Captain Kirk

Als kleine aanvulling: hoe staat het met het stof in de computer. Wanneer het systeem ziet dat het niet goed gekoeld kan worden, met name de processor, start deze ook niet door.

Het Tor Project heeft een belangrijke update voor Tor Browser op Linux en macOS uitgebracht die een bug verhelpt waardoor het ip-adres van gebruikers kon lekken. De bug bevond zich in Firefox en deed zich voor bij het verwerken van url's die beginnen met file://. Als de gebruiker een speciaal geprepareerde url zou openen kon het besturingssysteem direct verbinding met de server maken, waarbij Tor Browser werd omzeild. Het probleem speelde niet bij de Windows-versie en ook niet bij gebruikers van het privacybesturingssysteem Tails en de gesandboxte versie van Tor Browser. De bug werd op donderdag 26 oktober door onderzoeker Filippo Cavallarin aan het Tor Project gerapporteerd. In samenwerking met Mozilla werd er de volgende dag een oplossing ontwikkeld. Deze oplossing bleek het lek echter gedeeltelijk te verhelpen. Afgelopen dinsdag 31 oktober werd er een aanvullende update ontwikkeld waarmee het lek wordt voorkomen. Het gaat hier om een 'workaround', die als neveneffect heeft dat file:// url's in bepaalde gevallen niet goed meer werken. Voor zover bekend is de kwetsbaarheid niet actief gebruikt om Tor Browser-gebruikers mee te ontmaskeren, zo laat het Tor Project verder weten. Gebruikers krijgen het advies om te updaten naar Tor Browser 7.0.9.

Er is een nieuwe versie van de wachtwoordmanager Dashlane verschenen die nu ook Linux en Chromebooks ondersteunt, alsmede Microsoft Edge. Daarnaast is het met Dashlane 5 niet meer verplicht om de desktopsoftware te installeren om het binnen de browser te gebruiken. De wachtwoordmanager kan namelijk ook als aparte browser-extensie worden gedownload. Verder is Dashlane nu in het Nederlands beschikbaar. Van de wachtwoordmanager is zowel een gratis als betaalde versie beschikbaar. Naast de aankondiging van Dashlane 5 heeft het bedrijf ook bekendgemaakt dat het een 'bug bounty' programma is gestart. Hackers en onderzoekers die kwetsbaarheden in de software, programmeerinterfaces en website kunnen die tegen een beloning rapporteren. Vorig jaar ontdekte Google-onderzoeker Tavis Ormandy nog een kwetsbaarheid in Dashlane waardoor een aanvaller wachtwoorden, cookies, gebruikersdata en andere inloggegevens had kunnen stelen. Dashlane heeft naar eigen zeggen 9 miljoen gebruikers en is bij 7.000 bedrijven in gebruik. bron: security.nl

Criminelen maken gebruik van specifieke Google-zoekresultaten om malware te verspreiden die gegevens voor internetbankieren steelt, zo laten onderzoekers van Cisco in een analyse weten. Als internetgebruikers op bepaalde sleutelwoorden in Google zoeken krijgen ze zoekresultaten te zien die naar gehackte servers en websites wijzen die malware aanbieden. Het gaat dan om zoekopdrachten als "nordea sweden bank account number" en "how to cancel a cheque commonwealth bank". Om ervoor te zorgen dat de kwaadaardige zoekresultaten bovenaan de resultaten bij Google komen hacken de aanvallers verschillende servers en websites en voorzien die van verschillende sleutelwoorden. De pagina's worden door Google op deze sleutelwoorden geïndexeerd en zodra internetgebruikers hierop zoeken krijgen ze de kwaadaardige zoekresultaten te zien. De zoekresultaten wijzen gebruikers uiteindelijk door naar een Word-document met kwaadaardige macro's. Als gebruikers de macro's inschakelen wordt de Zeus Panda banking Trojan geïnstalleerd. Deze malware steelt gegevens voor internetbankieren en andere gevoelige inloggegevens. Om detectie door onderzoekers te voorkomen controleert de malware eerst of die niet in een virtual machine of sandbox draait, of dat er analysetools zoals Wireshark draaien. Zodra de malware de aanwezigheid van Sandboxie, VirtualBox, Parellels, VMware, VirtualPC of andere virtualisatiesoftware detecteert, verwijdert die zichzelf van het systeem. Volgens Cisco laat de aanval zien dat aanvallers continu nieuwe manieren vinden om gebruikers malware te laten installeren. bron: security.nl

