Captain Kirk

Internetgebruikers zijn gewaarschuwd voor cybercriminelen die svg-bestanden gebruiken om malware te verspreiden. In plaats van bijvoorbeeld js- of exe-bestanden of Microsoft Office-documenten met macro's te gebruiken is er voor svg-bestanden gekozen. Scalable vector graphics (svg) is een xml-gebaseerd afbeeldingsformaat en ondersteunt scripts. In november werd bekend dat cybercriminelen kwaadaardige svg-bestanden op Facebook gebruikten om ransomware te verspreiden. Dit was mogelijk door een misconfiguratie in de infrastructuur van de sociale netwerksite. Het Internet Storm Center laat nu weten dat svg-bestanden ook via e-mail worden verstuurd. De kwaadaardige afbeeldingen zitten in een zip-bestand verpakt. Zodra de gebruiker het bestand opent wordt die verleid om het script uit te voeren, wat uiteindelijk tot de installatie van een exe-bestand moet leiden. In 2015 werden svg-bestanden ook al eens gebruikt voor het verspreiden van ransomware. bron: security.nl

Om gebruikers te beschermen gaat Gmail vanaf 13 februari dit jaar het versturen van e-mailbijlagen met js-bestanden blokkeren. Op dit moment blokkeert Gmail al verschillende bestanden, zoals exe, scr en pif. Als gebruikers straks een js-bestand als bijlage willen versturen zal er een waarschuwing verschijnen. Volgens Google kunnen gebruikers die voor legitieme doeleinden js-bestanden willen versturen gebruikmaken van Google Drive, Google Cloud Storage of andere opslagdiensten. Js-bestanden worden voornamelijk gebruikt voor het uitvoeren van JavaScript. Aanvallers hebben dit soort bestanden de afgelopen jaren veelvuldig gebruikt om internetgebruikers met ransomware te infecteren. Vorig jaar waarschuwde Microsoft nog voor js-bijlagen. bron: security.nl

Google heeft een nieuwe versie van Chrome gelanceerd die waarschuwt voor websites waar gebruikers via http moeten inloggen of hun creditcardgegevens moeten achterlaten. Met de maatregel wil Google bijdragen aan een volledig versleuteld web. Uiteindelijk wil de internetgigant alle http-websites als "niet veilig" bestempelen. Daarnaast is Chrome begin deze maand al begonnen om bij https-websites het woord "veilig" in de adresbalk te vermelden. Eerder deze week lanceerde Mozilla een nieuwe Firefox-versie die dezelfde http-waarschuwing toont. Verder verhelpt Chrome 56.0.2924.76 in totaal 51 beveiligingslekken. Via de kwetsbaarheden kon een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Google betaalde onderzoekers zo'n 54.000 dollar voor het rapporteren van de beveiligingslekken. Verder staat html5 nu standaard ingeschakeld. Dit houdt in dat de embedded Adobe Flash Player standaard wordt geblokkeerd op websites die html5 ondersteunen. In het geval websites alleen met Flash Player werken voor het afspelen van filmpjes krijgen gebruikers een melding te zien die toestemming vraagt om Flash Player aan te roepen. Op verschillende populaire Flash-sites wordt deze melding nog niet getoond. Dat zal pas later dit jaar gebeuren. De update naar Chrome 56 zal op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

