Captain Kirk

Certified Secure heeft een kwetsbaarheid in PolarSSL ontdekt waardoor het in bepaalde gevallen mogelijk is om op systemen willekeurige code of een Denial of Service-aanval uit te voeren. PolarSSL wordt door verschillende programma's voor SSL/TLS en andere cryptografische toepassingen gebruikt, waaronder het door de AIVD goedgekeurde OpenVPN-NL. Het nu ontdekte probleem wordt veroorzaakt door de manier waarop PolarSSL zogeheten X.509-certificaten verwerkt. Dit zijn certificaten die onder andere worden gebruikt voor het authenticeren van gebruikers. Op het moment dat een server die van PolarSSL gebruik maakt een kwaadaardig certificaat verwerkt kan de aanval worden uitgevoerd. Dit gebeurt bijvoorbeeld als een server is geconfigureerd om client-certificaten te controleren. De aanvaller hoeft in dit geval niet over een geldig certificaat of inloggegevens te beschikken, het aanbieden van een kwaadaardig certificaat aan de server volstaat. Naast de aanval op servers is het ook mogelijk om gebruikers aan te vallen als die met een kwaadaardige server verbinding maken die PolarSSL gebruikt. Ook in dit geval kan er in bepaalde omstandigheden willekeurige code op de computer van de gebruiker worden uitgevoerd of een Denial of Service worden veroorzaakt. PolarSSL is een alternatief voor het populaire OpenSSL en is onder andere bekend omdat het door OpenVPN-NL wordt gebruikt. Dit is een aangepaste versie van het opensourceprogramma OpenVPN dat de AIVD heeft goedgekeurd voor overheidsgebruik op Departementaal Vertrouwelijk niveau. Via een VPN (Virtual Private Network) is het mogelijk om een beveiligde verbinding naar een afgesloten netwerk op te zetten. De kwetsbaarheid werd op 14 januari aan PolarSSL gemeld en vijf dagen later op 19 januari verholpen. Het beveiligingslek is bevestigd in alle PolarSSL-versies vanaf versie 1.0. Beheerders en gebruikers krijgen het advies om de patch van PolarSSL te installeren. Tevens is er een nieuwe versie van OpenVPN-NL beschikbaar gemaakt. Meer details zijn in de advisory van Certified Secure te vinden. UpdateHet Nationaal Cyber Security Centrum (NCSC) van de overheid heeft vanwege het PolarSSL-lek een beveiligingsadvies voor OpenVPN-NL uitgebracht. bron: security.nl

Microsoft is tijdens een anti-virustest van een Australisch testorgaan hard onderuit gegaan, waarbij de virusscanner van de softwaregigant over een periode van zes maanden slechts 12% van de malware detecteerde. Tijdens de test van Enex TestLab werden gedurende de laatste helft van 2014 verschillende pakketten elke maand met 33 willekeurige malware-exemplaren getest. In juli wist Microsoft geen enkel exemplaar te detecteren. Ook Trend Micro (8%) en Sophos (12%) doen het deze maand niet veel beter. Ook in augustus weet Microsoft de resultaten niet veel te verbeteren en detecteert een magere 1%. Uiteindelijk weet de softwaregigant over de laatste zes maanden van vorig jaar gemiddeld 12% te detecteren. Trend Micro (37%) en Sophos (39%) scoren ook onder de maat. ESET (86%), Panda (80%) en Symantec (78%) komen als beste uit de bus, zo blijkt uit het overzicht op CSO Online. bron: security.nl

Tijdens de eerste patchdinsdag van 2015 zal Oracle 167 beveiligingslekken in allerlei software dichten, waaronder Java, MySQL Server, VirtualBox en Database Server. De meeste kwetsbaarheden (35) worden verholpen in Fusion Middleware, gevolgd door de Sun Systems Products Suite (29). In Java zal Oracle 19 lekken patchen, waarvan 14 door een aanvaller op afstand zijn te misbruiken. In dit geval kan een gebruiker worden aangevallen als hij met een kwetsbare Java-browserplug-in een kwaadaardige of gehackte website bezoekt. De ernst van de Java-lekken wordt met de maximaal haalbare CVSS-score van 10.0 beoordeeld. De patch voor het populaire VirtualBox zal 11 lekken verhelpen. bron: security.nl

