Captain Kirk

Zoals Asus al middels de link aan heeft gegeven en als extra aanvulling: middels speciale tools (sniffers) kun je heel veel via je netwerk volgen of traceren. Maar los hiervan heb je het eigenlijk over het meeliften op het netwerk van de werkgever. Ik weet niet binnen jullie bedrijf ook is vastgelegd in de protocollen in hoeverre en op welke manier je dus van dit netwerk voor privédoeleinden gebruik mag maken van deze mogelijkheden. De regelgeving kan per bedrijf verschillen wat dus weer consequenties kan hebben voor je "privé"-surfgedrag. Mijn advies is om hier eens naar te informeren.

De ontdekking van malware die de firmware van harde schijven kan aanpassen is een "wake up call" voor fabrikanten en de security-industrie dat het risico echt is en het aantal firmware-gebaseerde aanvallen zal toenemen. Daarvoor waarschuwt de Amerikaanse burgerrechtenbeweging EFF. De organisatie stelt zelfs dat als de problematiek nu niet wordt opgelost, de gevolgen "desastreus" kunnen zijn. Firmware is de software die op allerlei computeronderdelen draait, zoals de videokaart, netwerkkaart en harde schijf, en het mogelijk maakt om deze onderdelen te besturen. Aanleiding voor de noodkreet van de EFF is de ontdekking van de Equation Group. Deze groep cyberspionnen had malware ontwikkeld die de firmware van allerlei harde schijven kon aanpassen. De malware kon zodoende het opnieuw installeren of formatteren van de harde schijf overleven. Ook maakte het op de harde schijf een verborgen container voor gestolen bestanden aan en was nauwelijks te detecteren. Firmware is naast computeronderdelen in allerlei andere elektronica aanwezig, van auto-onderdelen tot televisies. Het grote probleem met firmware is dat de code gesloten is. De meeste fabrikanten maken de broncode van hun firmware niet openbaar. In sommige gevallen nemen ze zelfs stappen om het "reverse engineeren" van hun firmware tegen te gaan. Volgens Cooper Quintin van de EFF is het daarnaast niet mogelijk om vanuit de computer te bekijken of de firmware van bepaalde onderdelen is aangepast of niet. MalwareFirmware-gebaseerde malware is in vergelijking met andere soorten malware nog een vrij onontgonnen gebied. Het aanvallen van de firmware heeft niet alleen voordelen voor cyberspionnen, maar ook voor cybercriminelen. De malware zou namelijk lastig te detecteren en te verwijderen zijn. Ook is de meeste firmware nog nooit openbaar gecontroleerd en is de broncode gesloten. Daardoor is het volgens Quintin een "rijke bron" voor zero day-kwetsbaarheden. Van veel apparaten wordt de firmware nooit geüpdatet, waardoor malware of exploits lange tijd aanwezig kunnen blijven. MaatregelenDe EFF roept fabrikanten dan ook op om hun firmware goed te auditen op kwetsbaarheden en vervolgens de resultaten te publiceren. Daarnaast moeten firmware-updates digitaal gesigneerd zijn en als laatste moet er een mechanisme komen om de integriteit van geïnstalleerde firmware te controleren. "We hebben de controle over onze computers opgegeven. We vertrouwen teveel verschillende apparaten. Apparaten die we niet zouden moeten vertrouwen, gegeven dat ze zonder dat we het weten kunnen worden gecompromitteerd", aldus Quintin. Volgens hem is het dan ook de hoogste tijd om de controle en daarmee ook de security terug te nemen. "We moeten fabrikanten aansporen zodat ze ervoor zorgen dat hun producten betrouwbaar zijn, zelfs en met name als ze de fabrieksvloer verlaten. We moeten nu handelen voor een toekomst waar de basis van onze computers veilig is." bron: security.nl