In nog geen zes maanden tijd hebben twee onderzoekers ruim 200 kwetsbaarheden in de beveiligingssoftware van beveiligingsbedrijf Trend Micro ontdekt waardoor een aanvaller in het ergste geval op afstand en zonder interactie van gebruikers computers volledig kon overnemen. Sinds 29 juli vorig jaar rapporteerden onderzoekers Steven Seeley en Roberto Suggi Liverani 223 beveiligingslekken in 11 verschillende Trend Micro-producten. 194 daarvan zijn op afstand te gebruiken en alle kwetsbaarheden zijn zonder enige interactie van gebruikers uit te buiten. De onderzoekers zullen tijdens de Hack in the Box-conferentie in Amsterdam hun bevindingen presenteren. Volgens de onderzoekers waren veel van de kwetsbaarheden "zeer eenvoudig" te vinden, waardoor Seeley zich afvraagt waarom het beveiligingsbedrijf ze zelf niet heeft ontdekt. Eén van de ergste problemen vonden de onderzoekers in een product om dataverlies tegen te gaan. Via een kwetsbaarheid konden ze de server overnemen waarop de software draaide. Vervolgens konden ze kwaadaardige updates naar alle computers sturen die met de server verbonden waren. "Op deze manier kun je het netwerk volledig overnemen als je de server hebt gehackt", zegt Seeley tegenover zakenblad Forbes. Een aanvaller moet in dit geval wel eerst toegang tot het netwerk zien te krijgen om de aanval uit te voeren. Een kwetsbaarheid in een ander Trend Micro-product genaamd InterScan maakte dit echter mogelijk. Trend Micro zou snel op de bugmeldingen van de onderzoekers reageren. De updates laten echter soms ook te wensen over. Zo bleek één patch het beveiligingslek niet eens te verhelpen. "De patch was zo slecht, ik had hem eenvoudig kunnen omzeilen", aldus Seeley. Een aantal van de problemen is onlangs gerapporteerd en wacht nog op een update, zo blijkt uit het overzicht van het Zero Day Initiative. Dit initiatief betaalt hackers voor het melden van beveiligingslekken en is eigendom van Trend Micro. bron: security.nl

Google heeft vorig jaar 1,7 miljard schadelijke advertenties verwijderd die internetgebruikers met malware probeerden te infecteren, illegale producten aanboden of persoonlijke informatie probeerden te ontfutselen. Het gaat om meer dan een verdubbeling ten opzichte van 2015, aldus de internetgigant. Om schadelijke advertenties sneller uit te schakelen breidde Google het advertentiebeleid uit. Zo kwamen er nieuwe regels om gebruikers tegen misleidende advertenties te beschermen. Daarnaast werd de detectietechnologie aangepast. Door deze aanpassing moeten advertenties die zich voordoen als systeemmeldingen of -waarschuwingen, en mensen vervolgens malware of andere schadelijke software laten downloaden, sneller worden herkend en verwijderd. Vorig jaar verwijderde Google 112 miljoen van dergelijke advertenties. Een verzesvoudiging ten opzichte van 2015. Een andere categorie waar Google tegen optrad waren advertenties die Android-gebruikers zonder waarschuwing apps vanuit Google Play lieten downloaden. In 2015 vond Google een paar duizend van deze advertenties. Vorig jaar waren het er meer dan 23.000. "Als we in betere detectie investeren zullen de scammers nog verder gaan om onze systemen te misleiden. Het blijven bestrijden van ze is essentieel om mensen op internet te beschermen en ervoor te zorgen dat je onbezorgd van het web kunt genieten", zegt Scott Spencer van Google. bron: security.nl

Een groep Duitse ontwikkelaars heeft een op Chromium gebaseerde browser ontwikkeld die privacy centraal stelt. Iridium, zoals de browser heet, wordt gesteund door de Open Source Business Alliance. Chromium is een door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome vormt. Ook andere partijen kunnen Chromium als basis voor hun browser gebruiken, zoals Comodo Dragon, Vivaldi, SRWare Iron en Opera. Volgens de ontwikkelaars van Iridium is Chrome snel en gebruiksvriendelijk, maar voldoet het niet aan de wens van veel organisaties voor privacy. Daarom besloten ze Iridium te ontwikkelen, dat wel dezelfde basis heeft maar standaard de privacy van gebruikers centraal zet. Zo staan allerlei features uitgeschakeld die wel in Chromium standaard actief zijn, waaronder Google cloud printing, Google translation service, Google Now en andere diensten van de internetgigant. Verder zijn er verschillende opties uitgeschakeld om de privacy te beschermen. Zo is de standaardzoekmachine Qwant, maar kan er ook DuckDuckGo worden gekozen. Verder worden cookies en andere gegevens na het sluiten van de browser verwijderd en staan plug-ins zoals Flash Player standaard uitgeschakeld. "Over het algemeen biedt de Chromium-browser alle noodzakelijke en moderne interfaces, zoals WebRTC en een zeer krachtige JavaScript-parser", zegt Michael Kromer van Kopano, één van de bedrijven die bij de ontwikkeling betrokken is. "We weten ook dat de Chromium-browser een Google-project is en allerlei invoer naar de Google-cloud stuurt voor analyse, wat ons vanzelfsprekend zorgen baart. Daarom besloten verschillende bedrijven samen te werken en de op Chromium gebaseerde open source Iridium-browser te ontwikkelen en zo het privacygat te dichten." bron: security.nl

