Captain Kirk

De helft van de 100 populairste Belgische webwinkels bevat ernstige beveiligingsproblemen, aldus consumentenblad Test-Aankoop, dat vanwege de ernst de Privacycommissie heeft gevraagd om een aantal van de shops te sluiten. Er blijken verschillende dingen bij de winkels mis te zijn. Een aantal van de webshops beheert wachtwoorden niet veilig. Ook komt het voor dat de webwinkels een gemakkelijke prooi voor phishing zijn, aldus het consumentenblad. "Bij 33 sites hebben we een lek gevonden waarmee hackers malafide software op de pc van klanten kunnen installeren of waarmee ze in staat zijn om hun shopsessies van op afstand over te nemen. Bij bepaalde sites hebben we zelfs een directe toegang tot de gegevens van de klanten gevonden." Twee webwinkels, waaronder een online apotheek, waren kwetsbaar voor SQL-injection, waarmee een aanvaller toegang tot de database kan krijgen en bijvoorbeeld klantgegevens kan stelen. In het geval van de online apotheek ging het naast klantgegevens ook om het medisch dossier. Bij een andere webwinkel stonden in de code van de website de databasegegevens vermeld, zodat iedereen de database kon doorzoeken. Verder waren 33 websites kwetsbaar voor cross-site scripting. Na te zijn ingelicht heeft een aantal webshops maatregelen getroffen. Bij vier online apotheken is dit nog niet gedaan. Test-Aankoop heeft daarom de Belgische Privacycommissie gevraagd om deze vier webshops direct te sluiten totdat alle veiligheidsproblemen zijn opgelost. "We eisen bovendien een striktere en concretere controle op de veiligheid van online winkels. De consument verdient een grotere bescherming wanneer hij zijn aankopen online doet." bron: security.nl

De politie waarschuwt internetgebruikers voor een hoax die via social media wordt verspreid en een gemanipuleerde afbeelding van een bericht op de website politie.nl bevat. Het bericht geeft de indruk dat de politie adviseert om kinderen geen snoepgoed van zwarte piet aan te laten nemen. "Daarvan is echter absoluut geen sprake", aldus de politie. In de gemanipuleerde afbeelding is gebruik gemaakt van de huisstijl van de politiewebsite. Het bericht staat echter niet daadwerkelijk op de politiesite en is ook niet van de politie afkomstig. "Het betreft hier een zogenaamde hoax", zo laat de politie verder weten. Het is nog onduidelijk wie achter de hoax zit.bron: ww.security.nl'>security.nl

Aanstaande vrijdag 30 oktober zal Google voor de tweede keer proberen om een kritieke kwetsbaarheid in Picasa te dichten, de fotodienst van de internetgigant. Via het beveiligingslek kan een aanvaller op afstand het systeem overnemen, zo meldt beveiligingsbedrijf Secunia dat het probleem ontdekte. Picasa is een gratis dienst en programma van Google om foto's mee te bewerken en te delen. Via de kwetsbaarheid in de software is het mogelijk om een 'integer overflow' te veroorzaken, waarna er willekeurige code op de computer kan worden uitgevoerd, zoals de installatie van malware. Het probleem is bevestigd in versie 3.9.140 build 239 en versie 3.9.140 build 248 voor Windows. Secunia waarschuwde Google begin augustus voor het probleem. Op 19 september verscheen er een update in de vorm van versie 3.9.140 build 248, alleen deze versie lost het probleem niet op. Aanstaande vrijdag heeft Google aangegeven opnieuw een update voor de kwetsbaarheid te zullen uitbrengen. In de tussentijd is er geen oplossing voor het probleem, aldus Secunia. bron: security.nl

