Captain Kirk

WordPress heeft besloten om voor meer dan een miljoen domeinen die het host gratis ssl in te schakelen. Zodoende is de verbinding tussen deze websites en hun bezoekers automatisch versleuteld en kunnen bezoekers de websites identificeren, zo heeft WordPress bekendgemaakt. WordPress.com ondersteunde al sinds 2014 ssl voor subdomeinen op WordPress.com. Nu zal het echter automatisch worden ingeschakeld voor eigen gekozen domeinen die via WordPress.com worden gehost. Hiervoor is WordPress een samenwerkingsverband met Let's Encrypt aangegaan. Dit initiatief heeft als doel om het verkeer van alle websites op internet te versleutelen. Hiervoor kunnen eigenaren van websites eenvoudig en gratis een ssl-certificaat aanvragen. Sinds de lancering van Let's Encrypt heeft de dienst ruim 1,5 miljoen gratis ssl-certificaten uitgegeven. De werkwijze die Let's Encrypt hanteert maakt het ook voor WordPress mogelijk om voor alle gehoste domeinen nu ssl-certificaten aan te vragen en te installeren. Via WordPress.com worden meer dan een miljoen zelf gekozen domeinen gehost, wat inhoudt dat het aantal uitgegeven ssl-certificaten via Let's Encrypt sterk zal stijgen. De maatregel van WordPress geldt niet voor websites die zelf een WordPress-installatie hebben geïnstalleerd. bron: security.nl

Adobe heeft een noodpatch voor Flash Player uitgebracht waarmee het 24 ernstige lekken in Flash Player dicht, waaronder een kwetsbaarheid die actief door cybercriminelen wordt gebruikt om computers aan te vallen. In eerste instantie stelde Adobe dat de aanvallen tegen computers met Windows XP en Windows 7 plaatsvonden, maar dat heeft het softwarebedrijf later veranderd. Ook systemen met Windows 10 en Windows 8.1 zijn doelwit van deze aanvallen. De aanvallen zijn gericht tegen versie 20.0.0.306 en ouder van Flash Player. Door beveiligingsmaatregelen die in nieuwere versies aanwezig werkt de aanval daar niet, ook al is de kwetsbaarheid wel aanwezig. Van de 24 verholpen kwetsbaarheden maken 22 het voor een aanvaller mogelijk om willekeurige code op de computer uit te voeren, zoals het installeren van malware. Het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie is in dit geval voldoende. De resterende twee kwetsbaarheden lieten een aanvaller de beveiligingsmaatregelen in Adobe Flash Player omzeilen, wat kan helpen bij misbruik van andere beveiligingslekken. Een deel van de kwetsbaarheden werd tijdens de recente Pwn2Own-hackwedstrijd gedemonstreerd. Tijdes deze wedstrijd moesten onderzoekers verschillende browsers en Adobe Flash Player zien te hacken. Flash Player werd twee keer gehackt. Adobe adviseert gebruikers om binnen 72 uur naar Flash Player versie 21.0.0.213 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 10 en 11 op Windows 8 en 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. bron: security.nl

Onderzoekers zijn erin geslaagd om de captcha's van Facebook en Google met grote nauwkeurigheid te kraken. De captcha's moeten het geautomatiseerd aanmaken van accounts voorkomen. Google hanteert een systeem waarbij letters moeten worden overgetypt, terwijl Facebook met afbeeldingen werkt. Gebruikers moeten in dit geval verschillende afbeeldingen over één onderwerp kiezen. Onderzoekers van de Columbia Universiteit slaagden er echter in om een aanval te ontwikkelen waarbij ze de captcha van Google in 70,8% van de gevallen geautomatiseerd wisten te kraken. De aanval op de captcha's van Facebook leverde zelfs een succespercentage van 83,5% op. Het grotere succes bij de Facebookcaptcha's is volgens de onderzoekers te verklaren door de hogere resolutie van de afbeeldingen die Facebook gebruikt en het feit dat ze ongerelateerde afbeeldingen gebruiken. Een captcha-challenge waarbij gebruikers een gitaar moeten kiezen bevat ook afbeeldingen van dieren, waardoor de verkeerde opties eenvoudiger zijn te negeren. KostenVoor het tweede deel van hun onderzoek brachten de onderzoekers de opbrengsten van hun aanval in kaart. Doordat het oplossen van captcha's steeds lastiger is geworden zijn er verschillende diensten verschenen waarbij mensen worden betaald voor het oplossen van captcha's. Zo is er een bedrijf dat 2 dollar voor 1000 opgeloste captcha's rekent. Met deze verkoopprijs zou de geautomatiseerde aanval van de onderzoekers 104 tot 110 dollar per dag per ip-adres kunnen opleveren. De onderzoekers besloten Facebook en Google voor de publicatie van hun onderzoeksrapport (pdf) te waarschuwen. Google nam daarop verschillende maatregelen om de captcha's tegen de geautomatiseerde aanvallen te beschermen. Facebook liet echter niets over eventuele aanpassingen of verbeteringen horen. bron: security.nl

