Captain Kirk

Lenovo heeft een beveiligingsbulletin uitgebracht waarin het klanten waarschuwt voor de Superfish-adware die vooraf op laptops werd geinstalleerd. Volgens de fabrikant zijn er in Superfish verschillende kwetsbaarheden ontdekt, waaronder de installatie van een zelf gesigneerd rootcertificaat. Consumenten kunnen Superfish wel verwijderen, maar het Superfish-certificaat blijft echter gewoon op het systeem staan. Aangezien Superfish volgens Lenovo SSL-verkeer onderschept is dit een "beveiligingszorg". Daarom heeft de fabrikant verwijderinstructies online gezet, alsmede een lijst van kwetsbare laptops. Het betreft laptops in de E-, Flex-, G-, M-, S-, U-, Y- Yoga- en Z-series die tussen september 2014 en februari 2015 zijn geleverd. Bij elkaar gaat het om meer dan 40 modellen. Klanten die het certificaat laten staan lopen in bepaalde scenario's, bijvoorbeeld bij een open wifi-netwerk, het risico om via een Man-in-the-Middle te worden aangevallen. Gebruikers krijgen dan ook het advies het certificaat te verwijderen. Verder zou Superfish zijn gevraagd om alle serveractiviteit van de software uit te schakelen. Via Twitter meldt Lenovo dat het druk bezig is om het probleem te verhelpen en het vertrouwen van klanten terug te winnen. Ook het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft inmiddels een waarschuwing voor het certificaat afgegeven en adviseert gebruikers om het te verwijderen. Verder zijn er door de Amerikaanse burgerrechtenbeweging EFF verwijderinstructies online gezet, waaronder voor Firefoxgebruikers. bron: security.nl

Een onderzoeker die een programma schreef om onder andere de "vingerafdrukken" van SSH-sleutels te verzamelen stond vreemd te kijken toen hij één vingerafdruk op meer dan 250.000 apparaten aantrof. Het bleek om routers van de Spaanse telecomprovider Telefonica de Espana te gaan. Sommige netwerkapparatuur zou standaard van SSH zijn voorzien, waarbij de fabrikant beslist om dezelfde image van het besturingssysteem op alle apparaten uit te rollen. Onderzoeker John Matherly, tevens oprichter van de Shodan-zoekmachine, vond ook nog twee sleutels die respectievelijk 200.000 en 150.000 keer werden gebruikt. "Door deze zaken te analyseren is het makkelijk om een beeld te krijgen van de systematische problemen die zowel hardwarefabrikanten als internetproviders plagen", aldus Matherly. Hij heeft een lijst van unieke vingerafdrukken verzameld en biedt die nu via Github aan. "Het zou me niet verbazen als je interessante beveiligingsproblemen vindt door te analyseren waarom deze dingen verkeerd geconfigureerd zijn", zo merkt hij op. bron: security.nl

Ik weet wat je bedoelt. Ik heb ooit een pc gehad die ook bleef hangen bij het opstarten en volgens een vreemde kraak liet horen. Een tik op de kast loste het probleem op... tot die ene keer dat na de tik de hele kast met een knal van de grond kwam en behoorlijk begon te roken. Zwarte binnenkant tot gevolg Maar het was idd een leuke ervaring. Bij jouw zal het probleem veroorzaakt worden door een kapot mechanische van de schrijf/leeskop van de schijf. Vervangen is dus sterk aan te raden en vergeet tot de vervanging niet om regelmatig een back-up te draaien.

