Captain Kirk

Macro’s in Microsoft Office-documenten die malware op computers installeren worden een grotere dreiging dan Adobe Flash Player, zo stelt Mikko Hypponen, Chief Research Officer van het Finse anti-virusbedrijf F-Secure, in een interview met Security.NL. Macro’s laten Office-gebruikers allerlei taken automatiseren. Via macro's in een document is het echter ook mogelijk om ongezien malware te downloaden en op de computer te installeren. In de vorige eeuw waren er al virussen die zich via macro’s in Office-documenten konden verspreiden. Vanwege het beveiligingsrisico besloot Microsoft om macro’s in documenten niet standaard uit te voeren. In het geval een document een macro bevat krijgt de gebruiker tegenwoordig een melding te zien of hij de macro wil inschakelen. Internetcriminelen ontdekten dat dit niet altijd een obstakel hoeft te zijn, aangezien er ook gebruikers zijn die hier gehoor aan geven. Het gebruik van macro-malware kwam begin dit decennium nog op beperkte schaal voor, zoals een Excel Sudoku uit 2012 met een kwaadaardige macro. Begin januari 2014 besloot het Nationaal Cyber Security Center (NCSC) van de overheid een waarschuwing voor macro-malware af te geven, omdat de tactiek weer op grotere schaal werd toegepast. Inmiddels zijn we goed twee jaar verder en worden kwaadaardige macro’s zowel voor cyberspionage, cybersabotage als ransomware gebruikt. Drive-by downloadsHet gebruik van macro’s is niet de enige manier waardoor computers geïnfecteerd raken. Drive by-downloads, waarbij een computer via een beveiligingslek in bijvoorbeeld de browser of browserplug-in besmet raakt, is ook nog steeds een beproefde methode, aldus Hypponen. Hij stelt dat 70% van alle Windowsinfecties op deze manier plaatsvindt. Het gaat dan vooral om exploitkits die misbruik van kwetsbaarheden in Adobe Flash Player, Internet Explorer of Silverlight maken. Zodra een gebruiker met een verouderde Flash Player-versie op een gehackte website terechtkomt of een besmette advertentie te zien krijgt, kan er automatisch malware worden geïnstalleerd. Hypponen verwacht echter dat dit beeld de komende twee jaar gaat veranderen. "Onze systemen worden steeds lastiger aan te vallen via exploitkits. Browsers worden beter beveiligd. Niemand maakt meer gebruik van QuickTime of Microsoft Silverlight. Java is inmiddels gestorven en Flash is aan het sterven. Aanvallers zoeken dan ook naar nieuwe manieren. En hoewel niet eenvoudig, zijn macro’s de makkelijkste manier die overblijft." Windows XPWindows XP heeft echter laten zien dat veel gebruikers met verouderde software blijven werken. Hypponen denkt dat een zelfde soort scenario niet voor Flash Player opgaat. “Flash is aan het sterven en hopelijk zal het binnen twee jaar dood zijn. Natuurlijk zal er een verloop zijn, maar voor doorsnee internetgebruik zou het snel moeten verdwijnen." Hij verwacht ook niet dat aanvallers op HTML5 zullen overstappen. De technologie moet browserplug-ins zoals Flash Player vervangen. Het staat daarnaast standaard in alle moderne browsers ingeschakeld. Volgens de Finse beveiligingsexpert is het echter zeer lastig om HTML5 aan te vallen en zo malware op computers te installeren. "Internetcriminelen zullen het misschien proberen, maar het zal niet eenvoudig zijn." Op de vraag of Microsoft, nu kwaadaardige macro’s vaker zullen worden ingezet, niet meer zou moeten doen om gebruikers te beschermen stelt Hypponen dat de softwaregigant zich van het probleem bewust is. Zo heeft Microsoft herhaaldelijk voor macro-malware gewaarschuwd en adviseert om macro’s uit te schakelen. Hypponen wijst verder naar Office 2016, dat over betere manieren beschikt om met macro’s om te gaan. "Er zijn echter nog weinig mensen die Office 2016 gebruiken", zo merkt hij op. GebruikersEen ander veel gegeven advies is dat gebruikers geen macro’s moeten openen. Hypponen is echter somber gesteld dat dit het probleem zal oplossen. "Gebruikers leren het nooit. Het trainen van gebruikers is tijdverspilling. Mensen zullen altijd op elke knop klikken, elke link openen en elk programma uitvoeren." Hypponen adviseert organisaties dan ook om Office-documenten met macro’s op de gateway te filteren. Voor eindgebruikers heeft hij ook nog een boodschap: "Stop eens met het klikken op de "Inhoud inschakelen" knop, verdorie!” bron: security.nl