Een kritieke kwetsbaarheid in het contentmanagentsysteem Joomla waar vorige week een patch voor verscheen is vier uur na het uitkomen van de update al aangevallen. De makers van Joomla hadden beheerders en webmasters al van te voren voor de beveiligingsupdate gewaarschuwd. In het advies werd gesteld dat beheerders klaar moesten staan om de update meteen uit te rollen. Volgens beveiligingsbedrijf Sucuri is het via de kwetsbaarheid zeer eenvoudig om volledige beheerderstoegang te krijgen. Sucuri zegt dat het binnen vier uur na het uitkomen van de update directe aanvallen tegen twee populaire Joomla-sites zag. Daarbij werd geprobeerd om de sessie van ingelogde beheerders te stelen Beide websites waren op het moment van de aanvallen niet gepatcht. En dit geldt waarschijnlijk voor nog veel meer websites. De update werd namelijk uitgerold op donderdagmiddag, waarbij veel beheerders waarschijnlijk al vrij waren. Inmiddels vinden er op heel internet scans plaats waarbij allerlei willekeurige Joomla-sites worden gescand. In het geval gescande websites kwetsbaar zijn wordt de aanval uitgevoerd. Inmiddels zegt Sucuri tienduizenden aanvallen te hebben waargenomen. Volgens het beveiligingsbedrijf laten de aanvallen zien dat webmasters en beheerders minder dan 24 uur hebben om een update voor dit soort ernstige problemen uit te rollen. bron: security.nl

In Duitsland is nieuwe ransomware opgedoken die niet alleen bestanden versleutelt, maar ook het systeem vergrendelt en dreigt privégegevens, foto's en video's op internet te zullen publiceren. Chimera, zoals de ransomware wordt genoemd, richt zich vooral op bedrijven. Via zogenaamde vacatures, sollicitaties, contracten en aanvragen worden bedrijven benaderd. In de e-mails wordt verwezen naar een bestand op Dropbox voor verdere informatie. Dit bestand is de ransomware die allerlei bestanden op de computer versleutelt. Verder zoekt Chimera naar bestanden op netwerkschijven om te versleutelen. Vervolgens wordt ook het systeem vergrendeld en verschijnt er een boodschap met instructies. De instructies laten slachtoffers weten dat ze bijna 2,5 bitcoin moeten betalen, wat met de huidige wisselkoers zo'n 635 euro is. De melding laat verder weten dat als er niet wordt betaald persoonlijke data, foto's en video's met naam van het slachtoffer op internet zullen verschijnen. Traditionele ransomware versleutelt vaak alleen bestanden. Het dreigen met het stelen en publiceren van gegevens is dan ook nieuw. Of Chimera uiteindelijk ook de gegevens online zet zoals wordt geclaimd is onbekend, aldus Botfrei. bron: security.nl

In België is het Centrum voor Cybersecurity België (CCB) van start gegaan en officieel door de overheid gepresenteerd. Het CCB houdt zich bezig met crisisbeheer bij cyberincidenten en biedt een overlegplatform voor zowel overheid als private en wetenschappelijke organisaties. Ook zal het centrum het werk van instanties gaan coördineren die zich met internetveiligheid bezighouden. Het CCB is sinds midden augustus operationeel. Afgelopen vrijdag werd het strategisch plan door de Belgische regering goedgekeurd en vond de presentatie plaats. "We hebben snel gewerkt om het centrum operationeel te krijgen, zodat we snel de betere aanpak kunnen organiseren", aldus Miguel De Bruycker die het CCB leidt. Volgend jaar krijgt het centrum een budget van 700.000 euro en zullen er tien mensen werken. Aandachtsgebieden zijn bewustzijn bij en informatieverstrekking aan burgers en bedrijven. Voor de vitale sector zal er een "early warning system" worden ontwikkeld en komt er ondersteuning en incident response, zo meldt De Redactie. Naast het crisisbeheer bij cyberincidenten ziet het centrum ook toe op de uitwerking en uitvoering van standaarden, veiligheidsnormen en richtlijnen voor de informatiesystemen van de Belgische overheid. bron: security.nl

