Captain Kirk

Mozilla heeft bij Firefoxgebruikers oudere versies van de adblocker Stop Ads geblokkeerd, aangezien de browseruitbreiding de volledige surfgeschiedenis naar een derde partij doorstuurde. Stop Ads blokkeert net als andere adblockers advertenties, pop-ups en trackers. Versie 0.0.4 en eerder stuurden echter ook alle bezochte url's naar een derde partij door, terwijl dit helemaal niet nodig was voor de werking van de browseruitbreiding. Aanleiding voor Mozilla om in te grijpen. De opensourceontwikkelaar beschikt over de mogelijkheid om add-ons die voor problemen zorgen op afstand te blokkeren. Firefoxgebruikers hebben echter wel de keuze om de add-on weer in te schakelen. Inmiddels is er een nieuwe versie van de adblocker uitgekomen die niet wordt geblokkeerd. Stop Ads heeft ruim 56.000 gebruikers. bron: security.nl

Op internet zijn verschillende websites te vinden die documenten naar een ander formaat omzetten, zoals pdf naar doc, maar dit is niet zonder risico. Daarvoor waarschuwt Rob VandenBrink, handler bij het Internet Storm Center. VandenBrink kreeg het verzoek van zijn vrouw om een pdf-document naar een docx-bestand om te zetten. Op internet kwam hij meerdere gratis "converters" tegen die dit konden doen. Drie van de vijf converters die werden getest bleken kwaadaardige code aan het document toe te voegen, namelijk een exploit van de Angler-exploitkit. Angler is een exploitkit die de afgelopen jaren zeer populair was. In juni werden de ontwikkelaars echter opgepakt. Welke exploit aan het document werd toegevoegd laat VandenBrink niet weten. Angler maakte misbruik van kwetsbaarheden in Adobe Flash Player, Internet Explorer en Microsoft Silverlight. Hoewel gebruikers vooral werden aangevallen via gehackte websites en besmette advertenties, is het ook mogelijk om een kwaadaardig Flash-object aan een Office-document toe te voegen. Het openen van dit document op een computer met een kwetsbare Flash Player-versie zorgt er voor dat er stilletjes malware wordt geïnstalleerd. Welke websites de exploitcode toevoegen laat VandenBrink ook niet weten. Wel waarschuwt hij voor gratis diensten op het web. "Als het gratis is, ben jij het product". bron: security.nl

Een beveiligingsbedrijf heeft de versleutelingssoftware VeraCrypt geaudit en zal de resultaten binnenkort openbaar maken, als de ontwikkelaars van de encryptiesoftware de tijd hebben gehad om alle gevonden problemen te verhelpen. Dat laat het Open Source Technology Improvement Fund (OSTIF) weten. VeraCrypt is een opensourceprogramma waar gebruikers bestanden, usb-sticks, externe harde schijven en zelfs complete systemen mee kunnen versleutelen. Het is gebaseerd op het bekende versleutelingsprogramma TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wil het OSTIF hier verandering in brengen. Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten. Het gaat bijvoorbeeld om beloningsprogramma's voor het melden van kwetsbaarheden, het financieren van codeverbeteringen en het laten uitvoeren van audits. De audit van VeraCrypt werd door beveiligingsbedrijf QuarksLab uitgevoerd en heeft ruim drie weken in beslag genomen. De ontwikkelaars van VeraCrypt hebben de voorlopige bevindingen inmiddels ontvangen, terwijl het auditrapport nu verder wordt afgerond. "Om ervoor te zorgen dat het publiek zo veilig als mogelijk is, zal het auditrapport pas verschijnen als alle bugs zijn verholpen. Deze vertraging moet ervoor zorgen dat een nieuwe versie van de software gelijktijdig met de publicatie van de auditresultaten beschikbaar is", zo laat het OSTIF weten. De resultaten zullen tegelijkertijd op de website van VeraCrypt, het OSTIF en QuarksLab worden gepubliceerd. bron: security.nl