Voor mensen in landen met internetcensuur zijn er nu nieuwe mogelijkheden om Tor Browser te downloaden, waarmee gecensureerde en geblokkeerde websites kunnen worden bezocht. Tor Browser bestaat uit een aangepaste Firefox-versie en software om met het Tor-netwerk verbinding te maken. De browser is via TorProject.org te downloaden, maar in sommige landen wordt deze website geblokkeerd. Daarom werden er alternatieve downloadmethodes ontwikkeld, zoals het downloaden van Tor Browser via e-mail. Het TorProject heeft nu nieuwe opties voor het downloaden van Tor Browser gepresenteerd. Zo is het installatieprogramma voortaan ook via Twitter en XMPP te downloaden. In het geval van Twittergebruikers volstaat een privébericht naar @get_tor, waarna er een reactie met downloadinstructies volgt. Internetgebruikers die met een chatprogramma werken dat het XMPP-protocol ondersteunt kunnen een bericht naar get_tor@riseup.net sturen, wat een antwoord met downloadinstructies oplevert. Verder is Tor Browser nu ook via GitHub verkrijgbaar en kunnen Androidgebruikers via e-mail om downloadinstructies voor Orbot vragen, een gratis proxy die van het Tor-netwerk gebruikmaakt. bron: security.nl

Onderzoekers hebben een beveiligingslek in Firefox-extensies ontdekt waardoor een aanvaller met medewerking van een slachtoffer gegevens kan stelen en in het ergste geval de computer kan overnemen. De onderzoekers presenteerden hun onderzoek genaamd "CrossFire: An Analysis of Firefox Extension-Reuse Vulnerabilities" (pdf) tijdens het NDSS Symposium in februari en Black Hat Asia dat vorige week plaatsvond. De onderzoekers ontdekten een manier waarop een op het eerste gezicht goedaardige extensie de aanwezigheid van andere extensies kan gebruiken om bijvoorbeeld gegevens te stelen of malware te downloaden. Hierbij wordt er gebruik gemaakt van een gebrek aan isolatie binnen Firefox. Daardoor kan de ene extensie de andere gebruiken. Om de aanval te laten slagen zijn er wel verschillende voorwaarden vereist. Zo moet de gebruiker eerst zelf de kwaadaardige extensie installeren. Vervolgens moet de gebruiker voldoende goedaardige extensies hebben geïnstalleerd waar de kwaadaardige extensie gebruik van kan maken. Het maken van een kwaadaardige extensie die van de kwetsbaarheid gebruikmaakt zou echter eenvoudig zijn en kan binnen 10 minuten worden gedaan, aldus de onderzoekers. Uit het onderzoek blijkt dat het probleem bij honderden extensies speelt, waaronder 9 van de 10 populairste Firefox-extensies. Het gaat bijvoorbeeld om NoScript en Video DownloadHelper, extensies die miljoenen gebruikers hebben. Vorig jaar kondigde Mozilla al aan dat het op een geheel nieuw model voor extensies overstapt, waarbij elke extensie in een eigen sandbox zal draaien, wat de bovengenoemde aanval voorkomt. bron: security.nl

Anti-spamorganisatie Spamhaus gaat de informatie waarmee spamfilters en anti-spamsoftware werken verbeteren, zodat die hogere spamscores kunnen toekennen aan e-mails die vanaf bepaalde spamnetwerken afkomstig zijn. Spamhaus houdt verschillende lijsten bij met informatie over spammers. Twee van deze lijsten, DROP (Don't Route Or Peer) en EDROP (Extended Don't Route Or Peer), bevatten netblokken die "gekaapt" zijn of door professionele spammers worden geleaset. Oorspronkelijk was de informatie van deze lijsten voor netwerkapparaten zoals routers en firewalls bedoeld om al het verkeer van deze netblokken te blokkeren. Alle netwerken in de DROP- en EDROP-lijsten worden ook in de blocklijsten van Spamhaus genoemd. Voor deze ip-adressen was het mogelijk een dns-lookup te doen, wat altijd een vaste waarde opleverde. Het was echter niet mogelijk om aan de hand van de dns-lookupresultaten te bepalen of een vermeld ip-adres ook in de DROP/EDROP-lijsten voorkwam. Om spamfilters en anti-spamsoftware hogere spamscores te laten geven voor netwerken die in de DROP- en EDROP-lijsten voorkomen zullen de blocklijsten van Spamhaus vanaf 1 juni dit jaar een nieuwe waarde teruggeven voor ip-adressen die in de DROP- en EDROP-lijsten staan, zo heeft de organisatie aangekondigd. bron: security.nl

