Captain Kirk

Camerafabrikanten zijn voorlopig niet van plan om encryptie aan fotocamera's toe te voegen om zo filmmakers en fotografen te beschermen. Vorige week deden meer dan 150 documentairemakers en fotojournalisten via de Freedom of the Press Foundation een oproep aan de fabrikanten. "Documentairemakers en fotojournalisten werken in de gevaarlijkste delen van de wereld en riskeren vaak hun leven om beelden van nieuwswaardige gebeurtenissen naar het publiek te krijgen. Ze hebben bij het terugbrengen van hun materiaal, zodat het kan worden gepubliceerd, met allerlei dreigingen te maken van douanebeambten, politie, inlichtingenagenten, terroristen en criminelen", aldus de filmmakers en fotografen in een open brief gericht aan Nikon, Sony, Canon, Olympus en Fuji. De fabrikanten werd dan ook gevraagd om encryptie aan hun camera's toe te voegen, maar die lijken dat niet van plan te zijn. Vice Magazine vroeg de verschillende fabrikanten om een reactie. Canon, Sony en Fuji gaven helemaal geen antwoord, terwijl Olympus de vraag niet inhoudelijk beantwoordde. Een woordvoerder van Nikon stelde dat het bedrijf naar de wensen van gebruikers luistert, maar liet verder niet weten of de fabrikant het toevoegen van encryptie overweegt. "Het is teleurstellend dat deze fabrikanten nauwelijks reageren op één van hun meeste kwetsbare klanten", zegt Trevor Timm, directeur van Freedom of the Press Foundation. bron: security.nl

Een beveiligingsonderzoeker heeft een ernstig beveiligingslek in de Netgear WNR2000-router onthuld waardoor aanvallers in het ergste geval het apparaat via het internet kunnen overnemen en een beveiligingsupdate is nog niet beschikbaar. De WNR2000-router werd ook in Nederland verkocht. Een kwetsbaarheid in de router maakt het mogelijk voor een aanvaller op het lokale netwerk (lan) om het beheerderswachtwoord te achterhalen. Ook is het mogelijk om op afstand allerlei instellingen aan te passen. Als 'beheer op afstand' is ingeschakeld is het ook mogelijk om de kwetsbaarheid via internet aan te vallen. Onderzoeker Pedro Ribeiro ontdekte via de zoekmachine Shodan 10.000 routers waar "remote administration" staat ingeschakeld. "Er zijn waarschijnlijk tienduizenden kwetsbare routers in private lokale netwerken, aangezien dit apparaat zeer populair is", laat Ribeiro op de Full Disclosure-mailinglist weten. De onderzoeker benaderde Netgear al in september van dit jaar en herhaalde dit in oktober, maar kreeg naar eigen zeggen geen reactie. Vervolgens stapte Ribeiro naar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit om hen met Netgear te laten coördineren, maar het CERT/CC liet weten dat Netgear niet met hen samenwerkt. Daarom heeft de onderzoeker de kwetsbaarheid en een exploit die hier misbruik van kan maken openbaar gemaakt. bron: security.nl

De afgelopen periode is er een toename zichtbaar van het aantal aanvallen waarbij wordt geprobeerd om de Cerber-ransomware te verspreiden, zo waarschuwt Microsoft. De nieuwste versie van deze ransomware versleutelt niet alleen meer bestanden, maar zoekt ook in meer mappen naar bestanden. Cerber is één van de meest actieve ransomware-families en verspreidt zich via e-mailbijlagen en drive by-downloads. Zo worden met name Europese internetgebruikers via een oud beveiligingslek in Adobe Flash Player aangevallen. Het gaat om een kwetsbaarheid die Adobe vorig jaar december al patchte. In het geval van de e-mailbijlagen worden met wachtwoord beveiligde zip-bestanden gebruikt. Deze zip-bestanden bevatten weer een Word-document met een kwaadaardige macro. Wanneer ingeschakeld zal deze macro de ransomware installeren. Is de aanval succesvol, dan zal Cerber allerlei bestanden versleutelen. De nieuwste versie heeft meer dan 50 nieuwe bestandsextensies toegevoegd om te versleutelen. Een aantal bestandsextensies, zoals .exe, .cmd en .msi, zijn echter van de encryptielijst verwijderd. Andere ransomware-families hadden dit al eerder gedaan, maar het is de eerste keer dat Cerber dit doet. Verder zoekt de ransomware nu ook in de mappen van Microsoft Office naar bestanden om te versleutelen. Volgens Microsoft geeft dit aan dat de ransomware het vooral op Office-documenten heeft voorzien. bron: security.nl