De meeste ransomware maakt voor het versleutelen van bestanden gebruik van niet te kraken encryptiealgoritmes, maar de maker van de Nemucod-ransomware heeft een andere oplossing gekozen. Voor het gijzelen van bestanden maakt hij namelijk gebruik van het gratis archiveringsprogramma 7-Zip. De Nemucod-ransomware verspreidt zich via JScript-bestanden die via e-mail worden verstuurd. Zodra een gebruiker het JScript-bestand opent wordt de ransomware actief en zal via 7-Zip bestanden op de computer versleutelen. Oplettende gebruikers kunnen het versleutelproces via Windows Taakbeheer echter stoppen. In het geval dit niet lukt en de bestanden toch worden versleuteld moet er zo'n 200 euro voor het ontsleutelen worden betaald. Op dit moment wordt er echter aan een tool gewerkt zodat slachtoffers de bestanden gratis kunnen ontsleutelen, zo meldt onderzoeker Bart Blaze. bron: security.nl

De keuze van Microsoft om een qr-code aan het gevreesde Blue Screen of Death (BSOD) van Windows 10 toe te voegen kan internetcriminelen helpen bij het infecteren van smartphones, zo waarschuwt het Russische anti-virusbedrijf Kaspersky Lab. Onlangs werd bekend dat een nieuwe testversie van Windows 10 in het geval van een BSOD ook een qr-code toont. Het lijkt erop dat Microsoft via de qr-code gebruikers makkelijker informatie over crashes wil geven. De code wijst namelijk naar de website www.windows.com/stopcode, die uitkomt op een pagina over het verhelpen van BSOD-crashes. David Buxton van Kaspersky Lab is echter bang dat dit internetcriminelen een nieuwe aanvalsvector biedt. Door een gebruiker een bestand te sturen dat een BSOD simuleert kan de gebruiker bijvoorbeeld worden verleid om een kwaadaardige app te installeren. Hiermee kunnen vervolgens gegevens van de telefoon worden gestolen. Buxton erkent dat het om een theoretische aanval gaat, maar dat niets internetcriminelen in de weg staat om een dergelijke aanval uit te voeren. bron: security.nl

Soms kun je in de BIOS een instelling geven dat de fan's altijd op vol vermogen moeten draaien. Omdat je pc lawaai blijft maken, moest ik hier aan denken. In de handleiding van je moederbord zou moeten staan hoe je in de BIOS kunt geraken om dit te controleren. Maar nogmaals, ik zou even terug gaan naar degene die de voeding vervangen hebben. Dat scheelt jou zelf veel gepuzzel.

Beste Robin007, Hoe staat het met je probleem? Heeft het advies je verder geholpen?

Het harde lawaai is zo goed als zeker afkomstig van de ventilatoren. Deze blijven op volle snelheid draaien. Normaal regelt de BIOS het draaien van de ventilatoren. Wanneer de koeling in de systeemkast voldoende is, zorgt de BIOS dat de ventilatoren langzamer en dus stiller gaan draaien. Ik denk dus dat er in de BIOS een instelling niet juist staat. Terug gaande naar jou verhaal: je hebt je computer ter reparatie aangeboden en de voeding is vervangen. Doch nadat je de computer terug kreeg, bleef het lawaai. Ik zou in eerste instantie contact opnemen met de reparateur. Ofwel zijn ze vergeten de BIOS-instellingen te controleren ofwel er is geen juiste voeding ingezet.

De Belgische politie heeft een waarschuwing afgegeven voor het doen van betalingen via Westen Union, omdat oplichters hier gebruik van maken. Als voorbeeld wordt de zaak van een Belgische student gegeven die in Nederland gaat studeren en via internet naar een geschikt appartement zoekt. De student vindt een advertentie van ene "John White". Deze man laat weten dat hij Nederland verlaat om in Londen te gaan werken. Hij stelt aan de Belgische student voor om zijn huurcontract over te nemen. Om hem uiteindelijk te overtuigen ontvangt de student een door een Londens advocatenkantoor voor echt verklaard contract. De huur moet de student maandelijks aan het kantoor overmaken. White vraagt alleen of de student de borg voor het appartement van 800 euro via Western Union wil terugbetalen. De student doet dit en hoort daarna niets meer van White of het advocatenkantoor. De Belgische politie waarschuwt mensen dan ook om via Western Union alleen geld naar bekende personen over te maken en de dienst nooit voor het betalen van huur, commerciële contracten of andere handelstransacties te gebruiken. bron: security.nl