Een backdoor in kabelmodems van fabrikant Arris wordt gebruikt door een worm, die besmette toestellen vervolgens inzet voor het uitvoeren van ddos-aanvallen tegen websites en webdiensten. Al verschillende jaren waarschuwen onderzoekers voor backdoor-accounts in Arris-kabelmodems. Eén van deze onderzoekers is Bernardo Rodrigues die eind vorig jaar een backdoor in 600.000 via internet toegankelijke Arris-kabelmodems aantoonde. Destijds besloot Rodrigues geen "proof-of-concept" vrij te geven, uit angst dat een worm hier mogelijk misbruik van zou maken. Die angst was gerechtvaardigd, want sinds mei van dit jaar is er een worm actief die kwetsbare Arris-kabelmodems in verschillende fases infecteert. Tijdens de eerste fase wordt de remote toegang tot de kabelmodem beperkt. "Dit is een zeer interessante aanpak, omdat ze snel het internet kunnen scannen en externe toegang tot deze toestellen kunnen blokkeren om ze vervolgens met de uiteindelijke malware te infecteren", zegt Rodriques. Deze uiteindelijke malware maakt de modem onderdeel van een ddos-botnet. Tijdens zijn presentatie vorig jaar waren er meer dan 600.000 kwetsbare Arris-kabelmodems op internet te vinden, waarvan er bij 490.000 telnet was ingeschakeld. Inmiddels is dat aantal naar 35.000 gedaald. De onderzoeker vraagt zich af hoeveel van de niet meer zichtbare apparaten door de malware zijn besmet, waarna de externe toegang is beperkt. "Het grote aantal Linux-apparaten met een beheerdersinterface die via internet toegankelijk is, het gebruik van zelfgemaakte backdoors, het gebrek aan firmware-updates en het gemak waarmee Internet of Things-exploits zijn te maken maakt deze apparaten een eenvoudig doelwit voor internetcriminelen", stelt Rodriques. Hij waarschuwt dat Internet of Things-botnets dan ook een probleem aan het worden zijn en fabrikanten veiligere producten moeten ontwikkelen, internetproviders updates moeten uitrollen en eindgebruikers hun eigen apparatuur moeten patchen. In het geval van de Arris-worm kan die worden verwijderd door de kabelmodem te resetten, aangezien de worm een reboot niet overleeft. bron: security.nl

Het Tor Project heeft alarm geslagen wegens nieuw beleid dat binnenkort van kracht wordt en de FBI de bevoegdheid geeft om wereldwijd computers te hacken. Het gaat om aanpassingen aan "Rule 41", die zonder ingrijpen van het congres automatisch op 1 december van kracht worden. De aanpassingen zorgen ervoor dat een rechter straks de FBI een bevel kan geven om elektronische media te verzamelen die zich buiten het district van de rechter bevindt of binnen het gerechtelijk district als de locatie "via technologische middelen" is verborgen. "Bijvoorbeeld als iemand Tor gebruikt", laat 'Ailanthus' van het Tor Project weten. De nieuwe regels zouden ook voor mensen gelden die van het Tor-anonimiseringsnetwerk gebruikmaken, zoals journalisten en mensenrechtenactivisten. Volgens Ailanthus mag de FBI straks op afstand iemands telefoon of computer hacken en doorzoeken, alsmede hun data verwijderen. Ook zal de Amerikaanse opsporingsdienst computers met malware mogen infecteren. "En zal het kwetsbaarheden creëren waardoor gebruikers risico lopen", gaat de Tor Project-medewerker verder. Al deze belangrijke veranderingen worden buiten de controle van het congres om doorgevoerd. De Amerikaanse Senator Ron Wyden heeft zich nu tegen Rule 41 uitgesproken en een voorstel gedaan om de komende aanpassingen terug te draaien. Het Tor Project roept Amerikanen dan ook op om de senator van hun staat te benaderen en te vragen of ze het "Stop Mass Hacking" wetsvoorstel van Wyden willen steunen. Eerder stuurden ook al meer dan 50 Amerikaanse techbedrijven en organisaties een brief naar het congres om de aanpassingen van Rule 41 te stoppen. bron: security.nl

Een beveiligingsonderzoeker heeft besloten een ernstig beveiligingslek in Oracle MySQL-server openbaar te maken, aangezien Oracle pas over een maand met een beveiligingsupdate komt en andere aanbieders van databasemanagementsystemen inmiddels wel beveiligingsupdates hebben uitgebracht. Volgens onderzoeker David Golunski kan een aanvaller via de kwetsbaarheid op afstand kwaadaardige instellingen in de MySQL-configuratiebestanden doorvoeren. Vervolgens zou het mogelijk zijn om willekeurige code met rootrechten uit te voeren en zo de server volledig over te nemen. Zowel op Hacker News als Reddit is er discussie over de impact van de kwetsbaarheid ontstaan. Een aanvaller moet namelijk toegang tot MySQL hebben en queries moeten kunnen uitvoeren. Daarnaast zijn er ook andere voorwaarden. Het lijkt vooral een probleem in shared hosting-omgevingen te zijn. Lucb1e laat op Hacker News weten dat de kwetsbaarheid gebruikers die op een MySQL-server queries kunnen uitvoeren, oftewel door legitieme toegang in het geval van bijvoorbeeld shared hosting, of via een sql-injectie-kwetsbaarheid, willekeurige opdrachten kunnen uitvoeren waardoor de server kan worden overgenomen. Golunski waarschuwde Oracle en de ontwikkelaars van MariaDB en PerconaDB op 29 juli. Eind augustus hadden zowel MariaDB als PerconaDB het beveiligingslek in hun software gepatcht. Aangezien Oracle pas op 18 oktober met een update komt, en de details over de updates voor MariaDB en PerconaDB beschikbaar zijn, besloot Golunski tot publicatie over te gaan zodat beheerders maatregelen kunnen nemen. bron: security.nl

