Captain Kirk

Eind 2014 kwam het Roemeense anti-virusbedrijf Bitdefender met een vaccin tegen de Cryptowall-ransomware, dat moest voorkomen dat bestanden werden versleuteld, ook al raakte de computer met de beruchte ransomware besmet. Door aanpassingen aan Cryptowall is het vaccin in sommige gevallen niet meer effectief, waarop de virusbestrijder nu heeft besloten de "CryptoWall Immunizer", zoals de tool werd genoemd, offline te halen. In 2014 maakte Dell SecureWorks bekend dat Cryptowall 830.000 computers had besmet. Het wordt als één van de succesvolste ransomware beschouwd. Cryptowall versleutelt bestanden op computers en vraagt hier losgeld voor. Als er niet op tijd wordt betaald verdubbelt de ransomware het te betalen bedrag voor het ontsleutelen van de bestanden. Volgens onbevestigde cijfers zou dit de criminelen miljoenen dollars hebben opgeleverd. Om systemen te beschermen ontwikkelde Bitdefender een vaccin dat het versleutelen van bestanden door Cryptowall moest voorkomen, zelfs als de computer met de ransomware besmet raakte. Het anti-virusbedrijf laat echter weten dat de makers van Cryptowall de manier hebben aangepast waarop gecontroleerd wordt of een systeem is besmet of niet. Daardoor zou het vaccin in bepaalde gevallen niet meer werken. "Omdat we de werking van het vaccin niet meer kunnen garanderen, hebben we besloten de tool niet meer aan te bieden", aldus een verklaring. Gebruikers kunnen zich echter beschermen door software up-to-date te houden en geen ongevraagde links of bijlagen te openen. bron: security.nl

De virusscanners van McAfee en Panda Security bieden onvoldoende bescherming tegen malware, zo stelt de Consumentenbond aan de hand van eigen onderzoek. In totaal werden er tijdens de test 18 anti-viruspakketten en internet security suites beoordeeld op een computer met Windows 10. Het ging zowel om gratis als betaalde oplossingen en de standaard ingebouwde virusscanner van Windows 10, Windows Defender. Er werd gekeken naar de bescherming tegen malware, de bescherming die de meegeleverde firewall biedt, het gebruiksgemak en in hoeverre de scanner de computer vertraagt. De betaalde pakketten van Bitdefender, BullGuard, G Data en Kaspersky boden de beste bescherming tegen malware. De oplossing van BullGuard (Internet Security 2016) komt als 'Beste uit de test' en is samen met G Data (Internet Security 2016) ook de 'Beste Koop'. McAfee scoort een onvoldoende (5,3) en komt het slechtst uit de test. Panda scoort een 5,4, gevolgd door Windows Defender dat met een 5,5 nipt een voldoende haalt. De Consumentenbond merkt op dat McAfee op veel nieuwe Windows-laptops als proefversie is geïnstalleerd. "Veel consumenten zullen ten onrechte denken dat ze daarmee afdoende beschermd zijn tegen malware." Gratis virusscannersDe gratis virusscanners van Avira, Avast! en AVG scoren matig als het gaat om de bescherming tegen virussen. "Daarnaast nemen deze scanners het niet zo nauw met de privacy van de gebruikers. Ze houden surfgedrag in de gaten en delen dit met derden", aldus de onderzoekers. De gratis scanners die Ziggo, XS4All en KPN Alles-in-één Premium onder eigen naam aanbieden op basis van software van F-Secure scoren iets beter qua bescherming en privacyvoorwaarden. De Consumentenbond adviseert om abonnementen op betaalde virusscanners en internet security suites niet zomaar te verlengen. Met het vergelijken van prijzen of zoeken naar aanbiedingen kunnen gebruikers soms wel de helft besparen. bron: security.nl

Netwerkgigant Cisco heeft een ernstige kwetsbaarheid in Cisco Nexus-switches gedicht dat was ontstaan door een standaardwachtwoord in het besturingssysteem dat niet kon worden gewijzigd. Via het beveiligingslek kon een aanvaller de apparaten overnemen, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). Het probleem was aanwezig in de Cisco Nexus Operating System (NX-OS) Software op Cisco Nexus 3000- en 3500-switches. Volgens Cisco gaat het om een gebruikersaccount dat over een standaard en niet te veranderen wachtwoord beschikt. Dit account wordt tijdens de installatie aangemaakt en kan niet worden aangepast of worden verwijderd zonder dat dit invloed op de werking van het systeem heeft. Een aanvaller kan via Telnet, en bij sommige releases ook via ssh, van het account gebruikmaken en op afstand op het systeem inloggen. Ook kan er via een seriële console op het account worden ingelogd. Beheerders krijgen het advies om de beschikbare beveiligingsupdates te installeren. Een 'workaround' is het uitschakelen van Telnet en ssh voor verbindingen op afstand naar het apparaat. Verder zijn er twee andere kwetsbaarheden in de NX-OS Software gepatcht waardoor een aanvaller een Denial of Service kon veroorzaken. bron: security.nl

