Captain Kirk

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat de volledige harde schijf versleutelt, alsmede alle bestanden op aangesloten netwerkschijven. Daarnaast overschrijft deze ransomware ook de Master Boot Record (MBR) van de harde schijf, waardoor het systeem niet meer start. HDDCryptor, zoals de ransomware wordt genoemd, kan via kwaadaardige websites of al aanwezige malware op de computer worden verspreid. Eenmaal actief zoekt de ransomware naar aangesloten netwerkschijven en versleutelt alle bestanden op deze schijven. Ook zoekt het naar netwerkschijven waar eerder verbinding mee is gemaakt. Via het programma netpass.exe probeert het de inloggegevens voor deze schijven te stelen, zodat het vervolgens zelf toegang kan krijgen en de aanwezige bestanden kan versleutelen. Netpass is een freeware-programma voor het achterhalen van netwerkwachtwoorden. De versleuteling van de harde schijf vindt plaats via DiskCryptor, een opensourceversleutelingsprogramma. Via deze software wordt ook de MBR van de harde schijf overschreven. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf. Het is essentieel voor de computer om te kunnen starten. Slachtoffers kunnen het systeem dan ook niet meer starten. Om slachtoffers toch instructies te geven hoe ze het losgeld voor het ontsleutelen kunnen betalen voegt de ransomware een aangepaste bootloader toe. Zodra de computer wordt gestart toont deze bootloader de instructies. Volgens het Japanse anti-virusbedrijf Trend Micro maakt de ransomware op alle besmette systemen van hetzelfde malware-id gebruik, wat suggereert dat er één decryptiesleutel is om alle systemen te ontsleutelen. Deze decryptiesleutel is echter nog niet achterhaald. bron: security.nl

Opera gaat in de nieuwste versie van de browser langere wachtwoorden voor Sync-gebruikers verplichten. De browserontwikkelaar biedt Opera-gebruikers die een account aanmaken via "Sync" de mogelijkheid om hun gegevens in de browser met andere apparaten te synchroniseren. Het gaat dan om gebruikersnamen, wachtwoorden, bookmarks en surfgeschiedenis. Onlangs werd bekend dat de Sync-server van Opera was gehackt, waarbij aanvallers mogelijk toegang tot gebruikersnamen en wachtwoorden van 1,7 miljoen Sync-gebruikers hadden gekregen. Uit voorzorg besloot Opera van alle gebruikers met een Sync-account het wachtwoord te resetten. In Opera 40 is de karakterlimiet voor wachtwoorden verlengd. Nieuwe Sync-gebruikers zullen straks een wachtwoord van minimaal 12 karakters moeten kiezen, zo blijkt uit een omschrijving van de testversie van Opera 40. De uiteindelijke versie van Opera 40 wordt volgende week verwacht. bron: security.nl

Het zero day-lek in Internet Explorer en Edge dat Microsoft dinsdag patchte blijkt al sinds 2014 te zijn gebruikt bij het infecteren van internetgebruikers via besmette advertenties. De kwetsbaarheid laat een aanvaller informatie over het systeem achterhalen en werd vorig jaar voor het eerst gerapporteerd. Beveiligingsbedrijven Trend Micro en Proofpoint rapporteerden de kwetsbaarheid dit jaar aan Microsoft, waarop het beveiligingslek door de softwaregigant werd opgepakt. Verder onderzoek wees uit dat het beveiligingslek door twee groepen cybercriminelen werd gebruikt. Deze groepen maakten gebruik van besmette advertenties om internetgebruikers met malware te infecteren. Voordat de daadwerkelijke infectie plaatsvond, bijvoorbeeld via een kwetsbaarheid in Adobe Flash Player of Internet Explorer, werd het informatielek in Microsofts browsers gebruikt om informatie over het aangevallen systeem te verzamelen. Zo konden de aanvallers bepalen of het aangevallen systeem van een onderzoeker of een geautomatiseerd systeem van een beveiligingsbedrijf was. Was dit het geval, dan werden deze systemen niet geïnfecteerd. De aanvallers konden op deze manier langere tijd onopgemerkt te werk gaan. "Aanvallers maken steeds vaker gebruik van niet-ernstige kwetsbaarheden die maanden of jaren ongepatcht blijven. In dit geval gebruikten de aanvallers een specifieke kwetsbaarheid om detectie door onderzoekers en geautomatiseerde systemen te voorkomen, ook al waren ze met een grootschalige campagne van besmette advertenties bezig", zegt onderzoeker Kafeine van beveiligingsbedrijf Proofpoint. Hij stelt dat softwareleveranciers, organisaties en gebruikers meer aandacht voor patching moeten hebben en onderzoekers naar nieuwe methodes moeten kijken om kwaadaardige activiteiten op internet te ontdekken. bron: security.nl