Is goed. Heb je toch nog een vraag, je weet ons te vinden

Het gebruik van Excel-, Word- en PowerPoint-bestanden om malware te verspreiden is al geruime tijd bekend, maar nu blijken internetcriminelen ook .pub-bestanden in te zetten. Dit zijn bestanden die door Microsoft Publisher worden gebruikt. Publisher is een onderdeel van Microsoft Office. Net als de andere Office-applicaties ondersteunt ook Publisher macro's. De nu waargenomen Publisher-bestanden bevatten een kwaadaardige macro die malware probeert te installeren, zo melden Xavier Mertens, handler bij het Internet Storm Center, en de website My Online Security. De e-mail met het document heeft als onderwerp "ExxonMobile Introduction Letter" en als bijlage "Letter of Invitation.pub". Het bericht zou zogenaamd van de ceo van ExxonMobile afkomstig zijn. In het geval gebruikers de macro's inschakelen kan er malware voor internetbankieren of ransomware worden geïnstalleerd "Door het gebruik van .pub-bestanden hebben aanvallers een voordeel omdat potentiële slachtoffers de extensie .pub niet kennen. Het kan ook als "public" of "publicity" worden geïnterpreteerd, wat het document minder verdacht maakt", aldus Mertens. Hij merkt op dat spamfilters dit soort extensie niet blokkeren en veel beveiligingsonderzoekers in hun testomgevingen voor het analyseren van malware standaard geen Publisher hebben geïnstalleerd. "Daardoor is het onmogelijk om het exemplaar te analyseren", zo laat de onderzoeker weten. Van de 54 virusscanners op VirusTotal wisten 8 het kwaadaardige document te herkennen. bron: security.nl

Onderzoekers hebben een nieuw botnet van 12.000 routers ontdekt dat gebruikt wordt voor het uitvoeren van ddos-aanvallen tegen websites. De helft van de gehackte routers is gemaakt door de Chinese netwerkfabrikant Huawei, gevolgd door 2100 gehackte routers van MikroTik die op RouterOS draaien. Daarnaast werden er tussen de gehackte routers ook modellen van Dell, VodaFone, Netgear, Ubiquiti en Cisco gevonden. Het grootste deel van de gehackte routers bevindt zich in Spanje (45%), gevolgd door Latijns- en Zuid-Amerika (37%). Hoe de routers konden worden gehackt kan beveiligingsbedrijf Sucuri niet precies zeggen. Wel worden er regelmatig kwetsbaarheden in de apparaten ontdekt. Uit verder onderzoek bleek dat veel van de routers niet waren gepatcht. Daarnaast wordt niet uitgesloten dat veel van de routers via zwakke of standaardwachtwoorden zijn overgenomen. bron: security.nl

