Captain Kirk

Een instelling van de webserversoftware Apache kan ervoor zorgen dat informatie van Tor-servers lekt, zo waarschuwt een beveiligingsonderzoeker. Voor het opzetten van een server op het Tor-netwerk kan Apache worden gebruikt. In veel gevallen wordt Apache geleverd met een feature genaamd 'mod_status'. Het is een pagina die allerlei statistieken weergeeft, zoals uptime, verkeer, ingeschakelde virtuele hosts en actieve http-verzoeken. Het is standaard alleen toegankelijk voor localhost. De Tor-software draait echter op localhost. Daardoor is de statuspagina van de Tor-server via het internet toegankelijk. Volgens de onderzoeker zou een aanvaller in dit geval gevoelige requests kunnen monitoren, de lengtegraad van de server kunnen bepalen als de tijdszone is ingesteld en mogelijk zelfs het ip-adres achterhalen als een clearnet Virtual Host aanwezig is. De afgelopen maanden ontdekte de onderzoeker verschillende servers waar de statuspagina toegankelijk was, waaronder een populaire Tor-zoekmachine. Beheerders krijgen dan ook het advies om hun instellingen goed na te lopen. "Het is eigenlijk te gek voor woorden dat een eenvoudige servermisconfiguratie zo gevaarlijk is. Vergeet zero-days, verkeersanalyse en crypto-aanvallen: het zijn dit soort eenvoudige fouten die het meest pijn kunnen doen." bron: security.nl

Een speciale editie van Firefox voor webontwikkelaars geeft tegenwoordig een waarschuwing als websites wachtwoorden en gebruikersnaam onbeveiligd via http over het internet sturen. Volgens Mozilla horen websites zorgvuldig met dit soort gegevens om te gaan. Toch komt het nog regelmatig voor dat er een onbeveiligde verbinding zoals http wordt gebruikt, aldus de opensourceontwikkelaar. Om webontwikkelaars voor dit beveiligings- en privacyprobleem te waarschuwen toont de Firefox Developer Edition voortaan een grijs slot-icoon met een rode streep erdoorheen. Om te kijken of een wachtwoordveld waar gebruikers hun wachtwoord moeten invoeren veilig is kijkt Firefox naar de pagina waar het aan is toegevoegd en of die kwetsbaar is voor man-in-the-middle-aanvallen. Daarbij is het niet voldoende dat het wachtwoord alleen over https wordt verstuurd, de pagina zelf moet hier ook gebruik van maken. In het geval van een actieve man-in-the-middle-aanval zouden gebruikers bij alleen het versturen van de informatie over https, terwijl de pagina zelf over http wordt geladen, nog steeds risico lopen. Vooralsnog richt Mozilla zich met de waarschuwing op webontwikkelaars, maar gebruikers van andere Firefox-versies kunnen dit wel zelf inschakelen. Hiervoor moet eerst about:config in de adresbalk worden ingevoerd, waarna de optie "security.insecure_password.ui.enabled" moet worden aangepast. bron: security.nl

Microsoft heeft een nieuwe versie van de Enhanced Mitigation Experience Toolkit (EMET) uitgebracht, een gratis tool die Windows en applicaties van een extra beveiligingslaag voorziet. Deze extra laag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Iets waar ook gebruikers van Windows 10 nu van kunnen profiteren. Hoewel EMET 5.2 al op het besturingssysteem werkte, is nu EMET 5.5 met officiële Windows 10-ondersteuning uitgekomen. Daarnaast bevat deze versie verschillende bugfixes, betere configuraties die via Group Policy Object (GPO) zijn in te stellen, prestatieverbeteringen en ondersteuning van de nieuwe fontbeveiliging in Windows 10. bron: security.nl

