Captain Kirk

Onderzoekers hebben voor het eerst een ransomware-variant ontdekt die gelijktijdig spyware installeert om allerlei wachtwoorden van het systeem te stelen. Volgens het Japanse anti-virusbedrijf Trend Micro is het de eerste keer dat ransomware met spyware is gebundeld. De infectiemethode van "Cryptowall 3.0" is echter gelijk aan eerdere varianten en andere vormen van crypto-ransomware. Gebruikers ontvangen een e-mail met een zipbijlage, die zogenaamd een C.V. zou bevatten. In werkelijkheid gaat het om een JavaScriptbestand. Zodra de gebruiker dit bestand opent worden er twee "JPG-bestanden" gedownload. De extensie is echter alleen bedoeld om beveiligingssystemen te omzeilen. Zodra de bestanden zijn gedownload worden die door het JavaScript uitgevoerd. Het gaat om een variant van Cryptowall en de Fareit-spyware. Cryptowall versleutelt allerlei gegevens op de computer en vraagt vervolgens een bedrag van 500 euro om die te ontsleutelen. Wordt er niet op tijd betaald, dan moet de gebruiker 1.000 euro betalen. Terwijl de gebruiker hierdoor is afgeleid, steelt Fareit allerlei wachtwoorden uit FTP-programma's, browsers, e-mailclients en bitcoinportemonnees, aldus analist Anthony Joe Melgarejo. Hij stelt dat er verschillende redenen kunnen zijn waarom de spyware met de ransomware wordt gebundeld, bijvoorbeeld omdat mensen weigeren het losgeld te betalen en daardoor het stelen van wachtwoorden een 'back-upplan' is. Zelfs als de gebruiker weigert te betalen zouden de cybercriminelen, bijvoorbeeld via de wachtwoorden van de bitcoinportemonnees, toch geld kunnen stelen. Om infecties met deze en andere soorten ransomware te voorkomen krijgen gebruikers het advies om geen bijlagen van onbekende afzenders te openen. "Sterker nog, ze zouden e-mail van onbekende afzenders moeten negeren of verwijderen", aldus Melgarejo. bron: security.nl

Zoals eerder deze week werd aangekondigd zijn er vandaag updates voor OpenSSL uitgekomen die meerdere lekken verhelpen. In totaal gaat het om 14 kwetsbaarheden waarvan er twee als "high" zijn bestempeld. Dit is het hoogste niveau voor beveiligingslekken dat OpenSSL hanteert. Het eerste high-lek is alleen aanwezig in versie 1.0.2 en maakt het mogelijk om een Denial of Service tegen een server uit te voeren. Het tweede high-lek was oorspronkelijk als "low" bestempeld, de laagste categorie die OpenSSL hanteert. Eén van de OpenSSL-ontwikkelaars had eerder ook aangegeven dat er maar één high-lek zou zijn, die zich in versie 1.0.2 bevond. Toch werd er besloten het low-lek als high te bestempelen. Het gaat om het "FREAK-lek" dat eerder door onderzoekers werd onthuld. Via het lek kan een aanvaller die zich tussen een doelwit en het internet bevindt in bepaalde gevallen de encryptie van de versleutelde verbinding naar een zwakke encryptie downgraden, om die vervolgens te kraken en het versleutelde verkeer te bekijken. Volgens de OpenSSL-ontwikkelaars werd er in eerste instantie aangenomen dat het probleem kleinschalig zou zijn en het bij veel servers niet mogelijk was om naar de zwakke encryptie te downgraden. Verder onderzoek liet echter zien dat nog een aanzienlijk aantal servers de zwakke encryptie ondersteunt. De overige kwetsbaarheden die vandaag zijn gepatcht maakten het voornamelijk mogelijk om Denial of Service-aanvallen tegen servers uit te voeren. Beheerders krijgen het advies om, afhankelijk van welke versie is geïnstalleerd, te upgraden naar versie 1.0.2a, 1.0.1m, 1.0.0r of 0.9.8zf. bron: security.nl