Het enige wat ik zou kunnen verzinnen is dat in de Bios nog de "Wake-up-lan" functie aan staat. Dan zou naar mijn idee nog stroom gebruikt moeten worden om deze functie actief te houden. Maar ik kan mij niet voorstellen dat deze functie een batterij in een week leeg trekt. Een andere optie is misschien het opnieuw kalibreren van de accu's.Op internet kun je meestal vinden hoe je dit voor jouw computer kunt doen. Ik moet eerlijk zeggen dat ik bij het lezen van je bericht ook direct dacht aan een defecte accu zoals Medion aan gaf. De ideeën die ik hier geef zijn dan ook een schot in het donker. Misschien dan een ander teamlid nog een andere oorzaak zou kunnen aangeven.

Je kunt zelf oom een femaleconnector plaatsen. Een beetje electronica-speciaalzaak zal ze wel hebben. Ook via internet zijn ze te vinden. Alleen moet je er dan meestal een aantal tegelijk afnemen. Ik kies persoonlijk eigenlijk altijd voor een fem-fem-adapter. Scheelt weer een hoop gepriegel met de draadjes en je bent voordeliger uit. Wanneer het gaat om een blijvende verbinding maak ik eigenlijk altijd een langere kabel op maat. Zeker wanneer je een eigen tang hebt, is dit misschien een betere oplossing.

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate uitgebracht die meerdere kwetsbaarheden verhelpt, waaronder de vandaag aangekondigde DROWN-aanval. Via dit lek kan een aanvaller, door gebruik te maken van het oude sslv2-protocol dat veel servers nog steeds ondersteunen, de inhoud van versleutelde verbindingen lezen en zo gevoelige informatie achterhalen. Om het probleem te verhelpen heeft OpenSSL besloten om in OpenSSL 1.0.2g en 1.0.1s sslv2 standaard uit te schakelen. Daarnaast worden de 'sslv2 export-ciphers' verwijderd. In totaal verhelpen OpenSSL 1.0.2g en 1.0.1s acht beveiligingslekken. Twee daarvan zijn als "high" aangemerkt. Naast de DROWN-kwetsbaarheid gaat het om een beveiligingslek dat in OpenSSL-versies voor 19 maart 2015 aanwezig is. Via deze kwetsbaarheid is het mogelijk om de sslv2-meestersleutel via slechts 16 verbindingen te bepalen. Ook laat het aanvallers een efficiëntere DROWN-aanval uitvoeren. De kwetsbare code werd op 19 maart 2015 al in OpenSSL 1.0.2a, 1.0.1m, 1.0.0r en 0.9.8zf gepatcht. Hetzelfde geldt voor de enige kwetsbaarheid die als "moderate" werd bestempeld en het ook mogelijk maakt om een efficiëntere DROWN-aanval uit te voeren. De resterende vijf kwetsbaarheden kregen met het stempel "Low" de laagste beoordeling. Gebruikers krijgen het advies om naar OpenSSL 1.0.2g of 1.0.1s te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Onderzoekers waarschuwen voor een ernstige kwetsbaarheid in het ssl-protocol waardoor aanvallers versleutelde verbindingen op internet kunnen aanvallen om gevoelige informatie, zoals wachtwoorden, creditcardgegevens, handelsgeheimen of financiële, data te stelen. Naar schatting zou 33% van alle https-servers op het internet kwetsbaar zijn. De kwetsbaarheid wordt "DROWN" genoemd, wat staat voor Decrypting RSA using Obsolete and Weakened eNcryption. Het gaat om een voorheen onbekende kwetsbaarheid in sslv2, de eerste versie van ssl die in 1995 verscheen en een jaar later al werd vervangen. Via ssl en tls worden versleutelde verbindingen opgezet. Hoewel deze oude ssl-versie niet veel meer wordt gebruikt, wordt het wel door veel servers ondersteund. Via het lek in ssl v2 is het mogelijk om moderne versleutelde tls-verbindingen aan te vallen. Een aanvaller kan de tls-verbindingen ontsleutelen door probes naar een server te sturen die sslv2 ondersteunt en dezelfde privésleutel gebruikt. Volgens de onderzoekers zijn servers kwetsbaar die sslv2-verbindingen accepteren, zoals webservers en mailservers. Uit onderzoek bleek 17% van de https-servers dit te doen. Ook loopt een server risico als de privésleutel op andere servers wordt gebruik die sslv2-verbindingen toestaan, ook al is het voor een ander protocol. De onderzoekers stellen dat veel bedrijven hetzelfde certificaat en sleutel voor hun web- en mailservers hergebruiken. Als bijvoorbeeld de e-mailserver sslv2 ondersteunt en de webserver niet, dan kan een aanvaller de e-mailserver gebruiken om de tls-verbindingen van de webserver te kraken. Dit hergebruik zorgt ervoor dat nog eens een extra 16% van de servers kwetsbaar is, waardoor het totaal op 33% van de https-servers uitkomt. Om aanvallen te voorkomen wordt aangeraden sslv2 uit te schakelen en privésleutels niet ter hergebruiken. Ook is er een online scanner en offline scanner verschenen waarmee kan worden gecontroleerd of een domein kwetsbaar is. Volgens beveiligingsbedrijf Qualys is de aanval niet eenvoudig uit te voeren, maar zou dit wel goedkoop kunnen. "Jarenlang was het argument om sslv2 niet uit te schakelen dat het geen kwaad kon, omdat browsers er toch geen gebruik van maakten. Deze aanpak werkt duidelijk niet. Daarom moeten we in de toekomst ervoor zorgen dat verouderde cryptografie agressief van alle systemen wordt verwijderd", zegt Ivan Ristic van Qualys. bron: security.nl

