Captain Kirk

De aanvallers die vorig jaar maart softwarebedrijf Piriform hackten en een backdoor aan de populaire tool CCleaner toevoegden wisten via het programma TeamViewer toegang tot het bedrijfsnetwerk te krijgen. Dat meldt anti-virusbedrijf Avast, dat Piriform vorig jaar juli overnam. De besmette versie met backdoor werd uiteindelijk door 2,27 miljoen gebruikers gedownload. De eerste fase van de malware was om informatie over CCleaner-gebruikers te verzamelen, zoals de naam van de computer, geïnstalleerde software en actieve processen. De tweede fase bestond uit het downloaden van aanvullende malware. Dit werd echter bij een select aantal machines gedaan. Uiteindelijk ontvingen 40 computers deze aanvullende malware. Het ging om systemen van grote techbedrijven zoals Intel, Samsung, Sony, Asus, NEC en de Zuid-Koreaanse telecomaanbieder Chunghwa Telecom. De aanvallers waren uiteindelijk ook van plan om een derde fase uit te voeren, waarbij er een keylogger op besmette systemen zou worden geïnstalleerd. Dat liet Avast vorige maand weten. Nu meldt de virusbestrijder dat het heeft ontdekt hoe de aanvallers toegang tot het Piriform-netwerk kregen. Ze maakten daarbij gebruik van het programma TeamViewer dat op één van de ontwikkelsystemen stond geinstalleerd. TeamViewer is een programma om computers op afstand mee te beheren. Volgens Avast wisten de aanvallers in één keer op de ontwikkelmachine in te loggen, wat inhoudt dat ze over de inloggegevens beschikten. Hoe de aanvallers de inloggegevens in handen hebben gekregen is onbekend. "We kunnen alleen speculeren dat de aanvallers inloggegevens hebben gebruikt om toegang tot het TeamViewer-account te krijgen die de Piriform-ontwikkelaar voor een andere dienst heeft gebruikt en mogelijk zijn gelekt", aldus Ondrej Vlcek van Avast. Uit de logbestanden blijkt dat TeamViewer op 11 maart 2017 om 5 uur 's ochtends werd benaderd, toen de computer van de ontwikkelaar onbeheerd was achtergelaten maar nog steeds draaide. De aanvallers probeerden twee kwaadaardige dll-bestanden te installeren. Doordat ze niet over beheerdersrechten beschikten mislukte dit. Bij de derde poging wisten ze de dll-bestanden via een VBScript te installeren. De volgende dag op 12 maart wisten de aanvallers zich lateraal naar een tweede computer te bewegen. Dit gebeurde buiten de werkuren van Piriform. De aanvallers openden een backdoor via Microsofts Remote Desktopdienst en installeerden malware in het Windows Register. Het ging om een oudere versie van de tweede fase malware die uiteindelijk onder de 40 CCleaner-gebruikers werd geïnstalleerd. Twee dagen later gingen de aanvallers terug naar de eerste computer en infecteerden ook die met een oudere versie van de tweede fase malware. Na weken van inactiviteit werd er opnieuw malware op de eerste besmette computer geïnstalleerd. Avast vermoedt dat de aanvallers tijdens de periode van inactiviteit de andere malware hebben ontwikkeld. De aanvallers gebruikten verschillende technieken om andere Piriform-systemen te infiltreren, waaronder wachtwoorden die via een keylogger waren verzameld en het inloggen met beheerdersrechten via de Windows Remote Desktopdienst. In totaal waren de aanvallers vijf maanden actief op het Piriform-netwerk. bron: security.nl

Tijdens de geplande patchcyclus van april heeft Oracle in een groot aantal producten in totaal 254 kwetsbaarheden gepatcht. Het gaat om meerdere ernstige beveiligingslekken waardoor aanvallers in het ergste geval systemen op afstand kunnen overnemen. De meeste kwetsbaarheden zijn gepatcht in Fusion Middleware (39), Financial Services Applications (36), Oracle MySQL (33), Retail Applications (31), Java (14), Sun Systems Products (14) en Oracle VirtualBox (13). Op een schaal van 1 tot en met 10 wat betreft de impact van een kwetsbaarheid zijn de lekken in Java met maximaal een 8.3 beoordeeld. De kwetsbaarheden zijn aanwezig in Oracle Java SE versies 6u181, 7u161, 7u171, 8u152, 8u162 en 10. Gebruikers kunnen via Java.com de nieuwste versie downloaden. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gehackt omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. Organisaties en beheerders krijgen dan ook het advies om de updates van de Critical Patch Update direct te installeren. In tegenstelling tot bijvoorbeeld Microsoft komt Oracle eens per kwartaal met updates. De volgende patchronde staat gepland voor 17 juli. bron: security.nl

Microsoft gaat een update voor Windows Hello uitrollen zodat gebruikers ook via FIDO2-beveiligingssleutels kunnen inloggen. Windows Hello is een functie van Windows 10 waarmee gebruikers via verschillende biometrische kenmerken kunnen inloggen, zoals vingerafdruk, iris of gezicht. Het is echter ook mogelijk om apparaten te gebruiken, zoals een biometrische ring. FIDO2 is een project van de Fast IDentity Online (FIDO)-Alliantie. Deze alliantie, waar ook Microsoft lid van is, heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Via FIDO2 moeten gebruikers straks op apps en websites kunnen inloggen zonder het gebruik van een gebruikersnaam of wachtwoord. Onlangs werden FIDO2-beveiligingssleutels door de FIDO-werkgroep goedgekeurd. De sleutels lijken op een usb-stick en bevatten de inloggegevens van de gebruiker. Deze gegevens kunnen met een tweede factor worden beveiligd, zoals een vingerafdrukcontrole op de sleutel zelf of het ingeven van een pincode als er met de sleutel op Windows wordt ingelogd. Microsoft heeft met verschillende partijen samengewerkt om FIDO2-sleutels op Windows 10 te laten werken. De feature is nu in "beperkte preview" beschikbaar. Geïnteresseerden kunnen zich op een wachtlijst aanmelden. bron: security.nl[/url

Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin twee ernstige beveiligingslekken zijn verholpen. Daarnaast zal de browser bepaalde certificaten van Symantec niet meer vertrouwen en worden gebruikers gewaarschuwd als software code in de browser probeert te injecteren. In tegenstelling tot Edge, Internet Explorer, Safari en Firefox worden ernstige kwetsbaarheden in Chrome zelden gevonden. Via een ernstig beveiligingslek kan een aanvaller code op het onderliggende systeem uitvoeren en dat in theorie volledig overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website is dan voldoende. Er is geen verdere interactie van de gebruiker vereist. In 2014 ging het in totaal om drie ernstige kwetsbaarheden in Chrome en in 2015 werden er twee geteld. Een jaar later in 2016 werden er geen ernstige lekken gevonden en vorig jaar ging het er om drie. Dit keer gaat het om twee ernstige kwetsbaarheden die door onderzoeker Ned Williamson werden gevonden. Williamson ontdekte ook twee van de drie ernstige kwetsbaarheden die vorig jaar in Chrome werden gepatcht. De nu gevonden beveiligingslekken bevinden zich in het Disk Cache-onderdeel van Chrome, maar verdere informatie wordt op dit moment nog niet gegeven. Dat zal pas later gebeuren als alle gebruikers de update naar Chrome 66 hebben ontvangen. In totaal zijn er in de nieuwste Chrome-versie 62 kwetsbaarheden gepatcht. Google betaalde onderzoekers meer dan 33.000 dollar voor het melden hiervan, maar de uiteindelijke kosten zullen hoger uitvallen aangezien de beloning voor Williamson nog niet bekend is gemaakt. Symantec-certificaten Daarnaast waarschuwt Chrome nu ook voor websites die bepaalde Symantec-certificaten gebruiken voor het aanbieden van een versleutelde verbinding. Begin vorig jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Daarop besloot Google om het vertrouwen in certificaten van Symantec op te zeggen. Dit gebeurt in fasen, waarbij nu Symantec-certificaten die voor 1 juni 2016 zijn uitgegeven niet meer worden vertrouwd. Chrome-gebruikers krijgen dan bij deze websites een certificaatwaarschuwing te zien en kunnen de website niet zonder extra handelingen uit te voeren bezoeken. Code-injecties Een andere belangrijke maatregel die in Chrome 66 is doorgevoerd betreft het waarschuwen voor geïnjecteerde code. Volgens Google heeft tweederde van de Chrome-gebruikers op Windows software geïnstalleerd die interacties met Chrome heeft, zoals anti-virussoftware. Gebruikers met software die code in Chrome injecteert hebben 15 procent meer kans om met crashes te maken krijgen. Vanaf juli 2018 met de lancering van Chrome 68 zal Google daarom het injecteren van code door third-party software in de Windows-versie van Chrome gaan blokkeren. Deze aanpassing zal in drie fases plaatsvinden, waarbij wordt begonnen met Chrome 66. Gebruikers zullen nu na een crash een waarschuwing te zien krijgen dat andere software code in Chrome injecteert. Vervolgens krijgen gebruikers advies om deze software te updaten of van het systeem verwijderen. Updaten naar Chrome 66.0.3359.117 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Intel heeft een nieuwe technologie aangekondigd waardoor anti-virussoftware gebruik kan maken van de geïntegreerde videochip op Intel-processors, wat de processorbelasting moet verminderen, alsmede andere voordelen heeft. Accelerated Memory Scanning, zoals de technologie heet, moet meer scans mogelijk maken en de impact op de prestaties en stroomverbruik verminderen. Anti-virussoftware kan grote invloed op de systeemprestaties hebben en is voor sommige gebruikers reden om de virusscanner al dan niet tijdelijk uit te schakelen. Uit vroege benchmarks van Intel blijk dat Accelerated Memory Scanning de processorbelasting van 20 procent naar 2 procent doet afnemen. Microsoft zal de technologie aan Windows Defender Advanced Threat Protection toevoegen. Of andere aanbieders zullen volgen is nog niet bekend. Daarnaast heeft Intel nog verschillende andere aankondigingen op veiligheidsgebied gedaan, zoals Advanced Platform Telemetry waar Cisco gebruik van zal maken en Intel Security Essentials. Dit is een verzameling van hardwarematige beveiligingseigenschappen in de processors van Intel. Tevens is Intel een samenwerking met de Purdue University aangegaan. bron: security.nl

