Captain Kirk

De op Tor-gebaseerde e-maildienst SIGAINT heeft gebruikers gewaarschuwd dat het een doelwit van vermoedelijk een inlichtingendienst is geworden, waarbij er in totaal 70 kwaadaardige servers werden ingezet. Ook zou de aanvallende partij de afgelopen maanden verschillende aanvallen tegen de infrastructuur van de dienst hebben uitgevoerd. Volgens de beheerders van SIGAINT zouden de aanvallen echter zijn mislukt. SIGAINT is alleen via het Tor-netwerk toegankelijk en moet journalisten en activisten tegen de grootschalige surveillance op internet beschermen. Op de website sigaint.org staat het adres van de Tor-website waarop SIGAINT te vinden is. Volgens de beheerder heeft de vermeende inlichtingendienst geprobeerd om dit adres aan te passen, zodat ze Man-in-the-Middle-aanvallen op gebruikers konden uitvoeren en hen in real-time konden bespioneren. Waarschijnlijk zijn er dan ook enkele wachtwoorden gestolen, maar zou het de aanvallers hier niet om te doen zijn geweest. "We krijgen minder dan één gebruiker in de drie maanden die klaagt dat zijn of haar account is gekaapt", aldus de beheerder. SIGAINT zou in totaal 42.000 gebruikers hebben. Doordat de e-maildienst van het Tor-netwerk gebruik maakt is het afhankelijk van de servers in het netwerk. Het Tor-netwerk bestaat uit verschillende servers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server, die door vrijwilligers aan het Tor-netwerk wordt toegevoegd, wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. De aanvallers hadden in dit geval 70 van dit soort servers neergezet. Vanwege dit grote aantal vermoedt de beheerder van SIGAINT dat hij het doelwit van een inlichtingendienst is geweest. Hij laat op de Tor-mailinglist weten dat er voor de website sigaint.org een SSL-certificaat gebruikt kan worden om te voorkomen dat de inhoud, en ook het adres van de Tor-website, wordt aangepast. Een inlichtingendienst zou volgens hem ook hierom heen kunnen werken door de sleutel van een certificaatautoriteit uit het betreffende land te gebruiken. De kwaadaardige Tor-servers bleken niet alleen tegen SIGAINT te zijn ingezet, maar ook voor andere dubieuze zaken zijn te gebruikt. Alle 70 servers zijn inmiddels op een blacklist geplaatst. bron: security.nl

Voor eigenaren van een WordPress-sites is er deze week een belangrijke beveiligingsupdate uitgekomen die een kwetsbaarheid verhelpt waardoor een aanvaller de website volledig kan overnemen. Volgens de ontwikkelaars van WordPress gaat het om een kritieke cross-site scriptingkwetsbaarheid waarmee anonieme gebruikers de website kunnen compromitteren. Het lek, dat door de Belgische beveiligingsonderzoeker Cedric van Bockhaven werd ontdekt, is aanwezig in WordPress 4.1.1 en ouder. Naast deze kwetsbaarheid zijn ook drie andere lekken verholpen. De impact van deze lekken zijn echter minder ernstig van aard. De ontwikkelaars van WordPress melden in de aankondiging van de update dat er deze week ook voor verschillende plug-ins beveiligingsupdates zijn uitgebracht. "Hou alles up-to-date om veilig te blijven", zegt Gary Pendergast van WordPress. Ongepatchte plug-ins en WordPress-installaties zijn namelijk een voorname reden waardoor aanvallers websites weten te kapen. Zo bleek eind maart dat duizenden WordPress-websites waren gehackt via een lek in een populaire plug-in waar al geruime tijd een update voor beschikbaar is. De gehackte sites werden vervolgens gebruikt voor de verspreiding van malware. Vanwege de ernst van de nu gepatchte kwetsbaarheid heeft ook het Readiness Team van de Amerikaanse overheid (US-CERT) een waarschuwing afgegeven en adviseert beheerders om naar WordPress 4.1.2 te upgraden. bron: security.nl