Ondanks het verschijnen van een beveiligingsupdate van Cisco zijn nog altijd tienduizenden apparaten van de netwerkgigant kwetsbaar voor een onlangs ontdekte aanval van de NSA. Het gaat om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait. Dergelijke apparatuur wordt vooral door bedrijven, overheidsinstellingen en organisaties gebruikt. Een persoon of groep die zichzelf Shadow Brokers noemt publiceerde halverwege augustus een verzameling van tools, exploits en malware van een spionagegroep genaamd de Equation Group. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om malware en tools van de Amerikaanse inlichtingendienst NSA gaat. Eén van de exploits, genaamd EXTRABACON, richt zich op de Cisco ASA-software en maakt gebruik van een kwetsbaarheid waarvoor op het moment van de ontdekking nog geen patch bestond. Via de exploit, die op afstand is uit te voeren, kan een aanvaller door het versturen van een SNMP-pakket volledige controle over het systeem krijgen. Op 24 augustus kwam Cisco met beveiligingsupdates om het probleem te verhelpen. Kwetsbaar Om de kwetsbaarheid aan te vallen moeten ASA-apparaten SNMP hebben ingeschakeld en moet de aanvaller de mogelijkheid hebben om het apparaat via UDP SNMP te bereiken. Ook moet de aanvaller telnet- of ssh-toegang tot het apparaat hebben. Hierdoor is de grootste kans om de aanval uit te voeren vanaf het bedrijfsnetwerk. Bijvoorbeeld van een netwerkgedeelte dat SNMP- en telnet/ssh-toegang tot een kwetsbaar apparaat heeft, zo stelt beveiligingsbedrijf Rapid7. Toch zijn er op internet ook Cisco ASA-apparaten te vinden. Rapid7 besloot dan ook een scan op internet uit te voeren en ontdekte meer dan 50.000 Cisco ASA ssl-vpn-apparaten, waarvan 1310 in Nederland. Vervolgens wilden de onderzoekers kijken hoeveel van deze apparaten niet gepatcht waren. Iets dat kon worden vastgesteld op basis van de uptime. Een apparaat dat sinds het uitkomen van de beveiligingsupdate niet is gereset, is technisch kwetsbaar. Van zo'n 12.000 toestellen bleek het niet mogelijk om de timestamp te achterhalen. Van de ruim 38.000 waarbij dit wel lukte bleek dat slechts 10.000 er sinds het uitkomen van de update opnieuw waren gestart. Dit houdt in dat er ruim 28.000 apparaten technisch kwetsbaar zijn. Daarbij moet worden opgemerkt dat het hier om ASA-apparaten gaat die via internet konden worden gevonden. Het aantal ASA-apparaten dat niet zichtbaar is, is mogelijk nog veel groter, wat mogelijk ook voor het aantal ongepatchte apparaten geldt. bron: security.nl

Mozilla gaat aanpassingen in de manier doorvoeren waarop Firefox met rootcertificaten omgaat, waardoor de browser beter is geschikt voor bedrijven en andere beheerde omgevingen en ouders die het surfgedrag van hun kinderen monitoren. Rootcertificaten spelen een belangrijke rol op internet en zorgen ervoor dat browsers alleen ssl-certificaten accepteren die door vertrouwde certificaatautoriteiten zijn uitgegeven. Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd en browsers maken hier gebruik van. Dat geldt niet voor Firefox, dat over een eigen database met rootcertificaten beschikt. Dit kan een probleem zijn voor bedrijven en organisaties die hun eigen rootcertificaten beheren, bijvoorbeeld om het verkeer van werknemers te kunnen inspecteren of die eigen ssl-certificaten voor interne websites uitgeven. De bedrijven voegen in dit geval hun eigen rootcertificaat toe, zodat de ssl-certificaten die ze zelf uitgeven door de browser worden geaccepteerd. Firefox zal in dit geval een waarschuwing geven, omdat het zoals gezegd over een eigen database met rootcertificaten beschikt en de rootcertificaten van de bedrijven niet herkent. Mozilla heeft nu een feature ontwikkeld waarbij Firefox in de Windows-database kijkt voor certificaatautoriteiten die door de gebruiker of systeembeheerder zijn toegevoegd. Als Firefox een dergelijke certificaatautoriteit tegenkomt zal het voortaan ook van deze partij de ssl-certificaten accepteren als het die op een website tegenkomt. De feature is nu alleen nog aanwezig in een testversie van Firefox 49 en moet handmatig worden ingeschakeld. Door de maatregel moet het volgens Mozilla eenvoudiger worden om Firefox binnen beheerde omgevingen te gebruiken. Ouderlijke toezicht De infrastructuur die Mozilla voor de omgang met certificaatautoriteiten buiten de eigen database ontwikkelde kan ook worden gebruikt voor ouderlijk toezicht, laat Mozilla-engineer David Keeler weten. Via Microsoft Family Safety kunnen ouders het surfgedrag van hun kinderen monitoren, door logs te verzamelen en websites te blokkeren. Onlangs liet Microsoft weten dat deze maatregel alleen met de eigen Edge-browser werkt. Mozilla meldt nu dat de nieuwe functionaliteit in de browser ervoor zorgt dat Microsoft Family Safety straks ook met Firefox werkt. De maatregel zal vanaf Firefox 50 worden ingevoerd. Daardoor krijgen kinderen als ze met Firefox websites bezoeken vanaf een Windows-account dat via Microsoft Family Safety wordt gemonitord geen foutmeldingen meer. bron: security.nl