Microsoft heeft dinsdag een update voor de in Windows ingebouwde virusverwijdertool uitgebracht die gebruikers tegen twee digitale bankrovers moet beschermen. Het gaat om de Emotet en Dyzap banking Trojans die niet alleen geld van online bankrekeningen stelen, maar ook inloggegevens voor allerlei andere programma's en diensten buitmaken. Beide Trojaanse paarden gebruiken spamberichten om zich te verspreiden. In het geval van Emotet gaat het om voornamelijk Duitstalige e-mails die naar een zip-bestand op een gehackte website wijzen. Dit zip-bestand bevat het Trojaanse paard. In het geval van Dyzap worden e-mails met besmette zip-bijlagen gebruikt. Deze bijlagen bevatten de Upatre-downloader die vervolgens de Dyzap Trojan op de computer downloadt en installeert. Eenmaal actief steelt Dyzap inloggegevens voor internetbankieren, salarisadministratiesystemen, SalesForce enterprise software en Bitcoin-websites. Emotet maakt naast gegevens voor banksites ook wachtwoorden buit voor Eudora, Google Desktop, Google Talk, IncrediMail, Mozilla Thunderbird, MSN of Windows Live Messenger, Netscape 6 en Netscape 7, Outlook 2000, Outlook 2002 en Outlook Express, Windows Mail, Windows Live Mail en Yahoo! Messenger. Opmerkelijk is dat Microsoft in het geval van beide Trojaanse paarden de aangevallen banken noemt. Iets waar anti-virusbedrijven over het algemeen erg voorzichtig mee zijn. De update voor de Windows MSRT-virusverwijdertool wordt op de meeste computers automatisch geïnstalleerd. bron: security.nl

Voor de derde keer in korte tijd heeft Google een beveiligingslek in Windows onthuld waarvoor nog geen patch van Microsoft beschikbaar is. De kwetsbaarheid is ontdekt door het "Project Zero Team" van Google, dat speciaal naar kwetsbaarheden in veelgebruikte software zoekt. Zodra er een lek wordt gevonden krijgt de betreffende leverancier 90 dagen de tijd om met een update te komen, anders worden de details van de kwetsbaarheid automatisch openbaar gemaakt. Eind december en afgelopen zondag publiceerde de zoekgigant twee kwetsbaarheden in Windows 8.1, tot woede van Microsoft. Eén van de lekken werd namelijk twee dagen later al gepatcht en Microsoft had dan ook gevraagd of de deadline iets verschoven kon worden, maar daar gaf Google geen gehoor aan. Na "Issue 118" en "Issue 123" is nu voor de derde keer een ongepatcht Windowslek openbaar gemaakt, aangeduid als "Issue 128". In dit geval gaat het volgens Google om een situatie in Windows 7 en Windows 8.1 waardoor het mogelijk is voor een gebruiker om zich als iemand anders voor te doen en vervolgens gegevens voor die inlogsessie te versleutelen of te ontsleutelen. Dit zou in bepaalde situatie met kwetsbare services een probleem kunnen zijn. "Het gedrag kan natuurlijk zo ontworpen zijn, maar doordat ik niet bij het ontwerp betrokken was is dit lastig te bepalen. De documentatie meldt dat de gebruiker zich als de client moet voorstellen, wat volgens mij inhoudt dat hij in naam van de client moet kunnen handelen in plaats van zich als de client te identificeren", aldus onderzoeker Ben Forshaw. Microsoft liet Google weten het probleem naar alle waarschijnlijkheid in februari te zullen verhelpen. Oorspronkelijk stond de update al voor januari gepland, maar die werd wegens compatibiliteitsproblemen teruggetrokken. bron: security.nl

Oracle heeft gebruikers gewaarschuwd voor websites die oplossingen en patches voor echte Oracle foutmeldingen beloven, maar in werkelijkheid malware verspreiden. Veel details over het soort aangeboden "fixes" alsmede de kwaadaardige websites in kwestie worden niet gegeven. Wel waarschuwt Oracle via twee blogpostings om de aangeboden bestanden niet te downloaden, omdat ze niet door het softwarebedrijf zijn goedgekeurd en zeer waarschijnlijk "gevaarlijk" voor het systeem van de gebruiker zijn. bron: security.nl

