Captain Kirk

Adobe heeft in samenwerking met Google beveiligingsmaatregelen aan Flash Player toegevoegd die de videoplug-in tegen nieuwe aanvallen moeten wapenen. De afgelopen maanden werden er verschillende zero day-lekken in Flash Player gevonden, waarmee internetgebruikers werden aangevallen. In dit geval was er nog geen update beschikbaar voordat de aanvallen plaatsvonden. Daarnaast werden er ook tientallen andere kwetsbaarheden in de software ontdekt die een aanvaller toegang tot computers kon geven. Een aantal van deze lekken werd na het verschijnen van de update ook gebruikt voor het aanvallen van gebruikers. In dit geval ging het om gebruikers die de update niet hadden geïnstalleerd. Een groot deel van de kwetsbaarheden die Adobe in Flash Player verhelpt worden door Google ontdekt. De reden hiervoor is dat Google Chrome over een embedded Flash Player beschikt. Kwetsbaarheden in Flash Player kunnen daardoor ook Chrome-gebruikers raken. Daarnaast heeft Google een apart team van hackers dat zich richt op het onderzoeken en veiliger maken van populaire software, zoals Flash Player. Naast het melden van nieuwe beveiligingslekken draagt Google dan ook beveiligingsmaatregelen aan. Maatregelen die het lastiger voor aanvallers moeten maken om kwetsbaarheden aan te vallen. Samen met Adobe zijn deze maatregelen nu vanaf Adobe Flash Player versie 18.0.0.209 doorgevoerd. Zo worden bijvoorbeeld de geheugenlocaties van Flash Player willekeuriger gemaakt. Doordat deze locaties voorheen voorspelbaar waren, kon een aanvaller hier eenvoudig gebruik van maken. "We denken dat we een grote stap voorwaarts hebben gezet als het gaat om de veiligheid van Flash, maar we zijn nog lang niet klaar", zegt Chris Evans van Google. Hij benadrukt dat voor elke verdedigingsmaatregel aanvallers een manier zullen zoeken om die te omzeilen. "Het is een kat-en-muisspel." Evans benadrukt dat de nieuwe beveiligingsmaatregelen effectiever in 64-bit versies van Flash Player zijn. Gebruikers krijgen dan ook het advies om naar een 64-bit versie van zowel hun browser als Flash Player te upgraden. bron: security.nl

Een zoekmachine die goede zoekresultaten wil weergeven hoeft internetgebruikers niet te volgen. "Het is echt een mythe", zegt Gabriel Weinberg van zoekmachine DuckDuckGo over de werkwijze van Google. Het aantal gebruikers van DuckDuckGo is sinds de onthullingen door klokkenluider Edward Snowden explosief gestegen. Zo werd vorige maand de grens van 10 miljoen zoekopdrachten per dag geslecht. DuckDuckGo richt zich helemaal op online privacy en zegt dat het geen IP-adressen van gebruikers of andere persoonlijke informatie opslaat en ook geen profielen van gebruikers aanmaakt. "Het is echt een mythe dat je mensen moet volgen om goede zoekresultaten te krijgen", aldus Weinberg tegenover BGR. De meeste personalisatie die mensen volgens de oprichter van de privacyzoekmachine willen is lokalisatie. "En dat kunnen we doen zonder je te volgen, omdat je locatie min of meer al in het verzoek zit dat je naar ons stuurt." Deze informatie kan de zoekmachine in real-time voor de zoekopdracht van de gebruiker gebruiken, zonder dat het moet worden opgeslagen. Een ander risico waar Weinberg voor waarschuwt is de filterbubbel die Google kan creëren. "Google probeert je zaken in de zoekresultaten te laten zien waarvan zij denken dat je erop zult klikken, wat verkeerd is, omdat het inhoudt dat er zaken worden gefilterd waar de gebruiker minder snel op zal klikken." Dit kan invloed hebben op de zoekresultaten die iemand te zien krijgt, bijvoorbeeld bij het onderzoeken van een politieke kandidaat, merkt Weinberg op. Hij claimt dat gebruikers via DuckDuckGo dezelfde resultaten als die van Google kunnen krijgen, met een aantal extra voordelen. Het gaat onder andere om "directe antwoorden" die bovenaan de zoekresultaten worden getoond. Op deze manier hoeven gebruikers niet door te klikken en kunnen ze meteen het antwoord op hun vraag lezen. Gisteren lanceerde DuckDuckGo 20 miljoen nieuwe directe antwoorden in acht nieuwe talen, waaronder het Nederlands. bron: security.nl