De kwaadaardige firmware die een groep cyberspionnen inzet om computers permanent te kunnen blijven bespioneren is nauwelijks te detecteren en zeer lastig te verwijderen. "Het is extreem lastig te detecteren. Vanaf het softwareniveau is het zelfs onmogelijk", zegt Vitaly Kamluk, onderzoeker van Kaspersky Lab. Het Russische anti-virusbedrijf onthulde deze week het bestaan van de spionagegroep die allerlei zeer geavanceerde malware ontwikkelde. Eén onderdeel viel echter op, namelijk de mogelijkheid om de firmware van allerlei populaire merken harde schijven te infecteren. Daardoor blijft de malware verborgen en actief, ook al wordt de harde schijf geformatteerd of het besturingssysteem opnieuw geïnstalleerd. Daarnaast zorgt de code ervoor dat de aanvallers een onzichtbare opslag op de harde schijf kunnen aanmaken. "Dit is uniek en de eerste keer dat we dit niveau van complexiteit van een geavanceerde aanvaller hebben gezien", aldus de beveiligingsonderzoeker. Toch zou de module zelden zijn ingezet. "Slechts een zeer selecte lijst van slachtoffers heeft dit ontvangen. Dit is één van de meest bijzondere modules die ik heb gezien omdat die zo waardevol is. Ze willen dus niet dat die bekend wordt", liet Kamluk deze week tijdens een conferentie weten, zo meldt Threat Post. "Het is een waardevolle plug-in die alleen in specifieke gevallen voor zeer belangrijke personen wordt gebruikt." Om de kwaadaardige firmware te detecteren moet de pc uit elkaar worden gehaald en er een dump van de firmware worden gemaakt. "En we denken dat slechts een paar mensen in de wereld in staat zijn om de kwaadaardige code binnen de firmware te analyseren, te vergelijken en te ontdekken", stelt Kamluk. HandleidingVolgens de onderzoeker kost het jaren om firmware te kunnen schrijven. De spionagegroep zou echter geen kwetsbaarheid gebruiken, maar alleen meeliften op de manier waarop fabrikanten firmware-updates uitrollen. "Ze hebben de deur opengelaten en mogelijk stond die al jaren open. De truc is dat je de volledige omschrijving, de volledige referentie van de huidige firmware moet hebben en hoe die werkt." Kamluk speculeert dat de aanvallers waarschijnlijk toegang tot interne handleidingen en documentatie van de betreffende leveranciers hebben. Handleidingen die mogelijk zijn gestolen door een insider of via een andere malware-aanval. "Ze maken geen misbruik van een lek in de code. Het is een fout in het ontwerp." Vanwege de proprietary communicatieprotocollen en algoritmes kostte het de onderzoekers maanden voordat ze doorhadden hoe de malware precies werkte. Een daadwerkelijk besmette firmware hebben de onderzoekers nog niet kunnen vinden. bron: security.nl

Belgische banken hebben massaal de SSL-problemen die door een Belgische blogger werden ontdekt verholpen. Zo ondersteunen de banken geen oudere versies meer van het SSL-protocol. Het SSL-protocol wordt onder andere gebruikt om het verkeer tussen bezoekers en de banksite te versleutelen. Blogger Yeri Tiete besloot de SSL-implementaties van de banken te testen via de website van SSL Labs. Het resultaat was schokkend, waarbij allerlei grote banken een onvoldoende scoorde. Zo werd bijvoorbeeld het SSL 3.0-protocol nog ondersteund. In dit protocol zijn kwetsbaarheden ontdekt die een aanvaller in bepaalde scenario's kan gebruiken om gebruikers aan te vallen. VerholpenDe Belgische banken kwam na het bericht en de mediastorm die losbrak in actie en hebben grotendeels de gevonden problemen verholpen. Zo ging ING Belgie van een "F" naar een "A-". De Record Bank deed hetzelfde, zo blijkt uit een blogposting van Tiete. Fortuneo en Ogone scoren met een "C" het laagst, maar Ogone heeft aangegeven dat het vandaag de ondersteuning van SSL 3.0 zal stopzetten. "We hebben vandaag beslist om de oudere SSL-versie 3 niet langer te ondersteunen en minstens TLS 1.0 te eisen. Hierdoor kan een beperkt aantal cliënten sinds vanmorgen niet meer inloggen. We nemen nu met hen contact op. Door deze aanpassing is onze score op de 'SSL Labs test' meteen verhoogd van C naar B, wat een veilige score is", zo liet Luk Lammens, woordvoerder van Bank van Breda & Co, maandag al tegenover Het Laatste Nieuws weten. ING, Record Bank en Bank van Breda & Co benadrukken dat de veiligheid van online betalingstransacties op geen enkel moment in gevaar is geweest. "De aangehaalde gevoeligheden waren bekend", aldus een woordvoerder van Record Bank. "En de geplande aanpassingen worden versneld uitgevoerd, waardoor Record Bank nog in de loop van de dag een topniveau zal halen." Ook de Keytrade Bank stelt dat haar website steeds veilig was. "We maken wel degelijk gebruik van het SHA-256 (SHA2) mechanisme", aldus de bank. "Sommige besturingssystemen van Apple zijn niet in staat zijn het certificaat van de uitgever te herkennen wanneer deze gebruik maakt van dat mechanisme. We bevelen al onze klanten aan om steeds de meest recente updates browsers en besturingssystemen te installeren." bron: security.nl

