Captain Kirk

Er is een nieuwe versie van het populaire contentmanagementsysteem Joomla verschenen waarin twee beveiligingslekken zijn verholpen. Via één van de kwetsbaarheden kon een aanvaller de wachtwoorden van super users, zoals de beheerder, achterhalen en zo de website overnemen. De kwetsbaarheid bevond zich in de inlogpagina en maakte het mogelijk voor een aanvaller om alle inloggegevens van de LDAP-server die voor de Joomla-installatie wordt gebruikt te achterhalen. Het gaat dan onder andere om de gebruikersnaam en het wachtwoord van de beheerder. Een aanvaller kan met de achterhaalde informatie op het beheerderspaneel inloggen en de Joomla-installatie overnemen. Door het uploaden van custom Joomla-extensies voor het uitvoeren van willekeurige code op afstand zou ook de webserver kunnen worden overgenomen. De tweede kwetsbaarheid is minder ernstig en kon een aanvaller toegang tot de introtekst van gearchiveerde artikelen geven. De beveiligingslekken zijn gepatcht in Joomla 3.8. Het cms wordt volgens cijfers van W3Techs door 3,3 procent van alle websites gebruikt. Vanwege de kwetsbaarheid krijgen beheerders het advies om de update zo snel als mogelijk te installeren. bron: security.nl

De backdoor die in de populaire tool CCleaner werd verborgen is toch gebruikt om systemen met aanvullende malware te infecteren, zo laat Cisco in een nieuwe analyse weten. Aanvallers wisten in juli Piriform te hacken, de ontwikkelaar van CCleaner, en konden zo de backdoor toevoegen. Een maand lang werd deze besmette versie via de officiele downloadservers aangeboden voordat de backdoor werd ontdekt. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd. Na de ontdekking stelden Piriform en Avast, het anti-virusbedrijf dat CCleaner in juli overnam, dat de server van de aanvallers geen code naar de backdoor had gestuurd. Er zou dan ook geen aanvullende malware op systemen zijn geïnstalleerd en slachtoffers hoefden volgens beide bedrijven hun systeem niet opnieuw te installeren, zoals sommige securitybedrijven en experts adviseerden. Op de server waar de backdoor mee communiceerde zijn echter bestanden gevonden waaruit blijkt dat dit niet het geval is. De server heeft naar zeker twintig slachtoffers aanvullende malware gestuurd. Het gaat om een andere backdoor die toegang tot het systeem geeft. De aanvallers hadden het vooral voorzien op techbedrijven, zoals HTC, Samsung, Sony, VMWare, Intel, Microsoft, Linksys, MSI, Epson, D-Link, Akamai, Google en Cisco zelf, zo blijkt uit een lijst met domeinen waar de aanvallers naar zochten. Volgens Cisco suggereert dit dat de aanvallers het op intellectueel eigendom hadden voorzien. Welke bedrijven of organisaties door de aanvullende malware zijn getroffen laat Cisco niet weten. Wel wijst het bedrijf naar een opmerking van anti-virusbedrijf Kaspersky Lab dat de gebruikte backdoorcode overlap heeft met een groep aanvallers die Group 72, Aurora of Axiom wordt genoemd. De aanvallers hebben het vooral op organisaties in de VS, Japan, Taiwan en Zuid-Korea voorzien. Cisco herhaalt dan ook het advies dat alle getroffen gebruikers van CCleaner hun systeem opnieuw moeten installeren of naar een staat van voor 15 augustus moeten herstellen. bron: security.nl