Een nieuwe update van Microsoft voor verschillende draadloze muizen moet de apparaten beter tegen hackers beschermen, zo heeft de softwaregigant laten weten. De optionele update verbetert de beveiliging door bepaalde pakketten afkomstig van draadloze usb-dongles te filteren. Een recent ontdekte kwetsbaarheid maakt het mogelijk om kwaadaardige pakketten naar draadloze muizen te sturen, waardoor een aanvaller via de muis toetsaanslagen op de computer kan simuleren. Vanwege de beperkte afstand waarop de apparatuur werkt moet een aanvaller volgens Microsoft wel in de buurt van het slachtoffer zijn om de aanval uit te voeren. MouseJackDe aanval waar Microsoft op doelt wordt MouseJack genoemd en maakt het mogelijk om draadloze apparaten op een afstand van 100 meter aan te vallen. De meeste communicatie tussen de toetsenborden en dongels is versleuteld, maar bij muizen wordt helemaal geen encryptie voor de draadloze communicatie toegepast. Een aanvaller die binnen 100 meter van de usb-dongel aanwezig is kan de radiosignalen tussen de muis en de computer onderscheppen. Vervolgens kan de aanvaller het signaal door een eigen signaal vervangen en zo kwaadaardige pakketten versturen. Deze pakketten doen zich voor als toetsaanslagen, in plaats van muisklikken. De problemen zijn aanwezig in de muizen van zeven bedrijven, namelijk Microsoft, HP, Gigabyte, Amazon, Logitech, Dell en Lenovo. In het geval van Microsoft gaat het om de Sculpt Ergonomic muis, Sculpt Mobile muis, Wireless Mobile muis 3000 v2.0, Wireless Mobile muis 3500 en 4000, Wireless muis 1000, 2000 en 5000 en de Arc Touch muis. De optionele update om de pakketten te filteren is via Windows Update te downloaden. bron: security.nl

De meest ransomware versleutelt alleen bestanden en laat de werking van de computer ongemoeid, maar onderzoekers waarschuwen nu voor een nieuw exemplaar dat naast het versleutelen van bestanden ook verschillende programma's saboteert, waaronder browsers, virusscanners en Windowstools. De ransomware wordt Manamecrypt genoemd en valt ook op vanwege de manier waarop de ransomware zich verspreidt. De meeste ransomware gebruikt e-mailbijlagen of exploits om zich te verspreiden, maar Manamecrypt is gebundeld met legitieme software, zo meldt het Duitse anti-virusbedrijf G Data. Het gaat in dit geval om een softwarebundel die uit het torrentprogramma uTorrent bestaat, aangevuld met de ransomware. Eenmaal actief kopieert de ransomware allerlei bestanden naar een rar-bestand en voorziet die van een wachtwoord. De originele bestanden worden daarna verwijderd. Vervolgens blokkeert de ransomware allerlei programma's op de computer. Het gaat dan om anti-virusprogramma's, Windowstools zoals Systeemherstel, Taakbeheer en de Register-editor en monitoringsprogramma's, maar ook software zoals Steam en browservensters met daarin woorden als Amazon, YouTube, Facebook, Twitter en Vimeo. bron: security.nl

Microsoft en Samba hebben updates uitgebracht voor een kwetsbaarheid die de naam Badlock heeft gekregen en het voor een aanvaller mogelijk maakt om verschillende man-in-the-middle-aanvallen uit te voeren. Hierdoor zou het mogelijk worden om willekeurig Samba-verkeer te onderscheppen. Vervolgens zou een aanvaller een Active Directory-database kunnen aanpassen, waaronder wachtwoordhashes van gebruikers, of belangrijke diensten kunnen uitschakelen. Ook zou het mogelijk zijn om gebruikerspermissies van bestanden en directories aan te passen en denial of service-aanvallen uit te voeren. Ontwikkelaars van Microsoft en Samba zouden de afgelopen maanden aan een update voor het probleem hebben gewerkt. Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windowsmachines met Unixmachines via zowel lokale netwerken als het internet laat communiceren. Microsoft bestempelt de kwetsbaarheid als "belangrijk" en niet als ernstig, omdat een aanvaller alleen zijn rechten kan verhogen en geen willekeurige code kan uitvoeren. In het geval van Windowssystemen zou een aanvaller via een man-in-the-middle-aanval het authenticatieniveau van de SAM- LSAD-kanalen kunnen downgraden en zo een ingelogde gebruiker nabootsen. Voor eigenaren van systemen waar Samba op draait zijn er aanvullende maatregelen die naast het installeren van de update genomen kunnen worden en helpen bij het voorkomen van denial of service- en man-in-the-middle-aanvallen. De ontdekkers van de kwetsbaarheid adviseren beheerders en gebruikers om de beschikbare update zo snel als mogelijk te installeren, aangezien ze verwachten dat de kwetsbaarheid op korte termijn zal worden aangevallen. bron: security.nl