Eén van de grootste minpunten van Firefox op beveiligingsgebied is het ontbreken van een sandbox om gebruikers tegen aanvallen te beschermen, maar Mozilla zal deze belangrijke beveiligingsmaatregel aan komende versies gaan toevoegen, zo heeft de opensource-ontwikkelaar bekendgemaakt. Van alle grote browsers is Firefox nog altijd de enige zonder sandbox. Een sandbox wordt als een zeer belangrijke beveiligingsmaatregel gezien, omdat het kan voorkomen dat via één enkele kwetsbaarheid er meteen toegang tot het systeem kan worden verkregen. In augustus van dit jaar lanceerde Mozilla de eerste Firefox-versie met "meerdere processen". Deze 'multi-proces Firefox' scheidt de webcontent van de processen van de gebruikersinterface. Dit houdt in dat een webpagina die veel rekenkracht in beslag neemt de knoppen en het menu van Firefox niet meer kan laten vastlopen, maar moet ook de stabiliteit en veiligheid vergroten. Volgens Mozilla heeft de functie, die tevens de basis voor een sandbox vormt, voor een 700 procent verbetering gezorgd bij het laden van websites en voor een 400 procent toename van de responsiviteit. Met Firefox 49 is de functie onder gebruikers met een selecte groep extensies uitgerold. In Firefox 51 zal de functie ook worden ingeschakeld voor nog niet geteste extensies. Naast het inschakelen van multi-process voor meer gebruikers werkt Mozilla ook aan verschillende functies voor op de lange termijn. Zo moet multi-proces eindelijk voor een sanbox in Firefox gaan zorgen. "Het sandboxwerk begint in Firefox 50 met de introductie van onze eerste Windows-sandbox. Dit is een vroege sandbox die het grondwerk legt en nog niet extra is beveiligd", zegt Asa Dotzler van Mozilla. Of Dotzler Firefox 50 bedoelt is onduidelijk. Deze versie is al sinds halverwege vorige maand beschikbaar en nergens heeft Mozilla destijds melding gemaakt van een sandbox. Wel maakt Dotzler duidelijk dat de sandbox de komende Firefox-versies aan de Linux- en Mac-versie zal worden toegevoegd en extra zal worden aangescherpt. bron: security.nl

Een beveiligingslek in Facebook maakte het mogelijk voor aanvallers om het primaire/verborgen e-mailadres van alle gebruikers te achterhalen, wat bijvoorbeeld voor phishingaanvallen kon worden gebruikt. Facebookgebruikers kunnen groepen aanmaken en verschillende rollen aan andere personen toekennen. Als personen al in de vriendenlijst van de gebruiker voorkomen zullen ze de rol automatisch toegekend krijgen. Is de persoon in kwestie geen vriend van de gebruiker, dan zal die eerst een uitnodiging ontvangen die moet worden bevestigd. De gebruiker kan dit verzoek echter ook weer intrekken. In het geval dit via de mobiele versie werd gedaan bleek de knop om het verzoek in te trekken naar een url te wijzen die het e-mailadres van de uitgenodigde persoon bevatte, zo ontdekte onderzoeker Tommy DeVoss. Facebook werd op 25 november ingelicht en rolde op 14 december een oplossing uit om het probleem te verhelpen. DeVoss kreeg voor zijn melding een beloning van 5.000 dollar. bron: security.nl

