Captain Kirk

Vpn-provider Mullvad is een publiekscampagne gestart tegen het scanplan van de Europese Commissie. Brussel wil chatberichten en andere communicatie van Europese burgers controleren. Iets wat volgens Mullvad vergaande gevolgen voor de toekomst kan hebben. "Wanneer de wet van kracht wordt, zal de communicatie van alle EU-burgers worden gemonitord en geaudit. Er wordt beweerd dat het doel van deze wet is om ernstige misdrijven te detecteren. Wanneer een dergelijk gigantisch systeem gebouwd is, kunnen de machthebbers dat op elk moment voor iets anders aanpassen", aldus Mullvad. Wanneer mensen zich gemonitord voelen en geen recht op privécommunicatie hebben, vallen samenlevingen uit elkaar en veranderen democratieën in totalitaire staten, zo waarschuwt de vpn-provider. Die is nu op allerlei openbare plekken in Zweden een campagne gestart waarmee het waarschuwt voor het scanplan van Brussel en Europese politici oproept om het te stoppen. Zweden is de eerste helft van dit jaar voorzitter van de Europese Unie. Op één van de posters die Mullvad heeft gemaakt is te zien hoe een ouder een foto van zijn kinderen wil versturen en door het scansysteem als crimineel wordt bestempeld, dat tevens de politie inlicht en de toegang tot zijn online diensten blokkeert. Vorig jaar overkwam dit een Amerikaanse man die foto's van zijn kind naar een arts stuurde. De algoritmes en een medewerker van Google vonden ten onrechte dat het om kindermisbruikmateriaal ging, wat grote gevolgen voor de vader had. Zo besloot de Amerikaanse politie een onderzoek naar hem te starten en raakte hij zijn Google-account met allerlei waardevolle informatie kwijt. bron: https://www.security.nl

Onderzoekers hebben SonicWall SMA-apparaten gevonden die besmet zijn met malware die firmware-updates kan overleven en waarschijnlijk ontwikkeld is om gehashte wachtwoorden van gebruikers te stelen. Dat laat securitybedrijf Mandiant weten. De Secure Mobile Access (SMA) appliance is een apparaat dat als gateway wordt gebruikt om gebruikers bijvoorbeeld op het bedrijfsnetwerk te laten inloggen. Volgens Mandiant maken de aanvallers misbruik van een kwetsbaarheid waarvoor SonicWall een beveiligingsupdate heeft uitgebracht. Om welke kwetsbaarheid het gaat is niet bekend. De malware in kwestie, of een voorganger, was waarschijnlijk al in 2021 op de apparaten geïnstalleerd. Daarbij wist de aanvaller meerdere firmware-updates te overleven en shell-toegang te behouden. Het primaire doel van de malware lijkt het stelen van gehashte wachtwoorden van alle ingelogde gebruikers. Vervolgens kan de aanvaller proberen om deze hashes te kraken. SonicWall roept organisaties en beheerders op om te upgraden naar firmware 10.2.1.7 of nieuwer. Mandiant vermoedt dat de aanvallen door een vanuit China opererende groep zijn uitgevoerd. bron: https://www.security.nl

Een kritieke kwetsbaarheid in IBM Aspera Faspex wordt gebruikt voor aanvallen met een Linux-versie van de IceFire-ransomware, zo stelt securitybedrijf SentinelOne. Onlangs waarschuwde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor actief misbruik van het beveiligingslek in IBM Aspera Faspex. Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Eerder stelde beveiligingsonderzoeker Raphael Mendonca ook al het dat het lek wordt gebruikt voor ransomware-aanvallen op kwetsbare servers. Volgens SentinelOne hebben de criminelen achter de IceFire-ransomware, die het eerst alleen op Windows hadden voorzien, het nu ook op Linux gemunt en gebruiken ze daarbij het Aspera Faspex-lek. Bij de waargenomen aanvallen werden CentOS-systemen gecompromitteerd die een kwetsbare versie van IBM Aspera Faspex draaiden. Vervolgens werden allerlei bestanden op het systeem versleuteld. De onderzoekers merken op dat de ransomware op Linux niet alle bestanden versleutelt. Bepaalde paden worden vermeden, zodat belangrijke onderdelen van het systeem operationeel blijven. bron: https://www.security.nl