Tijdens de Alert Online-campagne die deze week begint organiseren Nederlandse internetproviders een grote schoonmaakactie om consumenten hun computer op malware te laten scannen. Uit onderzoek blijkt dat tussen de 5 en 10% van alle computers onderdeel van een botnet is. Om hier een einde aan te maken organiseren de Nederlandse internetproviders gezamenlijk de actie 'Grote Schoonmaak'. "Trek er vandaag nog een kwartier voor uit en scan je computer(s) op virussen en andere troep. Dan weet je dat jouw computer schoon is, een veilig gevoel!", aldus de organisatoren. De schoonmaakactie bestaat uit zeven stappen, waaronder het gebruik van de EU-cleaner en Online Scanner van Botfrei, een Duits initiatief. Alert Online is een campagne van de overheid waar tal van organisaties aan meedoen. De campagne wil burgers meer informatie geven over cybercrime op internet en stimuleren dat werknemers op hun werk én thuis deze kennis toepassen. Uit onderzoek van Alert Online in 2014 blijkt dat als de cyberveiligheid op het werk goed is geregeld, werknemers ook thuis veiliger internetten. bron: security.nl

Virusscanners moeten tegen malware en allerlei andere dreigingen bescherming bieden, maar hoe is het eigenlijk met de veiligheid van dit soort beveiligingspakketten gesteld? Die vraag besloot het Duitse testlab AV-Test te beantwoorden door naar zowel zakelijke als consumentenproducten gekeken. Beveiligingssoftware moet niet alleen dreigingen kunnen detecteren, ook moeten de software zelf beveiligingsmaatregelen treffen om niet te worden aangevallen of het lastiger voor een aanvaller te maken. Hiervoor zijn verschillende technieken beschikbaar, zoals ASLR (Address Space Layout Randomization) en DEP (Data Execution Prevention). De anti-virusbedrijven moeten deze technologie wel aan hun eigen software toevoegen. Van de 21 geteste producten voor consumenten bleken er 6 volledig van DEP en ASLR gebruik te maken, namelijk Avira, Bullguard, ESET, Kaspersky, McAfee en Symantec. Quick Heal, Norman en K7 doen dit bij minder dan 30% van de bestanden. De zakelijke producten deden het beter, waarbij er 3 van 10 de maximale 100% scoorden, namelijk twee producten van Kaspersky en één van Symantec. 8 producten kwamen daarbij boven de 90% uit. Alleen Bitdefender (79,7%) en Seqrite (29,8%) scoorden lager. CertificatenVoor het tweede onderdeel van de test werd gekeken of alle bestanden van de beveiligingspakketten wel digitaal ondertekend zijn en of er een geldig digitaal certificaat was gebruikt. Ant-virusbedrijven vereisen dat andere softwareontwikkelaars hun bestanden digitaal ondertekenen, wat helpt bij de detectie van malware, aldus AV-Test. Daarnaast moet een virusscanner de eigen authenticiteit en integriteit kunnen controleren, waarbij digitale handtekeningen met geldige certificaten en hashwaardes helpen. Bij de zakelijke producten bleek dat 50% over ongesigneerde bestanden beschikte. Bij de consumentenproducten ging het om 60%. Volgens AV-Test laten de resultaten zien dat sommige anti-virusbedrijven nog wakker moet worden. Aan de andere kant zijn er ook bedrijven die sinds de laatste test vorig jaar maatregelen hebben getroffen. "Maar veel hebben absoluut niets gedaan", aldus het Duitse testlab. bron: security.nl

Het feit dat Windows 10 gegevens verzamelt is geen privacyrisico en maakt het gehele ecosysteem alleen maar beter, zo stelt Microsoft-topman Joe Belfiore. Sinds de lancering van het nieuwe besturingssysteem is er veel kritiek geweest op de gegevens die Windows 10 verzamelt en naar Microsoft doorstuurt. Volgens Belfiore, Microsoft Corporate Vice President, gaat het hier om informatie over bijvoorbeeld crashes. "Het is nuttig voor het ecosysteem om te weten dat het systeem dat we hebben ontwikkeld crasht of ernstige prestatieproblemen heeft, dus dat we tegenwoordig die data verzamelen maakt de ervaring voor iedereen beter", zo laat hij tegenover PCWorld weten. Gebruikers kunnen zelf aangeven of ze persoonlijke informatie willen verstrekken of niet, wat volgens Belfiore de privacyzorgen moet wegnemen. "En in de gevallen waar we die optie niet bieden, vinden we dat het om zaken gaat die met de gezondheid van het systeem samenhangen, en het geen persoonlijke informatie is en geen relatie met privacy heeft." Wel zou Microsoft nog steeds aan Windows 10 werken en het beleid aanpassen om aan de behoefte van gebruikers tegemoet te komen. bron: security.nl