Excuus pc-vraagje, je vraag is er gewoon bij ingeschoten. Dropbox is een cloudopslag van een bedrijf. Ik ben persoonlijk altijd voorzichtig met het opslaan van gevoelige informatie in dit soort cloud-diensten. Ook al hebben ze allerlei voorwaarden en regels, ik ben wantrouwend en moet er maar van uit gaan dat ze er niet bij kunnen. Daarnaast lees je wel eens dat deze diensten aangevallen worden en gegevens van accounts gestolen zijn. Een van de redenenen dat ik dus niet snel gevoelige documenten daar plaats. Je kunt er in ieder geval voor zorgen dat gevoelige documenten welke je in de cloud op slaat, zelf beveiligd zijn. In Excell en Word is dit eenvoudig te doen. En nogmaals, excuus voor de late reactie.

Indien het probleem zich alleen voor doet wanneer je op de accu zit, zou ik je aanraden even naar je energiebeheer te kijken. Deze kan soms zo ingesteld staan dat de laptop onder accu in een soort van ECO-stand draait. In het energiebeheer is dit aan te passen.

Misschien wil Spotify je muzieksmaak uitbreiden? Even serieus: erg vervelend. Op internet kom je deze melding vaker tegen. Zie bijvoorbeeld hier: https://forum.kpn.com/overige-kpn-diensten-28/spotify-speelt-andere-nummers-af-368086 Maar een echte oplossing zie je niet. Ik zou even kijken wat er in de link beschreven wordt. Tackelt dit niet je probleem, neem dan even contact op met Spotifi-community

Beveiligingsbedrijf Malwarebytes waarschuwt internetgebruikers voor het risico van torrentprogramma's, nadat er voor de tweede keer in korte tijd malware in de torrentsoftware Transmission is aangetroffen. Aanvallers wisten beide keren via de officiële site een besmette versie van Transmission te verspreiden. Hoe de aanvallers toegang wisten te krijgen is nog onbekend. Na het eerste incident in maart zouden de Transmission-ontwikkelaars met uitleg komen, maar die werd nooit gegeven. Ook nu is er een onderzoek aangekondigd en zal er "relevante informatie" worden gedeeld. Volgens Thomas Reed is er gegronde reden om aan de veiligheid van Transmission te twijfelen, aangezien het erop lijkt dat de ontwikkelaars niets van het eerste incident hebben geleerd. Reed richt zich echter niet alleen op Transmission, aangezien alle torrent-applicaties volgens hem een risico vormen. "Elke keer dat je een torrentprogramma start geef je dat programma veel vetrouwen. Een torrentprogramma is niet alleen een downloader, maar ook een server, ontworpen om vreemden van jouw computer te laten downloaden." Reed stelt dat torrent-applicaties dan ook een groot gat in de veiligheid van een computer kunnen zijn als ze verkeerd zijn ingesteld of kwetsbaarheden bevatten die op afstand zijn aan te vallen. Veel hangt af van de kwaliteit van de code. Iets waar Reed in het geval van Transmission weinig vertrouwen meer in heeft. Ook andere torrent-apps zijn niet zonder problemen, aangezien die in sommige gevallen adware op het systeem installeren. Als het om Mac-apps gaat adviseert Reed om altijd de digitale handtekening van de app te controleren. Zo was de besmette versie van Transmission door "Digital Ignition LLC" gesigneerd. Een naam die nergens op de website van Transmission wordt vermeld. In het geval er niet met zekerheid kan worden vastgesteld of een digitale handtekening van de oorspronkelijke ontwikkelaar afkomstig is, doen gebruikers er verstandig aan de app niet te openen en vervolgens het bedrijf te benaderen om bevestiging te vragen, besluit Reed. bron: security.nl

Met de lancering van Chrome 53 blokkeert de browser nu standaard Flash-trackers op websites. De maatregel is onderdeel van een plan om steeds meer Flash-content te blokkeren om gebruikers zo tegen aanvallen te beschermen en websites sneller te laten laden. Volgens Google wordt inmiddels meer dan 90% van alle Flash-content op internet voor het volgen van internetgebruikers en analytics gebruikt. Het blokkeren van deze Flash-content zullen gebruikers dan ook niet direct merken, zo liet de internetgigant vorige maand al weten. De volgende stap in het proces om Flash-content op het web uit te faseren zal in december plaatsvinden. Met Chrome 55 zal voor alle websites standaard html5 worden gebruikt, behalve voor websites die alleen Flash ondersteunen. Voor deze websites krijgen gebruikers een melding te zien of ze Flash willen inschakelen. Updaten naar Chrome 53 zal bij de meeste gebruikers automatisch gebeuren. bron: security.nl