Sterke versleuteling van data en communicatie is belangrijk voor de privacy van burgers, voor bedrijven en overheidsdiensten, zo stelt staatssecretaris Dijkhoff van Veiligheid en Justitie aan de hand van het kabinetsstandpunt over encryptie dat vorig jaar werd gepresenteerd. Vandaag vindt in Den Haag de One-conferentie van het Nationaal Cyber Security Center (NCSC) plaats die door Dijkhoff geopend zou worden, maar de staatssecretaris moest verstek laten gaan. In een persbericht over de conferentie stellen Dijkhoff en het ministerie van Veiligheid en Justitie, waar het NCSC onder valt, dat de One-conferentie van oudsher een verbinding van communities met verschillende belangen is. "Belangen die in het digitale tijdperk op zoek zijn naar een balans. De balans tussen veiligheid, vrijheid en maatschappelijke groei ofwel het kunnen benutten van de kansen die techniek ons biedt." Het ministerie merkt op dat Nederland daarin een rol als koploper heeft en bij complexe onderwerpen ook een vooruitstrevende positie durft in te nemen die naar die balans zoekt. Een voorbeeld dat hiervan wordt gegeven is het kabinetsstandpunt rondom encryptie, waarbij het kabinet vorig jaar aankondigde dat het geen beperkende maatregelen tegen encryptie zal nemen. "Daarom is het ook zo belangrijk dat dit kabinetsstandpunt het gebruik van encryptie om de digitale veiligheid te bevorderen, juist stimuleert en niet beperkt. Sterke versleuteling van data en communicatie is belangrijk voor de privacy van burgers, voor bedrijven en overheidsdiensten", laat Dijkhoff weten. bron: security.nl

Toshiba is een terughaalactie gestart voor notebookaccu’s van Toshiba notebooks voor zowel de zakelijke als de particuliere markt. Onder bepaalde omstandigheden kunnen de accu’s oververhit raken en kan er brand ontstaan. De accu’s zijn geleverd in de periode juni 2011 tot en met november 2015. Het gaat om accu’s die bij notebooks werden geleverd, accu’s die als onderdeel van een reparatie zijn vervangen en om accu’s die als accesoire zijn verkocht. Op de website van Toshiba kunt u een link naar een hulpprogramma vinden om te bepalen of uw laptop en accu getroffen zijn door dit probleem. Als dat het geval is biedt Toshiba u een gratis nieuwe accu aan ter vervanging. U kunt ook handmatig controleren of u één getroffen laptops en/of batterijen hebt via deze link. Een overzicht van alle betroffen laptops en batterijen vindt u op deze pagina. Toshiba adviseert om laptops met een accu die oververhit kan raken niet langer met accu maar en alleen met de netstroomadapter te gebruiken totdat de accu vervangen is. Bron: Toshiba Leading Innovation

Onderzoekers waarschuwen voor een Trojaans paard dat via zwakke telnet-wachtwoorden een botnet van Linux-routers probeert te maken. Het gaat om een nieuwe dreiging genaamd Remaiten, aldus het Slowaakse anti-virusbedrijf ESET. De malware laat routers een scan op poort 23 (telnet) uitvoeren. In het geval een router een telnet-dienst draait en bereikbaar is wordt er een lijst met wachtwoorden en gebruikersnamen geprobeerd om op de router in te loggen. Is de inlogpoging succesvol, dan wordt er gekeken om wat voor soort platform het gaat, waarna de volledige malware wordt gedownload en geïnstalleerd. De router wordt zo onderdeel van het botnet, waarna de cyclus zich herhaalt. De botnetbeheerder kan de besmette routers allerlei opdrachten geven, zoals het uitvoeren van poortscans en DDoS-aanvallen. bron: security.nl

Deze zomer zal er een grote update voor Windows 10 verschijnen die allerlei nieuwe features aan het besturingssysteem toevoegt, waaronder biometrisch inloggen voor applicaties en Microsoft Edge. De Windows 10 Anniversary Update werd tijdens de Build-conferentie in San Francisco aangekondigd. De update zal ervoor zorgen dat Windows Hello straks ook binnen Windows-apps en Microsoft Edge kan worden gebruikt. Window Hello is een biometrische inlogmethode, die naast de vingerafdruk ook gezichts- en irisscans ondersteunt. In plaats van een wachtwoord kunnen gebruikers straks via een lichaamskenmerk op websites inloggen. Verder liet Microsoft weten dat sinds de lancering van Windows 10 acht maanden geleden inmiddels meer dan 270 miljoen apparaten van het nieuwe besturingssysteem gebruikmaken. Daarmee kent Windows 10 de snelste uitrol van alle Windowsversies. Wanneer de Windows 10 Anniversary Update deze zomer verschijnt is niet bekendgemaakt. bron: security.nl