Een usb-driver van het bedrijf Savitech waar audiofielen en fabrikanten van high-end muziekapparatuur gebruik van maken installeert stilletjes een rootcertificaat op systemen, waardoor het risico op man-in-the-middle-aanvallen bestaat. Savitech biedt usb-drivers voor gespecialiseerde audio-apparatuur. Sommige versies van de Savitech-driver installeren stilletjes het SaviAudio-rootcertificaat in de Window-rootstore. Hierin staan alle rootcertificaten en certificaten die hieronder vallen, die door Windows en browsers zonder eigen rootstore worden vertrouwd, zo ontdekte securitybedrijf RSA. Een aanvaller die de privésleutel van het Savitech-rootcertificaat zou verkrijgen zou vervolgens man-in-the-middle-aanvallen op gebruikers kunnen uitvoeren waar het rootcertificaat is geïnstalleerd. Een aanvaller kan in dit geval netwerkverkeer ontsleutelen, malware laten installeren of zich als websites voordoen zonder dat er een waarschuwing in de browser verschijnt. Savitech stelt dat het certificaat werd gebruikt voor het signeren van drivers voor Windows XP en niet langer nodig is. De installatie van het rootcertificaat werd echter niet uit de driver-installatie voor nieuwere Windows-versies verwijderd. Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit zijn er geen aanwijzingen dat de privésleutel van het Savitech-rootcertificaat is gecompromitteerd, maar uit voorzorg krijgen gebruikers het advies om het certificaat te verwijderen. bron: security.nl

Een goede virusscanner moet niet alleen in staat zijn om malware te detecteren, maar ook om het te verwijderen. Aanleiding voor het Oostenrijkse testlab AV-Comparatives om 17 virusscanners en internet security suites voor eindgebruikers te testen op het verwijderen van malware van een al besmet systeem. Voor de test (pdf), die van februari tot oktober plaatsvond, werd er gewerkt met 40 verschillende malware-exemplaren. De test is bedoeld voor eindgebruikers die een infectie oplopen en een pakket zoeken om de malware te verwijderen. De virusscanners werden dan ook pas na de infectie op het systeem geïnstalleerd. Wanneer dit niet mogelijk bleek werd het systeem in veilige modus herstart. Als ook dit niet werkte werd er uitgeweken naar een 'rescue disk' van de anti-virusleverancier. Na de installatie werd er een volledige scan van het systeem uitgevoerd. AV-Comparatives herstartte hierna het systeem en controleerde handmatig of de malware en alle onderdelen waren verwijderd. Hiervoor konden de virusscanners verschillende punten krijgen. Hoe minder sporen er van de malware achterbleven des te hoger de score. Ook werd er gekeken naar de eenvoud waarmee de malware was te verwijderen. Als het systeem in veilige modus of via een rescue disk moest worden opgeschoond leverde dit een lagere score op. De virusscanners konden maximaal 100 punten voor het verwijderen van de malware scoren. Tencent komt met 96 punten als beste uit de bus, gevolgd door Bitdefender (93) en Kaspersky Lab (92). Seqrite zet met 61 punten de laagste score neer, waarna Fortinet (67) en Microsoft (70) volgen. Onlangs publiceerde het Duitse testlab AV-Test een soortgelijke test waarbij Kaspersky Lab en Bitdefender als beste presteerden. bron: security.nl