De Crypto Stick, een usb-stick waarmee internetgebruikers beveiligd kunnen inloggen en bestanden en e-mail kunnen versleutelen, heeft een nieuwe naam gekregen, namelijk Nitrokey. De nieuwe naam moet de ontwikkeling van de stick weergeven, die nu eindelijk gereed is voor consumenten. De geheime sleutels die Nitrokey voor het versleutelen of inloggen gebruikt bevinden zich op de usb-stick. Volgens de ontwikkelaars is het onmogelijk om deze geheime sleutels van de Nitrokey te halen, waardoor het apparaatje immuun voor virussen en Trojaanse paarden zou zijn. Verder zou de pincode die de gebruiker moet kiezen en de "niet te manipuleren" smartcard ervoor moeten zorgen dat de Nitrokey in het geval van diefstal of verlies toch beschermd is. Zowel de hardware als software van Nitrokey zijn beiden opensource. De usb-stick is voor verschillende doeleinden te gebruiken, zoals het beveiligd inloggen via een One Time Password voor bijvoorbeeld Google of Dropbox, e-mailversleuteling gebaseerd op S/MIME en OpenPGP, het versleutelen van bestanden en harde schijven en gebruikersauthenticatie op zowel lokale computers als netwerken. Mozilla gebruikt de Crypto Stick voor het beveiligen van de eigen infrastructuur. OntwikkelingDe Crypto Stick is al sinds 2008 als "hobby opensourceproject" in ontwikkeling. De ontwikkelaars zeggen dat ze gedurende deze tijd geleerd hebben dat het ontwikkelen van een systeem dat werkt één ding is, maar dat het leveren van een apparaat dat stabiel en gereed voor consumenten is, een heel ander verhaal is. De ontwikkeling van de nieuwste versie van Crypto Stick nam twee jaar in beslag en is nu afgerond. Nu het systeem stabiel werkt richten de ontwikkelaars zich op de productie ervan. Vanwege de nieuwe fase in het project is besloten om ook de naam te veranderen van Crypto Stick in Nitrokey. "Het doel om de beste opensource-securitykey aan onze gebruikers te bieden blijft onveranderd", merken ze op bron: security.nl

Download.com is een veel gebruikte downloadsite, maar hoe veilig is de software die hier eigenlijk wordt aangeboden? Een onderzoeker van How-To Geek besloot de tien populairste programma's van Download.com te installeren en schrok zo van het resultaat dat hij gebruikers adviseert om het experiment niet op hun eigen computer te herhalen. Voor het experiment werden de programma's helemaal standaard geïnstalleerd, net zoals een doorsnee gebruiker ook zou doen. Download.com, dat onderdeel van CNet News is, stelt in het eigen beleid dat alle aangeboden downloads vrij van adware, spyware of andere kwaadaardige software zijn. Veel van de software bleek met allerlei andere programma's gebundeld te zijn. Via Download.com kunnen gebruikers de software direct downloaden, maar is er ook een Download.com-installer, die veel duidelijker in beeld is. Het gaat hierbij om een installer die naast het gewenste programma ook allerlei andere programma's installeert. Het blijkt onder andere om "browser hijackers" en valse "registry cleaners" te gaan. Opmerkelijk is dat de virusscanner van Avast als één van de eerste programma's werd geïnstalleerd en vervolgens sommige andere downloads blokkeerde omdat die als kwaadaardig werden bestempeld. "Gratis softwareleveranciers verdienen bijna allemaal geld door complete onzin en scareware te bundelen die gebruikers misleiden om te betalen voor het opschonen van hun pc, ongeacht het feit dat je dit kunt voorkomen door deze "crappy" freeware helemaal niet te installeren", aldus Lowell Heddings. Het experiment werd gedurende verschillende maanden herhaald en elke keer eindigde Heddings met andere software op de computer. "Elke software die zichzelf bundelt brengt dezelfde boosdoeners mee: browser hijackers die je zoekmachine en startpagina kapen en overal advertenties plaatsen. Want als het product gratis is, ben jij het echte product." bron: security.nl