Het Britse anti-virusbedrijf Sophos vindt het oké als slachtoffers van ransomware betalen om hun versleutelde gegevens te betalen, hoewel het beter is om dit niet te doen. Daarmee gaat de virusbestrijder deels tegen het advies van politie en sommige experts in, die juist adviseren om nooit te betalen. Door te betalen zouden criminelen met hun praktijken blijven doorgaan. Daarnaast is er ook geen garantie dat slachtoffers een decryptiesleutel krijgen of dat het ontsleutelen van de bestanden werkt. Onlangs meldde Security.NL hoe 25 Nederlandse bedrijven de makers van ransomware hadden betaald en ook hun bestanden terugkregen. Er zijn ook gevallen van Amerikaanse politiebureaus bekend die besmet werden en uiteindelijk betaalden. Ook Sophos stelt dat het makkelijk is om te zeggen dat slachtoffers niet moeten betalen, maar dat het een ander verhaal is als het je eigen gegevens zijn. Het anti-virusbedrijf stelt dat het oké is om te betalen, maar als het kan moet worden vermeden. Daarnaast doen internetgebruikers er verstandig aan om voorzorgsmaatregelen te nemen, zoals het maken van back-ups. In het geval van een infectie kan daardoor de schade worden beperkt en uiteindelijk worden voorkomen dat er moet worden betaald. bron: security.nl

Tijdens de Pwn2Own-wedstrijd in het Canadese Vancouver hebben onderzoekers meerdere zero day-lekken in Adobe Flash Player, Adobe Reader, Windows, Internet Explorer en Firefox gedemonstreerd. De Pwn2Own-wedstrijd is een jaarlijks terugkerend evenement dat tijdens de CanSecWest-conferentie wordt georganiseerd en waar onderzoekers de veiligheid van populaire browsers en browserplug-ins kunnen testen. In totaal werden er op de eerste dag van het evenement drie lekken in Adobe Reader, drie lekken in Adobe Flash Player, drie lekken in Windows, twee lekken in Internet Explorer 11 en twee lekken in Firefox getoond. Via de kwetsbaarheden kan een aanvaller volledige controle over de computer krijgen, zonder dat hier al teveel interactie van de gebruiker voor is vereist. Het gaat dan om het bezoeken van een gehackte of kwaadaardige website of het openen van een kwaadaardig PDF-bestand. Voor geen van de gedemonstreerde kwetsbaarheden is een beveiligingsupdate beschikbaar, waardoor er sprake van zero day-lekken is. De regels van Pwn2Own stellen echter dat details alleen met de organisatie mogen worden gedeeld. Die zal vervolgens de betreffende leveranciers inlichten. Pas nadat er een beveiligingsupdate beschikbaar is mogen onderzoekers details over de kwetsbaarheden publiceren. In totaal kregen de onderzoekers voor hun lekken 317.500 dollar, waarbij onderzoeker Nicolas Joly 90.000 dollar wist binnen te slepen. Het KeenTeam, bestaande uit verschillende onderzoekers, wist echter met lekken in Adobe Flash Player en Adobe Reader, alsmede bugs om de rechten op Windows te verhogen, in totaal 140.000 dollar te verdienen. Later vandaag zullen verschillende onderzoekers proberen om opnieuw Firefox en IE te hacken, maar ook staan er nu aanvallen op Google Chrome en Apple Safari gepland. bron: security.nl

Op de hulppagina worden beide OS-en beschreven. Alsook hoe de TS contact op kan nemen met de helpdesk. Dus wie weet is er inderdaad nog hoop. We zullen het horen zodra de TS ons op de hoogte zal brengen van de stand van zaken.

Beste Phiel, Als eerste gecondoleerd. Als tweede welkom op PCH. Kijk eens naar de informatie welke door de Windows Helpdesk gegeven wordt. Je kunt hier lezen hoe en welke live-cd je moet maken en hoe je deze moet gebruiken. Laat even weten of je hiermee verder kunt.

Yahoo heeft een nieuwe dienst onthuld waardoor gebruikers zonder hun eigen wachtwoord op hun account kunnen inloggen. In plaats van het eigen Yahoo-wachtwoord te onthouden krijgen gebruikers van de nieuwe "on-demand" dienst een sms met een kort wachtwoord toegestuurd, dat moet worden ingevuld. Om van de dienst gebruik te kunnen maken moeten gebruikers eerst met hun eigen wachtwoord inloggen en vervolgens hun telefoon registreren. Als de dienst staat ingeschakeld krijgt de gebruiker de volgende keer dat hij wil inloggen geen wachtwoordveld te zien, maar een knop waarmee de wachtwoordcode van vier karakters naar zijn toestel wordt gestuurd. "Dit is de eerste stap in het elimineren van wachtwoorden", zo liet Yahoo-topman Dylan Casey tijdens het South West-festival in Texas weten. Het proces lijkt op dat van twee factor-authenticatie, alleen dan zonder de eerste factor, namelijk het wachtwoord van de gebruiker zelf. De nieuwe dienst is nu beschikbaar voor Amerikaanse gebruikers, aldus Yahoo. Wanneer die ook voor andere gebruikers verschijnt is onbekend. bron: security.nl