Mozilla heeft een uitbreiding voor Firefox verwijderd omdat die gebruikers bespioneerde en dit niet tijdens de controle is opgemerkt. Het gaat om de add-on Download Manager S3. Met bijna 120.000 gebruikers een redelijk populaire add-on. Via de add-on kunnen downloads via een kleine statusbalk worden beheerd. De ontwikkelaar van de downloadmanager vraagt gebruikers via een pop-up om support. In dit geval zullen er extra advertenties worden getoond, aldus de uitleg van de add-on. Een lezer van Reddit ontdekte echter dat als de gebruiker hiermee akkoord gaat de add-on allerlei informatie terugstuurt, zoals de HTML van de bezochte pagina, klant-id en andere gegevens. De lezer merkt op dat het verzamelen van data standaard niet staat ingeschakeld, maar dat de ontwikkelaar dit op misleidende wijze probeert in te schakelen. Een werknemer van Mozilla bevestigt op Reddit het gedrag van de add-on. Hij stelt dat de Mozilla een fout heeft gemaakt. Alle uitbreidingen voor Firefox die op addons.mozilla.org verschijnen worden namelijk gecontroleerd. Een reviewer die de add-ons controleert zag een "beleidsovertreding" die in de laatste update van de add-on was toegevoegd over het hoofd. Daarop besloot Mozilla alle add-ons op addons.mozilla.org op deze overtreding te controleren, wat nog een ander soortgelijk geval opleverde. Beide add-ons zijn nu gedeactiveerd, aldus de Mozilla-werknemer. De Download Manager S3 is inderdaad niet meer op addons.mozilla.org te vinden, maar Mozilla heeft de uitbreiding nog niet op de blocklist gezet. In dit geval zal Firefox onveilige of instabiele add-ons bij gebruikers automatisch uitschakelen. bron: security.nl

De populaire adblocker Adblock Plus heeft op bevel van een Duitse rechter tips over het omzeilen van de adblocker-blokkade van het Duitse dagblad Bild offline moeten halen. Onlangs besloot Bild om gebruikers met een adblocker te blokkeren, tenzij ze een abonnement nemen of de adblocker uitschakelen. Op het forum van Adblock Plus besloten moderators naar een oplossing voor de blokkade te zoeken, omdat ze de website nog steeds wilden bezoeken. Het ging dan om het maken van een specifiek filter dat gebruikers aan hun adblocker konden toevoegen. Vorige week eiste Axel Springer, uitgever van Bild, dat alle postings over het onderwerp werden verwijderd. Adblock Plus weigerde dit. Axel Springer stapte naar de rechter en die heeft Adblock Plus nu gedwongen de forumberichten te verwijderen. Eerder kreeg ook YouTube een dergelijk bevel toegestuurd. De makers van de adblocksoftware hebben inmiddels aangegeven juridische stappen te nemen om de berichten weer terug te plaatsen. "Op de plek waar ze thuishoren: het vrije en open internet, waar voor zover ik weet dit soort zaken niet zijn toegestaan", zegt Ben Williams van Adblock Plus. Volgens Williams lijkt het erop dat Axel Springer het web probeert te censureren. bron: security.nl