Microsoft heeft van 6,8 miljoen Windowscomputers een programma verwijderd dat allerlei aanpassingen aan de browser maakt en advertenties laat zien waardoor websites trager laden. De software wordt "Prifou" genoemd, wat een afkorting is voor PriceFountain, en heeft het tonen van advertenties als doel. Prifou wordt vooral verspreid via softwarebundels. Het gaat dan om een installatieprogramma of bundel die naast het gewenste programma ook allerlei aanvullende software installeert. Eerdere versies van Prifou installeerden zichzelf als browser-extensie, maar de nieuwste versie injecteert zichzelf direct in het browserproces. Het kan dit zowel bij Internet Explorer als Firefox doen. Vervolgens laat Prifou allerlei advertenties zien, gebaseerd op zaken waar de gebruiker naar zoekt of shopt. Iets wat het laden van websites vertraagt, aldus Microsoft. De afgelopen twee maanden werd de browserkaper op 6,8 miljoen computers wereldwijd door de softwaregigant aangetroffen. Als onderdeel van een initiatief tegen ongewenste software, zoals browserkapers en toolbars, worden dit soort programma's nu ook door Microsoft verwijderd. De softwaregigant doet dit via de Malicious Software Removal Tool (MSRT), de in Windows ingebouwde virusverwijdertool. Tijdens het installeren van de maandelijkse Windowsupdates wordt ook de MSRT met nieuwe definities bijgewerkt en scant vervolgens de computer op kwaadaardige en ongewenste software. Gisteren heeft Microsoft een update uitgerold zodat de MSRT ook Prifou kan detecteren en verwijderen. bron: security.nl

Door verschillende kwetsbaarheden aan elkaar te koppelen is het mogelijk om gebruikers van Tor Browser met malware te infecteren, ongeacht welk platform ze gebruiken, zo claimt een beveiligingsonderzoeker genaamd "movrcx". De aanval zou zowel door een staat als de beheerder van een Tor-exitserver zijn uit te voeren, maar is niet eenvoudig, aangezien er een geldig of gespooft certificaat voor addons.mozilla.org is vereist. Daarnaast moet de aanvaller voldoende Tor-exitservers beheren. Ook dit is volgens de onderzoeker niet ondenkbaar. Het privacynetwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor Browser-gebruikers verwerken. Dit verkeer loopt via meerdere servers om de identiteit van de gebruiker te maskeren. Zo is de eerste server de "entry guard", die het verzoek van de Tor-gebruiker naar de "relay node" doorstuurt. Vervolgens gaat het van deze server naar de "exit-node", die het verzoek naar het internet stuurt. Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller kan met het eerder verkregen certificaat het updateverkeer van de NoScript-extensie in Tor Browser naar addons.mozilla.org onderscheppen. Vervolgens stuurt de aanvaller een kwaadaardige extensie terug die vervolgens zonder interactie van gebruikers wordt geïnstalleerd. De kern van het probleem is volgens de onderzoeker dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Als het certificaat door een certificaatautoriteit is uitgegeven die niet op de whitelist staat geeft de browser een waarschuwing. Google Chrome ondersteunde deze maatregel als eerste en zorgde er zo voor dat de aanval op DigiNotar in de openbaarheid kwam. Volgens de onderzoeker kan een aanvaller die over voldoende middelen beschikt via de door hem geschetste methode alle Tor Browser-gebruikers infecteren. Naar eigen zeggen is het onderzoek naar de aanvalsmethode nog in volle gang, maar heeft hij besloten nu al in de openbaarheid te treden zodat er snel een oplossing kan worden uitgerold. bron: security.nl

Microsoft gaat vanaf volgende maand onveilige versies van Adobe Flash Player in Internet Explorer 11 blokkeren, net zoals Apple met Safari doet. De maatregel gaat gelden voor gebruikers van Windows 7 SP1 en Windows Server 2008 R2, aangezien deze gebruikers Flash-updates zelf moeten installeren. Op Windows 8.1 en Windows 10 wordt de embedded Flash Player in Internet Explorer 11 namelijk automatisch door Microsoft bijgewerkt. IE11-gebruikers die vanaf 11 oktober een website bezoeken die een oudere versie van Flash Player op de computer aanroept krijgen een waarschuwing te zien dat Flash Player is geblokkeerd en moet worden bijgewerkt, zo laat Microsoft weten. De implementatie van de softwaregigant is echter zeer beperkt. IE zal namelijk één keer per tab-proces voor de verouderde Flash Player-versies waarschuwen. Alle volgende aanroepen worden toegestaan. Tevens krijgen gebruikers die geen lid van de Local Administrators-groep op de computer zijn de waarschuwingen niet te zien. Een ander zeer belangrijk punt is dat de blokkade alleen voor Flash Player-versies ouder dan versie 21.0.0.198 gaat gelden. Inmiddels is Flash Player versie 23.0.0.162 de meest recente versie en zijn in de versies hiervoor allerlei kwetsbaarheden aangetroffen. De blokkade stopt daarnaast op 10 november van dit jaar. bron: security.nl