Windowsgebruikers krijgen regelmatig het advies om anti-virussoftware te installeren, maar is het ook nodig om op een Linuxdesktop een virusscanner te gebruiken? Die vraag besloot Aryeh Goretsky van het Slowaakse anti-virusbedrijf ESET te beantwoorden. De hoeveelheid malware voor Linux is zeker ten opzichte van Windows zeer beperkt. Volgens Goretsky beschikt ESET in totaal over een paar duizend exemplaren. De analist merkt echter op dat een "paar dreigingen" nog niet wil zeggen dat er "helemaal geen dreigingen" zijn. Daar komt bij dat Linux voor allerlei doeleinden en platformen wordt ingezet. Zo is het zeer populair in het datacentrum en wordt het besturingssysteem ook voor tal van embedded apparaten gebruikt, zoals routers, digitale videorecorders en set top boxes. Regelmatig komt het voor dat bijvoorbeeld Linuxservers of routers worden gecompromitteerd. Bijvoorbeeld doordat belangrijke beveiligingsupdates ontbreken of er zwakke of standaardwachtwoorden worden gebruikt. Het gebruik van Linux op de desktop is een ander verhaal. Volgens Goretsky worden deze systemen zelden door malware zoals wormen, Trojaanse paarden en virussen geïnfecteerd. "Hoewel dit deels door het beveiligingsmodel van Linux komt, is de voornaamste reden het beperkte marktaandeel van Linux op de desktopmarkt", aldus de analist. Is het dan toch nog nodig een virusscanner te installeren? NuttigGoretsky stelt dat geen enkel systeem immuun is. Door een virusscanner te installeren kan men voor potentiële dreigingen worden gewaarschuwd. Daarnaast komt het voor dat Linuxgebruikers e-mailbijlagen ontvangen of op netwerken met gedeelde mappen zitten, die ook als aanvalsvector voor malware kunnen dienen, zelfs als ze alleen op Windowscomputers zijn gericht. In dit geval zou een virusscanner op een Linuxdesktop die Windows-malware signaleert als "waarschuwingssysteem" kunnen fungeren dat er met een besmet netwerk verbinding is gemaakt. Of er in de toekomst meer malware voor Linux zal verschijnen hangt af van de populariteit van het besturingssysteem besluit de analist. "Zoals Android-malware ons heeft laten zien, als een platform succesvol is volgen de criminelen op de voet. En hoewel Linux op de desktop redelijk malwarevrij is gebleven, hoeft dat niet in de toekomst zo te zijn. Of het nu voor compliance verplicht is, of gewoon om beschermd te zijn, een virusscanner op de Linuxdesktop kan als een vorm van bescherming tegen toekomstige aanvallen dienen." bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin tien beveiligingslekken zijn verholpen, waarvan vier zo ernstig dat een aanvaller het onderliggende systeem in het ergste geval volledig kon overnemen als de gebruiker een kwaadaardige of gehackte website bezocht. Naast de tien verholpen kwetsbaarheden bevat Firefox 35 ook een verbeterde versie van Firefox Hello, een videochat-applicatie waarmee gebruikers van verschillende browsers met elkaar kunnen communiceren. Verder wordt MP4-video op Mac OS X Snow Leopard en nieuwer nu standaard door de browser ondersteund. Een andere toevoeging is de ondersteuning van Public Key Pinning Extension voor HTTP. De extensie is een uitbreiding van het HTTP-protocol en zorgt ervoor dat de browser het certificaat van een website voor een bepaalde tijd onthoudt. Bij het volgende bezoek van de gebruiker aan deze website wordt vergeleken of het eerder opgeslagen certificaat met het huidige certificaat overeenkomt. Is dit niet het geval, dan is er mogelijk sprake van een man-in-the-middle-aanval. Updaten naar Firefox 35 gebeurt in principe automatisch. Handmatig updaten kan via Mozilla.org. bron: security.nl

Microsoft heeft systeembeheerders en organisaties gewaarschuwd dat de ondersteuning van Windows Server 2003/R2 over zes maanden eindigt. Na 14 juli 2015 zullen er geen beveiligingsupdates en patches meer voor de 2003/R2-versie van Windows Server verschijnen en wordt de support volledig gestopt. "Dit kan gevolgen hebben voor de veiligheid van systemen, waardoor organisaties misschien niet langer voldoen aan diverse compliance-standaarden. Voor IT-afdelingen is het van belang om nu snel informatie in te winnen over de alternatieven voor Windows Server 2003/R2 om op tijd te kunnen migreren", aldus de softwaregigant. Volgens Microsoft wordt de ondersteuning van het platform gestopt omdat het IT-landschap sinds de lancering ervan ingrijpend is veranderd. Uit onderzoek zou blijken dat elf jaar na de releasedatum Windows Server 2003 nog altijd in gebruik is bij 28% van de locaties met vijftig of meer werknemers. "Het is erg belangrijk om direct actie te ondernemen", benadrukt Hans Bos, National Technology Officer bij Microsoft Nederland. "Zes maanden is niet veel voor een zorgvuldige migratie. Er zijn gelukkig meer dan voldoende tools beschikbaar, die het migratieproces vereenvoudigen." Microsoft heeft een stappenplan gemaakt om klanten te helpen bij de overstap naar een nieuwer platform. bron: security.nl

Beste Carpus Kun je even aangeven welk besturingssysteem je gebruikt. Dus bijvoorbeeld windows 7, Linux, etc. En of je voor dit besturingssysteem ook de originele drivers hebt gebruikt? Misschien kun je dan ook even aangeven wat er precies niet wil lukken. Als we dit weten, kan een van onze teamleden je de gerichte hulp bieden.

Google heeft opnieuw een lek in Windows 8.1 onthuld waar nog geen update van Microsoft voor beschikbaar is. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten op de computer verhogen. Het openbaar maken van de details zorgde voor een felle blogposting van Microsoft. Het lek werd in oktober door Google aan Microsoft gerapporteerd, waarna de softwaregigant 90 dagen de tijd kreeg om het probleem op te lossen. In december liet Microsoft aan Google weten dat het in februari van dit jaar met een update zou komen. De automatische deadline van 90 dagen die Google hanteert zou echter inhouden dat details van de kwetsbaarheid twee dagen voor het verschijnen van de update bekend zouden worden. De deadline verliep namelijk op 11 januari, terwijl de update op 13 januari verschijnt. Microsoft kreeg daarbij te horen dat deadline voor geen enkele leverancier wordt aangepast. Eerder maakte Google eind december een lek in Windows 8.1 openbaar. Mogelijk dat beide problemen die door Google werden ontdekt ook bij andere Windowsversies spelen, aangezien die niet door de zoekgigant zijn getest. bron: security.nl