Om organisaties tegen allerlei geavanceerde aanvallen te beschermen heeft Microsoft vandaag Windows Defender voor bedrijven onthuld. Windows Defender Advanced Threat Protection wordt omschreven als een nieuwe dienst voor het vinden, onderzoeken en reageren op geavanceerde aanvallen. Zo stelt Microsoft dat de oplossing via een combinatie van de cloud en de in Windows 10 ingebouwde technologie dreigingen moet detecteren die andere beveiligingsoplossingen en -maatregelen hebben omzeild. Voor de detectie wordt er ook informatie gebruikt die Microsoft via 1 miljard Windows-apparaten verzamelt en 1 miljoen verdachte bestanden die het dagelijks krijgt aangeleverd. In het geval van een incident krijgen organisaties aanbevelingen en wordt er informatie gegeven zodat het incident kan worden onderzocht. Windows Defender Advanced Threat Protection werd de afgelopen maanden al bij verschillende ondernemingen getest en zou inmiddels worden gebruikt om 500.000 systemen te beschermen. Bedrijven die van Microsofts oplossing gebruik willen maken zullen wel eerst naar Windows 10 moeten upgraden. Om welke Windows 10-versies het precies gaat is onduidelijk. Business Insider stelt dat de oplossing aan Windows 10 Enterprise zal worden toegevoegd, terwijl ZDNet meldt dat Microsoft de versies nog moet bepalen. Ook is niet bekend wanneer Windows Defender Advanced Threat Protection zal verschijnen, maar bronnen laten aan ZDNet weten dat het in het derde kwartaal van dit jaar zal zijn. bron: security.nl

De afgelopen dagen zijn meer dan 70 WordPress-sites door ransomware getroffen, waarbij allerlei bestanden werden versleuteld. Beheerders en webmasters moesten vervolgens losgeld betalen om weer toegang tot hun gegevens te krijgen. Het gaat om een variant van de CTB-Locker-ransomware, waarvan eerste varianten alleen bestanden op Windowscomputers versleutelden. De nieuwe variant richt zich echter alleen op websites. Volgens Kaspersky Lab zijn inmiddels meer dan 70 websites in 10 landen door de ransomware getroffen. Hoe de ransomware zich weet te verspreiden is onbekend, maar de virusbestrijder stelt dat er van een beveiligingslek in de websitse gebruik wordt gemaakt. Daarbij valt op dat alle getroffen websites op WordPress draaien. "Ongepatchte WordPress-versies bevatten veel kwetsbaarheden en we hebben vorig jaar kritieke kwetsbaarheden gezien. Daarnaast heeft WordPress nog een andere zwak plek, namelijk plug-ins", zegt analist Ido Naor. Volgens Naor worden plug-ins niet met veiligheid in het achterhoofd ontwikkeld en vormen zo een beveiligingsrisico. Of de aanval plaatsvindt via ongepatchte WordPress-versies of plug-ins is nog onbekend. Zodra de aanvaller toegang tot WordPress heeft verkregen wordt de ransomware uitgevoerd. Aangezien de encryptie niet ongedaan gemaakt kan worden krijgen beheerders het advies om regelmatig back-ups te maken. bron: security.nl