Het Russische anti-virusbedrijf Doctor Web heeft een nieuw malware-exemplaar ontdekt dat duizenden Linux-apparaten heeft geïnfecteerd en besmette machines vervolgens als proxy gebruikt zodat cybercriminelen op internet anoniem kunnen blijven. De malware maakt gebruik van standaardwachtwoorden om via ssh op de Linux-apparaten in te loggen. Ook komt het voor dat er op machines wordt ingelogd die al met Linux-malware zijn geïnfecteerd. Eenmaal actief wordt er een proxyserver op de besmette machine geïnstalleerd. Vervolgens kunnen cybercriminelen met deze besmette Linux-machines verbinding maken om daarvandaan bijvoorbeeld andere aanvallen uit te voeren. Volgens Doctor Web zijn duizenden Linux-apparaten geïnfecteerd. Om wat voor apparaten het precies gaat laat de virusbestrijder niet weten. bron: security.nl

Het opensource-besturingssysteem Tails, dat volledig op privacy en veiligheid is gericht, heeft een nieuwe feature toegevoegd waardoor gebruikers nu eenvoudig anoniem bestanden met elkaar kunnen uitwisselen. Tails staat voor The Amnesic Incognito Live System. Het is een compleet besturingssysteem dat op Debian is gebaseerd en allerlei tools bevat om anoniem te kunnen internetten. Tails is vanaf een dvd of usb-stick te gebruiken. Aan de nieuwste versie 2.10 is OnionShare toegevoegd. Dit is een tool voor het anoniem uitwisselen van bestanden. Via OnionShare kunnen gebruikers direct vanuit Tails bestanden met anderen delen. Hiervoor wordt een website op het Tor-netwerk aangemaakt. Gebruikers kunnen vervolgens deze website met andere personen delen en zo bestanden met hen uitwisselen. Tails is te downloaden via Boum.org. bron: security.nl

Nadat gisteren al een beveiligingsonderzoeker van Google ervoor waarschuwde heeft nu ook Cisco een waarschuwing voor een ernstig beveiligingslek in de WebEx-extensie voor Internet Explorer, Chrome en Firefox afgegeven. Via de kwetsbaarheid kunnen kwaadaardige websites Windows-computers in het ergste geval volledig overnemen. De Cisco WebEx-extensie is bedoeld voor het bijwonen van video- en webconferenties. De kwetsbaarheid laat een kwaadaardige website een WebEx-sessie starten. Via deze WebEx-sessie kan een aanvaller vervolgens willekeurige code op het systeem uitvoeren. Het probleem speelt alleen bij de Chrome-, Firefox en IE-extensie voor Windows. Gisteren werd al bekend dat er updates voor Chrome en Firefox waren uitgekomen. In het geval van deze browsers worden geïnstalleerde extensies automatisch bijgewerkt. Dat lijkt echter niet het geval voor Internet Explorer te zijn, dat juist in zakelijke omgevingen veel wordt gebruikt. Volgens Cisco zijn er geen 'workarounds' voor het probleem, maar kunnen systeembeheerders en gebruikers op Windows er wel voor kiezen om via Microsoft Edge WebEx-sessies bij te wonen. De Edge-extensie is namelijk niet kwetsbaar. Daarnaast stelt Cisco dat de extensie kan worden verwijderd. Cisco WebEx is op tientallen miljoenen computers geïnstalleerd.

Een bug heeft bij cloudopslagdienst Dropbox ervoor gezorgd dat bestanden die gebruikers hadden verwijderd toch bewaard bleven. Onlangs klaagden verschillende Dropbox-gebruikers dat bestanden en mappen die ze jaren geleden hadden verwijderd opeens weer terug waren. In een reactie stelt Dropbox dat een bug in de software ervoor zorgde dat sommige bestanden en mappen niet volledig van de servers werden verwijderd, ook al hadden gebruikers ze wel in hun Dropbox-account verwijderd. Bij het oplossen van de fout werden onbedoeld de bestanden in kwestie bij de gebruikers teruggeplaatst. De cloudopslagdienst zegt dat het bestanden die door gebruikers zijn verwijderd normaliter na 60 dagen van de Dropbox-servers verwijdert. Wegens problemen met de metadata werden de bestanden in kwestie door Dropbox in quarantaine geplaatst en niet permanent verwijderd. Nu de bug is opgelost kunnen gebruikers de bestanden wel verwijderen zonder dat ze terugkeren. bron: security.nl