Onderzoekers van anti-virusbedrijf Kaspersky Lab hebben een Trojaans paard ontdekt dat bitcoin en andere cryptocurrency steelt met behulp van het clipboard op besmette computers. Het Trojaanse paard wordt CryptoShuffler genoemd en valt op door de manier waarop het geld van slachtoffers steelt. Gebruikers van cryptocurrency die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het wallet-adres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het wallet-adres zich in het clipboard van de computer. CryptoShuffler monitort op besmette computers het clipboard en zodra de malware ziet dat een gebruiker een wallet-adres kopieert, verandert het dit adres. Als de gebruiker vervolgens het wallet-adres op de transactiepagina wil plakken, plakt hij het aangepaste wallet-adres en maakt zo geld naar de verkeerde partij over. De malware is al een jaar actief, maar Kaspersky Lab heeft er nu een analyse van gepubliceerd. Hoe Cryptoshuffler zich verspreidt is niet bekendgemaakt. Aan de hand van wallet-adressen die de malware gebruikt konden onderzoekers achterhalen dat het Trojaanse paard in een jaar tijd 23 bitcoins heeft gestolen, wat op het moment 129.000 euro is. Naast bitcoins zijn er ook andere cryptocurrencies gestolen, maar de waarde hiervan is met een paar duizend euro een stuk kleiner. Doordat wallet-adressen uit een lange reeks cijfers en letters bestaan, worden ze niet altijd door gebruikers gecontroleerd, aldus het anti-virusbedrijf. Cryptocurrency-gebruikers krijgen dan ook het advies om goed op het wallet-adres te letten bij het uitvoeren van transacties.

Onderzoekers hebben tal van kwetsbaarheden in een netwerkmonitor van Disney gevonden waardoor het mogelijk was om het apparaat op afstand volledig over te nemen of permanent te beschadigen. Het gaat om de 'Circle with Disney', een netwerkapparaat dat het internetgebruik van kinderen op een gegeven netwerk kan monitoren. Het apparaat kan draadloos worden gepaird met het wifi-netwerk en maakt het mogelijk om apparaten op het netwerk te beheren, zoals laptops, tablets en andere apparaten. Via een smartphone-app kan er voor elk gezinslid een apart profiel worden aangemaakt. Het profiel bepaalt welk websites en apps voor de gebruiker toegankelijk zijn en hoe lang hij of zij achter een scherm mag zitten. In het geval de opgegeven 'schermtijd' wordt overschreden worden de ouders gewaarschuwd. Onderzoekers van Cisco ontdekten in totaal 23 kwetsbaarheden waardoor het voor een aanvaller mogelijk was om op afstand netwerkverkeer te manipuleren, een backdoor te installeren, niet-gesigneerde firmware te installeren of het apparaat zelfs permanent te beschadigen. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid waren 17 beveiligingslekken met een 9 of hoger beoordeeld. Na te zijn ingelicht hebben de ontwikkelaars een update ontwikkeld die automatisch onder gebruikers is uitgerold. bron: security.nl

Er is een nieuwe desktopversie van de versleutelde chat-app Signal verschenen die onafhankelijk van de browser draait. De eerste versie van Signal Desktop was alleen beschikbaar als applicatie voor Google Chrome. Via de desktopversie kunnen gebruikers Signal-berichten op hun computer ontvangen en versturen, met dezelfde end-to-end-encryptie die de smartphone-app biedt. De nieuwe desktopversie werkt op de 64-bit versies van WWndows 7, 8, 8.1 en 10, macOS 10.9 en later en Linux-distributies die APT ondersteunen, zoals Ubuntu of Debian. De Google Chrome-app wordt niet meer ondersteund. Gebruikers van de app kunnen hun data exporteren en in de nieuwe desktopversie importeren. Signal is een chat-app die vanwege de veiligheid door allerlei experts wordt aangeraden. De code is open source en de ontwikkeling wordt door een non-profitorganisatie gedaan. Het Signal Protocol dat voor de end-to-end-encryptie zorgt wordt ook door WhatsApp, Facebook Messenger en Google Duo gebruikt. bron: security.nl

WordPress heeft vandaag een beveiligingsupdate uitgebracht voor een kwetsbaarheid waardoor een aanvaller databases van websites kan stelen en websites zelfs kan overnemen. Het beveiligingslek bevindt zich in een functie waar plug-ins en themes gebruik van maken. WordPress "core" is niet direct kwetsbaar, maar om te voorkomen dat plug-ins en themes onbedoeld een kwetsbaarheid veroorzaken is het gedrag van de functie aangepast. Voor de meeste ontwikkelaars van plug-ins en themes zal dit echter geen gevolgen hebben, zo laat WordPress in de aankondiging weten. Beheerders van WordPress-websites krijgen het advies om meteen naar WordPress 4.8.3 te updaten. Dit kan via WordPress.org of de automatische updatefunctie. bron: security.nl

