Captain Kirk

Mozilla heeft een vroege testversie van Firefox 60 gelanceerd die oudere door Symantec uitgegeven tls-certificaten blokkeert, wat voor foutmeldingen op tal van populaire websites zorgt. Het gaat om certificaten die voor 1 juni 2016 zijn uitgegeven en worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en hun bezoekers. Aanleiding voor de maatregel zijn verschillende incidenten met door Symantec uitgegeven tls-certificaten. Verschillende browserontwikkelaars, waaronder Google en Mozilla, hebben besloten om het vertrouwen in de certificaten van Symantec geleidelijk op te zeggen. De eerste stap is het opzeggen van het vertrouwen in de certificaten die voor 1 juni 2016 zijn uitgegeven. Google voert deze maatregel volgende maand in, met de lancering van Chrome 66. Mozilla volgt op 9 mei met Firefox 60. De maatregel is echter nu al te testen in de Nightly-versie van Firefox 60. Volgens Mozilla blijkt uit cijfers dat zo'n 300 populaire websites van deze oudere Symantec-certificaten gebruikmaken en gebruikers van de testversie daardoor een certificaatwaarschuwing te zien krijgen. Met de lancering van Firefox 63 in oktober dit jaar wordt het vertrouwen in alle certificaten van Symantec opgezegd, ongeacht uitgiftedatum. Websites die nog van Symantec-certificaten gebruikmaken krijgen dan ook het advies om een ander certificaat te installeren. bron: security.nl

Besmette computers laten mijnen naar cryptovaluta is een lucratieve business voor cybercriminelen, die daarbij geen concurrentie dulden, zo ontdekte beveiligingsonderzoeker Xavier Mertens van het Internet Storm Center. Martens ontdekte malware die een cryptominer op systemen installeert, maar ook zoekt naar al aanwezige andere cryptominers, securitytools en processor-intensieve processen om die vervolgens uit te schakelen. "Cryptominers maken intensief gebruik van je processor en hoe meer rekenkracht ze kunnen gebruiken, hoe meer geld het oplevert", aldus Martens. De malware die hij ontdekte zoekt naar andere cryptominers en schakelt die uit. Hierbij maakt de malware gebruik van een lijst met procesnamen van andere cryptominers. De lijst is volgens Martens ook te gebruiken om te kijken of systemen met een cryptominer besmet zijn. Gisteren publiceerde anti-virusbedrijf Kaspersky Lab nog een rapport waarin wordt gesteld dat criminelen vorig jaar via cryptominer-malware miljoenen dollars hebben verdiend. bron: security.nl

Nadat internetgigant Akamai vorige week de grootste ddos-aanval tot dan toe waarnam van 1,3 Tbps, is er nu een nog grotere aanval waargenomen. Securitybedrijf Arbor Networks heeft een aanval van 1,7 Tbps gezien die gericht was tegen een klant van een Amerikaanse serviceprovider. Net als de ddos-aanval van 1,3 Tbps waar softwareontwikkelingsplatform GitHub het doelwit van werd, maakte ook deze ddos-aanval gebruik van publiek beschikbare memcached-servers. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. "Hoewel de internetgemeenschap samenwerkt om veel publiek toegankelijke memcached-servers uit te schakelen, zorgt het grote aantal open servers dat memcached draait ervoor dat dit een beveiligingslek is dat aanvallers over langere tijd zullen aanvallen", aldus Carlos Morales van Arbor Networks. Hij merkt op dat de aanval geen storing of downtime bij de serviceprovider veroorzaakte. bron: security.nl

Facebook heeft een beveiligingsmaatregel geïmplementeerd die ervoor zorgt dat links altijd naar de https-versie wijzen als die beschikbaar is, zo heeft de sociale netwerksite vandaag bekendgemaakt. Hiervoor wordt gebruik gemaakt van HSTS, wat staat voor HTTP Strict Transport Security. Het zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd of op een http-link geklikt. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Dit moet de veiligheid van gebruikers vergroten, aldus Facebook. Om te bepalen of er van een link op Facebook.com een https-versie beschikbaar is wordt er gebruik gemaakt van twee bronnen. Als eerste is er de Chromium-preloadlist, die in deze meeste browsers wordt gebruikt. Via deze lijst wordt bijgehouden welke websites over https moeten worden bezocht. Daarnaast verzamelt Facebook de HSTS-headers van websites die op Facebook worden gedeeld. Via deze header kunnen websites aangegeven dat ze bij het volgende bezoek via https moet worden bezocht. Door beide bronnen te combineren hoopt Facebook dat mensen veiliger en sneller kunnen browsen. Daarnaast doet de sociale netwerksite een oproep aan websites om HSTS in te schakelen. bron: security.nl