De Belgische politie heeft op de eigen website gewaarschuwd voor de manier waarop Google allerlei gegevens over gebruikers verzamelt, aangezien de internetgigant dit op "verdoken wijze" doet. Volgens de waarschuwing komt Google via Androidtelefoons en -tablets veel over mensen te weten. Om de verzameldrift te beteugelen wijst de Belgische politie daarom naar een nieuwe optie van Google-accounts genaamd "mijn activiteit". Hiermee krijgen gebruikers inzicht in welke gegevens Google over hen heeft verzameld en kunnen privacyinstellingen worden aangepast. "En u zou wel eens zeer verrast kunnen zijn over de hoeveelheid verzamelde informatie", aldus de Belgische politie. Die wijst erop dat gebruikers hun gegevens kunnen wissen en de registratie van activiteiten kunnen blokkeren. bron: security.nl

Tijdens de patchronde van september heeft Microsoft bijna 50 beveiligingslekken in Internet Explorer, Edge, Windows, Silverlight, Office en Exchange verholpen waardoor een aanvaller in het ergste geval kwetsbare systemen volledig kon overnemen. Interactie van gebruikers was hierbij nauwelijks vereist. In totaal verschenen er 13 updates waarvan er 6 als ernstig zijn aangemerkt. De overige 7 patches zijn met de beoordeling "belangrijk" lager ingeschaald. Twee van de kwetsbaarheden zijn zogeheten "zero days", beveiligingslekken die al voor het verschijnen van de beveiligingsupdate bekend waren of werden aangevallen. Een beveiligingslek in zowel Internet Explorer als Microsoft Edge werd actief aangevallen en liet aanvallers informatie uit de browser stelen. Om wat voor gegevens het precies gaat laat Microsoft niet weten. Daarnaast was er een andere kwetsbaarheid in Windows waardoor een aanvaller ook informatie kon achterhalen. Dit beveiligingslek was al voor het verschijnen van de update openbaar gemaakt, maar is volgens Microsoft niet aangevallen. De meeste kwetsbaarheden werden deze maand in Microsoft Office gedicht, het ging in totaal om 13 kwetsbaarheden. Edge en Internet Explorer volgende met respectievelijk 12 en 10 beveiligingslekken, hoewel beide browsers verschillende kwetsbaarheden gemeen hebben. Verder is er ook een rechtenlek in Windows verholpen waardoor een aanvaller met fysieke toegang tot een computer via het vergrendelscherm zijn rechten kon verhogen. Om dit beveiligingslek te misbruiken moest een aanvaller de computer met een kwaadaardige wifi-hotspot laten verbinden of een mobiele breedband-adapter aansluiten. Vervolgens was het mogelijk om code op de vergrendelde computer uit te voeren. De beveiligingsupdates zullen op de meeste computers automatisch worden geïnstalleerd. bron: security.nl

Mozilla heeft bij Firefoxgebruikers oudere versies van de adblocker Stop Ads geblokkeerd, aangezien de browseruitbreiding de volledige surfgeschiedenis naar een derde partij doorstuurde. Stop Ads blokkeert net als andere adblockers advertenties, pop-ups en trackers. Versie 0.0.4 en eerder stuurden echter ook alle bezochte url's naar een derde partij door, terwijl dit helemaal niet nodig was voor de werking van de browseruitbreiding. Aanleiding voor Mozilla om in te grijpen. De opensourceontwikkelaar beschikt over de mogelijkheid om add-ons die voor problemen zorgen op afstand te blokkeren. Firefoxgebruikers hebben echter wel de keuze om de add-on weer in te schakelen. Inmiddels is er een nieuwe versie van de adblocker uitgekomen die niet wordt geblokkeerd. Stop Ads heeft ruim 56.000 gebruikers. bron: security.nl

