Captain Kirk

Windows 10 krijgt een optie om als er weinig schijfruimte is automatisch bestanden te verwijderen die de gebruiker niet nodig heeft. De functie is nu aan een nieuwe testversie van het besturingssysteem toegevoegd. Op dit moment gaat het om ongebruikte tijdelijke bestanden en bestanden die langer dan 30 dagen in de vuilnisbak zitten die Windows kan verwijderen. Standaard staat de optie echter uitgeschakeld. Wanneer de functie aan de definitieve versie wordt toegevoegd is nog niet bekend. Daarnaast beschikt Windows 10 Insider Preview Build 15014 ook over een optie waarbij gebruikers via een slider kunnen kiezen tussen batterijduur en prestaties. Een overzicht van alle bugfixes, verbeteringen en aanpassingen is via Windows.com te vinden. bron: security.nl

Microsoft heeft een persbericht verwijderd waarin werd gesteld dat de beveiliging van Windows 7 niet meer voldoende was en gebruikers beter op Windows 10 konden overstappen. Het ging om een persbericht van Microsoft Duitsland waarin de softwaregigant claimde dat het afscheid van Windows 7, na meer dan 10 jaar op de markt te zijn geweest, een logische beslissing was. Het besturingssysteem zou namelijk op verouderde beveiligingsarchitecturen zijn gebaseerd. "Windows 7 begint langzaamaan te verouderen. Het voldoet niet meer aan de vereisten voor moderne technologie of de beveiligingseisen van it-afdelingen", zo liet Markus Nitschke, hoofd van Microsoft Duitsland, weten. Hij adviseerde bedrijven om tijdig over te stappen, om problemen zoals met Windows XP te voorkomen. Het bericht zorgde voor veel kritiek, aangezien Windows 7 nog tot 2020 door Microsoft met beveiligingsupdates wordt ondersteund. Daarnaast publiceerde Microsoft zelf op het eigen TechNet een artikel over een schone Windows 7-installatie. Het persbericht is nu echter door Microsoft verwijderd. Een kopie is nog wel in de cache van Google te vinden. Daarnaast heeft een marketingmanager van de softwaregigant het origineel maandag op een TechNet-blog geplaatst waar het nog niet is verwijderd. bron: security.nl

Een beruchte groep criminelen maakt gebruik van verschillende Google-diensten om geïnfecteerde computers op afstand te besturen. Het gaat om een bende genaamd Carbanak die miljoenen euro's bij banken en de horecasector wisten te stelen, zo melden beveiligingsbedrijven Forcepoint en Trustwave. Om de computers te infecteren worden er kwaadaardige rtf-documenten verstuurd. Deze documenten bevatten een Visual Basic-script dat de malware installeert. Standaard worden scripts die aan documenten zijn toegevoegd niet door Office uitgevoerd. Daarom maken de aanvallers gebruik van social engineering. Het document laat de ontvanger weten dat het document beveiligd is en er moet worden geklikt op de afbeelding om de inhoud te kunnen zien. Het Visual Basic-script maakt verbinding met Google Apps Scripts, Google Docs, Google Sheets of Google Form services. Op deze manier kunnen de aanvallers de besmette computers op afstand monitoren, malware verspreiden en verdere kwaadaardige acties uitvoeren. "Het gebruik van dergelijke diensten als onderdeel van de aanval is handig voor de aanvallers, aangezien de meeste bedrijfsnetwerken toestaan om hier verbinding mee te maken en het bijna onmogelijk is om ze te blacklisten", zegt onderzoeker Thanassis Diogos van Trustwave. Hij krijgt bijval van Nicholas Griffin van Forcepoint. "Het gebruik van legitieme derde partijen zoals deze diensten geeft een aanvaller de mogelijkheid om zich in het zicht te verbergen. Het is onwaarschijnlijk dat deze Google-diensten standaard in een organisatie worden geblokkeerd, dus het is des te waarschijnlijker dat een aanvaller een command en control-kanaal kan opzetten." Volgens Griffin is het gebruik van Google als een kanaal om besmette computers te besturen waarschijnlijk succesvoller dan het gebruik van nieuw aangemaakte domeinen of domeinen zonder reputatie. bron: security.nl