Anti-virusbedrijf Bitdefender heeft een gratis tool voor de Annabel-ransomware uitgebracht waarmee slachtoffers kosteloos hun bestanden kunnen ontsleutelen. De Annabel-ransomware versleutelt niet alleen bestanden op de computer, maar verandert ook de Master Boot Record (MBR) van de harde schijf. Daarnaast schakelt deze ransomware de Windows Firewall uit, voorkomt dat allerlei tools kunnen worden gestart en probeert zich via aangesloten usb-sticks naar andere computers te verspreiden. Voordat gebruikers de gratis decryptietool van Bitdefender kunnen gebruiken moeten ze eerst wel verschillende stappen doorlopen. Omdat de ransomware de MBR aanpast moet de gebruiker die eerst via andere tools zien te herstellen. Vervolgens moeten in het Windows Register verschillende sleutels worden verwijderd zodat de malware niet meer tijdens het opstarten van Windows wordt geladen. Hierna is het mogelijk om de infectie te verwijderen. Als laatste kan de gratis decryptietool worden gestart om de bestanden te ontsleutelen. Het anti-virusbedrijf laat weten dat vanwege de manier waarop AES-encryptie werkt, sommige bestanden 15 extra bytes aan het einde krijgen. Dit zou echter geen gevolgen voor het bestand moeten hebben. bron: security.nl

Na twee jaar verschijnt er binnenkort een nieuwe grote update van de Enigmail-extensie voor Thunderbird, die onder andere ondersteuning van gebruiksvriendelijke e-mailversleuteling toevoegt. Enigmail, dat al sinds 2009 bestaat, laat Thunderbird-gebruikers versleutelde berichten versturen. Binnenkort verschijnt versie 2.0 die Pretty Easy Privacy (pEp) ondersteunt. Pretty Easy privacy is een project dat als doel heeft om e-mail anoniem en versleuteld te maken. Enigmail biedt straks een "pEp-mode", afhankelijk van hoe het e-mailaccount is ingesteld. Als Enigmail of S/MIME niet zijn ingesteld voor een e-mailaccount, zal pEp automatisch worden ingeschakeld. Wanneer er van een nieuw Thunderbird-account gebruik wordt gemaakt, zal pEp standaard zijn ingeschakeld. Zodra Enigmail ziet dat pEp moet worden gebruikt, zal het de benodigde pEp-bestanden downloaden. Vervolgens zullen uitgaande e-mails automatisch worden versleuteld. Verder werken in Enigmail 2.0 de encryptie- en signeer-knoppen voor zowel OpenPGP en S/MIME. Enigmail zal tussen S/MIME of OpenPGP kiezen afhankelijk van de beschikbare sleutels voor de betreffende standaard. Ook is het straks mogelijk om het onderwerp te versleutelen en te vervangen door een "dummy" onderwerp. Op dit moment wordt alleen de inhoud van de e-mail versleuteld en niet het onderwerp. Daarnaast worden Autocrypt en Web Key Directory (WKD) ondersteund. De nieuwe features zijn in de tweede betaversie van Enigmail 2.0 te testen. Afhankelijk van de feedback komt er nog een derde betaversie of zal de definitieve versie over twee weken worden gelanceerd. bron: security.nl