Het Tsjechische anti-virusbedrijf AVG heeft een extensie voor Google Chrome ontwikkeld die naar eigen zeggen gebruikers zonder surveillance het internet laat gebruiken. Wat de Crumbe-extensie in werkelijkheid doet is het blokkeren van trackers en cookies die met name adverteerders achterlaten. Dit wordt op zo'n manier gedaan dat het de functionaliteit van websites niet breekt, aldus AVG. In tegenstelling tot andere extensies die gebruikers tegen trackers beschermen maakt Crumble geen gebruik van een blacklist, maar worden de cookies zelf via een algoritme geanalyseerd. Dit zou ervoor moeten zorgen dat nieuwe trackers meteen kunnen worden geblokkeerd zodra ze verschijnen, zonder dat de blacklist eerst moet worden bijgewerkt. Daarnaast vindt er geen onderscheid in de geblokkeerde trackers plaats. Door cookies te blokkeren wordt volgens AVG voorkomen dat adverteerders en trackers internetgebruikers kunnen volgen. Experts hebben echter regelmatig aangetoond dat voor het volgen van internetgebruikers cookies niet zijn vereist. Wel geeft Crumble gebruikers inzicht in de trackers die op een website actief zijn, aangezien de extensie die weergeeft. Crumble bevindt zich nog in de bètafase en is via de Chrome Store te downloaden. bron: security.nl

Net als met de testversie van Internet Explorer 11 is Microsoft ook een beloningsprogramma gestart voor de testversie van de nieuwe browser met de codenaam "Project Spartan", waarbij hackers en onderzoekers worden beloond voor het melden van beveiligingslekken. Het beloningsbedrag varieert van 500 tot 15.000 dollar, hoewel Microsoft stelt dat het de beloning ook kan verhogen afhankelijk van de gevonden kwetsbaarheid en de kwaliteit van de bugmelding. Het programma loopt van 22 april tot en met 22 juni. Op deze manier hoopt Microsoft onderzoekers aan te sporen om lekken in Project Spartan te vinden en te melden voordat de uiteindelijke versie deze zomer verschijnt. Bij IE11 zorgde het beloningsprogramma ervoor dat er meer bugs werden aangemeld dan met de testversie van IE10 het geval was. Naast het beloningsprogramma voor Project Spartan heeft Microsoft ook het "Online Services Bug Bounty Program" uitgebreid. Zo worden kwetsbaarheden in Azure en Sway.com voortaan beloond, waarbij de maximale beloning naar 15.000 dollar is verhoogd. Ook hier kan de beloning hoger uitvallen afhankelijk van de inzending. De hoogste beloningen deelt Microsoft uit voor aanvallen om beveiligingsmethodes in Windows 8.1 en Server 2012 R2 te omzeilen. Hiermee kunnen onderzoekers 100.000 dollar verdienen. Ook dit programma is iets aangepast, waarbij ook "Hyper-V escapes" nu in aanmerking voor een beloning komen. Volgens Microsofts Jason Shirk spelen "bug bounties", zoals de beloningen worden genoemd, een steeds grotere rol bij het vinden van kwetsbaarheden en veiliger maken van software. bron: security.nl

Naast het vaste patchmoment op de tweede dinsdag van elke maand, ook wel patchdinsdag genoemd, publiceert Microsoft ook nog regelmatig optionele Windows-updates die niet security-gerelateerd zijn. Deze optionele patchronde krijgt normaal niet zoveel aandacht, maar dat is deze maand anders. Microsoft heeft namelijk 34 optionele updates voor allerlei zaken uitgebracht. Zo is er ondersteuning voor het kopiëren van mkv-bestanden van een Windowscomputer naar een Windows Phone, is er een fix voor het maken van back-ups op Bluray-schijfjes, is een fout met het aansluiten van twee USB-apparaten verholpen en heeft Microsoft het Secure Channel voor Windows 8.1, RT 8.1 en Server 2012 R2 verbeterd. Ook behoort een foutmelding die ontstond bij het starten van een computer uit slaapmodus verholpen. Alle updates, waarvan de meeste voor Windows 8.1 zijn, zijn via Windows Update te downloaden. bron: security.nl