Een oud infectienetwerk dat sinds 2011 werd gebruikt om miljoenen internetgebruikers naar kwaadaardige websites door te sturen is uit de lucht gehaald. Het gaat om het EITest-netwerk dat gehackte webservers en websites gebruikte om bezoekers door te sturen naar websites die malware bevatten. Het kon dan gaan om websites die bezoekers via exploitkits met malware probeerden te infecteren of social engineering toepasten om bezoekers zelf de malware te laten installeren. Onderzoekers van Proofpoint, Brillantit en Abuse.ch wisten het domein in handen te krijgen dat EITest gebruikte voor het aansturen van gehackte websites en servers. Vervolgens lieten de onderzoekers de gehackte websites en servers naar hun eigen servers wijzen. In drie weken tijd ontvingen de onderzoekers bijna 44 miljoen verzoeken afkomstig van 52.000 gehackte servers. Wanneer het infectienetwerk niet uit de lucht zou zijn gehaald waren al deze verzoeken doorgestuurd naar kwaadaardige websites. 1,5 miljoen van de verzoeken die de onderzoekers opvingen waren afkomstig uit Nederland. De informatie over de gehackte servers wordt gedeeld met de autoriteiten, zodat die kunnen helpen bij het opschonen van de servers. bron: security.nl

Om de privacy en veiligheid van internetgebruikers te verbeteren moeten cookies die via het onbeveiligde http worden verstuurd een kortere levensduur krijgen. Daarvoor heeft Chrome-engineer Mike West een voorstel op GitHub en Google Groups gedaan. "Cookies die via het onversleutelde http worden gestuurd zijn zichtbaar voor iedereen op het netwerk. Deze zichtbaarheid stelt behoorlijke hoeveelheden data bloot aan aanvallers op het netwerk", aldus West, die op Twitter meldt dat via onversleutelde kanalen verstuurde cookies voor "echte risico's" voor de privacy van gebruikers zorgen. West ziet dan ook liever dat cookies alleen nog via https worden uitgewisseld. Om het risico van onveilig verstuurde cookies te verkleinen wil West de levensduur beperken. "In plaats van voldoende oude cookies via onbeveiligde verbindingen te versturen zouden we ze moeten verwijderen uit de cookie-jar van de gebruiker", stelt de engineert. Zodra een gebruiker met http://example.com verbinding maakt, wordt er een "Cookie" header gemaakt. Als cookies die in deze header worden geplaatst voldoende oud zijn, worden ze van de header uitgezonderd en verwijderd. Het plan is om als levensduur te beginnen met bijvoorbeeld een jaar en dat dan verder af te bouwen om zo het risico te mitigeren dat cookies via onbeveiligde verbindingen vormen. Volgens West kunnen cookies "fragiel" zijn, maar zullen gebruikers van een kortere cookie-levensduur waarschijnlijk weinig merken. "Aan de andere kant zullen diensten die van langlevende onveilige cookies gebruikmaken waarschijnlijk niet blij zijn, wat goed is. Er zijn duidelijke risico's bij het versturen van cookies via onbeveiligde kanalen, met name als het op grote schaal wordt gedaan als onderdeel van een advertentienetwerk." West heeft nu om feedback op zijn voorstel gevraagd. In het verleden heeft Mozilla al een keer naar een soortgelijke oplossing gekeken. bron: security.nl

Er is een exploit voor een zeer ernstig beveiligingslek in Drupal online verschenen waarmee het mogelijk is om websites over te nemen. Eind maart verscheen er een patch om de kwetsbaarheid in het contentmanagementsysteem (cms) te verhelpen. Meer dan een miljoen Drupal-sites liepen risico. Beheerders van Drupal-sites kregen het advies om de update direct te installeren omdat een exploit binnen enkele uren of dagen zou kunnen verschijnen. Gisteren is op GitHub een exploit verschenen en sindsdien wordt er actief naar kwetsbare Drupal-sites gezocht, zo melden het Internet Storm Center (ISC) en securitybedrijf Sucuri. Drupal-beheerders wordt aangeraden om te updaten naar versie 7.58 of 8.5.1. bron: security.nl

In navolging van de zoekmachine Gotcha.pw die onlangs verscheen en de eerste twee karakters van allerlei gelekte wachtwoorden toont, is er nu een website verschenen die het gehele wachtwoord toont en tegen betaling verwijdert. Dat meldt RTL Nieuws, dat de naam van de website niet bekend heeft gemaakt. De website zou pas sinds kort online zijn en van data uit allerlei bekende datalekken gebruikmaken, zoals LinkedIn, Dropbox en Playstation. Net als bij soortgelijke zoekmachines moeten gebruikers een e-mailadres opgeven, waarna alle aan het e-mailadres gekoppelde en gelekte wachtwoorden worden getoond. Om wachtwoorden van de website te verwijderen wordt 10 dollar in bitcoin, ethereum of litecoin gevraagd. Ict-jurist Arnoud Engelfriet liet onlangs op Security.NL over de zoekmachine Gotcha.pw het volgende weten: "Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal." bron: security.nl