Naar aanleiding van de ddos-aanvallen die via publiek beschikbare memcached-servers worden uitgevoerd heeft Red Hat advies gepubliceerd om dergelijke systemen te beveiligen. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. Vorige week werd GitHub doelwit van de grootste ddos-aanval ooit, die via memcached-servers was uitgevoerd. De aanval had een omvang van 1,3 Tbps. Inmiddels worden verschillende websites via dergelijke ddos-aanvallen afgeperst, zo laat securitybedrijf Cybereason aan it-journalist Brian Krebs weten. De aanvallers versturen in het aanvalsverkeer de boodschap met instructies voor de aangevallen website mee. Daarin staat dat er bijna 15.000 euro in Monero moet worden betaald om de aanval te laten stoppen. Om misbruik van memcached-servers te voorkomen heeft Red Hat nu beveiligingsadvies online geplaatst. Daarin wordt geadviseerd om UDP voor memcached uit te schakelen als dit niet is vereist en op TCP-verbindingen over te stappen. Wanneer UDP wel verplicht is wordt aangeraden een firewall in te stellen en alleen verbindingen van betrouwbare hosts te accepteren. Verder moet de memcached-server alleen van het lokale netwerk toegankelijk zijn en moet extern verkeer naar door memcached gebruikte poorten niet worden toegestaan. bron: security.nl

Wanneer je nog geen nieuwe data naar de stick hebt geschreven zou het inderdaad nog mogelijk moeten zijn om bijna alles terug te halen. Maar zoals Stegisoft ook al aangegeven heeft, het gaat hier om een Mac. Ook ik weet hoe die dar mee om gaat. Hou ons op de hoogte.

Zou inderdaad heel goed een slecht contact geweest kunnen zijn. Bij gebruik van de pc ontstaat er warmte wat weer voor uitzetting van onderdelen kan zorgen. Latjes eruit en even de contacten met een droge doek goed schoonwrijven is vaak al voldoende.

Internetgigant Akamai heeft naar eigen zeggen de grootste ddos-aanval tot nu toe waargenomen met een omvang van 1,3 Tbps. Niet eerder zag Akamai een aanval waarbij zoveel dataverkeer werd verstuurd. De aanval, die twee keer groter was dan de recordaanval van het Mirai-botnet in september 2016 met 620 Gbps, was gericht tegen een softwareontwikkelingsbedrijf en maakte gebruik van memcached-servers. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Wereldwijd zijn zo'n 100.000 publiek beschikbare memcached-systemen te vinden die middels ip-spoofing voor ddos-aanvallen zijn te gebruiken. Hierbij verstuurt een aanvaller gespoofte verzoeken met het ip-adres van de aan te vallen website naar de memcached-server. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. Vanwege de mogelijkheid om zulke grote aanvallen uit te voeren verwacht Akamai dat deze techniek bij veel meer aanvallen zal worden ingezet en er nog grotere aanvallen zullen plaatsvinden. Er is echter ook goed nieuws, zo stelt de internetgigant. Providers kunnen het verkeer op source-poort 11211 "rate limiten" en voorkomen dat verkeer hun netwerk betreedt of verlaat. Dit zal echter de nodige tijd in beslag nemen. Akamai werkt met andere industriepartners samen aan best practices om het memcached-probleem op te lossen. bron: security.nl

Het aantal websites dat bezoekers van http naar https doorstuurt is de afgelopen acht maanden sterk gestegen, zo blijkt uit onderzoek van Mozilla onder de 1 miljoen populairste websites volgens meetbureau Alexa. De browserontwikkelaar keek voor het onderzoek naar het gebruik van verschillende beveiligingsmaatregelen, zoals https, HSTS en Content Security Policy, alsmede het doorsturen van http naar https. Sinds de laatste meting in juni is het aantal websites dat https ondersteunt met 19 procent gestegen, wat neerkomt op 83.000 websites. In de afgelopen periode hebben daarnaast nog eens 97.000 websites besloten om standaard via https te worden aangeboden. Nog eens 16.000 websites verbieden via HSTSs zelf toegang tot http en sturen bezoekers meteen door naar https. Het doorsturen van http naar https wordt door bijna 33 procent van de websites gedaan, een stijging van 43 procent ten opzichte van juni. Ook Content Security Policy, een technologie die tegen cross-site scripting-aanvallen moet beschermen kende procentueel een sterke groei, maar wordt nog altijd door relatief weinig websites toegepast. Via het Mozilla Observatory worden websites ook beoordeeld op het gebruik van de eerder genoemde en andere beveiligingmaatregelen. Ondanks de betere cijfers in februari worden veel maatregelen niet door websites genomen waardoor nog altijd 90 procent een "F" scoort, wat de laagste beoordeling is. Ten opzichte van de vorige periode daalde dit aantal wel met bijna 3 procent. Het aantal websites met een A+, de hoogste beoordeling, steeg met 38 procent van .013 procent naar .018 procent. bron: security.nl

