Captain Kirk

Meta krijgt van de Ierse privacytoezichthouder DPC mogelijk een boete van meer dan twee miljard euro opgelegd wegens het overtreden van de AVG met Facebook, Instagram en WhatsApp. Het Europees Comité voor gegevensbescherming (EDPB) zal vandaag een beslissing nemen, waarna de Ierse databeschermingsautoriteit binnen een maand met een definitief oordeel komt. Dat laat Politico weten io basis van de EDPB-agenda voor vandaag (pdf). De details en mogelijke hoogte van de boete blijven tot dan geheim. De boetes voor de drie platforms zouden bij elkaar opgeteld meer dan twee miljard euro kunnen zijn, de hoogste AVG-boete die ooit is opgelegd. Politico wijst daarbij ook naar financiële documenten van Meta waaruit blijkt dat het bedrijf voor 2022 en 2023 in totaal drie miljard euro heeft gereserveerd voor privacyboetes in de EU. Mocht de DPC overgaan tot het opleggen van de boete kan Meta nog in beroep gaan. bron: https://www.security.nl

Er is een nieuwe versie van de populaire mediaspeler VLC media player verschenen die meerdere kwetsbaarheden verhelpt, waaronder een beveiligingslek dat remote code execution mogelijk maakt. Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten. VLC 3.0.18 verhelpt meerdere problemen die kunnen leiden tot een denial of service of crashes. Een kwetsbaarheid verdient de meeste aandacht. Wanneer een gebruiker een malafide vnc-link opent kan dit leiden tot een buffer overflow en een aanvaller code op het systeem laten uitvoeren. Gebruikers wordt dan ook aangeraden om naar de nieuwste versie te updaten. Didier Stevens van het Intern Storm Center laat weten dat bij verschillende Windows-versies de updateserver ten onrechte meldt dat er geen nieuwe versie beschikbaar is, waardoor gebruikers met een kwetsbare versie blijven werken. VLC-ontwikkelaar VideoLAN is hierover ingelicht. Gebruikers kunnen de nieuwste versie ook zelf downloaden via VideoLAN.org. bron: https://www.security.nl

Onderzoekers hebben malware ontdekt die bestanden steelt van smartphones die op de besmette computer worden aangesloten. Ook van andere aangesloten apparaten wordt data buitgemaakt. Dat meldt antivirusbedrijf ESET in een analyse. De "Dolphin-malware" wordt toegeschreven aan een spionagegroep genaamd StarCruft, die ook bekendstaat als APT37 of Reaper en zich vooral op Zuid-Korea richt. Eenmaal actief zoekt de malware op harde schijven en usb-sticks naar mediabestanden, documenten, e-mails en certificaten. Ook aangesloten smartphones of andere draagbare apparaten worden doorzocht. Verder slaat de malware toetsaanslagen op, maakt elke dertig seconden een screenshot en kan wachtwoorden en cookies uit de browser stelen. Alle data wordt vervolgens naar Google Drive geüpload. Voor de verspreiding van de malware is gebruikgemaakt van de website van een Zuid-Koreaanse krant gericht op Noord-Korea. De aanvallers wisten daar kwaadaardige code te plaatsen die een exploit bevatte die weer misbruik van een kwetsbaarheid in Internet Explorer maakte. bron: https://www.security.nl

Mozilla en Microsoft vertrouwen nieuwe certificaten van certificaatautoriteit TrustCor niet meer en zullen verschillende rootcertificaten van het bedrijf op den duur uit hun rootstores verwijderen. Aanleiding voor de maatregel zijn de nauwe banden tussen TrustCor en Measurement Systems, een bedrijf dat Androidmalware verspreidt. Begin november lieten onderzoekers en de Wall Street Journal weten dat TrustCor en Measurement Systems nauw verweven met elkaar zijn en onder andere kantoorruimte, technische voorzieningen en personeel deelden. Het in Panama gevestigde Measurement Systems heeft weer banden met Packet Forensics, dat afluisterdiensten aan het Amerikaans leger leverde. Onderzoekers ontdekten eerder dit jaar dat Measurement Systems softwareontwikkelaars betaalde voor het toevoegen van malware aan hun apps, die persoonlijke informatie van gebruikers terugstuurde, waaronder telefoonnummers, e-mailadres en exacte locatie. De betreffende apps zijn vermoedelijk meer dan zestig miljoen keer gedownload, waaronder tien miljoen downloads voor een gebeds-app voor moslims. Nadat de onderzoekers hun bevindingen met Google deelden werden de apps uit de Play Store verwijderd. Naast Google werd ook Mozilla ingelicht over de connectie tussen Measurement Systems en TrustCor. De laatstgenoemde is een rootcertificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. Is het certificaat niet afkomstig van een certificaatautoriteit die in de root store is te vinden dan geeft de browser een certificaatwaarschuwing. Er zijn geen aanwijzingen dat TrustCor malafide tls-certificaten heeft uitgegeven, waarmee het bijvoorbeeld mogelijk is om verkeer van internetgebruikers via een man-in-the-middle-aanval te onderscheppen. Toch zijn de banden tussen de certificaatautoriteit en Measurement Systems onacceptabel, aldus Mozilla. "Certificaatautoriteiten spelen een zeer belangrijke rol in het internetecosysteem en het is onacceptabel voor een certificaatautoriteit om nauw verweven te zijn met een bedrijf dat zich bezighoudt met de verspreiding van malware", zegt Mozillas Kathleen Wilson. Volgens Wilson bevestigen de reacties van TrustCor de zorgen van de Firefox-ontwikkelaar. Daarom is besloten om nieuwe tls-certificaten van TrustCor niet meer te vertrouwen en op den duur de rootcertificaten van TrustCor uit de rootstore te verwijderen. Microsoft zou nieuwe TrustCore-certificaten sinds 1 november niet meer in Edge vertrouwen. bron: https://www.security.nl