Gebruikers van Google Chrome zullen de komende weken meer waarschuwingen van de browser te zien krijgen waarin wordt gewaarschuwd voor ongewenste software. Programma's die ongewenst bij internetgebruikers de browser kapen en vervolgens allerlei advertenties injecteren zijn een gigantisch groot probleem, zo bleek uit eerder onderzoek van Google en de Universiteit van Californië. De onderzoekers wilden weten hoe groot het probleem van "ad injectors" daadwerkelijk was. Dit is software die advertenties op websites injecteert of bestaande advertenties vervangt.Google had in de eerste paar maanden van dit jaar al meer dan 100.000 klachten over ad injectors ontvangen. Tijdens het onderzoek bleek dat 5,5% van alle IP-adressen die Google-sites bezoeken met één of meerdere ad injectors geïnfecteerd is. In totaal ontdekten de onderzoekers meer dan 85.000 programma's die de browser kapen en advertenties injecteren. DetectieDe detectie van Google om dit soort ongewenste software te detecteren is verbeterd, waardoor Chrome-gebruikers op korte termijn meer waarschuwingen zullen krijgen. "Het mandaat blijft onveranderd", zegt Stephan Somogyi van het Google Safe Browsing Team. "We richten ons alleen op het beschermen van gebruikers tegen malware, phishing, ongewenste software en soortgelijk kwaad. Je zult een waarschuwing van Safe Browsing niet voor een andere reden te zien krijgen." Volgens Somogyi wordt ongewenste software via allerlei manieren verspreid, waaronder de eerder genoemde ad injectors. In veel gevallen is Google's Safe Browsingtechnologie de laatste verdedigingslaag, merkt de Google-medewerker op. Naast Chrome maken ook Safari en Firefox gebruik van Google's Safe Browsingtechnologie. bron: security.nl

Microsoft heeft deze maand honderden miljoenen Windowscomputers op de aanwezigheid van ransomware gecontroleerd. De controle vond plaats via de Malicious Software Removal Tool (MSRT), de standaard in Windows aanwezige virusverwijdertool die de meestvoorkomende malware-families kan herkennen en verwijderen. De tool wordt elke maand geüpdatet, zodat een aantal nieuwe actieve malware-families kunnen worden herkend. Tegelijkertijd scant de MSRT de computer ook op deze families. Deze maand heeft Microsoft een update uitgebracht zodat de CryptoWall- en Reveton-ransomware op computers kan worden herkend. CryptoWall verspreid zich via e-mailbijlagen, kan worden gebundeld met andere malware of gedownload door exploitkits. In mei en juni zag Microsoft zo'n 300.000 computers die met CryptoWall besmet waren geraakt. Eenmaal actief versleutelt de ransomware allerlei bestanden en vraagt vervolgens een bedrag om ze te ontsleutelen. De infecties werden vooral in de Verenigde Staten en Brazilië waargenomen. Microsoft waarschuwt gebruikers dan ook om geen verdachte e-mailbijlagen te openen. Ook is er volgens de softwaregigant geen garantie dat gebruikers na het betalen van het losgeld weer toegang tot hun bestanden krijgen, of dat de pc weer in oorspronkelijke staat wordt hersteld. Microsoft raadt het betalen van het losgeld dan ook niet aan. Daarbij kunnen gebruikers van een besmette computer mogelijk via File History hun bestanden terugkrijgen. De tweede ransomware-familie waar Microsoft zich via de MSRT op richt is Reveton. Deze familie is al vaker het doelwit van de virusverwijdertool geweest. De ransomware vergrendelt computers en laat vervolgens een bericht zien dat van de FBI of lokale politie afkomstig lijkt. Volgens het bericht heeft de gebruiker een misdrijf begaan en moet er een boete worden betaald. In dit geval gaat het alleen om een waarschuwing. Bestanden van gebruikers worden niet door Reveton versleuteld.b ron: security.nl

Alle Windowscomputers beschikken over een ingebouwde virusverwijdertool van Microsoft, maar een kwetsbaarheid in het programma kon een aanvaller volledige beheerdersrechten op het systeem geven. De Microsoft Malicious Software Removal Tool (MSRT) is een klein programma dat bekende malware-families kan detecteren en verwijderen. Het wordt elke maand via Windows Update bijgewerkt en uitgevoerd, maar het is ook mogelijk om de tool los uit te voeren. Een kwetsbaarheid in de MSRT liet een aanvaller die al toegang tot het systeem had zijn rechten verhogen. Door het plaatsen van een speciaal geprepareerd DLL-bestand op de computer en vervolgens te wachten totdat de MSRT werd uitgevoerd, kon de aanvaller volledige beheerdersrechten krijgen. Microsoft besloot geen Security Bulletin voor het probleem uit te brengen, maar publiceerde wel een Security Advisory. Daarin staat dat alle Windowscomputers in principe automatisch met de nieuwste versie worden geüpdatet en zo niet meer kwetsbaar zijn. Gebruikers die zeker willen weten dat de update is geïnstalleerd moeten controleren of versie 5.26 of nieuwer op het systeem aanwezig is. Dat beveiligingssoftware ook als aanvalsvector kan worden gebruikt werd onlangs al duidelijk, toen er kritieke lekken in de anti-virussoftware van anti-virusbedrijf ESET werden aangetroffen. Via deze kwetsbaarheden zou een aanvaller zonder enige interactie van de gebruiker de computer kunnen overnemen. bron: security.nl