Een omvangrijke aanval op gebruikers van Adobe Flash Player bleef twee maanden lang verborgen voordat die door beveiligingsonderzoekers werd ontdekt. Voor de aanval maakten de aanvallers gebruik van een onbekende kwetsbaarheid in Flash Player waarvoor Adobe op 4 februari van dit jaar met een update kwam. Anti-virusbedrijf Malwarebytes stelt echter dat het lek al sinds 10 december 2014 werd aangevallen. In tegenstelling tot veel zero days, kwetsbaarheden waarvoor een update ontbreekt, ging het hier niet om gerichte aanvallen tegen specifieke organisaties of instellingen. Er werden juist advertentienetwerken gebruikt om doorsnee internetgebruikers aan te vallen en met ransomware en clickfraude-malware te infecteren. Zodra er een besmette advertentie werd getoond kon de computer van een Flash Player-gebruiker met de malware besmet raken. Voor de verspreiding van de besmette advertenties gebruikten de aanvallers een advertentienetwerk dat naar eigen zeggen meer dan 500 miljoen gebruikers bereikt. Om te voorkomen dat de aanval zou opvallen kreeg elke bezoeker de besmette advertentie slechts één keer te zien en werden gebruikers met een VPN of proxy niet geïnfecteerd. Volgens Malwarebytes probeerden de aanvallers op deze manier de aanval voor beveiligingsonderzoekers en beveiligingssoftware te verbergen. Verder ontdekte de virusbestrijder dat de aanvallers gewoon voor de advertenties betaalden en er geen sprake van gehackte advertentienetwerken was. Er werd 0,75 dollarcent voor 1.000 impressies betaald, maar dit bedrag daalde naar 0,06 dollarcent op minder drukke momenten. De advertenties verschenen daarbij op verschillende populaire websites, zoals Dailymotion.com, Huffingtonpost.com, sexuality.about.com, dictionary.reference.com, answers.com, nydailynews.com, tagged.com, forums.androidcentral.com en howtogeek.com. Malwarebytes stelt dat, getuige de inzet van een zero-day en de uitvoering van de aanval, het hier om een professionele operatie ging. De aanvallen stopten uiteindelijk op 3 februari, een dag nadat Adobe een noodpatch voor het lek had aangekondigd. bron: security.nl

Tijdens de RSA Conferentie in San Francisco heeft Microsoft een nieuwe beveiligingsmaatregel voor Windows 10 aangekondigd die besmetting van computers en laptops door malware moet voorkomen. Met Device Guard, zoals de oplossing heet, kunnen organisaties systemen tegen zowel bekende als onbekende malware en Advanced Persistent Threats (APTs) beschermen, alsmede zero day-aanvallen. Via de beveiligingsmaatregel worden namelijk alleen programma's van specifieke leveranciers, de Windows Store of de eigen organisatie toegestaan. Alle andere software zal Windows 10 blokkeren. Bedrijven kunnen zelf bepalen welke aanbieders Device Guard vertrouwt. De oplossing wordt geleverd met software waarmee het mogelijk is om apps, die niet door de oorspronkelijke leverancier zijn gesigneerd, zelf te signeren, zodat ze toch kunnen worden gebruikt. Om te bepalen of een programma dat wordt uitgevoerd te vertrouwen is gebruikt Device Guard hardwaretechnologie en virtualisatie om die beslissing van de rest van Windows 10 te isoleren, wat bescherming moet bieden tegen aanvallers of malware die volledige systeemrechten hebben weten te krijgen. Volgens Microsoft biedt dit een groot voordeel ten opzichte van traditionele virusscanners en whitelisting-oplossingen zoals AppLocker, die kwetsbaar voor manipulatie door beheerders of malware zijn. Verschillende fabrikanten, waaronder Acer, Fujitsu, HP, Lenovo en Toshiba, hebben toegezegd het gebruik van Device Guard op hun apparatuur aan te ondersteunen. bron: security.nl

We zijn nu twee weken verder. Ik ga er vanuit dat het gelukt is en sluit dit onderwerp. Wil je toch nog reageren, stuur dan even een PM om dit topic te heropenen.

Ik ben bang dat hier toch de videokaart het begeven heeft. Opstarten in de safemodus, start de pc met minimale drivers. De officiële driver wordt dus niet gestart. Vandaar dat je dan wel beeld hebt. Was je een grafisch zwaar spel aan het spelen? Ik krijg namelijk het idee dat warmte hier je videokaart de das heeft omgedaan. Je zou nog even een ander beeldscherm kunnen proberen om uit te sluiten of het het beeldscherm zelf niet is.

Een nieuwe ransomware-variant die eind januari voor het eerst verscheen en de afgelopen maand steeds actiever werd blijkt een fout te maken waardoor slachtoffers zonder te betalen hun bestanden kunnen terughalen. Het gaat om de Threat Finder-ransomware, die zich verspreidt via kwetsbaarheden in Java, Adobe Flash Player en Microsoft Silverlight die niet door internetgebruikers zijn gepatcht. Zodra de ransomware actief is versleutelt die allerlei bestanden en vraagt hier 1,25 bitcoins voor, wat met de huidige wisselkoers 259 euro is. Een onderzoeker van Bleeping Computer ontdekte dat de ransomware de Shadow Volume Copies niet van de computer verwijdert, waardoor het mogelijk is om de bestanden via de "Previous options" van Windows kan herstellen, of via een tool als Shadow Explorer. bron: security.nl