Onderzoekers hebben via een nieuw systeem voor het analyseren van firmware onbekende kwetsbaarheden in de routers van D-Link en Netgear ontdekt. Het systeem heet FIRMADYNE en wordt omschreven als het eerste geautomatiseerde dynamische analysesysteem voor Linux-gebaseerde firmware van netwerkapparaten zoals routers. Voor hun onderzoek analyseerden de onderzoekers bijna 9500 firmware-images met 74 exploits. Het ging om 60 bekende aanvallen en 14 onbekende aanvallen. 887 firmware-images, gebruikt voor tenminste 89 verschillende apparaten, bleken voor tenminste één van de gebruikte exploits kwetsbaar te zijn. Het gaat onder andere om de voorheen onbekende kwetsbaarheden die via het systeem werden gevonden. Deze 14 beveiligingslekken werden in 86 firmware-images van tenminste veertien verschillende producten aangetroffen. Het onderzoek laat verder zien dat elf van de geteste aanvallen in de firmware-images van meer dan één leverancier werken, wat inhoudt dat fabrikanten code delen. Het onderzoek (pdf) werd onlangs tijdens het Network and Distributed System Security Symposium (NDSS) gepresenteerd. Via de onbekende kwetsbaarheden zou een aanvaller onder andere commando's kunnen injecteren, een buffer overflow kunnen veroorzaken en informatie zoals WPS-pincode en wachtwoorden van wifi-netwerken achterhalen. De onderzoekers waarschuwden zowel D-Link als Netgear, maar kregen alleen van Netgear een reactie. Het bedrijf komt eind februari voor één van de kwetsbare routers met een firmware-update. De overige apparaten zullen waarschijnlijk halverwege maart worden gepatcht. Door de ontwikkeling van FIRMADYNE hopen de onderzoekers de drempel voor het vinden van nieuwe kwetsbaarheden in routers en andere embedded-systemen te verlagen. Daarnaast helpt het systeem om de aanwezigheid van nieuwe kwetsbaarheden in een groot aantal firmware-images te bepalen. bron: security.nl

De anti-virussoftware van het Slowaakse anti-virusbedrijf ESET heeft door een foute update allerlei populaire websites onterecht als besmet beschouwd. Gebruikers kregen een melding dat erop de sites een Trojaans paard was aangetroffen. Het ging onder andere om De Gelderlander, Nu, MSN en Amazon. Ook op het forum van Security.NL werd door verschillende ESET-gebruikers melding van het probleem gemaakt. De oorzaak bleek update 13102 te zijn, die eerder vandaag was uitgekomen. Nadat de virusbestrijder de false positives ontdekte werd de update teruggetrokken. Inmiddels is update 1303 uitgekomen om het probleem te verhelpen. Volgens ESET had de 'false positive' geen gevolgen voor bestanden op de computer en ging het alleen om een waarschuwing die tijdens het bezoeken van websites werd getoond. bron: security.nl

Computerfabrikant Lenovo is een omruilactie voor bepaalde draadloze muizen en een draadloos toetsenbord gestart vanwege een kwetsbaarheid waardoor de apparaten op een afstand van 100 meter zijn te hacken en kunnen worden gebruikt voor het aanvallen van de aangesloten computer. De aanval, genaamd MouseJack, werd dinsdag door onderzoekers van beveiligingsbedrijf Bastille onthuld. Het probleem is aanwezig in de draadloze usb-dongels die de toetsenborden en muizen gebruiken om via radiofrequenties met de computer te communiceren. De meeste communicatie tussen de toetsenborden en dongels is versleuteld, maar bij de muizen wordt helemaal geen encryptie voor de draadloze communicatie toegepast. Een aanvaller die binnen 100 meters van de usb-dongel aanwezig is kan de radiosignalen tussen de muis en de computer onderscheppen. Vervolgens kan de aanvaller het signaal door een eigen signaal vervangen en zo kwaadaardige pakketten versturen. Deze pakketten doen zich voor als toetsaanslagen, in plaats van muisklikken. De problemen zijn aanwezig in de muizen van zeven bedrijven, namelijk Microsoft, HP, Gigabyte, Amazon, Logitech, Dell en Lenovo. Logitech liet weten een firmware-update te hebben uitgebracht. In het geval van de Lenovo 500 draadloze muis en toetsenbord is het niet mogelijk om de firmware te updaten. Dit kan volgens de fabrikant alleen tijdens de productie van de apparaten. Inmiddels zijn er wel versies van de apparaten geproduceerd die over een nieuwe firmware beschikken, waarin het probleem is opgelost. Eigenaren van een Lenovo 500 draadloze muis of toetsenbord kunnen met Lenovo contact opnemen om hun kwetsbare apparatuur voor een nieuwe versie om te ruilen. Vanwege de kwetsbaarheid heeft het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit ook een waarschuwing afgegeven. Daarin krijgen eigenaren van een Logitech-apparaat het advies de firmware te installeren. Gebruikers van de overige merken wordt aangeraden om voor zichzelf het risico te bepalen om de producten te blijven gebruiken totdat er een update beschikbaar is. bron: security.nl