Het zijn niet alleen routers en computers die goed moeten worden beveiligd, want onderzoekers hebben een botnet van zo'n 900 gehackte beveiligingscamera's ontdekt dat gebruikt werd om DDoS-aanvallen op een clouddienst uit te voeren. Dat meldt beveiligingsbedrijf Imperva. De camera's bevinden zich in allerlei landen, maar waren vooral in India geconcentreerd. Onderzoekers vonden op de camera's malware die via Telnet en SSH naar bepaalde apparaten zoekt. Het gaat dan om devices die op BusyBox draaien, een Linux-distributie voor embedded-systemen, en kwetsbaar voor brute force-aanvallen zijn. In dit geval bleek dat alle gehackte camera's via het standaard inlogwachtwoord toegankelijk waren. De onderzoekers roepen beheerders dan ook op om standaardwachtwoorden altijd te veranderen, ongeacht of het nu om een router, access point of beveiligingscamera gaat. bron: security.nl

Het is absoluut een van de ventilatoren die niet goed loopt. Het kan een draad tegen de ventilator zijn alsook een ventillator die niet uitgebalanceerd is of een gebroken lager heeft. Toch nog maar een keer de kast open maken en goed naar alle ventilatoren luisteren. Vergeet hierbij ook niet de vetilator in de voeding.

Sorry, ik ben niet thuis in de Apple-divices. Kun je de iMac niet een vast IP-adres geven binnen de range van de DHCP?

Onderzoekers hebben kwetsbaarheden in de harde schijven van zowel Seagate als Western Digital onthuld waarvoor nog geen updates beschikbaar zijn. Eric Windisch vond meerdere kwetsbaarheden in de Seagate Central NAS, een oplossing voor netwerkgebaseerde opslag. Zo blijkt dat firmware-updates kwetsbaar voor een man-in-the-middle-aanval zijn, aangezien ze over HTTP worden aangeboden en niet gesigneerd zijn. Daardoor kan een aanvaller die zich tussen de gebruiker en het internet bevindt kwaadaardige firmware installeren. Verder blijkt het apparaat via een phpinfo-pagina informatie aan ongeautoriseerde gebruikers informatie te lekken. Ook kunnen gebruikers elkaars bestanden aanpassen, wordt er een algemeen root-wachtwoord gebruikt dat world-readable is, maakt de webapplicatie ongeautoriseerde aanpassing van IP-adres en hostnaam mogelijk en kunnen lokale gebruikers hun rechten op de NAS verhogen. Windisch informeerde Seagate twee keer, maar kreeg geen reactie. Daarom heeft hij besloten zijn bevindingen te publiceren. Western DigitalIn het geval van Western Digital werden verschillende modellen in de My Passport-serie onderzocht die zichzelf kunnen versleutelen. De Western Digital My Passport is een externe harde schijf die bij bepaalde modellen hardwarematige encryptie aanbiedt. Problemen met het lekken van informatie uit het geheugen, zwakke encryptiesleutels en zelfs backdoors op sommige schijven maken het voor een aanvaller mogelijk om gegevens van gebruikers zonder wachtwoord te onsleutelen, aldus de onderzoekers in hun rapport (pdf). Zo blijken de harde schijven met een standaardwachtwoord te worden geleverd. In gevallen de gebruiker het wachtwoord wijzigt en dit één keer doet, blijft de sleutel van het standaardwachtwoord op de harde schijf achter. Daardoor is het eenvoudig voor een aanvaller om de harde schijf te ontsleutelen. Het probleem is te verhelpen door het wachtwoord een tweede keer te resetten, maar dit is waarschijnlijk bij gebruikers niet bekend. Western Digital is door de onderzoekers ingelicht, maar heeft nog geen oplossing uitgebracht. bron: security.nl

