Captain Kirk

Een onderzoeker heeft in mogelijk tienduizenden IP-camera's op internet een ongedocumenteerde telnetpoort ontdekt waardoor er met een bekend standaardwachtwoord op de apparaten kan worden ingelogd. Het probleem zou bij goedkope IP-camera's van verschillende fabrikanten spelen. Om welke fabrikanten het gaat wil Zoltan Balazs niet bekendmaken. Via een netwerkscan wist hij de ongedocumenteerde telnetpoort te vinden. Balazs laat echter weten dat andere onderzoekers hetzelfde probleem eerder al hebben ontdekt, alleen dan via een analyse van de firmware. Het probleem is dat het wachtwoord om op de telnetpoort in te loggen niet via een grafische gebruikersinterface kan worden gewijzigd. Dit kan wel via de console, maar de wachtwoordwijziging is niet permanent. Na een reboot zal het standaardwachtwoord weer worden teruggeplaatst. "Ik denk dat er kan worden gesteld dat dit een backdoor is", aldus Balazs. Via de toegang kan het wachtwoord voor de FTP-server, SMTP-server en wifi-netwerk worden verkregen. Ook is het mogelijk om toegang tot de normale beheerdersinterface van de camera te krijgen. In de meeste gevallen is de IP-camera via NAT of een firewall afgeschermd, zodat de telnetpoort niet via internet toegankelijk is, aldus de onderzoeker. "Maar er zijn altijd uitzonderingen", zo merkt hij op. Balazs laat weten dat gebruikers een script kunnen maken om het wachtwoord bij een reboot te wijzigen of de telnetdienst helemaal uit te schakelen. "99% van de mensen die deze IP-camera's koopt denkt dat ze veilig zijn", zo stelt de onderzoeker. Op Reddit stelt een lezer dat mogelijk 70.000 apparaten op internet met het probleem te maken hebben. bron: security.nl

De virusscanner van het Roemeense anti-virusbedrijf Bitdefender is bij een uitgebreide test van 21 verschillende beveiligingspakketten voor Windows 7 door het Duitse testlab AV-Test als beste uit de bus gekomen. Het anti-virusprogramma scoorde als enige de maximale score van 18 punten. Het testlab vergeleek 21 virusscanners en internet security suites voor consumenten op verschillende onderdelen, zoals de detectie van malware, systeembelasting en 'false positives'. Bij de detectie van malware werd er met "zero day-malware" en veelvoorkomende exemplaren van de laatste vier weken getest. Bitdefender, Intel Security (McAfee), Avira, F-Secure, Panda Security, Bullguard, Symantec, Trend Micro, AVG, I7 Computing, Qihoo en Ahnlab weten op dit onderdeel de maximale 6 punten te scoren. Microsoft en Comodo zetten met 3 punten de laagste score neer. Als het gaat om systeemprestaties en belasting halen alleen Bitdefender en Kaspersky een perfecte score. Dat geldt niet voor G Data en Quick Heal die op dit vlak met elk 3 punten onderaan eindigen. Bij het laatste onderdeel, de false positives, werd gekeken hoe vaak virusscanners schone software als malware beschouwen. De scanners presteren hier zeer goed. De meeste producten zetten een score van 5,5 of 6 punten neer. Ahnlab is de enige met 4,5 punten. Van de gratis virusscanners eindigt Panda Security met 17 punten bovenaan. Quickheal eindigt met 13 punten onderaan, net onder Microsoft Security Essentials dat 14 punten scoort. bron: security.nl