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat zich op geniepige wijze via usb-sticks verspreidt. Het gaat om de Spora-ransomware die recentelijk al in het nieuws kwam. De methode die Spora gebruikt om usb-sticks en externe harde schijven te infecteren was nog niet genoemd. In eerste instantie maakt Spora gebruik van e-mailbijlagen om internetgebruikers te infecteren, zo meldde anti-virusbedrijf Emsisoft vorige week. Eenmaal actief gebruikt de ransomware dezelfde truc als verschillende computerwormen om zich verder te verspreiden, namelijk lnk-bestanden. Deze extensie gebruikt Windows voor snelkoppelingen, maar is ook te gebruiken voor het uitvoeren van code. Zowel op usb-sticks, externe harde schijven als de systeemschijf maakt de ransomware bestanden en mappen onzichtbaar. Vervolgens vervangt het deze mappen en bestanden met een gelijknamig lnk-bestand dat de originele map of bestand opent, zodat de gebruiker niets vermoedt, en tegelijkertijd in de achtergrond de malware uitvoert. De worm verwijdert tevens een waarde in het Windows-register, zodat het snelkoppeling-icoon niet meer het bekende pijltje bevat. Zodoende ziet de gebruiker niet dat er iets mis is, tenzij hij de detailweergave van mappen heeft ingeschakeld. "Alleen door de mappen op je systeem via dubbelklik te doorlopen activeert de worm. Via deze strategie verspreidt de worm zich niet alleen naar verwijderbare schijven zoals usb-sticks, maar zal het ook nieuwe bestanden op het systeem versleutelen. Dit maakt het systeem onbruikbaar voor het opslaan van of werken aan foto's en documenten totdat de ransomware is verwijderd", zegt Karsten Hahn van het Duitse anti-virusbedrijf G Data. Hahn laat verder weten dat Spora de User Account Control (UAC) maatregel van Windows niet omzeilt. Dit houdt in dat de gebruiker een dialoogvenster van Windows krijgt te zien waarin de malware vraagt om aanpassingen aan de computer te maken. In dit geval is het verzoek van de "Windows Command Processor" afkomstig die als gecontroleerde uitgever Microsoft zelf heeft. Verder verwijdert de ransomware schaduwvolumes en schakelt Windows foutherstel uit. Voor het ontsleutelen van de data vraagt de ransomware bedragen tussen de 79 en 280 dollar. bron: security.nl

Mozilla maakt zich grote zorgen over de gezondheid van het internet en heeft daarom voor het eerst een rapport opgesteld dat laat zien hoe het web ervoor staat. Volgens Mozilla vinden er op dit moment allerlei ontwikkelingen plaats die nadelig voor zowel het web als internetgebruikers kunnen zijn. Het gaat dan om het opdelen van het internet door een aantal grote bedrijven die zo op alledaagse activiteiten een monopolie krijgen. Iets wat gevolgen voor de openheid en decentralisatie van het web heeft. Een ander punt van zorgen is het Internet of Things. Aanvallen door miljoenen gehackte IoT-apparaten zorgen voor vragen over de veiligheid en betrouwbaarheid van het internet. "Milieuactivisten in de jaren 1960 hadden met hetzelfde probleem te maken. Slechts weinig mensen wisten dat de gezondheid van de planeet risico liep", aldus Mozilla's Mark Surman. Door een beweging op te zetten zijn onderwerpen als de ozonlaag en duurzame energie nu algemeen bekend en wordt hier door zowel bedrijven als beleidsmakers aandacht aan besteed. Mozilla heeft daarom een een gezondheidsrapport over het internet opgesteld waarin wordt gekeken hoe het web ervoor staat. In totaal staan er vijf onderwerpen centraal, namelijk decentralisatie, open innovatie, privacy en security, digitale uitsluiting en computervaardigheden. "We hebben deze onderwerpen gekozen omdat ze allemaal invloed op de sociale, technische, politieke en economische gezondheid van het internet hebben", stelt Surman. Veiligheid In het hoofdstuk over privacy en security wordt er gekeken naar de opvattingen van mensen, alsmede de wetgeving van landen op het gebied van databescherming. Dan blijkt dat bijna eenderde van de wereldbevolking geen databeschermingswetten heeft. Een ander subonderwerp is de aanwezigheid van beveiligde verbindingen. Zo zou inmiddels bijna 50 procent van de websites een beveiligde verbinding aanbieden. Aan de andere kant laat het rapport ook een overzicht van de grootste datalekken van de afgelopen jaren zien, waarbij de gegevens van honderden miljoenen mensen op straat kwamen te liggen. "Door alledaagse zaken laten we bij allerlei bedrijven en overheden een levenslange digitale voetafdruk achter", aldus Mozilla. Volgens de opensource-ontwikkelaar moeten mensen meer voorzorgsmaatregelen nemen om zichzelf te beschermen en kritisch zijn over de gegevens die ze online delen. Daarnaast spelen ook overheden en bedrijven hierbij een rol. "Technologie kan een bron van vrijheid en bekrachtiging zijn, maar het kan ook een tool van autoritaire controle zijn. Waar we ons ook bevinden, we moeten de mogelijkheden van overheden en bedrijven beperken om al onze bewegingen van nu en in de toekomst te archiveren." bron: security.nl