Een groep cyberspionnen heeft via verschillende social engineering-trucs wereldwijd meer dan 3.000 computers weten te infecteren, waarbij ongeveer 1 miljoen bestanden werden gestolen. Ook in Nederland zijn één of meerdere infecties waargenomen, zo meldt anti-virusbedrijf Kaspersky Lab. De aanvallers, die vanuit het Midden-Oosten zouden opereren, hadden het vooral op politieke en militaire inlichtingen voorzien. Voor het infecteren van slachtoffers werden verschillende trucs toegepast. Zo werden er spear phishingmails gestuurd, met als bijlage RAR-bestanden. Deze RAR-bestanden bevatte weer SCR- en en EXE-bestanden. Ook gebruikten de aanvallers een truc met snelkoppelingen. Doelwitten kregen een RAR-bestand toegestuurd dat uitgepakt verschillende bestanden opleverde, waaronder twee .doc-bestanden. Eén bestand was echter een snelkoppeling. Zodra gebruikers de snelkoppeling openden werd de malware uitgevoerd. Een andere truc die werd toegepast was het gebruik van RTLO, wat staat voor Right-to-Left-Override en ervoor zorgt dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Hierdoor wordt SexyPictureGirlAl[RTLO]gpj.exe in Windows als SexyPictureGirlAlexe.jpg weergegeven. In het geval van deze aanvallen deed de malware zich via RTLO voor als een PDF-document, voorzien van bijbehorend icoon, maar was in werkelijkheid een uitvoerbaar SCR-bestand. Gebruikers kunnen RTLO-aanvallen herkennen door in Windowsmappen de detailweergave in te stellen. Achter de bestandsnaam verschijnt dan ook het bestandstype. In dit geval zou er zijn aangegeven dat het om een applicatie ging. Facebook en Real PlayerDe aanvallers waren ook actief op Facebook, waarbij ze doelwitten via de sociale netwerksite benaderden. Nadat het vertrouwen was gewonnen werden er RAR-bestanden verstuurd die malware bevatte. Voor grootschalige infecties onder activisten en politieke figuren werd Facebook ook ingezet. In dit geval werden er Facebookberichten geplaatst die naar malafide pagina's wezen waarop malware werd aangeboden. Ook kwam het voor dat de aanvallers naar een pagina met bijvoorbeeld een gecensureerde video wezen. Om de video te bekijken moest de aangeboden "RealPlayer plug-in" worden geïnstalleerd. Het aangeboden bestand was echter malware. Nadat computers waren geïnfecteerd werden de nieuwe doelwitten in groepen verdeeld. Vervolgens werd er een lijst van alle XLS-, DOC-, JPG- en WAV-bestanden op de harde schijf en aangesloten USB-sticks naar de aanvallers gestuurd. De aanvallers maakten vervolgens verbinding met de computer om interessante foto's en afbeeldingen te stelen. Ook werden er chatgesprekken en screenshots verzameld. Afhankelijk van het doelwit werd de surveillance vervolgens geïntensiveerd of gestaakt. In totaal wisten de aanvallers meer dan 800.000 bestanden van harde schijven te stelen en ruim 80.000 bestanden van USB-sticks. bron: security.nl

Microsoft heeft de defecte PowerPoint-update die vorige week wegens problemen bij gebruikers werd teruggetrokken door een nieuwe update vervangen. Al gauw na het verschijnen van de update vorige week dinsdag klaagden gebruikers van Windows RT-toestellen over problemen. Na de installatie was het namelijk niet meer mogelijk om PowerPoint te starten. Daarop besloot Microsoft update KB2920732 terug te trekken en voorlopig niet meer aan te bieden. De update is nu vervangen door update KB2956149, die via Microsoft Update wordt aangeboden. Het gaat hier niet om een security-gerelateerde update, maar een update die de stabiliteit en betrouwbaarheid van de software moet verbeteren. bron: security.nl