Google stopt met de Chrome Cleanup Tool die gebruikers moest beschermen en helpen bij het verwijderen van ongewenste software. Ook het periodiek controleren van Windowscomputers door Chrome wordt gestopt. De tool werd in 2015 door Google geïntroduceerd. Destijds liet het techbedrijf weten dat miljoenen internetgebruikers dagelijks met de gevolgen van ongewenste software te maken hadden. Het gaat dan bijvoorbeeld om software of extensies die zoekresultaten aanpassen, de startpagina veranderen of advertenties injecteren. Sindsdien heeft de Chrome Cleanup Tool volgens Google meer dan tachtig miljoen schoonmaakacties uitgevoerd, waarbij ongewenste software werd verwijderd en instellingen hersteld. De tool zou echter niet meer nodig zijn. Google claimt dat het aantal klachten van gebruikers over ongewenste software de jaren sterk is afgenomen. Zo ging drie procent van alle klachten vorig jaar over ongewenste software. Daarnaast zouden Google Safe Browsing en antivirussoftware ongewenste software eerder blokkeren dan voorheen het geval was. Verder zegt Google dat het malafide extensies in de Chrome Web Store opspoort die in strijd met het beleid zijn. Vanaf Chrome 111 kunnen gebruikers geen Chrome Cleanup Tool scan laten uitvoeren of de optie "Reset settings and cleanup" kiezen. Verder zal Chrome ook het onderdeel verwijderen dat periodiek Windowscomputers op verdachte software controleert. bron: https://www.security.nl

Netwerkfabrikant Fortinet waarschuwt organisaties voor een kritieke kwetsbaarheid in FortiOS en FortiProxy waardoor remote code execution mogelijk is en aanvallers apparaten op afstand kunnen overnemen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. FortiProxy is een gateway die het verkeer van gebruikers op dreigingen monitort. Een kwetsbaarheid in de webinterface van zowel FortiOS als FortiProxy maakt het mogelijk voor een ongeauthenticeerde aanvaller om een buffer underwrite te veroorzaken en zo willekeurige code op het apparaat uit te voeren. De impact van het beveiligingslek (CVE-2023-25610) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Fortinet stelt dat bij verschillende apparaten de kwetsbaarheid alleen tot een denial of service kan leiden. Onlangs werd een andere kwetsbaarheid in de software van Fortinet kort na het uitkomen van de beveiligingsupdate actief misbruikt bij aanvallen en ook FortiOS is in het verleden geregeld het doelwit van aanvallers geweest. Organisaties worden dan ook opgeroepen de beveiligingsupdate te installeren. Als workaround kan de webinterface worden uitgeschakeld of het aantal ip-adressen dat toegang tot de beheerdersinterface heeft te beperken. bron: https://www.security.nl

Wachtwoorden die in wachtwoordmanager Bitwarden zijn opgeslagen kunnen door een combinatie van de autofill feature en iframes door websites worden gestolen. Het probleem werd voor het eerst in november 2018 aan Bitwarden gemeld (pdf). Onlangs deed ook securitybedrijf Flashpoint dat. Bitwarden heeft aangegeven alleen voor een specifieke hostingprovider met een oplossing te komen. Daarnaast staat de autofill feature volgens de wachtwoordmanager standaard uitgeschakeld. De browser-extensie van Bitwarden kan opgeslagen inloggegevens voor websites invullen wanneer een gebruiker die bezoekt. Standaard zal het gebruikers hier om vragen. Bitwarden biedt echter ook de optie "auto-fill on page load", waarbij inloggegevens automatisch worden ingevuld. Op de eigen website waarschuwt de wachtwoordmanager dat deze feature standaard staat uitgeschakeld, omdat gecompromitteerde of kwaadaardige websites via de feature inloggegevens kunnen stelen. Een ander probleem volgens Flashpoint is dat Bitwarden alleen naar de domeinnaam kijkt om het automatisch invullen van wachtwoorden aan te bieden. Bitwarden zal dit daardoor ook bij een subdomein doen. Volgens het securitybedrijf is dit een probleem wanneer een bedrijf via bijvoorbeeld login.company.tld gebruikers laat inloggen, maar gebruikers via user.company.tld de mogelijkheid biedt om hun eigen content te hosten. Een aanvaller zou zo via user.company.tld inloggegevens voor login.company.tld kunnen stelen. Flashpoint beschrijft twee methodes hoe aanvallers van de werking van de browser-extensie misbruik kunnen maken. Als eerste wanneer een website een externe iframe plaatst waarover de aanvaller controle heeft én de gebruiker auto-fill on page load heeft ingeschakeld. De tweede optie is dat een aanvaller zijn content op een subdomein host, bijvoorbeeld van een hostingprovider, en dat de provider het inlogvenster voor gebruikers onder dezelfde domeinnaam draait. Het securitybedrijf stelt dat het deze laatste optie bij verschillende grote webservices heeft aangetroffen. Een ander punt dat Flashpoint opmerkt is dat wanneer auto-fill on page load staat ingeschakeld, er geen interactie van gebruikers is vereist voor het stelen van inloggegevens. Wanneer een gebruiker zijn gegevens via het contextmenu laat invullen, worden ook inlogformulieren in iframes ingevuld. Flashpoint waarschuwde Bitwarden, maar dat stelde dat het sinds 2018 van dit probleem weet en bewust heeft gekozen om het niet te verhelpen. Dit vanwege de manier waarop autofill werkt en dat de wachtwoordmanager geen inloggegevens zonder toestemming van gebruikers invult, tenzij ze zelf auto-fill on page load hebben ingeschakeld. Vervolgens kwam het securitybedrijf met een demonstratie hoe de aanvalsvector is te gebruiken om inloggegevens bij een bekende hostingprovider te stelen. Daarop liet Bitwarden weten dat het de betreffende hostingomgeving van de autofill feature gaat uitzonderen. De werking van iframes laat de wachtwoordmanager ongemoeid. "Het prioriteren van hun use-case over security en de reactie op ons rapport is zorgwekkend en organisaties moeten zich bewust zijn van de securityzorgen in het product", aldus Flashpoint. Dat voegt toe dat andere wachtwoordmanagers geen autofill bij iframes toepassen. In twee CVE-nummers van de kwetsbaarheid ontkent Bitwarden dat het om een beveiligingslek gaat. bron: https://www.security.nl