Het Internet Storm Center (ISC), een organisatie die de veiligheid op internet monitort, heeft verschillende privacytips voor Windows 10-gebruikers gegeven zodat er minder gegevens naar Microsoft worden gestuurd. Volgens ISC-handler Rob VandenBrink is Windows 10 de veiligste Windowsversie tot nu toe. Hij krijgt echter vaak vragen over het beperken van de informatie die het besturingssysteem doorstuurt. Daarom heeft hij een aantal features verzameld die in dit geval kunnen worden uitgeschakeld. Als eerste richt VandenBrink zich op de Windows Telemetrie. Het gaat dan om informatie over actieve apps, zoekopdrachten, gamepatronen en andere gegevens. Het is niet mogelijk om deze optie geheel uit te schakelen, maar op het laagste niveau wordt er alleen securitydata verstuurd. Een andere feature die wordt genoemd is het Smartscreen-filter. Deze functie waarschuwt gebruikers voor kwaadaardige websites of bestanden. Volgens VandenBrink is het onduidelijk wat voor soort informatie naar Microsoft wordt verstuurd zodat het gebruikers voor bezochte websites kan waarschuwen. Ook adviseert de ISC-handler om Wi-Fi Sense uit te schakelen. Dit is een optie waarmee het mogelijk is om contacten toegang tot het eigen wifi-netwerk te geven. In de Anniversary Update voor Windows 10 heeft Microsoft deze functie zelf al uitgeschakeld. Gebruikers die de update nog niet hebben geïnstalleerd doen er echter verstandig aan om deze functie zelf uit te schakelen, stelt VandenBrink. Een andere optie die hij noemt is het doorzoeken van het Startmenu. Microsoft koppelt dit namelijk met zoeksuggesties, waardoor het ook onderdeel van de telemetriestroom wordt. Verder zijn spraakassistent Cortana, Locatietracking en Windows Feedback opties waar Windows 10-gebruikers volgens VandenBrink prima zonder kunnen. Om de genoemde opties uit te schakelen noemt de ISC-handler de betreffende sleutel in het Windows Register die moet worden aangepast of de verantwoordelijke Group Policy. Vorige week maakte Microsoft nog bekend dat het de privacyinstellingen in Windows 10 gaat aanpassen zodat gebruikers meer controle over hun data krijgen en er minder gegevens naar Microsoft worden verstuurd. bron: security.nl

De versleutelde e-maildienst ProtonMail heeft een website op het Tor-netwerk gelanceerd zodat Tor-gebruikers direct de ProtonMail-website kunnen bezoeken zonder het Tor-netwerk te verlaten. Dit moet de veiligheid van gebruikers vergroten. Het Tor-netwerk bestaat uit verschillende servers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server, die door vrijwilligers aan het Tor-netwerk wordt toegevoegd, wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het geval van websites op het Tor-netwerk hoeven Tor-gebruikers het Tor-netwerk niet te verlaten. Volgens ProtonMail zijn er verschillende redenen om de e-maildienst via het Tor-netwerk te gebruiken. Het Tor-netwerk maakt het lastiger voor een tegenstander om de internetverbinding te tappen om zo te achterhalen dat ProtonMail wordt gebruikt. Ook maakt Tor het lastiger om een man-in-the-middle-aanval op de gebruiker uit te voeren. Verder helpt Tor ook bij de toegankelijkheid van de e-maildienst. In het geval ProtonMail wordt geblokkeerd kan het nog wel mogelijk zijn om de e-maildienst via de Tor-website te benaderen. Een ander voordeel is de bescherming tegen ddos-aanvallen. Het is namelijk lastig om het ip-adres van de Tor-website te achterhalen. Verder stelt ProtonMail dat door het bezoeken van de Tor-website er sprake van end-to-end-encryptie is. De versleutelde verbinding die Tor toevoegt blijft namelijk aanwezig totdat de ProtonMail-website wordt bereikt. Daarnaast biedt Tor ook end-to-end-authenticatie. Aangezien de Tor-website nog steeds experimenteel is krijgen gebruikers nog niet het uitgesproken advies om op de Tor-website over te stappen, maar volgens de versleutelde e-maildienst heeft het wel allerlei voordelen. De Tor-website van ProtonMail is te vinden via protonirockerxow.onion. Om de website te kunnen bezoeken moet de browser wel het Tor-netwerk ondersteunen. Tor Browser is in dit geval een veel gekozen optie. Eerder lanceerden Debian, Facebook en nieuwssite ProPublica Tor-websites. bron: security.nl