Wachtwoorden, encryptiesleutels en andere gevoelige bedrijfsgegevens van mediagigant Viacom waren door een datalek voor iedereen op internet toegankelijk, zo laat securitybedrijf UpGuard weten. Onderzoeker Chris Vickery van UpGuard ontdekte op 30 augustus een Amazon Web Services S3-bucket die voor iedereen toegankelijk was. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens op kunnen slaan. In het geval van deze specifieke S3-bucket lijkt het om back-ups te gaan van Viacoms it-infrastructuur. Er werden 72 tgz-bestanden aangetroffen. In deze bestanden vond Vickery wachtwoorden en manifesten van Viacom-servers, alsmede gegevens om de it-infrastructuur van de multinational te beheren. Ook werd de toegangssleutel en geheime sleutel voor het zakelijke AWS-account van Viacom aangetroffen. Daarmee had een aanvaller servers, opslag en databases onder het AWS-account kunnen compromitteren. Sommige van de scripts die werden gevonden suggereren dat Viacom voor reguliere back-ups gebruikmaakt van GPG-encryptie. In de bestanden werden echter ook GPG-decryptiesleutels ontdekt. Tevens werden allerlei configuratiebestanden en scripts aangetroffen waar een aanvaller misbruik van had kunnen maken. Viacom werd op 31 augustus ingelicht en wist het probleem binnen aantal uur te verhelpen. Hoe het lek mogelijk was laat UpGuard niet weten, maar de afgelopen maanden werden bij meer organisaties onbeveiligde S3-buckets aangetroffen. In die gevallen waren de standaardinstellingen van de S3-bucket aangepast zodat de informatie voor iedereen op internet toegankelijk was. Alleen het kennen van de url was voldoende. bron: security.nl

Onderzoekers van de Israëlische Ben-Gurion Universiteit hebben een nieuwe manier ontwikkeld om met besmette systemen te communiceren die niet op internet zijn aangesloten, namelijk het gebruik van beveiligingscamera's met infrarood. De onderzoekers ontwikkelden een malware-prototype genaamd aIR-Jumper (pdf) die via een infraroodcamera zowel data kan versturen als nieuwe opdrachten kan krijgen. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten, ook wel een air-gap genaamd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes en routerlampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. AIR-Jumper introduceert een nieuw communicatiekanaal, namelijk beveiligingscamera's met infrarood. Een aanvaller moet eerst een computer binnen organisatie zien te infecteren. Vervolgens moeten beveiligingscamera's in de organisatie worden overgenomen. Hierna kan de malware wachtwoorden, encryptiesleutels en andere gevoelige data moduleren, encoderen en via de infraroodled's versturen. Een aanvaller die zicht op de beveiligingscamera's heeft kan deze signalen opvangen en decoderen. Een andere mogelijkheid is om de malware via de beveiligingscamera's te bedienen. De aanvaller stuurt in dit geval opdrachten via infraroodsignalen naar de camera's. De signalen in de videostream die de camera's hebben opgenomen worden door de malware op het netwerk onderschept en gedecodeerd. Het exfiltreren en infiltreren kan worden gecombineerd om een 'air-gapped' communicatiekanaal tussen het gehackte netwerk en de aanvaller op te zetten, zo laten de onderzoekers weten. bron: security.nl

Er is een belangrijke beveiligingsupdate voor WordPress-websites uitgekomen die beheerders en webmasters zo snel als mogelijk moeten installeren, aldus het advies van het WordPress-ontwikkelteam. WordPress 4.8.2 verhelpt meerdere kwetsbaarheden, waaronder cross-site scripting, path traversal en een open redirect. Daarnaast is er bescherming tegen SQL injection toegevoegd. Via SQL injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen. Een bepaalde WordPress-functie zou SQL injection bij plug-ins en themes kunnen veroorzaken. WordPress "core" was zelf niet kwetsbaar, maar om mogelijke beveiligingsproblemen met plug-ins en themes te voorkomen is er nu extra beveiliging aan WordPress toegevoegd. Alleen deze maatregel is reden genoeg om meteen naar WordPress 4.8.2 te updaten, zo stelt securitybedrijf Wordfence. Beheerders van WordPress-websites kunnen de update handmatig of via de automatische updatefunctie installeren. bron: security.nl