Microsoft 365 blokkeert voortaan standaard XLL add-ins in Excel om gebruikers tegen malware te beschermen, zo heeft Microsoft aangekondigd. XLL add-ins voorzien Excel van extra functionaliteit en features. Het is een soort DLL-bestand dat door Excel is te openen. Het wordt echter ook gebruikt voor de verspreiding van malware. Gebruikers krijgen bij het openen van een XLL add-in wel eerst een waarschuwing te zien, maar die is met één muisklik te sluiten, waarna de XLL add-in wordt uitgevoerd. Net als bij het blokkeren van macro's heeft Microsoft nu ook bij XLL add-ins ervoor gekozen dat die niet meer met één muisklik zijn in te schakelen. In plaats daarvan moeten gebruikers eerst naar de bestandseigenschappen van het bestand gaan en daar specifiek de optie "unblock" selecteren, om vervolgens opnieuw het bestand te openen. De maatregel wordt als eerste uitgerold onder Insiders van Microsoft 365 met versie 2302 (build 16130.20128) en geldt alleen voor XLL add-ins afkomstig van internet. Hieronder links de oude waarschuwing en rechts de nieuwe melding. bron: https://www.security.nl

De Brave-browser gaat het inloggen met een Google-account waarbij nog gebruik wordt gemaakt van third-party cookies voortaan standaard per website blokkeren. Dit moet de privacy van gebruikers verbeteren. Tal van websites bieden gebruikers de mogelijkheid om met hun Google-account in te loggen. Hierdoor hoeven gebruikers geen apart account bij elke website aan te maken. Een nadeel is echter dat er allerlei informatie over het gebruik van de betreffende website naar Google vloeit. Er zijn verschillende manieren waarop websites Google Sign-In kunnen implementeren. Bij de oudste methode wordt gebruikgemaakt van onbeperkte third-party cookies. Brave blokkeert standaard third-party cookies. Om ervoor te zorgen dat websites met de legacy Google Sign-In toch kunnen functioneren biedt de browser op dit moment een optie waarbij er een uitzondering wordt gemaakt voor third-party cookies voor het inloggen met een Google-account. Daardoor kunnen dergelijke cookies toch naar Google worden gestuurd. In een aankomende, nieuwe versie van de browser is de algemeen optie om legacy Google Sign-In altijd toe te staan of uit te schakelen verwijderd. In plaats daarvan wordt er straks gebruikgemaakt van een permissie-gebaseerd systeem dat de gebruiker per website nu standaard om toestemming vraagt. Het nieuwe systeem zal beschikbaar komen in Brave 1.51, die binnenkort verschijnt. Eind december besloot DuckDuckGo om Google sign-in pop-ups die op websites verschijnen voortaan automatisch in de eigen browser en extensies te blokkeren. bron: https://www.security.nl

Een beveiligingsonderzoeker heeft een proof-of-concept exploit gepubliceerd voor een kritieke kwetsbaarheid in Microsoft Word. Via het beveiligingslek is remote code execution mogelijk, waardoor in het ergste geval het systeem kan worden overgenomen. Het laden van een malafide document via de preview pane (voorbeeldvenster) is al voldoende, wat inhoudt dat er weinig gebruikersinteractie vereist is. De impact van de kwetsbaarheid, aangeduid als CVE-2023-21716, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam vorige maand met beveiligingsupdates voor de kwetsbaarheid, die door beveiligingsonderzoeker Joshua Drake werd gerapporteerd. Het techbedrijf adviseerde ook als workaround om geen rtf-bestanden van onbetrouwbare of onbekende bronnen te openen en e-mailberichten in plain text te lezen. Microsoft stelde verder dat de kans op misbruik van de kwetsbaarheid "minder waarschijnlijk" is. Dit weekend publiceerde Drake een proof-of-concept exploit voor het door hem ontdekte beveiligingslek. Die blijkt ook gepatchte versies van Microsoft Word te kunnen laten crashen, aldus onderzoeker Will Dormann. Tevens laat Raj Samani van securitybedrijf Rapid7 weten dat er inmiddels ook misbruik van de kwetsbaarheid wordt gemaakt, maar hier zijn nog geen verdere meldingen over. bron: https://www.security.nl