Drukke tijden voor systeembeheerders, want naast Adobe en Microsoft heeft ook Oracle een groot aantal updates uitgebracht. De updates verhelpen in totaal 193 kwetsbaarheden in software die door veel bedrijven wordt gebruikt. Ook consumenten moeten echter updaten, want er zijn lekken in Java gepatcht. De updates zijn voor Oracle Database, Fusion Middleware, Hyperion, Enterprise Manager, E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, Siebel CRM, Communications Applications, Java SE, Sun Systems Products Suite, Oracle Linux en Virtualization en Oracle MySQL. In het geval van Java zijn er 25 kwetsbaarheden in de software gepatcht. 23 van deze lekken zijn op afstand door een aanvaller te gebruiken. Onder de gepatchte kwetsbaarheden bevindt zich ook het zero day-lek dat onlangs werd ontdekt en dat bij gerichte aanvallen was ingezet. Een overzicht van alle kwetsbare producten alsmede de beschikbare updates is in de advisory te vinden. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van juli 59 lekken in Windows, Internet Explorer, Office en SQL Server gepatcht, waarvan 7 zero days. Het gaat in dit geval om kwetsbaarheden die al bekend waren of werden aangevallen voordat de betreffende beveiligingsupdate van Microsoft beschikbaar was. Drie van de zero day-lekken, in Internet Explorer, Office en Windows, werden actief aangevallen, aldus Microsoft. Twee van deze kwetsbaarheden, in IE en Windows, waren afkomstig van het gehackte Italiaanse bedrijf HackingTeam. Dat houdt in dat HackingTeam voor zover nu bekend over vijf zero day-lekken beschikte. Naast IE en Windows had het bedrijf ook de beschikking over drie onbekende kwetsbaarheden in Adobe Flash Player. De overige vier zero day-lekken die Microsoft deze maand patchte bevonden zich in IE en waren al wel openbaar gemaakt, maar zijn volgens de softwaregigant niet actief aangevallen. UpdatesIn totaal zijn er 14 beveiligingsupdates uitgebracht. Daarmee behoort deze patchronde zowel qua aantal patches als verholpen beveiligingslekken tot een van de zwaarste patchrondes van Microsoft ooit. Vier updates, MS15-065, MS15-066, MS15-067 en MS15-068, hebben de hoogste prioriteit en zijn door Microsoft als kritiek bestempeld. Via deze kwetsbaarheden kan een aanvaller het onderliggende systeem overnemen. Het gaat onder andere om een lek in het Remote Desktop Protocol (RDP). RDP staat standaard niet ingeschakeld, maar als dat wel het geval is kan een aanvaller door het versturen van een aantal pakketten het systeem overnemen. Drie andere updates zijn niet als kritiek bestempeld, maar laten een aanvaller wel willekeurige code op een computer uitvoeren. Het gaat om MS15-058 voor SQL Server, MS15-069 voor Windows en MS15-070 voor Office. Microsoft bestempelt deze updates als "belangrijk", omdat een aanvaller meer moeite moet doen voordat het uitvoeren van code mogelijk is. De overige beveiligingsbulletins van deze maand verhelpen kwetsbaarheden waardoor een aanvaller zijn rechten op de computer kan verhogen. Het gaat onder andere om het zero day-lek in Windows dat door HackingTeam was ontdekt. Bij deze kwetsbaarheden moet een aanvaller al toegang tot het systeem hebben voordat er gebruik van kan worden gemaakt. De updates zijn te downloaden via Windows Update en zullen op de meeste computers automatisch worden geïnstalleerd. Een overzicht van alle bulletins is op deze pagina te vinden. bron: security.nl

Het Italiaanse HackingTeam beschikt over een UEFI BIOS-rootkit om computers permanent met de spyware van het bedrijf te infecteren. Dat stelt het Japanse anti-virusbedrijf Trend Micro aan de hand van de data die recentelijk bij het Italiaanse bedrijf werd buitgemaakt. HackingTeam biedt overheidsinstanties een "Remote Control System" (RCS) waarmee opsporingsdiensten op afstand toegang tot de computers van bijvoorbeeld verdachten kunnen krijgen. Om ervoor te zorgen dat de software ook op computers blijft staan, zelfs als de harde schijf wordt geformatteerd of door een nieuw exemplaar wordt vervangen, heeft HackingTeam een UEFI BIOS-rootkit ontwikkeld. Het BIOS (Basic Input/Output System), alsmede de Unified Extensible Firmware Interface (UEFI) dat de opvolger van het BIOS is, is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. In het geval van HackingTeam gaat het om een rootkit voor het UEFI BIOS van Insyde Software. Het bedrijf maakt BIOS-software voor laptops. Fysieke toegangOm de rootkit te installeren moet er wel fysieke toegang tot het systeem worden verkregen. Volgens analist Philippe Lin van Trend Micro kan echter niet worden uitgesloten dat het ook mogelijk is om de rootkit op afstand te installeren. Het Italiaanse bedrijf ontwikkelde ook een hulptool voor gebruikers van de rootkit en biedt ondersteuning in het geval de BIOS-image niet compatibel is. Volgens Lin kan de rootkit worden aangepast zodat die ook met andere BIOS-software werkt, zoals die van de bekende softwareleverancier AMI. Om zich tegen de aanvallen te beschermen krijgen gebruikers van Lin het advies om UEFI SecureFlash in het BIOS in te schakelen, het BIOS te updaten als er updates beschikbaar zijn en een wachtwoord in te stellen om toegang tot het BIOS of de UEFI te krijgen. Het is bij veel computers echter mogelijk om het wachtwoord te resetten, maar in dit geval zou een gebruiker kunnen zien dat er iets mis is omdat hij geen wachtwoord meer hoeft op te geven of zijn oorspronkelijke wachtwoord niet meer werkt. bron: security.nl