Een extensie voor Google Chrome die onlangs stilletjes via een beveiligingsupdate voor Adobe Reader en Acrobat werd geïnstalleerd en op zo'n 30 miljoen computers staat bevat een beveiligingslek waardoor aanvallers code en scripts kunnen uitvoeren, alsmede privacyinstellingen kunnen wijzigen. Dat ontdekte Google-beveiligingsonderzoeker Tavis Ormandy. Op dinsdag 10 januari bracht Adobe een beveiligingsupdate uit voor ernstige kwetsbaarheden in Adobe Acrobat en Adobe Reader. Zonder te melden werd er ook een Adobe-extensie voor Google Chrome geïnstalleerd. De extensie, die ook via de Chrome Web Store is te downloaden, laat gebruikers pdf-bestanden met Adobe Reader of Acrobat openen en websites als pdf-bestand opslaan. Omdat de extensie in dit geval via de beveiligingsupdate van Adobe stilletjes wordt geïnstalleerd krijgen gebruikers bij het starten van Chrome eerst de vraag of ze de extensie ook willen inschakelen. Dit is een maatregel die Google aan Chrome heeft toegevoegd om de automatische activatie van kwaadaardige extensies te voorkomen. De Adobe-extensie vraagt daarbij toegang om alle gegevens op bezochte websites te lezen en aan te passen, downloads van de gebruiker te beheren en met andere applicaties te communiceren. Sinds de update uitkwam is het aantal installaties van de extensie met zo'n 20 miljoen toegenomen. Ormandy besloot kort naar de extensie te kijken en ontdekte meteen al een kwetsbaarheid waardoor een aanvaller via de extensie JavaScript-code kan uitvoeren. Volgens Ormandy zou het ook mogelijk moeten zijn om op deze manier kwaadaardige code uit te voeren of privacyinstellingen te wijzigen. Gisteren waarschuwde Ormandy Adobe voor het probleem, waarvoor op dezelfde dag een update verscheen. bron: security.nl

Europol waarschuwt internetgebruikers voor het risico van openbare wifi-netwerken, aangezien het gebruik van deze netwerken verschillende risico's met zich kan meebrengen. Het gaat dan bijvoorbeeld om het sniffen van onversleuteld verkeer dat door de lucht heen gaat en kan worden opgevangen. Ook kwaadaardige wifi-netwerken zijn een risico waar Europol in de vandaag gepubliceerde infographic op wijst. Deze "rogue" wifi-netwerken bieden gratis internettoegang, maar proberen in werkelijkheid gegevens van gebruikers te stelen. Ook man-in-the-middle-aanvallen, waarbij de aanvaller zich tussen de gebruiker en de hotspot bevindt en zo allerlei gegevens kan stelen, vormen een risico. Daarnaast kan iedereen een aanvaller zijn. "De vereiste tools om dit soort aanvallen uit te voeren zijn vaak eenvoudig te verkrijgen. Daarom heeft een aanvaller weinig technische kennis nodig om dit soort criminelen activiteiten uit te voeren", aldus Europol. Al enkele jaren geleden stelde Europol dat een vpn-verbinding bij open wifi-netwerken noodzakelijk is. bron: security.nl

Onderzoekers hebben een methode ontdekt om systemen met nieuwe Intel-processoren via usb 3.0 aan te vallen zonder dat beveiligingstools dit kunnen detecteren. Standaard zijn computers echter niet kwetsbaar voor deze aanval, aldus Intel en onderzoekers van het Positive Research Center. De onderzoekers ontdekten dat bij nieuwe Intel-processoren de debugging-interface via de usb 3.0-poort toegankelijk is. Deze debugging-interface is bedoeld om problemen met het systeem te vinden, maar kan ook door aanvallers worden misbruikt. "Een aanvaller kan dit mechanisme als een backdoor gebruiken en alle beveiligingssystemen omzeilen", aldus de onderzoekers. Zo is het via de debugging-interface mogelijk om code toe te voegen, gegevens te lezen en de machine onbruikbaar te maken. Om de aanval te laten slagen moet de DCI-interface op de computer staan ingeschakeld. Iets wat standaard niet het geval is. Aanvallers zouden in theorie deze DCI-interface wel kunnen inschakelen, bijvoorbeeld via een kwaadaardige bios-update of via het gebruik van een P2SB-apparaat. De onderzoekers schetsen een scenario waarbij een organisatie computers of laptops bestelt en deze bestelling door een aanvaller wordt onderschept. De aanvaller schakelt de DCI-interface in. Vervolgens kan een insider binnen de organisatie met fysieke toegang tot de apparaten via een usb-apparaat toegang tot de systemen krijgen. Intel laat in een reactie weten dat de DCI-interface standaard staat uitgeschakeld en alleen met goedkeuring van de gebruiker via een bios-aanpassing kan worden ingeschakeld. "Fysieke toegang tot en controle over het systeem is vereist om DCI in te schakelen", aldus de chipgigant. Zelfs wanneer de DCI-interface is ingeschakeld is het gebruik van de debugging-interface volgens Intel niet mogelijk zonder proprietary sleutels die via een licentie bij Intel moeten worden verkregen. De onderzoekers presenteerden hun onderzoek onlangs tijdens het Chaos Communication Congress in Hamburg. Hieronder een demonstratie van de aanval. bron: security.nl