Cybercriminelen hebben onder andere in Nederland e-mails met kwaadaardige helpbestanden verspreid die de Cryptowall-ransomware bevatten. Daarvoor waarschuwt het Roemeense anti-virusbedrijf Bitdefender. De e-mails bevatten een .chm-bestand als bijlage. Dit staat voor Microsoft Compressed HTML Help en is de opvolger van de bekende helpbestanden in Windows. Chm-bestanden zijn zeer interactief en kunnen verschillende technologieen bevatten, zoals JavaScript. Daarmee is het mogelijk om automatisch een bestand te downloaden zodra het chm-bestand wordt geopend. Volgens analist Catalin Cosoi is het een logische keuze van cybercriminelen om chm-bestanden te gebruiken. "Hoe minder interactie van gebruikers, hoe groter de kans op infectie." Daarnaast zullen gebruikers deze bestanden mogelijk niet als verdacht beschouwen. De e-mails in kwestie doen zich onder andere voor als e-mailberichten van een faxmachine. Eenmaal geopend kan de ransomware bestanden op de computer versleutelen en vraagt vervolgens een bepaald bedrag aan gebruikers om ze te ontsleutelen. Volgens Bitdefender zouden de aanvallers met deze spamrun het echter op bedrijven hebben voorzien en wordt er geprobeerd om bedrijfsnetwerken te infiltreren. De afgelopen maanden lieten verschillende bedrijven weten dat ze het slachtoffer van ransomware waren geworden. bron: security.nl

Een week na het verschijnen van Firefox 36 heeft Mozilla een nieuwe versie uitgebracht die verschillende crashes en bugs verhelpt. Zo bleek de browser te crashen als Microsofts Enhanced Mitigation Experience Toolkit (EMET) stond ingeschakeld. Dit is een gratis beveiligingstool van Microsoft die het lastiger voor aanvallers moet maken om Windows en applicaties aan te vallen. Ook bevatte Firefox 36 verschillende bugs waardoor de Hello-chatfunctie niet meer werkte totdat de browser werd herstart, de printinstellingen niet werden opgeslagen, de Hello contact-tabs niet zichtbaar waren, er geen hostnames met een underscore werden geaccepteerd, WebGL veel geheugen gebruikte en er nog een andere grote crash was. Verder is de -remote optie weer teruggeplaatst. Updaten naar Firefox 36.0.1 kan via de automatische updatefunctie van de browser en Mozilla.org. bron: security.nl

DNS-aanbieder OpenDNS heeft een nieuw wapen dat het inzet om frauduleuze domeinen en phishingsites te herkennen, om die vervolgens te blokkeren. Bij verschillende gerichte aanvallen alsmede phishingmails worden vaak legitiem lijkende domeinen gebruikt, met als naam bijvoorbeeld "update-java", "adobe-update" en "firefoxupdata", gevolgd door een topleveldomein zoals .net of .com. Via deze domeinen worden de besmette computers bijvoorbeeld aangestuurd. Vanwege de gebruikte namen kunnen systeem- of netwerkbeheerders denken dat het hier om legitieme domeinnamen gaat en zullen daardoor niet meteen vermoeden dat de systemen besmet zijn. Om deze domeinen toch te herkennen zet OpenDNS nu NLPRank in, dat van natural language processing (NLP) gebruik maakt. Zo krijgen domeinen die op het oorspronkelijke domein lijken dat ze proberen na te bootsen strafpunten. Een domein als g00gle.com krijgt ten opzichte van google.com twee strafpunten, omdat er twee mutaties nodig zijn om het spoofdomein op het echte domein te laten lijken. Het systeem kijkt naast NLP ook naar zaken als de gegevens waarmee de domeinnaam is geregistreerd, HTML tags van de website zelf en of de domeinnaam zich bij dezelfde ASN bevindt als de partij die de aanvallers proberen te spoofen. Een domein dat bijvoorbeeld een Adobe-update aanbiedt hoort met een ASN van Adobe geassocieerd te zijn en niet met een ASN in Rusland. Al deze verschillende zaken maken het mogelijk voor NLPRank om een score aan een domeinnaam te geven en te bepalen of het om een mogelijke aanval gaat. Volgens OpenDNS is het systeem niet alleen effectief in het identificeren van gespoofte domeinen, maar ook een goede manier om gerichte aanvallen te voorkomen. bron: security.nl