Nog altijd 11.000 computers wereldwijd zijn met een geavanceerde worm besmet die in 2008 werd ontwikkeld en als de voorloper van de beruchte Stuxnet-worm wordt beschouwd. De Fanny-worm werd gisteren al door Kaspersky Lab onthuld en vandaag zijn er meer details openbaar gemaakt. De worm gebruikte twee zero day-lekken in Windows om zich via USB-sticks te verspreiden. Het aansluiten van een besmette USB-stick op een Windowscomputer, ook al stond Autorun uitgeschakeld, was voldoende om besmet te raken. De worm gebruikte hiervoor het LNK-lek dat later ook door de Stuxnet-worm werd gebruikt. De tweede kwetsbaarheid die Fanny gebruikte zorgde ervoor dat de malware beheerdersrechten kreeg. De kwetsbaarheden werden in 2009 en 2010 door Microsoft gepatcht. VermommingHoewel Stuxnet bekend staat als de eerste malware die het LNK-lek gebruikte, werd er in 2010 een Trojaans paard ontdekt dat zich al eerder via dit lek verspreidde. Het ging om de Zlob Trojan, onderdeel van een grote malware-familie. Niemand in de anti-virusindustrie had echter aandacht aan dit malware-exemplaar gegeven. De makers van Fanny gebruikte een veelvoorkomende methode om de malware tijdens het starten van Windows te laden, waardoor de creatie als Zlob werd gedetecteerd. Er werd namelijk een registerwaarde aangemaakt om automatisch te starten. Volgens de onderzoekers hebben de malwareschrijvers dit opzettelijk gedaan, om zo automatische controlesystemen van anti-virusbedrijven en onderzoekers om de tuin te leiden. Die zouden de malware namelijk detecteren en, vanwege de veel gebruikte starttechniek, er verder geen aandacht aan schenken. Daardoor bleef de diepere werking en functionaliteit van Fanny verborgen. De belangrijkste functionaliteit van de worm is het in kaart brengen van systemen en netwerken die niet met internet verbonden zijn. Waar Stuxnet alleen op specifieke systemen werkte, infecteerde Fanny alle Windowscomputers waar het op terechtkwam. Niet alleen kon de worm computers eenvoudig infecteren. Zodra USB-sticks op een besmette computer werden aangesloten, raakten die ook geïnfecteerd en kon de worm zich verder verspreiden. SlachtoffersDe onderzoekers wisten de Command & Control-server die de aanvallers gebruikten voor het aansturen van besmette computers over te nemen. In totaal maakten nog altijd 11.200 unieke IP-adressen verbinding met deze server. Zestig procent daarvan is afkomstig uit Pakistan, gevolgd door Indonesië (16%) en Vietnam (14%). Of Pakistan ook het oorspronkelijke doelwit van Fanny was is onbekend. De situatie is mogelijk anders toen de worm tussen 2008 en 2010 werd ingezet. Wel merken de onderzoekers op dat de groep die Fanny ontwikkelde ook andere malware maakte die het op Pakistan had voorzien. Het werkelijke doelwit van Fanny is echter onbekend, zo stellen de onderzoekers. Mogelijk dat de worm is gebruikt om potentiële doelwitten voor Stuxnet te selecteren. Een ander opmerkelijk feit is het grote aantal infecties in Pakistan. Het gebruik van USB-sticks is namelijk een trage verspreidingsmethode. Daarom denken de onderzoekers dan ook dat de eerste infecties in Pakistan plaatsvonden. bron: security.nl

