Captain Kirk

Een spionagegroep die al sinds 2008 actief is heeft dit jaar de activiteiten bijna vertienvoudigd en meerdere zero day-exploits en geavanceerde usb-malware ingezet. Dat meldt anti-virusbedrijf Kaspersky Lab. De groep wordt onder andere 'Sofacy', 'Sednit', 'Pawn Storm', 'APT28' en 'Strontium' genoemd. De afgelopen maanden gebruikte de groep vijf zero day-exploits in Microsoft Office, Oracle Sun Java, Adobe Flash Player en Windows. Op het moment van de aanvallen waren er nog geen beveiligingsupdates beschikbaar. De groep heeft het vooral voorzien op defensiebedrijven die aan NAVO-landen leveren, maar ook overheidsinstellingen zijn regelmatig het doelwit geweest. Usb-malware Naast het gebruik van zero day-exploits werden ook de tools voor het stelen van gegevens verbeterd, waaronder de usb-malware waarmee offline computers worden aangevallen. Om gerichte aanvallen op netwerken te voorkomen is het gebruik van een 'air gap', een geïsoleerd netwerk waarbij de computers niet met internet zijn verbonden, een populaire verdedigingsmaatregel. De Sofacy-groep ontwikkelde usb-malware om dit te omzeilen. Op een al besmette computer wacht 'USB stealer', zoals de malware wordt genoemd, totdat er een usb-stick wordt aangesloten en plaatst daar vervolgens een Autorun-bestand op dat de malware op andere computers kan installeren. De aanval werkt echter alleen op computers waar Autorun staat ingeschakeld. Standaard staat Autorun voor usb-apparaten op Windows 7 en nieuwere Windowsversies uitgeschakeld. In 2009 publiceerde Microsoft een update die deze maatregel op Windows XP en Vista doorvoerde. De update werd begin 2011 automatisch onder Windowsgebruikers verspreid. Eerder liet anti-virusbedrijf ESET al weten dat het regelmatig voorkomt dat systemen die offline zijn, juist doordat ze niet op internet zijn aangesloten, belangrijke beveiligingsupdates missen. Maatregelen Het afgelopen jaar is de Sofacy-groep één van de meest actieve spionagegroepen geworden. Toch zijn organisaties niet machteloos, aldus Kaspersky Lab. "De beste verdediging tegen gerichte aanvallen is een meerlaagse aanpak", aldus de virusbestrijder. Zo wordt een combinatie van patchmanagement, anti-malware, whitelisting en intrusion detection aangeraden. Het anti-virusbedrijf wijst naar onderzoek van de Australische overheid, waaruit blijkt dat 85% van de aanvallen via vier eenvoudige maatregelen is te voorkomen. "Hoewel 100% bescherming onmogelijk is, komt het in praktijk erop neer dat je je verdediging zo moet versterken dat het te kostbaar voor de aanvaller wordt, die dan opgeeft en andere doelwitten gaat zoeken", aldus Kaspersky Lab. bron: security.nl

Het wil niet altijd zeggen dat oud en nieuw goed samen kunnen werken. Ook wil de volgorde van de oude en nieuwe bankjes wel eens verschil maken. Vaak staat in de handleiding van het moederbord (even zoeken op Google) wat de beste manier van plaatsen is.

Aangezien een server 24/7 draait is het ook aan te raden om ervoor te zorgen dat de behuizing voldoende ruimte voor koeling kan geven. Behuizingen voor een server hebben vaak extra sleuven waardoor de warme lucht afgevoerd kan worden. Ik heb ooit eens zelf een server van een oude pc gebouwd en inderdaad was het de warmte welke voor problemen ging zorgen. Een extra fan en creatief het de boormachine bood toen de oplossing.

Excuus voor de late reactie. Het was een beetje druk aan deze zijde. Ik zou zeggen, hou het gewoon even in de gaten.Wanneer het blijft, is soms het bijplaatsen van een extra fan of een vervangen voor een sterkere een mogelijke oplossing. Aangezien het nu goed gaat sluit ik, zoals gevraagd, dit topic. Komen de problemen terug dan ben je altijd hier van harte welkom.