Het Japanse anti-virusbedrijf Trend Mico waarschuwt voor een nieuw en kritiek lek in Java waar nog geen update van Oracle voor beschikbaar is en dat bij aanvallen tegen een Amerikaanse defensieorganisatie en NAVO-lid is ingezet. Volgens de virusbestrijder gaat het om gerichte aanvallen. Dat zou inhouden dat de kwetsbaarheid nog niet op grote schaal wordt gebruikt om thuisgebruikers met malware te infecteren. Voor het aanvallen van de doelwitten gebruiken de aanvallers e-mails met daarin een link. De links die de aanvallers gebruiken lijken op de links die eerder bij aanvallen tegen NAVO-leden en het Witte Huis werden ingezet, zo stelt analist Brooks Li. In dit geval werden de links aangetroffen in de e-mails naar een Amerikaanse defensieorganisatie en een specifiek NAVO-lid, maar om wie het precies gaat wil het anti-virusbedrijf niet zeggen. De link wijst naar een pagina die van het Java-lek gebruik probeert te maken. In het geval de aanval succesvol is wordt er malware op de computer geplaatst. KwetsbaarDe kwetsbaarheid is aanwezig in de meest recente Oracle Java-versie, namelijk Java 8 update 45. Oudere versies van Java, namelijk 6 en 7, zijn niet kwetsbaar. Oracle zou inmiddels zijn ingelicht. In afwachting van een update kunnen gebruikers Java in hun browser uitschakelen of van het systeem verwijderen. Een aantal jaren geleden werden er regelmatig zogeheten zero day-lekken in Java aangetroffen en aangevallen waarvoor geen update beschikbaar was. Volgens Trend Micro is het bijna twee jaar sinds de laatste zero day in Java werd gemeld. bron: security.nl

Naast cybercriminelen maken inmiddels ook verschillende groepen die zich met cyberspionage bezighouden gebruik van het beveiligingslek in Adobe Flash Player waarvoor deze week een patch verscheen. Het gaat om de kwetsbaarheid waar het Italiaanse HackingTeam over beschikte. Een hacker die bij het bedrijf wist in te breken maakte 400GB aan data buit en zette die online. In de bestanden werd het Flash Player-lek gevonden en een exploit die ervan gebruik maakt. De exploit werd al snel aan exploitkits voor cybercriminelen toegevoegd en is inmiddels ook in het programma Metasploit opgenomen. Nu melden anti-virusbedrijf ESET en beveiligingsbedrijf Volexity dat zogeheten APT-groepen de exploit bij gerichte aanvallen inzetten. Het gaat dan vooral om aanvallen via e-mail. De aanval waar Volexity voor waarschuwt bestaat uit een e-mail die zich voordoet als een bericht van Adobe. In het bericht worden gebruikers opgeroepen om Flash Player via de meegestuurde link te updaten. De link wijst niet naar de website van Adobe, maar naar een pagina die het deze week gepatchte Flash-lek probeert aan te vallen. Is de aanval succesvol, dan wordt er malware op de computer geïnstalleerd waarmee de aanvallers volledige toegang tot en controle over de computer hebben. Tweede aanvalOok in het geval van de aanval die ESET meldt wordt er gebruik van e-mail gemaakt om slachtoffers naar een kwaadaardige website te lokken. De link in de e-mail wijst naar een landingspagina die allerlei gegevens over de computer verzamelt. In het geval de computer aan bepaalde eisen voldoet, zoals taal en tijdszone, wordt de exploit geladen. Wederom gaat het om de exploit die gebaseerd is op de code van het Italiaanse HackingTeam. Als de aanval slaagt, dan wordt er een backdoor geïnstalleerd. Deze backdoor maakt ook gebruik van een andere exploit waar HackingTeam over beschikte en waarmee het voor een aanvaller mogelijk is om zijn rechten op Windows te verhogen. Voor deze Windows-kwetsbaarheid, die alleen kan worden aangevallen als de aanvaller al toegang tot het systeem heeft, is nog geen update beschikbaar. bron: security.nl

Zowel private als publieke organisaties die persoonsgegevens verwerken zijn vanaf 1 januari 2016 verplicht om beveiligingsincidenten te melden die bijvoorbeeld leiden tot diefstal, verlies of misbruik van persoonsgegevens. Zo heeft de overheid vandaag via het Staatsblad bekendgemaakt. De meldplicht datalekken wordt daarmee uitgebreid, aangezien die op dit moment alleen voor aanbieders van elektronische communicatienetwerken en -diensten geldt. Volgens de Rijksoverheid moet de meldplicht voor een betere bescherming van persoonsgegevens zorgen. Boetebevoegdheid CBPVerder kan het College bescherming persoonsgegevens (CBP) vanaf volgend jaar in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Het CBP mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Vanaf 1 januari is dat ook mogelijk bij schending van meer algemene verplichtingen die de wet stelt aan het gebruik en verwerken van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt. bron: security.nl

Ha, daar zeg je wat. Beetje wijzen naar de ander is altijd makkelijk. Maar tegelijk ook slordig wanneer je pocht de consument te willen helpen en zelf het in leven houdt. En deze opmerking is dan wel helemaal mooi: "Volgens Deborah Salmi van Avast worden de toolbars vaak via gratis programma's geïnstalleerd. De meeste keren kunnen gebruikers ervoor kiezen de toolbar niet te installeren. Standaard staat echter ingesteld dat dit wel gebeurt en veel gebruikers klikken de installatieschermen door zonder te lezen en zitten zo vervolgens met een toolbar opgescheept, aldus Salmi. Ze adviseert gebruikers dan ook om goed alle schermen te bekijken en niet zomaar verder te klikken."