Chrome-gebruikers zijn het doelwit van een nieuwe aanval waarbij cybercriminelen gehackte websites onleesbaar maken om de gebruiker zo een zogenaamde font-update te laten installeren. In werkelijkheid gaat het om malware. Aanvallers voorzien de gehackte websites van kwaadaardige code. Deze code controleert of de gebruiker aan bepaalde eisen voldoet, zoals land, browser (Chrome op Windows) en juiste referer. Als aan deze eisen wordt voldaan maakt de kwaadaardige code de website onleesbaar. Vervolgens verschijnt er een pop-up die stelt dat het "HoeflerText" font niet is gevonden en het "Chrome Font Pack" moet worden bijgewerkt. De pop-up is volgens beveiligingsbedrijf Proofpoint niet via het kruisje te sluiten. Wanneer de gebruiker voor de optie "Update" kiest wordt het bestand "Chrome_Font.exe" gedownload. Als de gebruiker dit bestand opent zal de Fleercivet-malware worden geïnstalleerd. Deze malware gebruikt de computer voor het plegen van advertentiefraude waarbij de computer onzichtbaar voor de gebruiker in de achtergrond allerlei websites en advertenties opent. De criminelen worden voor deze frauduleuze impressies en clicks betaald. Volgens Proofpoint wordt het steeds lastiger voor cybercriminelen om internetgebruikers via exploitkits te infecteren, die misbruik van bekende beveiligingslekken maken die niet door de gebruiker zijn gepatcht. Daarom wordt er voor social engineering gekozen waarbij de gebruiker wordt verleid zelf zijn eigen systeem met malware te infecteren. "Net als met andere dreigingen maken aanvallers misbruik van de menselijke factor en verleiden gebruikers om zelf de malware te laden", aldus onderzoeker Kafeine van Proofpoint. bron: security.nl

Tijdens de geplande patchronde van januari heeft Oracle meerdere updates uitgebracht die in totaal 270 beveiligingslekken in Java en andere software verhelpen. Het softwarebedrijf herhaalt tevens de oproep om beschikbare beveiligingsupdates op tijd te installeren. De meeste kwetsbaarheden werden gepatcht in E-Business Suite (121), Financial Services (37), Oracle MySQL (27), Fusion Middleware (18) en Java SE (17). Het gaat om Java 6 update 131, Java 7 update 121 en Java 8 update 112 die kwetsbaar zijn. Via de beveiligingslekken kan een aanvaller in het ergste geval het onderliggende systeem overnemen. De nieuwste Java-versie is te downloaden via Java.com en de automatische updatefunctie. Een volledig overzicht van alle kwetsbare producten en updates is via Oracle.com te vinden. Volgens Oracle blijft het meldingen ontvangen van aanvallen op kwetsbaarheden die al lang zijn gepatcht. Zo zijn er verhalen bekend van succesvol gehackte Oracle-klanten die beschikbare Oracle-updates niet hadden geïnstalleerd. Daarom adviseert Oracle om de updates "zonder enige vertraging" te installeren. De volgende patchronde van Oracle staat gepland voor 18 april 2017. bron: security.nl

Ernstige beveiligingslekken in een nas-systeem van fabrikant QNAP waardoor aanvallers het systeem kunnen overnemen wachten al een jaar op een update. Dat meldt het Finse anti-virusbedrijf F-Secure. Een onderzoeker van de virusbestrijder ontdekte vorig jaar in de QNAP TVS-663 drie kwetsbaarheden. Het eerste probleem is aanwezig in het updatemechanisme van het nas-systeem. Er wordt bij de controle op nieuwe updates geen encryptie toegepast. De vraag van het apparaat om beschikbare updates gaat via het onversleutelde http. Een aanvaller die zich tussen de nas en het internet bevindt kan zo het updateresultaat aanpassen en bijvoorbeeld andere firmware of downloadlocaties doorgeven. Het tweede probleem betreft cross-site scripting in het updatevenster waarin de beschikbaarheid van nieuwe updates wordt aangekondigd. Een aanvaller kan op deze manier acties in de nas-webinterface uitvoeren. Is de gebruiker als admin ingelogd, dan kan de aanvaller volledige admintoegang krijgen. Als laatste blijkt dat de controle op nieuwe firmware-updates kwetsbaar is voor command injection. Een aanvaller kan zo willekeurige commando's met rootrechten uitvoeren en toegang tot alle gegevens op de nas krijgen. QNAP werd op 1 februari vorig jaar ingelicht. Na 180 dagen vroeg de fabrikant om 90 dagen extra voor de ontwikkeling van een update. F-Secure ging hiermee akkoord, maar nu een jaar verder is er nog altijd geen update beschikbaar. De QNAP TVS-663 is inmiddels niet meer in winkels verkrijgbaar, maar werd ook in Nederland verkocht. bron: security.nl