Onderzoekers hebben een nieuw beveiligingssysteem voor Mozilla Firefox en Google Chrome ontwikkeld dat de privacy van gebruikers moet beschermen en tegelijkertijd webontwikkelaars meer mogelijkheden geeft. Het systeem heet COWL, wat staat voor Confinement with Origin Web Labels en bepaalt hoe data worden gedeeld. Zo moet het voorkomen dat kwaadaardige of schadelijke code gevoelige informatie lekt, terwijl webapplicaties content van meerdere bronnen kunnen weergeven. De wetenschappers van de Universiteit van Stanford hebben COWL ontwikkeld als antwoord op een online trend waarbij webontwikkelaars code gebruiken die ze niet zelf hebben geschreven. "Het hergebruik van bestaande code is een reden waarom het web zo succesvol is. Helaas is het gebruik van door derden ontwikkelde code ook een beveiligings- en privacyrisico. Tenzij je de omvang van Google hebt is het onmogelijk om alles te herschrijven om dit risico weg te nemen", zegt wetenschapper Deian Stefan. Tenminste 77% van de 10.000 best bezochte websites op internet gebruiken code die door andere ontwikkelaars zijn gemaakt. Dit houdt in dat schadelijke code in de browser terecht kan komen. COWL voegt een beveiligingslaag toe om te voorkomen dat schadelijke code privégegevens kan lekken. Daarbij richt het zich vooral op gegevens die door JavaScript worden verwerkt. MACHet idee voor COWL is gebaseerd op mandatory access control (MAC), een idee dat als sinds de jaren 1970 bestaat. Op oude militaire mainframes zorgt MAC ervoor dat gebruikers die geheime bestanden mochten lezen geen bestanden met een lagere bevoegdheid konden wijzigen. Dit moest voorkomen dat gevoelige informatie al dan niet bewust werd verspreid. De wetenschappers hebben MAC nu aan Firefox en Chrome toegevoegd en ontwikkelaars een manier geboden om het nieuwe beveiligingssysteem aan hun JavaScriptcode toe te voegen. De truc hierbij was ervoor te zorgen dat JavaScriptcode geen data met websites deelde waar dit niet de bedoeling was. De oplossing werd gevonden in het gebruik van "data-labels", waarmee ontwikkelaars kunnen aangeven welke websites de data kunnen lezen en gebruiken. De labels volgen de data, zelfs als die wordt gedeeld, en COWL zorgt ervoor dat geen enkele code de labels negeert. Volgende stapDe volgende stap voor de onderzoekers is ervoor te zorgen dat COWL een standaard wordt, wat mogelijk een jaar kan duren. De hoop is om deze maand een eerste publieke "draft" klaar te hebben, zodat het World Wide Web Consortium (W3C) ernaar kan kijken. "We kunnen onze twee aangepaste browsers uitbrengen, maar dat zou de wereld niet veranderen", zegt wetenschapper David Mazieres. Op de website van de wetenschappers is alvast een aangepaste Firefox-versie met COWL te downloaden. Deze versie is echter alleen beschikbaar voor Linux en Mac OS X. bron: security.nl

Ik ben in het verleden ook wel eens tegen installatiefouten met Ubuntu aangelopen. Ik ben mede daarom overgestapt op Linux MInt. Mijn ervaring is dat dit OS iets steviger draait en vriendelijker is in gebruikt. Qua lay-out ligt het ook veel dichter bij het "vertrouwde" Windowsscherm. Probeer dit OS binnen te halen en hiermee de computer opnieuw te installeren. De download vind je hier: Linus Mint (Rebecca)

Een DDoS-dienst die onlangs werd gelanceerd blijkt op duizenden gehackte thuisrouters te draaien. Het gaat om de "Lizard Stresser" van de groep "Lizard Squad". Deze groep voerde tijdens de afgelopen kerst aanvallen op het Sony PlayStation Network en Microsoft Xbox Live uit, waardoor beide netwerken enige tijd onbereikbaar waren. Een aantal dagen na de aanvallen liet de groep weten dat het om een promotiestunt ging, als aankondiging van hun DDoS-dienst. Daarmee kunnen mensen tegen betaling DDoS-aanvallen op websites laten uitvoeren. Na de aanvallen werden twee vermeende leden van de groep door de autoriteiten opgepakt. IT-journalist Brian Krebs meldt nu dat de DDoS-dienst van de aanvallers op duizenden gehackte thuisrouters draait. De malware die voor het overnemen van de systemen werd gebruikt zou in november vorig jaar voor het eerst door het Russische anti-virusbedrijf Doctor Web zijn beschreven. Naast het uitvoeren van DDoS-aanvallen tegen websites zorgt de malware er ook voor dat besmette routers naar andere routers op internet zoeken. Zodra er een router is gevonden wordt er geprobeerd om met standaardwachtwoorden in te loggen. Is de aanval succesvol, dan wordt de malware geïnstalleerd en herhaalt de cyclus zich. Volgens onderzoekers bestaat het botnet van de Lizard Squad volledig uit thuisrouters. Inmiddels zou er met internetproviders en opsporingsdiensten worden samengewerkt om de besmette systemen uit de lucht te halen. bron: security.nl