Het aantal spamberichten dat Gmail-gebruikers ontvangen is zeer klein, toch wil Google dit percentage verder naar beneden brengen, wat het via een slimmer spamfilter wil bereiken, zo laat de internetgigant weten. Ondanks dat minder dan 0,1% van de gemiddelde inbox uit spam bestaat en minder dan 0,05% van de legitieme berichten in de spamfolder terechtkomt, is de spamdetectie van Gmail niet perfect, zegt productmanager Sri Harsha Somanchi. Om te voorkomen dat legitieme e-mails in de spamfolder belanden heeft Google nu de Gmail Postmasters Tools gelanceerd. Via deze tool kunnen bedrijven en partijen die grote hoeveelheden e-mails versturen spammeldingen, fouten en hun reputatie analyseren, wat kan helpen om problemen, zoals een onterechte detectie van e-mail als spam, te voorkomen. Neuraal netwerkAan de andere kant wil Google dat meer echte spamberichten gericht aan Gmail-gebruikers worden gestopt. "Het uiteindelijke doel is een spamvrije Gmail-ervaring", aldus Somanchi. De intelligentie die de internetgigant voor Google Search en Google Now ontwikkelde wordt nu ook gebruikt om het spamfilter van Gmail slimmer te maken. Zo maakt het filter gebruik van een kunstmatig neuraal netwerk om geraffineerde spamberichten die erg op legitieme berichten lijken toch te detecteren. Verder moet machinaal leren ervoor zorgen dat het spamfilter individuele voorkeuren met betrekking tot legitieme e-mails en spamberichten kan herkennen. De ene gebruiker kan een nieuwsbrief als spam beschouwen, terwijl de volgende gebruiker die graag wil ontvangen. Verder is het spamfilter nu beter in staat om phishingscams te herkennen. Het gaat dan vooral om e-mails die van een bepaald adres afkomstig lijken te zijn, terwijl dit niet het geval is. Wederom zou het filter dankzij machinaal leren nu kunnen bepalen of een bericht echt afkomstig is van de afzender en zo e-mails van gespoofte e-mailadressen stoppen. bron: security.nl

Een kwetsbaarheid in de populaire online wachtwoordmanager LastPass maakt het mogelijk voor kwaadwillenden om wachtwoorden te stelen. Het probleem was aanwezig in LastPass voor Google Chrome en Internet Explorer, maar is daar opgelost. Alleen de Firefox-versie is op dit moment nog lek. LastPass is een populaire clouddienst waar gebruikers hun wachtwoorden voor allerlei websites en diensten in een "kluis" kunnen opslaan. De software komt in de vorm van een add-on voor de browser. Beveiligingsonderzoeker Matthew Bryant ontdekte dat de browseruitbreiding kwetsbaar is voor clickjacking. Hierbij kunnen aanvallers de "click" van een gebruiker kapen en voor andere doelen gebruiken. Een kwaadaardige website kan het venster voor het automatisch invullen van wachtwoorden van een "overlay" voorzien en zo het wachtwoord van gebruikers stelen als die kunnen worden verleid om hun wachtwoord te kopiëren en te plakken. De aanval werkt alleen op websites die geen gebruik van de X-Frame-Options header maken. Deze header kan worden gebruikt om te bepalen of een browser een pagina in een frame, iframe of object mag weergeven. Websites kunnen de header gebruiken om te voorkomen dat hun content op andere websites wordt embedded, en zo clickjacking-aanvallen voorkomen. WaarschuwingBryant waarschuwde LastPass op 3 april van dit jaar. Op 22 april werd de Chrome-versie van LastPass gepatcht. Uiteindelijk verscheen er ook een update voor de IE-versie. Hoewel de LastPass-ontwikkelaars ook een patch voor de Firefox-versie ontwikkelden en deze aan Mozilla voorlegden, is de patch nog altijd niet door Mozilla gecontroleerd. Iets dat volgens Bryant het engste aan dit lek is. "Het is zorgwekkend dat beveiligingsupdates voor Mozilla add-ons maanden nodig hebben om de gebruiker te bereiken. Het heeft zeker mijn visie op Firefox vanuit een beveiligingsperspectief veranderd", zo merkt hij op. Ter demonstratie maakte de onderzoeker onderstaande video. De kritiek van Bryant lijkt bij nader inzien ongegrond, aangezien er op 24 april van dit jaar een update voor de Firefox-versie verscheen waarin er maatregelen zijn genomen om de aanval die de onderzoeker beschrijft te voorkomen. We hebben Bryant om een reactie gevraagd of het probleem inderdaad in deze versie, met het nummer 3.1.95, is verholpen. Bryant stelt in een reactie aan Security.NL dat de versie die LastPass op de eigen website aanbiedt is gepatcht, maar dat de versie die via addons.mozilla.org wordt aangeboden nog steeds kwetsbaar is. Gebruikers zouden dan ook handmatig de nieuwe versie moeten installeren om beschermd te zijn. Bryant stelt dat Mozilla de Firefox-versie uiteindelijk 6 juli goedkeurde, nadat hij op 1 juli zijn onthulling en kritiek op het trage goedkeuringsproces had geopenbaard. Daarnaast staat erin de logs ten onrechte dat de versie sinds 24 april beschikbaar zou zijn, terwijl eind juni nog steeds de kwetsbare versie werd aangeboden. bron: security.nl