Beveiligingsonderzoeker Michael Gillespie heeft een gratis tool ontwikkeld waarmee door ransomware versleutelde bestanden op een computer zijn te vinden en vervolgens kunnen worden verplaatst of gekopieerd om zo een back-up te maken, in de hoop dat er ooit een decryptietool verschijnt. Gillespie is de ontwikkelaar van ID Ransomware, een website die meer dan 280 verschillende soorten ransomware kan identificeren. Ransomware-slachtoffers kunnen via deze website kijken welke ransomware op hun computer actief is en of er al een decryptietool beschikbaar is. Voor slachtoffers die hun bestanden nog niet kunnen ontsleutelen heeft Gillespie nu CryptoSearch bedacht. Deze gratis tool scant computers op door ransomware versleutelde bestanden. Vervolgens krijgen gebruikers de keuze om deze bestanden naar een bepaalde locatie te verplaatsen of te kopieren, waarbij de mappenstructuur blijft bewaard. Dit maakt het eenvoudiger om er een back-up van te maken. "In de hoop op toekomstige decryptie", aldus de onderzoeker. Vervolgens kunnen gebruikers bijvoorbeeld hun systeem opnieuw installeren. CryptoSearch is te downloaden via de website van BleepingComputer (zip). bron: security.nl

Gmail-gebruikers zijn het doelwit van een zeer effectieve phishingmail waarbij aanvallers vernuftige links en het adresboek van slachtoffers gebruiken om nieuwe slachtoffers te maken. Daarvoor waarschuwen gebruikers op Reddit, Hacker News, Twitter en beveiligingsbedrijf Wordfence. Vier dagen geleden waarschuwde een Twitteraar al dat hij bijna in een overtuigende phishingaanval was getrapt. Hij ontving een e-mail die zogenaamd een pdf-document leek te bevatten. Het bleek om een een embedded afbeelding te gaan die naar een Google-phishingpagina wees. Voor de phishingpagina werd echter een data-uri gebruikt. Daarbij wordt er informatie vanuit de adresbalk geladen in plaats van een webpagina. Zodoende kunnen de aanvallers laten lijken alsof de pagina zich op Google.com bevindt, terwijl dit niet het geval is. Het gebruik van data-uri's vindt al jaren plaats. Zodra gebruikers inloggen worden hun inloggegevens naar de aanvallers gestuurd. Ook beveiligingsbedrijf WordFence waarschuwt voor de phishingaanval, maar wil geen technische details geven. Wel stelt het bedrijf dat ook gebruikers van andere online diensten het doelwit zijn. Een lezer op Hacker News meldt dat de aanvallers meteen op het account inloggen en vervolgens één van de bijlagen van de gebruiker gebruiken om mensen in het adresboek mee aan te vallen. Om dergelijke aanvallen te voorkomen kunnen gebruikers zelf het adres van Gmail in de adresbalk invoeren of de link controleren. Die phishinglink begint namelijk niet met https maar met data:text. bron: security.nl

Beveiligingsmaatregelen die Microsoft aan de Windows 10 Anniversary Update toevoegde hebben twee zero day-aanvallen voorkomen die tegen Windows-gebruikers werden uitgevoerd. Het gaat om kernel-exploits waarmee aanvallers hun rechten op aangevallen systeem konden verhogen. Eén van de lekken werd gebruikt in combinatie met een kwetsbaarheid in Adobe Flash Player, terwijl de ander tegen de fontbibliotheek van Windows was gericht. De aanvallen vonden in oktober en november plaats en werden in dezelfde maand gepatcht. Computers met de Windows 10 Anniversary Update waren echter al beschermd. Beveiligingsmaatregelen die Microsoft aan deze update had toegevoegd zorgden ervoor dat de aanvallen niet werkten, ook al waren de kwetsbaarheden wel aanwezig. Op deze manier zijn niet alleen deze specifieke exploits verholpen maar ook de exploitmethode, aldus Microsoft. "Deze mitigatietechnieken verkleinen verder het aanvalsoppervlak dat voor toekomstige zero day-exploits beschikbaar was geweest", voegt Microsofts Matt Oh toe. Het gaat dan onder andere om zero day-exploits voor fontlekken. Vorige week stelde Microsoft nog dat Windows 7 niet meer voldoet als het om beveiliging gaat en organisaties en gebruikers beter naar Windows 10 kunnen upgraden. bron: security.nl

Onderzoekers waarschuwen voor een recent ontdekte campagne gericht tegen een financieel dienstverlener waarbij Word-documenten werden gebruikt die zogenaamd een Silverlight-update aanboden. In werkelijkheid ging het om een embedded Visual Basic-script dat een keylogger installeerde. Dat laat beveiligingsbedrijf Proofpoint weten. Volgens het bedrijf is de aanval opvallend omdat die gericht was tegen een enkele organisatie. Daarnaast gebruikten de aanvallers geen macro's maar een embedded object dat een kwaadaardig script bleek te zijn. Dit script installeerde weer een keyloggeer die informatie van de computer naar twee Gmail-adressen doorstuurde. Om de aanval te laten slagen moest het slachtoffer de zogenaamde Silverlight-update wel aanklikken en uitvoeren. "Hoewel het gebruik van embedded objecten in plaats van macro's niet nieuw is, blijven kwaadaardige macro's op dit moment de favoriete keuze van aanvallers. We verwachten echter dat de techniek van embedded objecten dit jaar populairder zal worden", aldus analist Danny Howerton. Volgens Howerton is het belangrijk dat organisaties ook met deze aanvalsvector rekening houden. bron: security.nl

In principe is dit mogelijk wanneer je een extra geluidskaart in je pc installeert. Indien je een laptop hebt, zijn er USB- geluidskaartjes te verkrijgen. Door dan aan te geven welk onderdeel welke geluidskaart moet gebruiken, kun je je vraag volgens mij realiseren.