Vorige maand werd bekend dat Microsoft eindelijk HTTP Strict Transport Security (HSTS) aan Internet Explorer gaat toevoegen, wat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen. Nu heeft de softwaregigant meer details over de beveiligingsmaatregel gegeven. HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd. HSTS biedt websites twee mogelijkheden om hun verbindingen met bezoekers te beveiligen. De eerste optie is het registreren van de website op een lijst die door Internet Explorer en andere browsers wordt geladen, waarbij het HTTP-verkeer direct naar HTTPS wordt doorgezet. Hierbij maakt IE gebruik van de Chromium HSTS-lijst. Chromium is de opensourcebrowser waarop Google Chrome is gebaseerd. De tweede optie is het aanbieden van een HSTS-header. In dit geval zal de browser nadat die de website voor de eerste keer via HTTPS heeft bezocht, alle toekomstige HTTP-verbindingen via HTTPS laten lopen. Microsoft waarschuwt dat HSTS twee belangrijke gevolgen voor gebruikers kan hebben. Als er namelijk een certificaatwaarschuwing verschijnt zal de gebruiker die niet kunnen negeren en moet hij de verbinding verbreken. Daarnaast wordt op HSTS-sites geen gemengde content ondersteund. Alle content moet via HTTPS worden aangeboden. Dit kan voor websites een probleem zijn waar bijvoorbeeld advertenties en afbeeldingen over HTTP worden geladen. De HSTS-feature is nu al in de Windows 10 Technical Preview te testen en zal later ook aan de Project Spartan-browser van het nieuwe besturingssysteem worden toegevoegd. bron: security.nl

Ik ga er van uit dat je probleem cq vraag opgelost is. Daarom sluit ik dit topic. Wil je het topic toch weer open hebben, stuur dan een van ons even een pm. Voor een nieuw onderwerp vragen we je een nieuw topic te starten. Veel plezier met de S3 Greetings, Captain Kirk

Ik zou nog even wachten voordat je de pc met het keukengerei gaat onderzoeken Heb je wel al mijn adviezen geprobeerd?

Vorig jaar was maar liefst 14% van de thuisnetwerken besmet met malware, een stijging ten opzichte van 2013, toen het nog om 9% ging. Dat stellen onderzoekers van Alcatel-Lucent. De stijging zou met name door adware zijn veroorzaakt. In de Top 20 van meestvoorkomende dreigingen komen zeventien malware-exemplaren voor Windows voor, twee voor Android en een exemplaar voor het uitvoeren van DDoS-amplificatie-aanvallen. De meeste malware-exemplaren die de onderzoekers aantroffen vallen in de categorie adware. 2,25% van de thuisnetwerken zou echter met de Carberp banking Trojan besmet zijn, een Trojaans paard speciaal ontwikkeld om geld van online bankrekeningen te stelen. Wordt er specifiek op de gevaarlijke malware ingezoomd, dan verschijnt in het overzicht ook de Flashback Trojan voor Mac OS X. Deze malware werd op 1,64% van de thuisnetwerken aangetroffen. Mobiele apparatenDe onderzoekers keken ook naar infecties op mobiele apparaten. Die werd vorig jaar vastgesteld op 0,68%, wat zou neerkomen op zo'n 16 miljoen apparaten. Mobiele malware wordt volgens de onderzoekers steeds geraffineerder. Verder werd er ook een toename van mobiele spyware waargenomen. Hiermee is het mogelijk om de locatie van de telefoon te traceren. In het overzicht van mobiele infecties heeft Windows met 50% een groot aandeel. Dit zou komen door Windowscomputers die via dongels met mobiele netwerken zijn verbonden en mobiele wifi-apparaten, of via een smartphone internet hebben. De onderzoekers verklaren het hoge percentage doordat deze computers nog steeds de favoriet van de doorgewinterde cybercrimineel zijn. bron: security.nl

Het zou in principe niet veel uit mogen maken. Aangezien de computer ook niet met de nieuwe computer werkt ga ik toch denken aan een defect in het moederbord of een van de componenten van de pc welke de oude voeding heeft doen overlijden. Meet de nieuwe voeding voor de zekerheid door en probeer dan eens met de tips welke ik gaf mbt het zo kaal mogelijk opstarten en het controleren van het moederbord en de condensatoren.

Dat klinkt inderdaad als redelijk normaal. Probeer zeker in het begin de batterij zo leeg mogelijk te maken eer je hem opnieuw op gaat laden. Dat is iets beter voor de batterij.