De makers van de beruchte CryptXXX-ransomware hebben vanwege de feestdagen besloten om slachtoffers een kerstkorting te geven. Normaliter moeten slachtoffers van deze ransomware 1,2 bitcoin betalen om weer toegang tot versleutelde bestanden te krijgen, wat omgerekend zo'n 950 euro is. De website die slachtoffers uitlegt hoe ze moeten betalen laat nu echter een pop-up zien waarin de kerstkorting wordt aangeboden. In plaats van 1,2 bitcoin is het bedrag om de bestanden te ontsleutelen verlaagd naar 0,5 bitcoin, wat met de huidige wisselkoers zo'n 400 euro is. De aanbieding loopt volgens de pop-up tot en met 31 december, zo meldt beveiligingsbedrijf Forcepoint. Het is echter de vraag of het hier om een echte "kerstactie" gaat. Gisteren kwam het Russische anti-virusbedrijf namelijk met een gratis decryptietool waarmee slachtoffers kosteloos hun bestanden terugkrijgen. CryptXXX is één van de meest actieve ransomware-varianten van het moment en heeft het afgelopen jaar tienduizenden computers besmet. bron: security.nl

Onderzoekers hebben geheel nieuwe malware voor geldautomaten ontdekt waarmee criminelen de geldcassettes in de automaat kunnen legen. Hoewel malware voor geldautomaten al sinds 2007 bestaat komt het zelden voor dat er een compleet nieuwe malwarefamilie wordt ontdekt. Inclusief de nu ontdekte malware met de naam "Alice" zijn er in totaal slechts 8 malwarefamilies bekend. De Alice-malware werd vorige maand door het Japanse anti-virusbedrijf Trend Micro en Europol gevonden. "Deze nieuwe ontdekking is opmerkelijk, omdat het laat zien dat malwareschrijvers steeds meer verschillende platformen aanvallen", zegt analist David Sancho. Hoewel Alice pas in november van dit jaar werd ontdekt blijkt uit verder onderzoek dat de malware al sinds oktober 2014 door criminelen wordt gebruikt bij het aanvallen van geldautomaten. Zodra de malware op een geldautomaat actief is kan die via een apart aangesloten toetsenbord worden bediend. Via speciale codes is het mogelijk om het beheerderspaneel op te roepen, geldcassettes te legen of de malware van het systeem te verwijderen. Dit is opmerkelijk, stelt Sancho. De malware maakt namelijk geen verbinding met de pinpad van de geldautomaat. "De logische conclusie is dat de criminelen achter Alice de geldautomaat fysiek moeten openen om die via usb of cd-rom te infecteren, en dan een keyboard aansluiten om de malware te bedienen", laat de analist weten. Een andere mogelijkheid is dat de malware via een remote desktop wordt bediend, maar er is geen bewijs hiervoor gevonden. Volgens Sancho was geldautomatenmalware voorheen het domein van een handvol criminele organisaties, maar is er nu een punt bereikt dat dit soort malware "mainstream" aan het worden is. bron: security.nl

De komende periode zullen allerlei organisaties, softwarebedrijven en andere partijen stoppen met de ondersteuning van sha-1-certificaten en ook Facebook zal hier onderdeel van uitmaken. In eerste instantie had de sociale netwerksite nog kritiek op de maatregel, omdat miljoenen internetgebruikers hierdoor geen versleutelde websites meer zouden kunnen benaderen. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Het wordt onder andere voor ssl-certificaten gebruikt waarmee websites een versleutelde verbinding aanbieden. Kwetsbaarheden in sha-1 kunnen een aanvaller content laten spoofen of phishing- en man-in-the-middle-aanvallen laten uitvoeren op internetgebruikers. Daarom hebben allerlei partijen, waaronder ook Google, Microsoft en Mozilla, besloten om sha-1 uit te faseren. Vorig jaar riep Facebook nog op om de deadline uit te stellen. Uit onderzoek zou blijken dat miljoenen internetgebruikers, voornamelijk in ontwikkelingslanden, met apparaten werken die het nieuwere sha-2 niet ondersteunen. De sociale netwerksite heeft het sha-1-gebruik onderzocht en stelt dat het sinds november van dit jaar geen sha-1-verkeer meer heeft gezien en er ook geen meetbare impact was. Daarom gaat Facebook nu de eigen sha-1-certificaten intrekken, meldt productie-engineer Wojciech Wojtyniak. bron: security.nl

Beste Kimmyy, Het zou je kabel kunnen zijn maar evengoed de monitor, drivers of videokaart. Aangezien je de pc nieuw hebt gekocht, zou ik even contact opnemen met de leverancier waar je het spul gekocht hebt. Laat ons daarna even weten of je probleem getackeld is of dat je alsnog hier hulp nodig hebt.