Aanvallers hebben de afgelopen periode zero day-lekken in Adobe Flash Player en Windows gebruikt om bij organisaties in te breken. De kwetsbaarheid in Flash Player is inmiddels gepatcht, maar Microsoft werkt nog aan een update. Volgens beveiligingsbedrijf FireEye gaat het om gerichte aanvallen. Voor het uitvoeren van de aanval moet een doelwit een linkje van de aanvallers openen. Vervolgens wordt er een website geladen die het lek in Flash Player gebruikt om code uit te voeren. Via het Windowslek kunnen de aanvallers vervolgens hun rechten op de computer verhogen. Op het moment van de aanvallen waren beide kwetsbaarheden nog niet gepatcht. Hoewel Windows nog op een update wacht, zouden gebruikers die de meest recente beveiligingsupdate van Flash Player installeren geen risico meer lopen. De aanval op het Windowslek zou namelijk alleen in combinatie met het Flash Player-lek zijn waargenomen, aldus het Amerikaanse FireEye. In het geval de aanval succesvol is wordt er malware op het systeem geïnstalleerd die de aanvallers volledige toegang geeft. Wie erachter de aanval zit is onbekend, maar FireEye noemt het "waarschijnlijk" dat het een Russische spionagegroep is. bron: security.nl

Een beveiligingslek in Adobe Flash Player dat deze week werd gepatcht maakte het mogelijk voor websites om zonder toestemming van bezoekers de webcam en microfoon in te schakelen. Het probleem was aanwezig op alle systemen die Flash Player ondersteunt, zo meldt onderzoeker Jouko Pynnönen. Daarbij maakte het niet uit wat de bezoeker in het configuratiepaneel van Flash Player had ingeschakeld. Via dit paneel kan worden aangegeven dat websites de webcam niet mogen benaderen. Dit kon de aanval echter niet voorkomen. Details over de kwetsbaarheid wil Pynnönen nog niet vrijgeven, aangezien er een potentiële variant van het lek, dat mogelijk in de meest recente versie van Flash Player aanwezig is, wordt onderzocht. Via de kwetsbaarheid is het ook mogelijk om een ander lek aan te roepen, waardoor een aanvaller in het ergste geval de computer kon overnemen. Ook deze kwetsbaarheid werd afgelopen dinsdag verholpen. Ter demonstratie van de webcamaanval maakte de onderzoeker deze video. bron: security.nl

Adware is niet alleen vervelend doordat het overal advertenties laat zien, het vormt ook een serieus beveiligingsrisico. Daarvoor waarschuwt Google. De internetgigant wijst naar verschillende vormen van adware die in staat zijn om SSL-verbindingen te kapen, zoals met Superfish van Lenovo het geval was. De adware voert door het kapen van SSL-verbindingen eigenlijk een Man-in-the-Middle-aanval op gebruikers uit, waardoor er toegang tot persoonlijke informatie kan worden verkregen en de computer kwetsbaar is. In het geval van Superfish en Komodia konden aanvallers bijvoorbeeld phishingsites hosten die geen waarschuwing veroorzaakten en versleuteld verkeer ontsleutelen. Om dit soort risico's te voorkomen adviseert Google gebruikers om voorzichtig te zijn met het downloaden van software van internet. Wanneer er een beveiligde website wordt bezocht, bijvoorbeeld bij internetbankieren, moet er extra aandacht worden gegeven aan vreemde aanpassingen aan de website, zoals extra advertenties, coupons of onderzoeken. "Dit kan een aanwijzing zijn dat je computer met dit soort ongewenste software is geïnfecteerd", zegt Google software-engineer Eric Severance. bron: security.nl