Bij een hack van de populaire muziekdienst Last.fm in 2012 zijn de gegevens van 43 miljoen gebruikers buitgemaakt. Het gaat om gebruikersnamen, e-mailadressen, versleutelde wachtwoorden, registratiedata en wat andere interne gegevens, zo meldt de website LeakedSource. De wachtwoorden waren met het zwakke md5-algoritme gehasht. Er was daarnaast geen salting gebruikt om het kraken van de hashes lastiger te maken. Hierdoor wist LeakedSource 96% van de wachtwoordhashes in 2 uur te kraken. Het wachtwoord 123456 is met 255.000 vermeldingen het populairste wachtwoord, gevolgd door password dat bijna 93.000 keer voorkwam. Het wachtwoord lastfm was door bijna 67.000 mensen ingesteld. Verder bevat de gestolen database 9,3 miljoen Hotmail-adressen, 8,3 miljoen Gmail-adressen en 6,5 miljoen Yahoo-adressen. Uit de registratiedata blijkt dat de website in 2009 en 2010 de meeste nieuwe gebruikers kreeg. In 2012 verscheen al een bestand met 2,5 miljoen wachtwoodhashes online. Uit voorzorg vroeg de website toen aan gebruikers of ze hun wachtwoord wilden wijzigen, maar de hack werd destijds niet door de muziekdienst bevestigd. Eerder deze week werd bekend dat bij een hack van Dropbox in 2012 de gegevens van bijna 69 miljoen gebruikers waren gestolen. bron: security.nl

Google heeft een nieuwe versie van Google Chrome uitgebracht waarin 33 beveiligingslekken zijn gedicht. Via de kwetsbaarheden kon een aanvaller in het ergste geval code in de context van een website uitvoeren, bijvoorbeeld om vertrouwelijke data van andere websites te lezen of aan te passen. Zo was het mogelijk om de adresbalk van de browser te spoofen en zijn er meerdere beveiligingslekken in de ingebouwde pdf-lezer verholpen. Twintig van de kwetsbaarheden werden door externe onderzoekers gemeld, waarvoor Google in totaal 56.500 dollar betaalde. Updaten naar Chrome 53.0.2785.89 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Onderzoekers hebben malware ontdekt die meer dan 1 miljoen Internet of Things-apparaten heeft besmet, zoals digitale videorecorders en ip-camera's, en gebruikt voor het uitvoeren van ddos-aanvallen tegen websites. De malware heeft verschillende namen, zoals Lizkebab, BASHLITE, Torlus en gafgyt. Om kwetsbare apparaten te vinden worden er vanaf geïnfecteerde apparaten poortscans uitgevoerd. Zo wordt er naar Telnet-servers gezocht die op de apparaten actief zijn, om vervolgens via een brute force-aanval hier op in te loggen. De groep achter de malware maakt ook van externe scanners gebruik om kwetsbare apparaten te vinden. Bij deze methode proberen de aanvallers ook via kwetsbaarheden in de apparatuur en ssh op de toestellen in te loggen. Onderzoekers van internetprovider Level 3 ontdekten meer dan 1 miljoen besmette apparaten, voornamelijk in Taiwan, Brazilië en Columbia. Een groot deel van deze apparaten zijn digitale videorecorders van fabrikant Dahua Technology. Van alle apparaten in de ddos-botnets was bijna 96% een Internet of Things-apparaat, waarvan waarvan 95% een ip-camera of digitale videorecorder. Zo'n 4% was een router en minder dan 1% een gehackte Linux-server. "De veiligheid van Internet of Things-apparaten vormt een grote dreiging. Fabrikanten van deze apparaten moeten de veiligheid verbeteren om deze dreiging tegen te gaan", aldus de onderzoekers. Toch kunnen gebruikers maatregelen nemen, zoals het aanpassen van wachtwoorden en gebruik van veiligere protocollen. "Veel Internet of Things-apparaten laten je echter niet instellen welke diensten zijn blootgesteld en sommige gebruiken vaste wachtwoorden die niet zijn te veranderen, waardoor gebruikers weinig opties hebben", merken de onderzoekers verder op. Gezien de problemen verwachten de onderzoekers in de toekomst dan ook meer botnets die uit Internet of Things-apparaten bestaan. bron: security.nl