Beste Jonasthegamer, We werken hier allemaal met vrijwilligers die hun vrije tijd besteden aan het helpen van mensen zoals jij. Naast dit werk hebben de meeste van ons een gewone baan. Dus het kan soms even duren voordat je een antwoord krijgt Wat staat er bij de harde schijf voor naam?

Mocht je probleem toch weer opduiken, kun je proberen om Chrome te resetten. Je kunt hier lezen hoe je dit kunt doen.

Als ik mij niet vergis werkt de Devolo via je stroomnetwerk? Mijn advies is om even de Devolo eruit te gooien en je hoofdrouter weer terug te brengen naar de originele setting. Wanneer dat werkt, kun je weer gaat "opbouwen". Je zoon heeft overigens geen vast IP-adres nodig. Als het goed is regelt je router dit zelf en is er geen apart Devolo-netverbinding nodig.

Eigenaren van een Netgear-router R7000 en R6400 zijn gewaarschuwd voor een ernstig beveiligingslek waardoor aanvallers het apparaat op afstand kunnen overnemen. Dat laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten. Om de kwetsbaarheid uit te buiten moet een aanvaller de gebruiker wel naar een speciaal geprepareerde pagina zien te lokken, aldus het CERT/CC. Vervolgens is het mogelijk om met rootrechten willekeurige code op de router uit te voeren. Het CERT/CC stelt dat de kwetsbaarheid eenvoudig is te misbruiken. Een beveiligingsupdate van Netgear is echter nog niet voorhanden. Gebruikers die de keuze hebben krijgen dan ook het advies om de routers in kwestie niet te gebruiken totdat er een oplossing beschikbaar is. bron: security.nl

Microsoft heeft een oplossing gevonden voor de Windows 10 Anniversary Update die er bij sommige gebruikers voor zorgt dat hun computer of mobiel de internetverbinding verliest. Na de installatie ververst de netwerkkaart niet automatisch zijn ip-adres en maakt daarom gebruik van een lokaal 169.x.x.x ip-adres. De problemen doen zich voor bij zowel bekabelde aansluitingen als wifi-netwerken. Microsoft zegt het probleem nu te hebben geïdentificeerd. "Het is belangrijk dat, nadat de internetverbinding hersteld is, direct naar een update wordt gezocht via Windows Update", zegt Lars van Beek van Microsoft Nederland. Verder kunnen gebruikers de internetverbinding ook handmatig herstellen, door bijvoorbeeld een nieuw ip-adres aan de router of modem te vragen of de netwerkkaart opnieuw in te stellen. Op deze pagina heeft Microsoft een overzicht van alle mogelijke herstelopties. bron: security.nl

Een malafide extensie voor Google Chrome zorgde de afgelopen dagen ervoor dat Facebookgebruikers met allerlei pdf-spam werden belaagd. Deze pdf-spam, die zich voordoet als een naaktvideo van een beroemdheid, probeerde weer de Chrome-extensie te installeren. Als gebruikers de pdf-spam openen krijgen ze een naaktfoto te zien met een afspeelknop. De afbeelding linkt weer naar een website om de zogenaamde video te bekijken. In het geval van Internet Explorer, Firefox of Safari wordt de gebruiker doorgestuurd naar een pagina met allerlei agressieve advertenties. Wordt de link in de pdf-spam met Google Chrome geopend, dan wordt de gebruiker naar een zogenaamde YouTube-pagina doorgestuurd die een Chrome-extensie probeert te installeren. Na de installatie opent de extensie de inlogpagina van Facebook. Op deze manier proberen de aanvallers de inloggegevens van het Facebookprofiel te stelen. Deze gegevens gebruiken de aanvallers om de pdf-spam naar vrienden en Facebookgroepen van de gebruiker te sturen, zodat de extensie zich verder kan verspreiden. Verder blokkeert de Chrome-extensie de toegang tot allerlei websites van anti-virusleveranciers en andere beveiligingsoplossingen en voorkomt dat de gebruiker het extensie-menu kan openen om de extensie te verwijderen. "Facebook draait op allerlei soorten apparaten. Ook al richt deze malwarecampagne zich op Chrome, het is niet onmogelijk voor de malwaremakers om zich ook via andere browsers te verspreiden, aangezien alle andere browsers hun eigen plug-ins en extensies hebben", zegt Magni Reynir Sigurosson van beveiligingsbedrijf Cyren. "Het feit dat deze kwaadaardige Chrome-extensie in de Chrome Web Store werd gehost, laat gebruikers denken dat de Chrome-extensie van een vertrouwde uitgever afkomstig is en veilig is om te installeren." De malafide Chrome-extensie is inmiddels door Google uit de Chrome Web Store verwijderd. bron: security.nl