De Autoriteit Consument & Markt (ACM) heeft een waarschuwing afgegeven voor de webwinkel Combiwebshop.nl. Op grond van tientallen meldingen die bij de ACM via het loket ConsuWijzer binnenkwamen en eigen onderzoek zegt de toezichthouder een redelijk vermoeden te hebben dat CombiWebshop bestelde producten niet levert en daarmee de regels van het consumentenrecht overtreedt. CombiWebshop verkoopt elektronische producten, zoals televisies, foto- en filmapparatuur en mobiele telefoons. Uit de meldingen van consumenten blijkt na de aanschaf van goederen er niet wordt geleverd. Het gaat daarbij vaak om aankopen van honderden euro’s. De webwinkel heeft onlangs laten weten in financiële problemen te verkeren en daardoor niet in staat te zijn de bestelde producten te leveren. De ACM merkt op dat het bedrijf consumenten ook niet binnen de wettelijke termijn van 14 dagen na ontbinding van de aankoop hun geld kan terugbetalen. De webwinkel is echter nog steeds online en er wordt op de website geen melding gemaakt van de leverings- en betalingsproblemen van de webwinkel. De webwinkel is verder telefonisch en per e-mail niet bereikbaar. Om te voorkomen dat meer consumenten worden gedupeerd waarschuwt de ACM nu voor deze webwinkel. De toezichthouder houdt zich onder andere bezig met het optreden tegen webwinkels die consumenten onjuist informeren of bij ontbinding het aankoopbedrag niet of niet tijdig terugbetalen. Het komt echter niet vaak voor dat de ACM voor een specifieke webwinkel waarschuwt. Vorig jaar gebeurde dit bij de webwinkel Bellio.nl. Security.NL wilde de uitbater van CombiWebshop om een reactie vragen, maar die bleek niet bereikbaar te zijn. bron: security.nl

Een onderzoeker van beveiligingsbedrijf NCC Group heeft onlangs aangetoond hoe hij via een kwaadaardige Blu-ray zowel Windowscomputers als Blu-rayspelers kan aanvallen. Stephen Tomkinson gaf zijn demonstratie tijdens de Secuir-Tay conferentie in Dundee, Schotland. De aanval die de onderzoeker ontwikkelde maakt gebruik van de mogelijkheden die Blu-ray biedt. Naast een betere beeld- en geluidskwaliteit ten opzichte van dvd ondersteunen Blu-rays ook allerlei "rich features", zoals dynamische menu's, embedded games en de mogelijkheid om aanvullende informatie van internet te downloaden. Deze rich features worden via BD-J ontwikkeld, een variant van Java die met Xlets werkt. Xlets zijn vergelijkbaar met de Webapplets die op websites worden gebruikt. Xlets draaien in een Java Virtual Machine, wat moet voorkomen dat ze toegang tot het systeem. AanvallenDe eerste demonstratie van Tomkinson richtte zich op Cyberlink PowerDVD en hoe deze populaire mediaspeler met Xlets omgaat. Een kwetsbaarheid in de software maakt het namelijk mogelijk om de beveiliging van de Xlet te omzeilen en willekeurige uitvoerbare bestanden uit te voeren. Aangezien Blu-rays standaard op systemen met PowerDVD worden uitgevoerd, zou een aanvaller via een besmette Blu-ray de computer kunnen infecteren. De tweede aanval was tegen een fysieke Blu-rayspeler gericht. Een Xlet die Tomkinson ontwikkelde bleek een programma op de speler aan te kunnen roepen die vervolgens een kwaadaardig bestand van de Blu-ray uitvoerde. Op deze manier wist de onderzoeker roottoegang te krijgen. Om potentiële doelwitten niets te laten vermoeden werd na het uitvoeren van de aanval gewoon de film getoond. Inmiddels zou er met verschillende leveranciers worden samengewerkt om de gevonden problemen te verhelpen. "Met wisselend succes", merkt Tomkinson op. Hij adviseert gebruikers in de tussentijd om het automatisch afspelen van Blu-rays via de AutoPlay-functie in Windows uit te schakelen. In het geval van een fysieke Blu-rayspeler doen gebruikers er verstandig aan die niet aan het internet te hangen. bron: security.nl

Al eens gekeken naar je instellingen van je anti-virus? Klinkt raar maar bij mij heeft ooit de Actieve schildbeveiliging voor een halvering van mijn snelheid gezorgd. Is die 20mb normaal in België? Ik vind het voor het gamen (wat ik uit je verhaal begrijp) ook niet echt aan de vlotte kant.

Aangezien er geen reactie meer is gekomen ga ik er vanuit dat het probleem getackeld is en dit topic dus gesloten kan worden. Mocht je het onderwerp toch weer open hebben, stuur dan even een PM. Voor een nieuw probleem vragen we je een nieuw onderwerp te starten.