Europol gebruikt al enkele jaren een grote sandbox om automatisch malware mee te detecteren en te analyseren en de informatie die dit oplevert met de lidstaten te delen. Het Europol Malware Analysis System (EMAS) ontvangt verdachte bestanden die door experts uit de lidstaten zijn geupload. Vervolgens wordt het bestand in een gecontroleerde sandbox-omgeving uitgevoerd en de werking van de malware in kaart gebracht. De analyse die EMAS oplevert kan vervolgens naar de Secure Information Exchange Network Application (SIENA) worden gestuurd, een tool voor het delen van informatie tussen Europol, lidstaten en derde partijen, zo laat een woordvoerder van Europol tegenover Vice Magazine weten. De resultaten van de analyse worden ook naar het Europol Analysis System (EAS), dat alle data opslaat, en het Computer Forensic Network (CFN) gestuurd. Het CFN filtert en verwerkt informatie uit grote hoeveelheden computergegevens, terwijl de geldigheid van de gegevens als bewijs of informatie bewaart blijft. Na de analyse kan EMAS het malware-exemplaar vergelijken met informatie in de eigen database, zoals domeinnamen en IP-adressen. Zo kunnen onderzoekers malware met andere exemplaren vergelijken die in de Europese Unie zijn gevonden. Op deze manier kan bijvoorbeeld worden vastgesteld dat malware die in Duitsland en Frankrijk is ontdekt van dezelfde cybercriminelen afkomstig is. EMAS is inmiddels bij verschillende grote onderzoeken van Europol ingezet. Daarnaast wordt er later dit jaar een tweede versie van het systeem gelanceerd. Tot nu toe heeft EMAS 186.000 bestanden geanalyseerd, waarvan er ruim 38.000 als kwaadaardig werden bestempeld. bron: security.nl

Een onderschat botnet dat al sinds 2006 bestaat is in werkelijkheid zeer succesvol en heeft de afgelopen 9 jaar meer dan 15 miljoen unieke slachtoffers gemaakt. Dat meldt het recent overgenomen beveiligingsbedrijf Fox-IT. Het gaat om het botnet genaamd Ponmocup, dat in 2006 nog als Vundo of Virtumonde bekend stond. Volgens de onderzoekers is het één van de succesvolste botnets van de afgelopen jaren. Op het hoogtepunt in juli 2011 bestond het botnet uit 2,4 miljoen computers. Sindsdien is Ponmocup in omvang afgenomen, maar is nog altijd zo'n 500.000 machines sterk. Ondanks het succes zijn de botnetbeheerders erin geslaagd om onder de radar te blijven en het botnet niet op te laten vallen. Zo heeft het botnet weinig aandacht van beveiligingsonderzoekers en bedrijven gekregen en wordt het vaak als een laag risico aangeduid. DetectieHet succes van Ponmocup is volgens de onderzoekers door verschillende zaken te verklaren. Zo is het lastig voor traditionele virusscanners om te herkennen, omdat het per besmette computer een unieke encryptie gebruikt en de kernonderdelen per geïnfecteerd systeem op een unieke locatie bewaart. Verder gebruikt de malware ook eenmalig domeinen voor de installatie, waardoor ze niet zijn te gebruiken om infecties binnen organisaties te herkennen. Het botnet ondersteunt ook de diefstal van inloggegevens voor FTP-servers en Facebook, waarmee de malware verder kan worden verspreid, zo stellen de onderzoekers. Sinds 2009 zouden meer dan 5.000 websites via gestolen FTP-wachtwoorden zijn gehackt en gebruikt voor het verspreiden van de malware. Voor de verspreiding van Ponmocup werden eerst malafide Adobe Flash Player-updates en video-codecs gebruikt. Na een grootschalige operatie om het botnet in 2011 uit te schakelen besloten de beheerders zip-bestanden, JAR-bestanden en Java-applets te gebruiken. In tegenstelling tot veel andere botnets gebruikt Ponmocup geen exploits om internetgebruikers automatisch te infecteren. Het is dan ook via het slim gebruik van social engineering dat de malware zich weet te verspreiden, zo waarschuwen de onderzoekers. DoelHet doel van het botnet is waarschijnlijk financieel gewin. Zo bevat de malware een plug-in voor het plegen van advertentiefraude, kan het Bitcoin-wallets stelen en zoekt het naar financiële websites die gevoelige informatie bevatten. Het is echter lastig om het bedrag te bepalen dat Ponmocup de beheerders heeft opgeleverd, maar waarschijnlijk gaat het om vele miljoenen. Het onderzoek van Fox-IT (pdf) werd vandaag tijdens de Botconf 2015 conferentie in Parijs gepresenteerd. bron: security.nl