Deze week is er een nieuwe versie van Mozilla Firefox verschenen waarin 17 kwetsbaarheden zijn gepatcht, waaronder een kritiek beveiligingslek in de Stagefright-mediabibliotheek. Stagefright is een softwarebibliotheek waar programma's gebruik van kunnen maken voor het verwerken van mediabestanden. Vorig jaar werden er meerdere ernstige Stagefright-lekken op het Android-platform ontdekt. Ook Firefox maakt gebruik van de Stagefright-mediabibliotheek. Een kwetsbaarheid in Mozilla's implementatie van Stagefright zorgt ervoor dat een aanvaller via een kwaadaardig mp4-bestand willekeurige code op de computer kan uitvoeren, zoals het installeren van malware. Alleen het bezoeken van een kwaadaardige of gehackte website zou in dit geval voldoende zijn. Ook via drie andere kwetsbaarheden in Firefox was het voor een aanvaller mogelijk om zonder al teveel interactie van de gebruiker, in andere woorden het alleen bezoeken van een website, willekeurige code op het systeem uit te voeren. De overige beveiligingslekken hebben een minder grote impact. Naast de verholpen kwetsbaarheden bevat Firefox 44 ook verbeterde waarschuwingspagina's voor certificaatfouten en onbetrouwbare verbindingen. Updaten naar de nieuwe versie kan via de automatische updatefunctie van de browser en Mozilla.org. bron: security.nl

Aangezien er geen verdere reactie meer is gekomen en gezien de inhoud van het laatste bericht, sluit ik dit topic af.

Het OpenSSL Team heeft aangekondigd aanstaande donderdag 28 januari een patch beschikbaar te stellen voor twee nieuwe kwetsbaarheden. De eerste kwetsbaarheid is geclassificeerd als "high" en bevindt zich volgens het bericht alleen in de 1.0.2 versies. De tweede kwetsbaarheid is geclassificeerd als "low" en zou zich in alle OpenSSL versies bevinden. De classificatie "high" is de een na hoogste classificatie voor kwetsbaarheden in OpenSSL, alleen "critical" is nog ernstiger. High SeverityOp de Security Policy pagina van OpenSSL wordt een "HIGH" Severity issue als volgt omschreven: "High Severity: This includes issues that are of a lower risk than critical, perhaps due to affecting less common configurations, or which are less likely to be exploitable. These issues will be kept private and will trigger a new release of all supported versions. We will attempt to keep the time these issues are private to a minimum; our aim would be no longer than a month where this is something under our control." Zo snel mogelijk installerenHet is vooralsnog gissen wat de kwetsbaarheid exact inhoud. Wel raadt Security.NL alle systeembeheerders aan om donderdag tijd vrij te maken en de patches zo snel mogelijk te installeren. OpenSSL is een populaire SSL implementatie die wordt gebruikt in verschillende webservers en VPN oplossingen. OpenSSL kwam al eerder in het nieuws door verschillende ernstige kwetsbaarheid, waaronder de Heartbleed bug in 2014. bron: security.nl

Bij een grootschalige aanval zijn wereldwijd meer dan 3500 servers gehackt, zo waarschuwt beveiligingsbedrijf Symantec. De websites die op de servers draaien worden door de aanvallers voorzien van code die bezoekers naar een kwaadaardige website doorstuurt. Deze website bevat weer verschillende scripts die gegevens van doorgestuurde bezoekers proberen te verzamelen, zoals ip-adres, Adobe Flash Player-versie, taalinstelling en beeldschermresolutie. Vooralsnog wordt er via deze aanval geen malware verspreid. Symantec denkt dan ook dat het om een voorbereidende aanval gaat. De gehackte websites hebben allen gemeen dat ze een "bekend contentmanagementsysteem" draaien, zo laat Symantec in de blogposting weten. In de omschrijving van de 'attack signatures' wordt gesproken over verschillende WordPress-sites. Het beveiligingsbedrijf heeft daarnaast de code online gezet die aan gehackte websites wordt toegevoegd. Beheerders krijgen dan ook het advies te controleren dat hun website deze code niet bevat. Is dit het geval, dan moet de hele website worden doorgelicht, aangezien alleen het veranderen van het beheerderswachtwoord niet voldoende is. bron: security.nl