Aanvallers zijn twee keer in korte tijd erin geslaagd om besmette advertenties via Google DoubleClick te verspreiden. De aanval die nu bekend is geworden werd uitgevoerd via een bedrijf genaamd Merchenta, dat een advertentieplatform aanbiedt en directe banden met Google DoubleClick heeft. Via dit platform zou het bedrijf alleen in de VS maandelijks 28 miljard advertentie-impressies leveren. De aanvallers deden zich in dit geval voor als een adverteerder en infiltreerden het platform via een derde partij, zo meldt anti-virusbedrijf Malwarebytes. Daarbij wisten ze de besmette advertentie op het advertentieplatform van Merchenta te krijgen, waarna het werd doorgestuurd naar de kanalen van Google DoubleClick. De besmette advertentie zou binnen minuten een 95% bereik in de VS, Europa en Groot-Brittannië hebben gehad, waarbij een groot aantal mensen risico liep, aldus Malwarebytes. De virusbestrijder merkt op dat DoubleClick niet direct verantwoordelijk is voor het laden van de besmette advertentie, maar dat het begint met de vertrouwensketen met de uitgever, die weinig controle heeft over de transacties die plaatsvinden. De advertentie in kwestie maakte gebruik van een bekende en al gepatchte kwetsbaarheid in Adobe Flash Player om computers met malware te infecteren. Op het moment van de aanval werd de exploit die van het lek misbruik maakte door geen enkele virusscanner herkend. Het ging om dezelfde exploit die onlangs werd gebruikt bij een andere aanvalscampagne, waarbij besmette advertenties onder andere op de website van de Huffington Post verschenen. Het account van de aanvallers werd volgens Merchenta op 10 april opgeheven. Twee dagen eerder waarschuwde het Delftse beveiligingsbedrijf Fox-IT voor een andere aanval die rond dezelfde tijd via DoubleClick plaatsvond. Hierbij werd echter een andere exploitkit gebruikt voor het infecteren van ongepatchte internetgebruikers. bron: security.nl

Gebruikers van Google Chrome op Windows XP zullen tot het einde van dit jaar beveiligingsupdates voor de browser blijven ontvangen, zo heeft Google aangekondigd. Microsoft stopte vorig jaar april de ondersteuning van Windows XP. Google liet destijds weten dat het Chrome in ieder geval tot april 2015 zou blijven ondersteunen. Volgens de internetgigant zouden het juist ongepatchte browserlekken zijn waardoor internetgebruikers werden aangevallen. Inmiddels wordt Windows XP al een jaar niet meer met beveiligingsupdates ondersteund en lopen gebruikers van het besturingssysteem vanwege allerlei ongepatchte kritieke lekken verhoogd risico op malware, wat het lastig voor Google Chrome maakt om een veilige internetomgeving te bieden. Google adviseert XP-gebruikers dan ook om te upgraden naar een besturingssysteem dat wel wordt ondersteund. Toch erkent de internetgigant dat het upgraden niet voor iedereen zo eenvoudig is en er dagelijks nog miljoenen mensen met Windows XP werken. "We willen dat die mensen de keuze hebben om een browser te gebruiken die up-to-date en zo veilig als mogelijk is op een niet meer ondersteund besturingssysteem", zegt Mark Larson, directeur Engineering Google Chrome. Daarom zal Google tot eind 2015 nog steeds regelmatig beveiligingsupdates voor Chrome op XP uitbrengen. bron: security.nl

De hoeveelheid adware waarmee doorsnee internetgebruikers te maken hebben heeft inmiddels zulke proporties aangenomen dat Mozilla geen andere mogelijkheden ziet dan de vrijheid van Firefoxgebruikers iets in te perken. Deze zomer zal Mozilla alleen nog de installatie van gesigneerde uitbreidingen toestaan. Eén van de sterke kanten van Firefox is de mogelijkheid om uitbreidingen te ondersteunen. Uitbreidingen die zowel via Mozilla's eigen website addons.mozilla.org (AMO) als andere kanalen kunnen worden verspreid. Dit geeft ontwikkelaars veel flexibiliteit en mogelijkheden, maar biedt ook rotte appels een kans. "Het is hartverscheurend dat er zoveel kwaadaardige ontwikkelaars in de wereld zijn die misbruik van anderen willen maken", zegt Daniel Veditz van Mozilla. Hij merkt op dat de manier waarop meer technische gebruikers het internet ervaren volledig verschilt van doorsnee gebruikers. Zo zijn er tientallen miljoenen mensen bij wie allerlei toolbars en extensies zijn geïnstalleerd zonder dat ze hier hun nadrukkelijke toestemming voor hebben gegeven. Bij het downloaden van software lopen deze gebruikers het risico op nieuwe toolbars en uitbreidingen, die vaak advertenties tonen, gebruikers volgen en content wijzigen. "Hun internetervaring wordt bepaald door deze third-party add-ons op manieren waarvoor ze niet hebben gekozen en waar de derde partij van profiteert en niet de gebruiker", laat Veditz weten. In de standaardversie van Firefox zullen daarom straks alleen nog gesigneerde extensies worden geaccepteerd. "We hebben dezelfde conclusie bereikt als soortgelijke ecosystemen dat er een scheidsrechter moet zijn die voor de belangen van de gebruiker opkomt", zo stelt de Mozilla-ontwikkelaar. Volgens Veditz kunnen gebruikers nog steeds hun eigen online ervaring via add-ons en extensies bepalen en voor veruit de meeste Firefoxgebruikers zal er niets veranderen. Wel zal de beslissing van Mozilla een extra belasting voor extensie-ontwikkelaars zijn. Veel ontwikkelaars vroegen Mozilla dan ook waarom deze vereiste niet via opties of instellingen kan worden geregeld. Veditz stelt dat het onmogelijk is om die beslissing op te slaan op een plek waar de adware niet bij kan komen. bron: security.nl