Verkeerd ingestelde installaties van het programma rTorrent worden actief aanvallen om Linux-systemen met een cryptominer te infecteren, zo waarschuwt netwerkbedrijf F5. RTorrent is een tekstgebaseerde torrentclient voor het downloaden van torrents. Het kan via XML-RPC door andere programma's worden bestuurd. XML-RPC is een remote procedure call (RPC) protocol. Zo is er ruTorrent, een webgebaseerde frontend die via XML-RPC van rTorrent gebruikmaakt. Voor de XML-RPC-communicatie vereist rTorrent geen authenticatie. De functionaliteit hoort dan ook niet via internet toegankelijk te zijn, omdat derden dan zonder authenticatie met de lokale rTorrent-client kunnen communiceren. Daarnaast ondersteunt rTorrent een methode voor het direct uitvoeren van shellcommando's. Aanvallers zoeken nu actief naar verkeerd ingestelde rTorrent-clients en laten het programma vervolgens een cryptominer downloaden en uitvoeren. Deze cryptominer gebruikt de rekenkracht van het systeem om naar de cryptovaluta Monero te mijnen. Ook kijken de aanvallers of er geen cryptominers van concurrenten draaien. Wanneer dit het geval is worden deze cryptominers gestopt. Een van de Monero-wallets die bij de aanval wordt gebruikt heeft inmiddels 3900 dollar aan Monero verzameld. RTorrent-gebruikers krijgen het advies om te controleren dat hun installatie geen commando's van buiten accepteert. bron: security.nl

Een nieuwe golf van phishing-mails gericht aan Apple-gebruikers heeft ertoe geleid dat Apple tips heeft gepubliceerd hoe te bepalen of een e-mail echt van Apple afkomstig is. In nauwelijks van echt te onderscheiden e-mails, die van de Apple Store afkomstig lijken te zijn, wordt er bijvoorbeeld gemeld dat er een abonnement op Youtube Red is gestart waarbij de eerste maand gratis is. Tevens wordt gemeld dat de kosten na de eerste gratis maand maar liefst $144,99 per maand bedragen. Op deze manier wordt de lezer verleid op de "Cancel Subscription" link te klikken. Apple adviseert gebruikers alert op deze mails te zijn. Geadviseerd wordt om alleen de persoonlijke gegevens aan te passen via de instellingen op het Apple-toestel, via de accountpagina in de App Store of via iTunes-software op de pc, en niet via een link in een mail. Ook vraagt Apple om verdachte phishing-mails door te sturen naar reportphishing@apple.com. bron: security.nl

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid in Nederland waarschuwt voor ddos-aanvallen waarbij gebruik gemaakt wordt van publiek beschikbare memcached-systemen. Volgens het NCSC zijn memcached-systemen bij ddos-aanvallen in zowel Nederland als daarbuiten misbruikt. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het systeem bevat geen authenticatie en is niet ontwikkeld om publiek beschikbaar te zijn, aldus het NCSC. Eerder deze week waarschuwden Cloudflare en Arbor Networks al voor publiek beschikbare memcached-system die bij ddos-aanvallen zijn misbruikt. Wereldwijd zouden 88.000 van dergelijke systemen online te vinden zijn, waarvan ongeveer drieduizend in Nederland, zo laat het NCSC weten. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. Het NCSC adviseert netwerkbeheerders om te verifiëren of er publieke memcached- of andere systemen in het netwerk aanwezig zijn die mogelijk kwetsbaar zijn voor misbruik in amplificatie-aanvallen en maatregelen te nemen om misbruik van deze systemen te voorkomen. Het gaat in de recente aanvallen om memcached-systemen die beschikbaar zijn op poort 11211. Het advies is om deze systemen van het internet af te schermen. bron: security.nl