Het Oostenrijkse testlab AV-Comparatives heeft Bitdefender en Kaspersky Lab tot de beste virusscanners van 2015 uitgeroepen. De verkiezing was gebaseerd op verschillende tests die vorig jaar plaatsvonden. In totaal werden de verschillende testresultaten van 21 anti-viruspakketten over geheel 2015 genomen. Het ging dan om tests waarbij de detectie van bestanden, proactieve bescherming, systeembelasting, 'real world' prestaties en het verwijderen van malware werden getest. Bitdefender en Kaspersky wisten hier steeds de hoogste beoordeling te halen. Aangezien AV-Comparatives geen twee producten tot het 'product van het jaar' uitroept, wordt er gekeken of een product de titel al eens eerder of recenter heeft gewonnen. Aangezien Bitdefender er vorig jaar met de titel vandoor ging, mocht nu Kaspersky de prijs in ontvangst nemen. Naast een algemene prijs konden de virusscanners ook per categorie een prijs winnen. Zo kreeg Microsoft de award voor het laagste aantal false positives, terwijl Avast de award voor de laagste systeembelasting in de wacht sleepte. AV-Comparatives stelt wel dat er niet zoiets als het perfecte beveiligingsprogramma bestaat, of een programma dat aan de wensen van alle gebruikers tegemoetkomt. Ook wil 'product van het jaar' niet zeggen dat het programma in elke categorie en voor alle gebruikers de beste is. "Het zegt alleen dat de algehele prestaties in onze tests door het hele jaar genomen consistent en onverslaanbaar waren." Computergebruikers krijgen dan ook voor het kiezen van een virusscanner eerst het advies om een testversie te proberen. bron: security.nl

Meer producten van beveiligingsbedrijf Fortinet bevatten een 'ssh-backdoor' waarover onlangs nog grote ophef ontstond. In oudere versies van het besturingssysteem in Fortinet-netwerkapparatuur, FortiOS, werd begin januari een ssh-account ontdekt dat via een 'hardcoded' wachtwoord kon worden benaderd. Op deze manier was het mogelijk om beheerderstoegang tot de apparaten te krijgen. Recentelijk maakte netwerkfabrikant Juniper bekend dat erin het besturingssysteem van de firewalls, ScreenOS, twee backdoors waren gevonden. In het geval van Juniper ging het om 'ongeautoriseerde code' die was toegevoegd. Volgens Fortinet is daar in het geval van FortiOS geen sprake van. "Het is belangrijk om te melden dat dit geen kwaadaardige backdoor is om ongeautoriseerde gebruikers toegang te geven", aldus een verklaring. Het probleem, dat Fortinet naar eigen zeggen zelf ontdekte, was daarnaast al in juli 2014 in nieuwere versies van FortiOS gepatcht. Vanwege het incident besloot Fortinet de code van alle Fortinet-producten door te lichten en ontdekte hetzelfde probleem in verschillende versies van FortiSwitch, FortiAnalyzer en FortiCache. Voor deze producten is nu een update uitgekomen. Deze update is ook beschikbaar gemaakt voor legacy- en end-of-life-producten. Bedrijven krijgen het advies de updates zo snel als mogelijk te installeren. Inmiddels zoeken cybercriminelen het internet af naar kwetsbare apparaten, zo meldt het Internet Storm Center. bron: security.nl

Microsoft heeft een update voor Skype uitgebracht zodat standaard het ip-adres van gebruikers wordt verborgen. Dit moet voorkomen dat gebruikers online worden lastiggevallen, zo meldt VentureBeat. Voorheen konden Skype-gebruikers eenvoudig elkaars ip-adres zien. Hiervoor was vaak alleen het weten van de Skype-naam voldoende. Op het ip-adres kon vervolgens een DDoS-aanval worden uitgevoerd. Iets waar vooral online gamers last van hadden. In de aankondiging van de update worden dan ook specifiek gamers aangesproken. Het was al voor Skype-gebruikers mogelijk om het ip-adres te verbergen, maar dit moest handmatig worden ingeschakeld. Iets wat nu standaard het geval is. bron: security.nl