Onderzoekers hebben een systeem ontwikkeld dat kwaadaardige verkorte links op Twitter kan identificeren en stoppen. Het systeem zal volgend jaar tijdens het Europees Kampioenschap voetbal worden getest, zo meldt het Engineering en Physical Sciences Research Council (EPSRC) . Samen met het Economic en Social Research Council (ESRC) heeft het SPSRC het onderzoek gefinancierd. Voor het onderzoek verzamelden de onderzoekers linkjes die tijdens het recente WK cricket en de Superbowl werden verstuurd en onderzochten de interactie tussen een website en de computer om te bepalen of er sprake van een aanval was. In het geval er aanpassingen op de computer plaatsvonden, zoals nieuwe processen, aangepaste registerbestanden of andere gemanipuleerde bestanden, dan was er sprake van malware. Vervolgens gebruikten de onderzoekers systeemactiviteiten, zoals uitgewisselde data tussen de computer en een remote server, het processorgebruik en status van de netwerkadapter om het systeem de signalen te laten leren kennen die op een kwaadaardige en goedaardige link wijzen. De onderzoekers van de universiteit van Cardiff die het onderzoek uitvoerden wisten binnen 5 seconden met een nauwkeurigheid van 83% te bepalen of het om een aanval ging of niet. Binnen 30% seconden was de nauwkeurigheid tot 98% opgelopen als een gebruiker op een verkorte link klikte en malware de computer infecteerde. "Omdat linkjes op Twitter altijd worden afgekort vanwege de karakterbeperkingen in berichten is het zeer lastig om te bepalen welke legitiem zijn", aldus Pete Burnap van de universiteit en leider van het onderzoek. "We hebben het EK voetbal volgend jaar zomer, wat een grote piek in Twitterverkeer zal veroorzaken en we verwachten om tijdens dit evenement ons systeem te testen." bron: security.nl

Ik geloof niet dat ik je helemaal begrijp met je laatste opmerking. Het plaatsen van het punt onder de tent zou inderdaad kunnen schelen. Daar je met hem gesproken hebt, lijkt het mij toch ook te doen dan je bijvoorbeeld middels bijvoorbeeld de WPS-functie je extender automatisch naar zijn router kunt configureren. Vandaar dat ik dus niet helemaal begrijp waarom je het kunt vergeten.

Beste Glodev, Aangezien je wel hier hebt kunnen posten raad ik je aan even hier te kijken. Je leest hier hoe je op diverse manieren de computer in de veilige modus kunt starten zodat je de resolutie weer terug kunt zetten. Laat maar even weten of het hiermee wil lukken.

Wifi blijft iets gevoeligs. Dat je in de ochtend redelijke verbinding hebt en in de avond niet meer kan al veroorzaakt worden doordat er in de avond meet stoorzenders als telefoons e.d. actief zijn. Wat ik begrijp is dat je zelf de extender er tussen wilt hebben. Dit zul je toch even met de eigenaar moeten overleggen. De extender moet namelijk geconfigureerd worden aan de router van de camping. Dat hij het eerst wel heeft gedaan en nu niet zou al eenvoudig veroorzaakt kunnen zijn doordat er aan de router een kleine verandering heeft plaatsgevonden. Mijn advies: overleg even met de eigenaar en kijk of je de extender aan de router mag koppelen. Daarna een goede plek op de camping zoeken waar je de extender mag plaatsen.

Hoever staan de zaken inmiddels? Al iets opgeschoten met het advies van KAPE?

Even voor mijn eigen duidelijkheid. De extender, is die van de camping zelf of heb jij die er tussen gezet. En maken de andere gasten gebruik van dezelfde extender?

Al eens een keer de router en de extender uitgeschakeld en daarna eerst de router weer terug aan gezet en volgens de extender?

Wanneer je wel via iemand anders met de kabel zonder problemen verbinding kunt krijgen maar op je eigen kamer niet moet ik toch denken aan de lijn van de router naar je kamer toe. Probeer eens via een andere connector op de router. Ook zou je wanneer je laptop via de kabel aan de router hangt, je op de router moeten kunnen zien of je laptop verbinding heeft. Het is het controleren waard.

Computerfabrikant Lenovo wordt weer beschuldigd van het installeren van dubieuze software op laptops. Eerder kwam het bedrijf onder vuur te liggen omdat het de Superfish-spyware met laptops bundelde. Later bleek dat er op sommige modellen een BIOS-rootkit werd geïnstalleerd om de eigen software op computers te installeren, ook al werd Windows vanaf een schone dvd geïnstalleerd. Dit keer stelt IT-expert Michael Horowitz dat Lenovo trackingsoftware op zogeheten refurbished laptops installeert. Horowitz had twee van dergelijke laptops direct bij IBM gekocht. De computers waren van een schone installatie van Windows 7 Professional voorzien. Bij het analyseren van de software op de computer zag de expert dat het programma "Lenovo Customer Feedback Program 64" dagelijks werd uitgevoerd. Volgens de omschrijving van het programma stuurt het elke dag data naar Lenovo. In de configuratie van de software vond hij een DLL-bestand met de naam van Omniture, een bedrijf dat zich met web analytics en online marketing bezighoudt. "Hoewel er dan geen extra advertenties op de ThinksPads verschijnen, is er wel iets aan het monitoren en tracken", aldus Horowitz. "Aan de ene kant is het verrassend omdat de machines refurbished waren en door IBM werden verkocht. Aan de andere kant is het gezien het verleden van Lenovo helemaal niet verrassend." Lenovo heeft zelf een aparte pagina over de software online gezet. Daarin laat de computergigant weten dat Lenovo-systemen programma's bevatten die met servers op internet kunnen communiceren. Hierbij kan niet-persoonlijke en niet-identificerende informatie over het gebruik van de Lenovo-software naar het bedrijf worden gestuurd. Om dit te voorkomen kunnen gebruikers met beheerdersrechten de geplande taken van het Lenovo Customer Feedback Programma uitschakelen. bron: security.nl

