Captain Kirk

Er is een nieuw ransomware-exemplaar ontdekt dat naast het versleutelen van bestanden voor losgeld ook muziek afspeelt en een screenshot van het actieve venster naar de aanvaller terugstuurt. Het gaat om de DetoxCrypto-ransomware, die als onderdeel van een partnerprogramma aan internetcriminelen lijkt te worden verkocht, zo meldt Bleeping Computer. In dit geval kunnen internetcriminelen de malware afnemen, waarbij ze een deel van de omzet aan de ransomwaremaker moeten afstaan. Er zijn dan ook verschillende varianten van de DetoxCrypto-ransomware ontdekt. Zo probeert één exemplaar mee te liften op de populariteit van Pokemon Go, terwijl een ander een screenshot maakt van het actieve venster op het moment van de infectie en dat naar de aanvaller terugstuurt. De verschillende varianten spelen allebei een muzieknummer af en tonen instructies om weer toegang tot het systeem en de bestanden te krijgen, zoals onderstaande video laat zien. Hoe de malware precies wordt verspreid is op dit moment nog onbekend. bron: security.nl

Een Trojaans paard dat ontwikkeld is om geld van bankrekeningen te stelen blijkt hiervoor de proxy-instellingen van Internet Explorer aan te passen. De malware is alleen in Brazilië actief en wordt verspreid via een e-mailbijlage die zich als een afschrift van een telecomaanbieder voordoet. De bijlage, een pif-bestand, is in werkelijkheid de malware. Eenmaal actief verandert die de proxy-instellingen van Internet Explorer. Deze aanpassing zorgt ervoor dat het verkeer van gebruikers naar de server van de aanvallers wordt doorgestuurd. Deze server stuurt gebruikers weer door naar een phishingpagina als ze in hun browser de website van hun bank opvragen. Hoewel de malware de proxy-instellingen in Internet Explorer aanpast, raakt dit ook andere browsers op het systeem, aangezien die dezelfde proxy-instellingen gebruiken, zo meldt het Russische anti-virusbedrijf Kaspersky Lab. Volgens de virusbestrijder worden slachtoffers van het Trojaanse paard naar een server met een Nederlands ip-adres doorgestuurd die verschillende phishingpagina's voor Braziliaanse banken bevat. Om ervoor te zorgen dat alleen Braziliaanse internetgebruikers besmet raken controleert de malware de taalinstellingen van de computer. In het geval de ingestelde taal geen Braziliaans Portugees is, wordt de infectie afgebroken. Aangezien de malware van PowerShell gebruikmaakt krijgen organisaties het advies om alleen het uitvoeren van gesigneerde scripts op computers toe te staan. bron: security.nl

Met de lancering van de Windows 10 Anniversary Update heeft Microsoft nieuwe features uitgerold waardoor ouders kunnen voorkomen dat hun kinderen Google Chrome of Mozilla Firefox installeren. De features zijn onderdeel van Microsoft family, een tool voor ouderlijk toezicht. Via het programma kan bijvoorbeeld worden ingesteld hoe lang er van een apparaat gebruik mag worden gemaakt, is in het geval van een Windows phone de locatie van het kind te achterhalen, worden er rapporten over de online activiteiten van de kinderen opgesteld en is het mogelijk om bepaalde apps, games of websites te blokkeren. Volgens Microsoft beschikken de populairste browsers echter niet over een dergelijk webfilter. "Om je kinderen te beschermen zullen we deze browsers automatisch op hun apparaten blokkeren", zo legt de softwaregigant uit. Ouders kunnen het gebruik van andere browsers wel toestaan. bron: security.nl