Het beveiligingsbedrijf dat deze week een beveiligingslek in Linux openbaar maakte en stelde dat ook 66% van de Android-toestellen kwetsbaar was heeft Google niet van tevoren ingelicht. Dat stelt Adrian Ludwig van het Android-ontwikkelteam. Ook ligt het aantal kwetsbare Android-toestellen volgens hem veel lager. Beveiligingsbedrijf Perception Point had een kwetsbaarheid in de Linux-kernel ontdekt waardoor een lokale aanvaller rootrechten op het systeem kan krijgen. Om de kwetsbaarheid uit te buiten moet een aanvaller lokale toegang tot het systeem hebben, of moet er bijvoorbeeld een kwaadaardige app zijn geïnstalleerd. Het probleem speelde in Linux-kernel 3.8 en nieuwer. Hoewel softwareontwikkelaar Red Hat wel van tevoren over de kwetsbaarheid werd geïnformeerd, kreeg het Android-ontwikkelteam niets te horen. Ludwig stelt dat Google inmiddels een patch heeft ontwikkeld die onder partners is verspreid. "Deze patch is verplicht voor alle toestellen met een patchniveau van 1 maart 2016 of later", zo laat Ludwig weten. Verder merkt hij op dat veel minder Android-toestellen kwetsbaar zijn dan Perception Point beweert. Zo zouden Nexus-toestellen niet door applicaties van derden via de kwetsbaarheid kunnen worden aangevallen. Ook zijn toestellen met Android 5.0 en nieuwer dankzij Android SELinux beschermd. Verder zouden ook veel toestellen met Android 4.4 en ouder de kwetsbare code niet bevatten. De kwetsbaarheid werd namelijk in Linux-kernel 3.8 geïntroduceerd, en deze nieuwere Linux-kernels komen niet veel voor op oudere Android-toestellen. bron: security.nl

Criminelen hebben een malafide datingsite opgezet die probeert om routers met malware te infecteren. Als gebruikers de website bezoeken kan het zijn dat het inlogvenster van de router verschijnt. Vervolgens wordt geprobeerd kwetsbare routers via het Home Network Administration Protocol (HNAP) aan te vallen. Dergelijke aanvallen vonden twee jaar geleden ook al plaats en waren destijds vooral tegen Linksys-routers gericht. In het geval van de nu ontdekte datingsite worden erbij een succesvolle aanval verschillende bestanden op de router gedownload. Via deze bestanden blokkeren de criminelen alle pogingen om de router via poort 80, 8080 en 9999 te benaderen. Elke willekeurige verbinding van zes opgegeven ip-reeksen wordt echter wel geaccepteerd. Wat de criminelen precies met de besmette routers van plan zijn laat beveiligingsbedrijf Damballa, dat de datingsite ontdekte, niet weten. Het bedrijf stelt dat het nog bezig is met verder onderzoek naar de aanval en aanvallers. De malware in kwestie wordt als "linux.proxy" gedetecteerd. bron: security.nl

Om Linux-gebruikers tegen wifi-tracking te beschermen wordt er gewerkt aan een oplossing om willekeurige mac-adressen te genereren. Bij wifi-tracking wordt het mac-adres van de smartphone of laptop van winkelklanten, reizigers in het openbaar vervoer of bezoekers van evenementen verzameld. Het toestel zendt dit unieke adres continu uit als wifi staat ingeschakeld. Op deze manier kunnen bijvoorbeeld bedrijven het aantal klanten meten dat de winkel betreedt, hoe ze zich door de winkel bewegen en hoeveel mensen langs de winkel lopen zonder binnen te gaan. Ook kan er worden gemeten of bezoekers al eerder in de winkel zijn geweest. Om te voorkomen dat consumenten via het mac-adres van hun smartphone of andere mobiele apparaten worden gevolgd hebben het IEEE (Institute of Electrical and Electronics Engineers) en de IETF (Internet Engineering Task Force), organisaties die zich met allerlei standaarden bezighouden, verschillende succesvolle experimenten gehouden waarbij er met willekeurige mac-adressen werd gewerkt. Een soortgelijke maatregel werd in 2014 al door Apple ingevoerd, waarbij gebruikers een willekeurig mac-adres krijgen bij het scannen van wifi-netwerken. Nu meldt Lubomir Rintel, een ontwikkelaar van de NetworkManager-daemon en Fedora, dat de volgende versie van NetworkManager zeer waarschijnlijk bescherming tegen wifi-tracking bevat. Net als Apple zullen gebruikers in dit geval een willekeurig mac-adres krijgen. bron: security.nl