De beveiligingssoftware van Trend Micro installeerde ook een testserver bij gebruikers, die via het internet zou kunnen worden aangevallen, waardoor aanvallers in het ergste geval de computer volledig konden overnemen, zo heeft beveiligingsonderzoeker Tavis Ormandy van Google ontdekt. Het ging om een 'remote debugging server' die in ieder geval bij Trend Micro Maximum Security, Trend Micro Premium Security en Trend Micro Password Manager op computers werd geïnstalleerd. De testserver werd standaard gestart en luisterde op localhost. Volgens Ormandy was het probleem "belachelijk eenvoudig te vinden en te misbruiken". In het ergste geval zou een aanvaller volledige controle over het systeem kunnen krijgen. De onderzoeker, die via Twitter opmerkt dat Trend Micro de testserver per ongeluk had achtergelaten, informeerde het beveiligingsbedrijf op 22 maart over het probleem. Volgens het beveiligingsbedrijf lag het probleem deels in een module van een derde partij. Het zou echter tijd kosten om de broncode hiervan "open te breken" en de testserver uit te schakelen, om vervolgens de aangepaste code weer aan de eigen software toe te voegen. Gisterenavond werd er onder gebruikers een eerste tijdelijke patch uitgerold. Een update om het probleem volledig te verhelpen zal in de komende weken verschijnen. bron: security.nl

Dat het voorheen wel gewerkt heeft en nu na de installatie van Windows 10 kan diverse oorzaken zijn. Vandaar de vraag naar het logbestand van Speccy. Zo kan stegisoft precies zien waar je de hulp op nodig hebt. Dus als je Speccy alsnog even wilt draaien zou dat welkom zijn.

Het Roemeense anti-virusbedrijf heeft een gratis 'vaccin' tegen verschillende ransomware-families uitgebracht, zoals CTB-Locker, Locky en TeslaCrypt. De Anti Ransomware-tool (exe) zou in ieder geval bekende versies van de ransomware moeten detecteren en mogelijk ook toekomstige varianten. De virusbestrijder had eerder al een tool ontwikkeld die alleen bescherming tegen de Cryptowall-ransomware bood. Dit programma werd echter begin deze maand offline gehaald, omdat die in bepaalde gevallen geen bescherming meer bood. "De nieuwe tool is een soort van voortzetting van het Cryptowall-vaccinatieprogramma", zegt Catalin Cosoi van Bitdefender. "We zochten naar een manier om te voorkomen dat deze ransomware bestanden versleutelt op systemen die niet onze software gebruiken en beseften dat we het idee konden uitbreiden." bron: security.nl

Microsoft gaat de updatescyclus voor alle ondersteunde versies van Office aanpassen, waar vooral bedrijven en andere zakelijke gebruikers rekening mee moeten houden. Voorheen verschenen zowel beveiligingsupdates als de niet-securitygerelateerde updates op de tweede dinsdag van elke maand. Vanaf april gaat Microsoft een andere updatecyclus hanteren, waarbij de niet-securitygerelateerde updates op de eerste dinsdag van de maand zullen verschijnen, waaronder ook updates voor ernstige niet-securitygerelateerde problemen. De beveiligingsupdates blijven gewoon op de tweede dinsdag verschijnen, ook bekend als patchdinsdag. De eerste updates als onderdeel van de nieuwe updatecyclus zullen op dinsdag 5 april uitkomen en zowel via Microsoft Update als de Windows Server Update Service (WSUS) worden aangeboden. bron: security.nl

Om ervoor te zorgen dat nieuwe features en innovaties eerder in Firefox belanden heeft Mozilla besloten om van het standaard updateproces af te wijken. Voorheen verschenen nieuwe features tegelijkertijd met beveiligingsupdates en bugfixes voor de browser. Oorspronkelijk kwam er elke zes weken een nieuwe Firefox-versie uit, maar onlangs kondigde Mozilla aan dat het met een nieuwe updatecyclus komt. In plaats van een update elke zes weken zullen updates nu variabel verschijnen, waarbij een periode van zes tot acht weken wordt aangehouden. In het geval van nieuwe features kunnen die straks tussen de geplande updates worden uitgerold. Daarom zal er een nieuwe mechanisme aan Firefox worden toegevoegd om dit mogelijk te maken. Het gaat dan bijvoorbeeld om features als Firefox Hello, die nu eerder updates kunnen ontvangen. Volgens Nick Nguyen heeft de maatregel geen gevolgen voor de standaard updatecyclus, die nog steeds voor de meeste updates zal worden gebruikt. Het zal er echter wel voor zorgen dat innovaties en verbeteringen eerder in Firefox belanden, zo laat hij weten. bron: security.nl