Mozilla heeft verschillende maatregelen aangekondigd om Firefox tegen het injecteren en laden van dll-bestanden door derde partijen te beschermen, wat voor minder crashes moet zorgen. Op dit moment hebben derde partijen verschillende manieren om hun eigen dll-bestanden binnen Firefox te laden. Dit kan via een add-on worden gedaan of het direct injecteren van bestanden in het Firefox-proces. Volgens Mozilla is dit een voorname oorzaak dat nieuwe versies van Firefox crashen. Dergelijke problemen hebben het afgelopen jaar er vier keer voor gezorgd dat een nieuwe Firefox-versie werd uitgesteld. "Dit kan het vertrouwen in Firefox aantasten", zegt Mozilla's Kev Needham. Met de lancering van Firefox 50 zijn er al maatregelen doorgevoerd die ervoor moeten zorgen dat extensies de browser niet kunnen laten crashen. Mozilla gaat echter nog meer maatregelen nemen om gebruikers te beschermen. Zo worden er in Firefox 53 verschillende aanpassingen doorgevoerd. Add-ons mogen dan geen binaire bestanden meer laden en zal de browser beter worden beschermd tegen het injecteren van dll-bestanden. Daarnaast zal software die dll-bestanden in het Firefox-proces probeert te laten op een blocklist worden gezet. Volgens Needham helpen deze aanpassingen ook bij het voorbereiden van een grotere uitrol van de 64-bit versie van Firefox op Windows in de nabije toekomst, aangezien sommige dll-bestanden die nu worden geïnjecteerd of geladen niet met deze versie compatibel zullen zijn. bron: security.nl

Beste Gerrystoffel, De reactie op je vraag is al van een tijdje terug. Is je probleem inmiddels opgelost? Dan mag je dit topic op slot zetten.

Bij deze gesloten.

Beste Roald, Omdat je wel geluid hoort behalve van de TVL ga ik toch vermoeden dat het probleem niet bij jou ligt maar bij de aanbieder. Wanneer je probleem lokaal zou zijn, hoor je helemaal geen geluid meer. Vreemd is het wel. Bij controle heb ik wel geluid van TVL. Heb je dit bij een specifieke uitzending van TVL?

Netwerkfabrikant Netgear waarschuwt gebruikers voor een beveiligingslek in tal van routers en modems waardoor een aanvaller het beheerderswachtwoord van de webinterface kan achterhalen als de wachtwoordhersteloptie staat uitgeschakeld. In totaal zijn 31 modellen kwetsbaar. Om de kwetsbaarheid uit te buiten moet een aanvaller toegang tot het interne netwerk hebben of moet beheer op afstand (remote management) staan ingeschakeld. Voor 18 modellen zijn er nu beveiligingsupdates online verschenen. Gebruikers moeten die nog wel zelf downloaden en installeren. Voor 13 andere routers en dsl-modems zijn geen updates beschikbaar, maar adviseert Netgear om een "workaround" toe te passen. Het gaat om het inschakelen van de wachtwoordhersteloptie en het uitschakelen van beheer op afstand. Het beveiligingslek is aanwezig en gepatcht in de Netgear R8500, R8300, R7000, R6400, R7300, R7100LG, R6300v2, WNDR3400v3, WNR3500Lv2, R6250, R6700, R6900, R8000, R7900, WNDR4500v2, R6200v2, WNDR3400v2 en C6300. Voor de volgende modellen, waar het lek ook in aanwezig is, moeten eigenaren de workaround opvolgen: Netgear R6200v1, R6300v1, VEGN2610, AC1450, WNR1000v3, WNDR3700v3, WNDR4000, WNDR4500, D6400, D6220, D6300, D6300B en DGN2200Bv4.