Google Chrome is veiliger dan Microsoft Edge en Internet Explorer, zo stellen onderzoekers van het Duitse securitybedrijf X-41 in een door Google gesponsord onderzoek van bijna 200 pagina's (pdf). Voor het onderzoek werd er onder andere gekeken naar het aanvalsoppervlak van de browsers, ontwerpkeuzes, beveiligingsmaatregelen, ondersteunde protocollen en de sandbox-beveiliging. Het securitybedrijf zegt dat het de sponsoring van Google alleen heeft geaccepteerd op de voorwaarde dat Google zich niet mocht bemoeien met de testmethodologie of inhoud van het onderzoeksrapport. De onderzoekers stellen verder dat ze door transparantie over de testmethodologie en het beslissingsproces hebben geprobeerd om een onbewuste voorkeur voor de sponsor tegen te gaan. Volgens het onderzoeksrapport is Chrome het beste bestand tegen aanvallen door het strenger beveiligen van onderdelen, het scheiden van taken, veiligere standaardinstellingen en het gebruik van fuzzing en geautomatiseerde tests om kwetsbaarheden te vinden. Ook scoort Googles browser beter als het om websecurity gaat, zoals Content Security en Same Origin Policies. Edge is daarentegen veiliger dan Internet Explorer, dat over een zwakkere sandbox beschikt. Een ander voordeel voor Edge is dat het geen gevaarlijke legacy-technologieën ondersteunt zoals IE wel doet. Hoewel de onderzoekers Chrome als veiligste browser bestempelen, stellen ze dat de browser ook meer html5-features ondersteunt, die voor nieuwe aanvallen kunnen worden gebruikt. Het gaat dan bijvoorbeeld om WebUSB, WebBluetooth en Service Works, die het aanvalsoppervlak kunnen vergroten. Internet Explorer ondersteunt de minste nieuwe webtechnologieën, gevolgd door Edge. Verder stellen de onderzoekers dat de Safe Browsing-technologie van Google in Chrome nauwkeuriger is als het gaat om bescherming tegen phishing dan de SmartScreen-technologie van Microsoft die in Edge en IE wordt gebruikt. Ook als het om de "security-bruikbaarheid" gaat, zoals het weergeven van http en https en andere waarschuwingen in de adresbalk, komt Chrome als beste uit de bus. Een ander voordeel van de browser is dat Chrome-gebruikers updates sneller ontvangen, aangezien Google geen vaste patchcyclus zoals Microsoft hanteert. bron: security.nl

Cloudprovider DigitalOcean heeft zowel de eigen klanten als die van andere providers gewaarschuwd voor een beveiligingslek dat zich bij het installeren van virtual machines kan voordoen. Veel cloudproviders bieden klanten images met vooraf geïnstalleerde software, zodat het eenvoudiger wordt om nieuwe virtual machines te installeren. DigitalOcean noemt deze images 1-Clicks. De 1-Clicks van DigitalOcean bestaan uit MySQL en andere packages. De MySQL-installatie van de 1-Click-image bevat een MySQL-gebruiker genaamd 'debian-sys-maint'. Deze gebruiker is bedoeld voor lokaal beheer. Voor alle installaties die met de gemeenschappelijke 1-Click-images worden uitgevoerd heeft de gebruiker debian-sys-maint hetzelfde wachtwoord. Een aanvaller zou hier op afstand misbruik van kunnen maken, aldus een e-mail van DigitalOcean naar klanten. Het gaat om de volgende 1-Click-images: MySQL en PHPMyAdmin, LAMP, LEMP, WordPress en OwnCloud. DigitalOcean waarschuwt dat ook de images van andere cloudproviders deze 'misconfiguratie' hebben. De provider besloot klanten eerst via e-mail te waarschuwen voordat het een publieke waarschuwing afgeeft. Voor getroffen gebruikers is er op GitHub een script beschikbaar gemaakt om het probleem te verhelpen. bron: security.nl

Browser-extensies die advertenties blokkeren zijn algemeen bekend, maar een ontwikkelaar heeft nu ook een extensie ontwikkeld die code blokkeert die Google Chrome naar cryptocurrencies laat minen. Aanleiding is het nieuws dat The Pirate Bay een experiment is gestart om een JavaScript-miner in de browsers van bezoekers te laten draaien. Op deze manier wil de populaire torrentsite advertenties vervangen. De JavaScript-miner van de The Pirate Bay neemt 20 tot 30 procent van de rekenkracht van de computer in beslag om de digitale valuta Monero te minen. Er zijn echter ook kwaadaardige advertenties gesignaleerd die alle beschikbare rekenkracht in beslag nemen. The Pirate Bay liet weten dat gebruikers de JavaScript-miner via een adblocker kunnen blokkeren, maar een ontwikkelaar genaamd Ismail Belkacim heeft een Chrome-extensie ontwikkeld die zich specifiek op web-gebaseerde miners richt. De extensie heet MinerBlock en is via de Chrome Web Store te downloaden. De broncode is via GitHub te bekijken. bron: security.nl