Internegigant Yahoo zal later dit jaar end-to-end-encryptie aan gebruikers gaan aanbieden, waardoor e-mails volledig versleuteld zijn en alleen door de afzender en ontvanger kunnen worden gelezen. Het gaat om een plug-in die op de PGP-plug-in van Google is gebaseerd en vorig jaar al werd aangekondigd. Tijdens het South By South West-festival in Texas gaf Yahoo een demonstratie van de plug-in. Uit de beelden blijkt dat gebruikers via een paar muisklikken de encryptie kunnen instellen, om vervolgens versleuteld te e-mailen. Volgens Alex Stamos, Chief Information Security Officer van Yahoo, kreeg end-tot-end-encryptie tot een paar jaar geleden nauwelijks aandacht of werd het goed begrepen. "Tegenwoordig weten onze gebruikers steeds beter dat ze veilig op internet moeten zijn." Stamos stelt dat e-mailversleuteling allerlei doelen dient, van belastingaangifte tot het e-mailen in een land waar geen vrijheid van meningsuiting heerst. Op dit moment deelt Yahoo de broncode met experts, zodat die feedback kunnen geven. "Ons doel is om een intuïtieve encryptieoplossing voor alle gebruikers tegen het einde van het jaar aan te bieden", aldus Stamos. bron: security.nl

Aangezien er verder geen reactie meer is gekomen, sluirt ik het onderwerp. Wil je het toch weer open hebben, stuur mij dan even een PM.

Microsoft heeft een nieuwe versie van de gratis beveiligingstool EMET uitgebracht, die het lastiger voor aanvallers moet maken om Windowscomputers via zowel onbekende als bekende lekken aan te vallen. EMET staat voor Enhanced Mitigation Experience Toolkit en voegt een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toe, waardoor in veel gevallen exploits voor softwarelekken niet meer werken. EMET 5.2 bevat verschillende aanpassingen en verbeteringen. Zo ondersteunt EMET nu waarschuwingen en rapportages van Modern Internet Explorer en Desktop IE met Enhanced Protected Mode. Verder is er een maatregel toegevoegd die aanvallen via VBScript moet voorkomen. Het gaat dan om een aanvalstechniek genaamd "VBScript God Mode", die bij recente aanvallen door aanvallers werd toegepast. Hierdoor kan een aanvaller kwaadaardige script met verhoogde rechten uitvoeren. Daarnaast zijn de DLL-bestanden van EMET nu met Control Flow Guard gecompileerd. Dit is een nieuwe feature die het kapen van code moet voorkomen. In het verleden hebben onderzoekers verschillende keren aangetoond dat EMET omzeild kan worden. In de praktijk blijkt echter dat aanvallers op een andere manier rekening met EMET houden. Zo werd vorig jaar nog een zero day-aanval op IE10 ontdekt. De aanvallers besloten de exploit echter niet uit te voeren op computers waarop EMET was geïnstalleerd, waarschijnlijk om detectie van de exploit te voorkomen. bron: security.nl

Windows 10 moet nog verschijnen, maar een beveiligingsexpert van het Slowaakse anti-virusbedrijf ESET heeft zowel eindgebruikers als bedrijven al gewaarschuwd dat Microsofts patchbeleid voor het nieuwe besturingssysteem de deur voor zero day-aanvallen openlaat. Met Windows 10 gaat Microsoft updates op verschillende manieren uitrollen. Zo komt er een Long Term Servicing (LTS) branch voor bedrijven met belangrijke systemen. In dit geval zullen er alleen beveiligingsupdates worden uitgerold, maar geen nieuwe features. Dan is er nog de "Current branch for Business". Door computers en apparaten hiervoor in te stellen zullen er nieuwe feature-updates worden uitgerold nadat die uitgebreid in de consumentenmarkt zijn getest en gevalideerd. Op deze manier kunnen systemen met grote zekerheid worden geüpgraded. Het gaat hier alleen om nieuwe features. Beveiligingsupdates worden nog wel steeds meteen aangeboden. Als laatste zijn er de consumenten die alle updates, zowel security als nieuwe features, meteen ontvangen. Volgens expert Aryeh Goretsky is het zinnig om Windowsgebruikers in verschillende groepen op te delen om patches te kunnen testen. Hij vermoedt dat patches die onder consumenten worden uitgerold en niet goed werken eerst worden gerepareerd voordat ze onder bedrijven worden verspreid. Deze aanpak brengt volgens de expert ook nadelen met zich mee. Consumenten en organisaties die niet de enterprise-versie van Windows 10 draaien zouden minder goed geteste patches kunnen ontvangen en zo met crashes te maken kunnen krijgen. Bedrijven aan de andere kant moeten misschien langer wachten totdat Microsoft vindt dat de updates voldoende zijn getest en ze groen licht geeft. Goretsky zegt dat het nog afwachten is hoe het nieuwe patchbeleid van Windows 10 zal uitpakken, maar geeft wel alvast het advies dat als de vertraging waarmee bedrijven updates ontvangen ervoor zorgt dat het aanvalsoppervlak toeneemt, organisaties beter af zijn met een oudere enterprise-versie van Windows die updates eerder ontvangt dan de enterprise-versie van Windows 10. bron: security.nl