Een nieuw ransomware-exemplaar genaamd Popcorn Time biedt slachtoffers een gratis decryptiesleutel als ze twee of meer andere internetgebruikers met de malware weten te infecteren die vervolgens betalen. De ransomware werd ontdekt door onderzoekers van MalwareHunterTeam. Net als andere ransomware versleutelt Popcorn Time allerlei bestanden voor losgeld. Gebruikers moeten vervolgens 1 bitcoin betalen om hun bestanden te ontsleutelen, wat met de huidige wisselkoers 725 euro is. De ransomware, die niets met de Popcorn Time-applicatie te maken heeft, biedt slachtoffers ook een andere optie. Als het slachtoffer twee of meer mensen met de ransomware weet te infecteren die het losgeld betalen, zullen zijn bestanden via een gratis decryptiesleutel kosteloos worden ontsleuteld. Popcorn Time maakt hiervoor gebruik van een speciaal gegenereerde link die naar de ransomware wijst en die het slachtoffer moet verspreiden. Als er niet binnen 7 dagen wordt betaald dreigt de ransomware de decryptiesleutel te verwijderen, zodat slachtoffers geen toegang meer tot hun bestanden zullen krijgen. De website BleepingComputer meldt dat de Popcorn Time-ransomware nog niet helemaal af is. Als slachtoffers vier keer een verkeerde decryptiesleutel invoeren zal de ransomware bestanden verwijderen. De ransomware-ontwikkelaars zeggen een groep informaticastudenten uit Syrië te zijn en beweren dat het losgeld dat slachtoffers betalen voor voedsel en medicijnen zal worden gebruikt. bron: security.nl

Google Chrome gaat gebruikers vanaf de volgende versie waarschuwen voor websites waarbij via het onbeveiligde http moet worden ingelogd of die via http creditcardgegevens verzamelen. Op dit moment geeft Chrome nog geen expliciete waarschuwing voor http-sites. Google wil dit echter in de toekomst gaan veranderen en is van plan om alle http-sites als onveilig te bestempelen, aangezien het verkeer van en naar deze websites voor derden toegankelijk is. De eerste stap in dit proces is om websites die via http wachtwoorden en creditcardgegevens verzamelen vanaf Chrome 56 als onveilig weer te geven. Chrome-gebruikers krijgen in dit geval in de adresbalk de melding "Not Secure". De feature is nu aan de testversie van Chrome 56 toegevoegd. Google adviseert websites die niet het stempel onveilig willen krijgen om https te gaan gebruiken. bron: security.nl

Microsoft heeft een nieuwe functie aan de Cortana stemassistent van Windows 10 toegevoegd waardoor het mogelijk is om computers via een mondelinge opdracht uit te schakelen, te herstarten of te vergrendelen. De functie is nu aan de nieuwste testversie van Windows 10 toegevoegd. Een andere optie is om via Cortana en een Azure Active Directory (AAD) identity in te loggen. Gebruikers kunnen zo met hun werk- of schoolaccount inloggen in plaats van hun Microsoftaccount. Cortana is zodoende ook te gebruiken als de organisatie in kwestie geen Microsoftaccount ondersteunt. "Je krijgt zo de volledige Cortana-ervaring met bijna alle features", zegt Microsofts Dona Sarkar. AAD is op dit moment alleen beschikbaar voor Windows 10. Een andere vernieuwing in de nieuwste testversie van Windows 10 is een nieuw dashboard voor Windows Defender, de standaard met Windows meegeleverde virusscanner. Gebruikers zouden via het nieuwe dashboard een beter overzicht moeten krijgen van de status van hun systeem. Verder is Windows Update aangepast en kunnen gebruikers nu zelf een tijd aangeven wanneer de machine voor het installeren van updates moet worden herstart. Wanneer de nieuwe functies aan de standaardversie van Windows 10 worden toegevoegd is nog niet bekend. Bij de lancering van Windows 10 uitte de Consumentenbond nog grote kritiek op Cortana, omdat de stemassistent ingesproken tekst naar Microsoft terugstuurt. bron: security.nl