Mozilla heeft een rapport gepubliceerd dat de gezondheid van het internet in kaart brengt, zoals de openheid van het web en hoe het met de privacy van internetgebruikers staat gesteld. Met het rapport wil Mozilla internetgebruikers oproepen om in actie te komen en voor een gezond internet te zorgen. De softwareontwikkelaar stelt echter niet dat het internet ongezond is. "In de meeste gevallen is het geen eenvoudige vraag. Er zijn wel duidelijke indicatoren om in de gaten te houden. Het gaat in bepaalde gebieden beter, zoals toegang, betaalbaarheid en encryptie. En het gaat slechter in andere, zoals censuur, online intimidatie en energieverbruik. Simpele indicatoren missen de complexiteit die met globale ecosystemen zoals het internet komt", aldus Mozilla. Volgens de organisatie moet er worden gelet op de samentrekkingen, zoals de groeiende spanning tussen vrije meningsuiting en intimidatie. "We moeten naar technologieën en mensen kijken die vandaag klein, maar morgen groot kunnen zijn, zoals fabrikanten van opensourcehardware of blockchain-innovators ", laat Mozilla weten. Om de gezondheid van het web te verbeteren zijn er maatregelen die gebruikers volgens het rapport zelf kunnen nemen, zoals het installeren van updates en het kiezen van goede wachtwoorden, alsmede uitzoeken wat voor data bedrijven zoals Facebook en Google over hen verzamelen en hierop de privacyinstellingen aanpassen. bron: security.nl

Het is volgende maand precies een jaar geleden dat WannaCry uitbrak, maar nog altijd zijn miljoenen computers met de ransomware besmet. Dat meldt securitybedrijf Kryptos Logic. Een onderzoeker van het bedrijf registreerde een domeinnaam die als killswitch voor de ransomware fungeerde. Zodra WannaCry op een machine actief is probeert het verbinding met deze domeinnaam te maken. Als de verbinding succesvol is stopt de ransomware met werken en worden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Aangezien de domeinnaam in handen van Kryptos Logic is kan het bedrijf zien hoe vaak besmette machines verbinding maken. In maart zag het securitybedrijf zo'n 100 miljoen verbindingspogingen afkomstig van meer dan 2,7 miljoen unieke ip-adressen. Dit is al een jaar gaande en volgens de onderzoekers zijn er geen aanwijzingen dat de infecties aan het afnemen zijn. "We schatten dat honderdduizenden van onbehandelde Windows-infecties verantwoordelijk zijn voor de continue verspreiding van WannaCry, die volgens onze dataset en schattingen verschillende (tientallen) miljoenen systemen via een eb- en vloedcyclus van infecties elke maand weet te bereiken", aldus het bedrijf. Kryptos Logic geeft in deze blogposting verschillende scenario's waarin WannaCry nog steeds een "serieuze dreiging" kan vormen en wat bedrijven kunnen doen om infecties te voorkomen. "Bedrijven waar geen WannaCry-infecties zijn waargenomen lopen nog steeds risico op een uitbraak als het installeren van updates niet is afgerond. De perfecte storm doet zich voor als computers geen virusscanner gebruiken en Windows niet up-to-date is. Ironisch genoeg is dit vrij normaal in de meeste belangrijke productieomgevingen", zo stelt Kryptos Logic. De kwetsbaarheid waar WannaCry misbruik van maakt werd op 14 maart 2017 door Microsoft gepatcht. Het feit dat de ransomware nog steeds actief is houdt in dat organisaties al een jaar lang geen beveiligingsupdates voor Windows hebben geïnstalleerd of besmette machines hebben opgeschoond. bron: security.nl

Phishing is de voornaamste oorzaak van datalekken, zo stelt Verizon in een nieuwe editie van het Data Breach Investigations Report (DBIR). Voor het rapport werden 53.000 incidenten en iets meer dan 2200 "breaches" in 65 landen onderzocht. 93 procent van de onderzochte datalekken had phishing als oorzaak. Volgens Verizon klikt gemiddeld 4 procent van de personen die doelwit zijn van een phishingaanval op de link in de phishingmail. Verder blijkt dat veel phishingmails niet door medewerkers worden gemeld. Slechts 17 procent van de phishingcampagnes werd doorgegeven. Uit testresultaten blijkt dat de eerste click bij de meeste phishingcampagnes na 16 minuten plaatsvindt. De meeste mensen die op een phishinglink klikken doen dit in het eerste uur nadat het bericht is verstuurd. De eerste melding van de phishingmail, afkomstig van meer technische gebruikers, komt gemiddeld na zo'n 28 minuten, terwijl de helft van de meldingen na 33 minuten is gedaan. Verder laat het rapport zien dat de meeste "breaches" door buitenstaanders worden veroorzaakt. Dat geldt echter niet voor de gezondheidszorg. Daar zijn "insiders" voor de meeste datalekken en incidenten verantwoordelijk. Het gaat dan bijvoorbeeld om het verlies of diefstal van laptops, opslagmedia en papieren dossiers, alsmede misbruik van bevoegdheden. Als voorbeeld geeft Verizon het bekijken van het medische dossier van een "date" of een bekendheid die in het ziekenhuis wordt opgenomen. Iets dat onlangs ook nog in Nederland speelde toen personeel van het HagaZiekenhuis in Den Haag het medisch dossier van Barbie had bekeken. bron: security.nl

De makers van de Vivaldi-browser hebben vanwege het dataschandaal met Cambridge Analytica besloten om Facebook als standaard bookmark uit de browser te verwijderen. Vivaldi biedt gebruikers een "Speed Dial" pagina met allerlei bookmarks van populaire websites, waaronder ook Facebook. "Het continue gebrek aan respect voor de privacy van gebruikers en het enge niveau waarop adverteerders gebruikers kunnen benaderen staat recht tegenover onze visie bij Vivaldi", aldus Vivaldi-oprichter Jon von Tetzchner. "Wij willen een internet waar gebruikers eerst komen. Waar gebruikersgegevens niet onnodig worden verzameld en gedeeld. Zoals we eerder hebben gezegd, hoort het beschermen van privacy de standaard te zijn." Daarom zal Facebook voortaan geen standaard bookmark meer zijn. "Het is niet langer een platform waarvan we vinden dat we gebruikers kunnen aanmoedigen om het te gebruiken", gaat Tetzchner verder. De aanpassing is alleen bij nieuwe installaties van de browser zichtbaar. Bij bestaande gebruikers zal er niets worden aangepast. bron: security.nl