Op internet zijn verschillende websites te vinden die documenten naar een ander formaat omzetten, zoals pdf naar doc, maar dit is niet zonder risico. Daarvoor waarschuwt Rob VandenBrink, handler bij het Internet Storm Center. VandenBrink kreeg het verzoek van zijn vrouw om een pdf-document naar een docx-bestand om te zetten. Op internet kwam hij meerdere gratis "converters" tegen die dit konden doen. Drie van de vijf converters die werden getest bleken kwaadaardige code aan het document toe te voegen, namelijk een exploit van de Angler-exploitkit. Angler is een exploitkit die de afgelopen jaren zeer populair was. In juni werden de ontwikkelaars echter opgepakt. Welke exploit aan het document werd toegevoegd laat VandenBrink niet weten. Angler maakte misbruik van kwetsbaarheden in Adobe Flash Player, Internet Explorer en Microsoft Silverlight. Hoewel gebruikers vooral werden aangevallen via gehackte websites en besmette advertenties, is het ook mogelijk om een kwaadaardig Flash-object aan een Office-document toe te voegen. Het openen van dit document op een computer met een kwetsbare Flash Player-versie zorgt er voor dat er stilletjes malware wordt geïnstalleerd. Welke websites de exploitcode toevoegen laat VandenBrink ook niet weten. Wel waarschuwt hij voor gratis diensten op het web. "Als het gratis is, ben jij het product". bron: security.nl

Een beveiligingsbedrijf heeft de versleutelingssoftware VeraCrypt geaudit en zal de resultaten binnenkort openbaar maken, als de ontwikkelaars van de encryptiesoftware de tijd hebben gehad om alle gevonden problemen te verhelpen. Dat laat het Open Source Technology Improvement Fund (OSTIF) weten. VeraCrypt is een opensourceprogramma waar gebruikers bestanden, usb-sticks, externe harde schijven en zelfs complete systemen mee kunnen versleutelen. Het is gebaseerd op het bekende versleutelingsprogramma TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wil het OSTIF hier verandering in brengen. Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten. Het gaat bijvoorbeeld om beloningsprogramma's voor het melden van kwetsbaarheden, het financieren van codeverbeteringen en het laten uitvoeren van audits. De audit van VeraCrypt werd door beveiligingsbedrijf QuarksLab uitgevoerd en heeft ruim drie weken in beslag genomen. De ontwikkelaars van VeraCrypt hebben de voorlopige bevindingen inmiddels ontvangen, terwijl het auditrapport nu verder wordt afgerond. "Om ervoor te zorgen dat het publiek zo veilig als mogelijk is, zal het auditrapport pas verschijnen als alle bugs zijn verholpen. Deze vertraging moet ervoor zorgen dat een nieuwe versie van de software gelijktijdig met de publicatie van de auditresultaten beschikbaar is", zo laat het OSTIF weten. De resultaten zullen tegelijkertijd op de website van VeraCrypt, het OSTIF en QuarksLab worden gepubliceerd. bron: security.nl

Een backdoor in kabelmodems van fabrikant Arris wordt gebruikt door een worm, die besmette toestellen vervolgens inzet voor het uitvoeren van ddos-aanvallen tegen websites en webdiensten. Al verschillende jaren waarschuwen onderzoekers voor backdoor-accounts in Arris-kabelmodems. Eén van deze onderzoekers is Bernardo Rodrigues die eind vorig jaar een backdoor in 600.000 via internet toegankelijke Arris-kabelmodems aantoonde. Destijds besloot Rodrigues geen "proof-of-concept" vrij te geven, uit angst dat een worm hier mogelijk misbruik van zou maken. Die angst was gerechtvaardigd, want sinds mei van dit jaar is er een worm actief die kwetsbare Arris-kabelmodems in verschillende fases infecteert. Tijdens de eerste fase wordt de remote toegang tot de kabelmodem beperkt. "Dit is een zeer interessante aanpak, omdat ze snel het internet kunnen scannen en externe toegang tot deze toestellen kunnen blokkeren om ze vervolgens met de uiteindelijke malware te infecteren", zegt Rodriques. Deze uiteindelijke malware maakt de modem onderdeel van een ddos-botnet. Tijdens zijn presentatie vorig jaar waren er meer dan 600.000 kwetsbare Arris-kabelmodems op internet te vinden, waarvan er bij 490.000 telnet was ingeschakeld. Inmiddels is dat aantal naar 35.000 gedaald. De onderzoeker vraagt zich af hoeveel van de niet meer zichtbare apparaten door de malware zijn besmet, waarna de externe toegang is beperkt. "Het grote aantal Linux-apparaten met een beheerdersinterface die via internet toegankelijk is, het gebruik van zelfgemaakte backdoors, het gebrek aan firmware-updates en het gemak waarmee Internet of Things-exploits zijn te maken maakt deze apparaten een eenvoudig doelwit voor internetcriminelen", stelt Rodriques. Hij waarschuwt dat Internet of Things-botnets dan ook een probleem aan het worden zijn en fabrikanten veiligere producten moeten ontwikkelen, internetproviders updates moeten uitrollen en eindgebruikers hun eigen apparatuur moeten patchen. In het geval van de Arris-worm kan die worden verwijderd door de kabelmodem te resetten, aangezien de worm een reboot niet overleeft. bron: security.nl