Adobe Flash Player en Microsoft Internet Explorer waren ook dit jaar weer het favoriete doelwit van cybercriminelen, net als in 2015. Dat meldt beveiligingsbedrijf Recorded Future aan de hand van onderzoek naar verschillende exploitkits. Dit zijn programma's die kwetsbaarheden in software gebruiken om geheel geautomatiseerd en zonder dat gebruikers dit merken malware op computers te installeren. Van de 10 meest aangevallen kwetsbaarheden door exploitkits bevinden zich er 6 in Flash Player. De overige aangevallen beveiligingslekken zijn aanwezig in Internet Explorer, Microsoft Silverlight en Windows. De populairste kwetsbaarheid onder cybercriminelen betreft een lek in Internet Explorer dat Microsoft op 10 mei van dit jaar patchte. Een beveiligingslek dat Adobe vorig jaar patchte werd in de meeste exploitkits aangetroffen. Dit jaar werd ook gekenmerkt door het verdwijnen van de Angler-exploitkit, een zeer populaire exploitkit onder cybercriminelen. De ontwikkelaars waren door de Russische autoriteiten opgepakt. Het gat dat hierdoor ontstond is opgevuld door de Sundown-, RIG- en Neutrino-exploitkits. Die zijn voor bedragen van 200 dollar (RIG) tot 1500 dollar (Neutrino) per week te gebruiken. Om dergelijke aanvallen te voorkomen is het volgens de onderzoekers belangrijk dat organisaties en gebruikers al hun programma's patchen en verder Flash Player, IE of Silverlight van systemen verwijderen als de software niet wordt gebruikt. In het geval Flash Player toch is vereist wordt geadviseerd om "click to play" in te schakelen. Flash-content wordt in dit geval niet automatisch afgespeeld. Verder wordt het advies gegeven om Google Chrome en een adblocker te gebruiken, aangezien exploitkits vaak via besmette advertenties weten toe te slaan. bron: security.nl

HP is begonnen om oude en onveilige protocollen zoals ftp en telnet voortaan standaard op netwerkprinters uit te schakelen, zo heeft de computergigant bekendgemaakt. Volgens HP kunnen vanwege het groeiend aantal cyberaanvallen netwerkprinters niet meer worden vergeten. Daarom is er besloten om "minder veilige interfaces" standaard uit te schakelen zodat klanten zelf poorten en protocollen moeten openzetten als ze die nodig hebben. "HP is begonnen met het proces om oudere, minder onderhouden interfaces te sluiten, zoals poorten, protocollen en encryptiealgortimes die door het NIST als minder veilig zijn bestempeld, waaronder ftp en telnet", aldus de aankondiging. De computergigant zegt met softwareontwikkelaars samen te werken om hun applicaties aan te passen zodat die nieuwere, krachtigere interfaces gaan gebruiken en andere interfaces in de nabije toekomst gesloten kunnen worden. Daarnaast is er onlangs een update verschenen die voor zowel nieuwe als bestaande printers het beheerderswachtwoord en encryptie-instellingen verbetert. bron: security.nl