Slachtoffers van de ransomware GandCrab kunnen weer toegang krijgen tot hun versleutelde bestanden. De decryptietool voor GandCrab is vandaag op de site nomoreransom.org beschikbaar gesteld door de Roemeense politie in samenwerking met Bitdefender en de Europese politieorganisatie Europol. GandCrab wordt sinds ongeveer een maand in het wild waargenomen en heeft wereldwijd inmiddels meer dan 50.000 slachtoffers gemaakt, onder wie veel Europeanen. Het is daarmee een van de meest agressieve vormen van ransomware van dit jaar, aldus Europol. GandCrab verspreidt zich via gemanipuleerde advertenties op websites en via nepfacturen die als bijlage per mail worden verzonden. Als de malware wordt geïnstalleerd, worden de bestanden op de computer van het slachtoffer versleuteld en wordt er een bedrag van 300 tot 500 dollar aan losgeld geëist, te betalen in de virtuele munt DASH. Voor zover bekend is GandCrab het eerste ransomware-exemplaar dat betalingen in DASH vereist. GandCrab kent ook een affiliate-programma waarbij de ransomware als dienst (ransomware-as-a-service) wordt aangeboden en de ontwikkelaars voor elke ontvangen losgeldbetaling een commissie ontvangen. bron: security.nl

Alle moderne browsers beschikken tegenwoordig over private browsing, een functie die ervoor moet zorgen dat het surfgedrag niet op de computer wordt opgeslagen. De informatie die tijdens private browsing wordt benaderd kan echter door een gemotiveerde aanvaller toch uit het geheugen van de computer worden gehaald. Aanleiding voor onderzoekers van MIT en Harvard om een nieuw systeem te ontwikkelen genaamd Veil dat private browsing meer privé moet maken. Browsers horen na het sluiten van een private browsingsessie alle opgeslagen data te verwijderen. Modern geheugenmanagement is echter complex en kan ervoor zorgen dat er toch ergens in het geheugen data achterblijft. Veil probeert dit probleem te tackelen door alle data die de browser in het geheugen laadt te versleutelen totdat het op het beeldscherm wordt weergegeven. Het gebruik van Veil Om van Veil gebruik te maken gaat de Veil-gebruiker naar de Veil-website en voert daar de url van een website in. Een speciale "blinding-server" verstuurt vervolgens een versie van de opgevraagde pagina in het Veil-formaat. De Veil-pagina lijkt op een normale webpagina, maar bevat code die een decryptie-algoritme uitvoert. De data op de pagina is onleesbaar totdat het door het algoritme is ontsleuteld. Zodra de data is ontsleuteld moet het in het geheugen van de computer worden geladen om op het beeldscherm te worden weergegeven. Deze tijdelijk opgeslagen data zou veel lastiger te traceren moeten zijn als de browsingsessie voorbij is. Om aanvallers toch geen kans te geven neemt Veil een aanvullende beveiligingsmaatregel. De blinding-server voegt aan elke geladen pagina zinloze code toe. Deze code heeft geen effect op de manier hoe de pagina ervoor de gebruiker uit ziet, maar verandert wel het onderliggende bronbestand. Elke pagina die door een blinding-server wordt geladen, ook al is het dezelfde pagina, ziet er anders uit. Een aanvaller die na het sluiten van een Veil-sessie een deel van de ontsleutelde code weet te bemachtigen kan daardoor waarschijnlijk niet zeggen welke website de gebruiker heeft bezocht. Wanneer deze maatregelen niet genoeg zijn biedt Veil ook de optie om de blinding-server een afbeelding van de opgevraagde pagina te laten maken. In dit geval opent de blinding-server de opgevraagde pagina, maakt hier een screenshot van en stuurt dat naar de gebruiker. Dit voorkomt dat er uitvoerbare code op het systeem van de gebruiker belandt. Als de gebruiker vervolgens ergens op de afbeelding klikt registreert de browser dit en stuurt het nieuwe verzoek naar de blinding-server, die vervolgens een nieuwe ingezoomde afbeelding laadt en naar de gebruiker terugstuurt. Om het systeem te kunnen gebruiken moeten websites wel een Veil-versie van hun website maken, maar de onderzoekers hebben hiervoor een compiler ontwikkeld die de conversie automatisch uitvoert. Een grotere uitdaging is het hosten van de blinding-servers, dat door vrijwilligers kan worden gedaan, zoals bij het Tor-netwerk het geval is, of door bedrijven die bijvoorbeeld hun bezoekers meer privacy willen bieden. Voor de implementatie van Veil zijn er geen aanpassingen aan de browser vereist. bron: security.nl