Adobe heeft een ernstig beveiligingslek in ColdFusion gedicht waardoor aanvallers gevoelige informatie van een webserver kunnen stelen. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn vaker websites en webapplicaties via kwetsbaarheden in ColdFusion gehackt. Hoewel Adobe van een kritieke kwetsbaarheid spreekt heeft de update een "prioriteit 2" gekregen. Het gaat in dit geval om kwetsbaarheden in producten die een verhoogd risico lopen om te worden aangevallen. Op dit moment zijn er volgens Adobe nog geen exploits bekend die van de kwetsbaarheid misbruik maken en worden die ook niet op korte termijn verwacht. Het softwarebedrijf adviseert beheerders en webmasters dan ook om de update voor ColdFusion 10 en ColdFusion 11 binnen 30 dagen te installeren. bron: security.nl

Bij de hack van cloudopslagdienst Dropbox in 2012 zijn de gegevens van zo'n 69 miljoen gebruikers gestolen, zo blijkt uit bestanden die op internet zijn verschenen. Het gaat om wachtwoordhashes en e-mailadressen. Dropbox bevestigde het beveiligingsincident al in 2012. Destijds werd echter niet bekendgemaakt om hoeveel accounts het ging. Via de website Leakbase ontving Vice Magazine een bestand met de gegevens van bijna 69 miljoen accounts. Zo'n 32 miljoen daarvan zijn met het sterke algoritme bcrypt gehasht. De overige wachtwoordhashes maken gebruik van het sha-1-algoritme. Alle wachtwoorden werden eerst gesalt voordat ze werden gehasht. In dit geval wordt er een reeks karakters aan het wachtwoord van de gebruiker toegevoegd, wat het lastiger moet maken om de hash te kraken. Vorige week besloot Dropbox dat gebruikers die voor halverwege 2012 hun Dropbox-account hadden aangemaakt hun wachtwoord moesten resetten. Daarbij werd ook naar de hack van 2012 verwezen. Dropbox kon in 2012 worden gehackt doordat een werknemer het wachtwoord van zijn werkaccount op een andere website gebruikte die werd gehackt. Update "Dit is geen nieuw beveiligingsincident, en er zijn geen aanwijzingen dat accounts van Dropboxgebruikers met deze gegevens zijn benaderd", zegt Patrick Heim van Dropbox in een reactie tegenover Security.NL. Heim meldt dat de wachtwoordreset die vorige week werd uitgevoerd alle getroffen gebruikers omvat. Hierdoor lopen Dropbox-accounts geen risico meer. Wel adviseert Heim aan gebruikers die hetzelfde wachtwoord ergens anders gebruikten daar een nieuw en uniek wachtwoord in te stellen. Inmiddels heeft ook beveiligingsonderzoeker Troy Hunt de omvang van de datadiefstal bevestigd. bron: security.nl

Onderzoekers hebben een Trojaans paard ontdekt dat op besmette systemen een nepversie van Google Chrome installeert die advertenties op bezochte sites vervangt. Om gebruikers niets te laten vermoeden worden snelkoppelingen aangepast en het gebruikersprofiel naar de nieuwe browser gekopieerd. Dat laat het Russische anti-virusbedrijf Doctor Web weten. Het gaat om de Mutabaha Trojan, die volgens de onderzoekers opvalt omdat die de UAC-beveiligingsfunctie van Windows omzeilt. UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Het is echter mogelijk UAC te omzeilen. Hiervoor gebruikt de malware een recent gepubliceerde methode waarbij het Windows Register wordt aangepast. Eenmaal actief downloadt het Trojaanse paard de nepversie van Chrome genaamd Outfire. Vervolgens wordt het gebruikersprofiel uit Chrome gekopieerd en aanwezige snelkoppelingen aangepast. Als laatste controleert de malware of er geen andere nepbrowsers op het systeem actief zijn. Is dit het geval, dan worden die verwijderd. De malafide browser laat een startpagina zien die niet door gebruiker is aan te passen. Tevens bevat het een extensie die advertenties op bezochte websites vervangt en gebruikt het een eigen zoekmachine. bron: security.nl