Doordat Netflix de e-mailadressen van gebruikers niet verifieert en Google stelt dat punten in Gmail-adressen "geen problemen opleveren" ontstaat er er een beveiligingslek, zo ontdekte softwareontwikkelaar Jim Fisher. Fisher ontving een e-mail van Netflix over een geblokkeerd account die eigenlijk voor een andere gebruiker was bedoeld. Dit was mogelijk door de manier waarop Netflix en Gmail werken. Fisher registreerde voor zichzelf het e-mailadres jameshfisher@gmail.com. E-mails die naar james.hfisher@gmail.com worden gestuurd ontvangt hij echter ook. Dit komt door de feature die Google tien jaar geleden aan Gmail toevoegde, waardoor punten "geen problemen opleveren". Zodoende is Fisher eigendom van alle varianten van zijn e-mailadres met een punt erin. Netflix verifieert bij de registratie geen e-mailadressen. In dit specifieke geval had de Netflix-gebruiker waarschijnlijk een verkeerd e-mailadres opgegeven. Aangezien de e-mail bij Fisher uitkomt kon hij ook een wachtwoordreset uitvoeren, wat hij ook deed. Zodoende kon hij zien waar de gebruiker de afgelopen maanden allemaal naar had gekeken. De werkwijze tussen Netflix en Google maakt het ook mogelijk om gebruikers te scammen, zo laat Fisher weten. Volgens de softwareontwikkelaar ligt het probleem bij Gmail, en dan met name de punten-functie. Beveiligingsexpert Bruce Schneier stelt dat het probleem subtieler is. "Het is een voorbeeld van twee systemen zonder kwetsbaarheid die samenkomen om een beveiligingslek te veroorzaken. Nu we meer systemen aan elkaar koppelen, zullen we veel meer van dit soort kwetsbaarheden zien." Op Hacker News en Reddit heeft het voorval voor een verhitte discussie gezorgd over welke partij voor de kwetsbaarheid verantwoordelijk is. Google geeft op een aparte pagina uitleg wat mensen kunnen doen als ze mail voor andere personen ontvangen. bron: security.nl

Onderzoekers hebben een dns-oplossing ontwikkeld die de privacy van internetgebruikers moet beschermen. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Standaard maken internetgebruikers gebruik van de dns-servers van hun internetprovider. Die kan echter zien welke websites hun abonnees opvragen. Nu zijn er alternatieve dns-aanbieders zoals CloudFlare, Google, OpenDNS en Quad9. In dit geval gaan de dns-verzoeken naar de alternatieve dns-aanbieder. Dit houdt echter in dat de gebruiker deze partij moet vertrouwen. Daarnaast zijn dns-verzoeken meestal onversleuteld en bevatten die informatie zoals de website die de gebruiker bezoekt, het ip-adres of subnet van het apparaat waar het verzoek van afkomstig is en zelfs de soorten apparaten die een gebruiker in zijn of haar thuisnetwerk heeft staan, aldus onderzoekers van de Princeton University. Er zijn wel oplossingen om de privacy te verbeteren, zoals dns over tls waarbij dns-verzoeken worden versleuteld, maar die lossen niet het fundamentele probleem van dns-privacy op. Namelijk dat de dns-server kan zien dat een bepaald ip-adres een website opvraagt. De onderzoekers hebben daarom een oplossing bedacht genaamd "Oblivious DNS" (ODNS). ODNS functioneert net als het normale dns, maar heeft twee extra onderdelen. Elke client draait een lokale ODNS-stubresolver en er wordt een zogeheten "ODNS authoritative zone" toegevoegd die ook als dns-resolver fungeert. Wanneer bijvoorbeeld de browser van een gebruiker het ip-adres van een website wil opvragen, zorgt de lokale stubresolver ervoor dat de opgevraagde domeinnaam geobfusceerd is. Zodoende weet de recursive dns-server niet welk domein er wordt opgevraagd. De authoritative nameserver voor ODNS verwijdert de identiteit van de gebruiker uit zijn dns-verzoek, zodat de uiteindelijke nameserver niet weet wie het ip-adres van een bepaald domein opvraagt. In de praktijk werkt dit als volgt. De browser van de gebruiker wil de website foo.com opvragen. De stubresolver genereert een sessiesleutel "k", versleutelt het opgevraagde domein en voegt de tld-extensie .odns toe. Dit resulteert in {foo.com}k.odns. De browser stuurt dit verzoek met de sessiesleutel naar de recursive resolver, die het doorstuurt naar de authorative nameserver voor .odns. Deze ODNS-nameserver ontsleutelt de sessiesleutel met de eigen privésleutel en ontsleutelt vervolgens het opgevraagde domein met de sessiesleutel. De ODNS-nameserver stuurt vervolgens een dns-verzoek naar de nameserver van foo.com. Deze server stuurt het antwoord naar de ODNS-nameserver terug. De ODNS-nameserver versleutelt dit antwoord, dat de domeinnaam foo.com en het ip-adres, en stuurt het terug naar de gebruiker. Zijn stubresolver kan vervolgens zowel het domein als het ip-adres ontsleutelen. De onderzoekers hebben nu een eerste prototype gemaakt waaruit blijkt dat ODNS 10 tot 20 milliseconden aan elk dns-verzoek toevoegt. Aangezien dns gebruik van caching maakt verwachten de onderzoekers dat de impact in de praktijk kleiner zal zijn. Er wordt nu aan een grootschaliger prototype gewerkt, waar ook partners voor worden gezocht. bron: security.nl