Het Tor Project heeft een update voor de Tor-software uitgebracht wegens een beveiligingslek in onion services waardoor gevoelige informatie in logbestanden kon worden opgeslagen. De meeste mensen bezoeken via het Tor-netwerk 'normale' websites. Tor kan echter ook worden gebruikt om websites en diensten te benaderen die alleen binnen het Tor-netwerk toegankelijk zijn. Dit worden onion services genoemd en stonden eerder bekend als hidden services. Een kwetsbaarheid in de code van onion services kan ervoor zorgen dat gevoelige informatie in de logbestanden van de website wordt opgeslagen. Het probleem deed zich alleen voor als de optie SafeLogging, die standaard staat ingeschakeld, door de beheerder was uitgeschakeld. Vanwege de kwetsbaarheid zijn er nu updates voor de Tor-software uitgekomen met versienummer 0.2.8.15, 0.2.9.12 en 0.3.0.11. Alleen beheerders van een onion service moeten actie ondernemen. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. bron: security.nl

Ontwikkelomgeving CCleaner mogelijk al sinds 3 juli gehackt De ontwikkelomgeving van de het populaire programma CCleaner was mogelijk al sinds 3 juli gehackt, zo laat Avast weten, het anti-virusbedrijf dat de tool en ontwikkelaar Piriform op 18 juli overnam. Gisteren maakte Piriform bekend dat aanvallers een backdoor aan CCleaner hadden toegevoegd. Het ging om CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 voor 32-bit Windows die van 15 augustus tot 12 september via de officiële downloadservers werden aangeboden en over een geldig certificaat beschikten. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd. De besmette versies van CCleaner werden in de vier weken dat ze werden aangeboden door 2,27 miljoen gebruikers gedownload. Inmiddels zijn er nog 730.000 gebruikers met een besmette versie van CCleaner. Volgens Avast moeten deze gebruikers naar de nieuwste versie upgraden, maar lopen ze geen risico aangezien de server waarmee de backdoor communiceerde uit de lucht is gehaald. Cisco adviseerde getroffen gebruikers om hun systeem opnieuw te installeren of te herstellen naar een staat van voor 15 augustus, maar dat is niet nodig, aldus Avast. De backdoor-server werd namelijk uitgeschakeld voordat die kwaadaardige code naar besmette systemen kon terugsturen. Inmiddels is de ontwikkelomgeving van Piriform naar de infrastructuur van Avast gemigreerd en zullen alle Piriform-medewerkers naar het interne it-systeem van Avast worden verhuisd. Hoe de aanvallers toegang tot de ontwikkelomgeving van CCleaner wisten te krijgen is nog niet bekendgemaakt. CCleaner is een zeer populaire tool die cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden kan verwijderen. Het is in totaal meer dan 2 miljard keer gedownload en heeft wereldwijd 130 miljoen gebruikers. bron: security.nl