Er is een nieuwe versie van Google Chrome verschenen waarin 37 kwetsbaarheden zijn verholpen, waardoor een kwaadaardige website in het ergste geval vertrouwelijke data van andere websites kon lezen of aanpassen. Acht beveiligingsonderzoekers die kwetsbaarheden aan Google rapporteerden kregen hiervoor een vergoeding. In totaal keerde Google 10.500 dollar uit. Chrome 48.0.2564.82 is beschikbaar voor Windows, Mac en Linux. Updaten naar de nieuwe versie zal op de meeste computers automatisch gebeuren. bron: security.nl

Een tool van chipgigant Intel die controleert of er nieuwe driver-updates beschikbaar zijn was kwetsbaar voor een Man-in-the-Middle (MiTM-)aanval, waardoor kwaadwillenden malware op computers konden installeren. De Intel Driver Update Utility analyseert de systeemdrivers op de computer en meldt als er nieuwe drivers beschikbaar zijn. Kwetsbare versies van de software versturen een http-verzoek, dat door een aanvaller die zich tussen de gebruiker en het internet bevindt, bijvoorbeeld bij een open wifi-netwerk, kan worden opgevangen en aangepast. Een aanvaller kan zodoende aangeven dat er een update beschikbaar is en vervolgens bijvoorbeeld malware aanbieden. De gebruiker moet het aangeboden bestand zelf installeren. De enige controle die de Intel-tool uitvoert is een verificatie van het domein dat het bestand aanbiedt. Volgens beveiligingsbedrijf Core Security, dat de kwetsbaarheid ontdekte, kan dit middels ARP-poisoning en DNS-spoofing worden omzeild. Het probleem speelt in de Intel Driver Update Utility versie 2.0, 2.1, 2.2 en 2.3. Intel werd vorig jaar november door Core Security ingelicht en heeft gisteren update uitgerold, zodat er voortaan https wordt gebruikt. Daarop zijn de details van de kwetsbaarheid vrijgegeven. bron: security.nl

Oracle is het nieuwe jaar begonnen met een grote patchronde en heeft in totaal 248 kwetsbaarheden in de eigen software gepatcht, waarvan 8 in Java. In tegenstelling tot Microsoft dat elke maand met updates komt, publiceert Oracle elk kwartaal updates. De patchronde van januari is voor een groot aantal producten bedoeld en verhelpt kritieke kwetsbaarheden waardoor aanvallers het systeem op afstand kunnen overnemen. De meeste beveiligingslekken, 78 in totaal, werden in de Oracle E-Business Suite gepatcht, gevolgd door Oracle Enterprise Manager Grid Control met 33 kwetsbaarheden. Oracle stelt dat kwetsbaarheden in de Oracle Databasesoftware niet zonder geldige inloggegevens zijn te misbruiken. In het geval van Java gaat het zoals gezegd om 8 beveiligingslekken, waarvan er 7 op afstand door een aanvaller kunnen worden gebruikt. Oracle adviseert thuisgebruikers daarnaast om naar Java.com te gaan en te controleren dat ze de meest recente versie gebruiken. Ook raadt het softwarebedrijf aan om oudere Java-versies die nog op de computer staan en niet worden gebruikt te verwijderen. In het geval van Java bevinden de kwetsbaarheden zich in Java versies 6u105, 7u91 en 8u66. Verder laat Oracle weten dat het periodiek berichten ontvangt dat er aanvallen plaatsvinden op kwetsbaarheden waarvoor Oracle al updates heeft uitgebracht, maar die nog niet door de beheerders of bedrijven zijn geïnstalleerd. Daardoor konden aanvallers succesvol de systemen van Oracle-gebruikers aanvallen. Organisaties moeten updates dan ook "zonder vertraging" installeren, aldus Oracle. bron: security.nl