Er is een nieuwe versie van Google Chrome verschenen waarin 41 lekken zijn gedicht, waaronder een kritieke kwetsbaarheid waardoor een aanvaller willekeurige code op de computer kon uitvoeren met de rechten van de ingelogde gebruiker. Het bezoeken van een kwaadaardige of gehackte website was hiervoor voldoende. Dit soort kritieke kwetsbaarheden komen weinig in Google Chrome voor. Vorig jaar werden er slechts drie van dit soort lekken in Chrome gerapporteerd. In 2015 gaat het tot nu toe om twee kritieke kwetsbaarheden. Het vorige kritieke lek dateert van april. Verder is ook een groot aantal kwetsbaarheden verholpen die als "high" geclassificeerd zijn. In dit geval kan een kwaadaardige website vertrouwelijke data van andere websites lezen of aanpassen. Google betaalde een anonieme onderzoeker voor het melden van de kritieke kwetsbaarheid 10.000 dollar. In totaal keerde Google aan alle externe onderzoekers wegens het melden van de beveiligingsfouten ruim 105.000 dollar uit. Updaten naar Chrome 47.0.2526.73 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Miljoenen gebruikers van Internet Explorer hebben nog slechts enkele weken de tijd om naar een modernere versie van de browser te upgraden, want vanaf 12 januari 2016 ondersteunt Microsoft namelijk nog maar één versie van de browser per Windowsversie. In het geval van Vista moet dan IE9 worden gebruikt. Gebruikers van Windows 7 en Windows 8.1 die nog beveiligingsupdates voor Internet Explorer willen ontvangen moeten op IE11 overstappen. Volgens onderzoeksbureau Net Applications heeft IE een marktaandeel van 50%. Wordt er specifiek naar het aandeel van de verschillende IE-versies gekeken, dan gebruikt 24,8% IE11. Internet Explorer 6, 7, 8, 9 en 10 hebben bij elkaar een aandeel van 22,4%, terwijl 2,8% van de internetgebruikers via Microsoft Edge Surft. Microsoft stelt dat er 1,5 miljard Windowscomputers zijn. Het is echter lastig om de bovenstaande percentages op dit getal los te laten, omdat er ook Windows XP-computers tussen zitten die allang niet meer worden ondersteund en IE9 op Vista nog wel updates zal ontvangen. Daarnaast stelt marktvorser StatCounter dat het aandeel van IE veel kleiner is dan Net Applications beweert, namelijk 16,8%. IE11 heeft hierbij een aandeel van 11,3%, wat inhoudt dat mogelijk 5,5% van de IE-gebruikers straks geen ondersteuning meer krijgt. Hoewel een exact getal onmogelijk is te geven gaat het zowel in de cijfers van StatCounter als Net Applications om vele miljoenen IE-gebruikers. VoordelenDe maatregel om oude IE-versies niet meer te ondersteunen heeft volgens Microsoft voor zowel gebruikers als ontwikkelaars voordelen. Oudere IE-versies ondersteunen niet altijd nieuwe webstandaarden, wat lastig is bij het ontwikkelen van nieuwe websites en web-apps. Voor bedrijven die van Internet Explorer afhankelijk zijn en op Windows 10 zijn overgestapt biedt Microsoft Internet Explorer 11 met Enterprise Mode. Microsoft Edge is de standaardbrowser in Windows 10, maar veel bedrijven werken met applicaties en technologieën die specifiek voor IE zijn ontwikkeld. Deze bedrijven kunnen in Windows 10 ervoor kiezen om het personeel standaard met Edge te laten surfen, maar dat intranet-sites of legacy bedrijfssites alleen in IE11 worden geopend. bron: security.nl

Onderzoekers hebben een aanval op mediabedrijven in Hongkong ontdekt waarbij er malware is gebruikt die besmette computers via Dropbox bestuurt. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye. Volgens de IT-beveiliger is er sprake van een trend waarbij aanvallers hun malafide activiteiten in het verkeer van legitieme webdiensten verbergen, om zo detectie te voorkomen. De nu waargenomen aanval begon met een spear phishingmail die een Word-document bevat. Het Word-document maakt gebruik van een bekend beveiligingslek in Microsoft Word dat op 10 april 2012 werd gepatcht. Deze specifieke kwetsbaarheid wordt al jaren gebruikt om organisaties en bedrijven aan te vallen. In het geval beheerders de afgelopen 3,5 jaar geen beveiligingsupdates voor hun Office-software hebben geïnstalleerd en het document wordt geopend, raakt de computer met de Lowball-malware besmet. Deze malware gebruikt Dropbox als een command & control-server. Via de programmeerinterface van Dropbox kan de malware bestanden uploaden, download en bestanden uitvoeren. De communicatie loopt via HTTPS over poort 443. Als de computer interessant genoeg is wordt er aanvullende malware geïnstalleerd. Volgens FireEye wilden de aanvallers de mediabedrijven waarschijnlijk monitoren vanwege de politieke en economische crisis in Hongkong. De IT-beveiliger onderzocht de malware samen met Dropbox en ontdekte een tweede operatie die ook van de cloudopslagdienst gebruikmaakte. Mogelijk zijn bij deze operatie 50 doelwitten aangevallen, maar wie het zijn kon niet worden vastgesteld. bron: security.nl

Microsoft heeft het vertrouwen in twee Dell-certificaten ingetrokken, omdat ze kunnen worden gebruikt om Windowsgebruikers aan te vallen. Het gaat om twee digitale certificaten genaamd DSDTestProvider en eDellCert waarvan de privésleutels onbedoeld openbaar zijn geworden. Eén van deze certificaten kan worden gebruikt om andere certificaten uit te geven, andere domeinen te imiteren of code te ondertekenen. Verder zijn de certificaten ook te gebruiken om content te spoofen en phishing- en man-in-the-middle-aanvallen op Dell-gebruikers uit te voeren. Om gebruikers te beschermen heeft Microsoft de Certificate Trust list (CTL) van alle ondersteunde Windowsversies bijgewerkt en het vertrouwen van de twee certificaten ingetrokken. In Windows 8 en nieuwer wordt de Certificate Trust list automatisch bijgewerkt en hoeven gebruikers geen actie te ondernemen. Gebruikers van Vista, Windows 7 en Server 2008 moeten eerst de automatische updater downloaden voordat ze automatisch zijn beschermd. Eerder besloot Microsoft de certificaten al via Windows Defender en Security Essentials te detecteren en te verwijderen. Ook Dell heeft inmiddels een update uitgebracht om de certificaten van systemen te verwijderen. bron: security.nl