Microsoft heeft besloten om het gevreesde Blue Screen of Death (BSOD) in Windows 10 van een qr-code te voorzien. Dat ontdekte een lezer van Reddit van wie de nieuwste testversie van Windows 10 crashte. Deze nieuwe versie werd vorige week door Microsoft uitgebracht. In de aankondiging van de previewversie wordt geen melding van de qr-code gemaakt. Het lijkt er echter op dat Microsoft via de qr-code gebruikers makkelijker informatie over crashes wil geven. De code wijst namelijk naar de website www.windows.com/stopcode, die uitkomt op een pagina over het verhelpen van BSOD-crashes. Ook de Spaanse website Microsoft Insider ontdekte de qr-code. Wanneer de qr-code in de uiteindelijke versie van Windows 10 terechtkomt is nog onbekend. bron: security.nl

Bij de meeste spear phishingaanvallen die vorig jaar werden waargenomen gebruikten de aanvallers kwaadaardige Word-documenten als bijlage om computers te infecteren, zo stelt beveiligingsbedrijf Symantec in een nieuw rapport (pdf). Spear phishing is een gerichtere vorm van phishing, waarbij aanvallers de ontvanger een kwaadaardige bijlage of link proberen te laten openen. Word-documenten blijken met een aandeel van iets meer dan 40% de favoriete bijlage voor dit soort aanvallen. Aanvallers kunnen bijvoorbeeld kwaadaardige macro's in een Word-document verbergen dat waarna ingeschakeld malware downloadt, maar ook documenten met exploits die van Office-kwetsbaarheden gebruikmaken komen voor. De uitvoerbare bestandstypes .exe (16,9%%) en .scr (13,7%) volgen op afstand. Bij elkaar opgeteld komen de uitvoerbare bestandstypes op minimaal 36% uit. Wordt er naar niet gerichte e-mailaanvallen gekeken, dan spelen uitvoerbare bestandstypes met een aandeel van 1,3% een veel kleinere rol. Symantec blokkeerde bij de niet gerichte e-mailaanvallen voornamelijk Word-bestanden (55,8%) en Excel-bestanden (15%), gevolgd door zip-bestanden (8,7%). "Office-documenten zoals Word en Excel blijven een populaire manier voor exploits die malware op een aangevallen computer plaatsen", aldus Symantec. bron: security.nl

Een nieuw gelanceerde website helpt slachtoffers van ransomware met het identificeren van de variant die op hun computer bestanden heeft versleuteld, zodat er mogelijk een oplossing kan worden gevonden. ID Ransomware, zoals de website heet, is in staat om 52 ransomware-varianten te detecteren. Hiervoor moeten slachtoffers een versleuteld bestand of de melding van de ransomware uploaden, waarna de website de ransomware probeert te identificeren. Vervolgens krijgen slachtoffers te zien of er voor hun variant een manier is om de bestanden kosteloos te ontsleutelen. Het komt af en toe voor dat ransomware-makers fouten bij het versleutelen maken, waardoor het mogelijk is om de bestanden te ontsleutelen. Wat de geuploade bestanden betreft worden die alleen voor de detectie gebruikt en hierna meteen verwijderd. "Ik kan de vertrouwelijkheid van de gegevens echter niet 100% garanderen. De data worden tijdelijk op een gedeelde host opgeslagen en ik ben niet verantwoordelijk voor wat er met de data worden gedaan", aldus Michael Gillespie, de ontwikkelaar van ID Ransomware. bron: security.nl

Onderzoekers waarschuwen voor een nieuwe ransomware-variant die ieder uur bestanden verwijdert totdat slachtoffers het gevraagde losgeld van 150 dollar betalen. Volgens Lawrence Abrams van Bleeping Computer is het de eerste keer dat ransomware een dergelijk dreigement ook uitvoert. Het gaat om de JigSaw-ransomware, vanwege een getoond masker vernoemd naar een persoon uit de filmreeks Saw. Elk uur verwijdert de ransomware een bestand van de computer en verhoogt vervolgens een teller. Hierdoor worden uiteindelijk meerdere bestanden per uur verwijderd. Als de computer wordt herstart of het ransomware-proces beëindigd zal Jigsaw na te zijn herstart duizend bestanden van de computer verwijderen. Dit proces zal de ransomware bij elke herstart herhalen. Er is echter een manier gevonden waardoor slachtoffers zonder te betalen hun gegevens terug kunnen krijgen. Onderzoekers hebben namelijk een manier gevonden om de bestanden te ontsleutelen en hebben hiervoor een gratis tool (zip) ontwikkeld. Hoe de Jigsaw-ransomware wordt verspreid is onbekend. bron: security.nl