Ombouwen naar Linux valt erg me hoor. Met een Live-cd is het allemaal vrij snel geregeld. Je kunt de live-cd ook eerst even uitproberen zonder dat er al daadwerkelijk iets aan je systeem veranderd wordt of dat het OS al geïnstalleerd wordt. En tijdens de installatie worden alle drivers automatisch ook geregeld. Zelf gebruik ik oa de Mint-versie van Linux. Qua lay out ligt het erg dicht bij de looks van XP. Je hebt dus zo je weg erin gevonden. Het iso-bestand kun, mocht je belangstelling hebben, hier downloaden.

Oplaadtijd verschilt ook nog eens of het toestel nog volledig aan staat of niet. Hoe snel is het toestel geladen wanneer het helemaal uitgeschakeld is?

Inderdaad jammer, mijn nieuwsgierigheid was inmiddels toch wel behoorlijk gegroeid. Maar fijn dat alles weer terug werkt. Aangezien je probleem is opgelost, zal ik het onderwerp sluiten. Wil je toch nog een keer hierover verder, stuur dan een van de medewerkers een berichtje om het topic weer te openen. Voor een nieuw probleem vragen wij je een nieuw topic te starten. Veel kijkplezier en greetings, Captain Kirk

Met een XP-machine het net op is, zoals Asus en Porrelaar al hebben beschreven, niet verstandig. Aanvallers kunnen zonder dat je er iets voor hoeft te doen de lekken in je XP-machine eenvoudig opsporen en gebruiken cq misbruiken. Ok, je wilt de machine alleen gebruiken voor het streamen van muziek maar je zult als voorbeeldje niet doorhebben wanneer je machine door een happy-hacker wordt toegevoegd aan zijn botnet. Wil je de machine toch gebruiken voor alleen het streamen, zou je kunnen denken aan het ombouwen van de machine met een Linux-besturingssyteem. Maar ook hier zul je eerst zelf een wifi-kaartje in de machine moeten steken.

Een lastig probleem. Meest logische is als eerste inderdaad naar de voeding te kijken. Heb je de beschikking over een zogenaamde multimeter? Dan kun je eerst de voeding doormeten. Anders kun je dit in iedere speciaalzaak even laten doen. Daarna, zou ik grondig het moederbord aan een inspectie onderwerpen. Beginnend met de aansluiting van de Power-knop en de knop zelf. Zijn deze nog wel in orde? De volgende stap is het onderzoeken van de contacten, zijn er beschadigde contacten of banen of staan er condensatoren bol (zie afbeelding). Dat duidt op een kapot moederbord en is reparatie niet meer mogelijk. Wanneer dit niet het geval is, zou ik de computer proberen te starten met zo min mogelijk aangesloten hardware als DVD-rom, netwerkkaart, etc. Start de pc dan wel, volgens de pc iedere keer herstarten waarbij je een component aangesloten hebt. Het zal een zoektocht worden waarbij je stap voor stap moet uitsluiten wat het niet is.

Facebook heeft een platform gelanceerd waarmee internetbedrijven informatie over cyberdreigingen met andere partijen kunnen delen. Het platform heet ThreatExchange en is gebouwd op de bestaande Facebookinfrastructuur. Via verschillende APIs (application programming interface) kunnen deelnemers beschikbare dreigingsgegevens opvragen en aanleveren. Het gaat dan bijvoorbeeld om zaken als domeinen en malware-exemplaren. Het is voor deelnemers echter ook mogelijk om bepaalde gegevens alleen te delen met andere bedrijven die dezelfde problemen of aanvallen ervaren. Ook kan er gekozen worden om de informatie alleen binnen een bepaalde groep of met meerdere groepen te delen. Inmiddels zouden Pinterest, Tumblr, Twitter en Yahoo al aan het project meedoen en zullen binnenkort ook Bitly en Dropbox zich aansluiten. bron: security.nl