Onderzoekers van de Ben-Gurion Universiteit in Israël hebben een manier gedemonstreerd waardoor malware gevoelige gegevens van een niet met internet verbonden computer via de elektromagnetische straling van een usb-stick of ander usb-apparaat kan stelen. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, harde schijf, ventilatoren, afgegeven warmte en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. Dit keer lieten de onderzoekers zich door de Amerikaanse geheime dienst NSA inspireren. Uit gelekte documenten blijkt dat de NSA speciaal geprepareerde usb-connectoren met een radiozender in apparaten implementeerde, om zo gegevens van offline computers te achterhalen. De Israëlische onderzoekers ontwikkelden een oplossing genaamd USBee (pdf) die standaard usb-apparaten als zender kan gebruiken, zonder dat de hardware van tevoren moet worden aangepast. De USBee-software kan elektromagnetische straling via de databus van de usb-connector genereren om zo binaire data uit te zenden. Een aanvaller of een besmette smartphone op een paar meter afstand kan deze gemoduleerde datastroom opvangen. Het kan dan bijvoorbeeld om wachtwoorden of encryptiesleutels gaan. Volgens de onderzoekers is het mogelijk om op deze manier 20 tot 80 bytes per seconde te versturen. Voor het uitvoeren van de aanval moet de offline computer wel eerst zijn geïnfecteerd. Om dergelijke aanvallen te detecteren of te voorkomen suggereren de onderzoekers het gebruik van speciale zones voor gevoelige systemen waar andere elektronische apparatuur niet is toegestaan. Een andere mogelijkheid is een software-gebaseerde aanpak waarbij de i/o-operatie van een proces op specifieke patronen wordt gemonitord, of het afschermen van usb-apparaten zodat elektromagnetische straling wordt opgevangen. bron: security.nl

Een Britse onderzoeker heeft een manier ontdekt om via de inlogpagina van Google gebruikers willekeurige bestanden, zoals malware te laten downloaden, of ze naar willekeurige websites zoals een phishingpagina door te sturen. Google is echter niet van plan om het probleem op te lossen. Volgens onderzoeker Aidan Woods accepteert de inlogpagina van Google een kwetsbare GET-parameter genaamd "continue=[link]". De enige vereiste die aan deze parameter wordt gesteld is dat de opgegeven link naar een subdomein op Google.com wijst. Het soort opgegeven Google-dienst wordt echter niet gecontroleerd. Zo is het bijvoorbeeld mogelijk om een bestand op Google Drive in de parameter te specificeren die de gebruiker automatisch downloadt. De gebruiker moet in dit geval nog wel zelf het bestand uitvoeren. Een andere mogelijkheid is het gebruik van een 'open redirect', waarbij een gebruiker na het inloggen naar een andere website wordt doorgestuurd, bijvoorbeeld een phishingpagina die stelt dat de vorige inlogpoging niet succesvol was. Om de aanval te misbruiken zou een aanvaller naar een doelwit een link naar de echte Google-inlogpagina moeten sturen, voorzien van een kwaadaardige parameter. De gebruiker zit in dit geval op de echte Google-pagina, maar zal na het inloggen worden doorgestuurd of bij het openen van de inloglink een bestand downloaden. In het geval van de download blijft de gebruiker op de Google-inlogpagina, aldus Woods. De gebruiker zou zo kunnen denken dat het om een bestand van Google zelf gaat. In een reactie stelt Google dat het hier een phishingaanval betreft en het maatregelen heeft om dit soort aanvallen te detecteren en het gebruikers hier ook voor waarschuwt. Volgens Google is er dan ook geen sprake van een beveiligingslek dat moet worden opgelost. bron: security.nl

Microsoft waarschuwt Office-gebruikers voor een nieuwe aanval waarbij aanvallers de proxy-instellingen via een kwaadaardig docx-bestand proberen aan te passen. Door de proxy-instellingen te veranderen kunnen de aanvallers het verkeer van de gebruiker monitoren en manipuleren. Zo is het bijvoorbeeld mogelijk om wachtwoorden of andere vertrouwelijke gegevens te onderscheppen. De aanval begint met een bevestigingsmail van een bestelling. Als bijlage is er een docx-bestand meegestuurd. Het document bevat een embedded OLE-object. Een OLE-object kan bijvoorbeeld een script zijn dat aan de tekst wordt toegevoegd. Zodra gebruikers op het object klikken wordt gevraagd of ze het script willen uitvoeren. Het script kan vervolgens malware op de computer installeren of andere acties uitvoeren. In het geval van de nu waargenomen aanval worden via het script de proxy-instellingen in het Windows Register aangepast en een eigen certificaat geïnstalleerd. Dit certificaat laat de aanvallers ook via https versleuteld verkeer inspecteren. Verder wordt er voor Firefox een apart certificaat geïnstalleerd, aangezien Firefox niet de certificaatdatabase van Windows gebruikt, maar een eigen systeem. Om gebruikers te beschermen adviseert Microsoft om alleen berichten van vertrouwde afzenders en websites te openen. Daarnaast kan het Windows Register worden aangepast om te voorkomen dat OLE-objecten in documenten worden uitgevoerd. bron: security.nl