Google gaat de komende jaren de ondersteuning van Chrome-apps op Linux, Mac en Windows volledig stoppen, zo heeft de internetgigant bekendgemaakt. Alleen gebruikers van Chrome OS kunnen in de nabije toekomst nog van Chrome-apps gebruik blijven maken. Op deze manier wil Google de overstap naar volledige web-apps realiseren. Op dit moment zijn er twee soorten Chrome-apps. De "packaged" apps, apps in een zip-bestand die alleen in Google Chrome werken, en gehoste apps, die in alle browsers kunnen werken. Zo'n 1% van de Chrome-gebruikers op Linux, Mac en Windows maakt gebruik van packaged apps. De gehoste apps zijn in de meeste gevallen al als normale web-app geïmplementeerd. Zowel de support van de packaged als gehoste apps wordt stopgezet, zodat alleen volledige web-apps overblijven. Eind 2016 zullen nieuwe Chrome-apps alleen nog zichtbaar voor gebruikers op Chrome OS zijn. Bestaande Chrome-apps blijven echter toegankelijk op alle platformen en ontwikkelaars kunnen ze blijven updaten. In de tweede helft van 2017 zal de Chrome Web Store geen Chrome-apps meer voor Linux, Mac en Windows tonen, maar nog wel extensies en themes laten zien. Begin 2018 zal het op deze platformen helemaal niet meer mogelijk zijn om Chrome-apps te laden. Google raadt ontwikkelaars dan ook aan om hun Chrome-apps naar een web-app om te zetten. bron: security.nl

Er is een nieuwe versie van de encryptiesoftware VeraCrypt verschenen waarin een TrueCrypt-lek is verholpen en UEFI-systeemversleuteling voor Windows eindelijk wordt ondersteund, waardoor ook eigenaren van nieuwe systemen hun computer volledig kunnen versleutelen. VeraCrypt is een op TrueCrypt-gebaseerd encryptieprogramma. De software maakt het mogelijk om bestanden, usb-sticks, externe harde schijven en zelfs het volledige systeem te versleutelen. De volledige schijfversleuteling van TrueCrypt werkte alleen op computers met een BIOS (Basic Input/Output System). Dit is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Moderne computers beschikken over een Unified Extensible Firmware Interface (UEFI) dat de opvolger van het BIOS is. Op deze systemen was het niet mogelijk om het systeem volledig te versleutelen, tenzij UEFI werd uitgeschakeld. Zowel TrueCrypt als VeraCrypt ondersteunden UEFI namelijk niet. Daar is met VeraCrypt versie 1.18 verandering in gekomen. De ondersteuning is nog wel beperkt. Zo is het niet mogelijk om een verborgen volume aan te maken of de opstartmelding aan te passen. TrueCrypt-kwetsbaarheid Verder verhelpt deze versie een kwetsbaarheid die in TrueCrypt aanwezig is en waardoor een aanvaller de aanwezigheid van een verborgen volume kan detecteren. TrueCrypt en VeraCrypt bieden gebruikers de mogelijkheid om verborgen volumes aan te maken die over een eigen wachtwoord beschikken. Als een gebruiker gedwongen wordt om op het systeem in te loggen kan hij het wachtwoord van het standaard volume invoeren, waarna het systeem wordt ontsleuteld. Op deze manier blijft het verborgen volume verborgen. "Het zou onmogelijk moeten zijn om te bewijzen dat er een verborgen volume aanwezig is", aldus VeraCrypt in de uitleg over deze functionaliteit. Een Russische onderzoeker ontdekte echter toch een manier om de aanwezigheid van dergelijke verborgen volumes te bewijzen. VeraCrypt heeft het probleem nu verholpen, maar de kwetsbaarheid is nog steeds in TrueCrypt aanwezig, aangezien deze software niet meer wordt ondersteund. Na het uitkomen van VeraCrypt 1.18 verscheen een dag later versie 1.18a. Het Window-installatieprogramma beschikt nu over drivers die door Microsoft zijn gesigneerd, waardoor VeraCrypt ook werkt op systemen met de Windows 10 Anniversary Edition. Een overzicht van alle aanpassingen in de nieuwe versie is op deze pagina te vinden. Deze week kwam VeraCrypt ook al in het nieuws vanwege een audit die op dit moment wordt uitgevoerd. Eén van de partijen die bij de audit is betrokken meldde dat e-mails over de audit waren onderschept, maar dat bleek later niet te kloppen. bron: security.nl