Beste Ronato10, Begrijp ik het goed dat zowel alleen op accu als op netstroom met of zonder de accu in de laptop, de laptop geen enkel signaal geeft. Geen lampjes die gaan branden, ventilatoren die je hoort draaien, etc?

Beste Swat, welkom hier op het forum. Kun je voor ons de foutmelding hier plaatsten zodat de specialisten beter kunnen bekijken wat er aan de hand is?

De aankomende versie van Windows 10 heeft een feature die vooral bedrijven met slecht oplettende gebruikers van pas gaat komen: automatische vergrendeling van het systeem als de gebruiker niet meer wordt gedetecteerd. Volgens Windows Central heet de feature intern 'Windows Goodbye' als verwijzing naar authenticatiemiddel Windows Hello, maar heet de optie in de Insider-build Dynamic Lock. Die vergrendeling gebeurt niet overigens direct (met false positives in detectie en ergernis als gevolg) maar wordt waarschijnlijk gecombineerd met een inactivititeitsprocedure. Automatische vergrendeling is vooral in zakelijke omgevingen een wens van IT, hoewel het vaak wordt gehaat door gebruikers. Bij een bedrijf dat ik ken klaagden gebruikers over het feit dat de pc bij vijf minuten inactiviteit werd vergrendeld en ze daarna opnieuw het wachtwoord moesten ingeven. Een klacht waar de informatiebeveiliger raar van opkeek: "Dat is ook precies de bedoeling." De nieuwe feature wordt waarschijnlijk toegevoegd aan de nieuwe officiële update van Windows 10, de zogenoemde Creators Update, die dit voorjaar moet verschijnen. bron: Webwereld.nl

Microsoft gaat het nieuwe updatemodel dat het eind vorig jaar voor bedrijven met Windows 7 en 8.1 introduceerde alweer wijzigen, zo heeft de softwaregigant aangekondigd. Het nieuwe updatemodel bestond uit een enkele beveiligingsupdate die maandelijks werd aangeboden en alle security-fixes van die maand bevatte. Daarnaast verschenen de "maandelijkse rollup" en de "preview rollup". De maandelijkse rollup bevatte alle beveiligingsupdates van de betreffende maand en de maanden daarvoor. Als laatste was er de preview rollup die een vooruitblik bevatte van alle niet-security gerelateerde fixes die de volgende maand zouden uitkomen en alle fixes van de vorige rollups bevatte. De security-only update en de maandelijkse rollup werden via Windows Server Update Services (WSUS) en de Windows Update Catalogus aangeboden. Dit model gaat Microsoft nu vereenvoudigen. Daarnaast worden er aanpassingen doorgevoerd om de updates kleiner te maken. Zo gaat Microsoft de security-only update niet meer aanbieden op computers waar de maandelijkse rollup van dezelfde maand of later al is geïnstalleerd. Daarnaast bevatte de security-only update ook beveiligingsupdates voor Internet Explorer. Die zorgden er echter voor dat de updates een stuk groter werden. Volgens Microsoft kozen bedrijven juist voor de security-only update vanwege de kleine omvang van de updates. Daarom gaat Microsoft de IE-updates uit de security-only update halen. De IE-update kan nog wel los door bedrijven worden gedownload en bevindt zich ook in de maandelijkse rollup. Deze aanpassing gaat vanaf volgende maand in. Voor thuisgebruikers verandert er niets, aangezien die de maandelijkse rollup standaard via Windows Update binnenkrijgen. bron: security.nl