In april van dit jaar gaat Oracle met md5-gesigneerde Java-bestanden blokkeren om gebruikers te beschermen, zo heeft het softwarebedrijf deze week laten weten. Via het md5-algoritme kunnen Java-ontwikkelaars hun Java-bestanden signeren. Het md5-algoritme wordt echter als onveilig en ongeschikt voor veiligheidsdoeleinden beschouwd, aldus Oracle. Het is sinds 2006 ook niet meer de standaardoptie voor het signeren van Java-bestanden. Vanwege het beveiligingsrisico gaat Oracle vanaf april Java-bestanden die met md5 zijn gesigneerd blokkeren. Deze bestanden worden niet meer door Java vertrouwd en zullen als gevolg niet meer automatisch worden geladen. Oracle roept ontwikkelaars dan ook op om te controleren dat hun Java-bestanden niet met md5 zijn gesigneerd. bron: security.nl

Microsoft heeft bedrijven en organisaties gewaarschuwd dat de originele Windows 10-versie die op 29 juli 2015 uitkwam binnenkort niet meer wordt ondersteund. In tegenstelling tot eindgebruikers kunnen bedrijven aangeven hoe ze Windows 10-updates willen ontvangen. Zo is er een Long Term Servicing (LTS) branch voor bedrijven met belangrijke systemen werken. In dit geval zullen er alleen beveiligingsupdates worden uitgerold, maar geen nieuwe features. Dan is er nog de "Current branch for Business" (CBB). Door computers en apparaten hiervoor in te stellen zullen er nieuwe feature-updates worden uitgerold nadat die uitgebreid in de consumentenmarkt zijn getest en gevalideerd. Op deze manier kunnen systemen met grote zekerheid worden geüpgraded. Het gaat hier alleen om nieuwe features. Beveiligingsupdates worden nog wel steeds meteen aangeboden. Eind november vorig jaar werd de Windows 10 Anniversary Update (versie 1607) via het CBB-kanaal aangeboden. Volgens Microsoft was deze versie klaar voor grootschalige uitrol bij organisaties. Nu heeft Microsoft de bijgewerkte media voor de Anniversary Update via verschillende kanalen, zoals Windows Update for Business, Windows Server Update Services (WSUS) en MSDN Subscriptions, beschikbaar gemaakt. Op 26 januari zal deze media ook via het Volume Licensing Service Center (VLSC) te vinden zijn. Zodra de media voor de Anniversary Update via het VLSC beschikbaar is geldt er een overgangsperiode van 60 dagen voor de originele Windows 10-versie (1507). "Dit houdt in dat Windows 10-versie 1507 na 26 maart niet meer wordt ondersteund, aangezien alleen de twee meest recente Current Branch for Business (CBB) versies ondersteuning krijgen", aldus Microsofts Nathan Mercer. bron: security.nl

Om detectie door onderzoekers en beveiligingsbedrijven te voorkomen zijn er malware-exemplaren die kijken of ze in een virtual machine draaien en als dit zo is het systeem niet infecteren. Deze controle kan echter ook worden gebruikt om normale Windows-computers tegen malware te beschermen. Dat stelt Thomas Roccia van beveiligingsbedrijf McAfee. Door verschillende sleutels van virtual machines aan het Windows Register toe te voegen, alsmede verschillende bestanden en processen aan te maken kan de malware denken dat het om een echte virtual machine gaat en vervolgens besluiten de computer niet te infecteren. Uit een test van Roccia blijkt dat deze methode inderdaad kan werken. "Malware is zich continu aan het ontwikkelen en steeds geavanceerder aan het worden. Analyse en detectie wordt lastiger en tijdsintensiever. Deze proof-of-concept laat een nieuwe manier zien om tegen malware-infecties te beschermen door een virtuele omgeving te emuleren", aldus de onderzoeker. Roccia merkt op dat deze methode geen vervanging voor beveiligingssoftware is. "Maar het kan je verdediging wel aanvullen. Soms moeten we verschillende tactieken proberen om malware te bestrijden." bron: security.nl

Windows 10 krijgt een optie om als er weinig schijfruimte is automatisch bestanden te verwijderen die de gebruiker niet nodig heeft. De functie is nu aan een nieuwe testversie van het besturingssysteem toegevoegd. Op dit moment gaat het om ongebruikte tijdelijke bestanden en bestanden die langer dan 30 dagen in de vuilnisbak zitten die Windows kan verwijderen. Standaard staat de optie echter uitgeschakeld. Wanneer de functie aan de definitieve versie wordt toegevoegd is nog niet bekend. Daarnaast beschikt Windows 10 Insider Preview Build 15014 ook over een optie waarbij gebruikers via een slider kunnen kiezen tussen batterijduur en prestaties. Een overzicht van alle bugfixes, verbeteringen en aanpassingen is via Windows.com te vinden. bron: security.nl