De meeste kwaadaardige e-mails die in het tweede kwartaal van dit jaar internetgebruikers met malware probeerden te infecteren maakten hiervoor gebruik van zip-bestanden. Dat blijkt uit kwartaalcijfers van het Russische anti-virusbedrijf Kaspersky Lab. Van april tot en met juni ging het om miljoenen zip-bijlagen waarin malware zat verstopt, voornamelijk downloaders die ransomware op computers installeren. In de eerste weken van juni was er echter een daling van het aantal e-mails met besmette zip-bestanden. De oorzaak bleek te liggen in de inactiviteit van een botnet dat veel voor dergelijke spam wordt gebruikt. Eind juni werd het botnet weer operationeel wat te zien is in een stijging van het aantal besmette e-mailbijlagen. Naast de tijdelijke inactiviteit noemt Kaspersky het opvallend dat kwaadaardige zip-bijlagen niet in het weekend worden verstuurd. Vanwege het risico op ransomware gaf beveiligingsbedrijf Dell SecureWorks vorig jaar het advies aan organisaties om archiefbestanden zoals zip te blokkeren. Wolfgang Kandek, CTO bij beveiligingsbedrijf Qualys, liet eerder nog aan Security.NL weten dat e-mailproviders standaard zip-bijlagen zouden moeten blokkeren om zo gebruikers tegen malware te beschermen. bron: security.nl

De website Bitcoin.org heeft een waarschuwing afgegeven voor een mogelijke aanval op de aankomende versie van Bitcoin Core, een opensource-bitcoinclient. Bitcoin.org stelt dat het reden heeft om aan te nemen dat versie 0.13.0 het doelwit van door een staat gesponsorde aanvallers zal worden. De Bitcoin-gemeenschap, en dan met name Chinese gebruikers, worden opgeroepen extra waakzaam te zijn bij het downloaden van bestanden via bitcoin.org. "Als je niet voorzichtig bent voor het downloaden van de bestanden kun je al je bitcoins verliezen. De malware kan je computer ook gebruiken om aanvallen tegen het Bitcoin-netwerk uit te voeren", zo laat de waarschuwing weten. Met name Chinese diensten zoals bitcoin-beurzen zouden vanwege de herkomst van de aanvallers het grootste risico lopen. Gebruikers krijgen dan ook het advies om de sleutel waarmee het bestand is gesigneerd te downloaden en vervolgens de digitale handtekening en hashes te controleren voordat de bestanden worden uitgevoerd. "Dat is de veiligste manier om er zeker van te zijn dat je de bestanden hebt die door de Core-ontwikkelaars zijn gemaakt." Eric Lombrozo, een ontwikkelaar van Bitcoin Core, laat tegenover The Register weten dat de beheerder van bitcoin.org, een website die losstaat van het Bitcoin Core-project, de waarschuwing zonder te overleggen online heeft geplaatst. Hij zegt verder dat de bestanden van Bitcoin Core voor zover bekend niet het doelwit van door een staat gesponsorde aanvallers zijn. "Mogelijk dat bepaalde websites kunnen worden gehackt waar mensen de bestanden downloaden, maar laten we geen onnodige paranoia over de Bitcoin Core-bestanden zelf verspreiden." bron: security.nl

Slecht nieuws voor mensen en organisaties van wie de bestanden door de Cerber-ransomware zijn versleuteld, de versleutelde bestanden zijn namelijk niet meer kosteloos te ontsleutelen. Deze week kwam beveiligingsbedrijf Check Point met een gratis decryptietool om slachtoffers te helpen. Het ging om een website waar slachtoffers een versleuteld bestand konden uploaden. Vervolgens gaf de website de decryptiesleutel terug om alle versleutelde bestanden op de computer te ontsleutelen. De ontwikkelaars van de Cerber-ransomware hebben als reactie de fout in het encryptieproces verholpen. Daardoor is het niet meer mogelijk om de bestanden via de website cerberdecrypt.com te ontsleutelen, aldus Check Point. Het beveiligingsbedrijf stelt dat de afgelopen dagen toch nog honderden slachtoffers via de website hun bestanden hebben teruggekregen. Bleeping Computer meldt dat de makers van de Cerber-ransomware op hun betaalpagina nu een captcha-systeem hebben toegevoegd. Mogelijk is dit gedaan om de geautomatiseerde dienst van Check Point tegen te gaan, maar zeker is dit niet. bron: security.nl