Mozilla overweegt om websites die van een SHA-1-certificaat gebruikmaken eerder in Firefox te blokkeren. Dit vanwege recent onderzoek waaruit blijkt dat het veel goedkoper is om SSL-certificaten met het SHA-1-algoritme aan te vallen dan voorheen werd aangenomen. Oorspronkelijk was het plan om alle SSL-certificaten met SHA-1 op 1 januari 2017 te blokkeren, maar Mozilla overweegt om dit mogelijk al op 1 juli 2016 door te voeren. Vanaf 1 januari 2016 krijgen Firefoxgebruikers bij het bezoek van een website met een SHA-1-certificaat dat na 1 januari 2016 is uitgegeven in ieder geval een waarschuwing te zien dat de verbinding niet te vertrouwen is. In Firefox 43 zal er echter een optie worden toegevoegd zodat gebruikers deze websites toch kunnen bezoeken. Als de planning ongewijzigd blijft zal Firefox vervolgens een jaar later alle SHA-1-certificaten blokkeren, ongeacht wanneer het certificaat is uitgegeven. Deze week maakte internetbedrijf Netcraft bekend dat er bijna 1 miljoen websites zijn die nog SHA-1-certificaten gebruiken. bron: security.nl

ICT-jurist: aanpak Popcorn Time-gebruikers is angstverhaal De mogelijke aanpak van Popcorn Time-gebruikers waar stichting Brein gisteren de media mee haalde is een angstverhaal, zo stelt ICT-jurist Arnoud Engelfriet. Brein liet weten dat sommige rechthebbenden erover nadenken om Popcorn Time-gebruikers aan te klagen. Engelfriet verwacht echter niet dat het ook zal gebeuren. Het is voor Brein veel effectiever om de aanbieders van illegaal materiaal aan te pakken. Het blokkeren van The Pirate Bay heeft veel meer effect op het illegaal downloaden dan een rechtszaak tegen een enkele downloader. Daarnaast speelt ook het afbreukrisico een rol, bijvoorbeeld als er een kind of ouder iemand wordt aangeklaagd. "En je kunt je nu al de krantenkoppen (en mogelijk Kamervragen) wel voorstellen", merkt Engelfriet op. Hij gelooft dan ook niet dat Nederlandse Popcorn Time-gebruikers een grotere kans op boetes lopen. "Het is veel slimmer om door te laten schemeren dát het kan gebeuren. Want het is leuke clickbait, dit soort angstverhalen, en het kost niets om ze in de wereld te helpen", besluit de ICT-jurist. bron: security.nl

Elke dag beschermt Google via de Safe Browsing-technologie 1,1 miljard mensen tegen gevaarlijke websites die bijvoorbeeld malware willen installeren. Via Safe Browsing worden gebruikers van zowel Google Chrome als Firefox en Safari gewaarschuwd voor malware- en phishingsites. Volgens Google is het voor gebruikers niet altijd duidelijk waarom een website is geblokkeerd. Daarom heeft de internetgigant nu een apart onderdeel aan het online Transparantierapport toegevoegd waarmee aanvullende details kunnen worden opgevraagd. Via "Site Status" kunnen gebruikers precies zien waarom een website door Google wordt geblokkeerd, bijvoorbeeld omdat de website bezoekers naar een kwaadaardige website doorstuurt die malware probeert te installeren of dat gevaarlijke websites bezoekers naar de bezochte website doorsturen. bron: security.nl

Oracle heeft voor een groot aantal producten beveiligingsupdates uitgebracht, die in totaal 154 kwetsbaarheden in de software van het bedrijf verhelpen. 25 van de lekken zijn gepatcht in Java. 24 van deze kwetsbaarheden zijn op afstand en zonder authenticatie aan te vallen, zo laat Oracle weten. De softwaregigant brengt elke drie maanden een grote lading updates tegelijkertijd uit, ook wel de Critical Patch Update genoemd. Naast de kwetsbaarheden in Java 6u101, 7u85 en 8u60 zijn er ook problemen in de Oracle Database, Sun Systems Product Suite, Fusion Middleware, VirtualBox, E-Business Suite en nog verschillende andere applicaties verholpen. Vanwege de ernst van verschillende kwetsbaarheden adviseert Oracle de patches zo snel als mogelijk te installeren. In het geval van Java wordt Java 8 Update 65 aangeraden. Voor zover bekend is geen één van de lekken voor het verschijnen van de updates aangevallen, maar volgens Eric Maurice van Oracle reverse-engineeren aanvallers vaak de updates, om vervolgens exploits te ontwikkelen waarmee ze organisaties aanvallen die achterlopen met het uitrollen van de patches. bron: security.nl