Onderzoekers hebben in verschillende ip-camera's ernstige beveiligingslekken ontdekt waardoor mogelijk honderdduizenden camera's kunnen worden gehackt. Volgens onderzoeker Amit Serper van beveiligingsbedrijf Cybereason had hij de kwetsbaarheden al twee jaar geleden ontdekt. Samen met een collega kocht hij een ip-camera en binnen 6 uur hadden ze twee onbekende kwetsbaarheden gevonden waardoor een aanvaller op afstand de camera kan overnemen. Serper besloot destijds echter niks met zijn ontdekking te doen. Nu er zoveel aandacht voor de onveiligheid van Internet of Things-apparaten is heeft de onderzoeker zijn onderzoek afgestoft. De kwetsbaarheden zijn nog altijd in de camera's aanwezig. Daarnaast heeft ook een andere onderzoeker ze inmiddels ontdekt. Het gaat om een kwetsbaarheid waarmee het mogelijk is om zonder authenticatie willekeurige bestanden van de webserver op de ip-camera op te vragen, waaronder het bestand dat het wachtwoord van de camera bevat. De tweede kwetsbaarheid maakt het mogelijk om commando's met rootrechten via de webserver uit te voeren. Aangezien de camera's nog steeds worden verkocht en er honderdduizenden in omloop zijn willen de onderzoekers niet laten weten om welke fabrikanten het precies gaat. Veel van van de camera's worden onder andere namen verkocht. Een fabrikant wordt echter wel bij naam genoemd, namelijk VStarcam, ook bekend als Eye4. In tegenstelling tot de camera's van andere leveranciers beschikte VStarcam wel over een telefoonnummer en e-mailadres. De onderzoeker stuurde een e-mail over de kwetsbaarheden, maar kreeg nooit een reactie. De overige 30 camera's die Serper via Amazon en eBay kocht kwamen allemaal in een witte doos zonder naam of logo van de fabrikant. "De enige manier om te garanderen dat een kwetsbare camera niet via deze exploits wordt gehackt is om het apparaat weg te gooien. Dit is geen ideale oplossing", stelt de onderzoeker. Hij heeft een script ontwikkeld dat kwetsbare camera's kan vinden en updaten. Serper wil dit script echter niet gebruiken, aangezien het de exploitcode bevat en aanvallers het script vervolgens voor kwaadaardige doeleinden kunnen gebruiken. Wel is er een tool ontwikkeld waarmee gebruikers kunnen zien of ze een kwetsbare ip-camera gebruiken. bron: security.nl

Microsoft zal volgend jaar een grote update voor Windows 10 uitrollen die ook verschillende nieuwe beveiligingsfuncties voor organisaties zal introduceren. De "Creators Update", zoals de update door Microsoft wordt aangeduid, zal alle Windows 10-veiligheidsmeldingen in het Windows Security Center gaan weergeven. Dat moet het eenvoudiger voor beheerders maken om een aanval binnen hun organisatie te monitoren. Aan de Creators Update zullen ook nieuwe opties voor Windows Defender Advanced Threat Protection (ATP) worden toegevoegd om op netwerkaanvallen te reageren en te onderzoeken, waaronder sensoren in het geheugen, uitgebreidere informatie over dreigingen en nieuwe herstelacties. Via de nieuwe sensoren moeten ook dreigingen die alleen in het geheugen actief zijn of exploits op kernelniveau worden gedetecteerd. De herstelacties maken het straks mogelijk voor systeembeheerders die van Microsofts dienst gebruikmaken om via één klik vanuit het Windows Security Center een machine te isoleren, forensics te verzamelen, draaiende processen te stoppen of op te schonen of bestanden in quarantaine te plaatsen of te blokkeren. Verder zal de Creators Update een conversietool bevatten om computers die uefi ondersteunen maar waarop Windows 7 via een oude bios is geïnstalleerd, naar uefi om te zetten. Normaliter moest een it-manager hiervoor de harde schijf herpartitioneren en de firmware opnieuw instellen, maar via de tool wordt al dit handwerk geautomatiseerd. Wanneer de Creators Update precies zal verschijnen laat Microsoft niet weten. bron: security.nl