Het aantal malafide advertenties dat internetgebruikers met malware probeerde te infecteren, gegevens probeerde te ontfutselen of op een andere manier probeerde te duperen is in de tweede helft van 2017 afgenomen, zo claimt securitybedrijf RiskIQ. In het derde kwartaal detecteerde het securitybedrijf 53 procent minder "malvertising" dan in het tweede kwartaal van 2017. In het vierde kwartaal zette deze daling door en werden er 10 procent minder kwaadaardige advertenties gedetecteerd. Het gebruik van advertenties om ongepatchte internetgebruikers aan te vallen, bijvoorbeeld via kwetsbaarheden in Adobe Reader of Internet Explorer, daalde met 36 procent in het derde kwartaal en 20 procent in het vierde kwartaal. Andere malware in advertenties nam in het vierde kwartaal met zelfs 67 procent af. Wel kende het vierde kwartaal een stijging van 16 procent in het aantal advertenties die naar een scam wezen, maar over het geheel genomen waren er zowel in het derde als vierde kwartaal minder malafide advertenties. bron: security.nl

De kwetsbaarheid die meer dan een half jaar in de Belgische website voor elektronische belastingaangifte heeft gezeten, is gedicht. Dat bevestigen Belgische media. Een Belgische hacker kwam eind vorige week in het nieuws als ontdekker van een beveiligingsprobleem met de overheidswebsite My MinFin. Door de kwetsbaarheid was het mogelijk voor hackers om de website te manipuleren en zo gebruikers hun login, wachtwoord of token afhandig te maken of om een virus naar de computer van gebruikers te sturen. Het lek was al sinds begin juli 2017 bij het Belgische Federale overheidsdienst (FOD) Financiën bekend. Op 7 juli vorig jaar meldde de man het lek via het contactformulier op de website van de FOD Financiën en via een privé-bericht op Twitter. Omdat er geen reactie volgde en het lek bleef bestaan besloot hij op 19 februari om het probleem openbaar te maken via Facebook. Het lek is afgelopen zondag gedicht. bron: security.nl

Vanwege verschillende "beveiligingsaanpassingen" die zullen worden doorgevoerd gaat Apple vanaf 25 mei stoppen met de ondersteuning van iTunes op Windows XP en Vista. Gebruikers van deze besturingssystemen, die ook niet meer door Microsoft worden ondersteund, kunnen dan geen gebruik meer van de iTunes Store maken. Dit houdt in dat gebruikers geen nieuw materiaal via de iTunes Store kunnen aanschaffen of eerder aangeschaft materiaal opnieuw kunnen downloaden. Na 25 moeten gebruikers op Windows 7 of nieuwer overstappen als ze hun eerder gekochte muziek, podcasts en video's willen downloaden of nieuw materiaal zoeken. Apple gaat vanwege de aangekondigde beveiligingsaanpassingen ook de ondersteuning van de eerste generatie van Apple TV stoppen. Alleen Apple TV generatie 2 of nieuwer kan straks de iTunes Store nog bereiken. Wat de beveiligingsaanpassingen precies inhouden heeft Apple niet bekendgemaakt. bron: security.nl