De afgelopen weken zijn er door de ransomware die het op Linux-webservers heeft voorzien zo'n 3.000 websites versleuteld geraakt. Dat stelt het Russische anti-virusbedrijf Doctor Web, dat zich weer baseert op gegevens van Google. Het gaat om ransomware genaamd Linux.encoder. Aanvallers achter de ransomware hebben het voorzien op WordPress-websites en webwinkels die van Magento gebruikmaken. Via een nog altijd onbekende kwetsbaarheid weten de aanvallers toegang tot de webserver te krijgen die de website host en voeren vervolgens Linux.encoder uit. Deze ransomware, die geen aanvullende rechten vereist, versleutelt allerlei bestanden en vraagt vervolgens 1 bitcoin, wat met de huidige wisselkoers 349 euro is. Het is onbekend hoeveel webmasters het losgeld uiteindelijk hebben betaald. F-Secure rapporteerde begin november dat zo'n 36 mensen hadden betaald, wat op dat moment overeenkwam met een bedrag van zo'n 12.000 euro. Door een fout kunnen versleutelde bestanden echter zonder te betalen worden ontsleuteld. Het Roemeense anti-virusbedrijf Bitdefender ontwikkelde een gratis decryptietool voor slachtoffers. Uit onderzoek van de virusbestrijder blijkt dat een vroege versie van de ransomware al op 25 augustus van dit jaar werd verspreid en destijds 7 mensen het losgeld betaalden. bron: security.nl

Bedrijven die vanaf volgend jaar januari Flash Player willen downloaden om binnen de eigen bedrijfsomgeving uit te rollen moeten over een licentie beschikken, zo heeft Adobe aangekondigd. Het softwarebedrijf zal op 22 januari 2016 namelijk de pagina met volledige installatiebestanden offline halen. Via de website was het eenvoudig voor bijvoorbeeld systeembeheerders om de installatiebestanden in exe- of msi-formaat te downloaden. De bestanden konden vervolgens worden gebruikt om Flash Player binnen de organisatie uit te rollen. Daarnaast zijn organisaties vanaf 1 december verplicht om voor het aanvragen van een zakelijke distributielicentie een AdobeID aan te maken. Zakelijke gebruikers moeten over een geldige licentie beschikken om de Adobe Flash Player-bestanden te downloaden en verspreiden, zo stelt het softwarebedrijf. Voor eindgebruikers heeft Adobe een andere pagina waarop Flash Player wordt aangeboden. Het gaat hier echter om een 'installer' die vervolgens bij Adobe de rest van de installatiebestanden downloadt. bron: security.nl

Een Tsjechische starter wil volgend jaar een nieuwe router op de markt gaan brengen die open source is, zichzelf kan updaten en veiligheid voorop stelt. Turris Omnia, zoals de router wordt genoemd, gebruikt open hardware en een op OpenWRT-gebaseerd besturingssysteem. Het team achter de router was eerder betrokken bij de ontwikkeling van 'router Turris', een thuisrouter die als onderzoekproject voor CZ.NIC werd ontwikkeld. Dit is de non-profitorganisatie die voor het Tsjechische .cz top level domein verantwoordelijk is. De makers noemen vooral de veiligheid en mogelijkheden als sterke punten. Zo beschikt de Turris Omnia over een extra cryptochip, wordt er standaard een veilige configuratie gebruikt en zal de router in het geval van kwetsbaarheden of bugfixes zichzelf kunnen updaten. Volgens de ontwikkelaars is een gebrek aan updates voor veel thuisrouters een beveiligingsprobleem. De Omnia zal gedurende de leeftijd van het apparaat van automatische updates worden voorzien. Tevens beschikt de router over een virtuele server en 1GB werkgeheugen, waardoor het veel meer kan dan normale routers. Om de router te realiseren is er een crowdfundingcampagne op Indiegogo gestart, met als doel het ophalen van 100.000 dollar. Inmiddels is er meer dan 279.000 dollar toegezegd. Als de 350.000 dollar wordt gehaald zullen de ontwikkelaars ook netwerkmonitoring gaan toevoegen. Als alles volgens plan verloopt wordt de Turris Omnia volgend jaar april geleverd. De router zal straks 285 dollar kosten, maar is nu nog voor 189 dollar te bestellen. bron: security.nl