Het Tor Project heeft alarm geslagen wegens nieuw beleid dat binnenkort van kracht wordt en de FBI de bevoegdheid geeft om wereldwijd computers te hacken. Het gaat om aanpassingen aan "Rule 41", die zonder ingrijpen van het congres automatisch op 1 december van kracht worden. De aanpassingen zorgen ervoor dat een rechter straks de FBI een bevel kan geven om elektronische media te verzamelen die zich buiten het district van de rechter bevindt of binnen het gerechtelijk district als de locatie "via technologische middelen" is verborgen. "Bijvoorbeeld als iemand Tor gebruikt", laat 'Ailanthus' van het Tor Project weten. De nieuwe regels zouden ook voor mensen gelden die van het Tor-anonimiseringsnetwerk gebruikmaken, zoals journalisten en mensenrechtenactivisten. Volgens Ailanthus mag de FBI straks op afstand iemands telefoon of computer hacken en doorzoeken, alsmede hun data verwijderen. Ook zal de Amerikaanse opsporingsdienst computers met malware mogen infecteren. "En zal het kwetsbaarheden creëren waardoor gebruikers risico lopen", gaat de Tor Project-medewerker verder. Al deze belangrijke veranderingen worden buiten de controle van het congres om doorgevoerd. De Amerikaanse Senator Ron Wyden heeft zich nu tegen Rule 41 uitgesproken en een voorstel gedaan om de komende aanpassingen terug te draaien. Het Tor Project roept Amerikanen dan ook op om de senator van hun staat te benaderen en te vragen of ze het "Stop Mass Hacking" wetsvoorstel van Wyden willen steunen. Eerder stuurden ook al meer dan 50 Amerikaanse techbedrijven en organisaties een brief naar het congres om de aanpassingen van Rule 41 te stoppen. bron: security.nl

Een beveiligingsonderzoeker heeft besloten een ernstig beveiligingslek in Oracle MySQL-server openbaar te maken, aangezien Oracle pas over een maand met een beveiligingsupdate komt en andere aanbieders van databasemanagementsystemen inmiddels wel beveiligingsupdates hebben uitgebracht. Volgens onderzoeker David Golunski kan een aanvaller via de kwetsbaarheid op afstand kwaadaardige instellingen in de MySQL-configuratiebestanden doorvoeren. Vervolgens zou het mogelijk zijn om willekeurige code met rootrechten uit te voeren en zo de server volledig over te nemen. Zowel op Hacker News als Reddit is er discussie over de impact van de kwetsbaarheid ontstaan. Een aanvaller moet namelijk toegang tot MySQL hebben en queries moeten kunnen uitvoeren. Daarnaast zijn er ook andere voorwaarden. Het lijkt vooral een probleem in shared hosting-omgevingen te zijn. Lucb1e laat op Hacker News weten dat de kwetsbaarheid gebruikers die op een MySQL-server queries kunnen uitvoeren, oftewel door legitieme toegang in het geval van bijvoorbeeld shared hosting, of via een sql-injectie-kwetsbaarheid, willekeurige opdrachten kunnen uitvoeren waardoor de server kan worden overgenomen. Golunski waarschuwde Oracle en de ontwikkelaars van MariaDB en PerconaDB op 29 juli. Eind augustus hadden zowel MariaDB als PerconaDB het beveiligingslek in hun software gepatcht. Aangezien Oracle pas op 18 oktober met een update komt, en de details over de updates voor MariaDB en PerconaDB beschikbaar zijn, besloot Golunski tot publicatie over te gaan zodat beheerders maatregelen kunnen nemen. bron: security.nl