Onderzoekers waarschuwen voor malware die routers van fabrikant DrayTek infecteert en vervolgens gegevens voor e-mail en ftp onderschept. Dat laat securitybedrijf Lumen weten, dat onder andere in Nederland besmette routers heeft waargenomen. De aanvalscampagne die de onderzoekers ontdekten richt zich op de DrayTek Vigor 2960 en 3900. Het gaat om vpn-routers die end-of-life zijn en zodoende niet meer met beveiligingsupdates worden ondersteund. Hoe de aanvallers de DrayTek-routers weten te compromitteren is vooralsnog onbekend. Zodra dit het geval is installeren de aanvallers een remote access trojan en een variant van tcpdump voor het onderscheppen van verkeer dat langs de router gaat. Daarbij wordt specifiek verkeerd over poort 21 (ftp), poort 25 (smtp), poort 21 (pop3) en poort 143 (imap). De onderschepte data wordt vervolgens naar een server van de aanvallers geüpload. In totaal detecteerde Lumen honderd besmette routers. Dat zou twee procent van het totaal aantal DrayTek 2960 en 3900 routers zijn dat online is. De meeste besmettingen werden in de Verenigde Staten, Verenigd Koninkrijk, Nederland en Polen aangetroffen. Organisaties worden aangeraden om de end-of-life routers te vervangen door een model dat nog wel wordt ondersteund. bron: https://www.security.nl

Fraudebeschermingsdienst Eye4Fraud heeft de gegevens van zestien miljoen accounts gelekt, waaronder e-mailadressen, ip-adressen, namen, gedeeltelijke creditcardgegevens, wachtwoordhashes, telefoonnummers en fysieke adresgegevens van zestien miljoen accounts. Eye4Fraud biedt een dienst waarbij het de bestellingen die bedrijven ontvangen op fraude controleert. Op basis van e-mailadressen, ip-locatie, gedragsdata, aankoopgeschiedenis, bankgegevens en publieke records wordt gekeken of de bestelling die bij het bedrijf binnenkwam niet door een fraudeur is geplaatst. Onlangs claimde een aanvaller dat hij de volledige databaseback-up van de S3 storage servers van Eye4Fraud in handen heeft gekregen. De in totaal 65 gigabyte grote dataset werd vervolgens op internet te koop aangeboden. Beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned ontving de dataset en vroeg Eye4Fraud naar eigen zeggen herhaaldelijk om een reactie, maar kreeg die niet. Hunt heeft de e-mailadressen aan zijn zoekmachine toegevoegd. Via Have I Been Pwned is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de zestien miljoen bij Eye4Fraud buitgemaakte e-mailadressen was 77 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Ik werk zelf met o.a. een Behringer en weet dat wanneer de bit- en samplerate (p/ms) daar niet juist staat er ook een gekraak kan verschijnen. Dus even kijken wat het aanpassen van die instellingen doen kan geen kwaad. Een andere hersenkronkel: ik zie dat je met normale kabels werkt omdat je paneel geen USB-poorten heeft. Al een een kabel met zo een magneetblokje erom geprobeerd?Dit kan soms ook nog wel eens schelen.

Aangezien er niet meer gereageerd is ga ik er vanuit dat je probleem is opgelost en sluit ik het topic. Wil je het toch weer open hebben, stuur dan even een pm.

Vpn-provider Proton VPN heeft een permanente kill switch aan de Linux- en Windows-applicaties toegevoegd om het lekken van het ip-adres van gebruikers tegen te gaan. De software beschikte al enige tijd over een kill switch die al het externe netwerkverkeer van en naar het apparaat blokkeert totdat de applicatie weer verbinding met dezelfde vpn-server heeft. Dit moet voorkomen dat het echte ip-adres van de gebruiker lekt als de vpn-verbinding even wegvalt. Deze kill switch werkt alleen wanneer de gebruiker een vpn-verbinding start en wordt uitgeschakeld wanneer de gebruiker handmatig de vpn-verbinding verbreekt of het apparaat uitzet. De nu geïntroduceerde permanente kill switch voorkomt alle uitgaande en inkomende verbindingen buiten de vpn-interface. "Dit houdt in dat je apparaat geen verbinding met internet heeft tenzij je eerst verbinding met onze vpn-servers maakt", aldus Proton VPN. Dit geldt ook wanneer de gebruiker handmatig de vpn-verbinding verbreekt of het apparaat uitschakelt of opstart. De Windowsapplicatie maakt hiervoor gebruik van het Windows Filtering Platform, om zo via bepaalde filters alle verbindingen buiten de vpn-interface om te blokkeren. Bij de Linux-applicatie wordt gebruikgemaakt van een dummy netwerkinterface om al het uitgaande verkeer naar door te sturen en zo verbindingen te blokkeren. De Android-app van Proton VPN beschikte al enige tijd over een kill switch die nagenoeg op dezelfde manier als de permanente kill switch werkt. bron: https://www.security.nl