De beveiliging van Windows 7 is niet meer voldoende omdat het op een verouderd fundament is gebaseerd, zo heeft Microsoft Duitsland laten weten. Microsoft stuurde een persbericht waarin het al afscheid neemt van Windows 7, ook al ontvangt het besturingssysteem tot 2020 nog beveiligingsupdates. Dat meldt het Duitse Heise. Volgens Microsoft is het afscheid van Windows 7, na meer dan 10 jaar op de markt te zijn geweest, een logische beslissing omdat het op verouderde beveiligingsarchitecturen is gebaseerd. "Windows 7 was de eerste stap op weg naar de cloud. Tegenwoordig kan Windows 7 niet meer aan de verhoogde beveiligingseisen voldoen", aldus de softwaregigant. Het gebruik van Windows 7 zou daarnaast voor extra kosten zorgen. Het gaat dan bijvoorbeeld om productiviteitsverlies door malware-aanvallen en extra onderhoud dat moet worden uitgevoerd. Verder zijn veel hardwarefabrikanten met het ondersteunen van Windows 7 gestopt, stelt Microsoft verder. Daardoor worden nieuwe apparaten zoals printers niet meer herkend. Zo is Windows 10 de enige versie die met de nieuwste Intel- en AMD-processoren wordt ondersteund. "Windows 7 begint langzaamaan te verouderen. Het voldoet niet meer aan de vereisten voor moderne technologie of de beveiligingseisen van it-afdelingen", zegt Markus Nitschke, hoofd van Microsoft Duitsland. Hij adviseert bedrijven om tijdig over te stappen, om problemen zoals met Windows XP te voorkomen. Microsoft stelt verder dat door het principe van "Windows as a Service" Windows 10 altijd up-to-date en veilig is. Met de Creators Update voor Windows 10, die deze lente uitkomt, worden daarnaast allerlei nieuwe beveiligings- en beheerfuncties toegevoegd. Volgens StatCounter heeft Windows 7 wereldwijd nog een marktaandeel van 40 procent, terwijl Net Applications het op 48 procent houdt. In Nederland draait Windows 7 nog op ruim 25 procent van de computers, aldus StatCounter. bron: security.nl

Onderzoekers hebben een zeer efficiënte webtracker ontwikkeld die in staat is om gebruikers over meerdere browsers op hetzelfde systeem met grote nauwkeurigheid te volgen. Hiervoor worden naar eigenschappen van het besturingssysteem en de hardware gekeken, zoals processor en videokaart. De aanpak van de onderzoekers maakt het mogelijk om 99,24 procent van de gebruikers te identificeren, tegenover 90,84 procent voor een webtracker die op een enkele browser is gericht en van dezelfde dataset gebruikmaakt. Webtrackers, zoals cookies, user-agent en andere technieken, worden vooral gebruikt voor het volgen van internetgebruikers om zo gepersonaliseerde advertenties te laten zien. De eerste generatie webtrackers gebruikte voornamelijk cookies, terwijl de tweede generatie zich vooral op geïnstalleerde plug-ins en user-agent richt. Onderzoekers van twee Amerikaanse universiteiten wilden een nieuwe "2.5" generatie webtracker ontwikkelen die gebruikers over meerdere browsers op hetzelfde systeem kan volgen. Het gebruik van verschillende browsers wordt regelmatig aangeraden en een groot aantal internetgebruikers heeft meerdere browsers op de computer geïnstalleerd en maakt hier ook gebruik van. Voor hun aanpak maken de onderzoekers gebruik van eigenschappen van het besturingssysteem en hardware. Veel van deze eigenschpapen, zoals bijvoorbeeld de processor, videokaart of geinstalleerde scripts, zijn via JavaScript voor de browser benaderbaar. De webtracker laat de browser vervolgens bepaalde taken uitvoeren waarbij JavaScript de hardware of scripts van het systeem aanroept. Het resultaat maakt het mogelijk om gebruikers over meerdere browsers te volgen, omdat het systeem en de hardware nog steeds hetzelfde zijn. Een bekende browser die allerlei maatregelen tegen webtrackers en fingerprinting heeft geïmplementeerd is Tor Browser. De webtracker van de onderzoekers bleek alleen in staat om schermbreedte en hoogteratio en audiocontextgegevens te kunnen verzamelen, zoals sample rate. Iets dat de Tor Browser-ontwikkelaars eenvoudig kunnen verhelpen, zo stellen de onderzoekers. Verder staat in Tor Browser standaard de Canvas-programmeerinterface uitgeschakeld, waarmee gebruikers ook zijn te volgen. Als mogelijke oplossing voor dergelijke webtrackers bespreken de onderzoekers het gebruik van een virtual machine waarbij de browseruitvoer altijd hetzelfde is, ongeacht het onderliggende systeem. Het onderzoek "(Cross-)Browser Fingerprinting via OS and Hardware Level Features" (pdf) wordt eind februari tijdens het Network and Distributed System Security Symposium (NDSS) in San Diego besproken. bron: security.nl

Microsoft heeft een nieuwe versie van de gratis Windows-beveiligingstool EMET uitgebracht die een aantal kleine verbeteringen bevat. EMET staat voor Enhanced Mitigation Experience Toolkit (EMET) en voegt een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toe. Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Ook kan EMET systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. De beveiligingstool wordt dan ook door menig expert en organisatie aangeraden. Microsoft is ondanks kritiek van beveiligingsexperts van plan om de ondersteuning van EMET op 31 juli 2018 stop te zetten. In de tussentijd zullen er echter nog steeds updates voor de beveiligingstool verschijnen, zoals de nu verschenen versie 5.52. In deze versie zijn verschillende bugs opgelost die voor vastlopers of andere problemen konden zorgen. Microsoft spreekt dan ook over een kleine update. bron: security.nl