Onderzoekers hebben een nieuwe vorm van ransomware ontdekt die gegevens van allerlei populaire computergames versleutelt zoals Call of Duty, Minecraft en World of WarCraft, alsmede bestanden van iTunes. Het gaat om een variant van de Cryptolocker-ransomware die via een recent gepatcht lek in Flash Player en een ouder lek in IE wordt verspreidt, zo laat beveiligingsbedrijf Bromium in een rapport aan Security.NL weten. Hiervoor gebruiken de cybercriminelen Flash-advertentiebanners. Een besmette banner stuurt bezoekers van de website waarop die wordt getoond automatisch door naar een andere website, waar wordt geprobeerd om de computer via de kwetsbaarheden in IE en Flash Player te infecteren. Opmerkelijk is dat de banner alleen gebruikers van Internet Explorer en Opera doorstuurt. Is de aanval succesvol dan zal de ransomware 185 verschillende bestandsextensies versleutelen. Het gaat dan ook om bestanden van computergames. Iets wat volgens Bromium niet eerder is voorgekomen. De ransomware zoekt naar specifieke spellen en directories van gamingsoftware, zoals Steam, uitgevers en ontwikkelsoftware. Wat opvalt is dat er veel "klassiekers" tussen staan, zoals Diablo, Fallout 3, Half-Life 2 en WarCraft 3. Ook zijn verschillende online games het doelwit, waaronder World of Warcraft, Day Z, League of Legends en World of Tanks. Evolutie"Het versleutelen van deze games laat een evolutie in de crypto-ransomware zien, waarbij cybercriminelen zich op niches richten", aldus de onderzoekers. Volgens Bromium kan het voorkomen dat jongvolwassenen geen belangrijke bestanden op hun computers hebben staan en foto's in de cloud bewaren. "Maar de meesten hebben zeker een Steam-account met een aantal spellen en een iTunes-account vol met muziek." "Zelfs voor volwassenen kunnen deze aanvallen frustrerend zijn, als ze hun spellen met de rest van hun persoonlijke data verliezen." Opmerkelijk aan de spellen die worden versleuteld is dat het om populaire spellen gaat, maar niet om games die op dit moment bovenaan de lijst van meest gespeelde of meest verkochte games staan. Er wordt dan ook niet uitgesloten dat de ransomware-maker games heeft gekozen die hij zelf graag speelt. bron: security.nl

Een update van Microsoft die afgelopen dinsdag uitkwam geeft problemen op computers met Windows 7, zo blijkt uit allerlei klachten van gebruikers. De update in kwestie is KB3033929 en voegt SHA-2-ondersteuning aan Windows 7 en Windows Server 2008 R2 toe, zo blijkt uit de omschrijving. Tal van gebruikers klagen echter dat de update problemen geeft bij de installatie en uiteindelijk niet geïnstalleerd kan worden. Op sommige systemen zou er zelfs sprake van een "loop" zijn, waarbij de installatie van de update mislukt en de computer opnieuw start en vervolgens probeert om de update opnieuw te installeren, wat weer mislukt. Een oplossing lijkt nog niet voorhanden en ook Microsoft heeft nog niet gereageerd. De afgelopen maanden kreeg Microsoft met meerdere updates te maken die wegens problemen moesten worden teruggetrokken. bron: security.nl

De Safe Browsing-technologie van Google beschermt elke dag meer dan 1,1 miljard mensen, zo heeft de internetgigant laten weten. Via Safe Browsing, dat 8 jaar geleden werd ontwikkeld, worden gebruikers van Chrome, Firefox en Safari gewaarschuwd voor malware- en phishingsites. In het geval van Chrome wordt er ook gewaarschuwd als de gebruiker malware downloadt. Een waarschuwing die straks ook bij het bezoeken van websites die ongewenste software aanbieden zal verschijnen. Op dit moment laat Safe Browsing 5 miljoen waarschuwingen per dag zien, voor allerlei kwaadaardige websites en ongewenste software. Via de technologie zouden elke maand meer dan 50.000 malwaresites en meer dan 90.000 phishingsites worden ontdekt. Google zet de technologie ook in voor het waarschuwen van webmasters als er specifieke problemen met hun websites zijn, bijvoorbeeld als ze zijn gehackt en malware verspreiden. De cijfers van Google zijn gepubliceerd in aanloop naar de 26ste verjaardag van het web. "Nu het web volwassen wordt, geldt dat ook voor de Safe Browsing-technologie. We kijken ernaar uit om het web en zijn gebruikers nog vele jaren te beschermen", zegt Panayiotis Mavrommatis van het Google Safe Browsing Team. bron: security.nl