Een beveiligingslek in de populaire fotodienst Instagram maakte het mogelijk voor een onderzoeker om 1 miljoen tijdelijk inactieve accounts over te nemen. Het gaat om accounts waarvan de eigenaar moet worden geverifieerd, waarvoor Instagram via een aparte pagina verschillende mogelijkheden biedt. Het gaat dan onder andere om verificatie via e-mail of sms. Het is echter ook mogelijk om het e-mailadres of telefoonnummer van het account te updaten en dan de verificatie uit te voeren. Een aanvaller die toegang tot deze pagina heeft kan zijn eigen e-mailadres of telefoonnummer opgeven om hiermee het account te verifiëren en vervolgens een wachtwoordreset uitvoeren en zo het account overnemen. Onderzoeker Arne Swinnen had zijn eigen Instagram-account lange tijd niet meer gebruikt en moest die verifiëren. De pagina-link die Instagram hiervoor gebruikte bevatte echter zijn Instagram-id en vereiste geen verdere authenticatie. Via een script kon Swinnen zo alle Instagram-id's afgaan om te kijken welke accounts inactief waren en waar hij bijvoorbeeld het e-mailadres of telefoonnummer van kon aanpassen. Een test met 1 miljoen id's wees uit dat 4% van de Instagramgebruikers inactief was. Het waren voornamelijk accounts die pas een paar weken op inactief stonden. Instagram heeft naar eigen zeggen 400 miljoen gebruikers. Swinnen stelt dan ook dat hij via de kwetsbaarheid 1 miljoen accounts kon overnemen. Op 14 maart waarschuwde de onderzoeker Facebook, dat eigenaar van Instagram is. Binnen2 4 uur was het probleem opgelost en ontving Swinnen een beloning van 5.000 dollar. bron: security.nl

Microsoft heeft strengere regels aangekondigd voor programma's die de werking van browsers aanpassen, zoals toolbars. Vorig jaar kwam Microsoft al met strengere regels voor agressieve adware en software die advertenties injecteert. Zo is het niet meer voor dit soort software toegestaan om beveiligingsmaatregelen van het systeem te omzeilen of man-in-the-middle-aanvallen uit te voeren. Adware die dit wel doet zou vanaf 31 maart 2016 door de beveiligingssoftware van Microsoft worden verwijderd. Microsoft heeft de regels echter verbreed. Programma's die de browser aanpassen mogen dat voortaan alleen nog doen via het add-on-model van de browser. Alle andere aanpassingen zijn niet meer toegestaan. Het gaat daarbij niet alleen om adware, maar om alle software die de werking van de browser beïnvloedt. Doordat de richtlijn nu voor veel meer programma's gaat gelden heeft Microsoft de deadline verschoven van 31 maart naar 2 mei 2016, zodat ontwikkelaars de tijd krijgen om hun software aan te passen. bron: security.nl

De afgelopen dagen is er een sterke stijging geweest van het e-mails die via besmette zip-bijlagen de Locky-ransomware proberen te verspreiden. De e-mails hebben onder andere als onderwerp "invoice notice", "attached image" en "attached document themes". Volgens het bericht heeft de ontvanger bijvoorbeeld een bestelling geplaatst of een rekening niet betaald. Meer informatie zou in het meegestuurde zip-bestand zijn te vinden. Dit zip-bestand bevat weer een JavaScript-bestand dat de Locky-ransomware op de computer downloadt. De e-mails worden wereldwijd verspreid, waaronder ook in Nederland. Locky is een vrij nieuwe ransomware-variant, die net als andere ransomware bestanden voor losgeld versleutelt. In het begin gebruikte de Locky-ransomware nog kwaadaardige macro's in Excel- en Word-bestanden om systemen te infecteren, maar is nu op JavaScript-bestanden overgestapt. Een mogelijke reden hiervoor is dat het eenvoudig is om het script te obfusceren en nieuwe varianten uit te rollen, en zo traditionele op signatures-gebaseerde virusscanners te omzeilen, aldus beveiligingsbedrijf FireEye. Uit cijfers van VirusTotal blijkt dat de ransomware slecht door anti-virussoftware wordt herkend. Recentelijk werd een Amerikaans ziekenhuis nog door de Locky-ransomware getroffen, waarop het ziekenhuisbestuur intern de noodtoestand afkondigde. bron: security.nl