De populaire wachtwoordmanager 1Password gaat de beveiliging aanscherpen na kritiek van een Microsoft-engineer. Engineer Dale Myers ontdekte dat metadata van gebruikers, zoals URL's, onversleuteld wordt opgeslagen. Een probleem dat vier jaar geleden ook al was gesignaleerd. Voor de opslag van gegevens gebruikt 1Password twee methodes. De eerste is de AgileKeychain, die in 2012 door de OPVault werd opgevolgd. Volgens de ontwikkelaars beschikte 1Password in de begindagen niet over voldoende rekenkracht voor het ontsleutelen en bijvoorbeeld het doorzoeken van logins. Vanwege deze beperkingen werd ervoor gekozen om de URL's en naam van websites niet te versleutelen. In 2012 werd het nieuwe OPVault-formaat gelanceerd, dat meer encryptie bood. Er werd echter besloten om gebruikers niet automatisch naar dit veiligere formaat te upgraden, omdat gebruikers die oudere versies van 1Password gebruiken dan geen toegang meer tot hun accounts krijgen. Hoewel de AgileKeychain volgens de ontwikkelaars veilig is, is het nu tijd om verder te gaan. Daarom zal OPVault het standaardformaat worden en komt er een automatische migratie voor alle gebruikers. bron: security.nl

Een nieuwe certificaatautoriteit (CA) die als doel heeft om al het webverkeer op internet te versleutelen en daarom gratis SSL-certificaten gaat uitgeven wordt nu door alle grote browsers ondersteund, zo hebben de initiatiefnemers van Let's Encrypt bekendgemaakt. Met een SSL-certificaat kunnen websites het verkeer van en naar bezoekers versleutelen en zich tegenover bezoekers identificeren. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en verschillende andere partijen. Volgens de initiatiefnemers zijn er al partijen die gratis certificaten voor websites aanbieden, maar is de installatie nog steeds een lastig proces, wat een volledig versleuteld web in de weg staat. Daarom zal Let's Encrypt de uitgifte en installatie van certificaten automatiseren. Hiervoor is een API (programmeerinterface) ontwikkeld, alsmede clientsoftware die van deze API gebruik maakt. Beheerders kunnen deze clientsoftware op hun eigen webserver draaien om automatisch een certificaat te installeren en hun server zo te configureren dat er voortaan HTTPS wordt gebruikt. Om waarschuwingen in de browser te voorkomen moet Let's Encrypt wel door de browser als geldige certificaatautoriteit worden herkend. Iets dat nu is gerealiseerd doordat de intermediate certificaten van Let's Encrypt door IdenTrust zijn gesigneerd. Alle browsers accepteren IdenTrust en daarmee nu ook de certificaten van Let's Encrypt. "Dit is een zeer grote mijlpaal omdat het inhoudt dat bezoekers van websites die Let's Encrypt-certificaten gebruiken zonder speciale aanpassingen een veilige surfervaring hebben", aldus Josh Aas van de ISRG. bron: security.nl