Het wordt over het algemeen afgeraden om vreemde USB-sticks op een computer aan te sluiten vanwege de kans op malware, maar een Russische onderzoeker claimt een USB-stick te hebben ontwikkeld die machines fysiek kan beschadigen. De onderzoeker, die niet bij naam genoemd wordt, hoorde een verhaal over een gestolen USB-stick die na te zijn aangesloten een laptop voor de helft zou hebben verbrand. Dit verhaal boeide de onderzoeker zo dat hij besloot zelf zo'n USB-stick te ontwikkelen, genaamd USB Killer. De man zou bij een bedrijf werken dat elektronica ontwikkelt en bestelde in China verschillende circuitborden voor de USB-sticks. Uiteindelijk slaagde hij er naar eigen zeggen in een model te maken dat negatieve voltage gebruikt en waarmee een computer kan worden beschadigd. Foto's of filmpjes van eventueel verbrande of "geëlektrocuteerde" apparatuur ontbreken echter. Op internet zijn sommige mensen dan ook kritisch. Ook vragen sommigen zich af of de USB-stick wel over voldoende spanning kan beschikken om een brand te veroorzaken. De onderzoeker heeft een korte beschrijving van hoe de USB Killer werkt gepubliceerd, maar uitgebreide schema's en tekeningen ontbreken. Wel stelt hij lezers de vraag of ze in het aanschaffen van een dergelijke USB-stick geïnteresseerd zijn en wat ze doen als ze een vreemde USB-stick op hun werkplek aantreffen. bron: security.nl

In een week tijd heeft Microsoft van zo'n 240.000 Lenovo-laptops de Superfish-adware verwijderd, zo blijkt uit cijfers die de softwaregigant heeft vrijgegeven. Vanwege het beveiligingsprobleem dat door Superfish werd veroorzaakt besloot Microsoft op 19 februari updates voor de eigen virusscanners uit te brengen zodat die de adware en het bijbehorende certificaat konden verwijderen. In een week tijd identificeerde Microsoft zo'n 240.000 machines met Superfish. De adware was door Lenovo op meer dan 40 modellen laptops geïnstalleerd en had als doel om SSL-verbindingen te onderscheppen om vervolgens advertenties te injecteren. De adware gebruikte hiervoor een eigen rootcertificaat. Onderzoekers slaagden erin om het wachtwoord te kraken dat de privésleutel van het Superfish-certificaat gebruikt. Daardoor is het in bepaalde gevallen mogelijk om Man-in-the-Middle-aanvallen tegen systemen uit te voeren waarop Superfish en het certificaat geïnstalleerd zijn. In een blogposting legt Microsoft de verschillende manieren uit waarop Lenovo-gebruikers konden worden aangevallen. Dit zou bijvoorbeeld via een kwaadaardig wifi-netwerk, phishingdomein of DNS poisoning kunnen. Lenovo levert al sinds januari geen laptops meer met Superfish, hoewel er in februari nog laptops met Superfish zijn verkocht. Daarnaast zouden verschillende virusscanners inmiddels Superfish detecteren en verwijderen. In het geval de geinstalleerde beveiligingssoftware Superfish niet herkent, adviseert Microsoft om een eenmalige scan met de Microsoft Safety Scanner uit te voeren. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van maart 14 updates uitgebracht, die bij elkaar 45 lekken in Windows, Office, Exchange en Internet Explorer verhelpen, waaronder het Stuxnet-lek uit 2010 en het recent ontdekte FREAK-lek. Vooral het opnieuw patchen van het Stuxnet-lek zorgt bij experts voor verbazing. Via de kwetsbaarheid wist de Stuxnet-worm, alsmede de Fanny-spionageworm, zich te verspreiden. Alleen het aansluiten van een USB-stick die van het lek misbruik maakte was voldoende om Windows te infecteren, ook al stonden Autorun en Autoplay uitgeschakeld. Het ging hier om een geheel nieuwe manier om Windowscomputers aan te vallen. In 2010 kwam Microsoft met een update voor het lek, maar deze patch bleek de kwetsbare code niet te verhelpen, waardoor Windowscomputers al die tijd kwetsbaar waren, zo waarschuwen onderzoekers van HP. Ook is er een update voor het "FREAK-lek" in SSL/TLS verschenen. Via de kwetsbaarheid kan een aanvaller die zich tussen een doelwit en het internet bevindt in bepaalde gevallen de encryptie van de versleutelde verbinding naar een zwakke encryptie downgraden, om die vervolgens te kraken en het versleutelde verkeer te bekijken. Overige kwetsbaarhedenNaast de update voor het Stuxnet-lek zijn vier andere updates als kritiek bestempeld. Via de kwetsbaarheden die deze updates verhelpen kan een aanvaller in het ergste geval het volledige systeem overnemen. Het gaat om lekken in Internet Explorer, de VBscript Scripting Engine in Windows, Adobe Font Driver en Office. In het geval van één van de IE-lekken was de kwetsbaarheid al publiek bekend voordat de patch verscheen. Via andere kwetsbaarheden die Microsoft heeft gepatcht konden aanvallers hun rechten op systemen verhogen, informatie achterhalen, een Denial of Service veroorzaken en beveiligingsmaatregelen omzeilen. Updaten kan via Windows Update. bron: security.nl