Een Russisch bedrijf dat een contract van de Russische overheid won om het Tor-netwerk te kraken heeft de pogingen gestaakt en zal waarschijnlijk meer dan het dubbele moeten betalen om het contract af te kopen. Dat melden het Amerikaanse Bloomberg en de Russische krant Kommersant. Vorig jaar loofde het Russische ministerie van Binnenlandse Zaken een beloning van zo'n 52.000 euro uit voor een technische oplossing om gebruikers van het Tor-netwerk te identificeren. Een tak van het staatsbedrijf Rostec won het contract, maar heeft nu zo'n 134.000 euro uitgetrokken om het contract en onderzoek te beëindigen. Volgens Kommersant bleek het identificeren van Tor-gebruikers veel lastiger dan in eerste instantie werd aangenomen. Dagelijks maken zo'n 175.000 Russen van het Tor-netwerk gebruik. Hun verkeer wordt versleuteld verstuurd, waardoor het niet door providers of de autoriteiten kan worden bekeken. bron: security.nl

Cisco heeft een scanner gelanceerd waarmee organisaties gehackte routers op hun netwerk kunnen vinden waarvan de firmware is aangepast. Aanvallers blijken via gestolen wachtwoorden of fysieke toegang Cisco-routers te hacken en installeren vervolgens een aangepast besturingssysteem. Dit aangepaste besturingssysteem wordt de SYNful Knock-malware genoemd. Via de malware blijven de aanvallers toegang tot het bedrijfsnetwerk houden, ook al wordt de router gereset. Onlangs voerde Cisco een scan uit op internet en ontdekte 199 IP-adressen die met de SYNful Knock-malware waren besmet. Nu heeft Cisco een tool ontwikkeld waarmee klanten gehackte routers op hun eigen netwerk kunnen vinden. Het gaat in dit geval alleen om routers die met de SYNful Knock-malware zijn besmet. De tool komt wel met een gebruiksaanwijzing. Het draaien van de tool via Network address translation (NAT) kan de nauwkeurigheid van de tool beïnvloeden en ervoor zorgen dat de tool gehackte routers niet detecteert. Cisco adviseert dan ook om de tool vanaf een netwerklocatie uit te voeren waar er geen NAT tussen het scansysteem en de routers is. bron: security.nl