Een beveiligingslek bij sommige VPN-aanbieders kan ervoor zorgen dat het echte IP-adres van gebruikers wordt onthuld, zo waarschuwt VPN-aanbieder Perfect Privacy. Een VPN (Virtual Private Network) is een beveiligde verbinding tussen een computer en een server ergens anders op het internet. Deze verbinding is versleuteld waardoor anderen niet kunnen meekijken. Al het internetverkeer van en naar de computer gaat via deze afgeschermde route en kan op dit deel niet worden afgeluisterd. Daarnaast kunnen VPN-gebruikers op deze manier hun IP-adres afschermen, omdat bezochte websites alleen het IP-adres van de VPN-aanbieder zien. Volgens Perfect Privacy lopen gebruikers van sommige VPN-aanbieders toch risico dat hun echte IP-adres bekend wordt. Port forwardingHet probleem speelt bij VPN-aanbieders die port forwarding aanbieden. Het maakt daarbij niet uit of gebruikers van deze VPN-aanbieders zelf port forwarding gebruiken, alleen de aanvaller moet het instellen. Om het IP-adres van een slachtoffer te achterhalen moet er wel aan verschillende voorwaarden zijn voldaan. Zo moet de aanvaller een actief account bij dezelfde VPN-aanbieder als het slachtoffer hebben. Ook moet de aanvaller het 'exit' IP-adres van het slachtoffer kennen en het slachtoffer een bestand of pagina laten openen. Een aanvaller die port forwarding heeft ingeschakeld kan vervolgens het verzoek om de afbeelding of website zien dat van het echte IP-adres van het slachtoffer afkomstig is. In totaal testte Perfect Privacy negen VPN-aanbieders, waarvan er vijf kwetsbaar bleken. Deze partijen zijn inmiddels ingelicht. Het probleem kan echter ook bij andere VPN-aanbieders spelen die niet zijn getest, zo waarschuwt Perfect Privacy. BitTorrentVolgens beveiligingsexpert Darren Martyn kan het lek worden gebruikt om BitTorrent-gebruikers te ontmaskeren die illegaal auteursrechtelijk beschermd materiaal downloaden. Om hun IP-adres af te schermen zijn er BitTorrent-gebruikers die een VPN-dienst gebruiken. Door het lek kunnen rechthebbenden toch het IP-adres van de illegale downloaders zien. Martyn verwacht dan ook dat bedrijven die zich met het aanklagen van copyrightschenders bezighouden deze kwetsbaarheid zullen gebruiken om BitTorrent-gebruikers te vervolgen. bron: security.nl

Belgische consumenten zijn door Febelfin, de koepelorganisatie van Belgische banken, gewaarschuwd voor nieuwe technieken die worden gebruikt om te frauderen met internetbankieren. Maakten criminelen vooral gebruik van e-mail om consumenten te bereiken, sinds kort worden ook sms-berichten ingezet. In beide gevallen is het doel hetzelfde: slachtoffers naar een phishingsite leiden om hun persoonlijke informatie en inloggegevens voor internetbankieren te ontfutselen. Fraudeurs proberen ook steeds vaker rechtstreeks de bankpas en bijhorende pincode van de consument te bemachtigen. Zo wordt deze laatste bijvoorbeeld via e-mail of sms gevraagd om zijn bankpas te vervangen. De bankpas moet naar een bepaald adres worden gestuurd en de pincode moet op een phishingsite worden ingevuld. Met zowel de bankpas als de bijhorende pincode kunnen criminelen vervolgens geld van de rekening stelen. Tevens is er een ontwikkeling gaande waarbij criminelen zich niet alleen meer op consumenten richten, maar ook bedrijven aanvallen. Hiervoor wordt malware ingezet, aldus Febelfin. SlachtoffersOndanks de nieuwe technieken en ontwikkelingen daalde in het derde kwartaal het aantal Belgische slachtoffers van fraude met internetbankieren. Er werden in totaal 43 slachtoffers geregistreerd, waarbij er bijna 93.000 euro werd gestolen. In het tweede kwartaal ging het nog om 57 slachtoffers, maar bedroeg het schadebedrag bijna 539.000 euro. De daling is volgens Febelfin te danken aan de inzet van banken, consumenten en politie. Zo vonden er enkele "significante arrestaties" plaats. Toch blijft waakzaamheid geboden, stelt Febelfin-topman Michel Vermaerke. bron: security.nl