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate aangekondigd die aanstaande dinsdag 1 maart zal verschijnen. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. De updates van aanstaande dinsdag hebben versienummers 1.0.2g en 1.0.1s meegekregen en verhelpen meerdere kwetsbaarheden, waarvan de ergste als "high severity" zijn bestempeld. OpenSSL laat niet weten wat aanvallers in dit geval kunnen doen, maar stelt dat ervoor kwetsbaarheden met deze classificatie altijd een nieuwe versie wordt uitgebracht. Eind januari verschenen er ook nieuwe versies van OpenSSL. Het ging toen ook om kwetsbaarheden met de high-classificatie waardoor een aanvaller de privésleutel van een doelwit kon achterhalen. De downloads van versies 1.0.2g en 1.0.1s zullen dinsdag 1 maart tussen 14:00 uur en 18:00 uur online verschijnen. Verder merken de ontwikkelaars op dat de ondersteuning van versie 1.0.1 op 31 december van dit jaar zal stoppen. bron: security.nl

Je kunt hier lezen hoe Linux Mint gehackt is.

Backdoor in Linux Mint-iso maakt mogelijk 50 slachtoffers Mogelijk 50 mensen zijn dit weekend slachtoffer geworden van de aanval die op de website van Linuxdistributie Linux Mint plaatsvond, dat laat anti-virusbedrijf Kaspersky Lab in een analyse weten. Volgens Linux Mint wist een 'enkel individu zonder financiering' via WordPress de website te hacken. Daar werden links naar een iso-bestand vervangen door links die naar een iso-bestand op een andere server wezen. Het ging om versies van Linux Mint waar een eenvoudige backdoor aan was toegevoegd, aldus Kaspersky Lab. De backdoor is via een onversleutelde irc-verbinding aan te sturen. In totaal bleek de backdoor adressen van vijf irc-kanalen te gebruiken, waarvan er één online was. In het irc-kanaal vonden de onderzoekers zo'n 50 machines die via de backdoor verbinding hadden gemaakt. Het is echter onduidelijk of dit allemaal machines zijn waarop de gebackdoorde iso is geïnstalleerd, of dat mogelijk andere onderzoekers verbinding met het kanaal hebben gemaakt. De backdoor maakt het mogelijk om besmette machines DDoS-aanvallen uit te laten voeren, willekeurige bestanden op de computer te installeren of willekeurige opdrachten uit te voeren. Tijdens het monitoren van het irc-kanaal werden er verschillende opdrachten naar de besmette computers gestuurd, waarbij de aanvaller naar netwerkschijven op het lokale netwerk van het slachtoffer zocht. IntegriteitOm de integriteit van een download te controleren wordt vaak aangeraden om de MD5- of SHA-256-hash te berekenen. Op de website plaatst de leverancier de MD5- of SHA-256-hash. De gebruiker downloadt het bestand en kan vervolgens zelf de hashwaarde van het gedownloade bestand berekenen. Die moet overeenkomen met de waarde op de website, anders is het bestand tijdens het downloaden mogelijk aangepast. Volgens Kaspersky Lab is dit een onveilige methode als de website van een distributie of aanbieder is gehackt, aangezien de aanvaller in dit geval ook de controle-hashes kan aanpassen die op de website worden vermeld. De virusbestrijder pleit dan ook voor PKI met sterke cryptografische handtekeningen om de integriteit van gedownloade software te controleren. In een interview met ZDNet laat de aanvaller weten dat de backdoor op een "paar honderd" machines actief is. De aangepaste iso-bestanden zouden bij elkaar meer dan 1.000 keer zijn gedownload. Na het nieuws over de backdoor nam het aantal besmette machines echter snel af. Daarnaast zijn ook de gegevens van het Linux Mint-forum gestolen. Het gaat om e-mailadressen, gebruikersnaam, versleutelde wachtwoorden en privéberichten die via het forum zijn verstuurd. De ontwikkelaars adviseren alle gebruikers dan ook om hun wachtwoord te wijzigen. bron: security.nl