Er is een nieuwe versie van de populaire wachtwoordkraker Hashcat verschenen die wachtwoorden en salts met een lengte van maximaal 256 karakters kan kraken. Ook is de ondersteuning van macOS verbeterd en biedt de tool nu de mogelijkheid om een zelftest uit te voeren. Hashcat 4.0.0 is maanden in ontwikkeling geweest. Volgens de ontwikkelaar komt dit door het toevoegen van een nieuwe hash-interface en het herschrijven van de kernel. Naast de mogelijkheid om wachtwoorden en salts met een maximale lengte van 256 karakters te krijgen noemt de ontwikkelaar ook de zelftest een belangrijke nieuwe feature. Voorheen gaf Hashcat in bepaalde gevallen geen duidelijke foutmeldingen als er problemen met de kernel waren. Hashcat 4.0.0 probeert tijdens het opstarten de hash van een bekend wachtwoord te kraken. Op deze manier weten gebruikers meteen of hun systeem goed is ingesteld. Naast de nieuwe features zijn ook tal van bugfixes en kleine verbeteringen doorgevoerd. De nieuwste versie is te downloaden via Hashcat.net. Hashcat is zeer geliefd bij beveiligingsonderzoekers. penetratietesters en forensisch onderzoekers voor het kraken van wachtwoordhashes. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database wordt gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Het is echter mogelijk om een hash te kraken en het bijbehorende wachtwoord te achterhalen. Iets wat middels een tool als Hashcat mogelijk is. Het programma maakt hierbij gebruik van de rekenkracht van de videokaart en processor. bron: security.nl

Het OpenSSL-projectteam zal aanstaande donderdag 2 november beveiligingsupdates voor OpenSSL uitbrengen die twee kwetsbaarheden in versies 1.1.0f en 1.0.2l verhelpen. De ernst van de kwetsbaarheden is beoordeeld als "low" en "moderate". Het beveiligingslek met de beoordeling low is al sinds eind augustus bekend en kan voor een verkeerde weergave van een certificaat in tekstformaat zorgen. Voor alleen low-kwetsbaarheden brengt OpenSSL geen aparte releases uit. Dat gebeurt alleen met kwetsbaarheden waarvan de ernst als "high" en "critical" is beoordeeld. Over de moderate-kwetsbaarheid zijn in de vooraankondiging geen details gegeven. In het algemeen kunnen moderate-kwetsbaarheden client-applicaties laten crashen of gaat het om beveiligingslekken in niet veel gebruikte protocollen en lokale kwetsbaarheden. De updates, met versienummers 1.1.0g en 1.0.2m, zullen donderdag 2 november tussen 14:00 en 18:00 uur verschijnen. Tevens maakt het OpenSSL-projectteam nogmaals duidelijk dat de ondersteuning van OpenSSL 1.0.1 op 31 december 2016 is gestopt. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Een database waarin Google allerlei gevoelige informatie over bugs en ongepatchte kwetsbaarheden opslaat was zelf kwetsbaar waardoor een onderzoeker hier toegang toe wist te krijgen. Dat laat onderzoeker Alex Birsan via een artikel op Medium weten. Birsan ontdekte verschillende kwetsbaarheden in de Google Issue Tracker. Dit is een intern systeem waarmee Google bugs en featureverzoeken tijdens de productontwikkeling bijhoudt. Het is beschikbaar voor gebruik buiten Google voor personen en partners die op bepaalde projecten met Google samenwerken. Het grootste gedeelte van het systeem is echter afgeschermd voor externe gebruikers. Zo zijn rapporten over nog niet gepatchte kwetsbaarheden in de diensten van Google alleen voor Google-medewerkers toegankelijk. Birsan ontdekte echter drie problemen waardoor hij deze beperkingen kon omzeilen en toegang tot de afgeschermde bugmeldingen kon krijgen. Ook ontdekte hij een manier om alle data van meerdere bugmeldingen via één enkel verzoek op te vragen, zodat Google dit niet zou opmerken. Na ontdekking van de kwetsbaarheden waarschuwde Birsan Google en een uur later was het systeem uit de lucht gehaald. De onderzoeker ontving voor zijn bugmelding een beloning van 7500 dollar. Voor zover bekend is er geen misbruik van de kwetsbaarheden gemaakt. Onlangs meldde persbureau Reuters op basis van voormalige medewerkers van Microsoft dat aanvallers vier jaar geleden toegang tot een interne bugdatabase van Microsoft hadden gekregen. Na ontdekking van de hack besloot Microsoft aanvallen op andere organisaties te onderzoeken. Er zou daarbij geen bewijs zijn gevonden dat de gestolen informatie bij deze aanvallen was gebruikt, aldus de ex-medewerkers. Microsoft heeft zichzelf nooit over het vermeende incident uitgelaten. In 2015 maakte Mozilla bekend dat een aanvaller toegang tot de interne bugdatabase 'Bugzilla' had verkregen en tenminste één ongepatchte kwetsbaarheid had gebruikt om Firefox-gebruikers aan te vallen. bron: security.nl