Is goed. Heb je toch nog een vraag, je weet ons te vinden

Het gebruik van Excel-, Word- en PowerPoint-bestanden om malware te verspreiden is al geruime tijd bekend, maar nu blijken internetcriminelen ook .pub-bestanden in te zetten. Dit zijn bestanden die door Microsoft Publisher worden gebruikt. Publisher is een onderdeel van Microsoft Office. Net als de andere Office-applicaties ondersteunt ook Publisher macro's. De nu waargenomen Publisher-bestanden bevatten een kwaadaardige macro die malware probeert te installeren, zo melden Xavier Mertens, handler bij het Internet Storm Center, en de website My Online Security. De e-mail met het document heeft als onderwerp "ExxonMobile Introduction Letter" en als bijlage "Letter of Invitation.pub". Het bericht zou zogenaamd van de ceo van ExxonMobile afkomstig zijn. In het geval gebruikers de macro's inschakelen kan er malware voor internetbankieren of ransomware worden geïnstalleerd "Door het gebruik van .pub-bestanden hebben aanvallers een voordeel omdat potentiële slachtoffers de extensie .pub niet kennen. Het kan ook als "public" of "publicity" worden geïnterpreteerd, wat het document minder verdacht maakt", aldus Mertens. Hij merkt op dat spamfilters dit soort extensie niet blokkeren en veel beveiligingsonderzoekers in hun testomgevingen voor het analyseren van malware standaard geen Publisher hebben geïnstalleerd. "Daardoor is het onmogelijk om het exemplaar te analyseren", zo laat de onderzoeker weten. Van de 54 virusscanners op VirusTotal wisten 8 het kwaadaardige document te herkennen. bron: security.nl

Onderzoekers hebben een nieuw botnet van 12.000 routers ontdekt dat gebruikt wordt voor het uitvoeren van ddos-aanvallen tegen websites. De helft van de gehackte routers is gemaakt door de Chinese netwerkfabrikant Huawei, gevolgd door 2100 gehackte routers van MikroTik die op RouterOS draaien. Daarnaast werden er tussen de gehackte routers ook modellen van Dell, VodaFone, Netgear, Ubiquiti en Cisco gevonden. Het grootste deel van de gehackte routers bevindt zich in Spanje (45%), gevolgd door Latijns- en Zuid-Amerika (37%). Hoe de routers konden worden gehackt kan beveiligingsbedrijf Sucuri niet precies zeggen. Wel worden er regelmatig kwetsbaarheden in de apparaten ontdekt. Uit verder onderzoek bleek dat veel van de routers niet waren gepatcht. Daarnaast wordt niet uitgesloten dat veel van de routers via zwakke of standaardwachtwoorden zijn overgenomen. bron: security.nl

Ondanks het verschijnen van een beveiligingsupdate van Cisco zijn nog altijd tienduizenden apparaten van de netwerkgigant kwetsbaar voor een onlangs ontdekte aanval van de NSA. Het gaat om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait. Dergelijke apparatuur wordt vooral door bedrijven, overheidsinstellingen en organisaties gebruikt. Een persoon of groep die zichzelf Shadow Brokers noemt publiceerde halverwege augustus een verzameling van tools, exploits en malware van een spionagegroep genaamd de Equation Group. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om malware en tools van de Amerikaanse inlichtingendienst NSA gaat. Eén van de exploits, genaamd EXTRABACON, richt zich op de Cisco ASA-software en maakt gebruik van een kwetsbaarheid waarvoor op het moment van de ontdekking nog geen patch bestond. Via de exploit, die op afstand is uit te voeren, kan een aanvaller door het versturen van een SNMP-pakket volledige controle over het systeem krijgen. Op 24 augustus kwam Cisco met beveiligingsupdates om het probleem te verhelpen. Kwetsbaar Om de kwetsbaarheid aan te vallen moeten ASA-apparaten SNMP hebben ingeschakeld en moet de aanvaller de mogelijkheid hebben om het apparaat via UDP SNMP te bereiken. Ook moet de aanvaller telnet- of ssh-toegang tot het apparaat hebben. Hierdoor is de grootste kans om de aanval uit te voeren vanaf het bedrijfsnetwerk. Bijvoorbeeld van een netwerkgedeelte dat SNMP- en telnet/ssh-toegang tot een kwetsbaar apparaat heeft, zo stelt beveiligingsbedrijf Rapid7. Toch zijn er op internet ook Cisco ASA-apparaten te vinden. Rapid7 besloot dan ook een scan op internet uit te voeren en ontdekte meer dan 50.000 Cisco ASA ssl-vpn-apparaten, waarvan 1310 in Nederland. Vervolgens wilden de onderzoekers kijken hoeveel van deze apparaten niet gepatcht waren. Iets dat kon worden vastgesteld op basis van de uptime. Een apparaat dat sinds het uitkomen van de beveiligingsupdate niet is gereset, is technisch kwetsbaar. Van zo'n 12.000 toestellen bleek het niet mogelijk om de timestamp te achterhalen. Van de ruim 38.000 waarbij dit wel lukte bleek dat slechts 10.000 er sinds het uitkomen van de update opnieuw waren gestart. Dit houdt in dat er ruim 28.000 apparaten technisch kwetsbaar zijn. Daarbij moet worden opgemerkt dat het hier om ASA-apparaten gaat die via internet konden worden gevonden. Het aantal ASA-apparaten dat niet zichtbaar is, is mogelijk nog veel groter, wat mogelijk ook voor het aantal ongepatchte apparaten geldt. bron: security.nl