Firefox beschikt sinds de lancering van de Quantum-versie voor het eerst over een permissiemodel voor extensies en extensie-ontwikkelaars moeten daar verstandig mee omgaan door alleen noodzakelijke permissies te vragen, zo stelt Mozilla. Via de permissies kunnen gebruikers zien waar de extensie toegang tot wil hebben en moeten dit vervolgens bevestigen voordat de extensie kan worden geïnstalleerd. Zo kan de gebruiker zien of een extensie toegang tot de inhoud van alle bezochte websites wil, of zaken als downloadgeschiedenis, bookmarks en clipboard wil. Het permissiemodel is al geruime tijd aanwezig in Google Chrome en bij het installeren van smartphone-apps, maar dus sinds kort in Firefox. Volgens Mozilla kan het dan ook zijn dat mensen die Firefox al lange tijd gebruiken niet met permissieverzoeken bekend zijn. Ontwikkelaars zouden dan ook duidelijk moeten uitleggen waarom hun extensie bepaalde permissies nodig heeft en alleen de absoluut noodzakelijke permissies vragen. Op deze manier laten extensie-ontwikkelaars zien dat ze de privacy van gebruikers respecteren en kan er een vertrouwensband worden opgebouwd, aldus Mike Conca van Mozilla. Onlangs riep Mozilla gebruikers nog op om goed op te letten op welke permissies een extensie vraagt. bron: security.nl

De RIG-exploitkit was in 2016 en begin 2017 een favoriet middel van cybercriminelen om internetgebruikers ongemerkt met malware te infecteren, maar sinds april vorig jaar is de dreiging ervan sterk afgenomen, zo blijkt uit onderzoek van securitybedrijf Palo Alto Networks. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. Alleen het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is voldoende. De RIG-exploitkit maakt gebruik van oude kwetsbaarheden in Adobe Flash Player en Internet Explorer. Het marktaandeel van Internet Explorer is de afgelopen jaren echter sterk afgenomen en moderne browsers blokkeren standaard Adobe Flash Player. Daardoor is het voor cybercriminelen veel lastiger geworden om internetgebruikers via exploitkits te infecteren. Iets waar ook de RIG-exploitkit mee te maken heeft. In januari 2017 zag Palo Alto Networks nog 812 hits op RIG-gerelateerde activiteiten. Precies een jaar later is dat naar 65 gedaald, een afname van 92 procent. Verder laat het onderzoek van het securitybedrijf zien dat als een aanval met de RIG-exploitkit toch succesvol is, er geen ransomware meer wordt geïnstalleerd zoals vorig jaar nog het geval was, maar een cryptominer of tool om informatie mee te stelen. De onderzoekers komen dan ook tot de conclusie dat de RIG-exploitkit nog steeds aanwezig is, maar een veel kleinere rol speelt in het dreigingslandschap. bron: security.nl

Wanneer Facebook vermoedt dat de computer van een gebruiker besmet is geraakt met malware moet die eerst een malware-scan op zijn systeem uitvoeren, anders kan er niet op het account worden ingelogd. Een maatregel die voor onvrede bij gebruikers zorgt. Verschillende Facebookgebruikers laten tegenover Wired weten dat ze niet meer op hun account konden inloggen, tenzij er eerst een scan plaatsvond. De scantools die Facebook aanbood waren echter alleen voor Windows, terwijl de gebruikers met een Mac werkten. In een verklaring laat Facebook weten dat gebruikers soms de verkeerde software krijgen aangeboden omdat sommige malware de computer kan "spoofen" die iemand gebruikt. Het probleem staat echter niet op zichzelf. Tal van gebruikers op Reddit, Twitter en andere fora klagen over de beveiligingsmaatregel. In eerste instantie was de malware-scan vrijwillig, maar inmiddels is die verplicht als Facebook vermoedt dat een systeem gecompromitteerd is geraakt. Er zijn echter vragen over de maatregel. Facebook blijkt namelijk naar een specifieke gebruiker met een specifieke browser te kijken. Als er vanaf de vermeende besmette computer op een ander account wordt ingelogd verschijnt er geen melding. Ook als de gebruiker op het vermeende besmette systeem met een andere browser inlogt hoeft er ook niet gescand te worden. Facebook stelt dat het niet voldoende informatie over accounts op een bepaald apparaat heeft, waardoor er niet alleen naar het apparaat wordt gekeken, maar ook of het account zich verdacht gedraagt. bron: security.nl