De anti-virussoftware van het Russische anti-virusbedrijf Kaspersky Lab bevat nog steeds meerdere beveiligingslekken, zo stelt Google-onderzoeker Tavis Ormandy. Onlangs liet de virusbestrijder weten dat het al een groot lek had gedicht dat door Ormandy was gevonden en waardoor een aanvaller het systeem volledig kon overnemen zonder dat gebruikers hier iets voor hoefden te doen. De onderzoeker van Google heeft nog veel meer grote kwetsbaarheden in de anti-virussoftware gevonden, zo laat Ormandy in een analyse van de lekken weten die al wel zijn gepatcht. De analyse is geplaatst op het Project Zero-blog van Google. Project Zero is een team van Google bestaande uit hackers en onderzoekers die naar kwetsbaarheden in populaire software zoeken. Daarbij werd ook de anti-virussoftware van Kaspersky onder de loep genomen. Niet gepatcht"Veel van de bugmeldingen die ik heb ingediend zijn nog steeds niet gepatcht, maar Kaspersky heeft voldoende voortgang gemaakt dat ik over een aantal van de problemen kan spreken", zo laat de onderzoeker weten. Ormandy zou tientallen bugs in de anti-virussoftware hebben gevonden en gemeld. Uit het onderzoek blijkt dat een aantal van de gevaarlijkste lekken zeer eenvoudig waren te misbruiken. De onderzoeker is dan ook blij dat Kaspersky Lab hier extra beveiligingsmaatregelen voor uitrolt. De impact van een kwetsbaarheid in anti-virussoftware wordt vergroot doordat de virusscanner vaak bestandssysteem- en netwerkverkeer onderschept. Het bezoeken van een website of ontvangen van een e-mail is voldoende om te worden aangevallen. Het is daarbij niet eens nodig om de e-mail te openen, aangezien de input/output van het ontvangen van de e-mail voldoende is om de kwetsbaarheid te veroorzaken. Naast de ontdekte kwetsbaarheden vond Ormandy ook verschillende grote ontwerpfouten in andere delen van de anti-virussoftware. Het gaat andere om kwetsbaarheden die op afstand zijn aan te vallen. Aangezien de updates hiervoor zijn uitgesteld zal hij deze problemen pas later bespreken. Beveiligingssoftware schadelijk?Volgens Ormandy zijn er sterke aanwijzingen dat er een actieve handel in exploits voor anti-virussoftware bestaat. "Onderzoek laat zien dat het een eenvoudig toegankelijk aanvalsoppervlak is dat de blootstelling aan gerichte aanvallen enorm vergroot", aldus de onderzoeker. Daarom vindt hij dat ontwikkelaars van beveiligingssoftware de strengste beveiligingsrichtlijnen bij het ontwikkelen van hun software moeten toepassen, om zo problemen die de software veroorzaakt te verkleinen. Iets dat anti-virusbedrijven nalaten. In het verleden heeft Ormandy ook grote problemen in de software van anti-virusbedrijven Sophos en ESET gevonden. De onderzoeker sluit af met een verzoek en waarschuwing voor anti-virusbedrijven. Die zouden onderdelen van hun software namelijk niet met systeemrechten moeten laten draaien. "Wacht niet op de netwerkworm die het op je software heeft voorzien, of voor gerichte aanvallen tegen je gebruikers. Voeg vandaag nog de ontwikkeling van een sandbox aan je ontwikkelplan toe." Wat betreft de openstaande kwetsbaarheden in de software van Kaspersky zegt Ormandy dat het anti-virusbedrijf wel zeer snel reageert en dat een aantal van de kritieke lekken de komende weken zal worden gepatcht. bron: security.nl

De makers van ransomware richten zich niet langer op consumenten, maar hebben steeds vaker het midden- en kleinbedrijf (mkb) als doelwit, zo stelt het Japanse anti-virusbedrijf Trend Micro. Het mbk is een aantrekkelijk doelwit, aangezien het vaak niet over de beveiliging van grote ondernemingen beschikt. De eigenaren zijn daarentegen wel vaak in staat om het gevraagde losgeld te betalen als hun bestanden door ransomware worden versleuteld. Ook speelt mee dat mkb-bedrijven vaak geen uitgebreide back-upoplossingen gebruiken, wat de kans vergroot dat er geen actuele back-up is en het losgeld uiteindelijk wordt betaald. Uit cijfers van Trend Micro blijkt dat het vooral mkb-bedrijven zijn die op links in ransomware-gerelateerde e-mails klikken. In juni en juli werden geopende links in e-mails van de CryptoWall-ransomware geanalyseerd. 67% van de links was door het mkb geopend. Grote bedrijven volgden met 17% en daarachter consumenten met een kleine 13%. De resterende 3% valt in de categorie 'overig'. Bij e-mails van de TorrentLocker-ransomware werd bijna 47% van de links door mbk-bedrijven geopend, terwijl consumenten voor 42% verantwoordelijk waren. Deze ransomware richt zich op zowel bedrijven als consumenten. TijdzoneBij het versturen van de e-mails blijken de ransomware-makers rekening te houden met de tijdzone van de beoogde slachtoffers. De berichten worden in het begin van de werkdag verstuurd. Dat suggereert volgens Trend Micro dat ze zich vooral op zakelijke gebruikers richten. De meeste slachtoffers blijken ook tussen 9:00 uur 's ochtends en 13:00 's middags de linkjes in de e-mails te openen. Ook de inhoud van de e-mails richt zich op bedrijven. Zo worden bijvoorbeeld sollicitaties en facturen als lokaas gebruikt. Volgens Trend Micro kunnen mkb-bedrijven zich tegen ransomware wapenen door alert en waakzaam te zijn. Het bewust zijn van het risico van ransomware en het controleren van e-mails en websites kan daarbij al veel uitmaken, aldus de virusbestrijder. Ook krijgen bedrijven het advies om macro's in Microsoft Office uit te schakelen en regelmatig back-ups te maken. bron: security.nl