Mozilla gaat aanpassingen in de manier doorvoeren waarop Firefox met rootcertificaten omgaat, waardoor de browser beter is geschikt voor bedrijven en andere beheerde omgevingen en ouders die het surfgedrag van hun kinderen monitoren. Rootcertificaten spelen een belangrijke rol op internet en zorgen ervoor dat browsers alleen ssl-certificaten accepteren die door vertrouwde certificaatautoriteiten zijn uitgegeven. Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd en browsers maken hier gebruik van. Dat geldt niet voor Firefox, dat over een eigen database met rootcertificaten beschikt. Dit kan een probleem zijn voor bedrijven en organisaties die hun eigen rootcertificaten beheren, bijvoorbeeld om het verkeer van werknemers te kunnen inspecteren of die eigen ssl-certificaten voor interne websites uitgeven. De bedrijven voegen in dit geval hun eigen rootcertificaat toe, zodat de ssl-certificaten die ze zelf uitgeven door de browser worden geaccepteerd. Firefox zal in dit geval een waarschuwing geven, omdat het zoals gezegd over een eigen database met rootcertificaten beschikt en de rootcertificaten van de bedrijven niet herkent. Mozilla heeft nu een feature ontwikkeld waarbij Firefox in de Windows-database kijkt voor certificaatautoriteiten die door de gebruiker of systeembeheerder zijn toegevoegd. Als Firefox een dergelijke certificaatautoriteit tegenkomt zal het voortaan ook van deze partij de ssl-certificaten accepteren als het die op een website tegenkomt. De feature is nu alleen nog aanwezig in een testversie van Firefox 49 en moet handmatig worden ingeschakeld. Door de maatregel moet het volgens Mozilla eenvoudiger worden om Firefox binnen beheerde omgevingen te gebruiken. Ouderlijke toezicht De infrastructuur die Mozilla voor de omgang met certificaatautoriteiten buiten de eigen database ontwikkelde kan ook worden gebruikt voor ouderlijk toezicht, laat Mozilla-engineer David Keeler weten. Via Microsoft Family Safety kunnen ouders het surfgedrag van hun kinderen monitoren, door logs te verzamelen en websites te blokkeren. Onlangs liet Microsoft weten dat deze maatregel alleen met de eigen Edge-browser werkt. Mozilla meldt nu dat de nieuwe functionaliteit in de browser ervoor zorgt dat Microsoft Family Safety straks ook met Firefox werkt. De maatregel zal vanaf Firefox 50 worden ingevoerd. Daardoor krijgen kinderen als ze met Firefox websites bezoeken vanaf een Windows-account dat via Microsoft Family Safety wordt gemonitord geen foutmeldingen meer. bron: security.nl

Excuus pc-vraagje, je vraag is er gewoon bij ingeschoten. Dropbox is een cloudopslag van een bedrijf. Ik ben persoonlijk altijd voorzichtig met het opslaan van gevoelige informatie in dit soort cloud-diensten. Ook al hebben ze allerlei voorwaarden en regels, ik ben wantrouwend en moet er maar van uit gaan dat ze er niet bij kunnen. Daarnaast lees je wel eens dat deze diensten aangevallen worden en gegevens van accounts gestolen zijn. Een van de redenenen dat ik dus niet snel gevoelige documenten daar plaats. Je kunt er in ieder geval voor zorgen dat gevoelige documenten welke je in de cloud op slaat, zelf beveiligd zijn. In Excell en Word is dit eenvoudig te doen. En nogmaals, excuus voor de late reactie.

Indien het probleem zich alleen voor doet wanneer je op de accu zit, zou ik je aanraden even naar je energiebeheer te kijken. Deze kan soms zo ingesteld staan dat de laptop onder accu in een soort van ECO-stand draait. In het energiebeheer is dit aan te passen.