Een groep onderzoekers is erin geslaagd om allerlei belangrijke beveiligingsmaatregelen in Windows te omzeilen door slechts één bit aan te passen. Het probleem in de Windowskernel speelde tot gisterenavond in alle ondersteunde Windowsversies, waaronder de technische preview van Windows 10. Microsoft heeft de afgelopen jaren de Windowskernel van allerlei extra beschermingsmaatregelen voorzien die het lastiger voor een aanvaller moeten maken om een eventueel aanwezig lek ook daadwerkelijk te kunnen misbruiken. Het gaat dan om zaken als Kernel DEP, KASLR, SMEP en NULL Dereference Protection. Het lek dat de onderzoekers ontdekten maakte het mogelijk voor een aanvaller die toegang tot het systeem had om alle Windowsbeveiligingsmaatregelen te omzeilen. ExploitDe exploit die de onderzoekers van enSilo ontwikkelden vereiste slechts het aanpassen van één bit om misbruik van het lek te maken. Het probleem werd een aantal maanden geleden aan Microsoft gemeld, dat gisterenavond in de vorm van Security Bulletin MS15-010 met een update kwam. Via het lek, dat in dit filmpje wordt gedemonstreerd, zou een aanvaller zijn rechten op het systeem kunnen verhogen, aldus de omschrijving van Microsoft. De onderzoekers stellen dat ze hebben laten zien dat zelfs een kleine bug volledige controle over Windows kan geven. "Desondanks vinden we dat Microsofts pogingen om het besturingssysteem veiliger te maken de lat behoorlijk hebben verhoogd en het maken van betrouwbare exploits veel lastiger dan voorheen hebben gemaakt." Toch stellen ze dat deze maatregelen aanvallers niet op afstand zullen houden en die dit soort exploits uiteindelijk aan hun arsenaal zullen toevoegen. bron: security.nl

Mozilla heeft een plan aangekondigd waarmee de browserontwikkelaar schadelijke Firefox add-ons wil aanpakken. Eén van de sterke kanten van Firefox is de mogelijkheid om uitbreidingen te ondersteunen. Uitbreidingen die zowel via Mozilla's eigen website addons.mozilla.org (AMO) als andere kanalen kunnen worden verspreid. Dit geeft ontwikkelaars veel flexibiliteit en mogelijkheden, maar biedt ook rotte appels een kans. "We zijn verantwoordelijk voor ons add-ons ecosysteem en kunnen niet aan de zijkant blijven toekijken als onze gebruikers door kwaadaardige add-ons worden getroffen", zegt Mozilla's Jorge Villalobos. Het gaat dan om uitbreidingen die advertenties injecteren of scripts op sociale netwerksites uitvoeren. Mozilla hanteert wel richtlijnen, maar de kwaadaardige extensies houden zich daar niet aan en worden meestal buiten het kanaal van Mozilla verspreid. Mozilla heeft wel de mogelijkheid om deze add-ons te blokkeren, maar het vinden ervan wordt steeds onpraktischer. Villalobos merkt op dat Mozilla net als Google alleen add-ons via het eigen kanaal aan zou kunnen bieden, maar dat is een te gemakkelijke optie. Daarom is er nu een ander plan aangekondigd waarbij voortaan alleen nog gesigneerde add-ons worden geaccepteerd. Alle add-ons op AMO zullen automatisch worden gesigneerd. Extensies die via andere kanalen worden aangeboden moeten eerst via AMO worden gecontroleerd en gesigneerd. Add-ons die niet door de automatische controle heenkomen kunnen een handmatige check aanvragen. Er zal een overgangsfase plaatsvinden waarbij ongesigneerde apps gedurende een periode van 12 weken een waarschuwing zullen geven. Daarna zal het niet meer mogelijk zijn om deze extensies te installeren. Om ontwikkelaars nog enige vrijheid te geven zal het wel mogelijk worden om ongesigneerde extensies in vroege testversies van Firefox te installeren. Uiteindelijk moet de maatregel ervoor zorgen dat extensies die volledig gecontroleerd en gesigneerd zijn eenvoudiger en gebruikersvriendelijker kunnen worden geïnstalleerd, ongeacht waar ze worden aangeboden. Het plan is nu om de overgangsfase in het tweede kwartaal van dit jaar te starten, wat inhoudt dat de extensiewaarschuwingen waarschijnlijk in Firefox 39 zullen verschijnen. bron: security.nl