Microsoft zal deze maand miljoenen Windowscomputers op de aanwezigheid van adware controleren die dns-instellingen aanpast en een eigen rootcertificaat installeert. Het gaat om een adware-familie genaamd Clodaconas, die advertenties en pop-ups op websites en in zoekresultaten injecteert. Om de advertenties te injecteren verandert Clodaconas de dns-instellingen van de computer. Computers gebruiken het domain name system (dns) om onder andere websites op te vragen. De meeste internetgebruikers maken gebruik van de dns-servers van hun internetprovider. In het geval van de Clodaconas-adware wordt er een kwaadaardige dns-server ingesteld. Alle dns-verzoeken van de gebruiker gaan vervolgens langs de dns-server van de aanvallers. Op deze manier ontstaat er een man-in-the-middle (mitm) aanval. In plaats van dat websites direct van de originele server worden geladen, wordt de website van de server van de aanvallers geladen. De server van de aanvallers laadt wel de echte website, maar injecteert allerlei advertenties voordat de gebruiker de website uiteindelijk in zijn browser te zien krijgt. Veel websites maken gebruik van een ssl-certificaat voor het opzetten van een beveiligde verbinding. De browser zou in het geval van een mitm-aanval, zoals door Clodaconas, een waarschuwing geven. Om dit soort waarschuwingen te voorkomen installeert de adware een eigen rootcertificaat. Met dit certificaat kunnen er ook binnen beveiligde verbindingen advertenties worden geïnjecteerd. De in Windows ingebouwde Malicious Software Removal Tool (MSRT) zal de adware deze maand verwijderen en alle systeemaanpassingen ongedaan maken. Gebruikers moeten mogelijk wel hun browsercache legen nadat de adware is verwijderd. Anders kan de browser nog steeds een gecachete versie van de website met de advertenties bevatten. Microsoft maakte het nieuws via een blogposting bekend, maar heeft die inmiddels offline gehaald. Aankondigingen over de updates voor de MSRT verschijnen normaal namelijk op patchdinsdag, de tweede dinsdag van de maand. bron: security.nl

Adobe Flash Player en Microsoft Internet Explorer waren ook dit jaar weer het favoriete doelwit van cybercriminelen, net als in 2015. Dat meldt beveiligingsbedrijf Recorded Future aan de hand van onderzoek naar verschillende exploitkits. Dit zijn programma's die kwetsbaarheden in software gebruiken om geheel geautomatiseerd en zonder dat gebruikers dit merken malware op computers te installeren. Van de 10 meest aangevallen kwetsbaarheden door exploitkits bevinden zich er 6 in Flash Player. De overige aangevallen beveiligingslekken zijn aanwezig in Internet Explorer, Microsoft Silverlight en Windows. De populairste kwetsbaarheid onder cybercriminelen betreft een lek in Internet Explorer dat Microsoft op 10 mei van dit jaar patchte. Een beveiligingslek dat Adobe vorig jaar patchte werd in de meeste exploitkits aangetroffen. Dit jaar werd ook gekenmerkt door het verdwijnen van de Angler-exploitkit, een zeer populaire exploitkit onder cybercriminelen. De ontwikkelaars waren door de Russische autoriteiten opgepakt. Het gat dat hierdoor ontstond is opgevuld door de Sundown-, RIG- en Neutrino-exploitkits. Die zijn voor bedragen van 200 dollar (RIG) tot 1500 dollar (Neutrino) per week te gebruiken. Om dergelijke aanvallen te voorkomen is het volgens de onderzoekers belangrijk dat organisaties en gebruikers al hun programma's patchen en verder Flash Player, IE of Silverlight van systemen verwijderen als de software niet wordt gebruikt. In het geval Flash Player toch is vereist wordt geadviseerd om "click to play" in te schakelen. Flash-content wordt in dit geval niet automatisch afgespeeld. Verder wordt het advies gegeven om Google Chrome en een adblocker te gebruiken, aangezien exploitkits vaak via besmette advertenties weten toe te slaan. bron: security.nl

HP is begonnen om oude en onveilige protocollen zoals ftp en telnet voortaan standaard op netwerkprinters uit te schakelen, zo heeft de computergigant bekendgemaakt. Volgens HP kunnen vanwege het groeiend aantal cyberaanvallen netwerkprinters niet meer worden vergeten. Daarom is er besloten om "minder veilige interfaces" standaard uit te schakelen zodat klanten zelf poorten en protocollen moeten openzetten als ze die nodig hebben. "HP is begonnen met het proces om oudere, minder onderhouden interfaces te sluiten, zoals poorten, protocollen en encryptiealgortimes die door het NIST als minder veilig zijn bestempeld, waaronder ftp en telnet", aldus de aankondiging. De computergigant zegt met softwareontwikkelaars samen te werken om hun applicaties aan te passen zodat die nieuwere, krachtigere interfaces gaan gebruiken en andere interfaces in de nabije toekomst gesloten kunnen worden. Daarnaast is er onlangs een update verschenen die voor zowel nieuwe als bestaande printers het beheerderswachtwoord en encryptie-instellingen verbetert. bron: security.nl