Het World Wide Web Consortium (W3C), de internationale organisatie die zich bezighoudt met het opstellen van standaarden voor het web, heeft een nieuwe werkgroep gelanceerd die standaarden gaat ontwikkelen zodat internetgebruikers straks zonder wachtwoord op hun accounts kunnen inloggen. Volgens het W3C is het belangrijk dat er een alternatief voor wachtwoorden komt, die vaak als vervelend en onveilig worden gezien. "Als sterke authenticatie eenvoudig is uit te rollen, maken we het web veiliger voor dagelijks gebruik, zowel persoonlijk als zakelijk", aldus Tim Berners-Lee, uitvinder van het web en W3C-directeur. "Nu de omvang en het aantal aanvallen toeneemt, is het belangrijk voor het W3C om nieuwe standaarden te ontwikkelen die de veiligheid op het web vergroten." De Authenticatie Werkgroep gaat zich bezighouden met standaarden gebaseerd op specificaties van de Fido Alliantie. Dit is een alliantie bestaande uit bedrijven, organisaties en overheidsinstanties die in 2013 werd opgericht en het uitbannen van wachtwoorden als doel heeft. De nieuw opgerichte werkgroep zal op 4 maart van dit jaar voor het eerst bijeen komen. bron: security.nl

Malware waarmee computercriminelen geld van online bankrekeningen stelen blijkt steeds vaker Microsoft Edge op Windows 10 te ondersteunen, zo meldt IBM. Het bedrijf heeft een analyse van de Gozi Trojan gemaakt. Dit Trojaanse paard kan ingevulde wachtwoorden onderscheppen en 'webinjects' uitvoeren. Hierbij injecteert de malware op de bankpagina extra vensters en invoervelden die om allerlei informatie vragen. De nieuwste versie van Gozi is nu ook in staat om zijn code in de Ege-browser van Windows 10 te injecteren. De malware is daarmee niet uniek, zegt analist Or Safran. De Tinba Trojan, Ramnit-malware en Dyre zijn allemaal in staat om code in Edge te injecteren, zodat de gebruiker als hij bezig is met internetbankieren kan worden aangevallen. Ondanks de ondersteuning door malware heeft Edge een klein marktaandeel. Volgens Net Applications werkt 3% van de internetgebruikers wereldwijd met de standaardbrowser van Windows 10. In Nederland zou het om een kleine 5% gaan, aldus StatCounter. bron: security.nl

Gebruikers van de beveiligingssoftware van Comodo hebben lange tijd risico gelopen door een vnc-server die standaard werd geïnstalleerd en slecht beveiligd was. Hierdoor kon een lokale gebruiker adminrechten krijgen en was het waarschijnlijk voor aanvallers mogelijk om op afstand op de pc in te loggen. Dat ontdekte Google-onderzoeker Tavis Ormandy. Bij Comodo Antivirus, Internet Security Pro en Internet Security Complete wordt standaard een programma genaamd "GeekBuddy" geïnstalleerd. Via dit programma kunnen gebruikers technische ondersteuning op afstand krijgen. GeekBuddy blijkt een vnc-server te installeren zodat anderen op afstand op de computer kunnen inloggen. De vnc-server staat daarnaast standaard ingeschakeld. In eerste instantie was het niet nodig om bij het inloggen op de vnc-server een wachtwoord op te geven. Comodo kwam vervolgens met een oplossing, waarbij er een wachtwoord werd gegenereerd. De manier waarop dit wachtwoord werd gegenereerd is echter voorspelbaar, zo ontdekte Ormandy. "Ik denk dat Comodo dacht dat niemand zou uitzoeken hoe ze het wachtwoord genereerden, omdat dit niet de aanval verhelpt waarvan ze beweerden dat het dit wel deed." Problemen met de vnc-server waren al eerder aangetoond. Het zou in ieder geval een lokale gebruiker met verminderde rechten de mogelijkheid geven om code met beheerdersrechten uit te voeren. Ormandy, net als onderzoeker Jeremy Brown die het probleem vorig jaar al demonstreerde, sluit niet uit dat het ook mogelijk is om het zwakke vnc-wachtwoord op afstand aan te vallen, waardoor een aanvaller toegang tot de computer kan krijgen. Op 10 februari rolde Comodo een hotfix uit, die volgens het bedrijf inmiddels bij meer dan 90% van de gebruikers is geïnstalleerd. bron: security.nl

Twitter heeft zo'n 10.000 gebruikers gewaarschuwd wegens een privacylek waardoor hun e-mailadres en telefoonnummer door anderen konden worden bekeken. Het lek zat in het wachtwoordherstelsysteem en was volgens Twitter vorige week, gedurende een periode van 24 uur, aanwezig. Na ontdekking van de bug, waardoor het e-mailadres en telefoonnummer van zo'n 10.000 gebruikers kon worden bekeken, werd die meteen verholpen. Twitter zegt dat het alle gebruikers die van de bug misbruik hebben gemaakt permanent zal verbannen, alsmede opsporingsdiensten zal ingeschakelen. Het probleem maakte het niet mogelijk om wachtwoorden te achterhalen of informatie om toegang tot een account te krijgen, aldus Twitter in een verklaring. bron: security.nl