Microsoft heeft een persbericht verwijderd waarin werd gesteld dat de beveiliging van Windows 7 niet meer voldoende was en gebruikers beter op Windows 10 konden overstappen. Het ging om een persbericht van Microsoft Duitsland waarin de softwaregigant claimde dat het afscheid van Windows 7, na meer dan 10 jaar op de markt te zijn geweest, een logische beslissing was. Het besturingssysteem zou namelijk op verouderde beveiligingsarchitecturen zijn gebaseerd. "Windows 7 begint langzaamaan te verouderen. Het voldoet niet meer aan de vereisten voor moderne technologie of de beveiligingseisen van it-afdelingen", zo liet Markus Nitschke, hoofd van Microsoft Duitsland, weten. Hij adviseerde bedrijven om tijdig over te stappen, om problemen zoals met Windows XP te voorkomen. Het bericht zorgde voor veel kritiek, aangezien Windows 7 nog tot 2020 door Microsoft met beveiligingsupdates wordt ondersteund. Daarnaast publiceerde Microsoft zelf op het eigen TechNet een artikel over een schone Windows 7-installatie. Het persbericht is nu echter door Microsoft verwijderd. Een kopie is nog wel in de cache van Google te vinden. Daarnaast heeft een marketingmanager van de softwaregigant het origineel maandag op een TechNet-blog geplaatst waar het nog niet is verwijderd. bron: security.nl

Een beruchte groep criminelen maakt gebruik van verschillende Google-diensten om geïnfecteerde computers op afstand te besturen. Het gaat om een bende genaamd Carbanak die miljoenen euro's bij banken en de horecasector wisten te stelen, zo melden beveiligingsbedrijven Forcepoint en Trustwave. Om de computers te infecteren worden er kwaadaardige rtf-documenten verstuurd. Deze documenten bevatten een Visual Basic-script dat de malware installeert. Standaard worden scripts die aan documenten zijn toegevoegd niet door Office uitgevoerd. Daarom maken de aanvallers gebruik van social engineering. Het document laat de ontvanger weten dat het document beveiligd is en er moet worden geklikt op de afbeelding om de inhoud te kunnen zien. Het Visual Basic-script maakt verbinding met Google Apps Scripts, Google Docs, Google Sheets of Google Form services. Op deze manier kunnen de aanvallers de besmette computers op afstand monitoren, malware verspreiden en verdere kwaadaardige acties uitvoeren. "Het gebruik van dergelijke diensten als onderdeel van de aanval is handig voor de aanvallers, aangezien de meeste bedrijfsnetwerken toestaan om hier verbinding mee te maken en het bijna onmogelijk is om ze te blacklisten", zegt onderzoeker Thanassis Diogos van Trustwave. Hij krijgt bijval van Nicholas Griffin van Forcepoint. "Het gebruik van legitieme derde partijen zoals deze diensten geeft een aanvaller de mogelijkheid om zich in het zicht te verbergen. Het is onwaarschijnlijk dat deze Google-diensten standaard in een organisatie worden geblokkeerd, dus het is des te waarschijnlijker dat een aanvaller een command en control-kanaal kan opzetten." Volgens Griffin is het gebruik van Google als een kanaal om besmette computers te besturen waarschijnlijk succesvoller dan het gebruik van nieuw aangemaakte domeinen of domeinen zonder reputatie. bron: security.nl