Er is een nieuwe versie van de opensource-e-mailclient Thunderbird verschenen, waarin Mozilla 14 kwetsbaarheden heeft verholpen. Acht van de beveiligingslekken zijn als "kritiek" aangemerkt, wat inhoudt dat een aanvaller ze kon gebruiken om willekeurige code op de computer uit te voeren. Het is echter onduidelijk in hoeverre dit bij Thunderbird het geval was. De e-mailclient is gebaseerd op Gecko 38, de engine die ook door Firefox wordt gebruikt voor het lezen en weergeven van webcontent, zoals HTML, CSS, XUL en JavaScript. In de release notes van Thunderbird 38.4.0 wijst Mozilla naar kwetsbaarheden die in Firefox zijn gepatcht. Bij de details over de verholpen kwetsbaarheden staat echter alleen Firefox vermeld, terwijl bij oudere updates ook Thunderbird werd genoemd. Daarbij patchte Mozilla deze kwetsbaarheden op 3 november in Firefox, terwijl de nieuwe Thunderbird-versie deze week pas verscheen. Updaten naar Thundebird 38.4.0 kan via de e-mailclient en Mozilla.org. bron: security.nl

Gisteren maakte Microsoft bekend dat het de zakelijke beveiligingsproducten van een nieuwe feature heeft voorzien waardoor ook potentieel ongewenste software en adware worden gestopt, maar via een kleine aanpassing van het register kan deze functie ook door consumenten worden geactiveerd. Dat meldt het Duitse Heise Online. Onder potentieel ongewenste software verstaat Microsoft zogeheten softwarebundels die adware, toolbars en andere ongewenste programma's bevatten. Om organisaties hier tegen te beschermen heeft de softwaregigant de zakelijke oplossing System Center Endpoint Protection (SCEP) en Forefront Endpoint Protection (FEP) met een nieuwe opt-in feature uitgebreid. In combinatie met Windows Defender kan daardoor het downloaden en installeren van ongewenste software worden geblokkeerd. De functie is niet exclusief voor bedrijfsomgevingen. Door een aanpassing in het register is die namelijk ook voor gewone Windowssystemen beschikbaar. Volgens Heise Online is de functie om adware te stoppen niet alleen aan SCEP en FEP toegevoegd, maar ook aan Windows Defender, dat in alle Windowsversies sinds Windows 8 aanwezig is. Uit een test van het Duitse IT-magazine blijkt Windows Defender na de aanpassing inderdaad ongewenste software zoals Freemake Video Converter te blokkeren. De test was op de Home- en Pro-versie van Windows 10 uitgevoerd. Om de aanpassing door te voeren moet onderstaande vetgedrukte tekst in een tekstbestand worden geplaatst, waarvan vervolgens de bestandsextensie van .txt in .reg moet worden veranderd. Daarna moet het bestand worden geopend en wordt de registeraanpassing doorgevoerd. bron: security.nl

België heeft besloten om volledig lid van het cybercentrum van de NAVO in Tallinn te worden, de hoofdstad van Estland. De zuiderburen zullen het NATO Cooperative Cyber Defence Centre of Excellence mede gaan ondersteunen. Het centrum doet onderzoek naar en geeft trainingen over cybersecurity. Het wordt door verschillende landen gefinancierd, waaronder Nederland. Ook België zal nu in de kosten gaan delen. "België is een belangrijke speler in de Europese cybersecurity. Naast het hosten van verschillende internationale instellingen, spelen ze een fundamentele rol bij de cyberverdediging van NAVO en de Europese Unie", aldus Sven Sakkov, directeur van het centrum. "De Belgische krijgsmacht is vereerd om lid van het cybercentrum te worden. Cyberverdediging is een topprioriteit voor de Belgische overheid", aldus kolonel Gunther De Kerpel. Het Belgische leger zal binnenkort een cyberspecialist naar Tallinn sturen. Het centrum wordt gefinancierd en bemand door personeel van deelnemende landen. bron: security.nl

Microsoft heeft de zakelijke beveiligingsproducten van een nieuwe feature voorzien om zo bedrijven en organisaties tegen potentieel ongewenste software te beschermen. Het gaat dan bijvoorbeeld om zogeheten softwarebundels die adware, toolbars en andere ongewenste programma's bevatten. Volgens de softwaregigant kunnen deze programma het risico vergroten dat bedrijfsnetwerken met malware besmet raken of maken het lastiger om malware-infecties te identificeren. Ook zou het helpdesks belasten en tijd kosten om de applicaties te verwijderen. Om zakelijke gebruikers tegen dit soort software te beschermen zijn de beveiligingsoplossingen System Center Endpoint Protection (SCEP) en Forefront Endpoint Protection (FEP) met een nieuwe opt-in feature uitgebreid, zo heeft Microsoft via een blogposting bekendgemaakt. De feature kan potentieel ongewenste programma's detecteren en stoppen, zodat ze niet worden gedownload of geïnstalleerd. Microsoft stelt dat het blokkeren van dergelijke software een uitdrukkelijke keuze moet zijn en bedrijven er verstandig aan doen om hier beleid over op te stellen. Ook moeten eindgebruikers in dit geval worden gewaarschuwd, zodat ze weten dat potentieel ongewenste programma's niet in de bedrijfsomgeving zijn toegestaan en de beveiligingsproducten dergelijke software zullen blokkeren. bron: security.nl