Leverancier van cryptowallets Trezor waarschuwt gebruikers via Twitter voor phishingaanvallen die op dit moment plaatsvinden. Gebruikers worden via sms, e-mail en telefonisch benaderd dat er een beveiligingsincident bij Trezor heeft plaatsgevonden en gebruikers via een meegestuurde link een "beveiligingsprocedure" moeten doorlopen voor het beveiligen van hun cryptovaluta. Trezor stelt dat er geen aanwijzingen zijn dat er recentelijk een datalek bij het bedrijf heeft plaatsgevonden waarbij gegevens van gebruikers zijn buitgemaakt. Daarnaast laat het bedrijf weten dat het gebruikers nooit telefonisch of via sms zal benaderen. Vorig jaar april liet Trezor weten dat een aanvaller erin was geslaagd om toegang te krijgen tot een interne tool van e-mailmarketingplatform MailChimp. Trezor gebruikt het platform van MailChimp voor het versturen van nieuwsbrieven. De aanvaller kreeg via MailChimp toegang tot de gegevens van Trezor-gebruikers die zich voor de nieuwsbrief hadden opgegeven. Vervolgens werden buitgemaakte e-mailadressen door de aanvaller gebruikt voor een phishingaanval. Trezor-gebruikers zijn een geliefd doelwit van aanvallers. In 2021 wist een aanvaller via een malafide Trezor-app, die twee weken in de Apple App Store stond, 1,6 miljoen dollar aan cryptovaluta van slachtoffers te stelen. bron: https://www.security.nl

Leverancier van mediaserversoftware Plex is niet bekend met het bestaan van zerodaylekken in de software, zo laat het bedrijf weten na berichtgeving dat een kwetsbaarheid in Plex gebruikt zou zijn voor een aanval op een medewerker van wachtwoordmanager LastPass. Eerder deze week meldde LastPass dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware. Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. ArsTechnica meldde op basis van een anonieme bron dat de niet nader genoemde software Plex was. Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. De aanval op LastPass waarbij klant- en kluisgegevens werden gestolen vond vorig jaar plaats, in de periode van 12 augustus tot 26 oktober. Op 24 augustus waarschuwde Plex voor een datalek. Een aanvaller had toegang tot één van de databases van het bedrijf gekregen. Deze database bevatte e-mailadressen, gebruikersnamen en "versleutelde wachtwoorden". De wachtwoorden zijn volgens Plex gehasht, maar uit voorzorg werd besloten om voor alle Plex-accounts een wachtwoordreset te verplichten. Of er een verband is tussen de inbraak bij Plex en LastPass is onbekend. Via Reddit laat een medewerker van Plex weten dat het bedrijf niet bekend is met kritieke kwetsbaarheden die voor het verschijnen van een beveiligingsupdate bekend zijn geworden. Ook heeft LastPass geen contact met Plex opgenomen, aldus de medewerker. "Wanneer kwetsbaarheden via responsible disclosure worden gemeld lossen we die snel en grondig op, en we hebben nog nooit meegemaakt dat er een kritieke kwetsbaarheid openbaar is geworden waarvoor nog geen gepatchte versie beschikbaar was. En wanneer we zelf met incidenten te maken hebben, kiezen we ervoor om er altijd snel over te communiceren. We zijn niet bekend met ongepatchte kwetsbaarheden", laat de medewerker verder weten. De Amerikaanse overheid houdt een overzicht bij van actief aangevallen kwetsbaarheden, maar daar komt de software van Plex niet in voor. bron: https://www.security.nl

De Europese Unie en de Verenigde Staten onderhandelen over een nieuw verdrag voor het uitwisselen van persoonsgegevens, maar de Europese privacytoezichthouders verenigd in de EDPB maken zich zorgen over het Data Privacy Framework (DPF). Het DPF moet het eerder afgeschoten Privacy Shield gaan vervangen. Volgens de EDPB zijn er verschillende positieve punten aan het nieuwe raamwerk, waaronder het toepassen van principes zoals noodzakelijkheid en proportionaliteit voor Amerikaanse inlichtingendiensten die data willen verzamelen en een nieuw mechanisme voor Europeanen om bezwaar aan te tekenen. Er zijn echter ook nog de nodige zorgen en onduidelijkheden in het voorstel. Het gaat dan om de rechten van Europeanen, verdere doorgifte van gegevens, de omvang van de uitzonderingen, tijdelijke bulkverzameling van data en het praktisch functioneren van de beroepsmogelijkheden. "Een hoog niveau van databescherming is essentieel om de rechten en vrijheden van Europese individuen te beschermen", zegt EDPB-voorzitter Andrea Jelinek. Ze stelt dat er grote verbeteringen zijn doorgevoerd in het raamwerk, maar dat de geuite zorgen en onduidelijkheden nog wel moeten worden weggenomen, omdat anders het adequaatheidsbesluit geen stand kan houden. Daarnaast vindt de EDPB dat na de eerste evaluatie van het adequaatheidsbesluit elke drie jaar een nieuwe beoordeling moet plaatsvinden. Het concept-adequaatheidsbesluit waar Jelinek het over heeft werd afgelopen december door de Europese Commissie gepubliceerd en is gebaseerd op het EU-U.S. Data Privacy Framework, dat zoals gezegd het Privacy Shield-verdrag moet vervangen nadat dat eerder door het Europees Hof van Justitie ongeldig was verklaard. De kern van het DPF zijn de EU-US Data Privacy framework principes, afkomstig van het Amerikaanse ministerie van Handel. Het DPF is alleen van toepassing op Amerikaanse organisaties die zich zelf hebben gecertificeerd op basis van de vereisten van het framework. bron: https://www.security.nl