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat zich op geniepige wijze via usb-sticks verspreidt. Het gaat om de Spora-ransomware die recentelijk al in het nieuws kwam. De methode die Spora gebruikt om usb-sticks en externe harde schijven te infecteren was nog niet genoemd. In eerste instantie maakt Spora gebruik van e-mailbijlagen om internetgebruikers te infecteren, zo meldde anti-virusbedrijf Emsisoft vorige week. Eenmaal actief gebruikt de ransomware dezelfde truc als verschillende computerwormen om zich verder te verspreiden, namelijk lnk-bestanden. Deze extensie gebruikt Windows voor snelkoppelingen, maar is ook te gebruiken voor het uitvoeren van code. Zowel op usb-sticks, externe harde schijven als de systeemschijf maakt de ransomware bestanden en mappen onzichtbaar. Vervolgens vervangt het deze mappen en bestanden met een gelijknamig lnk-bestand dat de originele map of bestand opent, zodat de gebruiker niets vermoedt, en tegelijkertijd in de achtergrond de malware uitvoert. De worm verwijdert tevens een waarde in het Windows-register, zodat het snelkoppeling-icoon niet meer het bekende pijltje bevat. Zodoende ziet de gebruiker niet dat er iets mis is, tenzij hij de detailweergave van mappen heeft ingeschakeld. "Alleen door de mappen op je systeem via dubbelklik te doorlopen activeert de worm. Via deze strategie verspreidt de worm zich niet alleen naar verwijderbare schijven zoals usb-sticks, maar zal het ook nieuwe bestanden op het systeem versleutelen. Dit maakt het systeem onbruikbaar voor het opslaan van of werken aan foto's en documenten totdat de ransomware is verwijderd", zegt Karsten Hahn van het Duitse anti-virusbedrijf G Data. Hahn laat verder weten dat Spora de User Account Control (UAC) maatregel van Windows niet omzeilt. Dit houdt in dat de gebruiker een dialoogvenster van Windows krijgt te zien waarin de malware vraagt om aanpassingen aan de computer te maken. In dit geval is het verzoek van de "Windows Command Processor" afkomstig die als gecontroleerde uitgever Microsoft zelf heeft. Verder verwijdert de ransomware schaduwvolumes en schakelt Windows foutherstel uit. Voor het ontsleutelen van de data vraagt de ransomware bedragen tussen de 79 en 280 dollar. bron: security.nl

Mozilla maakt zich grote zorgen over de gezondheid van het internet en heeft daarom voor het eerst een rapport opgesteld dat laat zien hoe het web ervoor staat. Volgens Mozilla vinden er op dit moment allerlei ontwikkelingen plaats die nadelig voor zowel het web als internetgebruikers kunnen zijn. Het gaat dan om het opdelen van het internet door een aantal grote bedrijven die zo op alledaagse activiteiten een monopolie krijgen. Iets wat gevolgen voor de openheid en decentralisatie van het web heeft. Een ander punt van zorgen is het Internet of Things. Aanvallen door miljoenen gehackte IoT-apparaten zorgen voor vragen over de veiligheid en betrouwbaarheid van het internet. "Milieuactivisten in de jaren 1960 hadden met hetzelfde probleem te maken. Slechts weinig mensen wisten dat de gezondheid van de planeet risico liep", aldus Mozilla's Mark Surman. Door een beweging op te zetten zijn onderwerpen als de ozonlaag en duurzame energie nu algemeen bekend en wordt hier door zowel bedrijven als beleidsmakers aandacht aan besteed. Mozilla heeft daarom een een gezondheidsrapport over het internet opgesteld waarin wordt gekeken hoe het web ervoor staat. In totaal staan er vijf onderwerpen centraal, namelijk decentralisatie, open innovatie, privacy en security, digitale uitsluiting en computervaardigheden. "We hebben deze onderwerpen gekozen omdat ze allemaal invloed op de sociale, technische, politieke en economische gezondheid van het internet hebben", stelt Surman. Veiligheid In het hoofdstuk over privacy en security wordt er gekeken naar de opvattingen van mensen, alsmede de wetgeving van landen op het gebied van databescherming. Dan blijkt dat bijna eenderde van de wereldbevolking geen databeschermingswetten heeft. Een ander subonderwerp is de aanwezigheid van beveiligde verbindingen. Zo zou inmiddels bijna 50 procent van de websites een beveiligde verbinding aanbieden. Aan de andere kant laat het rapport ook een overzicht van de grootste datalekken van de afgelopen jaren zien, waarbij de gegevens van honderden miljoenen mensen op straat kwamen te liggen. "Door alledaagse zaken laten we bij allerlei bedrijven en overheden een levenslange digitale voetafdruk achter", aldus Mozilla. Volgens de opensource-ontwikkelaar moeten mensen meer voorzorgsmaatregelen nemen om zichzelf te beschermen en kritisch zijn over de gegevens die ze online delen. Daarnaast spelen ook overheden en bedrijven hierbij een rol. "Technologie kan een bron van vrijheid en bekrachtiging zijn, maar het kan ook een tool van autoritaire controle zijn. Waar we ons ook bevinden, we moeten de mogelijkheden van overheden en bedrijven beperken om al onze bewegingen van nu en in de toekomst te archiveren." bron: security.nl