Na jaren van afwezigheid krijgt Firefox eindelijk een sandbox wat de veiligheid, stabiliteit en de prestaties van de browser moet verbeteren, zo heeft Mozilla laten weten. Firefox is nog de enige van de grote browsers die niet over een sandbox beschikt. Microsoft kwam begin 2008 met meerdere processen voor IE, gevolgd door Chrome zes maanden later. Safari volgde in de zomer van 2011, maar Firefox moest het zonder doen. Een sandbox wordt als een zeer belangrijke beveiligingsmaatregel gezien, omdat het kan voorkomen dat via een kwetsbaarheid er meteen toegang tot het systeem kan worden verkregen. Vorig jaar blies Mozilla het "Electrolysis" of "e10s" project nieuw leven in. Hierbij gebruikt Firefox geen enkel proces meer voor de browser, maar meerdere. Dit heeft verschillende voordelen voor gebruikers, aldus Mozilla's Dan Callahan. In het geval een geopende browsertab bijvoorbeeld crasht zal dit niet meer betekenen dat heel Firefox crasht, zoals nu het geval is. Ook zorgt het scheiden van processen ervoor dat straks sandboxes voor webcontent kunnen worden gemaakt. Verder zou het ook de prestaties verbeteren, omdat de nieuwe architectuur van meerdere processen het mogelijk maakt om het werk over meerdere cpu-cores te verdelen. Callahan merkt op dat sommige mensen zich zorgen maken dat het implementeren van een dergelijke architectuur het geheugenverbruik van Firefox drastisch zal vergroten. Dit is niet het geval, aldus de Mozilla-engineer. Hoewel meerdere processen een grotere geheugenafdruk hebben dan een enkel proces zou de impact beperkt moeten zijn. Zo blijkt een voorlopige testversie van Firefox 10% tot 20% meer geheugen te verbruiken. Dit zou echter de helft minder zijn dan wat Google Chrome op dezelfde website gebruikt. "Om ervoor te zorgen dat we niet teveel werkgeheugen verbruiken, zal de eerste versie van e10s alleen een enkel extra proces voor webcontent gebruiken", merkt Callahan op. Naarmate de architectuur efficiënter met het werkgeheugen omgaat zullen er meerdere processen worden toegevoegd. Wanneer de sandbox in de uiteindelijke versie van Firefox zal verschijnen is onbekend. "De overstap op meerdere processen is een investering in de toekomst. We lossen een technische schuld af en herontwerpen de architectuur van Firefox op een fundamenteel niveau. Net zoals elke verandering van deze omvang brengt dit allerlei uitdagingen met zich mee", aldus Callahan. Zo zullen veel add-ons moeten worden aangepast. De sandbox is al wel te testen in de Firefox-versie voor ontwikkelaars. bron: security.nl

Een nieuwe ransomware-variant die onlangs veel stof liet opwaaien omdat het een deel van de harde schijf versleutelt waardoor de computer niet meer kan opstarten is door een onderzoeker gekraakt. Het gaat om de Petya-ransomware die eind maart verscheen en de master file table (MFT) van de harde schijf versleutelt, waardoor het bestandssysteem niet is te lezen en Windows niet meer kan worden gestart. Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die automatisch herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de de MFT echter versleuteld. Een beveiligingsonderzoeker genaamd Leo Stone werd door zijn schoonvader benaderd. De man had de "c.v." geopend en nu kreeg hij een melding te zien dat er losgeld moest worden betaald. Stone besloot de ransomware te onderzoeken en ontwikkelde uiteindelijk een algoritme dat de sleutel genereert waarmee de door Petya versleutelde computer kan worden ontsleuteld. Het achterhalen van de informatie waarmee het algoritme aan de slag kan is voor veel gebruikers vrij lastig. Daarom zijn er verschillende handleidingen verschenen waarin dit wordt uitgelegd. Vervolgens moet de gevonden informatie op deze pagina worden ingevoerd, waarna er een decryptiesleutel wordt gegenereerd. bron: security.nl