Een onderzoeker heeft een kritiek lek in verschillende NAS-systemen van harde schijffabrikant Seagate ontdekt waardoor een aanvaller mogelijk duizenden van deze apparaten op internet kan overnemen, maar ondanks een maandenlange communicatie over het probleem is er nog altijd geen update voor getroffen gebruikers beschikbaar. Het probleem speelt in de Seagate Business NAS-systemen, die volgens de onderzoeker van Beyond Binary zowel door consumenten als bedrijven worden gebruikt. Via de systemen is het mogelijk om data op te slaan en te delen. Voor het aanmaken van gebruikers, instellen van toegangsrechten, beheren van bestanden en andere zaken zijn de NAS-systemen van een webmanagementapplicatie voorzien. De onderzoeker ontdekte dat deze applicatie op drie verouderde technologieën is gebaseerd, namelijk PHP versie 5.2.13 (2010), CodeIgniter 2.1.0 (2011) en Lighttpd 1.4.28 (2010). De gebruikte versies van PHP en CodeIgniter bevatten verschillende kwetsbaarheden. Daarnaast werden in de door Seagate ontwikkelde applicatie ook problemen aangetroffen. Een aanvaller die het sessiecookie aanpast kan daardoor uiteindelijk code als de gebruiker "root" uitvoeren. Inmiddels zijn er een Metasploitmodule en een Pythonscript ontwikkeld waarmee kwetsbare systemen kunnen worden aangevallen. De vereiste is wel dat de NAS-systemen via internet toegankelijk zijn. Een zoekopdracht via de Shodan-zoekmachine leverde meer dan 2500 mogelijk kwetsbare NAS-systemen op. Het probleem is getest en bevestigd op NAS-systemen met firmware 2014.00319 en 2013.60311, maar de onderzoeker stelt dat in principe alle firmware-versies kwetsbaar zijn. ImpactNaast de toegang tot gegevens kan een aanval op de NAS-systemen binnen een organisatie nog veel grotere gevolgen hebben. De NAS-systemen werken namelijk niet samen met Active Directory of LDAP. Daardoor moeten ze het wachtwoord voor elke gebruiker die toegang nodig heeft lokaal opslaan. Deze wachtwoorden worden via het kwetsbare MD5-hashingalgoritme gehasht. Volgens de onderzoeker bevatten de NAS-systemen die bij bedrijven staan ongetwijfeld wachtwoorden die door domeingebruikers worden hergebruikt. Een aanvaller die toegang tot de NAS heeft kan zodoende de MD5-hashes stelen en kraken en zo de domeingegevens achterhalen. UpdateOndanks de ernst van het probleem is er nog geen update beschikbaar en het is de vraag of die er ook zal komen. Op 7 oktober 2014 rapporteerde de onderzoeker het probleem aan Seagate. Vervolgens volgden allerlei berichten, waarbij het lastig voor de onderzoek bleek om de juiste persoon te pakken te krijgen. Pas eind januari kon een werknemer van Seagate het probleem reproduceren via de meegeleverde exploit. De onderzoeker stelde op 17 januari dat hij het probleem op 1 maart bekend wilde maken. Dit leidde echter niet tot een update, want afgelopen donderdag stelde Seagate dat er nog geen oplossing beschikbaar is. Gebruikers die zich willen beschermen krijgen dan ook het advies om de NAS-systemen niet via het publieke internet toegankelijk te maken en de apparaten achter een firewall te plaatsen en alleen verschillende betrouwbare IP-adressen toegang te geven. bron: security.nl