Cisco heeft netwerkbeheerders gewaarschuwd voor een zero day-beveiligingslek in de Adaptive Security Appliance (ASA) software dat deze week op internet verscheen en waardoor een aanvaller in het ergste geval de netwerkapparaten kan overnemen. Een beveiligingsupdate is nog niet beschikbaar. De ASA-software bevindt zich in in allerlei netwerkapparaten van Cisco, zoals firewalls, security appliances en routers. Deze week kwam een groep die zichzelf Shadow Brokers noemt met een dump van allerlei tools, bestanden en informatie die van de Equation Groep afkomstig zou zijn. Deze groep zou banden met de Amerikaanse NSA hebben en allerlei zeer geavanceerde malware hebben ontwikkeld. Volgens het Russische anti-virusbedrijf Kaspersky Lab zijn de bestanden in de dump van Shadow Brokers zo goed als zeker van de Equation Group. Shadow Brokers biedt de verkregen bestanden en tools nu tegen een bedrag van 1 miljoen bitcoins aan. Er is echter een dump met enkele bestanden en tools beschikbaar gemaakt. Daarin bevindt zich ook een exploit voor een onbekend beveiligingslek in de ASA-software van Cisco. Het gaat om een kwetsbaarheid in de Simple Network Management Protocol (SNMP) code van de ASA-software waardoor een aanvaller zonder inloggegevens op afstand kwaadaardige code kan uitvoeren. Om de kwetsbaarheid aan te vallen moet een aanvaller speciaal geprepareerde SNMP-pakketten versturen. Vervolgens kan er willekeurige code op het netwerkapparaat worden uitgevoerd en kan de aanvaller het systeem volledig overnemen, aldus Cisco. Systemen zijn alleen kwetsbaar als ze in de "routed and transparent firewall mode" zijn ingesteld. De netwerkgigant werkt aan een beveiligingsupdate, maar adviseert in de tussentijd om alleen betrouwbare gebruikers SNMP-toegang te geven. In de Shadow Brokers-dump bevond zich ook een andere exploit voor Cisco's ASA-software. De kwetsbaarheid waar hierbij gebruik van wordt gemaakt is vijf jaar geleden al gepatcht, aldus Omar Santos van Cisco. Toch heeft de netwerkfabrikant een security advisory naar buiten gebracht met informatie over de recente ontwikkelingen en het advies aan netwerkbeheerders om de betreffende update te installeren. Fortinet Ook netwerkfabrikant Fortinet kwam met een beveiligingsbulletin. Naast de producten van Cisco waren ook producten van deze partij het doelwit van de Equation Group. Het gaat om een kwetsbaarheid in de firmware van netwerkapparaten waardoor een aanvaller de systemen kan overnemen. Het probleem is in augustus 2012 al verholpen en netwerkbeheerders krijgen dan ook het advies de firmware van hun apparatuur te updaten. bron: security.nl

Onderzoekers hebben weer een backdoor ontdekt die het legitieme programma TeamViewer op computers installeert en aanvallers zo volledige controle over het systeem geeft. TeamViewer is software waarmee computers op afstand kunnen worden beheerd. Het wordt bijvoorbeeld binnen bedrijven gebruikt. De aanwezigheid van TeamViewer in het netwerkverkeer zal dan ook niet meteen opvallen. Via TeamViewer kunnen aanvallers aanvullende malware installeren en gegevens stelen. Onderzoekers van het Russische anti-virusbedrijf Doctor Web ontdekten een beheerderspaneel van de backdoor met de ip-adressen van allerlei geïnfecteerde systemen. Die blijken zich vooral in Groot-Brittannië, Spanje, de Verenigde Staten en Rusland te bevinden. Het gebruik van TeamViewer door malware is niet nieuw. Vorige week werd nog een ransomware-exemplaar gevonden dat van het programma gebruikmaakte. bron: security.nl

Ik heb je bericht met je telefoonnummer verwijderd. Geef nooit zomaar je telefoon, adres of wat voor prive-gegevens dan ook op internet. Zeker niet op plaatsen waar iedereen deze kan zien. Zelfs niet op een betrouwbaar forum als dit. Je weet nooit wat mensen hier mee gaan doen. Je kunt ons hier gewoon altijd via dit forum benaderen.

Het is een leuk idee maar het gebruik hier. Juist doordat andere dit ook kunnen lezen, kunnen helpers meedenken en hun ideeën voor een oplossing aandragen. Foto's e.d. kun je ook gewoon hier plaatsen

Om wat voor een laptop gaat het? Dus welk typenummer. Zover ik weet hebben laptops van Acer geen aparte geluidskaart maar zit deze geïntegreerd op het toetsenbord. Dus met de juiste info worden we misshcien iets wijzer en kunnen we mogelijk vertellen wat het probleem zou kunnen zijn.