Vandaag is er voor Linux een beveiligingsupdate verschenen die een kwetsbaarheid verhelpt waardoor een lokale aanvaller rootrechten op het systeem kan krijgen. De kwetsbaarheid werd ontdekt door beveiligingsbedrijf Perception Point. Volgens de onderzoekers is het beveiligingslek al sinds 2012 in de Linux-kernel aanwezig en zijn naar schatting tientallen miljoenen Linux-pc's en servers en 66% van alle Android-toestellen kwetsbaar. Via de kwetsbaarheid kan een aanvaller met verminderde rechten rootrechten op het systeem krijgen. Een proces dat op een vrij snelle computer nog altijd 30 minuten in beslag neemt. Volgens de onderzoekers speelt tijd bij een rechtenlek als dit echter geen rol. Om de kwetsbaarheid uit te buiten moet een aanvaller lokale toegang tot het systeem hebben, of moet er bijvoorbeeld een kwaadaardige app zijn geïnstalleerd. Het probleem bevindt zich in de keyring, het onderdeel dat inloggegevens, encryptiesleutels en certificaten opslaat en ze voor andere programma's toegankelijk maakt. Het onderdeel heeft echter kernel-toegang, waar een aanvaller gebruik van kan maken. De kwetsbaarheid is aanwezig in Linux-kernel 3.8 en nieuwer. Een Linux-update is echter vandaag beschikbaar gemaakt. Gebruikers en beheerders krijgen van de onderzoekers het advies om de patch zo snel als mogelijk te installeren. bron: security.nl

Onderzoekers hebben een nieuw Trojaans paard voor Linux ontdekt dat periodiek screenshots maakt en in staat is om geluid via een eventueel aangesloten microfoon op te nemen. Daarmee lijkt deze malware vooral gericht te zijn op Linux-gebruikers in plaats van bijvoorbeeld webservers die op Linux draaien. Ekoms, zoals de malware door het Russische anti-virusbedrijf Doctor Web wordt genoemd, maakt elke 30 seconden een screenshot en bewaart die in een tijdelijke map. Periodiek worden de screenshots naar de server van de aanvaller gestuurd. Verder zoekt de Trojan ook naar bepaalde bestanden en stuurt die door. Naast het maken van screenshots is het Trojaanse paard ook in staat om geluid op te nemen en als .aat- of .wav-bestand op te slaan. De opnamefunctie wordt echter nergens gebruikt. Hoe de Ekoms Trojan zich verspreidt en hoeveel systeem het heeft geïnfecteerd laat Doctor Web niet weten. We hebben het anti-virusbedrijf dan ook om aanvullende informatie gevraagd. bron: security.nl

Yahoo heeft begin deze maand een ernstige kwetsbaarheid in Yahoo-webmail gedicht waardoor een aanvaller accounts kon overnemen of e-mailinstellingen kon aanpassen door een kwaadaardige e-mail te versturen. Het ging om een cross-site scripting-probleem in het html-filter. Yahoo Mail gebruikt een html-filter om e-mailberichten met html op mogelijke kwaadaardige code te filteren. Door een probleem in het filter was het toch mogelijk om kwaadaardige JavaScriptcode in een e-mail te verbergen, die automatisch werd uitgevoerd zodra de gebruiker het bericht opende. Via de JavaScriptcode kon het account worden overgenomen, instellingen worden veranderd en e-mails zonder kennis van de gebruiker worden doorgestuurd. Yahoo werd op 26 december vorig jaar over het probleem ingelicht en rolde op 6 januari van dit jaar een oplossing uit. De Finse onderzoeker Jouko Pynnönen die het probleem meldde kreeg voor zijn melding 10.000 dollar. Het probleem speelde alleen in de webmailclient van Yahoo, de mobiele app was niet kwetsbaar. Yahoo Mail heeft zo'n 300 miljoen e-mailaccounts en is daarmee één van de grootste e-mailaanbieders ter wereld. bron: security.nl