Een nieuw ontdekte ransomware-variant die allerlei bestanden in een met een wachtwoord beveiligd rar-bestand opslaat bevat een kwetsbaarheid, waardoor slachtoffers kosteloos hun bestanden kunnen terugkrijgen. De meeste ransomware-exemplaren gebruiken niet te kraken encryptiealgoritmes voor het versleutelen van bestanden op besmette computers. Dat geldt niet voor een nieuw exemplaar genaamd CryptoHost. Deze ransomware laat slachtoffers weten dat hun bestanden zijn ze versleuteld, maar dat is niet het geval. Ze zijn namelijk in een met een wachtwoord beveiligd rar-bestand opgeslagen. Het wachtwoord dat de ransomware genereert is echter eenvoudig te achterhalen, zo meldt onderzoeker Lawrence Abrams van Bleeping Computer. De ransomware gebruikt namelijk de naam van het rar-bestand aangevuld met de naam van de ingelogde gebruiker. Oorspronkelijk wilde Abrams de kwetsbaarheid niet bekendmaken, omdat de ransomware-ontwikkelaar dit in een nieuwe versie kan verhelpen. Een andere website heeft het probleem volgens Abrams op onverantwoorde wijze bekendgemaakt, waarop hij nu ook heeft besloten de details vrij te geven. Voor slachtoffers van deze ransomware die hun wachtwoord niet kunnen achterhalen heeft een andere onderzoeker inmiddels een wachtwoordgenerator gemaakt. bron: security.nl

WordPress heeft besloten om voor meer dan een miljoen domeinen die het host gratis ssl in te schakelen. Zodoende is de verbinding tussen deze websites en hun bezoekers automatisch versleuteld en kunnen bezoekers de websites identificeren, zo heeft WordPress bekendgemaakt. WordPress.com ondersteunde al sinds 2014 ssl voor subdomeinen op WordPress.com. Nu zal het echter automatisch worden ingeschakeld voor eigen gekozen domeinen die via WordPress.com worden gehost. Hiervoor is WordPress een samenwerkingsverband met Let's Encrypt aangegaan. Dit initiatief heeft als doel om het verkeer van alle websites op internet te versleutelen. Hiervoor kunnen eigenaren van websites eenvoudig en gratis een ssl-certificaat aanvragen. Sinds de lancering van Let's Encrypt heeft de dienst ruim 1,5 miljoen gratis ssl-certificaten uitgegeven. De werkwijze die Let's Encrypt hanteert maakt het ook voor WordPress mogelijk om voor alle gehoste domeinen nu ssl-certificaten aan te vragen en te installeren. Via WordPress.com worden meer dan een miljoen zelf gekozen domeinen gehost, wat inhoudt dat het aantal uitgegeven ssl-certificaten via Let's Encrypt sterk zal stijgen. De maatregel van WordPress geldt niet voor websites die zelf een WordPress-installatie hebben geïnstalleerd. bron: security.nl

Adobe heeft een noodpatch voor Flash Player uitgebracht waarmee het 24 ernstige lekken in Flash Player dicht, waaronder een kwetsbaarheid die actief door cybercriminelen wordt gebruikt om computers aan te vallen. In eerste instantie stelde Adobe dat de aanvallen tegen computers met Windows XP en Windows 7 plaatsvonden, maar dat heeft het softwarebedrijf later veranderd. Ook systemen met Windows 10 en Windows 8.1 zijn doelwit van deze aanvallen. De aanvallen zijn gericht tegen versie 20.0.0.306 en ouder van Flash Player. Door beveiligingsmaatregelen die in nieuwere versies aanwezig werkt de aanval daar niet, ook al is de kwetsbaarheid wel aanwezig. Van de 24 verholpen kwetsbaarheden maken 22 het voor een aanvaller mogelijk om willekeurige code op de computer uit te voeren, zoals het installeren van malware. Het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie is in dit geval voldoende. De resterende twee kwetsbaarheden lieten een aanvaller de beveiligingsmaatregelen in Adobe Flash Player omzeilen, wat kan helpen bij misbruik van andere beveiligingslekken. Een deel van de kwetsbaarheden werd tijdens de recente Pwn2Own-hackwedstrijd gedemonstreerd. Tijdes deze wedstrijd moesten onderzoekers verschillende browsers en Adobe Flash Player zien te hacken. Flash Player werd twee keer gehackt. Adobe adviseert gebruikers om binnen 72 uur naar Flash Player versie 21.0.0.213 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 10 en 11 op Windows 8 en 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. bron: security.nl