Een optie voor Apache-servers kan er in bepaalde gevallen voor zorgen dat er servergeheugen lekt, zo waarschuwt onderzoeker Hanno Böck. Het gaat om de OPTIONS-methode van http. Het http-protocol ondersteunt verschillende methodes, waarbij GET en POST erg bekend zijn. Via de OPTIONS-methode is het mogelijk om een server te vragen welke http-methodes die allemaal ondersteunt. De server kan vervolgens met de "Allow" header antwoorden en een overzicht van ondersteunde methodes teruggeven. In bepaalde gevallen geeft de server meer dan alleen een overzicht van http-methodes terug, maar ook de inhoud van het servergeheugen. Het kan dan om gevoelige informatie gaan, aldus Böck. Het probleem doet zich voor als de beheerder van de server een "Limit directive", waarmee beperkingen voor http-methodes kunnen worden opgegeven, in een .htaccess-bestand voor een ongeldige http-methode instelt. Dit veroorzaakt een gecorrumpeerde Allow-header die een willekeurig deel van het servergeheugen kan bevatten. Böck voerde een scan van de 1 miljoen populairste websites uit en ontdekte het probleem bij 466 hosts. De onderzoeker stelt dat er een aanvullend risico bij shared hosting-omgevingen is, omdat de corruptie niet tot een enkele virtuele host is beperkt. Een kwaadwillende gebruiker in een shared hosting-omgeving zou opzettelijk een .htaccess-bestand kunnen aanmaken dat een gecorrumpeerde header teruggeeft, in de hoop dat die informatie van andere hosts op hetzelfde systeem bevat. Er is inmiddels een patch voor Apache uitgekomen. "Als je een Apache-webserver in een shared hosting-omgeving draait die toestaat om gebruikers .htaccess-bestanden aan te maken, dan moet je alles laten vallen en meteen updaten en de server daarna herstaten", laat Böck weten.

Aanvallers maken gebruik van een feature in Microsoft Word om informatie over computers te achterhalen, zo laat anti-virusbedrijf Kaspersky Lab in een blogpost weten. Het gaat om de IncludePicture-feature waarmee het mogelijk is om via een link een afbeelding aan een document toe te voegen. Zodra het document wordt geopend zal Word de gelinkte afbeelding laden en in het document weergeven. Kaspersky meldt dat aanvallers documenten als e-mailbijlage versturen die van deze feature misbruik maken. In plaats van een afbeelding bevatten de documenten links naar verschillende php-scripts. Als de ontvanger het document opent wordt de naam en versie van het besturingssysteem, de browser, .Net Framework en Microsoft Office naar de opgenomen links gestuurd. Volgens het anti-virusbedrijf zijn vorig jaar verschillende klanten het doelwit van deze aanval geworden. In april van dit jaar gaven onderzoekers van Kaspersky Lab tijdens de Security Analyst Summit al een presentatie over de aanval. Eén van de documenten die de aanvallers gebruikten heeft als onderwerp "Google and Google Scholar Tips". Een slachtoffer dat dit document had geopend ontving een aantal dagen later opnieuw een document via e-mail, dit keer met een exploit voor zijn specifieke versie van Microsoft Word. Wie er achter de aanval zit en wie het doelwit zijn laat Kaspersky Lab niet weten. Volgens het anti-virusbedrijf werkt de IncludePicture-feature ook in in Microsoft Office voor Android en iOS. LibreOffice en OpenOffice bevatten de feature niet en zullen de kwaadaardige links in het document dus niet openen. In tegenstelling tot de aanvallen via Microsoft Office-documenten die tot op heden plaatsvinden, waarbij er gebruik wordt gemaakt van macro's, embedded Flash-objecten of andere actieve content, vereist deze aanval geen extra interactie van de gebruiker. Alleen het openen van het document is voldoende om de systeeminformatie te versturen. bron: security.nl

Onderzoekers die kwetsbaarheden in Microsoft Office vinden kunnen die tot het einde van dit jaar bij het beloningsprogramma van de softwaregigant rapporteren. Microsoft heeft namelijk besloten het beloningsprogramma voor Office-lekken tot en met 31 december 2017 te verlengen. De softwaregigant betaalt onderzoekers tot 15.000 dollar voor kwetsbaarheden waardoor het mogelijk is om macro's uit te voeren ook al staat het uitvoeren van macro's via een policy uitgeschakeld. Ook beveiligingslekken waardoor een aanvaller zijn rechten via Office Protected View kan verhogen of het beleid van Outlook kan omzeilen om bepaalde bijlagen te blokkeren kunnen op een beloning rekenen. Microsoft Office is nog altijd een geliefd doelwit van aanvallers. Eerder dit jaar werd er een zeroday-lek in de kantoorsoftware ontdekt waardoor gebruikers werden aangevallen. bron: security.nl