Om Firefoxgebruikers tegen Man-in-the-Middle-aanvallen te beschermen heeft Mozilla besloten om het Superfish-certificaat uit de browser te verwijderen, maar alleen bij gebruikers die eerst zelf het omstreden programma van hun computer hebben verwijderd. Superfish installeerde op computers een rootcertificaat waarmee het SSL-verkeer kon onderscheppen om vervolgens advertenties te injecteren. De adware bleek echter een kwetsbaarheid te bevatten waardoor gebruikers konden worden aangevallen. Verschillende partijen, waaronder ook Lenovo, kwamen met verwijdertools om zowel Superfish als het geïnstalleerde Superfish-certificaat te verwijderen. Sommige van deze verwijdertools verwijderen niet het Superfish-certificaat uit Firefox, waardoor deze gebruikers nog steeds risico lopen om te worden aangevallen. Om ervoor te zorgen dat deze gebruikers toch veilig zijn is Mozilla begonnen met de uitrol van een hotfix. Deze hotfix controleert of Superfish is verwijderd en verwijdert vervolgens het Superfish-certificaat uit Firefox. Als Superfish namelijk nog op de computer staat en Mozilla zou het certificaat uit Firefox verwijderen, zouden gebruikers geen HTTPS-sites meer kunnen bezoeken. De browserontwikkelaar adviseert gebruikers dan ook om de verwijderinstructies van Lenovo te volgen, waarmee zowel de software als het certificaat handmatig kunnen worden verwijderd. bron: security.nl

Deze week is er een nieuwe versie van het op privacygerichte besturingssysteem Tails verschenen, met onder andere een bitcoinportemonnee als toevoeging. Tails staat voor The Amnesic Incognito Live System en is ontwikkeld om zo min mogelijk sporen op internet achter te laten. Met de komst van Tails 1.3 zijn verschillende kwetsbaarheden opgelost, maar zijn ook verschillende nieuwe features toegevoegd. De eerste feature die in het oog sprint is de aanwezigheid van Electrum, een gebruiksvriendelijke portemonnee voor de digitale valuta bitcoin. Een andere nieuwe feature is keyringer, een programma waarmee op versleutelde wijze geheimen kunnen worden beheerd en uitgewisseld. Hiervoor maakt de software gebruik van GnuPG en Git. Tails is een compleet besturingssysteem dat vanaf een dvd of USB-stick is te gebruiken. Ondanks alle aandacht voor privacy lieten de Tails-ontwikkelaars onlangs weten dat dagelijks maar 10.000 mensen van het privacy-OS gebruik maken. bron: security.nl

Ps. Nog met excuus voor de wat late reactie...

Aangezien we nu een beetje door alle opties zijn om een mogelijk "lokaal"-probleem te tackelen en aangezien het feit dat je eerder aangaf dat het probleem op meerdere apparaten leeft, zou ik je toch aanraden nogmaals de provider te contacteren en ze te vragen op locatie alles door te meten. Ik weet niet hoe de service in België is, maar als voorbeeld heb ik ook ooit een dergelijk probleem gehad. Een monteur is toen een ochtend lang samen met mij aan het zoeken geweest wat het probleem kon zijn. En dan niet alleen middels zijn eigen apparatuur maar juist ook via de computers van mijzelf.

De ontwikkelaars van het populaire contentmanagementsysteem (CMS) TYPO3 hebben gewaarschuwd voor een kritiek lek in de software waardoor er alleen via een gebruikersnaam kan worden ingelogd. Om de aanval ook uit te voeren moet de CMS-software wel op een bepaalde manier zijn ingesteld. Zo moet de systeemextensie "rsaauth" zijn geladen en op een bepaalde manier voor frontendgebruik zijn geconfigureerd. Verder moet er een kwetsbare CMS-versie zijn geinstalleerd. Het lek, dat nog geen CVE-nummer heeft gekregen, is aanwezig in versies 4.3.0 t/m 4.3.14, 4.4.0 t/m 4.4.15, 4.5.0 t/m 4.5.39 en 4.6.0 t/m 4.6.18. Gebruikers krijgen het dringende advies om naar 4.5.40 te upgraden of een speciaal gemaakt shellscript te gebruiken dat kwetsbare TYPO3-versies patcht. bron: security.nl

Dat je een probleem kan ondervinden met het veranderen van het kanaal middels draadloos kan soms inderdaad zo zijn. Je verandert je routerkanaal maar je pc blijft nog contact zoeken op het oude kanaal. Heb je al geprobeerd de router op een andere plaats neer te zetten?

Soms wil een verkeerde tijds- of datuminstelling van de pc ook deze problemen veroorzaken. Ik zou je aanraden deze ook nog even te controleren.

In je Xirrus-overzicht zie ik dat je niet de enige bent die op kanaal 6 zit. storing van een andere router op hetzelfde kanaal of een duplex-kanaal in de buurt van je eigen frequentie kan ook deze problemen veroorzaken. Probeer eens een ander kanaal en kijk dan of je problemen minder zijn. Mijn keuze zou vallen op de kanalen 3, 8 of als je router het aan kan, 13 of hoger.