De digitale wachtwoordkluis LastPass heeft maatregelen genomen tegen een phishingaanval die afgelopen weekend tijdens een beveiligingsconferentie werd gedemonstreerd. Via de LostPass-phishingaanval liet onderzoeker Sean Cassidy zien hoe een aanvaller het e-mailadres, wachtwoord en zelfs twee-factor authenticatiecode van gebruikers kan stelen, om vervolgens toegang tot wachtwoorden en documenten in de kluis te krijgen. Het probleem wordt volgens Cassidy veroorzaakt doordat LastPass meldingen in de browser laat zien, die door een phishingsite kunnen worden nagebootst. Ook is het voor een phishingsite mogelijk om de gebruiker uit LastPass uit te loggen. Op deze manier kan een gebruiker naar een phishingsite worden gelokt waar hij zijn gegevens invult, die vervolgens naar de aanvaller worden gestuurd. Volgens LastPass gaat het hier niet om een kwetsbaarheid in de wachtwoordmanager zelf. Toch hebben de ontwikkelaars verschillende maatregelen genomen om de nu gedemonstreerde aanval te voorkomen. Zo is het niet meer mogelijk voor een kwaadaardige pagina om de LastPass-gebruiker uit te loggen. Ook toont LastPass een waarschuwing als het hoofdwachtwoord op een pagina wordt ingevoerd die niet van LastPass is. Het hoofdwachtwoord is nodig om toegang tot de wachtwoorden in de kluis te krijgen. Cassidy liet echter zien dat de waarschuwing kan worden onderdrukt. Daarom is er nu eerst verificatie nodig voordat er vanaf een onbekende locatie of apparaat op het LastPass-account kan worden ingelogd. Zolang de e-mailverificatie niet is bevestigd, kan een aanvaller niet op het LastPass-account inloggen, ook al heeft hij de gegevens succesvol weten te bemachtigen. Ook waarschuwt LastPass nu als het hoofdwachtwoord als wachtwoord voor andere websites wordt gebruikt. Als laatste zullen de ontwikkelaars maatregelen nemen om de waarschuwingen van LastPass binnen de browser op een andere manier weer te geven, die lastiger voor aanvallers te vervalsen zou moeten zijn. bron: security.nl

Onderzoekers zijn erin geslaagd de encryptie van de TeslaCrypt-ransomware te kraken, zodat slachtoffers kosteloos hun bestanden kunnen terugkrijgen. TeslaCrypt verscheen vorig jaar en versleutelt net als andere ransomware-exemplaren allerlei bestanden op een besmette computer voor losgeld. Een verschil is dat het zich vooral op bestanden van computergames richt. In november verscheen er een nieuwe versie van TeslaCrypt. In eerste instantie werd gesteld dat de encryptie van deze versie niet is te kraken, maar het Indiase anti-virusbedrijf QuickHeal heeft toch een oplossing gevonden. TeslaCrypt blijkt bij het versleutelen namelijk een fout te maken, waardoor de encryptiesleutel kan worden achterhaald die wordt gebruikt voor het versleutelen van de bestanden. Via de encryptiesleutel kan de ontsleuteling weer ongedaan worden gemaakt, waarvoor QuickHeal een gratis tool genaamd TeslaCrack heeft ontwikkeld. De virusbestrijder benadrukt wel dat de tool niet voor beginnende computergebruikers is. Het ontsleutelproces kan daarnaast vrij veel tijd in beslag nemen en er is geen garantie dat alle bestanden succesvol worden ontsleuteld. bron: security.nl