Een beveiligingslek in Windows dat afgelopen dinsdag door Microsoft werd gepatcht vormt een risico voor 70 miljoen websites, zo claimt internetbedrijf Netcraft. Het gaat om een kwetsbaarheid in Microsoft's HTTP-protocol stack, ook bekend als HTTP.sys. Door het versturen van een speciaal HTTP-verzoek kan een aanvaller kwetsbare Windowscomputers overnemen. Het gaat dan met name om webservers die op Windows draaien. Vanwege de impact van het lek besloot onderzoeker Robert Graham een scan naar het aantal kwetsbare machines uit te voeren. De scan gaf geen duidelijk beeld, aangezien servers die kwetsbaar zijn als niet kwetsbaar werden aangemerkt. Uit eigen onderzoek van Netcraft blijkt dat meer dan 70 miljoen websites risico lopen, waaronder Microsoft IIS-server die zich achter niet-Windows loadbalancers bevinden. "Het totale aantal servers dat bij de hosting van deze websites betrokken is bedraagt zo'n 900.000, wat meer dan een zesde is van alle computers die via het web toegankelijk zijn", zegt Paul Mutton van Netcraft. Hij roept systeembeheerders dan ook op om de update zo snel als mogelijk te installeren. bron: security.nl

De populaire online opslagdienst Dropbox gaat hackers en onderzoekers voortaan voor het melden van bugs betalen. In een blogposting stelt Devdatta Akhawe van Dropbox dat de opslagdienst zelf allerlei experts inschakelt om beveiligingsproblemen te vinden, maar dat het ook alle hulp van beveiligingsonderzoekers kan gebruiken. Het uitkeren van bugbeloningen is daarbij een belangrijke prikkel, stelt Akhawe. Dropbox heeft in het verleden ook allerlei bugmeldingen ontvangen en zal al deze onderzoekers met terugwerkende kracht belonen. Het gaat hier om een bedrag van in totaal 10.475 dollar. Het beloningsprogramma van Dropbox wordt georganiseerd via HackerOne, een initiatief dat bedrijven de mogelijkheid biedt om zogeheten "bug bounty" programma's te starten. Goedgekeurde bugmeldingen kunnen op een minimale vergoeding van 216 dollar rekenen, een maximum bedrag is niet vastgesteld. De hoogste beloning die Dropbox tot nu toe heeft uitgekeerd bedraagt bijna 5.000 dollar. Volgens Akhawe laat het aanbieden van een beloningsprogramma zien hoe toegewijd Dropbox aan privacy en veiligheid is. Sinds de lancering van het programma zijn er al 27 bugs gemeld en 26 hackers bedankt. bron: security.nl

Microsoft Security Essentials is tijdens een test van het Oostenrijkse testorgaan AV-Comparatives weer als laatste geëindigd als het gaat om de detectie van malware. De gratis virusscanner won wel het "false positives" onderdeel, zo blijkt uit het testrapport waarbij 22 verschillende pakketten werden vergeleken. De anti-virusprogramma's en internet security suites werden met ruim 13.000 malware-exemplaren getest. Microsoft miste 13,7% van de exemplaren, veel meer dan de andere virusscanners. Zo volgt op afstand Trend Micro, dat 4,9% van de exemplaren niet detecteerde. Als beste komen Avira en Kaspersky Lab uit de bus, die slechts 0,1% van de malware niet herkenden. Bij soortgelijke tests vorig jaar eindige Security Essentials bij de detectie van malware ook meerdere malen onderaan. Tijdens het tweede onderdeel van de test werden de pakketten beoordeeld op "false positives", het onterecht beschouwen van schone programma's als zijnde malware. Security Essentials weet hierbij bovenaan te eindigen en slaat geen één keer vals alarm. Avast en Baidu eindigen met respectievelijk 77 en 94 false positives onderaan. Aan de hand van beide tests geeft AV-Comparatives Kaspersky Lab, Bitdefender, McAfee en Fortinet de hoogste beoordeling. bron: security.nl