Websites met een beveiligde verbinding zijn op dit moment binnen Google Chrome te herkennen aan een groen slotje en de melding "Veilig", maar Google is van plan om deze indicatoren uiteindelijk niet meer via de adresbalk weer te geven. Een beveiligde verbinding wordt de standaard en gebruikers krijgen alleen nog een melding te zien als ze een website met een onbeveiligde verbinding bezoeken. Dat liet Emily Schechter, productmanager Chrome Security, deze week tijdens een beveiligingsconferentie op Hawaii weten. Ook meldde ze dit op Twitter. Google heeft onderzoek laten doen waaruit blijkt dat mensen moeite met url's hebben. Ze zouden gebruikers moeten helpen met het identificeren van websites en het navigeren op internet, maar dat blijkt in de praktijk tegen te vallen, aldus Schechter. Om de uitrol van https onder websites te bevorderen besloot Google niet alleen om bij https-sites de melding "Veilig" in de adresbalk weer te geven, maar bij http-sites de melding "Niet veilig" te tonen. Een proces dat in juli van dit jaar wordt afgerond, als bij alle http-websites in Chrome de melding "Niet veilig" verschijnt. Het uiteindelijke plan van Google is om binnen Chrome het slot-icoon en de Veilig-melding te laten verdwijnen, zodat gebruikers alleen nog een melding krijgen als ze een http-site bezoeken. De presentatie van Schechter moet nog online verschijnen, maar onderzoekers Troy Hunt en Scott Helme die bij de presentatie waren, bespreken in deze podcast het plan van Google. bron: security.nl

Microsoft heeft opslagdienst OneDrive van verschillende functies voorzien die bestanden tegen ransomware en andere aanvallen moeten beschermen. De zakelijke versie van OneDrive beschikte al over een functie genaamd "Files Restore", die nu ook aan de versie voor eindgebruikers is toegevoegd. Via Files Restore kunnen gebruikers hun gehele OneDrive herstellen naar een eerder punt in de afgelopen 30 dagen. Office 365 kan daarnaast ransomware-aanvallen detecteren en gebruikers helpen met het herstellen van hun OneDrive naar een punt van voor de infectie. Wanneer Microsoft een ransomware-aanval detecteert krijgt de gebruiker via e-mail, mobiel of desktop een waarschuwing en zal vervolgens in het herstelproces worden begeleid. Een andere nieuwe beveiligingsfunctie voor OneDrive maakt het mogelijk om voor links waarmee bestanden worden gedeeld een wachtwoord in te stellen. Zodra de ontvanger van de link de via OneDrive gedeelde bestanden wil benaderen moet hij een wachtwoord opgeven. Verder zal Microsoft links in Word-, Excel- en PowerPoint-bestanden gaan scannen zodra de gebruiker die opent. Outlook.com Voor gebruikers van Outlook.com heeft Microsoft e-mailversleuteling toegevoegd. Wanneer Oulook.com-gebruikers een versleutelde e-mail naar iemand versturen die geen gebruikmaakt van Microsofts e-maildienst, ontvangt deze persoon een link naar een Office 365-pagina waar gekozen kan worden om een eenmalige code te ontvangen of zich opnieuw te authenticeren via een provider voordat de mail bekeken kan worden. Outlook.com-gebruikers die onderling versleuteld e-mailen hoeven geen extra stappen te nemen. Daarnaast is het nu mogelijk om het doorsturen van e-mails die via Outlook.com zijn verstuurd te voorkomen. Ook zullen Office-documenten die aan deze e-mails zijn toegevoegd worden versleuteld, zelfs na het downloaden. Wanneer de ontvanger van de bijlage besluit om die door te sturen of te delen, zal de ontvanger van de doorgestuurde e-mail de bijlage niet kunnen openen. E-mails waarvan is ingesteld dat ze niet mogen worden doorgestuurd zijn daarnaast ook versleuteld.

Gehackte websites zijn de afgelopen maanden gebruikt om zogenaamde software-updates te verspreiden die in werkelijkheid de NetSupport-tool installeren, waarmee aanvallers volledige controle over de computer van hun slachtoffer krijgen. Dat meldt securitybedrijf FireEye. Zodra de gehackte websites worden bezocht verschijnt er een melding dat de gebruiker Adobe Flash Player, Google Chrome of Mozilla Firefox moet updaten. Het aangeboden JavaScript-bestand, dat bij Dropbox wordt gehost, downloadt de uiteindelijke lading. Het gaat om de NetSupport Manager remote access tool (RAT). NetSupport Manager is een legitiem commercieel pakket dat systeembeheerders gebruiken om op afstand systemen te beheren. De tool biedt een remote desktop, het starten van progamma's op de client, uitwisselen van bestanden en het tonen van de geolocatie. Onderzoekers van FireEye wisten toegang tot de server te krijgen die de aanvallers gebruiken. Daar vonden ze ook een bestand met ip-adressen en user-agents. Mogelijk gaat het hier om ip-adressen van gecompromitteerde systemen. De meeste ip-adressen in het bestand waren afkomstig uit Nederland, Duitsland en de Verenigde Staten. "RATs worden vaak voor legitieme doeleinden gebruikt, meestal door systeembeheerders. Aangezien legitieme applicaties eenvoudig verkrijgbaar zijn, kunnen criminelen er gebruik van maken en soms verdenkingen door de gebruiker voorkomen", zegt onderzoeker Sudhanshu Dubey. bron: security.nl