Gebruikers van Opera die met Windows XP of Vista werken zullen gewoon beveiligingsupdates blijven ontvangen, zo heeft de Noorse browserontwikkelaar aangekondigd. Het wijst daarbij naar de beslissing van Google om de ondersteuning van Google Chrome op XP en Vista vanaf april dit jaar te stoppen. Net als Google Chrome maakt Opera gebruik van de Blink-engine voor het weergeven van websites. Opera is echter niet van plan de ondersteuning van XP en Vista te staken. "We geven om onze loyale gebruikers", zegt Blazej Kazmierczak. Opera 36 zal wel de laatste versie voor de twee oude Windows-versies zijn. Het is niet mogelijk om Opera 37 en nieuwer op XP of Vista te draaien, maar voor Opera 36 zullen beveiligingsupdates en fixes voor crashes blijven verschijnen. Volgens meetbureaus heeft Opera een marktaandeel van 1,6 procent a 2 procent op de desktop. Een percentage dat al jaren nagenoeg onveranderd blijft. Tot december vorig jaar werkte 0,9% van de Nederlandse internetgebruikers met Opera, aldus statistieken van StatCounter. Daarna verdwijnt de browser uit de statistieken en wordt die, door de groei van Microsoft Edge, onder de noemer 'overige' geplaatst. bron: security.nl

Onderzoekers hebben weer een ransomware-variant ontdekt die zowel lokale bestanden voor losgeld versleutelt als bestanden op niet-gemounte netwerkschijven. Locky, zoals de ransomware wordt genoemd, verspreidt zich via Word-bestanden die middels e-mail worden verstuurd. Het gaat volgens de e-mail om een zogenaamde rekening die de ontvanger moet betalen. Het meegestuurde Word-document vraagt de gebruiker vervolgens om macro's in te schakelen, omdat de tekst van het document niet goed kan worden weergegeven. Macro's staan standaard als beveiligingsmaatregel uitgeschakeld, omdat malware hier in het verleden vaak misbruik van maakte. Gebruikers worden dan ook gewaarschuwd als ze macro's willen inschakelen. Zodra de gebruiker macro's toch inschakelt wordt de ransomware op de computer gedownload. Eenmaal actief versleutelt Locky bestanden en verandert de bestandsnamen. Daarnaast zoekt de ransomware naar bestanden op netwerkschijven die niet aan een schijfletter zijn gekoppeld. Recentelijk werd er ook al een ransomware-variant ontdekt die deze tactiek toepast. Dit kan grote gevolgen voor organisaties hebben, omdat zo bestanden versleuteld kunnen worden waar alle werknemers gebruik van maken. "Zoals voorspeld komt dit steeds vaker voor en moeten systeembeheerders alle open netwerkshares beveiligen met zo min mogelijk rechten", zegt Lawrence Abrams van het computerforum Bleeping Computer, dat voor de ransomware waarschuwt. In het geval van Locky moeten slachtoffers een halve bitcoin betalen voor het ontsleutelen van hun bestanden, wat overeenkomt met 190 euro. bron: security.nl

Beveiligingsonderzoekers hebben een kwetsbaarheid in de beveiligingssoftware van Avast gevonden, waardoor een lokale aanvaller, zoals een gastgebruiker, systeemrechten kon verkrijgen. Het probleem was aanwezig in de virtualisatiedriver die voor verschillende beveiligingsfuncties wordt gebruikt, waaronder de sandbox en deepscreenbeveiliging. Deze driver is in alle Avast-producten voor Windows aanwezig. Een buffer overflow in de beveiligingssoftware maakte het mogelijk voor lokale gebruikers, ongeacht hun rechten, om code met systeemrechten uit te voeren en zo volledige controle over het systeem te krijgen. Het probleem werd ontdekt door beveiligingsbedrijf Nettitude en is aanwezig in versie 11.1.2245 en ouder. In de analyse van het bedrijf over de kwetsbaarheid wordt gesproken over een "vendor fix", wat zou inhouden dat Avast het probleem heeft verholpen. Op 3 februari verscheen inderdaad een nieuwe versie van de beveiligingssoftware met versienummer 11.1.2253, die "security fixes" bevat. Om wat voor fixes het precies gaat maakt Avast niet duidelijk. We hebben het anti-virusbedrijf dan ook om opheldering gevraagd. Onlangs ontdekte een beveiligingsonderzoeker van Google ernstige lekken in de browser van Avast, die met de beveiligingssoftware wordt meegeleverd. Eind vorig jaar werd er daarnaast een beveiligingsprobleem in de ssl-scanner van Avast ontdekt. Aangezien beveiligingssoftware vaak diep in het systeem zit genesteld kunnen kwetsbaarheden in deze software vaak grote gevolgen hebben. UpdateAvast laat in een reactie aan Security.NL weten dat de kwetsbaarheid inderdaad in versie 11.1.2253 is verholpen. Daarnaast zal er volgende week een update voor de vorige Avast-versie uitkomen. bron: security.nl

