 90 extensies beschikbaar. bron: security.nl

Mozilla heeft een optie aan Firefox Focus voor Android toegevoegd die gebruikers extra bescherming tegen tracking door adverteerders moet bieden. Firefox Focus is een op privacy gerichte Firefox-versie voor mobiele apparaten die standaard advertenties en trackers blokkeert en het mogelijk maakt om met een druk op de knop alle gegevens te wissen. Tot nu blokkeerde Firefox Focus alle first party trackers op websites waarvan bekend is dat ze gebruikers van website naar website volgen. Iets wat bekendstaat als "cross-site tracking". De nieuwe optie die aan Firefox Focus is toegevoegd geeft gebruikers meer controle over de herkomst van de trackers die gebruikers volgen. Zo is het mogelijk om bijvoorbeeld alle cookies te blokkeren of alleen die van derde partijen. De nieuwste versie van Firefox Focus voor Android is te downloaden via Google Play en als APK-bestand via GitHub. Firefox Focus is ook beschikbaar voor iOS, maar Mozilla maakt geen melding dat de nieuwe feature ook aan deze versie is toegevoegd. bron: security.nl

Een recent gedicht beveiligingslek in Internet Explorer 11 wordt actief door exploitkits aangevallen. Op dinsdag 8 mei kwam Microsoft met een update voor de kwetsbaarheid, die al sinds april het doelwit van gerichte aanvallen was. Bij deze aanvallen maakten de aanvallers echter gebruik van Word-documenten. Zodra gebruikers het toegestuurde kwaadaardige document openden werd de exploit uitgevoerd. Vier dagen geleden verscheen er een publieke exploit voor IE11 op Windows 7 die de kwetsbaarheid via een website aanvalt. In dit geval is alleen het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie voldoende om met een kwetsbare IE11-versie besmet te raken. De publieke exploit is nu onder andere aan de RIG-exploitkit toegevoegd, zo meldt beveiligingsonderzoeker Kafeine van het blog Malware don't need Coffee. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. RIG is één van de populairste exploitkits van het moment. In het verleden werd de RIG-exploitkit onder andere gebruikt voor het infecteren van computers met ransomware en cryptominers. Volgens Net Applications heeft Internet Explorer 11 nog een marktaandeel van ruim 9 procent. bron: security.nl

Ontwikkelaars hebben een gratis opensource-extensie voor Google Chrome gemaakt die controleert of wachtwoorden van gebruikers ooit via een datalek op straat zijn beland. PassProtect, zoals de extensie heet, kijkt hiervoor in een database van meer dan 500 miljoen gelekte wachtwoorden. De database is afkomstig van onderzoeker Troy Hunt, die de afgelopen jaren tal van datalekken verzamelde. PassProtect is ontwikkeld door identiteitsmanagementbedrijf Okta. Aangezien de wachtwoorden die gebruikers invoeren worden vergeleken met eerder gelekte wachtwoorden gaat het hier om gevoelige data. Volgens Okta slaat PassProtect geen wachtwoorden van gebruikers op en verstuurt die ook niet via het netwerk. Hiervoor maakt de extensie gebruik van k-anonimity. Dit is een door Cloudflare ontwikkelde techniek die het mogelijk maakt om wachtwoorden te verifiëren zonder dat het wachtwoord of de volledige hash worden verstuurd. Als gebruikers op een website een wachtwoord invoeren dat onderdeel van een bekend datalek is, zal PassProtect een waarschuwing laten zien. Okta hoopt dat de extensie ervoor zal zorgen dat gebruikers hun wachtwoord na een datalek zullen wijzigen. PassProtect is te downloaden via de Chrome Web Store en de broncode via via GitHub in te zien. Binnenkort verschijnt er een versie voor Firefox. bron: security.nl

Netwerkfabrikant Netgear heeft gebruikers advies gegeven hoe ze hun router tegen de VPNFilter-malware kunnen beschermen. Gisteren lieten onderzoekers van Cisco weten dat de malware wereldwijd al 500.000 routers en NASsen heeft geïnfecteerd. De exacte infectievector is echter nog altijd onbekend. Wel is bekend dat verschillende Netgear-routers zich onder de getroffen apparaten bevinden. Daarop heeft Netgear een aparte security advisory met advies afgegeven. De fabrikant adviseert gebruikers om de laatste firmware te installeren, het standaard admin-wachtwoord te wijzigen en remote management uit te schakelen. Via deze laatste functie is het mogelijk om de router op afstand te beheren. Standaard staat de functie uitgeschakeld. In het advies wordt uitgelegd hoe gebruikers kunnen controleren of remote management inderdaad staat uitgeschakeld. MikroTik Fabrikant MikroTik, waarvan ook verschillende modellen het doelwit waren, stelt in een reactie dat de malware zeer waarschijnlijk is binnengekomen via een kwetsbaarheid die in maart 2017 werd gepatcht. Het installeren van de nieuwste RouterOS-versie, het besturingssysteem van MikroTik-routers, verwijdert de malware. bron: security.nl