Beste aarock, Wat bedoel je precies met dat je pc juist geformatteerd is? Het klinkt bij mij dat je dus alleen nog maar een lege harde schijf in de pc hebt zitten. In dat geval is het logisch dat hij niet meer start.

Onderzoekers van beveiligingsbedrijf Check Point zijn erin geslaagd de Cerber-ransomware te kraken, zodat slachtoffers kosteloos hun bestanden kunnen ontsleutelen. Cerber is een ransomware-exemplaar dat begin maart van dit jaar voor het eerst werd ontdekt. Net als andere ransomware versleutelt Cerber bestanden voor losgeld. De ransomware had het onder andere op Nederlandse internetgebruikers voorzien. Cerber wordt als een 'Ransomware as a Service' aangeboden. Criminelen kunnen de Cerber-ransomware gebruiken, waarbij er een deel van de inkomsten naar de ontwikkelaars gaat. Volgens Check Point zijn er 161 campagnes actief die van Cerber gebruikmaken. In juli alleen werden hierdoor 150.000 gebruikers in 201 landen getroffen. Zo'n 0,3% van de slachtoffers zou uiteindelijk betalen. Het beveiligingsbedrijf claimt dat de ransomwarecampagnes in juli bij elkaar 195.000 dollar opleverden. De ontwikkelaars ontvingen zo'n 78.000 dollar. Het restant werd met de partners gedeeld. Samen met IntSights onderzocht Check Point de wereldwijde distributie-infrastructuur. De onderzoekers waren in staat slachtoffers te achterhalen en zo betalingen en transacties te analyseren. Vervolgens konden zij zowel de inkomsten die de malware genereert als de geldstroom zelf volgen. Deze informatie diende uiteindelijk als blauwdruk voor een decryptie-tool waarmee slachtoffers zonder te betalen hun bestanden kunnen laten ontsleutelen. De tool is op de website cyberdecrypt.com te vinden. bron: security.nl

Mozilla gaat Firefoxgebruikers voortaan waarschuwen voor add-ons waarbij het nodig is om de browser te herstarten. In het begin moest Firefox voor het installeren van add-ons altijd opnieuw worden gestart. Vervolgens kwamen de extensies waarbij dit niet meer nodig is. Mozilla gebruikte een aparte vermelding voor deze add-ons op addons.mozilla.org. Er werd een "No Restart" badge bij de betreffende extensie getoond. Volgens de opensource-ontwikkelaar hielp dit gebruikers om te zien welke add-ons soepeler te installeren waren, wat ontwikkelaars weer aanmoedigde om dit ook bij hun eigen add-ons te implementeren. Er zijn nu echter meer extensies die geen herstart vereisen dan waar dit wel nodig is. Daarom heeft Mozilla besloten om de add-ons waarbij dit nog wel is vereist van een aparte badge met "Restart Required" te voorzien en de badge voor de andere add-ons te verwijderen. "Add-ons die niet hoeven te worden herstart zijn de norm aan het worden en het is een fantastische mijlpaal en grote verbetering voor de add-on-ervaring", zegt Mozilla's Andy McKay. bron: security.nl

Onderzoekers zijn er opnieuw in geslaagd om een beveiligingsfunctie van Windows 7 en Windows 10 te omzeilen die ongewenste aanpassingen aan systeeminstellingen moet voorkomen. Het gaat om Gebruikersaccountbeheer, ook bekend als User Account Control (UAC). UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Onderzoekers Matt Graeber en Matt Nelson lieten eind juli al zien hoe ze UAC via Schijfopruiming konden omzeilen. Nu hebben ze een andere methode ontdekt, namelijk het gebruik van Event Viewer. Via Event Viewer is het mogelijk om logbestanden te bekijken van gebeurtenissen die zich binnen het besturingssysteem hebben voorgedaan. Gebruikten de onderzoekers voor het omzeilen van UAC via Schijfopruiming een kwaadaardig dll-bestand, in het geval van de nu getoonde methode via Event Viewer gebeurt dit zonder aanvullende bestanden. Het lukte de onderzoekers om via Event Viewer een registerproces te kapen, PowerShell te starten en vervolgens met verhoogde rechten commando's op de machine uit te voeren. De onderzoekers hebben de aanval op Windows 7 en Windows 10 gedemonstreerd, maar stellen dat waarschijnlijk ook andere Windowsversies kwetsbaar zijn. Om de aanval uit te voeren moet een aanvaller wel al toegang tot het systeem hebben. Graeber en Nelson laten niet weten of ze het probleem aan Microsoft hebben gemeld. Dat was wel het geval met de methode die van Schijfopruiming gebruikmaakte. De softwaregigant stelde destijds dat het niet om een beveiligingslek ging en was dan ook niet van plan om het op te lossen. bron: security.nl