Onderzoekers zijn erin geslaagd om de captcha's van Facebook en Google met grote nauwkeurigheid te kraken. De captcha's moeten het geautomatiseerd aanmaken van accounts voorkomen. Google hanteert een systeem waarbij letters moeten worden overgetypt, terwijl Facebook met afbeeldingen werkt. Gebruikers moeten in dit geval verschillende afbeeldingen over één onderwerp kiezen. Onderzoekers van de Columbia Universiteit slaagden er echter in om een aanval te ontwikkelen waarbij ze de captcha van Google in 70,8% van de gevallen geautomatiseerd wisten te kraken. De aanval op de captcha's van Facebook leverde zelfs een succespercentage van 83,5% op. Het grotere succes bij de Facebookcaptcha's is volgens de onderzoekers te verklaren door de hogere resolutie van de afbeeldingen die Facebook gebruikt en het feit dat ze ongerelateerde afbeeldingen gebruiken. Een captcha-challenge waarbij gebruikers een gitaar moeten kiezen bevat ook afbeeldingen van dieren, waardoor de verkeerde opties eenvoudiger zijn te negeren. KostenVoor het tweede deel van hun onderzoek brachten de onderzoekers de opbrengsten van hun aanval in kaart. Doordat het oplossen van captcha's steeds lastiger is geworden zijn er verschillende diensten verschenen waarbij mensen worden betaald voor het oplossen van captcha's. Zo is er een bedrijf dat 2 dollar voor 1000 opgeloste captcha's rekent. Met deze verkoopprijs zou de geautomatiseerde aanval van de onderzoekers 104 tot 110 dollar per dag per ip-adres kunnen opleveren. De onderzoekers besloten Facebook en Google voor de publicatie van hun onderzoeksrapport (pdf) te waarschuwen. Google nam daarop verschillende maatregelen om de captcha's tegen de geautomatiseerde aanvallen te beschermen. Facebook liet echter niets over eventuele aanpassingen of verbeteringen horen. bron: security.nl

Voor mensen in landen met internetcensuur zijn er nu nieuwe mogelijkheden om Tor Browser te downloaden, waarmee gecensureerde en geblokkeerde websites kunnen worden bezocht. Tor Browser bestaat uit een aangepaste Firefox-versie en software om met het Tor-netwerk verbinding te maken. De browser is via TorProject.org te downloaden, maar in sommige landen wordt deze website geblokkeerd. Daarom werden er alternatieve downloadmethodes ontwikkeld, zoals het downloaden van Tor Browser via e-mail. Het TorProject heeft nu nieuwe opties voor het downloaden van Tor Browser gepresenteerd. Zo is het installatieprogramma voortaan ook via Twitter en XMPP te downloaden. In het geval van Twittergebruikers volstaat een privébericht naar @get_tor, waarna er een reactie met downloadinstructies volgt. Internetgebruikers die met een chatprogramma werken dat het XMPP-protocol ondersteunt kunnen een bericht naar get_tor@riseup.net sturen, wat een antwoord met downloadinstructies oplevert. Verder is Tor Browser nu ook via GitHub verkrijgbaar en kunnen Androidgebruikers via e-mail om downloadinstructies voor Orbot vragen, een gratis proxy die van het Tor-netwerk gebruikmaakt. bron: security.nl

Onderzoekers hebben een beveiligingslek in Firefox-extensies ontdekt waardoor een aanvaller met medewerking van een slachtoffer gegevens kan stelen en in het ergste geval de computer kan overnemen. De onderzoekers presenteerden hun onderzoek genaamd "CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities" (pdf) tijdens het NDSS Symposium in februari en Black Hat Asia dat vorige week plaatsvond. De onderzoekers ontdekten een manier waarop een op het eerste gezicht goedaardige extensie de aanwezigheid van andere extensies kan gebruiken om bijvoorbeeld gegevens te stelen of malware te downloaden. Hierbij wordt er gebruik gemaakt van een gebrek aan isolatie binnen Firefox. Daardoor kan de ene extensie de andere gebruiken. Om de aanval te laten slagen zijn er wel verschillende voorwaarden vereist. Zo moet de gebruiker eerst zelf de kwaadaardige extensie installeren. Vervolgens moet de gebruiker voldoende goedaardige extensies hebben geïnstalleerd waar de kwaadaardige extensie gebruik van kan maken. Het maken van een kwaadaardige extensie die van de kwetsbaarheid gebruikmaakt zou echter eenvoudig zijn en kan binnen 10 minuten worden gedaan, aldus de onderzoekers. Uit het onderzoek blijkt dat het probleem bij honderden extensies speelt, waaronder 9 van de 10 populairste Firefox-extensies. Het gaat bijvoorbeeld om NoScript en Video DownloadHelper, extensies die miljoenen gebruikers hebben. Vorig jaar kondigde Mozilla al aan dat het op een geheel nieuw model voor extensies overstapt, waarbij elke extensie in een eigen sandbox zal draaien, wat de bovengenoemde aanval voorkomt. bron: security.nl