De gratis versleutelde e-maildienst ProtonMail heeft een nieuwe functie toegevoegd waardoor gebruikers voortaan versleutelde e-mails van Facebook kunnen ontvangen die automatisch worden ontsleuteld. Om dit mogelijk te maken worden met PGP-versleutelde e-mails van Facebook ondersteund. De sociale netwerksite besloot in juni het versleuteld versturen van e-mailnotificaties te ondersteunen. Facebookgebruikers kunnen hun publieke OpenPGP-sleutel aan hun profiel toevoegen. Deze sleutel wordt vervolgens door Facebook gebruikt voor het versleutelen van de e-mailnotificaties die naar het e-mailadres van de gebruiker worden gestuurd. Voor de implementatie van de e-mailencryptie heeft Facebook gekozen voor GNU Privacy Guard (GPG), de populaire en gratis implementatie van de OpenPGP-standaard. GebruiksgemakProtonMail is naar eigen zeggen de eerste e-maildienst die de PGP-versleutelde e-mails van Facebook nu "naadloos" ondersteunt. Dit houdt in dat met PGP-versleutelde berichten van Facebook automatisch in ProtonMail worden geopend. Voorheen moesten internetgebruikers voor het gebruik van PGP in Facebook de PGP-software installeren, sleutels genereren en verschillende plug-ins gebruiken. ProtonMail-gebruikers hoeven voortaan alleen hun publieke sleutel in Facebook te importeren. Als het aan de ontwikkelaars ligt zal dit proces in de toekomst worden geautomatiseerd. "Als we echt een meer privé en veiliger internet willen is het van cruciaal belang om samen te werken en we feliciteren Facebook voor het gebruik van open standaarden", aldus de ontwikkelaars van ProtonMail. "We zijn blij dat grote partijen als Facebook deze inspanningen ondersteunen en als meer bedrijven meedoen zal de beweging om privacy op internet te verbeteren niet te stoppen zijn." ProtonMail is ontwikkeld met behulp van wetenschappers van Harvard, het Massachusetts Institute of Technology en het Europese onderzoekslaboratorium CERN. bron: security.nl

Computerfabrikant HP heeft drie nieuwe laserprinters aangekondigd die over beveiligingsmaatregelen (pdf) beschikken waardoor aanvallen op de BIOS van de printer moeten worden voorkomen. Het BIOS (Basic Input/Output System) is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem van de printer en de hardware. Het is essentieel voor de werking van de printer en tevens de eerste belangrijke software die wordt geladen. Aanvallen op het BIOS zijn lastig te detecteren en kunnen aanvallers langere tijd toegang tot een apparaat geven. Printers lopen daarbij ook risico om te worden aangevallen. In veel bedrijfsnetwerken zijn printers via het netwerk toegankelijk. Bij de beveiliging van het netwerk wordt de printer vaak vergeten, waardoor de apparaten als ingang voor aanvallers kunnen dienen. Om printers te beschermen heeft HP daarom verschillende beveiligingsmaatregelen doorgevoerd. Het gaat dan om HP Sure Start, een maatregel die kwaadaardige BIOS-aanvallen kan herkennen en herstellen. Deze beveiliging was al aanwezig in de Elite-lijn van HP's computers, maar is nu ook aan de printers toegevoegd. Verder wordt er whitelisting gebruikt om alleen bekende, toegestane firmware op de printer te installeren en is er "Run-time Intrusion Detection" dat het geheugen van de printer op kwaadaardige aanvallen monitort. De drie nieuwe beveiligingsmaatregelen zijn standaard aanwezig in de LaserJet Enterprise printers en OfficeJet Enterprise X printers met HP PageWide Technology. Daarnaast kunnen de features via een firmware-update op verschillende HP LaserJet Enterprise printers worden geïnstalleerd die sinds april beschikbaar zijn. Verder kunnen whitelisting en Run-time Intrusion Detection worden toegevoegd aan HP LaserJet Enterprise printers en OfficeJet Enterprise X printers die sinds 2011 beschikbaar zijn. Hiervoor moet een HP FutureSmart service pack-update worden geinstalleerd. bron: security.nl