Stichting Brein dreigt gebruikers van de illegale streamingdienst Popcorn Time met boetes en sluit niet uit dat individuele kijkers in Nederland zullen worden aangeklaagd. Dat laat Tim Kuik, directeur van Stichting Brein, tegenover BNR weten. Kuik waarschuwt gebruikers dat Popcorn Time 'hartstikke illegaal' is en gebruikers zich in principe blootstellen aan schadeclaims van rechthebbenden. Rechthebbenden kunnen in samenwerking met Brein het initiatief nemen om de kijkers aan te klagen. Via Popcorn Time is het eenvoudig om allerlei films en series illegaal te bekijken. In verschillende andere Europese landen zijn gebruikers van de illegale streamingdienst al opgespoord en met boetes gedreigd. Zo ontvingen Deense gebruikers onlangs een brief waarin werd gesteld dat ze zo'n 300 euro moesten betalen wegens het kijken van de Michael Douglas-film 'And so it Goes'. Werd er niet betaald dan zouden er zwaardere sancties volgen. Om gebruikers op te sporen is medewerking van internetproviders vereist. Of die hier in Nederland toe verplicht zijn is nog onduidelijk. Volgens ICT-jurist Arnoud Engelfriet moet uiteindelijk de provider afwegen welk belang groter is, dat van de rechthebbende of de gebruiker. Er kan dan worden gekeken naar de omvang van het gebruik. Dat Popcorn Time ervoor zorgt dat het water bij rechthebbenden aan de lippen staat, zoals Kuik beweert, speelt daarbij geen rol. Engelfriet vraagt zich dan ook af of Nederlandse Popcorn Time-gebruikers zullen worden aangeklaagd. "Hij heeft er natuurlijk ook belang bij om mensen bang te maken, zodat ze Popcorn Time niet gaat gebruiken. Ik vind het een wegwerpopmerking", zo laat de ICT-jurist tegenover de NOS weten. bron: security.nl

De makers van het erg populaire contentmanagementsysteem (CMS) Joomla zullen aanstaande donderdag een "zeer belangrijke beveiligingsupdate" uitbrengen, zo hebben ze aangekondigd. De update zou voor een kritiek beveiligingsprobleem in de kern van Joomla zijn. Verdere details worden echter niet gegeven, behalve dat de update donderdagmiddag om 16:00 uur Nederlandse tijd zal verschijnen. Joomla adviseert beheerders om klaar te staan om de update donderdag ook meteen uit te rollen. "Begrijp dat we tot het verschijnen van de release geen verdere informatie kunnen geven", aldus de ontwikkelaars. bron: security.nl

Onlangs demonstreerden onderzoekers dat het veel goedkoper is om SSL-certificaten met het SHA-1-algoritme aan te vallen dan voorheen werd gedacht. Het Centrum Wiskunde & Informatica (CWI) uit Amsterdam pleitte er dan ook voor om het SHA-1-algoritme eerder uit te faseren. Google Chrome beschouwt SSL-certificaten met het SHA-1-algoritme al als onveilig. Uit onderzoek van internetbedrijf Netcraft blijkt echter dat er nog altijd bijna 1 miljoen SSL-certificaten met dit kwetsbare algoritme in gebruik zijn. Het aantal certificaten zal naar verwachting vanaf 2016 afnemen. Het CA/Browser Forum, een consortium van certificaatautoriteiten, de partijen die SSL-certificaten uitgeven, staan dan geen nieuwe certificaten met het SHA-1-algoritme toe. Hoewel SHA-1 door Google Chrome inmiddels als zwak of onveilig wordt gezien zijn dit jaar nog altijd meer dan 120.000 SHA-1-certificaten uitgegeven. Sommige van deze certificaten zijn tot 2020 geldig, maar zullen eerder moeten worden vervangen. Vanaf 2017 zullen namelijk alle browsers deze certificaten als onveilig weergeven. bron: security.nl

Mozilla heeft een aanpassing aan Firefox 44 doorgevoerd zodat gebruikers websites die van zwakke of onveilige SSL-certificaten gebruik maken toch kunnen bezoeken. Voorheen gaf Firefox aan dat er geen veilige verbinding met de website kon worden gemaakt en de site daarom niet kon worden bezocht. Gebruikers hadden naast het opnieuw laden van de website of het doorgeven van de foutmelding geen andere keuze. In Firefox 44 zal er een "override" worden toegevoegd, zodat de website toch is te bezoeken. Wel krijgen gebruikers de waarschuwing dat een aanvaller bij het bezoek informatie kan achterhalen waarvan de gebruiker denkt dat die veilig is. Verder moeten gebruikers op een link klikken waarin duidelijk wordt gemeld dat het onveilig is om de pagina toch te laden. zo ontdekte Soeren Hentzschel in een vroege testversie van de browser. Firefox 44 staat gepland voor 26 januari 2016. bron: security.nl