Google heeft door optreden van het College bescherming persoonsgegevens (CBP) de informatie in het privacybeleid aangepast en is een privacycampagne gestart. Het CBP had de internetgigant een last onder dwangsom opgelegd wegens het nieuwe privacybeleid, die kon oplopen tot 15 miljoen euro. Uit eerder gepubliceerd onderzoek van het CBP bleek dat Google persoonsgegevens van internetgebruikers combineert, onder meer voor het tonen van gepersonaliseerde advertenties. Dit gebeurde zonder dat Google internetgebruikers hierover vooraf goed informeerde en zonder dat het bedrijf hiervoor toestemming vroeg. Dat is in strijd met de wet. Het gaat niet alleen om mensen die zijn ingelogd op een Google-account, maar ook om mensen die de zoekmachine gebruiken en mensen die een website bezoeken waarop cookies van Google worden geplaatst en gelezen. Gegevens over bijvoorbeeld zoekopdrachten, locatiedata, bekeken video’s en e-mails kunnen met elkaar worden gecombineerd, terwijl dat bovendien diensten en gegevens zijn die heel verschillende doelen dienen. MaatregelenHet CBP legde Google eerder een last onder dwangsom op die kon oplopen tot 15 miljoen euro. Google heeft inmiddels een aantal van de vereiste maatregelen getroffen. Zo heeft Google de informatie in zijn privacybeleid aangepast en maakt Google duidelijk dat YouTube een Google-dienst is. Verder vraagt Google nieuwe gebruikers die een Google-account aanmaken nu om toestemming voor het combineren van hun persoonsgegevens. Google maakte wel bezwaar tegen de dwangsom, wat er uiteindelijk voor heeft gezorgd dat het CBP de termijn heeft verlengd waarbinnen Google ondubbelzinnige toestemming van al zijn gebruikers moet krijgen voor het combineren van hun persoonsgegevens. De internetgigant heeft nu tot eind december de tijd om dit regelen. In het geval dit niet gebeurt kan het CBP een dwangsom van maximaal 5 miljoen euro opleggen. bron: security.nl

Het op grote schaal uitrollen van Adblock Plus binnen organisaties, bedrijven en instellingen kan veel bandbreedte besparen, zo hebben studenten ontdekt. Adblock Plus (ABP) is de populairste add-on voor browsers en wordt door tientallen miljoenen mensen gebruikt om advertenties te blokkeren. De ontwikkelaars van Adblock Plus zijn al enige tijd bezig met een project dat ze gekscherend Large Scale Deployment (LSD) hebben genoemd. Het idee is om ABP gereed voor ondernemingen te maken die hun netwerk tegen besmette advertenties willen beschermen en bandbreedte willen besparen. Studenten van de Simon Fraser Universiteit in British Columbia besloten de browserextensie op een deel van het universiteitsnetwerk uit te rollen. Vervolgens werd het netwerkverkeer van de computers met Adblock Plus en van de computers zonder Adblock Plus gemeten, waarbij studenten die aan het onderzoek deelnamen instructies kregen om een aantal websites te bezoeken. De websites moesten voor een periode van 5 tot 15 minuten worden bezocht. Vervolgens werd de hoeveelheid verbruikt dataverkeer in kaart gebracht. Door het gebruik van Adblock Plus werd 25% tot 40% aan dataverkeer bespaard. Daarnaast helpt het ook om computers tegen besmette advertenties te beschermen en zou het voorkomen dat studenten en werknemers worden afgeleid. "We gingen er altijd al vanuit dat Adblock Plus je netwerk sneller maakt, en nu hebben we het bewijs dat dit het geval is", zegt ABP-ontwikkelaar Ben Williams. De versie van Adblock Plus voor Google Chrome beschikt inmiddels al over een feature om een grootschalige uitrol te vereenvoudigen. bron: security.nl

Toolbars en andere ongewenste browserextensies zijn nog altijd een groot probleem voor internetgebruikers, zo blijkt uit cijfers van anti-virusbedrijf Avast. De virusbestrijder verwijderde de afgelopen twee jaar 650 miljoen toolbars en ongewenste add-ons van computers. In totaal ging het om meer dan 60 miljoen verschillende toolbars en browserextensies, die vaak met andere software worden gebundeld. De toolbars wijzigen zoekmachines, veranderen de startpagina en plaatsen zichzelf in de gebruikersinterface van de browser. Volgens Avast CEO Vince Steckler is er zelfs sprake van het "tijdperk van ongewenste add-ons". Hoewel de toolbars niet per definitie kwaadaardig zijn, kunnen ze allerlei browserinstellingen wijzigen en zijn ze vaak lastig te verwijderen. Steeds meer anti-virusbedrijven en ook Google, Mozilla en Microsoft hebben daarom besloten dit soort ongewenste software harder aan te pakken. Zo liet virusbestrijder Avira in maart weten dat het een maand eerder 22 miljoen toolbars, extensies en andere potentieel ongewenste software van systemen had verwijderd. bron: security.nl

Het Duitse anti-virusbedrijf Avira heeft een eigen internetbrowser onthuld die veiligheid centraal stelt. Het gaat om een browser die op Chromium is gebaseerd, de opensourcebrowser die ook de basis voor Google Chrome vormt. Volgens Avira heeft het dankzij de ontwikkeling van een eigen browser meer opties om het systeem te beveiligen dan via add-ons en extensies mogelijk zou zijn. "Hoewel browserontwikkelaars een "one-size-fits-all" oplossing moeten maken, kunnen wij ons richten op een doelgroep die veel securitybewuster is", zegt Avira's Thorsten Sick. Zo zal de brower over een systeem beschikken met een "autopiloot", die op basis van de beslissingen van gebruikers en de backend database van Avira zelf beveiligingsbeslissingen zal nemen. Het gaat dan waarschijnlijk om het blokkeren van scripts, zoals met de Firefox NoScript-extensie ook mogelijk is. Gevorderde gebruikers kunnen de autopiloot "overrulen" en zo de controle houden. Daarnaast is het ook mogelijk om aanvullende extensies te installeren. Vooralsnog is de browser nog in ontwikkeling. Er is een betaversie beschikbaar voor Ubuntu, Mac en Windows. bron: security.nl