De geschiedenis van Firefox oproepen kun je binnen Firefox eenvoudig met de toetscombinatie Ctrl-Shift-H. HIermee open je een venster waarbinnen je niet alleen de geschiedenis kunt zien maak ook kunt sorteren op diverse waarden. Maar uit je vraag lees ik dat je naar iets zoekt wat meer informatie geeft. Kijk eens naar de add-on: Form History Control. Deze geeft wel inforatie op oa datum, etc. Ik ken de add-on verder niet precies dus ik kan je ook niet vertellen of je van hieruit de geschiedenis kunt opslaan. Op deze site kun je meer over Form History Control lezen.

Indien je met Mozilla Firefox werkt kun je deze ad-on gebruiken.

Computerfabrikant Lenovo heeft een verwijdertool gepubliceerd waarmee consumenten de Superfish-adware van hun laptop kunnen verwijderen. Het bedrijf kwam deze week onder vuur te liggen toen bleek dat de Superfish-adware niet alleen advertenties injecteerde, maar ook een zelf gesigneerd certificaat installeerde om HTTPS-verbindingen te kapen. Uiteindelijk werd het wachtwoord gekraakt dat de privésleutel van het Superfish-certificaat gebruikte. Hiermee zou het vervolgens in bepaalde gevallen mogelijk zijn om gebruikers via een Man-in-the-Middle aan te vallen. Lenovo maakte excuses en publiceerde vervolgens instructies om zowel de applicatie als het certificaat te verwijderen. Nu is er ook een verwijdertool die dit automatisch doet. Tevens heeft Lenovo ook de broncode van het programma gepubliceerd, zodat de werking van de software kan worden gecontroleerd. De tool verwijdert het certificaat uit zowel de Windows Certificaat Store als de Certificaat Store van Mozilla-producten. In eerste instantie werd gesteld dat Firefoxgebruikers geen risico liepen, maar dat bleek niet zo te zijn. Lenovo publiceerde dan ook aparte verwijderinstructies voor Firefoxgebruikers. De Amerikaanse burgerrechtenbeweging EFF zegt dat het 44.000 Firefoxgebruikers met het Superfish-certificaat heeft gezien. De informatie is afkomstig van het Decentralized SSL Observatory, dat informatie van de HTTPS Everywhere plug-in voor Firefox verzamelt. bron: security.nl

Microsoft heeft gisterenavond een update voor de virusscanners Security Essentials en Windows Defender uitgebracht waarmee de Superfish-adware op Lenovo-laptops alsmede het zelf gesigneerde certificaat dat de adware gebruikt worden verwijderd. Ook de gratis Microsoft Safety Scanner is in staat om Superfish te detecteren en te verwijderen. Dat ontdekte Filippo Valsorda van het CloudFlare Security Team. Inmiddels heeft Microsoft ook de omschrijving van de Superfish-adware online gezet, waarin de dreiging als een Trojaans paard wordt omschreven. Naast Microsoft hebben ook verschillende andere aanbieders van anti-virusoplossingen inmiddels een update uitgebracht om Superfish te detecteren en te verwijderen. Uit een overzicht op VirusTotal blijkt dat Superfish gisteren door 17 van de 55 virusscanners werd gedetecteerd. Eerder op de dag waren dat er nog zes. Naast de anti-virusbedrijven waarschuwen de Amerikaanse en Nederlandse overheid voor Superfish . Het Computer Emergency Readiness Team (US-CERT) dat onderdeel van het Amerikaanse ministerie van Homeland Security is gaf deze waarschuwing af. Consumenten krijgen daarin het advies om de adware en het geïnstalleerde certificaat te verwijderen. De Nederlandse overheid heeft via veiliginternetten.nl, een initiatief van Economische Zaken, het Nationaal Cyber Security Center en het ECP, een kort artikel over Superfish gepubliceerd. bron: security.nl