Google heeft juridische stappen tegen verschillende bedrijven genomen die zich bij bedrijven en organisaties als Google voordoen. De scammers claimen dat ze de zoekranking van bedrijven kunnen verbeteren of ze vragen om geld voor diensten die Google gratis levert. Ook dreigen de scammers dat ze de bedrijven uit de zoekresultaten van Google en Google Maps verwijderen. Eerder deze maand nam de Amerikaanse toezichthouder FTC al maatregelen tegen een dergelijk bedrijf voor het misleiden van consumenten. Nu neemt ook Google stappen tegen verschillende van deze bedrijven. Daarnaast heeft de internetgigant technieken ontwikkeld die moeten helpen bij het identificeren van accounts die bij scams zijn betrokken. Verder is er een nieuwe tool ontwikkeld waar bedrijven scammers en beleidsovertredingen kunnen rapporteren en is er een programma gestart dat bedrijven een overzicht van betrouwbare partners toont. Wanneer bedrijven en organisaties worden gebeld door individuen die zich als een Google-medewerker voordoen adviseert Google om te vragen of ze een e-mail vanaf hun Google-account willen versturen. Alleen Google-medewerkers kunnen namelijk e-mail vanaf @google.com versturen. bron: security.nl

Onderzoekers van Cisco waarschuwen voor nieuwe malware genaamd VPNFilter die meer dan 500.000 routers en NASsen in meer dan 54 landen heeft geïnfecteerd en systemen onbruikbaar kan maken. Het gaat om routers van Linksys, MikroTik, NETGEAR en TP-Link en NASsen van fabrikant Qnap. De malware kan inloggegevens voor websites stelen en Modbus-SCADA-protocollen monitoren. Ook kan de malware een besmet apparaat onbruikbaar maken. Volgens de onderzoekers van Cisco heeft de code van VPNFilter overeenkomsten met de BlackEnergy-malware, die eerder tegen de Oekraïne werd ingezet. VPNFilter zou daarnaast Oekraïense systemen met een "alarmerende snelheid" infecteren. Hoewel het onderzoek naar de malware nog niet is afgerond heeft Cisco besloten om details al openbaar te maken. VPNFilter wordt omschreven als een "multi-stage, modulair platform" dat zowel het verzamelen van inlichtingen als destructieve cyberaanvallen ondersteunt. In tegenstelling tot de meeste malware die Internet of Things-apparaten infecteert kan de eerste fase van VPNFilter een herstart van het systeem overleven. Dat geldt echter niet voor de tweede fase, die wordt gebruikt om informatie te verzamelen. Sommige versies van deze tweede fase beschikken echter ook over een "self destruct" die een deel van de firmware overschrijft en daarna het systeem herstart, waarna het apparaat onbruikbaar achterblijft. "In de meeste gevallen kunnen de meeste slachtoffers deze actie niet ongedaan maken, en vereisen technische kennis, mogelijkheden en tools waarvan je niet kan verwachten dat eindgebruikers die hebben. We maken ons ernstig zorgen over deze mogelijkheid en het is de voornaamste reden dat we deze dreigingen de afgelopen maanden stilletjes hebben onderzocht", aldus William Largent van Cisco. De onderzoekers vermoeden dat er ook nog een derde fase van de malware bestaat, maar hebben die niet weten te bemachtigen. Hoe de apparaten precies besmet raken is nog onbekend, maar ze bevatten allemaal bekende kwetsbaarheden die op afstand zijn aan te vallen. Er wordt dan ook niet aan het gebruik van zeroday-exploits gedacht. Volgens Largent is het lastig om tegen de malware te beschermen, aangezien het lastig voor eindgebruikers is om de kwetsbaarheden te patchen. Afsluitend geeft Cisco gebruikers het advies om de fabrieksinstellingen van hun routers of NASsen te herstellen, aangezien dit de malware verwijdert. Providers wordt gevraagd om de routers van hun klanten te resetten. "Uit voorzorg adviseren we dat deze maatregelen voor alle SOHO-routers en NASsen worden genomen, ongeacht of ervan bekend is dat ze kwetsbaar voor deze dreiging zijn", besluit Largent. bron: security.nl

Europol heeft vandaag een waarschuwing afgegeven voor fraude die via social engineering plaatsvindt. De opsporingsdienst spreekt zelfs van één van de grootste dreigingen voor EU-burgers op het gebied van transnationale georganiseerde criminaliteit. Aanleiding voor de waarschuwing is het oprollen van een bende die via social engineering en phishing 8 miljoen euro wist te stelen. De bende deed zich voor als leveranciers van organisaties in de publiek sector. Vervolgens stelden de criminelen dat de organisatie nog een openstaande rekening had. Zodra er contact met de organisatie was gelegd werd die verteld om het geld naar een andere rekening over te maken. Het ging in deze gevallen om een rekening die door een katvanger was geopend. Volgens Europol heeft de bende bijna 700 rekeningen geopend om het geld van hun illegale activiteiten te ontvangen. Het geld werd vervolgens naar internationale bankrekeningen overgemaakt. Ook hield de bende zich bezig met online fraude tegen private instanties. Hierbij werd er gebruik gemaakt van phishing. Tevens maakte de bende zich schuldig aan oplichting door afbeeldingen van websites te kopiëren en zich als legitieme verhuursites voor te doen. Tijdens het onderzoek naar de bende werden 33 mensen in Roemenië en Spanje aangehouden en vijf woningen doorzocht. "Social engineering-gebaseerde fraude blijft één van de grootste dreigingen voor EU-burgers op het gebied van transnationale georganiseerde criminaliteit, alsmede voor private en publieke instanties. Elk jaar weten georganiseerde criminele organisaties miljarden te verdienen in wat wordt gezien als de één na grootste bron van criminele verdiensten na de drugshandel", aldus Jari Liukku, hoofd van Europols Serious Organised Crime Centre. bron: security.nl