Een nieuwe feature in Gmail maakt het voortaan mogelijk voor gebruikers om e-mail van specifieke e-mailadressen te blokkeren. Volgens Sri Harsha Somanchi van Google moet de nieuwe feature gebruikers meer controle over hun inbox geven, bijvoorbeeld als ze via e-mail worden lastiggevallen. In het geval gebruikers een specifiek e-mailadres blokkeren zal de e-mail van de afzender automatisch in de spamfolder worden geplaatst. De optie is nu beschikbaar voor Gmail-gebruikers en zal volgende week voor Android verschijnen. Daarnaast krijgen Android-gebruikers straks de optie om zich eenvoudig vanuit de Gmail-app voor nieuwsbrieven af te melden. bron: security.nl

WordPress-websites krijgen steeds vaker met brute force-aanvallen te maken, waarbij er wordt geprobeerd om met veelvoorkomende wachtwoorden op de website in te loggen. Dat blijkt uit cijfers van beveiligingsbedrijf Sucuri, dat brute force-aanvallen op WordPress-websites bijhoudt. Volgens Daniel Cid van Sucuri zijn brute force-aanvallen nog altijd één van de voornaamste oorzaken waardoor websites worden gehackt. "Als je een onbeveiligde inlogpagina hebt zul je met brute force-pogingen te maken krijgen", zo laat hij weten. Beheerders van een WordPress-website kunnen volgens Cid verschillende maatregelen tegen dit soort aanvallen nemen, zoals het instellen van captcha's, het alleen toestaan van bepaalde IP-adressen (IP-whitelisting) en twee-factor authenticatie. Andere WordPress-beheerders stellen dat de aanvallen eenvoudig zijn te voorkomen door de URL van de inlogpagina aan te passen en die in de htaccess/IIS-configuratie te blokkeren. Volgens cijfers van W3Techs wordt WordPress door 24,4% van alle websites op internet gebruikt. Regelmatig berichten beveiligingsbedrijven over grote aantallen WordPress-sites die zijn gehackt en worden gebruikt voor het verspreiden van malware. bron: security.nl

In het Bugzilla-systeem dat vooraanstaande softwareprojecten zoals Mozilla, Linux Kernel, Apache Project, Red Hat en Open Office voor het bijhouden van bugs en kwetsbaarheden gebruiken is een ernstig beveiligingslek ontdekt en gepatcht. Via de kwetsbaarheid kon een aanvaller op het systeem inloggen en bijvoorbeeld gevoelige bugs en problemen zien die nog niet zijn gepatcht. Onlangs werd bekend dat een aanvaller toegang tot het Bugzilla-systeem van Mozilla had gekregen en zo informatie over een Firefox-lek in handen kreeg waarvoor nog geen beveiligingsupdate beschikbaar was. Deze informatie gebruikte de aanvaller vervolgens om Firefox-gebruikers aan te vallen. Een veelgebruikte methode binnen Bugzilla om gebruikers toegang te geven is op basis van e-mailadres. Als een gebruiker over een e-mailadres van een bepaalde organisatie beschikt zal hij als een vertrouwde gebruiker worden beschouwd. In het geval van Mozilla gaat het om gebruikers die bijvoorbeeld over een e-mailadres op @mozilla.com beschikken. De nu ontdekte kwetsbaarheid laat een aanvaller voor elk willekeurig domein een Bugzilla-account aanmaken, ook als ze geen toegang tot het opgegeven e-mailaccount of domein hebben. Vervolgens kan de aanvaller met het aangemaakte account inloggen en afhankelijk van de rechten die voor gebruikers van een bepaald domein zijn ingesteld toegang tot nog niet verholpen bugs en andere informatie krijgen. De kwetsbaarheid werd op maandag 7 september aan Mozilla gerapporteerd, dat voor de ontwikkeling van Bugzilla verantwoordelijk is. Op donderdag 10 september verscheen er een update. Offline halen Bedrijven die Bugzilla in combinatie met e-mailgebaseerde rechten gebruiken en deze update nog niet hebben geïnstalleerd krijgen het advies het systeem direct offline te halen totdat de patch is uitgerold. Tevens moeten de logs en aangemaakte gebruikerslijsten worden bekeken om te zien of er gebruikers via de kwetsbaarheid zijn aangemaakt, zo adviseert PerimeterX, het bedrijf dat de kwetsbaarheid ontdekte. bron: security.nl