Mozilla is een bewustzijnscampagne gestart om het grote publiek te laten weten hoe belangrijk encryptie is. "Overheidsinstanties en opsporingsdiensten over de hele wereld doen voorstellen om encryptie te verzwakken, wat de veiligheid van gebruikers ondermijnt", zo stelt Mozilla's Mark Surman. Om encryptie te promoten steunt Mozilla het Let's Encrypt-initiatief, waar websites gratis ssl-certificaten kunnen aanvragen voor het versleutelen van verkeer tussen de website en bezoekers. "Nu meer en meer overheden tactieken zoals backdoors voorstellen, zal technologie alleen niet genoeg zijn", aldus Surman. "Zowel de Mozilla-gemeenschap als het grote publiek moet betrokken raken. Zij moeten hun gekozen politici vertellen dat de privacy en veiligheid van individuen op het internet niet als optioneel kan worden behandeld." Volgens Surman kan Mozilla en de gemeenschap hierbij een belangrijke rol spelen als het lukt om deze boodschap te verspreiden. "We weten dat dit lastig is. De meeste mensen weten niet eens wat encryptie is. Of ze denken dat ze niet veel aan hun online privacy kunnen doen, of beide." Daarom is Mozilla nu een bewustzijnscampagne gestart, waarbij video's en blogs zullen verschijnen om het bewustzijn over encryptie te vergroten. De eerste video is inmiddels online verschenen. bron: security.nl

Er is een nieuwe versie verschenen van VeraCrypt, de op TrueCrypt-gebaseerde encryptiesoftware, waarin een lek is verholpen, alsmede allerlei verbeteringen zijn doorgevoerd. Het beveiligingslek betrof een dll-probleem waardoor een aanvaller, als hij een kwaadaardig dll-bestand in de directory wist te krijgen waar ook het installatieprogramma van VeraCrypt stond, de computer kon overnemen als de installatie werd gestart. Dit probleem speelde alleen bij de Windowsversie. Verder is de Windowsversie nu met zowel het sha-1- als sha-256-algortime gesigneerd, zoals aanbevolen door Microsoft. Tevens worden nu unicode-wachtwoorden geaccepteert, is de tijd voor het opstarten door een slimme optimalisatie gehalveerd en is er ondersteuning voor exFAT-volumes toegevoegd. Specifiek voor de Linux- en Mac-versies is er een probleem opgelost waardoor wachtwoorden met een spatie niet goed werden verwerkt, alsmede een probleem waardoor alleen FAT-bestandsvolumes via de commandline konden worden aangemaakt. Een volledig overzicht van alle aanpassingen is te vinden in de releasenotes van VeraCrypt 1.17. VeraCrypt werd eind 2014 door een Franse programmeur gelanceerd, nadat de TrueCrypt-ontwikkelaars met de ondersteuning van TrueCrypt waren gestopt. Ontwikkelaar Mounir Idrassi besloot daarop een 'fork' te ontwikkelen, een afsplitsing die op de originele TrueCrypt-broncode is gebaseerd, waar hij vervolgens verschillende verbeteringen aan toevoegde. bron: security.nl

Een nieuwe ransomware-variant die is ontdekt biedt slachtoffers een chatfunctie, voor het geval ze aan de afpersers vragen hebben over het betalen van losgeld, het ontsleutelen van bestanden of andere zaken. De ransomware heet PadCrypt en probeert afbeeldingen en documenten te versleutelen. Doordat de server van de ransomware offline is worden er echter op dit moment geen bestanden op besmette computers versleuteld. Ook de chatfunctie is daardoor defect, zo meldt het forum Bleeping Computer. Vorig jaar werden er ook al ransomware-varianten ontdekt die slachtoffers een chatfunctie boden. Uit opgevangen chatgesprekken bleek dat slachtoffers vaak radeloos waren. Een andere eigenschap waardoor PadCrypt opvalt is het aanbieden van een uninstaller, wat een unicum voor ransomware zou zijn. Via het verwijderprogramma kan de ransomware van de computer worden verwijderd. De versleutelde bestanden blijven echter versleuteld. Hoe PadCrypt zich verspreidt wordt niet gemeld. bron: security.nl