Mozilla is begonnen om Firefox Accounts van tweefactorauthenticatie te voorzien. Dat heeft de opensource-ontwikkelaar via een blogposting laten weten. Via een Firefox Account kunnen Firefox-gebruikers hun bookmarks, wachtwoorden en open tabbladen op meerdere apparaten benaderen. Om gebruikers een extra beveiligingslaag te bieden is het nu mogelijk om tweefactorauthenticatie in te stellen. Gebruikers moeten dan naast hun wachtwoord ook een aanvullende beveiligingscode invoeren. Hiervoor heeft Mozilla gekozen voor de TOTP-standaard (Time-based One-Time Password). TOTP-codes zijn via verschillende authenticator-apps te genereren, zoals Authy, Duo, FreeOTP en Google Authenticator. Daarnaast is er ondersteuning voor recovery-codes toegevoegd in het geval gebruikers toegang tot hun TOTP-applicatie verliezen. Gebruikers kunnen tweefactorauthenticatie via de instellingen instellen. bron: security.nl

Microsoft gaat volgende maand Flash, Shockwave en Silverlight in Office 365 blokkeren, zo heeft de softwaregigant aangekondigd. Volgens Microsoft maken aanvallers gebruik van de plug-ins om Office-gebruikers aan te vallen. Daarnaast worden ze weinig gebruikt en wordt de ondersteuning van Flash en Silverlight door browsers en besturingssystemen afgebouwd. Zo werd er eerder dit jaar nog een zeroday-aanval ontdekt waarbij aanvallers Excel- en Word-documenten gebruikten die een kwaadaardig Flash-object bleken te bevatten. Een andere reden die Microsoft noemt is dat Adobe vorig jaar juli het einde van de ondersteuning van Flash Player aankondigde. De technologie wordt na 2020 niet meer ondersteund. Microsoft zal naar verwachting Silverlight in 2021 niet meer ondersteunen, waarbij sommige browserontwikkelaars en besturingssystemen de technologie al sinds 2016 niet meer ondersteunen. De aanpassing geldt alleen voor Office 365 en niet voor Office 2016,2013 of 2010. Gebruikers van Office 365 en Office 2016 die de maatregel nu al willen invoeren worden door Microsoft naar deze uitleg verwezen. De softwaregigant zal Flash, Shockwave en Silverlight volgende maand in het Office 365 Monthly Channel blokkeren. In september volgt het Office 365 Semi Annual Targeted (SAT) Channel en in januari 2019 is ook als laatste het Office 365 Semi Annual (SA) Channel aan de beurt. Voor gebruikers die bijvoorbeeld Flash willen inschakelen is het mogelijk om dit te "unblocken". bron: security.nl

Aanvallers maken gebruik van SYLK-bestanden om malware te verspreiden, zo waarschuwt het Internet Storm Center (ISC). SYmbolic LinK (SYLK)-bestanden is een bestandsformaat van Microsoft dat met name wordt gebruikt om data tussen applicaties uit te wisselen, met name spreadsheets. In Windows-omgevingen krijgen de bestanden een op Excel-lijkend icoon. De bestanden worden via e-mail verspreid en doen zich voor als een factuur. Wanneer het bestand wordt geopend zal Excel vragen om dynamische content in het bestand bij te werken. In werkelijkheid zorgt dit ervoor dat er malware op het systeem wordt geïnstalleerd. Het bijwerken van de dynamische content is echter afhankelijk van de Excel-instellingen. Naast het vragen om toestemming kan Excel dit ook automatisch doen, zo meldt ISC-handler Xavier Mertens. bron: security.nl

Microsoft heeft besloten om de rechten die "het hart" van de nieuwe Europese privacywetgeving AVG vormen voor alle gebruikers wereldwijd te laten gelden. Het gaat om de "Data Subject Rights" die mensen onder andere het recht geven om te vragen welke informatie Microsoft over hen heeft verzameld en om die data vervolgens aan te passen, te verwijderen of ergens anders mee naar toe te nemen. Ook heeft Microsoft de privacyverklaring voor consumentenproducten en -diensten bijgewerkt. Volgens de softwaregigant gelden de belangrijkste rechten van de AVG nu voor alle gebruikers wereldwijd. Ook bevat de nieuwe verklaring specifieke informatie en aanpassingen met betrekking tot de AVG. "Maar misschien het belangrijkste is dat het ontworpen is om duidelijker en transparanter te zijn", aldus Microsofts Julie Brill. bron: security.nl