Vpn-provider Proton VPN is vandaag een bètatest gestart van een browser-extensie voor Google Chrome en Mozilla Firefox. Via de extensie kunnen gebruikers vanuit de browser de vpn van Proton VPN in- en uitschakelen. De vpn-provider biedt al software waarmee alle verbindingen van een systeem via de vpn-dienst lopen, maar de browser-extensie zou in bepaalde gevallen handig kunnen zijn, aldus de aankondiging van de bètatest. Als voorbeeld wordt genoemd het privé browsen vanaf de werkcomputer terwijl er al verbinding met de zakelijke vpn is of het gebruik van Proton VPN op systemen waar de gebruiker geen beheerdersrechten heeft om de volledige vpn-app te installeren. Bij gebruik van de extensie gaat alleen verkeer van de browser via de vpn-verbinding, de overige verbindingen die het systeem maakt niet. De extensie is alleen beschikbaar voor gebruikers met een betaald Proton VPN-abonnement. bron: https://www.security.nl

LastPass heeft vandaag advies voor gebruikers gepubliceerd hoe die hun accounts kunnen beveiligen en zegt de gebrekkige communicatie te betreuren die bij klanten en gebruikers voor frustratie zorgde. Aanleiding is de diefstal van klantgegevens bij de wachtwoordmanager, waaronder back-ups met kluisgegevens. Afhankelijk van gebruikte instellingen en sterkte van het master password doen gebruikers er verstandig aan het master password te resetten, aldus het advies. LastPass kreeg vorig jaar met twee incidenten te maken, waarbij twee keer een systeem van een medewerker werd gecompromitteerd. Bij het eerste incident werd de zakelijke laptop van een software-engineer gecompromitteerd en kon de aanvaller zo broncode, technische informatie en bepaalde interne systeem secrets van LastPass stelen. LastPass dacht dat het dit incident had afgehandeld, maar ontdekte later dat de buitgemaakte informatie in dit eerste incident werd gebruikt bij een aanval die tot het tweede incident leidde. Bij het tweede incident werd de thuiscomputer van een DevOps-engineer met malware geïnfecteerd. Via deze computer kreeg de aanvaller uiteindelijk toegang tot de cloudopslag waar LastPass de back-ups van de kluisdata van alle klanten bewaart. De wachtwoordmanager stelt dat alle gevoelige kluisdata van klanten, op url's, file paths van de installatie en bepaalde e-mailadressen, versleuteld was. Deze data is te ontsleutelen met een encryptiesleutel die van het master password is afgeleid. De aanvaller ging er ook vandoor met een back-up van de LastPass MFA/federation database die kopieën van LastPass Authenticator seeds en telefoonnummers voor de MFA back-up optie bevat, alsmede de K2 key gebruikt voor LastPass federation. Deze database was versleuteld, maar de decryptiesleutel om die te ontsleutelen is ook door de aanvaller gestolen. LastPass heeft nu een securitybulletin voor eindgebruikers en zakelijke gebruikers gepubliceerd met aanbevelingen om accounts, naar aanleiding van de gestolen data, te beveiligen en verdere maatregelen te nemen. Daarbij wordt onder andere gekeken naar de sterkte van het master password, gebruikte master password hash iteraties en het gebruik van MFA voor toegang tot de wachtwoordkluis. Verder laat de wachtwoordmanager weten dat veel klanten vonden dat het vaker en duidelijker over de incidenten had moeten communiceren. LastPass stelt dat het gezien de duur van het onderzoek hier een afweging in moest maken, maar zegt de frustratie over de initiële communicatie te begrijpen en betreuren. bron: https://www.security.nl