Het Internet Storm Center (ISC), een organisatie die de veiligheid op internet monitort, heeft verschillende privacytips voor Windows 10-gebruikers gegeven zodat er minder gegevens naar Microsoft worden gestuurd. Volgens ISC-handler Rob VandenBrink is Windows 10 de veiligste Windowsversie tot nu toe. Hij krijgt echter vaak vragen over het beperken van de informatie die het besturingssysteem doorstuurt. Daarom heeft hij een aantal features verzameld die in dit geval kunnen worden uitgeschakeld. Als eerste richt VandenBrink zich op de Windows Telemetrie. Het gaat dan om informatie over actieve apps, zoekopdrachten, gamepatronen en andere gegevens. Het is niet mogelijk om deze optie geheel uit te schakelen, maar op het laagste niveau wordt er alleen securitydata verstuurd. Een andere feature die wordt genoemd is het Smartscreen-filter. Deze functie waarschuwt gebruikers voor kwaadaardige websites of bestanden. Volgens VandenBrink is het onduidelijk wat voor soort informatie naar Microsoft wordt verstuurd zodat het gebruikers voor bezochte websites kan waarschuwen. Ook adviseert de ISC-handler om Wi-Fi Sense uit te schakelen. Dit is een optie waarmee het mogelijk is om contacten toegang tot het eigen wifi-netwerk te geven. In de Anniversary Update voor Windows 10 heeft Microsoft deze functie zelf al uitgeschakeld. Gebruikers die de update nog niet hebben geïnstalleerd doen er echter verstandig aan om deze functie zelf uit te schakelen, stelt VandenBrink. Een andere optie die hij noemt is het doorzoeken van het Startmenu. Microsoft koppelt dit namelijk met zoeksuggesties, waardoor het ook onderdeel van de telemetriestroom wordt. Verder zijn spraakassistent Cortana, Locatietracking en Windows Feedback opties waar Windows 10-gebruikers volgens VandenBrink prima zonder kunnen. Om de genoemde opties uit te schakelen noemt de ISC-handler de betreffende sleutel in het Windows Register die moet worden aangepast of de verantwoordelijke Group Policy. Vorige week maakte Microsoft nog bekend dat het de privacyinstellingen in Windows 10 gaat aanpassen zodat gebruikers meer controle over hun data krijgen en er minder gegevens naar Microsoft worden verstuurd. bron: security.nl

De versleutelde e-maildienst ProtonMail heeft een website op het Tor-netwerk gelanceerd zodat Tor-gebruikers direct de ProtonMail-website kunnen bezoeken zonder het Tor-netwerk te verlaten. Dit moet de veiligheid van gebruikers vergroten. Het Tor-netwerk bestaat uit verschillende servers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server, die door vrijwilligers aan het Tor-netwerk wordt toegevoegd, wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het geval van websites op het Tor-netwerk hoeven Tor-gebruikers het Tor-netwerk niet te verlaten. Volgens ProtonMail zijn er verschillende redenen om de e-maildienst via het Tor-netwerk te gebruiken. Het Tor-netwerk maakt het lastiger voor een tegenstander om de internetverbinding te tappen om zo te achterhalen dat ProtonMail wordt gebruikt. Ook maakt Tor het lastiger om een man-in-the-middle-aanval op de gebruiker uit te voeren. Verder helpt Tor ook bij de toegankelijkheid van de e-maildienst. In het geval ProtonMail wordt geblokkeerd kan het nog wel mogelijk zijn om de e-maildienst via de Tor-website te benaderen. Een ander voordeel is de bescherming tegen ddos-aanvallen. Het is namelijk lastig om het ip-adres van de Tor-website te achterhalen. Verder stelt ProtonMail dat door het bezoeken van de Tor-website er sprake van end-to-end-encryptie is. De versleutelde verbinding die Tor toevoegt blijft namelijk aanwezig totdat de ProtonMail-website wordt bereikt. Daarnaast biedt Tor ook end-to-end-authenticatie. Aangezien de Tor-website nog steeds experimenteel is krijgen gebruikers nog niet het uitgesproken advies om op de Tor-website over te stappen, maar volgens de versleutelde e-maildienst heeft het wel allerlei voordelen. De Tor-website van ProtonMail is te vinden via protonirockerxow.onion. Om de website te kunnen bezoeken moet de browser wel het Tor-netwerk ondersteunen. Tor Browser is in dit geval een veel gekozen optie. Eerder lanceerden Debian, Facebook en nieuwssite ProPublica Tor-websites. bron: security.nl