BitPay, een verwerker van bitcoinbetalingen, is vorig jaar december het slachtoffer van een phishingaanval geworden waarbij voor 1,8 miljoen dollar aan bitcoins werd gestolen. Bryan Krohn, Chief Financial Officer (CFO) van BitPay, ontving een e-mail van iemand die zich voordeed als David Bailey, de CEO van BTC Media. BTC Media is de uitgever van Bitcoin Magazine en yBitcoin. De aanvaller had het e-mailaccount van Bailey gehackt. In de phishingmail werd Krohn gevraagd om op een document te reageren. De link naar het document wees naar een phishingpagina waar Krohn de inloggegevens van zijn zakelijk BitPay e-mailaccount invulde. Met de inloggegevens wist de aanvaller drie verschillende transacties van 5.000 bitcoins uit te laten voeren, ter waarde van 1,85 miljoen dollar. Hiervoor stuurde de aanvaller vanaf het gehackte e-mailaccount van Krohn een e-mail naar BitPay CEO Stephen Pair, met het verzoek om 1.000 bitcoins naar de bitcoinportemonnee van een klant over te maken, wat hij ook deed. Vervolgens verstuurde aanvaller een tweede e-mail om nog eens 1.000 bitcoins over te maken, waar de CEO wederom gehoor aan gaf. De volgende dag stuurde de aanvaller weer een e-mail, dit keer met het verzoek voor een transactie van 3.000 bitcoins. Pair stuurde een e-mail naar Krohn terug om de transactie te bevestigen. De aanvaller reageerde hierop met een e-mail waarin hij stelde dat het om een geldige transactie ging. Pair maakte daarop de 3.000 bitcoins over. De scam werd ontdekt doordat de CEO de echte BitPay-klant aan de laatste e-mail over de transactie van de 3.000 bitcoins toevoegde, en de klant uiteindelijk reageerde dat hij de bitcoins niet had aangeschaft. Verzekering BitPay wilde van de verzekering 950.000 dollar om de schade te dekken, maar de verzekeringsmaatschappij weigerde uit te betalen. Volgens de verzekeraar heeft de aanvaller namelijk geen toegang tot het BitPay-systeem of apparaat gekregen. De verzekering dekt geen indirecte verliezen doordat de systemen van anderen worden gehackt. BitPay heeft de verzekeraar nu voor de rechter gesleept (pdf-1, pdf-2), zo meldt de Atlanta Business Chronicle. bron: security.nl

Cisco: routers gehackt via gestolen wachtwoorden De afgelopen dagen is er veel geschreven over aanvallen op Cisco-routers waarbij de firmware van de apparaten werd vervangen zodat aanvallers permanent toegang tot het bedrijfsnetwerk hadden. In totaal werden er wereldwijd 79 van dergelijke gehackte routers aangetroffen. Cisco had eerder al voor de aanvallen gewaarschuwd, maar heeft nu opnieuw laten weten dat de aanvallers geen gebruik van kwetsbaarheden in de producten van de netwerkfabrikant maken. Om toegang tot de routers te krijgen worden gestolen inloggegevens gebruikt, zo stelt Omar Santos van Cisco. Een andere mogelijkheid is dat de aanvallers fysiek toegang tot de apparatuur hebben en zodoende het besturingssysteem door een aangepaste versie kunnen vervangen. "Net als de technologie zich ontwikkelt, geldt dat ook voor de aard en complexiteit van aanvallen", merkt Santos op. Volgens hem is dit een voorbeeld van de 'evolutie van aanvallen', waarbij aanvallers inloggegevens proberen te stelen om vervolgens onopgemerkt een aanval uit te voeren zodat ze langere tijd toegang tot de omgeving van het doelwit behouden. Cisco maakte onderstaande video waarin wordt uitgelegd hoe deze specifieke aanval is te detecteren en te voorkomen. bron: security.nl