Kritiek op Microsoft wegens schrappen ANS update-informatie De beslissing van Microsoft om informatie over aankomende beveiligingsupdates niet meer vooraf openbaar te maken heeft voor kritiek van IT-experts gezorgd. De softwaregigant liet donderdag weten dat het met de Microsoft Security Bulletin Advance Notification Service (ANS) ging stoppen. Via de Service gaf Microsoft op de vrijdag voor patchdinsdag een overzicht van de updates die de dinsdag erna zouden verschijnen. Het ging dan om het aantal te verschijnen updates, de ernst van de verholpen kwetsbaarheden en de getroffen software. Op deze manier konden systeembeheerders en organisaties alvast bepalen welke updates de hoogste prioriteit moesten krijgen. Verschillende media hebben het nieuws van Microsoft verkeerd geïnterpreteerd en laten weten dat Microsoft geen informatie meer over beveiligingsupdates geeft. Dit is onjuist. Elke tweede dinsdag geeft Microsoft nog steeds een overzicht van beschikbare updates en verholpen kwetsbaarheden. Alleen de vooraankondiging wordt niet meer openbaar gemaakt. Die zal voortaan alleen met "Premier" klanten worden gedeeld. InformatieVolgens de softwaregigant zouden met name grote bedrijven de informatie van ANS anders gebruiken dan voorheen en de prioriteit van de updates op andere manieren bepalen. Het Internet Storm Center laat weten dat nog veel experts en security professionals bij het plannen van de updatecyclus naar de ANS-informatie kijken. Beheerders zullen dat proces dan ook nu moeten aanpassen. Informatie over de updates zal namelijk pas bekend worden als de updates zelf verschijnen. "Slecht idee en verkeerde beslissing om dit voor het publiek te verbergen", zegt één van de critici op Twitter. Een ander merkt op dat het informeren van gebruikers belangrijk is, terwijl weer een ander laat weten dat het beperken van de informatie de veiligheid aantast. Eén iemand vraagt zich echter af of op deze manier aanvallers misschien minder informatie vooraf krijgen. Microsoft heeft zelf nog niet op de ontstane ophef gereageerd. Wel zal de softwaregigant aanstaande dinsdag 13 januari met de eerste beveiligingsupdates van 2015 komen. bron: security.nl

Er zijn nieuwe versies van OpenSSL verschenen waarin acht beveiligingslekken zijn verholpen. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden. De nu verholpen kwetsbaarheden zijn veel minder ernstig van aard. Twee lekken zijn als "gemiddeld" aangeduid, terwijl de overige zes problemen als "laag" worden bestempeld. Via de twee gemiddelde kwetsbaarheden kon een aanvaller een Denial of Service veroorzaken. Ook was het mogelijk om een OpenSSL-server een DH clientcertificaat zonder verificatie te laten accepteren en zou een aanvaller in bepaalde gevallen forward secrecy kunnen uitschakelen. Forward secrecy zorgt ervoor dat er voor elke sessie met een gebruiker een aparte sleutel wordt gegenereerd en na het aflopen van de sessie weer wordt verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de eerder opgeslagen sessies van gebruikers. Verder bleek dat het mogelijk was voor een aanvaller om in bepaalde gevallen de veiligheid van de versleutelde verbinding te downgraden en was het mogelijk om de vingerafdruk van een certificaat aan te passen. Gebruikers krijgen het advies om naar één van de drie nieuwe versies te upgraden, afhankelijk van welke versie er al is geïnstalleerd. De meest recente versies zijn nu OpenSSL 1.0.1k, 1.0.0p en 0.9.8zd. bron: security.nl