Een onderzoeker heeft gisteren een phishingaanval op de online wachtwoordkluis LastPass onthuld waarmee een aanvaller het e-mailadres, wachtwoord en zelfs twee-factor authenticatiecode van gebruikers kan stelen, om vervolgens toegang tot wachtwoorden en documenten in de kluis te krijgen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een "kluis" kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden. Onderzoeker Sean Cassidy heeft een aanval bedacht om dit hoofdwachtwoord te stelen, wat hij heel toepasselijk "LostPass" noemt. Het probleem wordt veroorzaakt doordat LastPass berichten in de browser toont die door aanvallers kunnen worden nagemaakt. "Gebruikers kunnen het verschil tussen een echte melding en de LostPass-melding niet zien, omdat die tot op de pixel nauwkeurig hetzelfde is." Cassidy kwam op het idee nadat LastPass in zijn browser een venster liet zien dat zijn sessie was verlopen en hij opnieuw moest inloggen. Volgens de onderzoeker had elke kwaadaardige website deze melding kunnen laten zien. Aangezien LastPass-gebruikers verwachten dat dit soort meldingen in de browser verschijnen, zou dit niet opvallen. Als gebruikers op de melding klikken krijgen ze een inlogvenster te zien, dat wederom in de browser wordt getoond. Aangezien de programmeerinterface (API) van LastPass op afstand benaderbaar is, kwam Cassidy met het idee voor een aanval. Een gebruiker krijgt als eerste een nagemaakte melding te zien. Nadat erop de melding is geklikt wordt gecontroleerd of de gebruiker inderdaad LastPass geïnstalleerd heeft. Als dit het geval is, wordt er cross-site request forgery (CSRF) gebruikt om de gebruiker uit te loggen. Zo krijgt de gebruiker het idee dat hij echt is uitgelogd. Vervolgens wordt de gebruiker naar een phishingpagina gelokt die identiek is aan de versie van LastPass. De wachtwoordkluis gebruikt hiervoor een pagina die vanuit de Chrome-extensie wordt geladen, herkenbaar aan "chrome-extension" in de adresbalk. Cassidy registreerde de website chrome-extension.pw die erg lijkt op het Chrome-protocol voor Chrome-extensies. Een probleem dat trouwens al langer bekend is. Vervolgens gebruikte de onderzoeker de LastPass-API om de ingevoerde gegevens in real-time te controleren en in het geval twee-factor authenticatie op het account staat ingeschakeld om de authenticatiecode te vragen. ReactieCassidy waarschuwde LastPass. De ontwikkelaars dachten eerst dat het voornamelijk een CSRF-probleem betrof. Vervolgens lieten ze weten dat er inderdaad sprake van een phishingaanval was en LastPass zelf geen probleem heeft. Iets waar Cassidy het niet mee eens is. "Het trainen van gebruikers om het phishingprobleem op te lossen gaat in het geval van LostPass niet werken, omdat er weinig verschil is met wat de gebruiker te zien krijgt." Om gebruikers te waarschuwen als ze hun hoofdwachtwoord op een willekeurige website invoeren kwamen de LastPass-onderzoekers met het idee om een melding in de browser te laten zien, maar deze melding kan door de aanvaller worden afgevangen. Volgens Cassidy reageert LastPass, net als anderen in de industrie, dan ook niet goed op het risico van phishingaanvallen. "Volgens mij is het net zo erg, misschien zelfs erger, dan kwetsbaarheden die het op afstand uitvoeren van code mogelijk maken en moet het ook zo behandeld worden." Cassidy demonstreerde gisteren zijn LostPass-aanval tijdens de ShmooCon-conferentie en heeft de code voor het uitvoeren ervan openbaar gemaakt. bron: security.nl

Sinds afgelopen dinsdag ondersteunt Microsoft op Windows 7 en Windows 8.1 alleen nog Internet Explorer 11 en dat is iets waar ook gebruikers van een andere browser rekening mee moeten houden. Dat stelt Pat Altimore van Microsoft. Nog miljoenen mensen werken met IE8, IE9 of IE10. Sinds 12 januari ontvangen deze gebruikers op Windows 7 en Windows 8.1 geen beveiligingsupdates voor Internet Explorer meer, tenzij ze naar IE11 upgraden. Daardoor gaan deze gebruikers toekomstige beveiligingsupdates van Microsoft missen, wat gevolgen voor sommige Windowsonderdelen kan hebben, aldus Altimore. Hij adviseert dan ook om naar de nieuwe IE-versie te upgraden, ook al gebruikt men een andere browser. VerwijderenHet advies geldt ook voor Windowsgebruikers die Internet Explorer van hun computer "verwijderen". Via 'Windows Features' kan de browser van het systeem worden verwijderd, hoewel IE niet echt verwijderd wordt, zo maakt Altimore bekend. Alle systeemonderdelen van IE blijven namelijk gewoon toegankelijk voor het besturingssysteem en andere applicaties. De browserapplicatie IExplore.exe wordt ook niet verwijderd, maar alleen onzichtbaar gemaakt. In het geval de computer beveiligingsupdates ontvangt, ontvangt het die ook voor Internet Explorer. Op deze manier wordt de browser up-to-date gehouden. Als gebruikers op een later moment de browser weer 'inschakelen' is die dan ook meteen up-to-date. Daarom is het volgens Altimore belangrijk dat gebruikers ervoor zorgen dat ze eerst naar IE11 upgraden voordat ze de browser eventueel van de computer "verwijderen". bron: security.nl

Normaal moet je bij de apparaten aangeven of ze ook zichtbaar zijn voor je bluetooth-netwerk. Hoe staat het met de bewuste koptelefoon? Is deze zo ingesteld dat hij zichtbaar is?

Is het nog gelukt met het aansluiten van je pc op de stereo? Zo ja dan mag je dit topic afsluiten met het slotje.