Google gaat op de middellange termijn de ondersteuning van SSL 3.0 en RC4 uitschakelen, wat gevolgen kan hebben voor systemen die versleuteld met de servers van Google communiceren. SSL 3.0 is inmiddels al meer dan 16 jaar oud en wordt in Google Chrome bijvoorbeeld al niet meer ondersteund. RC4 is een uit 1987 stammend algoritme dat wordt gebruikt voor het opzetten van een versleutelde verbinding. Beide technieken worden als onveilig beschouwd. Reden voor Google om de ondersteuning van SSL 3.0 en RC4 op de frontend-servers uit te gaan schakelen, zo laat Google-engineer Adam Langley weten. De internetgigant verwacht hiermee de nodige problemen. Uit onderzoek onder de 200.000 populairste websites met HTTPS blijkt dat 58% nog steeds RC4 ondersteunt en 35% SSL 3.0. De frontend-servers van Google worden niet alleen door internetgebruikers via hun browser bezocht. Ook veel embedded systemen alsmede allerlei servers communiceren via SSL/TLS met de servers van Google. Als Google straks met de ondersteuning van RC4 en SSL 3.0 stopt kan dit voor problemen zorgen. Daarom heeft de internetgigant vandaag een minimale TLS-standaard opgesteld waar TLS-clients aan moeten voldoen. Het kan dan gaan om clients die TLS voor HTTPS gebruiken, maar ook om SMTP-servers (mailservers) die het voor STARTTLS gebruiken. Volgens Google zouden de nieuwe vereisten waarschijnlijk tot en met 2020 moeten meegaan. "Maar we kunnen de toekomst niet voorspellen", aldus Langley. Om organisaties te helpen is er een speciale website opgezet waarmee kan worden getest of aan een deel van de gestelde eisen wordt voldaan. bron: security.nl

Anti-virusbedrijf AVG: "we gaan geen persoonlijke data verkopen" De afgelopen dagen kreeg het Tsjechische anti-virusbedrijf AVG vanwege het nieuwe privacybeleid een storm van kritiek te verduren. In het privacybeleid, dat op 15 oktober ingaat, zegt AVG dat het niet-persoonlijke data verzamelt om de gratis producten kosteloos aan te blijven bieden. Het gaat dan om surf- en zoekgeschiedenis, waaronder metadata. Ook worden de gebruikte internetprovider of mobiele netwerkprovider opgeslagen, alsmede informatie over andere software die gebruikers op hun computer of apparaat hebben geïnstalleerd. Het privacybeleid stelt dat AVG de niet-persoonlijke data met derde partijen mag delen en verzamelde of anonieme informatie mag publiceren. Vanwege alle ophef heeft AVG nu een verklaring gepubliceerd. Daarin laat het weten dat de meeste softwareprogramma's en websites gebruiksgegevens verzamelen. Op deze manier kunnen de producten worden verbeterd en nieuwe producten worden ontwikkeld. AVG zegt dat consumenten zelf kunnen bepalen of ze aan het geanonimiseerde dataverzamelingsprogramma gaan meedoen. De optie die ervoor zorgt dat gebruiksgegevens worden verzameld wordt aan de gratis consumentenproducten van het bedrijf toegevoegd. "En we kunnen bevestigen dat er geen data worden gedeeld totdat onze klanten deze keuze hebben kunnen maken", aldus de virusbestrijder. Daarbij laat het anti-virusbedrijf weten dat het geen persoonlijke identificeerbare data gaat verkopen en dat op dit moment ook niet doet. bron: security.nl

Aanvallers zijn erin geslaagd om duizenden WordPress-sites te hacken en te gebruiken voor het verspreiden van malware, waaronder de website van een Amerikaans beveiligingsbedrijf. Daarvoor waarschuwt beveiligingsbedrijf Sucuri. Het zou inmiddels om zo´n 6.000 besmette sites gaan. De aanvallen op de WordPress-websites begonnen twee weken geleden. Op de gehackte sites wordt code geplaatst die bezoekers ongemerkt een pagina met de Nuclear-exploitkit laat laden. Deze exploitkit maakt onder andere gebruik van bekende beveiligingslekken in Adobe Flash Player en Internet Explorer die niet door gebruikers zijn gepatcht. Onder de gehackte WordPress-websites bevindt zich onder andere de website van Coverity, een bedrijf dat zich met de veiligheid van software bezighoudt. Hoe de aanvallers toegang tot de WordPress-sites weten te krijgen is nog niet vastgesteld, maar de aanvallers lijken van beveiligingslekken in WordPress-plug-ins gebruik te maken. Niet alleen vergeten eigenaren van WordPress massaal de software van hun website te updaten, ook updates voor geïnstalleerde plug-ins worden vergeten. Volgens cijfers van W3Techs wordt WordPress door 24,4% van alle websites op internet gebruikt. bron: security.nl