Een beveiligingsonderzoeker heeft gisterenavond een lek in verschillende routers van fabrikant Asus onthuld waardoor een lokale aanvaller het apparaat volledig kan overnemen en waarvoor nog geen beveiligingsupdate beschikbaar is. De kwetsbaarheid wordt veroorzaakt door een dienst genaamd infosvr die op UDP-poort 9999 op de LAN-interface luistert. De dienst wordt door een tool van Asus gebruikt en moet het makkelijker maken om de router in te stellen door automatisch naar routers op het lokale subnet te zoeken. Infosvr blijkt echter het MAC-adres van een verzoek niet goed te controleren. Daardoor kan een aanvaller de authenticatie omzeilen en door het versturen van een pakketje naar UDP-poort 9999 willekeurige opdrachten aan de router geven. De kwetsbaarheid is aanwezig in de Asus RT-AC66U, RT-N66U en andere modellen met de meest recente firmware. Onderzoeker Joshua Drake die het probleem ontdekte adviseert om de mogelijkheid om op afstand commando's op de router uit te voeren te verwijderen. "Zelfs met sterke authenticatie is het versturen van een wachtwoord over het LAN niet echt gewenst." Wie toch op afstand toegang wil hebben kan dit beter via SSH doen merkt de onderzoeker op. In afwachting op een update hebben gebruikers verschillende mogelijkheden. Zo stelt David Longenecker voor om via een script de infosvr-dienst tijdens het opstarten uit te schakelen. Eric Sauvageau adviseert om poort 9999 te firewallen en Drake geeft zelf als optie om de infosrv-dienst na het opstarten uit te schakelen. Iets wat ironisch genoeg via de exploit kan worden gedaan die van het lek misbruik maakt. bron: security.nl

Microsoft gaat na jaren stoppen met de vooraankondiging van beveiligingsupdates die op patchdinsdag zullen verschijnen. Al jaren lang publiceert Microsoft via de Advance Notification Service (ANS) en het eigen blog een overzicht van de updates die tijdens de patchdinsdag van de betreffende maand zullen verschijnen. Zo werd het aantal updates vermeld en de software waarvoor ze zouden verschijnen. Zodoende konden systeembeheerders alvast rekening houden, hoewel specifieke details over de te patchen kwetsbaarheden niet werden vermeld. Deze vooraankondiging vond altijd plaats op de vrijdag voor de tweede dinsdag van elke maand. De softwaregigant laat weten dat het de ANS-informatie niet meer via het eigen blog en website beschikbaar maken. De informatie zal voortaan alleen voor "Premier" klanten beschikbaar zijn en organisaties die bij de securityprogramma's van Microsoft betrokken zijn. RedenAls reden geeft Microsoft dat veel grote organisaties ANS vanwege verbeterde test- en uitrolmogelijkheden niet meer gebruiken op de manier zoals ze dat vroeger deden. Daarnaast zouden de meeste klanten gewoon op patchdinsdag wachten of helemaal geen voorbereidende actie ondernemen en de updates gewoon volautomatisch laten installeren. "Meer en meer klanten zoeken naar op maat gemaakte informatie voor hun organisaties. In plaats van ANS te gebruiken voor het plannen van de uitrol van beveiligingsupdates, kijken klanten steeds vaker naar tools als Microsoft Update en updatemanagementtools zoals Windows Server Update Service om de uitrol te organiseren", zegt Microsofts Chris Betz. Consumenten en organisaties die toch nog informatie willen ontvangen worden doorverwezen naar MyBulletins, een gepersonaliseerde patchdienst waarbij gebruikers over een Microsoft-account moeten beschikken en kunnen aangeven welke Microsoft-software ze gebruiken. Vervolgens kan men een overzicht van beschikbare Security Bulletins bekijken. Het gaat hier echter om informatie die pas verschijnt als de beveiligingsupdates verschijnen. Er wordt geen informatie vooraf verstrekt. bron: security.nl

Macro-virussen lijken misschien iets van het verleden, maar sommige criminelen gebruiken deze vorm van malware weer op grote schaal, zo waarschuwt beveiligingsbedrijf Trustwave. Eerder deze week gaf ook Microsoft al een waarschuwing voor macro-malware af. De criminelen waarvoor Trustwave waarschuwt gebruiken zowel Word- als Excel-documenten die zogenaamd informatie over een betaling, factuur of bestelling bevatten. Eenmaal geopend blokkeert Office standaard de aanwezige macro's om gebruikers te beschermen, maar geeft vervolgens wel de mogelijkheid om ze weer eenvoudig in te schakelen. In de jaren 1990 waren macro's een zeer populaire manier voor virusschrijvers om hun creaties te verspreiden. Als reactie besloot Microsoft macro's standaard uit te schakelen, wat het einde van de macrovirussen betekende. De methode wint echter weer aan populariteit. Zodra gebruikers de macro's in het document inschakelen wordt er een Trojaans paard gedownload dat speciaal ontwikkeld is om geld van bankrekeningen te stelen. "Macro-virussen zijn al jaren uit de mode, maar recentelijk zien we een comeback waarbij cybercriminelen deze infectievector gebruiken om hun malware te verspreiden", zegt analist Rodel Mendrez. bron: security.nl