Onderzoekers hebben een nieuwe ransomware-variant ontdekt die niet bepaalde bestanden versleutelt, zoals de meeste ransomware doet, maar de gehele harde schijf ontoegankelijk maakt. Bedrijven zijn daarbij het doelwit van de ransomware, die de naam Petya heeft gekregen. Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de harde schijf echter versleuteld, aldus het Duitse anti-virusbedrijf G Data. Het blijkt hier echter niet om versleuteling te gaan, maar het overschrijven van de master boot record (mbr), zo stelt anti-virusbedrijf Trend Micro. Na de schijfcontrole verschijnt er een doodshoofd en de melding dat de harde schijf is versleuteld. Via een website op het Tor-netwerk kunnen gebruikers voor 0,99 bitcoin (370 euro) een decryptiesleutel aanschaffen. De prijs hiervan wordt na een week verdubbeld. Of de harde schijf inderdaad is versleuteld zoals G Data claimt is onduidelijk. De onderzoekers van het anti-virusbedrijf stellen in hun eigen analyse dat waarschijnlijk alleen de bestandstoegang is geblokkeerd, maar de bestanden zelf niet zijn versleuteld. Het onderzoek naar de Petya-ransomware loopt echter nog. UpdateAnti-virusbedrijf Trend Micro laat in een analyse weten dat Petya de master boot record (mbr) van een besmette harde schijf overschrijft. Er wordt echter niet gesproken over het versleutelen van de harde schijf zoals G Data doet. Update 2G Data laat in een reactie aan Security.NL weten dat het onderzoek nog loopt, maar dat uit de voorlopige resultaten blijkt dat alleen de mbr en systeembestanden worden aangepast. Andere bestanden laat de ransomware buiten beschouwing. De onderzoekers van het Duitse anti-virusbedrijf kunnen zich dan ook voorlopig in de conclusie van Trend Micro vinden dat Petya de mbr overschrijft en aanpast, maar de harde schijf zelf niet wordt versleuteld. bron: security.nl

Google heeft vandaag een aantal nieuwe maatregelen aangekondigd die Gmail-gebruikers tegen verschillende dreigingen moeten beschermen. Zo zullen gebruikers voortaan een waarschuwing te zien krijgen als ze op een link in een e-mailbericht klikken waarvan Google weet dat die gevaarlijk is. Hiervoor maakt Google gebruik van Safe Browsing, de technologie die het zelf ontwikkelde om kwaadaardige en schadelijke websites op te sporen en ook binnen Google Chrome, Mozilla Firefox en Safari wordt gebruikt. Een andere aanpassing die Google gaat doorvoeren heeft betrekking op het waarschuwen van gebruikers voor aanvallen door overheden. Sinds 2012 krijgen Gmail-gebruikers een aparte waarschuwing te zien als ze volgens Google mogelijk het doelwit van een overheid zijn. Het gaat dan om een kleine roze balk bovenaan de pagina. Deze waarschuwingen zijn volgens Google zeer bijzonder, aangezien minder dan 0,1% van de Gmail-gebruikers die ooit te zien krijgt. Om deze gebruikers nu beter te informeren wordt er voortaan een complete pagina met beveiligingsadvies getoond. EncryptiewaarschuwingenSinds begin februari toont Google ook waarschuwingen aan Gmail-gebruikers als ze e-mailen met iemand waarvan de e-mailaanbieder geen tls-encryptie ondersteunt. "Dit had een direct en positief effect op de veiligheid van Gmail", zegt Nicolas Lidzborski van het Gmail Security-team. Sinds de maatregel werd geïntroduceerd is het aantal e-mails dat over een versleutelde verbinding werd verstuurd met 25% toegenomen. "We zijn zeer te spreken over deze ontwikkeling! Gegeven de eenvoud waarmee encryptie is te implementeren en het grote voordeel voor gebruikers verwachten we dat deze ontwikkeling zich zal voortzetten." bron: security.nl