Anti-virusbedrijf Avast heeft een nieuwe versie van de eigen browser gelanceerd die gebruikers meer privacy, veiligheid en prestaties moet bieden dan "mainstream" browsers. Volgens de virusbestrijder schieten bekende browsers tekort als het gaat om security en privacy. Gebruikers moeten vervolgens zelf via extensies en andere software aanvullende beveiligingslagen toevoegen. De Avast Secure Browser is op Chromium gebaseerd, net als Google Chrome, en wordt standaard met de adblocker Adblock meegeleverd en andere privacymaatregelen. Ook beschikt de browser over een "Bank Mode" die moet voorkomen dat de invoer van gebruikers, zoals wachtwoorden of creditcardnummers, door cybercriminelen kunnen worden gezien. De Extension Guard van de browser moet de installatie van ongewenste add-ons of extensies voorkomen. De Avast Secure Browser is compatibel met Windows 7, 8.1 en 10. Mobiele versies voor iOS en Android moeten later dit jaar verschijnen. bron: security.nl

Cisco-switches die binnen de vitale infrastructuur worden gebruikt zijn het doelwit van aanvallen geworden, zo heeft de netwerkgigant laten weten. Volgens Cisco maken "specifieke geraffineerde actoren" gebruik van een kwetsbaarheid in de Cisco Smart Install Client. In verschillende landen hebben zich inmiddels incidenten voorgedaan. Daarbij zijn ook systemen in de vitale infrastructuur het doelwit geworden. Sommige van deze aanvallen zouden mogelijk door landen zijn uitgevoerd, aldus Cisco in een waarschuwing. Vorig jaar februari waarschuwde de netwerkgigant al dat aanvallers naar Smart Install Clients aan het scannen waren. Een aantal maanden later in augustus gaf de Australische overheid een waarschuwing af dat Cisco-routers en -switches werden aangevallen. Smart Install is een 'plug-and-play' feature voor het configureren en uitrollen van switches. Volgens Cisco is het een legacy-tool om "no-touch" installaties van nieuwe Cisco-apparatuur mogelijk te maken. Vanwege de scans die vorig jaar plaatsvonden publiceerde Cisco een scantool en een blogposting. Het Smart Install-protocol kan worden misbruikt om de TFTP-serverinstellingen aan te passen, configuratiebestanden te stelen via TFTP, het configuratiebestand aan te passen, het IOS-image van de router of switch te vervangen, accounts aan te maken of IOS-commando's uit te voeren. IOS is het besturingssysteem dat op de netwerkapparatuur van Cisco draait. Volgens Cisco is er geen sprake van een kwetsbaarheid in de "klassieke zin" van het woord, maar is misbruik van het protocol een aanvalsvector die direct moet worden verholpen, aldus de netwerkgigant. Die besloot te kijken hoeveel systemen kwetsbaar zijn en ontdekte meer dan 168.000 systemen die via de Cisco Smart Install Client risico lopen. Beheerders van Cisco-apparaten krijgen dan ook het advies om te controleren of hun apparatuur kwetsbaar is. In deze blogposting geeft Cisco enkele aanwijzingen om het probleem te verhelpen. bron: security.nl

Intel heeft een waarschuwing gegeven aan gebruikers van de Remote Keyboard-app op Android en iOS om het programma te verwijderen. Verschillende kwetsbaarheden maken het mogelijk voor een aanvaller om toetsaanslagen te injecteren en code met de rechten van de gebruiker uit te voeren. De Remote Keyboard-app was ontwikkeld voor de Intel NUC- en Compute Stick-apparaten die op Windows 8.1 en Windows 10 draaien en maakt het mogelijk om de muis of keyboard via de smartphone of tablet te bedienen. Hiervoor wordt gebruik gemaakt van het WiFi Direct-protocol. De app bevat echter drie kwetsbaarheden. Het eerste beveiligingslek laat een aanvaller op het netwerk toetsaanslagen in het verkeer tussen de app en het apparaat injecteren die als de lokale gebruiker worden uitgevoerd. De tweede kwetsbaarheid laat een aanvaller toetsaanslagen in een andere remote keyboard-sessie injecteren. Als laatste is er een beveiligingslek waardoor een geautoriseerde lokale aanvaller willekeurige code met de rechten van de gebruiker kan uitvoeren. De Remote Keyboard-app wordt niet meer door Intel ondersteund, wat inhoudt dat de kwetsbaarheden niet zullen worden verholpen. De chipgigant adviseert gebruikers dan ook om de Remote Keyboard-app te verwijderen. De app is inmiddels uit de Play Store verwijderd. De Android-versie had tussen de 500.000 en 1 miljoen gebruikers. bron: security.nl