Wetenschappers van de universiteit van San Diego hebben een nieuwe methode ontwikkeld voor het vinden van Trojaanse paarden in computerchips. Of het nu om smartphones, routers of computers gaat, ze bestaan vaak uit allerlei onderdelen en chips. Het is echter mogelijk om chips zo te programmeren dat ze bepaalde taken uitvoeren, zoals een aanvaller toegang verlenen of gevoelige informatie doorsturen. Dit probleem wordt nog eens door de logistieke keten vergroot, aangezien de chips over de hele wereld worden geproduceerd. "Hardware Trojans", die ook nog eens lastig zijn te detecteren, hebben dan ook allerlei voordelen voor aanvallers. Om dergelijke aangepaste chips toch te vinden hebben wetenschappers een nieuwe techniek bedacht die kijkt hoe de informatie zich door de logische poorten van een chip beweegt, net zoals het verkeer zich op een kruispunt beweegt en waar het zich aan de verkeersregels en -signalen moet houden. Als de informatie opeens naar een deel van de chip gaat waar het niet hoort te zijn, zal de nieuwe methode bepalen of het door een Trojaans paard komt of niet. De onderzoekers noemen deze methode "Gate-Level Information-Flow Tracking" (GLIFT). Hierbij wordt er een label aan belangrijke data in een hardware-ontwerp toegevoegd. Is het doel bijvoorbeeld om te begrijpen waar een encryptiesleutel zich bevindt, dan wordt het label "vertrouwelijk" aan bits van de sleutel toegevoegd. De test-engineer kan dan kijken of de encryptiesleutel in een beveiligd deel van de chip blijft. Komt de encryptiesleutel echter buiten dat gebied, dan is de hardware mogelijk gecompromitteerd. Volgens onderzoeker en hoogleraar Ryan Kastner zijn Trojaanse paarden in chips speciaal ontworpen om geen activiteit tijdens tests te vertonen. "Hardware-ontwerpen zijn complex en bestaan vaak uit miljoenen regels code. De standaardregel is om elke vijf regels een fout te verwachten. Mensen met verkeerde bedoelingen, bijvoorbeeld een boze werknemer, kan deze speciale fouten aan bepaalde patronen toevoegen die waarschijnlijk niet worden getest. Vervolgens wachten ze op bepaalde invoer om actief te worden." Via GLIFT moet dit toch worden opgemerkt. Kastner stelt dat de methode er dan ook voor moet zorgen dat fabrikanten met veel meer vertrouwen chips aan hun producten kunnen toevoegen die door iemand anders zijn ontwikkeld. bron: security.nl

Criminelen hebben een botnet gebruikt om profielgegevens van LinkedIn-gebruikers te stelen, zo blijkt uit een rechtszaak die de zakelijke netwerksite tegen de onbekende aanvallers heeft aangespannen. LinkedIn hoopt zo de daders achter de datadiefstal te kunnen achterhalen, zo meldt Silicon Beat. "Sinds december vorig jaar tot nu toe hebben onbekende personen en/of entiteiten verschillende geautomatiseerde softwareprogramma's gebruikt (bots) om data van LinkedIn-pagina's te kopiëren", aldus LinkedIn in de aanklacht. De gekopieerde gegevens zouden vervolgens met andere partijen zijn gedeeld. Volgens LinkedIn zorgen deze acties ervoor dat het vertrouwen van LinkedIn-gebruikers hierdoor wordt geschaad. Om de gegevens te stelen zouden de aanvallers duizenden nepprofielen hebben aangemaakt en daarna de netwerksite zijn afgegaan. "De aanvallers gebruiken een gecoördineerd en geautomatiseerd netwerk van computers, ook bekend als een botnet", laat de aanklacht verder weten. Wie de aanvallers zijn is onbekend. Wel zou LinkedIn maatregelen hebben genomen om het "scrapen" van de website tegen te gaan. De aanvallers wisten deze maatregelen echter te omzeilen door gebruik van partijen te maken die op een whitelist van LinkedIn staan. Zodoende konden ze weer toegang tot servers van de netwerksite krijgen. Door de rechtszaak wil LinkedIn dat de providers en netwerken waar de aanvallers gebruik van maken worden gedwongen om de identiteit van de aanvallers prijs te geven. bron: security.nl