In de surveillancecamera's van meer dan 70 fabrikanten is een ernstig beveiligingslek aangetroffen waardoor een aanvaller op afstand code op de apparaten kan uitvoeren, zo ontdekte onderzoeker Rotem Kerner. Het gaat om systemen die uit een surveillancecamera en digitale videorecorder (dvr) bestaan. Kerner kreeg inspiratie voor zijn onderzoek nadat eind 2014 bleek dat internetcriminelen winkels via hun dvr-systemen hackten en zo toegang tot de kassasystemen en creditcardgegevens van klanten kregen. "Surveillancecamera's zijn de eerste verdedigingslinie in de fysieke wereld, maar de zwakste schakel in de digitale wereld", aldus de onderzoeker. Hij besloot dan ook onderzoek te doen naar surveillancecamera's die via internet toegankelijk zijn. Een zoekopdracht via de Shodan-zoekmachine, waarmee op internet aangesloten apparaten kunnen worden gevonden, leverde meer dan 30.000 camera's op. Volgens de onderzoeker een topje van de ijsberg. De volgende stap in het onderzoek bestond uit het achterhalen van de fabrikant. Het bleek om een Israëlisch bedrijf te gaan. In de firmware van het systeem vond Kerner een ernstige kwetsbaarheid waardoor hij op afstand code op het systeem kon uitvoeren. Verdere analyse liet zien dat het systeem en gebruikte firmware eigenlijk in China waren ontwikkeld. Meer dan 70 fabrikanten wereldwijd bleken het systeem onder hun eigen naam te verkopen. De oorspronkelijke fabrikant is het Chinese TVT. De onderzoeker besloot dan ook om TVT voor de kwetsbaarheid te waarschuwen, maar zonder succes. Daarom heeft hij zijn bevindingen nu gepubliceerd, alsmede een lijst van alle kwetsbare fabrikanten. Doordat zoveel bedrijven dezelfde producten verkopen is het volgens Kerner lastig om het probleem te verhelpen. Ook is de kans klein dat ze allemaal met updates zullen komen, waardoor tal van gebruikers kwetsbaar achterblijven. Gebruikers krijgen dan ook het advies om de camera's alleen toegankelijk voor vertrouwde ip-adressen te maken. bron: security.nl

De Locky-ransomware was de afgelopen weken regelmatig in het nieuws omdat het allerlei organisaties en gebruikers infecteerde, waarop de de Duitse overheid en Microsoft met waarschuwingen kwamen, maar volgens onderzoeker Sylvain Sarméjeanne is de ransomware eenvoudig te neutraliseren. Sarméjeanne onderzocht de ransomware, die allerlei bestanden op computers voor losgeld versleutelt. Zo blijkt Locky computers met een Russische taalinstelling niet te infecteren. Het aanpassen van de taalinstelling kan een infectie dan ook voorkomen, maar is volgens de onderzoeker voor de meeste mensen niet werkzaam. Het aanpassen van het Windowsregister is dat mogelijk wel. Voordat Locky bestanden gaat versleutelen worden er namelijk eerst bepaalde waardes in het Windowsregister gecontroleerd. Na het controleren van de taalinstelling probeert Locky een registersleutel in het Windowsregister aan te maken. Als die sleutel echter al aanwezig is, stopt Locky met werken. Is de sleutel niet aanwezig, dan wordt die door Locky aangemaakt en controleert de ransomware vervolgens andere waardes in het Windowsregister. Het aanmaken van deze waardes zorgt er wederom voor dat Locky stopt en geen bestanden versleutelt. Een andere oplossing die het versleutelen voorkomt is het toevoegen van informatie in het Windowsregister die Locky voor de encryptiesleutel gebruikt. "De afgelopen weken heeft Locky voor veel problemen gezorgd, maar er zijn eenvoudige maatregelen die wanneer ingeschakeld voorkomen dat bestanden worden versleuteld, zonder dat hier anti-virussoftware of securitytools aan te pas komen", aldus Sarméjeanne. Eerder stelde ook de Oostenrijkse beveiligingsexpert Robert Penz dat infecties via Locky door het volgen van verschillende algemene beveiligingsprocedures eenvoudig zijn te voorkomen. bron: security.nl

Oracle heeft buiten de vaste patchcyclus om een noodpatch voor een ernstig beveiligingslek in Java uitgebracht waardoor aanvallers computers in het ergste geval volledig kunnen overnemen. Het bezoeken van een gehackte of kwaadaardige website zou in dit geval voldoende zijn. Het beveiligingslek is aanwezig in Oracle Java SE 7 Update 97 en Java 8 Update 73 en 74 voor Windows, Solaris, Linux en Mac OS X en oudere versies. Vanwege de ernst van de kwetsbaarheid adviseert Oracle de update zo snel als mogelijk te installeren, wat kan via Java.com. Verder krijgen Java-gebruikers het advies om oudere Java-versies van de computer te verwijderen en Java alleen via Java.com en geen andere websites te downloaden, omdat het dan mogelijk om malware kan gaan. Voor zover bekend zijn er nog geen aanvallen waargenomen die van de kwetsbaarheid gebruikmaken. bron: security.nl