Een spoofing-lek in Google Chrome maakt het mogelijk voor een kwaadaardige website om de adresbalk te vervalsen, waarbij de browser ook een geldig SSL-certificaat laat zien. De aanval werd afgelopen dinsdag op de Full-disclosure mailinglist door onderzoeker David Leo geopenbaard. Vervolgens werd de demonstratie van Leo aangepast door Mustafa Al-Bassam, waarbij de HTTPS-versie van Facebook werd gespooft. Het beveiligingsbedrijf waarvoor Leo werkt rapporteerde het probleem aan Google, maar de internetgigant liet weten de kwetsbaarheid niet te zullen verhelpen, omdat er eigenlijk sprake van een Denial of Service is, ook al crasht de browser niet. De impact van het spoofing-lek is daarnaast beperkt, aangezien gebruikers niets in de gespoofte pop-up of pagina kunnen doen. Een directe phishingaanval via deze kwetsbaarheid is dan ook niet mogelijk, merkt Al-Bassam op. Lezers van Hacker News melden dat het spoofingprobleem deels ook bij Firefox aanwezig is, alleen daar de browser wel crasht. bron: security.nl

Het trager worden van de computer na installatie van een virusscanner of internet security suite is de grootste ergernis van gebruikers als het om beveiligingssoftware gaat. Reden voor sommige gebruikers om de virusscanner al dan niet tijdelijk uit te schakelen, wat weer risico's met zich meebrengt. Het Oostenrijkse testlab AV-Comparatives kijkt daarom naast de effectiviteit van anti-virussoftware bij het vinden en verwijderen van malware regelmatig ook naar de systeembelasting. Via een aparte test wordt de systeembelasting van een groot aantal beveiligingsproducten berekend. De test werd uitgevoerd op een 64-bit versie van Windows 8.1 en bestond uit twee onderdelen. Tijdens het eerste onderdeel werd de impact van de beveiligingssoftware getest tijdens het kopiëren van bestanden, archiveren en uitpakken, encoderen en transcoderen, installeren en verwijderen van programma's, downloaden en starten van applicaties. Hierbij kon een maximale score van 175 punten worden gehaald. Als laatste werd ook nog het benchmarkprogramma PC Mark 8 gedraaid. Als basis werd een computer zonder virusscanner genomen die 100 punten bij PC Mark 8 scoort. Zowel bij het eerste onderdeel als de test met PC Mark 8 zet Avast de beste prestaties neer, op de voet gevolgd door Emsisoft. Hierbij berekent AV-Comparatives ook een impactscore. In het geval van Avast en Emsisoft is die respectievelijk 4,1 en 4,2. Van de bekende anti-virusbedrijven blijkt dat Trend Micro de grootste impact heeft, met een impact score van 20,3. De producten van QuickHeal en ThreatTrack hebben met een impactscore van 25,3 de grootste invloed op de werking van een computer. Computerkennis Hoewel gebruikers vaak de virusscanner de schuld van een trage computer geven, is dat niet altijd het geval, aldus AV-Comparatives. Oude hardware is vaak ook een reden. Gebruikers krijgen dan ook het advies om meer geheugen te installeren, alle software up-to-date te houden, ongebruikte software te verwijderen, 20% van de harde schijf vrij te houden en programma's uit de Start-up map in Windows te verwijderen. Ook wordt het advies gegeven om regelmatig de harde schijf te defragmenteren en als de computer volstaat met ongebruikte bestanden en registervermeldingen van allerlei geïnstalleerde en verwijdere software een volledige herinstallatie te doen. Als laatste kan ook een beetje geduld geen kwaad merkt het testlab op. "Een vertraging van een paar seconden vanwege beveiligingssoftware is niet per definitie een groot probleem." bron: security.nl