Microsoft biedt al jaren het gratis programma Process Explorer aan, maar sinds kort werkt het samen met VirusTotal van Google, waardoor gebruikers eenvoudig hun computer op malware kunnen controleren. Process Explorer toont een overzicht van services, programma's en bestanden die op de computer actief zijn. Door de integratie met Virus Total kunnen de hashes hiervan bij VirusTotal worden gecontroleerd. VirusTotal is een online virusscanner waar bestanden door 57 virusscanners worden gescand. Door de online virusscandienst via Process Explorer aan te roepen kan duidelijk worden of er verdachte bestanden op de computer actief zijn. Microsoft beveiligingsarchitect Roger Grimes laat op Infoworld weten hoe hij verdachte bestanden vervolgens via Process Explorer uitschakelt. Hierna verwijdert hij het bestand in kwestie handmatig van de computer. Grimes waarschuwt Windowsgebruikers dat het verwijderen van bestanden op eigen risico is. Het kan namelijk dat virusscanners een bestand ten onrechte als malware beschouwen of dat het bestand in kwestie een driver of andere belangrijk programmaonderdeel is. Sommige malware kan niet via Process Explorer worden gesloten. Hiervoor gebruikt Grimes Autoruns, een ander gratis programma van Microsoft, waarmee wordt voorkomen dat het besmette bestand de volgende keer dat Windows opstart wordt geladen. De beveiligingsarchitect benadrukt dat deze detectiemethode niet perfect is. Sommige malware kan de detectie omzeilen, hoewel dat bijzonder is, aldus Grimes. "In de toekomst kunnen virusschrijvers moeite doen om Process Explorer en Autoruns te vermijden, maar dat is op dit moment nog niet het geval. Deze methode is dus één van de beste beschermingsmethodes die je kunt gebruiken." bron: security.nl

Lenovo heeft een beveiligingsbulletin uitgebracht waarin het klanten waarschuwt voor de Superfish-adware die vooraf op laptops werd geinstalleerd. Volgens de fabrikant zijn er in Superfish verschillende kwetsbaarheden ontdekt, waaronder de installatie van een zelf gesigneerd rootcertificaat. Consumenten kunnen Superfish wel verwijderen, maar het Superfish-certificaat blijft echter gewoon op het systeem staan. Aangezien Superfish volgens Lenovo SSL-verkeer onderschept is dit een "beveiligingszorg". Daarom heeft de fabrikant verwijderinstructies online gezet, alsmede een lijst van kwetsbare laptops. Het betreft laptops in de E-, Flex-, G-, M-, S-, U-, Y- Yoga- en Z-series die tussen september 2014 en februari 2015 zijn geleverd. Bij elkaar gaat het om meer dan 40 modellen. Klanten die het certificaat laten staan lopen in bepaalde scenario's, bijvoorbeeld bij een open wifi-netwerk, het risico om via een Man-in-the-Middle te worden aangevallen. Gebruikers krijgen dan ook het advies het certificaat te verwijderen. Verder zou Superfish zijn gevraagd om alle serveractiviteit van de software uit te schakelen. Via Twitter meldt Lenovo dat het druk bezig is om het probleem te verhelpen en het vertrouwen van klanten terug te winnen. Ook het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft inmiddels een waarschuwing voor het certificaat afgegeven en adviseert gebruikers om het te verwijderen. Verder zijn er door de Amerikaanse burgerrechtenbeweging EFF verwijderinstructies online gezet, waaronder voor Firefoxgebruikers. bron: security.nl

Een onderzoeker die een programma schreef om onder andere de "vingerafdrukken" van SSH-sleutels te verzamelen stond vreemd te kijken toen hij één vingerafdruk op meer dan 250.000 apparaten aantrof. Het bleek om routers van de Spaanse telecomprovider Telefonica de Espana te gaan. Sommige netwerkapparatuur zou standaard van SSH zijn voorzien, waarbij de fabrikant beslist om dezelfde image van het besturingssysteem op alle apparaten uit te rollen. Onderzoeker John Matherly, tevens oprichter van de Shodan-zoekmachine, vond ook nog twee sleutels die respectievelijk 200.000 en 150.000 keer werden gebruikt. "Door deze zaken te analyseren is het makkelijk om een beeld te krijgen van de systematische problemen die zowel hardwarefabrikanten als internetproviders plagen", aldus Matherly. Hij heeft een lijst van unieke vingerafdrukken verzameld en biedt die nu via Github aan. "Het zou me niet verbazen als je interessante beveiligingsproblemen vindt door te analyseren waarom deze dingen verkeerd geconfigureerd zijn", zo merkt hij op. bron: security.nl