VirusTotal, de online virusscanner van Google, heeft vorige maand stilletjes verschillende verbeteringen doorgevoerd zodat onderzoekers beter in staat zijn om Java-malware te analyseren. Via VirusTotal kunnen gebruikers bestanden uploaden om vervolgens door tientallen virusscanners te laten scannen. Begin december werd er een update uitgerold om meer informatie over verdachte Mac-bestanden en iOS-apps te geven. Stilletjes werd ook de analyse van JAR-bestanden en Java .class-bestanden verbeterd. De online virusscanner scande de inhoud van deze bestanden al, maar geeft nu ook aanvullende informatie, zoals de gebruikte Java-packages, het manifest van de JAR-bundel, opvallende strings, bestandstypedistributie en timestamp metadata voor bestanden in het JAR-bestand. Volgens Emiliano Martinez van VirusTotal wordt veel malware tegenwoordig via exploitkits verspreid, waarvan een groot gedeelte van kwaadaardige JAR-bestanden gebruik maakt om ongepatchte Java-lekken aan te vallen. Door de virusscanner uit te breiden hoopt Martinez dat onderzoekers beter dit soort dreigingen kunnen detecteren en analyseren. bron: security.nl

Microsoft heeft nieuwe virtual machines (VM) om Internet Explorer te testen online gezet, waarbij er geen rar meer als archieftechnologie wordt gebruikt maar zip. Daarnaast zijn er allerlei verbeteringen doorgevoerd. Via de VM's kunnen ontwikkelaars eenvoudig met verschillende versies van IE testen. In de nieuwste versie zijn verschillende verbeteringen doorgevoerd. Zo wordt nu de IE blocker-toolkit gebruikt om te voorkomen dat IE automatisch naar een nieuwere versie wordt bijgewerkt. Verder staat nu ook Windows Update standaard ingeschakeld en zijn alle Windows Updates tot en met november verwerkt. Op verzoek van gebruikers worden de virtual machines niet meer als rar-bestand aangeboden, maar als zip-bestand. Ook is het nu mogelijk om de virtual machines via één groot zip-bestand te downloaden, in plaats van allerlei kleinere losse bestanden. Microsoft wijst erop dat scripts die url's naar de downloadlocaties gebruiken moeten worden aangepast en dat er rekening met zip als archiefformaat moet worden gehouden. De nieuwe virtual machines zijn beschikbaar voor Windows, Mac en Linux en VM-oplossingen als Hyper-V, VirtualBox, VMWare Player en Parallels Desktop. bron: security.nl

Geheugenfabrikant Kingston heeft een serie beveiligde usb-sticks die het aanbiedt van automatische cloudback-up voorzien. De DataTraveler Locker+ G3 gebruikt hardwarematige encryptie om bestanden te versleutelen. Ook wordt de inhoud van de datadrager na tien verkeerde wachtwoorden geformatteerd. De usb-stick is nu van software voorzien waardoor gebruikers ervoor kunnen kiezen om de inhoud van de usb-stick naar een geselecteerde clouddienst te uploaden, zoals Google Drive, One Drive, Amazon S3 of Dropbox. Volgens Kingston kunnen consumenten op deze manier er zeker van zijn dat hun persoonlijke bestanden veilig in de cloud zijn opgeslagen mochten ze hun usb-stick verliezen. bron: security.nl

Microsoft heeft gebruikers voor malware gewaarschuwd die wachtwoorden voor allerlei programma's en inloggegevens voor internetbankieren steelt. De Emotet-malware wordt via een spamcampagne verspreid die vooral op Duitstalige internetgebruikers is gericht, hoewel 2,3% van de infecties in Nederland werd waargenomen. De e-mail bevat een link naar een zip-bestand over een zogenaamde storting van de bank. In werkelijkheid bevat het zip-bestand een exe-bestand dat de malware is. Eenmaal actief probeert Emotet inloggegevens voor verschillende Duitse banken te stelen. Daarnaast worden ook de wachtwoorden voor Eudora, Google Desktop, Google Talk, IncrediMail, Mozilla Thunderbird, MSN of Windows Live Messenger, Netscape 6 en Netscape 7, Outlook 2000, Outlook 2002 en Outlook Express, Windows Mail en Windows Live Mail en Yahoo! Messenger naar de aanvallers teruggestuurd. Volgens de softwaregigant laat de malware zien dat het belangrijk is om beveiligingssoftware up-to-date te houden. In het geval Microsofts beveiligingssoftware wordt gebruikt krijgen gebruikers daarbij het advies om gegevens met de Microsoft Active Protection Service Community (MAPS) te delen. bron: security.nl