Onderzoekers hebben in een ip-camera van de Zuid-Koreaanse elektronicafabrikant Samsung tal van beveiligingsproblemen gevonden waardoor een aanvaller in het ergste geval op afstand een apparaat volledig kan overnemen. Het gaat om de Samsung SNH-6410BN. Het apparaat wordt als babycamera, binnencamera en beveiligingscamera gebruikt. "De beeldkwaliteit is redelijk, maar zoals de norm is met ip-camera's schiet de netwerkbeveiliging te kort", aldus het Britse beveiligingsbedrijf Pen Test Partners. Onderzoekers ontdekten in totaal 10 beveiligingsproblemen. Zo worden inloggegevens onversleuteld verstuurd, is er een webinterface aanwezig die niet in de documentatie wordt vermeld, moet er via deze webinterface een wachtwoord worden ingesteld en is het mogelijk om het ingestelde camerawachtwoord te resetten. Verder is de firmware niet tegen reverse engineering beschermd, is root de enige gebruiker, heeft Samsung onbedoeld de testfunctionaliteit aan laten staan, wordt alle gebruikersinvoer geaccepteerd en draait het apparaat een onnodige ssh-service. De onderzoekers wisten door al deze problemen uiteindelijk volledige controle over het apparaat te krijgen. Ze waarschuwden Samsung. De fabrikant kwam uiteindelijk met een update die de webinterface en ssh uitschakelt. De overige problemen zijn nog niet verholpen. bron: security.nl

Onderzoekers hebben een firewall voor usb-apparaten ontwikkeld om zo allerlei soorten usb-aanvallen te voorkomen. Door de complexe aard van usb is de echte functionaliteit voor gebruikers verborgen en besturingssystemen vertrouwen blindelings alle aangesloten usb-apparaten. Dit heeft voor verschillende aanvallen gezorgd, bijvoorbeeld usb-sticks die de computer laten geloven dat ze een toetsenbord zijn en vervolgens allerlei commando's uitvoeren waardoor een aanvaller volledige controle krijgt. Als oplossing voor dit probleem bedachten onderzoekers van de Universiteit van Florida en Universiteit van Illinois "USBFILTER". Dit is een firewall die op pakketniveau toegangscontrole over usb-apparaten geeft en kan voorkomen dat ongeautoriseerde apparaten verbinding met de computer maken. Het filter is namelijk in staat om individuele usb-pakketten naar de verantwoordelijke processen te herleiden en ongeautoriseerde toegang te voorkomen. Niet alleen kan USBFILTER bepaalde usb-apparaten blokkeren, het kan ook de toegang tot een bepaalde applicatie beperken. Zo is het mogelijk om in te stellen dat alleen Skype de webcam mag benaderen. De impact van de firewall op de prestaties, bij bijvoorbeeld het kopiëren van bestanden, is volgens de onderzoekers verwaarloosbaar. De code van USBFILTER is via GitHub te downloaden. bron: security.nl