Onderzoekers van securitybedrijf Qihoo 360 hebben een advertentienetwerk ontdekt dat sinds december vorig jaar het eigen platform gebruikt om browsers van internetgebruikers zonder hun toestemming naar cryptovaluta te laten mijnen en daarbij actief maatregelen neemt om de AdBlock-adblocker te omzeilen. De rol van het advertentienetwerk is om advertenties van adverteerders op websites te tonen. Het bedrijf zou echter het eigen advertentieplatform voor cryptomining gebruiken, aldus Qihoo 360. Het is in de analyse van de onderzoekers onduidelijk of het advertentienetwerk hiervoor heimelijk code aan de advertenties van adverteerders toevoegt of eigen advertenties gebruikt. Wel is duidelijk dat het advertentienetwerk maatregelen neemt om AdBlock te omzeilen, een zeer populaire adblocker met naar eigen zeggen meer dan 40 miljoen gebruikers. Hiervoor maakt het bedrijf gebruik van een 'domain generation algorithm' (dga) waarmee allerlei willekeurige domeinnamen worden gegenereerd waarvandaan de JavaScript-code van de Coinhive-cryptominer wordt geladen. Dit zou het lastig voor tools als AdBlock maken om de cryptominer te detecteren, aldus de onderzoekers, die verder opmerken dat de confrontatie tussen advertentienetwerken en adblockers niets nieuws is, maar dat de betrokkenheid bij cryptomining wel de aandacht verdient. De advertenties met de cryptominer zouden voornamelijk op pornosites verschijnen, aldus de analyse waarin deze domeinen ook worden genoemd. Volgens de onderzoekers is de naam van het advertentienetwerk "P Inc.". In een voetnoot wordt echter gewezen naar het PopAds-advertentienetwerk, dat eind 2016 al een manier aankondigde om adblockers te omzeilen. bron: security.nl

Om ervoor te zorgen dat Windows 10-computers beveiligingsupdates niet missen heeft Microsoft besloten om in de volgende grote feature-update de slaapstand tijdelijk uit te stellen. De nieuwe feature-update heeft de naam Redstone 4 (RS4) en zou in maart van dit jaar moeten verschijnen. Een van de aanpassingen in Redstone 4 is dat Windows Update "proactiever" wordt in het up-to-date houden van Windows 10-computers. Wanneer Windows Update straks updates zoekt, downloadt of installeert op een computer die op netstroom is aangesloten en niet actief wordt gebruikt, zal de slaapstand maximaal 2 uur worden uitgesteld. Dit moet ervoor zorgen dat Windows Update meer kans heeft om te slagen. De nieuwe functie kan nu al in de Windows 10 Insider Preview Build 17107 worden getest. bron: security.nl

Wachtwoordmanager 1Password heeft een nieuwe feature ontwikkeld waarmee gebruikers kunnen kijken of hun wachtwoorden in een database van meer dan 500 miljoen gelekte wachtwoorden voorkomen. De database is beschikbaar gesteld door beveiligingsonderzoeker Troy Hunt en bestaat uit wachtwoordhashes die bij allerlei datalekken zijn gestolen. 1Password-gebruikers met een abonnement hebben nu bij de wachtwoorden die in de wachtwoordmanager zijn opgeslagen de optie "Check Password". Via deze optie wordt er in de database van Hunt gekeken of het wachtwoord daarin voorkomt, zonder dat het wachtwoord naar de onderzoeker of AgileBits wordt gestuurd, de ontwikkelaar van 1Password. Voor het versturen van het wachtwoord maakt 1Password hier eerst een sha-1-hash van. Vervolgens worden de eerste vijf karakters van deze hash naar de dienst van Hunt gestuurd. Hierna stuurt de server een lijst met gelekte wachtwoordhashes terug die met dezelfde vijf karakters beginnen. 1Password vergelijkt deze lijst lokaal op het systeem van de gebruiker om te zien of die de volledige hash van de gebruiker bevat. Wanneer er een match is wordt de gebruiker gewaarschuwd. AgileBits benadrukt dat als er via de nieuwe feature een hit wordt gevonden dit niet wil zeggen dat het account van de gebruiker is gecompromitteerd. Het kan zijn dat iemand hetzelfde wachtwoord gebruikt. Toch adviseert AgileBits in deze gevallen om het wachtwoord te wijzigen. bron: security.nl