Virusscanners die schone bestanden ten onrechte als besmet aanmerken, de zogeheten false positives, zijn een groot probleem voor zowel anti-virusbedrijven, softwareontwikkelaars en eindgebruikers, maar de online virusscanner van Google wil dit gaan veranderen. Er is een nieuw project gestart genaamd "trusted source", waarbij grote softwareontwikkelaars zoals Microsoft hun softwarecatalogus delen. VirusTotal, de online virusscanner van Google, zal deze bestanden vervolgens apart markeren als trusted source. Als een virusscanner ze ten onrechte als malware beschouwt, waarschuwt VirusTotal het betreffende anti-virusbedrijf, zodat de false positive kan worden opgelost. Daarnaast zullen bestanden die onder anti-virusleveranciers worden verspreid ook de trusted source-vermelding krijgen, om zo onterechte waarschuwingen te negeren, wat een sneeuwbaleffect van verkeerde detecties moet voorkomen. Sinds het project een week geleden begon heeft VirusTotal alleen met Microsoft samengewerkt en de resultaten lijken veelbelovend. Meer dan 6.000 false positives werden namelijk verholpen. De ontwikkelaars van VirusTotal hopen dan ook hun verzameling van betrouwbare software uit te breiden. Grote softwarebedrijven worden dan ook opgeroepen om deze gegevens te delen. Wel laat VirusTotal weten dat het project niet openstaat voor "potentieel ongewenste applicaties" (PUPs) en adware-ontwikkelaars. bron: security.nl

Tijdens de patchdinsdag van februari heeft Microsoft negen updates uitgebracht die in totaal 56 lekken in Windows, Office, Internet Explorer en Microsoft Server software verhelpen. Drie van de patches zijn als kritiek beoordeeld, terwijl de overige zes als belangrijk werden bestempeld. De drie kritieke updates zijn voor de Windows Kernel-Mode Driver, Windows Group Policy en IE en geven een aanvaller de mogelijkheid om het besturingssysteem in het ergste geval volledig over te nemen. De meeste lekken werden deze patchdinsdag in Internet Explorer gepatcht. Security Bulletin MS15-009 repareert namelijk 41 kwetsbaarheden. Van deze lekken was er één al openbaar gemaakt voordat de update verscheen. Microsoft heeft echter geen aanvallen waargenomen die misbruik van het lek maken. Dat is anders in het geval van een ander lek dat MS15-009 verhelpt. Het gaat hier om een kwetsbaarheid om de ASLR-beveiliging van IE te omzeilen. Een aanvaller zou deze kwetsbaarheid met een ander lek moeten combineren voor het uitvoeren van een aanval. In het geval van Office behoren drie lekken tot het verleden. Deze kwetsbaarheden lieten een aanvaller willekeurige code op de computer uitvoeren als er een kwaadaardige Office-bestand werd geopend. Alle negen beveiligingsupdates zijn via Windows Update te downloaden. bron: security.nl

Om Tor toegankelijker voor gebruikers te maken heeft het Tor Project een experiment uitgevoerd waarbij de gebruiksvriendelijkheid van Tor Browser werd getest. Dit is de browser waarmee internetgebruikers eenvoudig verbinding met het Tor-netwerk kunnen maken om zo hun IP-adres af te schermen. Uit onderzoek blijkt namelijk dat mensen, als ze voldoende gefrustreerd raken, stoppen met de installatie of het gebruik van Tor. Het afgelopen weekend besloten ontwikkelaars, vormgevers, onderzoekers en gebruikers bij elkaar te komen om dit soort problemen aan te pakken. Gebruikers kregen de opdracht om verschillende taken uit te voeren, zoals het zoeken en installeren van Tor Browser, het uitvoeren van een zoekopdracht, het bekijken van een video, het gebruiken van een nieuwe identiteit en het gebruiken van de browser toolbarknoppen. Bij het zoeken naar Tor Browser liepen de vijf testgebruikers tegen verschillende downloadlocaties aan. Verder bleek dat Gatekeeper op Mac OS X het lastig maakt om apps te installeren die niet door een Apple-certificaat zijn gesigneerd. Een ander probleem werd ontdekt bij het openen van Tor Browser op een read-only bestandssysteem. Aan de hand van de nu ontdekte zaken zijn er tickets gemaakt. Daarnaast laat het Tor Project weten dat het deze bruikbaarheidstesten in de toekomst vaker wil organiseren. Het doel wordt dan om ook andere aspecten van Tor Browser te testen, zoals het downloaden van bestanden, updaten en beheren van Tor en niet-Tor browsers, alsmede het testen onder een grotere en meer diverse groep gebruikers. bron: security.nl