Israëlische onderzoekers hebben malware ontwikkeld die het geluid van de harde schijf gebruikt om gegevens op computers die niet met internet verbonden zijn naar apparaten te versturen die wel internettoegang hebben. De onderzoekers noemen hun aanval "DiskFiltration". Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks. Om vervolgens van een besmette offline computer data te stelen ontwikkelden onderzoekers verschillende methodes, zoals het gebruik van de speakers, zowel intern als extern, om via geluidssignalen de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone terug te sturen. Als oplossing kregen beheerders van offline computers het advies om de speakers van het systeem uit te schakelen of te verwijderen, om zo een 'audio-gap' te creëren. Onderzoekers van de Ben-Gurion Universiteit in Israël hebben echter verschillende manieren gevonden om zelfs van dit soort systemen gegevens te stelen. In juni kwamen ze met Fansmitter, kwaadaardige code om via de ventilatoren van de computer gegevens door te sturen. Nu presenteren ze "DiskFiltration". Deze malware gebruikt de leesarm van de harde schijf om lees- en schijfoperaties uit te voeren. Dit veroorzaakt een akoestisch signaal dat kan worden gebruikt om informatie naar een apparaat in de buurt te versturen. Het gaat dan bijvoorbeeld om een besmette laptop, smartwatch of smartphone die over een microfoon beschikt en mogelijk met internet verbonden is. Op deze manier is het mogelijk om over een afstand van maximaal 2 meter 180 bits per minuut te versturen. Volgens de onderzoekers is deze malware vooral interessant voor het aanvallen van systemen die niet met internet verbonden zijn of van computers die wel internettoegang hebben, maar waarvan de internetverbinding door ids- en ips-systemen wordt gemonitord. Om de aanvallen te voorkomen adviseren de onderzoekers om de harde schijven door stillere modellen of ssd's te vervangen, speciale kastjes te gebruiken of een zone in te stellen waarbij het bijvoorbeeld niet is toegestaan om in een ruimte met gevoelige systemen een smartphone mee te nemen. bron: security.nl

Netwerkfabrikant D-Link heeft in verschillende routers een beveiligingslek gedicht waardoor een aanvaller via het internet in het ergste geval willekeurige code op het apparaat kon uitvoeren, zoals het installeren van malware of aanpassen van instellingen. Een onderdeel dat sessiecookies controleert was kwetsbaar voor een bufferoverflow. Een dienst die hiervan gebruikmaakt is via het WAN-netwerk op poort 8181 toegankelijk. De problemen zijn aanwezig in 11 modellen, waaronder de DIR-850L B1, DIR-885L A1 en DIR-818L(W). Updates zijn via de website van D-Link te downloaden, zoals in het beveiligingsbulletin wordt uitgelegd. bron: security.nl

Computers met een Skylake-processor waar Windows 7 en 8.1 op draait zullen langer door Microsoft met beveiligingsupdates worden ondersteund, zo heeft de softwaregigant gisterenavond bekendgemaakt. In maart van dit jaar werd de ondersteuning al tot 17 juli 2018 verlengd. Nu laat Microsoft weten dat deze systemen tot het einde van de supportperiode van Windows 7 en 8.1 op beveiligingsupdates kunnen blijven rekenen. In het geval van Windows 7 is dat tot 14 januari 2020, terwijl de support voor Windows 8.1 op 10 januari 2023 afloopt. Volgens Microsoft is deze aanpassing mogelijk door een goede samenwerking met fabrikanten en Intel, die de werking van de beveiligingsupdates zullen testen. De nieuwe generatie Intel-processoren met de naam Kaby Lake en de zevende generatie AMD-processoren zullen alleen op Windows 10 worden ondersteund. Ondanks de verlengde supportperiode adviseert Microsoft eigenaren van een Skylake-systeem om naar Windows 10 te upgraden. bron: security.nl

Browserontwikkelaar Opera is met een beveiligingsupdate gekomen voor gebruikers van Windows XP en Windows Vista. Opera is naar eigen zeggen de enige grote browserontwikkelaar die beveiligingsupdates voor de XP- en Vista-versies blijft uitrollen. Dat is niet helemaal waar, aangezien Firefox ook nog op Windows XP en Vista wordt ondersteund. Eerder liet Google echter weten dat Chrome Windows XP en Vista niet meer ondersteunt. De laatste Opera-versie die voor Windows XP en Vista verscheen was Opera 36 en is gebaseerd op Chrome 49. Nu heeft Opera de updates die in Opera 37 zijn verwerkt, de versie die op Chrome 50 is gebaseerd, ook voor Opera 36 op Windows XP en Vista beschikbaar gemaakt. De beveiligingsupdate zal automatisch onder gebruikers worden uitgerold, maar kan ook via Opera.com worden gedownload. bron: security.nl