Zoals Asus al middels de link aan heeft gegeven en als extra aanvulling: middels speciale tools (sniffers) kun je heel veel via je netwerk volgen of traceren. Maar los hiervan heb je het eigenlijk over het meeliften op het netwerk van de werkgever. Ik weet niet binnen jullie bedrijf ook is vastgelegd in de protocollen in hoeverre en op welke manier je dus van dit netwerk voor privédoeleinden gebruik mag maken van deze mogelijkheden. De regelgeving kan per bedrijf verschillen wat dus weer consequenties kan hebben voor je "privé"-surfgedrag. Mijn advies is om hier eens naar te informeren.

De ontdekking van malware die de firmware van harde schijven kan aanpassen is een "wake up call" voor fabrikanten en de security-industrie dat het risico echt is en het aantal firmware-gebaseerde aanvallen zal toenemen. Daarvoor waarschuwt de Amerikaanse burgerrechtenbeweging EFF. De organisatie stelt zelfs dat als de problematiek nu niet wordt opgelost, de gevolgen "desastreus" kunnen zijn. Firmware is de software die op allerlei computeronderdelen draait, zoals de videokaart, netwerkkaart en harde schijf, en het mogelijk maakt om deze onderdelen te besturen. Aanleiding voor de noodkreet van de EFF is de ontdekking van de Equation Group. Deze groep cyberspionnen had malware ontwikkeld die de firmware van allerlei harde schijven kon aanpassen. De malware kon zodoende het opnieuw installeren of formatteren van de harde schijf overleven. Ook maakte het op de harde schijf een verborgen container voor gestolen bestanden aan en was nauwelijks te detecteren. Firmware is naast computeronderdelen in allerlei andere elektronica aanwezig, van auto-onderdelen tot televisies. Het grote probleem met firmware is dat de code gesloten is. De meeste fabrikanten maken de broncode van hun firmware niet openbaar. In sommige gevallen nemen ze zelfs stappen om het "reverse engineeren" van hun firmware tegen te gaan. Volgens Cooper Quintin van de EFF is het daarnaast niet mogelijk om vanuit de computer te bekijken of de firmware van bepaalde onderdelen is aangepast of niet. MalwareFirmware-gebaseerde malware is in vergelijking met andere soorten malware nog een vrij onontgonnen gebied. Het aanvallen van de firmware heeft niet alleen voordelen voor cyberspionnen, maar ook voor cybercriminelen. De malware zou namelijk lastig te detecteren en te verwijderen zijn. Ook is de meeste firmware nog nooit openbaar gecontroleerd en is de broncode gesloten. Daardoor is het volgens Quintin een "rijke bron" voor zero day-kwetsbaarheden. Van veel apparaten wordt de firmware nooit geüpdatet, waardoor malware of exploits lange tijd aanwezig kunnen blijven. MaatregelenDe EFF roept fabrikanten dan ook op om hun firmware goed te auditen op kwetsbaarheden en vervolgens de resultaten te publiceren. Daarnaast moeten firmware-updates digitaal gesigneerd zijn en als laatste moet er een mechanisme komen om de integriteit van geïnstalleerde firmware te controleren. "We hebben de controle over onze computers opgegeven. We vertrouwen teveel verschillende apparaten. Apparaten die we niet zouden moeten vertrouwen, gegeven dat ze zonder dat we het weten kunnen worden gecompromitteerd", aldus Quintin. Volgens hem is het dan ook de hoogste tijd om de controle en daarmee ook de security terug te nemen. "We moeten fabrikanten aansporen zodat ze ervoor zorgen dat hun producten betrouwbaar zijn, zelfs en met name als ze de fabrieksvloer verlaten. We moeten nu handelen voor een toekomst waar de basis van onze computers veilig is." bron: security.nl