Naast ransomware die bestanden versleutelt of computers vergrendelt is er ook ransomware die alleen de browser aanvalt, en een nieuwe variant probeert gebruikers op een aparte manier tot betalen te dwingen. De browser-ransomware doet zich voor als "Microsoft Official Support". Via een pop-up laat de ransomware gebruikers geloven dat er problemen met de computer zijn en er een bepaald telefoonnummer moet worden gebeld. Daarnaast wordt er continu een audioboodschap herhaald die stelt dat er virussen en adware op de computer aanwezig zijn en het opgegeven nummer moet worden gebeld om ze te verwijderen. Als gebruikers de pop-up proberen te sluiten wordt er een nieuwe pop-up geopend. In tegenstelling tot ransomware die bestanden versleutelt of de computer vergrendelt, is browser-ransomware eenvoudig te verhelpen. Gebruikers kunnen de browser via Taakbeheer sluiten, waarmee ook de browser-ransomware verdwijnt. Beveiligingsbedrijf RSA stelt dat ondanks de eenvoud van de oplossing, deze ransomware zich vooral richt op gebruikers die geen kennis van dit soort dreigingen hebben of weten hoe ze die via Taakbeheer kunnen verhelpen en uiteindelijk toch het opgegeven telefoonnummer bellen. Dit telefoonnummer is van oplichters die vervolgens het slachtoffer proberen op te lichten. bron: security.nl

Onderzoekers waarschuwen dat miljoenen apparaten op internet zoals routers, IP-camera's en modems kwetsbaar zijn doordat ze dezelfde encryptiesleutels gebruiken. Aanvallers kunnen hierdoor man-in-the-middle-aanvallen uitvoeren en versleuteld verkeer afluisteren en ontsleutelen. Daardoor zou gevoelige informatie in verkeerde handen terecht kunnen komen. Het probleem speelt bij zogeheten embedded apparaten, waaronder routers, modems, IP-camera's en VoIP-telefoons. Onderzoekers van beveiligingsbedrijf SEC Consult bekeken voor hun onderzoek de firmware van meer dan 4.000 van dergelijke apparaten, afkomstig van meer dan 70 fabrikanten. Er werd vooral gekeken naar cryptografische sleutels in de firmware, zoals publieke sleutels, privésleutels en certificaten. Het gaat dan vooral om sleutels die worden gebruikt om verbinding via SSH te maken en X.509-certificaten die voor HTTPS worden gebruikt. In totaal werden bij de ruim 4.000 onderzochte apparaten meer dan 580 unieke privésleutels aangetroffen. Deze informatie werd vervolgens gecorreleerd met data van grootschalige internetscans. Daaruit kwam naar voren dat de dataset met de 580 unieke sleutels de privésleutels van 9% van alle HTTPS-hosts op het web bevat en de privésleutels van meer dan 6% van alle SSH-hosts. Tenminste 230 van de 580 sleutels werden actief gebruikt en op miljoenen hosts aangetroffen. De sleutels worden door fabrikanten toegevoegd om verbinding via HTTPS en SSH aan te bieden. Het probleem is dat alle apparaten met de betreffende firmware dezelfde sleutels gebruiken. Opmerkelijk was dat dezelfde sleutels in de producten van verschillende fabrikanten werden aangetroffen. Een certificaat van Broadcom werd bijvoorbeeld in meer dan 480.000 apparaten op internet gevonden, onder andere van Linksys en ZyXEL. Het probleem speelt ook bij Cisco, Huawei, Ubiquiti Networks en andere fabrikanten. De kwetsbare apparaten staan vooral in de Verenigde Staten (26,3%) en Mexico (16,5%). OplossingSEC Consult werkte samen met het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit om de betrokken fabrikanten alsmede browserontwikkelaars te waarschuwen. Inmiddels hebben sommige partijen updates uitgebracht. Fabrikanten krijgen daarnaast het advies om voor elk apparaat unieke cryptografische sleutels te gebruiken. Daarnaast moeten internetproviders ervoor zorgen dat remote toegang via de WAN-poort tot de apparatuur van hun abonnees niet mogelijk is. Als laatste krijgen eindgebruikers het advies om de generieke SSH-sleutels en X.509-certificaten op hun apparaten door unieke versies te vervangen. Het CERT/CC stelt echter dat in veel gevallen er geen praktische oplossing voorhanden is. bron: security.nl

Een nieuwe variant van de ransomware die het op Linux-webservers heeft voorzien vraagt 999 dollar voor het ontsleutelen van de versleutelde bestanden, maar Russische slachtoffers kunnen hun bestanden gratis door de cybercriminelen laten ontsleutelen. Linux.encoder, zoals de ransomware wordt genoemd, heeft het voorzien op WordPress-websites en webwinkels die op Magento draaien. Hoe de aanvallers precies weten binnen te komen is nog altijd niet duidelijk. Eenmaal actief versleutelt Linux.encoder allerlei bestanden op de server. In eerste instantie vroeg de ransomware 50 dollar om de bestanden te ontsleutelen, maar dat liep op naar 500 dollar. De nu ontdekte variant vraagt echter 999 dollar voor de decryptie en wil dat slachtoffers binnen 7 dagen betalen. Daarbij lijken de makers een uitzondering voor Russische slachtoffers te maken, zo meldt anti-malwarebedrijf Malwarebytes. In één geval werd er een Russisch bericht ontdekt. Daarin wordt gesteld dat als het om een Russische website gaat de bestanden gratis kunnen worden ontsleuteld. Volgens Malwarebytes vinden de aanvallen waarschijnlijk geautomatiseerd plaats en kunnen landgenoten van de aanvallers van wie onbedoeld de website is versleuteld op deze manier kosteloos hun bestanden terugkrijgen. bron: security.nl