Mozilla is van plan om in Firefox 58 gebruikers te waarschuwen voor canvas-fingerprinting. Dit is een technologie waarmee internetgebruikers zonder het gebruik van cookies op internet kunnen worden gevolgd. Canvas-fingerprinting laat de browser iets "tekenen", bijvoorbeeld een combinatie van woorden of een afbeelding. Deze afbeelding wordt vervolgens gehasht waarna er een gebruikers-id ontstaat. Verschillen in hardware en geïnstalleerde drivers zorgen ervoor dat de getekende afbeelding per computer verschilt en elke gebruiker zodoende een ander id krijgt. Het gebruikers-id kan door een website of adverteerder worden uitgelezen, opgeslagen en gedeeld met anderen om de internetgebruiker op het web te volgen. Mozilla gaat in Firefox 58 gebruikers waarschuwen als een website toegang tot de afbeelding wil. Gebruikers hebben vervolgens de mogelijkheid om dit toe te staan of te weigeren, zo meldt de website Ghacks. De feature is afkomstig uit Tor Browser, die gebruikers al enige tijd tegen canvas-fingerprinting beschermt. Firefox 58 staat gepland voor 16 januari volgend jaar. bron: security.nl

Google is van plan om public key pinning in Chrome te gaan verwijderen, een maatregel die Chrome-gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt. Een aanvaller had bij DigiNotar voor tientallen domeinen geldige certificaten gegenereerd. Het ging onder andere om een certificaat voor Google.com. Alle browsers accepteerden dit certificaat, behalve Chrome. Chrome maakt namelijk gebruik van public key pinning en Google had ingesteld welke certificaatautoriteiten voor Google.com een certificaat mogen uitgeven. DigiNotar stond hier niet tussen, waardoor Google een waarschuwing ontving en internetgebruikers kon waarschuwen. Volgens Google maken webmasters en domeineigenaren echter weinig gebruik van public key pinning. Dit komt mede doordat de maatregel lastig is te gebruiken en die ervoor kan zorgen dat websites onbruikbaar worden. Google is dan ook van plan om de ondersteuning van public key pinning af te bouwen en uiteindelijk helemaal te verwijderen. Het voorstel is nu om de support van http public key pinning, waarbij er met dynamische 'pins' wordt gewerkt, in Chrome 67 uit te faseren. Deze versie staat gepland voor 29 mei 2018. Uiteindelijk zal ook de ondersteuning van statistische pins worden gestopt. Certificaattransparantie In plaats van public key pinning wil Google voor alle publiek vertrouwde certificaten op certificaattransparantie overstappen. Dit is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het certificaatsysteem te verhelpen en bijvoorbeeld onterecht uitgegeven certificaten in bijna real-time te detecteren. Bij certificaattransparantie verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar certificaattransparantie-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd. Via zogeheten 'monitors' wordt er periodiek in de log-bestanden naar verdachte certificaten gezocht. Zodoende kunnen onterecht uitgegeven certificaten worden gedetecteerd, alsmede certificaatautoriteiten die zijn gehackt of kwaadaardig zijn. Chrome-ontwikkelaar Chris Palmer, die het plan voor het uitfaseren van public key pinning aankondigde, weet echter nog niet wanneer Chrome voor alle certificaten certificaattransparantie zal verplichten. bron: security.nl