In de nieuwste versie van het privacy-OS Tails zijn verschillende veranderingen doorgevoerd, waaronder de ondersteuning van Bluetooth die nu volledig is uitgeschakeld. Deze week maakten onderzoekers verschillende kwetsbaarheden bekend in de Bluetooth-implementaties van onder andere Linux, waar Tails gebruik van maakt. Volgens Red Hat zou de kwetsbaarheid in Linux echter lastig zijn te misbruiken. Aanleiding voor de Tails-ontwikkelaars om geen noodupdate voor het privacy-OS uit te brengen. Er is echter wel besloten om Bluetooth-ondersteuning in de aankomende versie 3.2 volledig uit te schakelen. De ontwikkelaars stellen dat een beperkt aantal gebruikers hier waarschijnlijk last van zal hebben. Mochten gebruikers hierdoor tegen problemen aanlopen, dan wil het ontwikkelteam dit graag weten. Er is nu een Release Candidate van Tails 3.2 verschenen. Naast de uitgeschakelde Bluetooth-ondersteuning heeft de Root Terminal verschillende veranderingen ondergaan, is er geüpgraded naar Thunderbird 52.3.0 en is de hardware-ondersteuning verbeterd. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken en wordt door verschillende burgerrechtenbewegingen en privacy-experts aangeraden. bron: security.nl

Nee Passer, gebruik alleen Noscript.

Ik gebruik Noscript en heb hier geen last van.

Wanneer je toch voor een upgrade gaat zou ik ze vervangen voor 4x2G of de 2x1G laten zitten er er 2x4 bijzetten. Zo rond de 8G draait je systeem net even wat lekkerder.

Dit probleem kan echt van alles zijn. Dus voor ons een beetje lastig om het juiste advies te geven. Heb je al eens de pc een tijdje helemaal van het stroom afgehaald en na een minuut of tien opnieuw geprobeerd?

Aanvulling: internet via je telefoonlijn is mogelijk. Maar hiervoor heb je weer extra speciale apparaten nodig. Ik zou in jou geval ook gaan voor de Powerplug/powerline-optie gaan.

Zeker omdat je aangeeft dat de router nieuw is en een gigaswitch heeft, zou ik zeggen dat er iets in het apparaat niet goed zit. Je kabels kunnen de snelle verbinding aan en middels je oude router haal je ook de hoge snelheid. Dus daar ligt het probleem zeker niet. Het zou of een defect in de router zelf kunnen zijn of de netwerkpoortjes van je router. Maar nogmaals, gezien het feit dat de router nieuw is zou ik even terug gaan naar de leverancier.

Aangezien het tropic al een tijdje stil is en je af sluit met "the end" ga ik er van uit dat het probleem is opgelost en sluit ik het topic. Wil je het toch terug open hebben, laat het ons dan even weten.

Mozilla heeft een extensie voor Firefox ontwikkeld waarmee het mogelijk is om met meerdere accounts gelijktijdig op dezelfde website in te loggen. De Multi-Account Containers-extensie is bedoeld voor bijvoorbeeld mensen die een privé en zakelijk socialmedia- of e-mailaccount gelijktijdig willen gebruiken. De extensie maakt voor elk account een aparte container aan waarin de cookies worden opgeslagen. Zodoende kunnen gebruikers met meerdere accounts op dezelfde site inloggen, zonder dat online trackers dit eenvoudig aan elkaar kunnen koppelen. Als voorbeeld geeft Mozilla dat gebruikers een Container-tab voor het inloggen op socialmedia kunnen gebruiken, om met een andere tab nieuwssites te bezoeken. Zodoende wordt het socialmedia-account gescheiden van de trackingscripts op de nieuwssites. bron: security.nl