Anti-spamorganisatie Spamhaus gaat de informatie waarmee spamfilters en anti-spamsoftware werken verbeteren, zodat die hogere spamscores kunnen toekennen aan e-mails die vanaf bepaalde spamnetwerken afkomstig zijn. Spamhaus houdt verschillende lijsten bij met informatie over spammers. Twee van deze lijsten, DROP (Don't Route Or Peer) en EDROP (Extended Don't Route Or Peer), bevatten netblokken die "gekaapt" zijn of door professionele spammers worden geleaset. Oorspronkelijk was de informatie van deze lijsten voor netwerkapparaten zoals routers en firewalls bedoeld om al het verkeer van deze netblokken te blokkeren. Alle netwerken in de DROP- en EDROP-lijsten worden ook in de blocklijsten van Spamhaus genoemd. Voor deze ip-adressen was het mogelijk een dns-lookup te doen, wat altijd een vaste waarde opleverde. Het was echter niet mogelijk om aan de hand van de dns-lookupresultaten te bepalen of een vermeld ip-adres ook in de DROP/EDROP-lijsten voorkwam. Om spamfilters en anti-spamsoftware hogere spamscores te laten geven voor netwerken die in de DROP- en EDROP-lijsten voorkomen zullen de blocklijsten van Spamhaus vanaf 1 juni dit jaar een nieuwe waarde teruggeven voor ip-adressen die in de DROP- en EDROP-lijsten staan, zo heeft de organisatie aangekondigd. bron: security.nl

Sterke versleuteling van data en communicatie is belangrijk voor de privacy van burgers, voor bedrijven en overheidsdiensten, zo stelt staatssecretaris Dijkhoff van Veiligheid en Justitie aan de hand van het kabinetsstandpunt over encryptie dat vorig jaar werd gepresenteerd. Vandaag vindt in Den Haag de One-conferentie van het Nationaal Cyber Security Center (NCSC) plaats die door Dijkhoff geopend zou worden, maar de staatssecretaris moest verstek laten gaan. In een persbericht over de conferentie stellen Dijkhoff en het ministerie van Veiligheid en Justitie, waar het NCSC onder valt, dat de One-conferentie van oudsher een verbinding van communities met verschillende belangen is. "Belangen die in het digitale tijdperk op zoek zijn naar een balans. De balans tussen veiligheid, vrijheid en maatschappelijke groei ofwel het kunnen benutten van de kansen die techniek ons biedt." Het ministerie merkt op dat Nederland daarin een rol als koploper heeft en bij complexe onderwerpen ook een vooruitstrevende positie durft in te nemen die naar die balans zoekt. Een voorbeeld dat hiervan wordt gegeven is het kabinetsstandpunt rondom encryptie, waarbij het kabinet vorig jaar aankondigde dat het geen beperkende maatregelen tegen encryptie zal nemen. "Daarom is het ook zo belangrijk dat dit kabinetsstandpunt het gebruik van encryptie om de digitale veiligheid te bevorderen, juist stimuleert en niet beperkt. Sterke versleuteling van data en communicatie is belangrijk voor de privacy van burgers, voor bedrijven en overheidsdiensten", laat Dijkhoff weten. bron: security.nl

Toshiba is een terughaalactie gestart voor notebookaccu’s van Toshiba notebooks voor zowel de zakelijke als de particuliere markt. Onder bepaalde omstandigheden kunnen de accu’s oververhit raken en kan er brand ontstaan. De accu’s zijn geleverd in de periode juni 2011 tot en met november 2015. Het gaat om accu’s die bij notebooks werden geleverd, accu’s die als onderdeel van een reparatie zijn vervangen en om accu’s die als accesoire zijn verkocht. Op de website van Toshiba kunt u een link naar een hulpprogramma vinden om te bepalen of uw laptop en accu getroffen zijn door dit probleem. Als dat het geval is biedt Toshiba u een gratis nieuwe accu aan ter vervanging. U kunt ook handmatig controleren of u één getroffen laptops en/of batterijen hebt via deze link. Een overzicht van alle betroffen laptops en batterijen vindt u op deze pagina. Toshiba adviseert om laptops met een accu die oververhit kan raken niet langer met accu maar en alleen met de netstroomadapter te gebruiken totdat de accu vervangen is. Bron: Toshiba Leading Innovation