Cybercriminelen hebben onder andere in Nederland e-mails met kwaadaardige helpbestanden verspreid die de Cryptowall-ransomware bevatten. Daarvoor waarschuwt het Roemeense anti-virusbedrijf Bitdefender. De e-mails bevatten een .chm-bestand als bijlage. Dit staat voor Microsoft Compressed HTML Help en is de opvolger van de bekende helpbestanden in Windows. Chm-bestanden zijn zeer interactief en kunnen verschillende technologieen bevatten, zoals JavaScript. Daarmee is het mogelijk om automatisch een bestand te downloaden zodra het chm-bestand wordt geopend. Volgens analist Catalin Cosoi is het een logische keuze van cybercriminelen om chm-bestanden te gebruiken. "Hoe minder interactie van gebruikers, hoe groter de kans op infectie." Daarnaast zullen gebruikers deze bestanden mogelijk niet als verdacht beschouwen. De e-mails in kwestie doen zich onder andere voor als e-mailberichten van een faxmachine. Eenmaal geopend kan de ransomware bestanden op de computer versleutelen en vraagt vervolgens een bepaald bedrag aan gebruikers om ze te ontsleutelen. Volgens Bitdefender zouden de aanvallers met deze spamrun het echter op bedrijven hebben voorzien en wordt er geprobeerd om bedrijfsnetwerken te infiltreren. De afgelopen maanden lieten verschillende bedrijven weten dat ze het slachtoffer van ransomware waren geworden. bron: security.nl

Een week na het verschijnen van Firefox 36 heeft Mozilla een nieuwe versie uitgebracht die verschillende crashes en bugs verhelpt. Zo bleek de browser te crashen als Microsofts Enhanced Mitigation Experience Toolkit (EMET) stond ingeschakeld. Dit is een gratis beveiligingstool van Microsoft die het lastiger voor aanvallers moet maken om Windows en applicaties aan te vallen. Ook bevatte Firefox 36 verschillende bugs waardoor de Hello-chatfunctie niet meer werkte totdat de browser werd herstart, de printinstellingen niet werden opgeslagen, de Hello contact-tabs niet zichtbaar waren, er geen hostnames met een underscore werden geaccepteerd, WebGL veel geheugen gebruikte en er nog een andere grote crash was. Verder is de -remote optie weer teruggeplaatst. Updaten naar Firefox 36.0.1 kan via de automatische updatefunctie van de browser en Mozilla.org. bron: security.nl

DNS-aanbieder OpenDNS heeft een nieuw wapen dat het inzet om frauduleuze domeinen en phishingsites te herkennen, om die vervolgens te blokkeren. Bij verschillende gerichte aanvallen alsmede phishingmails worden vaak legitiem lijkende domeinen gebruikt, met als naam bijvoorbeeld "update-java", "adobe-update" en "firefoxupdata", gevolgd door een topleveldomein zoals .net of .com. Via deze domeinen worden de besmette computers bijvoorbeeld aangestuurd. Vanwege de gebruikte namen kunnen systeem- of netwerkbeheerders denken dat het hier om legitieme domeinnamen gaat en zullen daardoor niet meteen vermoeden dat de systemen besmet zijn. Om deze domeinen toch te herkennen zet OpenDNS nu NLPRank in, dat van natural language processing (NLP) gebruik maakt. Zo krijgen domeinen die op het oorspronkelijke domein lijken dat ze proberen na te bootsen strafpunten. Een domein als g00gle.com krijgt ten opzichte van google.com twee strafpunten, omdat er twee mutaties nodig zijn om het spoofdomein op het echte domein te laten lijken. Het systeem kijkt naast NLP ook naar zaken als de gegevens waarmee de domeinnaam is geregistreerd, HTML tags van de website zelf en of de domeinnaam zich bij dezelfde ASN bevindt als de partij die de aanvallers proberen te spoofen. Een domein dat bijvoorbeeld een Adobe-update aanbiedt hoort met een ASN van Adobe geassocieerd te zijn en niet met een ASN in Rusland. Al deze verschillende zaken maken het mogelijk voor NLPRank om een score aan een domeinnaam te geven en te bepalen of het om een mogelijke aanval gaat. Volgens OpenDNS is het systeem niet alleen effectief in het identificeren van gespoofte domeinen, maar ook een goede manier om gerichte aanvallen te voorkomen. bron: security.nl