Onderzoekers hebben besmette advertenties ontdekt die de browser van gebruikers naar verschillende cryptocurrencies laat minen. De besmette advertenties laden JavaScript-code die de rekenkracht van de computer gebruikt om de cryptocurrencies Feathercoin en Monero te minen. Het voordeel van deze cryptocurrencies, ten opzichte van bijvoorbeeld bitcoin, is dat er geen speciale hardware voor het minen is vereist. Naast advertenties maken de criminelen achter de JavaScript-code ook gebruik van websites om de browser van bezoekers voor hun doeleinden in te zetten. Het gaat dan om streamingwebsites en in-browser gamingsites. Advertenties zijn echter de voornaamste verspreidingsmethode. Het voordeel van deze aanpak is dat de aanvallers geen malware op de computer van internetgebruikers hoeven te installeren of bijvoorbeeld van exploits gebruik moeten maken. Ook is het eenvoudiger om een groot aantal machines te bereiken door websites te "infecteren" dan door de computers van gebruikers met malware te besmetten, aldus onderzoekers van anti-virusbedrijf ESET. De campagne is voornamelijk gericht op Rusland en Oekraïne. "Ondanks de prestatienadelen van het gebruik van een JavaScript-miner in plaats van een apart programma, zorgt het aantal bezoekers dat de miner ontvangt er waarschijnlijk voor dat ze er winst mee maken", zegt onderzoeker Matthieu Faou. Volgens de onderzoeker kunnen gebruikers zich tegen dit soort dreigingen beschermen door een goed geconfigureerde adblocker of scriptblocker binnen de browser te gebruiken. bron: security.nl

Google zal in een aankomende versie van Chrome ftp-locaties als "niet veilig" weergeven. Eerder werd er al besloten om bepaalde http-websites als "niet veilig" te bestempelen. Volgens Mike West, werkzaam voor het security-team van Chrome, was ftp in eerste instantie geen onderdeel van het originele plan om http als onveilig te gaan aanduiden. "Maar helaas zijn de security-eigenschappen zelfs marginaal slechter dan die van http", aldus West. De internetgigant is al geruime tijd bezig om het gebruik van https te bevorderen en het gebruik van http te ontraden. Het http-protocol wisselt informatie namelijk onbeveiligd uit. Kwaadwillenden kunnen zo gegevens onderscheppen of bijvoorbeeld zien wat gebruikers allemaal op een website doen. Net als bij http wordt er ook bij ftp onbeveiligd informatie uitgewisseld. Inloggegevens worden als platte tekst naar de ftp-server verstuurd.Volgens West was ftp afgelopen maand voor 0,0026 procent van de 'top-level navigations' verantwoordelijk en is het gezien het risico voor gebruikers gerechtvaardigd om het als 'niet veilig' te markeren. De melding in de adresbalk zal vanaf Chrome 63 worden getoond, die voor begin december gepland staat. Vanaf Chrome 62 die volgende maand verschijnt zal de browser bij alle http-websites waar gebruikers tekst kunnen invoeren, alsmede voor alle http-websites in de incognito-mode, de waarschuwing "niet veilig" tonen. Eerder verscheen deze melding al bij websites waar gebruikers kunnen inloggen of hun creditcardgegevens kunnen invoeren. bron: security.nl

Onderzoekers hebben malware ontdekt die Netgear-routers via een beveiligingslek infecteert en vervolgens gebruikt om aanvallen op Fortune 500-bedrijven te faciliteren. De kwetsbaarheid is in 29 router-modellen van Netgear aanwezig, waaronder de WNR2000, en kan alleen worden aangevallen als een aanvaller toegang tot het lokale netwerk heeft of remote management staat ingeschakeld. De onderzoeker die de kwetsbaarheid vorig jaar december openbaarde stelde dat er op dat moment 10.000 routers op internet te vinden waren waar remote management stond ingeschakeld. Volgens de advisory van Netgear is het beveiligingslek inmiddels in zes modellen gepatcht. Ondanks de beschikbaarheid van een update en vereiste om remote management ingeschakeld te hebben zijn er nog altijd kwetsbare apparaten te vinden. Onderzoekers van Forkbombus Labs waarschuwen namelijk voor de RouteX-malware die kwetsbare routers via het lek infecteert. Vervolgens wordt de router in een SOCKS-proxy veranderd die de aanvaller bij andere aanvallen kan faciliteren. In het geval van de RouteX-malware wordt er geprobeerd om met gestolen inloggegevens, die bijvoorbeeld via datalekken zijn verkregen, op accounts van Fortune 500-bedrijven in te loggen. Om te voorkomen dat anderen de geïnstalleerde proxy-server gebruiken maakt de RouteX-malware gebruik van IPTables, zodat alleen goedgekeurde ip-adressen toegang tot het apparaat hebben. bron: security.nl