Netwerkfabrikant Netgear heeft deze maand beveiligingsupdates voor de KRACK-aanval tegen WPA en WPA2 uitgebracht alsmede allerlei andere kwetsbaarheden in een groot aantal routers en andere apparaten verholpen. Netgear publiceert aan het einde van elke maand een overzicht van updates die in de betreffende maand zijn verschenen. In oktober zijn er firmware-updates uitgebracht voor veertien verschillende wireless access points van Netgear. De updates verhelpen de KRACK-aanval waarmee een aanvaller via WPA- en WPA2-beveiligd verkeer kan ontsleutelen. Volgens Netgear zijn ook Arlo-camera's, Orbi-wifi-systemen, zeventien type routers, achttien type wifi-extenders, vijf wifi-adapters en drie mobiele hotspots kwetsbaar voor de KRACK-aanval, maar voor deze producten zijn nog geen beveiligingsupdates beschikbaar. Daarnaast zijn er voor meer dan 30 type routers allerlei firmware-updates verschenen die kwetsbaarheden zoals buffer overflows, cross-site request forgery, command injection, het lekken van gevoelige informatie, cross-site scripting en misconfiguraties tegengaan. Eigenaren van Netgear-apparatuur krijgen het advies om via de beveiligingspagina te zoeken of er voor hun apparaat updates zijn uitgekomen. bron: security.nl

Oracle heeft een waarschuwing afgegeven voor een zeer ernstig beveiligingslek in de Oracle Identity Manager waardoor een aanvaller zonder inloggegevens via het netwerk het systeem volledig kan overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid is dit beveiligingslek met de hoogst mogelijke score van 10 beoordeeld. De Oracle Identity Manager is een identiteitsmanagementsysteem voor het beheren van toegangsrechten en privileges van gebruikersaccounts en onderdeel van Oracle Fusion Middleware. Via de kwetsbaarheid kan een aanvaller zonder inloggegevens het systeem over het netwerk compromitteren. Volgens Oracle is de aanval zeer eenvoudig uit te voeren en heeft die een grote impact. In de waarschuwing wordt verwezen naar een workaround voor het probleem. Een beveiligingsupdate wordt nog ontwikkeld. Zodra die beschikbaar is adviseert Oracle die meteen te installeren. bron: security.nl

Microsoft gaat data van Outlook.com-gebruikers voortaan in een datacentrum in dezelfde regio van de gebruiker opslaan, in plaats van het land dat de gebruiker in zijn profiel heeft opgegeven. Dat moet de prestaties verbeteren, zo heeft Microsoft bekendgemaakt. Bij het aanmaken van een nieuw Outlook.com-account worden automatisch de dichtstbijzijnde datacentra opgezocht. Van gebruikers die zich fysiek in de Verenigde Staten bevinden zal de data ook in de VS worden opgeslagen. Wanneer het account in Europa wordt aangemaakt, zal Microsoft de data hier opslaan. Microsoft stelt dat als blijkt dat gebruikers gedurende een bepaalde periode zich in een andere regio bevinden, de gebruikte datacentra automatisch worden aangepast aan de hand van deze nieuwe locatie. “We zullen niet continu je data heen en weer tussen regio’s verplaatsen als je naar het buitenland reist. De bedoeling is om de prestaties te verbeteren door je data in de buurt te houden van waar je je bevindt”, aldus het Microsoft Outlook team. De softwaregigant erkent dat de maatregel ook juridische gevolgen heeft. Vorig jaar bepaalde het Amerikaanse hooggerechtshof dat e-mailproviders zoals Microsoft niet gedwongen konden worden om aan Amerikaanse opsporingsdiensten persoonlijke data van gebruikers af te staan die in het buitenland werd gehost. Sommige Amerikaanse opsporingsdiensten vroegen zich af of Amerikaanse burgers hier misbruik van zouden kunnen maken. Een Amerikaanse gebruiker zou bijvoorbeeld een Microsoft-account kunnen aanmaken en instellen dat hij in het buitenland verblijft, waardoor de data zich buiten het bereik van Amerikaanse gerechtelijke bevelen zou bevinden. Microsoft stelt dat dit een hypothetische mogelijkheid is, maar dat dit door verbeterde technologie geen probleem meer zou moeten zijn. "Het is nooit onze bedoeling geweest om onderzoek van opsporingsdiensten te frustreren", zegt Microsofts Tom Burt. Hij benadrukt dat er voor de meeste Amerikanen niets zal veranderen, aangezien hun data al in de Verenigde Staten is opgeslagen. bron: security.nl