Kwetsbare versies van Adobe Flash Player zijn inmiddels een populair doelwit voor cybercriminelen om computers met malware te infecteren. Reden voor de Kovter-malware om na de infectie van een computer de aanwezige Flash Player te updaten, zodat andere malware het systeem niet meer kan infecteren. Kovter kan computers gebruiken voor het plegen van advertentiefraude (clickfraude) of installeert ransomware. De malware kan zich via allerlei manieren verspreiden, zoals besmette advertenties die van ongepatchte Flash Player-lekken gebruik maken, maar kan ook op computers worden geïnstalleerd die al onderdeel van een botnet zijn. Beveiligingsonderzoeker Kafeine van het blog Malware Don't Need Coffee ontdekte de nieuwe werkwijze van de malware. Het systeem dat de onderzoeker gebruikt voor het vinden van exploits besloot opeens Flash Player te downloaden, terwijl dat niet de bedoeling was. Het systeem moet namelijk kwetsbaar blijven, merkt Kafeine op. Verder onderzoek wees uit dat het de Kovter-malware was die de Flash Player-update had gedownload en geïnstalleerd. Het is niet de eerste keer dat malware maatregelen neemt om infectie door andere malware te voorkomen. De betabot beschikte bijvoorbeeld over een optie om aanvallen via Java en Adobe Reader te voorkomen. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht, waarin 22 beveiligingslekken zijn verholpen, waaronder de Logjam-aanval. Daarnaast worden voortaan downloads van Mac- en Linux-gebruikers op malware gecontroleerd. Van de 22 kwetsbaarheden zijn er 13 als "kritiek" aangemeld, wat inhoudt dat een aanvaller een computer volledig kan overnemen als er met een kwetsbare Firefox-versie een gehackte of kwaadaardige website wordt bezocht. Dat blijkt uit de release notes van Firefox 39. Hoewel Mozilla zelf 13 kwetsbaarheden aangeeft, blijkt dat de updates soms meerdere lekken verhelpen. Door naar het aantal CVE-nummers te kijken kan het werkelijke aantal opgeloste kwetsbaarheden worden geteld. Eén van de updates is voor de Logjam-aanval. Via de Logjam-aanval kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden. Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen of aanpassen. In de library die Firefox voor encryptie-toepassingen gebruikt is dit nu verholpen door geen Diffie-Helman priemgetallen kleiner dan 1024 te accepteren. Een oplossing die de onderzoekers die het probleem ontdekten ook adviseren. Een ander probleem raakte alleen Mac-gebruikers. Crashrapportages van de OS X-versie bleken soms persoonlijke informatie te bevatten. In de rapportages werd de toets meegestuurd die de crash veroorzaakte, maar soms werden er ook toetsaanslagen meegestuurd. Ook een probleem in de ingebouwde PDF-lezer van Firefox is verholpen. Via de kwetsbaarheid kon willekeurige code worden uitgevoerd. DownloadcontroleEen nieuwe feature in Firefox 39 is het gebruik van de Safe Browsingtechnologie van Google om alle gedownloade bestanden op malware te controleren. Zodra de gebruiker een applicatiebestand downloadt wordt eerst de digitale handtekening gecontroleerd. Is het bestand gesigneerd, dan vergelijkt Firefox de handtekening met een lijst van bekende, veilige uitgevers. Aan de hand van de lijst kan worden bepaald of een bestand veilig is of malware. In het geval het bestand niet kan worden geïdentificeerd kan Firefox de Google Safebrowsingdienst vragen of de software veilig is. Hiervoor wordt metadata van de download naar Google gestuurd. De maatregel staat ingeschakeld voor Mac OS X en Linux. Updaten naar Firefox 39 kan via de browser of Mozilla.org. ThunderbirdVeel van dezelfde problemen waar Firefox mee te maken heeft zijn ook in Thunderbird aanwezig. Mozilla heeft daarom Thunderbird 38.1 aangekondigd. Deze versie is echter nog niet te downloaden. De planning was om deze versie aan het einde van deze week te lanceren, maar Thunderbird 38.1 is nog altijd niet verschenen. Dat houdt in dat gebruikers van de e-mailclient in potentie risico lopen, omdat informatie over de beveiligingslekken al wel bekend is gemaakt. Op het moment van schrijven is Thunderbird 38.0.1 de meest recente versie. bron: security.nl

Cybercriminelen zijn een nieuwe campagne begonnen waarbij ze websites van ministeries en energiebedrijven nabouwen om vervolgens via Google Drive en Yandex Disk ransomware te verspreiden. Het gaat om een campagne van de TorrentLocker-ransomware, die zich volgens het Japanse anti-virusbedrijf Trend Micro vooral op Britse internetgebruikers richt. De aanval begint met een e-mail die van British Gas, het ministerie van Binnenlandse Zaken of het ministerie van Justitie afkomstig lijkt. In tegenstelling tot veel andere ransomware-aanvallen bevat de e-mail geen bijlage, maar een link die naar een overtuigende website wijst. Deze website lijkt een kopie van de originele website van het energiebedrijf of ministerie en stelt dat de gebruiker een captcha moet invoeren, bijvoorbeeld om zijn energierekening te bekijken. De captcha wordt volgens de onderzoekers waarschijnlijk gebruikt om automatische analyse door anti-virusbedrijven en onderzoekers te voorkomen. Zodra de captcha is ingevuld wordt er er een zip-bestand gedownload. Werden deze zip-bestanden voorheen bij opslagdiensten als Sendspace, Mediafire en Copy.com opgeslagen, nu gebruiken de cybercriminelen Yandex Disk en Google Drive. Voor het hosten van de afbeeldingen die in de e-mails worden gebruikt maken de criminelen gebruik van gehackte websites. Trend Micro ontdekte in totaal zo'n 800 gehackte domeinen waar de gebruikte afbeeldingen werden opgeslagen of die als redirect voor de link in de e-mails fungeerden. TorrentLocker was vorig jaar ook in Nederland actief en verspreidde zich via e-mails die van Intrum Justitia en PostNL afkomstig leken. Eenmaal actief op een computer versleutelt de ransomware allerlei bestanden voor losgeld. bron: security.nl

Aangezien er geen reactie meer is gekomen ga ik er van uit dat het antwoord je voldoende geholpen heeft. Hierbij sluit ik dit topic.

Aangezien er geen reactie meer is gekomen ga ik er van uit dat de info voldoende is geweest en sluit ik dit topic. Je kunt altijd reageren door het topic te heropenen of dit via een PM even een heropening te vragen.