Het Nationaal Cyber Security Centrum (NCSC) zal dit jaar de eerste stappen zetten om te komen tot het samenwerkingsplatform Cyclotron. Via dit platform zijn publieke en private partners in staat om informatie rondom (dreigende) cyberincidenten sneller en gerichter via een vertrouwde digitale omgeving onderling te delen. Dat heeft het NCSC in het Jaarplan 2023 aangekondigd. Het NCSC heeft dit jaar drie focuspunten: verhogen van de digitale weerbaarheid, incident response en voorbereiden op de toekomst. De ontwikkeling van Cyclotron moet bijdragen aan een betere weerbaarheid. Vorig jaar mei verscheen er al een rapport over Cyclotron, waarin de vraag centraal stond wat de mogelijkheden en randvoorwaarden zijn voor het versterken van de publiek-private samenwerking op operationeel en tactisch niveau zodat effectiever en efficiënter wordt gereageerd op (dreigende) cyberincidenten. Volgens de opstellers van het rapport is er behoefte aan een platform waarin intensiever dan nu het geval is informatie wordt uitgewisseld. Dat is echter niet zo eenvoudig. "Het realiseren van het Cyclotron-platform is een complex proces en implementatie zal stap voor stap moeten vorm krijgen", zo laat het rapport weten. Daarin staat ook dat de gewenste activiteiten in het Cyclotron-platform op dit moment nog niet allemaal kunnen worden uitgevoerd, vanwege beperkingen in de huidige beschikbare juridische kaders. "Zoals toegelicht in de sectie Juridisch kader is het daarom nodig om aanvullende of nieuwe wetgeving te ontwikkelen om het volledige takenpakket mogelijk te maken", maakt het rapport duidelijk. De opstellers stellen verder dat het platform het beste bij het NCSC kan worden ondergebracht en goed aansluit op al bestaande initiatieven in het informatiedelingslandschap. bron: https://www.security.nl

Het is zorgwekkend dat de Britse regering een backdoor in encryptie wil, zo stelt e-maildienst Tutanota. De mailprovider zal het Verenigd Koninkrijk echter niet verlaten als de omstreden Online Safety Bill wordt aangenomen, zoals chatapp Signal eerder aankondigde. Tutanota heeft herhaaldelijk kritiek op het Britse wetsvoorstel geuit en doet dat nu opnieuw. "Het is echt zorgwekkend wat er nu in het VK plaatsvindt, ooit één van de grootste democratieen ter wereld. De Britse regering denkt nog steeds dat het over een 'magische sleutel' kan beschikken om toegang tot versleutelde communicatie te krijgen, en daarbij volledig voorbij gaat aan de technische achtergrond en wat cryptografische experts herhaaldelijk hebben gezegd: Je kunt geen backdoor in encryptie hebben en ervoor zorgen dat daar geen misbruik van wordt gemaakt", aldus Matthias Pfau, medeoprichter van Tutanota. Pfau stelt dat de e-mailprovider nooit een backdoor zal toevoegen. Mocht de Britse regering vinden dat bedrijven versleutelde communicatie wel toegankelijk moeten maken, dan zal het land de toegang tot Tutanota moeten blokkeren, merkt de medeoprichter op. De e-maildienst wordt al in Iran en Rusland geblokkeerd. Mocht de Britse regering doen, dan glijdt het af tot het niveau van autoritaire regimes zoals Rusland, Iran, Noord-Korea en China, stelt Pfau. het Britse House of Commons heeft het wetsvoorstel al aangenomen. Nu moet het House of Lords er nog over stemmen. bron: https://www.security.nl

Google heeft vandaag client-side encryptie voor de zakelijke versie van Gmail beschikbaar gemaakt. Het gaat hier niet om end-to-end encryptie, zoals Google ook uitlegt. Bij end-to-end encryptie kunnen alleen ontvanger en afzender de inhoud van berichten lezen. In het geval van client-side encryptie heeft de systeembeheerder van het bedrijf beschikking over de sleutels van gebruikers en kan zo de inhoud van uitgewisselde berichten controleren. Het is echter niet mogelijk voor Google om de inhoud van berichten te lezen, zo stelt het bedrijf in een uitleg over de feature. Bij client-side encryptie voor Gmail on the web wordt de e-mail in de browser van de gebruiker versleuteld voordat die wordt verstuurd. Clients maken hierbij gebruik van encryptiesleutels die in een cloudgebaseerde key management service zijn gegenereerd en opgeslagen. Beheerders hebben zo de controle over de sleutels en wie er toegang toe heeft. Zo is het mogelijk om de toegang van gebruikers tot hun sleutels in te trekken, ook wanneer een gebruiker die zelf heeft gegenereerd. Ook kunnen beheerders zo de versleutelde bestanden van gebruikers monitoren. De header van de e-mail, waaronder onderwerp, timestamps en geadresseerden, zijn niet versleuteld. Client-side encryptie, waarmee gebruikers ook met gebruikers van andere e-mailclients versleuteld kunnen mailen, is beschikbaar voor organisaties die werken met Google Workspace Enterprise Plus, Education Plus en Education Standard. De feature, waar afgelopen december een bètatest van startte, staat standaard uitgeschakeld. Beheerders moeten die voor hun organisatie inschakelen, waarna gebruikers vervolgens de optie kunnen kiezen. Client-side encryptie is niet beschikbaar voor Gmail-gebruikers met een persoonlijk Gmail-account of in eenvoudigere zakelijke versies zoals Google Workspace Essentials of G Suite Basic. bron: https://www.security.nl