Misschien wil Spotify je muzieksmaak uitbreiden? Even serieus: erg vervelend. Op internet kom je deze melding vaker tegen. Zie bijvoorbeeld hier: https://forum.kpn.com/overige-kpn-diensten-28/spotify-speelt-andere-nummers-af-368086 Maar een echte oplossing zie je niet. Ik zou even kijken wat er in de link beschreven wordt. Tackelt dit niet je probleem, neem dan even contact op met Spotifi-community

Beveiligingsbedrijf Malwarebytes waarschuwt internetgebruikers voor het risico van torrentprogramma's, nadat er voor de tweede keer in korte tijd malware in de torrentsoftware Transmission is aangetroffen. Aanvallers wisten beide keren via de officiële site een besmette versie van Transmission te verspreiden. Hoe de aanvallers toegang wisten te krijgen is nog onbekend. Na het eerste incident in maart zouden de Transmission-ontwikkelaars met uitleg komen, maar die werd nooit gegeven. Ook nu is er een onderzoek aangekondigd en zal er "relevante informatie" worden gedeeld. Volgens Thomas Reed is er gegronde reden om aan de veiligheid van Transmission te twijfelen, aangezien het erop lijkt dat de ontwikkelaars niets van het eerste incident hebben geleerd. Reed richt zich echter niet alleen op Transmission, aangezien alle torrent-applicaties volgens hem een risico vormen. "Elke keer dat je een torrentprogramma start geef je dat programma veel vetrouwen. Een torrentprogramma is niet alleen een downloader, maar ook een server, ontworpen om vreemden van jouw computer te laten downloaden." Reed stelt dat torrent-applicaties dan ook een groot gat in de veiligheid van een computer kunnen zijn als ze verkeerd zijn ingesteld of kwetsbaarheden bevatten die op afstand zijn aan te vallen. Veel hangt af van de kwaliteit van de code. Iets waar Reed in het geval van Transmission weinig vertrouwen meer in heeft. Ook andere torrent-apps zijn niet zonder problemen, aangezien die in sommige gevallen adware op het systeem installeren. Als het om Mac-apps gaat adviseert Reed om altijd de digitale handtekening van de app te controleren. Zo was de besmette versie van Transmission door "Digital Ignition LLC" gesigneerd. Een naam die nergens op de website van Transmission wordt vermeld. In het geval er niet met zekerheid kan worden vastgesteld of een digitale handtekening van de oorspronkelijke ontwikkelaar afkomstig is, doen gebruikers er verstandig aan de app niet te openen en vervolgens het bedrijf te benaderen om bevestiging te vragen, besluit Reed. bron: security.nl

Met de lancering van Chrome 53 blokkeert de browser nu standaard Flash-trackers op websites. De maatregel is onderdeel van een plan om steeds meer Flash-content te blokkeren om gebruikers zo tegen aanvallen te beschermen en websites sneller te laten laden. Volgens Google wordt inmiddels meer dan 90% van alle Flash-content op internet voor het volgen van internetgebruikers en analytics gebruikt. Het blokkeren van deze Flash-content zullen gebruikers dan ook niet direct merken, zo liet de internetgigant vorige maand al weten. De volgende stap in het proces om Flash-content op het web uit te faseren zal in december plaatsvinden. Met Chrome 55 zal voor alle websites standaard html5 worden gebruikt, behalve voor websites die alleen Flash ondersteunen. Voor deze websites krijgen gebruikers een melding te zien of ze Flash willen inschakelen. Updaten naar Chrome 53 zal bij de meeste gebruikers automatisch gebeuren. bron: security.nl

Bij een hack van de populaire muziekdienst Last.fm in 2012 zijn de gegevens van 43 miljoen gebruikers buitgemaakt. Het gaat om gebruikersnamen, e-mailadressen, versleutelde wachtwoorden, registratiedata en wat andere interne gegevens, zo meldt de website LeakedSource. De wachtwoorden waren met het zwakke md5-algoritme gehasht. Er was daarnaast geen salting gebruikt om het kraken van de hashes lastiger te maken. Hierdoor wist LeakedSource 96% van de wachtwoordhashes in 2 uur te kraken. Het wachtwoord 123456 is met 255.000 vermeldingen het populairste wachtwoord, gevolgd door password dat bijna 93.000 keer voorkwam. Het wachtwoord lastfm was door bijna 67.000 mensen ingesteld. Verder bevat de gestolen database 9,3 miljoen Hotmail-adressen, 8,3 miljoen Gmail-adressen en 6,5 miljoen Yahoo-adressen. Uit de registratiedata blijkt dat de website in 2009 en 2010 de meeste nieuwe gebruikers kreeg. In 2012 verscheen al een bestand met 2,5 miljoen wachtwoodhashes online. Uit voorzorg vroeg de website toen aan gebruikers of ze hun wachtwoord wilden wijzigen, maar de hack werd destijds niet door de muziekdienst bevestigd. Eerder deze week werd bekend dat bij een hack van Dropbox in 2012 de gegevens van bijna 69 miljoen gebruikers waren gestolen. bron: security.nl