Aanvallers hebben op verschillende gehackte websites een cryptominer geplaatst die de computer van bezoekers gebruikt om naar de cryptocurrency Monero te minen. Daarvoor waarschuwt securitybedrijf Wordfence. Volgens het bedrijf gaat het om een beperkt aantal Joomla- en WordPress-sites. De aanvallers wisten toegang tot deze websites te krijgen via bekende kwetsbaarheden die niet door de beheerders zijn gepatcht, alsmede gecompromitteerde ftp- en beheerdersaccounts. Zodra er toegang is verkregen wordt de Coinhive-cryptominer aan de website toegevoegd. Coinhive is een cryptominer die via de browser de rekenkracht van de computer gebruikt om naar de cryptocurrency Monero te minen. Hiervoor voert de computer een cryptografische berekening uit. Op dit moment gaat het zoals gezegd om een beperkt aantal websites, maar Wordfence verwacht dat dit zal veranderen gezien de winstgevendheid van deze aanvallen. bron: security.nl

Mozilla werkt aan een nieuwe wachtwoordmanager voor Firefox die binnenkort door gebruikers getest kan worden. Het gaat om een extensie genaamd Lockbox die de standaard in Firefox aanwezige wachtwoordmanager moet verbeteren. De extensie is nu al beschikbaar voor gebruikers van Firefox Nightly. Dit is een zeer vroege testversie van Firefox. Mozilla is daarnaast van plan om de extensie in het vierde kwartaal via Firefox Test Pilot aan te bieden, zo laat de website Ghacks weten. Test Pilot is een programma waarmee Firefox-gebruikers nieuwe features van de browser kunnen testen. Zo was het eerder al mogelijk om via Test Pilot een gratis dienst te testen om versleuteld bestanden mee te delen. Lockbox laat gebruikers net als andere wachtwoordmanagers wachtwoorden opslaan en kan die automatisch op websites invullen. Verdere details zijn nog niet beschikbaar. bron: security.nl

Google heeft een beveiligingsupdate voor Chrome 62 voor de desktop uitgebracht die een kwetsbaarheid verhelpt waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. De kwetsbaarheid werd gevonden door een onderzoeker van Ant-financial Light-Year Security Lab die het probleem op 30 september van dit jaar rapporteerde. Google beloonde de onderzoeker voor zijn bugmelding met 3.000 dollar. De update naar Chrome 62.0.3202.75 zal op de meeste systemen automatisch worden geïnstalleerd, maar kan ook handmatig worden gedownload. Google heeft ook een nieuwe versie van Chrome 62 voor Android uitgebracht, maar deze update verhelpt geen security-gerelateerde problemen. bron: security.nl

Na Symantec geeft ook anti-virusbedrijf McAfee buitenlandse overheden geen toegang meer tot de broncode van de producten die het aanbiedt, zo laat het bedrijf tegenover persbureau Reuters weten. De mogelijkheid voor buitenlandse overheden om de broncode in zogeheten "certified testing labs" te bekijken werd eerder dit jaar al beëindigd, nadat McAfee zich in april van Intel losmaakte om als onafhankelijk bedrijf door te gaan. Volgens een woordvoerster is er geen bewijs dat het laten inspecteren van de broncode tot beveiligingsincidenten heeft geleid. Sommige overheden eisen toegang tot de broncode van de producten die ze afnemen om te controleren dat er geen backdoors in aanwezig zijn. Microsoft heeft bijvoorbeeld wereldwijd verschillende centra waar deze controles plaatsvinden. Eerder liet Symantec-ceo Greg Clark echter weten dat het inzage geven in de broncode de veiligheid van producten in gevaar kan brengen en een te groot beveiligingsrisico is. bron: security.nl

De Apache Software Foundation heeft in OpenOffice drie kwetsbaarheden gepatcht waardoor een aanvaller willekeurige code op systemen had kunnen uitvoeren. De beveiligingslekken bevonden zich in de Draw- en Writer-applicaties van OpenOffice en werden onder andere veroorzaakt door de manier waarop OpenOffice met stylesheets en fonts omgaat. Door de gebruiker een speciaal geprepareerd doc- of ppt-bestand te laten openen werd er een 'out of bound write' kwetsbaarheid veroorzaakt die het voor de aanvaller mogelijk maakte om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren, aldus Cisco dat de drie beveiligingslekken ontdekte. De Apache Software Foundation werd in maart en april over de kwetsbaarheden ingelicht en kwam vorige week met OpenOffice 4.1.4 waarin de problemen zijn verholpen. Hoewel kwetsbaarheden in Microsoft Office de aandacht krijgen zijn ook alternatieven een doelwit van aanvallers. Cisco wijst op aanvallen tegen Zuid-Koreaanse gebruikers die via kwetsbaarheden in de Hangul Word Processor met malware werden besmet. "Dit laat zien hoe belangrijk het is om alle applicaties up-to-date te houden en niet alleen het besturingssysteem. Als je een OpenOffice-gebruiker bent adviseren we je om de noodzakelijke updates zo snel als mogelijk te installeren", aldus het advies van Cisco. bron: security.nl