Een nieuw Amerikaans wetsvoorstel kan TikTok in de Verenigde Staten volledig verbieden. Volgens de Amerikaanse burgerrechtenbeweging ACLU vormt het voorstel een bedreiging voor het recht op de vrijheid van meningsuiting. Via het wetsvoorstel, dat bekendstaat als H.R. 1153 (pdf), kan de regering TikTok en andere applicaties verbieden die een bedreiging voor de Amerikaanse nationale veiligheid vormen. Daarbij wordt in het wetsvoorstel specifiek TikTok genoemd. Vandaag zal de commissie van buitenlandse zaken van het Amerikaanse Huis van Afgevaardigden over het voorstel stemmen. Daarna zal het in stemming worden gebracht bij het Huis van Afgevaardigden, maar volgens CNBC zal het daar met grote meerderheid worden aangenomen. Het lot van het voorstel in de Amerikaanse Senaat is nog onduidelijk. "Op dit moment hebben de rechtbanken de autoriteit van de regering om TikTok te sanctioneren in twijfel getrokken. Mijn wetsvoorstel geeft de regering de mogelijkheid om TikTok of welke software dan ook die de Amerikaanse staatsveiligheid bedreigt te verbieden", aldus Michael McCaul, indiener van het voorstel en voorzitter van de commissie van buitenlandse zaken. "Iedereen met TikTok op zijn telefoon heeft China een backdoor naar al zijn persoonlijke informatie gegeven. Het is een spionageballon in je telefoon." De Amerikaanse burgerrechtenbeweging ACLU is fel tegenstander van een verbod. "Het Congres moet niet complete platformen censureren en Amerikanen hun grondwettelijk recht op vrijheid van meningsuiting ontnemen. Of we nu het nieuws van de dag bespreken, demonstraties livestreamen of naar kattenvideo's kijken, we hebben een recht om TikTok en andere platformen te gebruiken voor het uitwisselen van onze gedachten, ideeën en meningen met mensen in het hele land en wereldwijd", zegt Jenna Leventoff van de ACLU. De burgerrechtenbeweging heeft de commissie nu in een brief gevraagd om tegen het voorstel te stemmen. bron: https://www.security.nl

WordPress-sites van makelaars en vastgoedbedrijven zijn het doelwit van aanvallen waarbij gebruik wordt gemaakt van twee kwetsbaarheden in het Houzez-theme. Houzez biedt een theme speciaal gericht op vastgoed, zoals de verhuur of verkoop van woningen. Volgens de ontwikkelaars maken meer dan 35.000 klanten gebruik van het theme. Houzez biedt via het theme ook een optie dat gebruikers zich op de website kunnen registreren, bijvoorbeeld als koper, eigenaar of verkoper. Securitybedrijf Patchstack ontdekte dat gebruikers die zich registeren zich ook als administrator kunnen opgeven, om vervolgens beheerder van de betreffende website te worden. Daarnaast zit een soortgelijke kwetsbaarheid ook in de plug-in van het Houzez-theme. Patchstack informeerde Houzez over de beveiligingsproblemen, dat vervolgens met een beveiligingsupdate kwam. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Aanvallers maken inmiddels actief misbruik van de beveiligingslekken, aldus Patchstack, dat over een "groot aantal aanvallen" spreekt. bron: https://www.security.nl

Besmette advertenties en gecompromitteerde websites infecteren dagelijks duizenden gebruikers van Internet Explorer, waarbij aanvallers gebruikmaken van bekende kwetsbaarheden, zo stelt securitybedrijf Prodaft op basis van eigen onderzoek. De IE-gebruikers zijn slachtoffers van de RIG-exploitkit, die gebruikers met een kwetsbare browser ongemerkt met malware kan infecteren. Alleen het te zien krijgen van een besmette advertentie of bezoeken van een gecompromitteerde website is voldoende. Daarbij richt de RIG-exploitkit zich volledig op Internet Explorer en maakt gebruik van verschillende bekende kwetsbaarheden. Het gaat met name om de beveiligingslekken aangeduid als CVE-2020-0674 en CVE-2021-26411, waarvoor Microsoft op respectievelijk op 11 februari 2020 en 9 maart 2021 beveiligingsupdates uitbracht. Ondanks de beschikbaarheid van deze patches raakte vorig jaar dertig procent van de IE-gebruikers die via een besmette advertentie of gecompromitteerde website naar de RIG-exploitkit werd geleid besmet met malware. Het gaat dan met name om malware ontwikkeld voor het stelen van wachtwoorden en andere gegevens, zoals RedlineStealer, Dridex en RaccoonStealer, of het installeren van aanvullende malware. Hoewel het aandeel van Internet Explorer de afgelopen jaren sterk is gedaald, wordt de browser vooral nog binnen bedrijven gebruikt. Dat blijkt ook uit het aantal exploit-pogingen, die met name op dinsdag, woensdag en donderdag een piek vertonen. bron: https://www.security.nl