Het dataschandaal bij Facebook heeft 87 miljoen gebruikers getroffen en niet 51 miljoen zoals eerst werd aangenomen, zo heeft de sociale netwerksite laten weten. Veruit het grootste deel (70 miljoen) betreft Amerikaanse gebruikers. Er zijn echter ook gegevens van 90.000 Nederlandse Facebook-gebruikers ongeoorloofd met Cambridge Analytica gedeeld, aldus Facebook tegenover de NOS. Gisteren deed Facebook in totaal drie aankondigingen over het dataschandaal. Als eerste maakte de sociale netwerksite bekend dat de algemene voorwaarden en het databeleid duidelijker worden gemaakt. Zo worden de aangeboden diensten in beter te begrijpen taal uitgelegd en beschrijft het databeleid beter welke data wordt verzameld en hoe deze gegevens binnen Facebook, Instagram, Messenger en andere producten worden gebruikt. De tweede aankondiging ging over de aanpassingen om de toegang tot Facebook-gegevens te beperken. Zo moet Facebook nu alle apps goedkeuren die toegang tot informatie vragen zoals check-ins, likes, foto's, berichten, video's en andere content. App-ontwikkelaars moeten een overeenkomst ondertekenen voordat ze toegang tot deze data krijgen. Verder heeft Facebook de zoekfunctie uitgeschakeld. Voorheen was het mogelijk om via een e-mailadres of telefoonnummer iemand op Facebook te vinden. Kwaadwillenden maakten echter misbruik van de maatregel om publieke profielen te verzamelen. Volgens Facebook zou het mogelijk zijn om van bijna alle gebruikers het publieke profiel op te vragen. Er is dan ook besloten de functie uit schakelen. Als laatste verscheen er een verklaring van Facebook-oprichter Mark Zuckerberg en een reeks vragen met journalisten. Zuckerberg stelt dat de sociale netwerksite niet genoeg heeft gedaan om misbruik tegen te gaan en de privacy van gebruikers te beschermen. Ook gaat hij in het op "scrapen" van profielgegevens en het businessmodel van Facebook. De meeste data die Facebook van gebruikers heeft, hebben gebruikers zelf gedeeld, aldus Zuckerberg. "Het is geen tracking. Er zijn andere internetbedrijven of datahandelaren die gebruikers tracken en data verkopen, maar wij kopen en verkopen niet." bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft een nieuwe versie van HTTPS Everywhere gelanceerd, de browserplug-in die ervoor zorgt dat gebruikers bij het bezoeken van een website meteen verbinding met de https-versie maken als die beschikbaar is. De nieuwste versie zorgt ervoor dat de lijst met websites die https ondersteunen vaker wordt bijgewerkt. HTTPS Everywhere werkt met een lijst van https-sites, zodat de plug-in weet welke websites het via https kan opvragen. De lijst werd voorheen alleen via versie-updates bijgewerkt. Het was echter een omslachtig proces om alleen voor een lijst-update een nieuwe versie uit te brengen, zo laat de EFF weten. Daarom zal de nieuwste versie nu periodiek controleren of er een nieuwe lijst beschikbaar is en die automatisch downloaden. De lijst-updates zijn digitaal ondertekend. Daarnaast heeft de EFF het eenvoudiger voor andere ontwikkelaars en derde partijen gemaakt om hun eigen lijsten te publiceren en die binnen een "custom-made" versie van HTTPS Everywhere te verwerken. De browserplug-in is beschikbaar voor Google Chrome, Mozilla Firefox en Opera. bron: security.nl

Voor miljoenen WordPress-sites is er een beveiligingsupdate uitgekomen die drie kwetsbaarheden verhelpt, alsmede 25 problemen oplost die niet security-gerelateerd zijn. Wat betreft de beveiligingsproblemen wordt als eerste localhost niet meer standaard als dezelfde host behandeld. Daarnaast wordt er van veilige redirects gebruik gemaakt bij het redirecten van de inlogpagina over tls. Als derde fix wordt de versiestring nu correct geëscaped zodat die in de generator-tag te gebruiken is. Updaten naar WordPress 4.9.5 kan via de automatische updatefunctie, het beheerderspaneel of WordPress.org. Onlangs maakte W3Techs bekend dat 30 procent van de 10 miljoen populairste websites op WordPress draait. bron: security.nl

Microsoft heeft een ernstig beveiligingslek gedicht in Windows Defender, Security Essentials en andere beveiligingssoftware die van de Microsoft Malware Protection Engine gebruikmaakt. Via de kwetsbaarheid had een aanvaller zonder interactie van gebruikers het systeem kunnen overnemen. Alleen het versturen van een speciaal geprepareerd bestand via e-mail of instant messenger of het openen van een kwaadaardige of gehackte website was voldoende geweest. De Malware Protection Engine scant in de achtergrond namelijk allerlei bestanden zonder interactie van gebruikers, wat tot misbruik van de kwetsbaarheid kan leiden. Wanneer real-time bescherming niet staat ingeschakeld zou een aanvaller moeten wachten totdat een geplande virusscan plaatsvindt. Aangezien de beveiligingssoftware van Microsoft met verhoogde rechten draait had een aanvaller via de kwetsbaarheid volledige controle over het systeem kunnen krijgen. De kwetsbaarheid is aanwezig in versie 1.1.14600.4 van de Malware Protection Engine en ouder en verholpen in versie 1.1.14700.5. De nieuwste versie wordt automatisch via een engine-update geïnstalleerd. Volgens Microsoft is het onwaarschijnlijk dat aanvallers misbruik van de kwetsbaarheid zullen maken. bron: security.nl