Onderzoekers zijn erin geslaagd om de audio-captcha van Google met gemiddeld 85 procent nauwkeurigheid te kraken, waardoor bots automatisch accounts op websites kunnen aanmaken en spamberichten plaatsen. Om robots van mensen te onderscheiden moeten er bij captcha's vaak puzzels en vertekende teksten worden opgelost. De captcha van Google biedt gebruikers ook de mogelijkheid om een audio-captcha op te lossen. De audio-captcha bestaat uit meerdere cijfers die in verschillende snelheden, accenten en toonhoogtes met achtergrondgeluid worden voorgelezen. Onderzoekers van de Universiteit van Maryland bedachten een aanval die zich op de audio-captcha van Google richt. Om de audio-captcha te kraken ontwikkelden de onderzoekers "unCaptcha", software die het audio-bestand van de captcha downloadt en vervolgens de gedeeltes met spraak opdeelt. Het opgedeelde audiofragment van elk cijfer wordt vervolgens naar zes gratis online audiotranscriptiediensten gestuurd, waaronder die van Google. Aan de hand van de verschillende resultaten wordt bepaald welk cijfer er in het audiofragment werd voorgelezen. De resultaten worden hierna 'organisch' door de software in het captcha-venster ingevoerd. Gemiddeld weet de software de captcha's met 85 procent nauwkeurigheid op te lossen. Nadat de onderzoekers hun onderzoek (pdf) publiceerden heeft Google verschillende maatregelen genomen die de effectiviteit van unCaptcha beperken. bron: security.nl

Lenovo heeft verschillende computermodellen van zogeheten FIDO-authenticators voorzien die gebruikers via een scan van de vingerafdruk of het aanklikken van een prompt op het beeldscherm op hun accounts laten inloggen. De Fast IDentity Online (FIDO)-Alliantie heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Lenovo is één van de FIDO-leden, naast onder andere Google, Microsoft, MasterCard en PayPal. De betrokken partijen ontwikkelen producten en diensten die van het FIDO-protocol gebruik maken. Hierdoor zouden apparaten die FIDO ondersteunen automatisch worden herkend en krijgen gebruikers de mogelijkheid om wachtwoorden door een andere authenticatiemethode te vervangen. Lenovo claimt nu dat het de eerste pc-fabrikant is die door FIDO gecertificeerde authenticators direct in Windows-computers heeft geïntegreerd. In plaats van een wachtwoord om in te loggen kunnen gebruikers uit een alternatief kiezen. Zo kan er via het Universal Authentication Framework (UAF) met een scan van de vingerafdruk worden ingelogd. Daarnaast ondersteunt het systeem ook Universal 2nd Factor (U2F). In het geval een gebruiker tweefactorauthenticatie voor zijn account heeft ingeschakeld is het niet meer nodig om een aparte securitysleutel of sms-code in te voeren. De tweefactorauthenticatie is direct in de computer ingebouwd. Gebruikers krijgen in het geval van tweefactorauthenticatie via U2F op het scherm een prompt te zien die ze moeten bevestigen, waarna ze op hun account zijn ingelogd. Deze inlogmethode wordt onder andere door Google, Facebook en Dropbox ondersteund. Voor het ondersteunen van UAF en U2F maakt Lenovo gebruik van Intel Online Connect en de Intel Software Guard Extensions (Intel SGX) op de nieuwste Intel-processoren. De functionaliteit zal met verschillende computermodellen worden geleverd en voor al geleverde modellen beschikbaar worden gemaakt. Intel Online Connect is te downloaden via de website van Lenovo en zal via Lenovo System Update en Lenovo App Explorer beschikbaar worden aangeboden. bron: security.nl