Het gebruik van macro's in Word-documenten blijkt een succesvolle tactiek voor cybercriminelen te zijn, aangezien er deze week een grootschalige aanval werd waargenomen waarbij de aanvalsmethode werd toegepast. Volgens anti-virusbedrijf Symantec wordt de piek in aantal detecties van kwaadaardige macro's veroorzaakt door verschillende ransomware-campagnes die hier gebruik van maken. Het ging onder andere om e-mails die van het Franse ministerie van Justitie leken te komen. Als bijlage was er een Word-document meegestuurd dat indien geopend een macro probeerde uit te voeren. Als gebruikers toestemming gaven downloadde de macro ransomware op de computer. Om gebruikers over te halen de macro's uit te voeren wordt er soms in het document onleesbare tekst weergegeven en een melding dat macro's moeten worden ingeschakeld om het document goed weer te geven. De afgelopen maanden zag Symantec dagelijks 10.000 tot 20.000 kwaadaardige macro's voorbijkomen, maar de afgelopen week waren het er meer dan 50.000. Het gebruik van macro's om ransomware te verspreiden is niet nieuw. Vorig jaar werd deze tactiek in Nederland nog door de TorrentLocker-ransomware toegepast, die zich onder andere als valse e-mails van Intrum Justitia voordeed. Macrovirussen bestaan sinds het midden van de jaren ’90 en een bekend voorbeeld is het Melissa-virus, dat zich via een Word-document wist te verspreiden. Microsoft wijzigde hierop de standaardinstellingen van Office, zodat macro's standaard niet meer worden toegestaan. Daardoor verdween deze vorm van malware van het toneel, maar is nu weer met een opmars bezig. Volgens Symantec is het nieuwe succes van macro's te verklaren doordat er een grote groep internetgebruikers is die niet met het risico bekend is. bron: security.nl

De makers van Tor Browser, de op Firefox-gebaseerde browser waarmee gebruikers eenvoudig met het Tor-netwerk verbinding kunnen maken, hebben een noodpatch uitgebracht wegens een updateprobleem. De automatische updater van Tor Browser 4.0.7 dacht dat het eigenlijk versie 4.0.6 was. Dit zorgde ervoor dat versie 4.0.7 zich bleef updaten omdat er steeds een nieuwe versie beschikbaar bleek te zijn. Het probleem werd volgens de Tor-ontwikkelaars veroorzaakt doordat versie 4.0.7 wegens een Tor-beveiligingsupdate snel moest worden opgeleverd. Vanwege de updateloop werd besloten Tor Browser 4.0.7 terug te trekken. De ontwikkelaars melden nu de beschikbaarheid van Tor Browser 4.0.8 waarin het probleem is opgelost. bron: security.nl

De software van technologiefabrikant LG om beeldschermen in splitscreenmodus weer te geven schakelt de UAC-beveiliging van Windows uit, zo beweert een beveiligingsonderzoeker. UAC staat voor User Account Control en moet volgens Microsoft de computer tegen "hackers en kwaadaardige software" beschermen. Als software of een gebruiker bepaalde Windowsinstellingen wil wijzigen of acties probeert uit te voeren verschijnt er een waarschuwing. Pas als de gebruiker hiervoor toestemming geeft wordt de actie ook uitgevoerd. Onderzoeker Christopher Bachner ontdekte dat na de installatie van de LG-splitscreensoftware de UAC-functionaliteit op zijn computer opeens was uitgeschakeld. Waarschijnlijk heeft de fabrikant dit gedaan om de eigen software met volledige rechten te laten draaien, zo merkt hij op. De enige oplossing is om de software weer te verwijderen en UAC in te schakelen. Op Reddit laat Bachner weten dat LG de aantijgingen ontkent. bron: security.nl