De grote update die deze maand voor Windows 10 verscheen heeft de privacyinstellingen van sommige gebruikers aangepast, waardoor die eenvoudiger door adverteerders konden worden gevolgd. Dat heeft Microsoft laten weten. Vanwege het probleem werd besloten de 'November Update' terug te trekken. Gisteren publiceerde de softwaregigant een update om het probleem te verhelpen en maakte de November Update weer beschikbaar. Daarnaast zal Microsoft de instellingen van de getroffen gebruikers de komende dagen gaan corrigeren. Hoe dit zal worden gedaan is nog onbekend. De bug in de November Update zorgde ervoor dat instellingen voor advertentie-id, achtergrond apps, SmartScreen Filter en het synchroniseren met apparaten niet werden behouden. Volgens Microsoft zou een "zeer klein aantal" mensen door de bug zijn getroffen. bron: security.nl

Op computers van Dell blijken meer gevaarlijke certificaten aanwezig te zijn dan alleen het eDellRoot rootcertificaat waar sinds gisteren voor wordt gewaarschuwd en waardoor gebruikers kunnen worden aangevallen. Dat meldt het beveiligingsbedrijf Duo Security aan de hand van eigen onderzoek. Dell blijkt sinds augustus op computers hetzelfde rootcertificaat genaamd eDellRoot te installeren, inclusief bijbehorende privésleutel. Iets dat volgens de onderzoekers van Duo Security een 'vrij grote fout' is. Via het certificaat kunnen er man-in-the-middle-aanvallen op gebruikers worden uitgevoerd en is het bijvoorbeeld mogelijk om malware te installeren of versleutelde verbindingen af te luisteren. Daarnaast blijkt er ook een tweede eDellRoot certificaat te zijn. Dit tweede certificaat werd op 24 IP-adressen aangetroffen. Om welke modellen het precies gaat is onbekend. "Het suggereert dat Dell opzettelijk identieke sleutels in andere modellen levert. Dit is een schaamteloze minachting voor basale cryptografische veiligheid", aldus de onderzoekers. Eén van de systemen die via het internet toegankelijk was en dit certificaat gebruikte om webdiensten over HTTPS aan te bieden was een SCADA-systeem. Dergelijke systemen worden onder andere voor de vitale infrastructuur gebruikt. Als laatste werd er ook nog een Atheros Authenticode-certificaat ontdekt voor het signeren van software. Het wachtwoord van het certificaat werd binnen 6 uur gekraakt. Het certificaat bleek echter al te verlopen zijn, wat de mogelijkheid voor misbruik beperkt. Het lijkt er echter op dat het certificaat in gebruik was op het moment dat het nog geldig was. Fabrikanten leren nietVolgens de onderzoekers laat de ontdekking een verontrustende ontwikkeling onder fabrikanten zien. Het toevoegen van vertrouwde certificaten aan een systeem, en dan met name rootcertificaten, kan gebruikers aan onnodige risico's blootstellen. "Helaas blijken fabrikanten niet te leren van fouten uit het verleden en blijven ze die steeds herhalen", aldus de conclusie van het onderzoek (pdf). Dell heeft inmiddels aangegeven dat het eDellRoot-certificaat via een update zal worden verwijderd. bron: security.nl

De grote Windows 10-update die Microsoft deze maand heeft uitgebracht blijkt verschillende apps ongevraagd te verwijderen. Het gaat onder andere om CPUID, CPU-Z en Speccy, programma's waarmee informatie over de hardware van de computer kan worden opgevraagd en gemonitord. Ook het AMD Catalyst Control Center, voor het instellen van de videokaart, wordt door de "November update" verwijderd, zo blijkt uit klachten van gebruikers op verschillende fora en Twitter. De November update verscheen twee weken geleden en zou de prestaties van het besturingssysteem verbeteren. Het blijkt echter ook programma's te verwijderen die niet worden ondersteund, tot grote woede van gebruikers. Hoewel Microsoft geen toestemming vraagt om de apps te verwijderen, laat Windows 10 wel weten dat het programma's heeft verwijderd. Verschillende gebruikers melden dat ze de applicaties in kwestie nadat die waren verwijderd opnieuw zonder problemen op Windows 10 hebben geïnstalleerd. bron: security.nl