De Autoriteit Consument & Markt (ACM) heeft een waarschuwing afgegeven voor de webwinkel Combiwebshop.nl. Op grond van tientallen meldingen die bij de ACM via het loket ConsuWijzer binnenkwamen en eigen onderzoek zegt de toezichthouder een redelijk vermoeden te hebben dat CombiWebshop bestelde producten niet levert en daarmee de regels van het consumentenrecht overtreedt. CombiWebshop verkoopt elektronische producten, zoals televisies, foto- en filmapparatuur en mobiele telefoons. Uit de meldingen van consumenten blijkt na de aanschaf van goederen er niet wordt geleverd. Het gaat daarbij vaak om aankopen van honderden euro’s. De webwinkel heeft onlangs laten weten in financiële problemen te verkeren en daardoor niet in staat te zijn de bestelde producten te leveren. De ACM merkt op dat het bedrijf consumenten ook niet binnen de wettelijke termijn van 14 dagen na ontbinding van de aankoop hun geld kan terugbetalen. De webwinkel is echter nog steeds online en er wordt op de website geen melding gemaakt van de leverings- en betalingsproblemen van de webwinkel. De webwinkel is verder telefonisch en per e-mail niet bereikbaar. Om te voorkomen dat meer consumenten worden gedupeerd waarschuwt de ACM nu voor deze webwinkel. De toezichthouder houdt zich onder andere bezig met het optreden tegen webwinkels die consumenten onjuist informeren of bij ontbinding het aankoopbedrag niet of niet tijdig terugbetalen. Het komt echter niet vaak voor dat de ACM voor een specifieke webwinkel waarschuwt. Vorig jaar gebeurde dit bij de webwinkel Bellio.nl. Security.NL wilde de uitbater van CombiWebshop om een reactie vragen, maar die bleek niet bereikbaar te zijn. bron: security.nl

Een onderzoeker van beveiligingsbedrijf NCC Group heeft onlangs aangetoond hoe hij via een kwaadaardige Blu-ray zowel Windowscomputers als Blu-rayspelers kan aanvallen. Stephen Tomkinson gaf zijn demonstratie tijdens de Secuir-Tay conferentie in Dundee, Schotland. De aanval die de onderzoeker ontwikkelde maakt gebruik van de mogelijkheden die Blu-ray biedt. Naast een betere beeld- en geluidskwaliteit ten opzichte van dvd ondersteunen Blu-rays ook allerlei "rich features", zoals dynamische menu's, embedded games en de mogelijkheid om aanvullende informatie van internet te downloaden. Deze rich features worden via BD-J ontwikkeld, een variant van Java die met Xlets werkt. Xlets zijn vergelijkbaar met de Webapplets die op websites worden gebruikt. Xlets draaien in een Java Virtual Machine, wat moet voorkomen dat ze toegang tot het systeem. AanvallenDe eerste demonstratie van Tomkinson richtte zich op Cyberlink PowerDVD en hoe deze populaire mediaspeler met Xlets omgaat. Een kwetsbaarheid in de software maakt het namelijk mogelijk om de beveiliging van de Xlet te omzeilen en willekeurige uitvoerbare bestanden uit te voeren. Aangezien Blu-rays standaard op systemen met PowerDVD worden uitgevoerd, zou een aanvaller via een besmette Blu-ray de computer kunnen infecteren. De tweede aanval was tegen een fysieke Blu-rayspeler gericht. Een Xlet die Tomkinson ontwikkelde bleek een programma op de speler aan te kunnen roepen die vervolgens een kwaadaardig bestand van de Blu-ray uitvoerde. Op deze manier wist de onderzoeker roottoegang te krijgen. Om potentiële doelwitten niets te laten vermoeden werd na het uitvoeren van de aanval gewoon de film getoond. Inmiddels zou er met verschillende leveranciers worden samengewerkt om de gevonden problemen te verhelpen. "Met wisselend succes", merkt Tomkinson op. Hij adviseert gebruikers in de tussentijd om het automatisch afspelen van Blu-rays via de AutoPlay-functie in Windows uit te schakelen. In het geval van een fysieke Blu-rayspeler doen gebruikers er verstandig aan die niet aan het internet te hangen. bron: security.nl

Al eens gekeken naar je instellingen van je anti-virus? Klinkt raar maar bij mij heeft ooit de Actieve schildbeveiliging voor een halvering van mijn snelheid gezorgd. Is die 20mb normaal in België? Ik vind het voor het gamen (wat ik uit je verhaal begrijp) ook niet echt aan de vlotte kant.