Een populaire extensie voor Google Chrome heeft het surfgedrag van 1,2 miljoen gebruikers verzameld om te kunnen doorverkopen aan derde partijen, zonder dat er in eerste instantie alarmbellen bij Google afgingen. De Webpage Screenshot-extensie liet gebruikers eenvoudig screenshots van websites maken en had met een score van 4,5 sterren op een schaal van 5 een goede beoordeling. Het spyware-onderdeel van de extensie werd pas een week na de installatie in Chrome actief. "Klaarblijkelijk is er een grote kwetsbaarheid in de manier waarop de code van elke Chrome-extensie wordt gecontroleerd, wat ons doet afvragen hoeveel extensies er nog meer zijn die spyware verbergen", waarschuwt het Deense beveiligingsbedrijf CSIS. Uit onderzoek van de IT-beveiliger zou blijken dat de spyware ook bij grote Zweedse bedrijven is aangetroffen. Doordat de spyware-code een week na de installatie werd gedownload zou de controle van Google worden omzeild. Eenmaal actief stuurde de extensie het surfgedrag van gebruikers door naar een server met een Amerikaans IP-adres. Inmiddels heeft Google de extensie uit de Chrome Store verwijderd. Volgens CSIS laat het incident echter zien dat de beveiliging moet worden aangescherpt, aangezien deze extensie al door meer dan 1,2 miljoen gebruikers was geïnstalleerd voordat er actie werd ondernomen. bron: security.nl

De makers van de Anonabox Tor-privacyrouter hebben honderden klanten gevraagd de mini-router vanwege beveiligingsproblemen terug te sturen. Beveiligingsonderzoeker Lars Boegild Thomsen analyseerde de router en ontdekte verschillende problemen waardoor gebruikers konden worden aangevallen. Anonabox, waarvan de makers het "anonimiteit in een doosje" noemen, laat gebruikers via het Tor-netwerk verbinding maken. Daardoor is het eenvoudig om het werkelijke IP-adres af te schermen en bijvoorbeeld Tor-websites te bezoeken. De privacyrouter werd vorig jaar via Kickstarter aangeboden, maar de inzamelingsactie voor Anonabox werd gestaakt nadat er kant-en-klare hardware voor de router werd gebruikt. Iets wat tegen de regels van Kickstarter is. Uiteindelijk werd er een tweede crowdfundingcampagne gelanceerd en volgde er zelfs een overname door een groter techbedrijf. Dit resulteerde in de eerste zending van de Anonabox onder geldschieters. Begin deze maand volgde zelfs de internationale uitrol. Eind maart werden de eerste klanten echter opgeroepen de privacyrouter terug te sturen, zodat die voor een veiliger exemplaar kon worden vervangen. Thomsen had ontdekt dat het wifi-netwerk dat de router gebruikt geen enkele vorm van encryptie toepast. Iedereen in de buurt kon verbinding met de router maken. Verder bleek dat het zwakke rootwachtwoord (admin) van de Anonabox "hardcoded" was. Een aanvaller in de buurt kon hierdoor via de webinterface het apparaat volledig overnemen en bijvoorbeeld een sniffer installeren om webverkeer te onderscheppen. Anonabox laat tegenover Wired weten dat het pas 350 routers had geleverd toen de problemen werden ontdekt, waarvan er nu 137 zijn vervangen. In nieuwere versies zijn de problemen opgelost en wordt WPA2-encryptie met een wachtwoord van 24 karakters gebruikt. bron: security.nl

Sinds een aantal maanden is er een nieuw ransomware-exemplaar actief genaamd TorLocker, maar door een fout van de maker blijkt dat bestanden in meer dan 70% van de gevallen gratis zijn te ontsleutelen. TorLocker, ook wel "Scraper" genoemd, werd voor het eerst eind oktober vorig jaar ontdekt. Net als andere vormen van crypto-ransomware versleutelt TorLocker allerlei bestanden op de computer en aangesloten netwerkschijven voor losgeld. Hierbij houdt de ransomware rekening met bestanden die groter en kleiner zijn dan 512MB. Is een bestand groter dan 512MB, dan wordt alleen de eerste 512MB van het bestand versleuteld. Ook worden alle systeemherstelpunten verwijderd en stelt de ransomware een achtergrond in met instructies hoe de bestanden zijn te ontsleutelen. Hiervoor moet het slachtoffer een bedrag van 300 dollar of meer in bitcoins betalen. Voor het versleutelen maakt TorLocker gebruik van AES- en RSA-encryptie. Door een fout in de implementatie is de versleuteling in meer dan 70% van de gevallen ongedaan te maken zonder dat slachtoffers hiervoor moeten betalen, zo stelt het Russische anti-virusbedrijf Kaspersky Lab. De virusbestrijder ontwikkelde een gratis tool waarmee gebruikers kosteloos het grootste deel van hun versleutelde bestanden kunnen ontsleutelen. Vorig jaar werden ook verschillende ransomware-varianten ontdekt die door een programmeerfout gratis waren te ontsleutelen. bron: security.nl