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben naar eigen zeggen unieke en gevaarlijke usb-malware ontdekt die in staat is om offline computers te infecteren en ontwikkeld is om allerlei gegevens van besmette systemen te stelen. De malware wordt USB Thief genoemd. Om computers te infecteren maakt USB Thief gebruik van plug-ins of dll-bestanden. Volgens de onderzoekers spelen de malwaremakers hierbij in op de trend dat usb-sticks vaak "draagbare" applicaties bevatten die zonder installatie werken, zoals Firefox, Notepad++ en TrueCrypt. Zodra gebruikers een dergelijke applicatie starten wordt ook de malware in de achtergrond geladen. Het is echter onbekend hoe een besmette usb-stick bij het beoogde doelwit terechtkomt. HardwareUSB Thief is ook opvallend omdat het alleen op een enkele usb-stick werkt. De malware is zo ontwikkeld dat die niet op andere usb-apparaten dan het originele apparaat kan werken. Voor elk exemplaar is er dan ook een andere usb-stick. Hiervoor maakt USB Thief gebruik van encryptie. De encryptiesleutel is afgeleid van het hardware-id van de usb-stick en bepaalde schijfeigenschappen. Daardoor kan de malware alleen vanaf de betreffende usb-stick worden geladen. Dit maakt het lastiger voor onderzoekers om de malware te analyseren. Het belemmert echter ook de verspreiding van USB Thief. Aan de andere kant voorkomt het wel dat de malware buiten de aangevallen omgeving terechtkomt, aldus de onderzoekers. Dit was bijvoorbeeld het geval met de Stuxnetworm, die systemen ook via usb-sticks infecteerde. Stuxnet infecteerde echter ook usb-sticks die op de besmette computer werden aangesloten, waardoor de malware zich uiteindelijk buiten de aangevallen omgeving verspreidde. OnderzoekOmdat de onderzoekers niet over de besmette usb-sticks beschikten maar alleen de malware-bestanden, besloten ze het hardware-id van het oorspronkelijke usb-apparaat via brute force te achterhalen en gebruikten daarbij veelvoorkomende schijfeigenschappen. Hierdoor kon uiteindelijk de werking van de malware worden achterhaald. USB Thief blijkt alle databestanden op besmette computers te stelen, zoals afbeeldingen en documenten. Ook verzamelt USB Thief informatie uit het Windowsregister, bestandslijsten van alle harde schijven en informatie die via het programma WinAudit wordt verzameld. Hierbij laat de malware geen enkel spoor achter. "Nadat de usb-stick is verwijderd kan niemand meer zien dat er gegevens zijn gestolen", zegt onderzoeker Tomas Gardon. Usb-poorten uitschakelenOm infecties door USB Thief te voorkomen adviseert ESET om usb-poorten uit te schakelen. In het geval dit niet mogelijk is wordt aangeraden om beleid op te stellen voor het gebruik van usb-apparaten en is het raadzaam om het personeel te trainen. "Mensen moeten de risico's kennen van usb-apparaten die van onbetrouwbare bronnen afkomstig zijn. Uit verschillende onderzoeken blijkt dat er een grote kans is dat mensen gevonden usb-sticks in hun computer steken", stelt onderzoeker Peter Stancik. bron: security.nl

TeamViewer neemt maatregelen tegen Surprise-ransomware De ontwikkelaars van TeamViewer hebben maatregelen genomen tegen internetcriminelen die de software gebruiken om computers en servers met ransomware te infecteren. TeamViewer is een programma om op afstand computers te beheren. Gisteren werd bekend dat criminelen via TeamViewer toegang tot computers weten te krijgen en daar vervolgens de Surprise-ransomware installeren. Deze ransomware versleutelt vervolgens allerlei bestanden voor losgeld en geeft ze de bestandsextensie .surprise. De aanvallers gebruikten twee TeamViewer-accounts om toegang tot de computers van slachtoffers te krijgen. Daarop heeft TeamViewer besloten deze accounts uit te schakelen, zodat ze niet langer meer met de software zijn te gebruiken. Het is nog altijd onduidelijk hoe de aanvallers via TeamViewer toegang wisten te krijgen, maar mogelijk gaat het om gebruikers die hun TeamViewer-wachtwoord ook op andere websites gebruikten die werden gehackt. Volgens Lawrence Abrams van Bleeping Computer heeft meer dan de helft van de slachtoffers een account op één van de gehackte websites die via Haveibeenpwned.com worden bijgehouden. Uit analyse van de Surprise-ransomware blijkt dat het ransomware-bestand zelf geen encryptiefuncties bevat. In plaats daarvan wordt erin het geheugen van de computer een ander bestand geladen dat uiteindelijk de bestanden versleutelt. Op deze manier probeert de ransomware detectie door virusscanners te omzeilen. Zodra bestanden eenmaal zijn versleuteld is er geen manier om die kosteloos te ontsleutelen. bron: security.nl