Wachtwoordmanager LastPass heeft gebruikers gewaarschuwd voor een beveiligingsincident waarbij aanvallers toegang tot klantgegeven hebben gekregen. LastPass zegt dat het onlangs verdachte activiteit in een third-party cloudopslagdienst ontdekte die het deelt met partner GoTo. De aanvaller wist met gegevens die bij een ander beveiligingsincident afgelopen augustus werden gestolen toegang tot klantgegevens te krijgen. Bij de aanval in augustus werd onder andere broncode en vertrouwelijke technische informatie van LastPass buitgemaakt. De verantwoordelijke aanvaller wist via het systeem van een ontwikkelaar toegang tot de ontwikkelomgeving van de wachtwoordmanager te krijgen. Volgens LastPass zijn de wachtwoorden van gebruikers bij het nu gemelde incident niet in gevaar. Op dit moment wordt de omvang van het datalek en welke informatie precies is gestolen onderzocht. Verdere details zijn niet gegeven. Vanwege de succesvolle inbraak op de ontwikkelomgeving liet LastPass afgelopen augustus weten dat het de beveiliging ging aanscherpen, waaronder extra "endpoint security controls" en monitoring van systemen. Ook in de aankondiging van het nu onthulde datalek wordt gemeld dat het bedrijf beveiligingsmaatregelen en monitoring in de infrastructuur blijft uitrollen, maar exacte details ontbreken. bron: https://www.security.nl

Aanvallers zoeken op grote schaal naar back-ups van WordPress-sites om zo inloggegevens te verkrijgen waarmee de website kan worden overgenomen. Dat stelt securitybedrijf Wordfence dat de afgelopen maand zeventig miljoen pogingen waarnam. WordPress beschikt over het bestand wp-config.php dat onder andere inloggegevens voor de database en secret keys bevat. Informatie in het bestand kan aanvallers helpen om een website over te nemen. Het bestand is standaard binnen WordPress beschermd en niet toegankelijk. Een veelgebruikte methode om een back-up van wp-config.php te maken is door het bestand te kopieren en van een nieuwe extensie te voorzien, zoals .txt, .bak, of .html. Wanneer beheerders dit bestand in de webdirectory achterlaten is het relatief eenvoudig voor aanvallers om deze bestanden te vinden. Dit kan bijvoorbeeld via Google, maar er zijn ook speciale scanners voor. Beheerders wordt dan ook aangeraden om hun back-ups niet in de webdirectory achter te laten. Volgens cijfers van marktvorser W3Techs draait 43 procent van alle websites op internet op WordPress. bron: https://www.security.nl

Een groep aanvallers die zich met cyberspionage bezighoudt maakt gebruik van usb-sticks als primaire infectiemethode, zo waarschuwt securitybedrijf Mandiant. De groep heeft het voorzien op private en publieke organisaties in voornamelijk Zuidoost-Azië, maar ook in Europa en de Verenigde Staten. Ook al bevonden aangevallen organisaties zich in andere locaties, de aanvallen begonnen met het infecteren van computers in de Filipijnen. Hiervoor maakt de groep, door Mandiant aangeduid als UNC4191, gebruik van usb-sticks. De infectie begint wanneer gebruikers handmatig een exe-bestand vanaf de besmette usb-stick laden. Het gaat hier om een legitieme applicatie genaamd USB Network Gate waarmee de aanvallers een malafide dll-bestand op de usb-stick laden. De malware biedt de aanvallers toegang tot het besmette systeem en zal nieuw aangesloten usb-sticks infecteren. Zo verspreiden besmette usb-sticks zich door de aangevallen organisatie en kunnen ook air-gapped machines die niet direct met internet verbonden zijn besmet worden. Mandiant, dat dit jaar voor 5,4 miljard dollar door Google werd overgenomen, denkt dat het hier om een Chinese operatie gaat om toegang tot publieke en private organisaties te krijgen om zo inlichtingen te verzamelen voor de politieke en commerciële belangen van China. bron: https://www.security.nl

Certificaatautoriteit Let's Encrypt heeft sinds 2015 meer dan drie miljard gratis tls-certificaten uitgegeven die websites gebruiken voor het opzetten van een versleutelde verbinding en om zichzelf te identificeren. Op dit moment zijn er 310 miljoen websites actief die van een Lets Encrypt-certificaat gebruikmaken. De groei van https lijkt echter af te vlakken. Let's Encrypt heeft een volledig versleuteld web als doel en wil dit bereiken door tls-certificaten gratis uit te geven en de installatie zo eenvoudig mogelijk te maken. Toen de certificaatautoriteit begon was slechts een kwart van de websites via een https-verbinding beschikbaar. Inmiddels is dat meer dan tachtig procent. Hierdoor kunnen miljarden mensen het internet met meer privacy en security gebruiken, stelt Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. Hoewel browsers tegenwoordig een waarschuwing laten zien bij het bezoeken van http-sites, blijkt uit cijfers van Let's Encrypt dat het percentage https-sites aan het afvlakken is. Zo maakt ongeveer 93 procent van de websites die Amerikaanse Firefox-gebruikers bezoeken gebruik van https. Een cijfer dat sinds april 2020 niet is veranderd. Wereldwijd gaat het om 82 procent van de websites die Firefox-gebruikers tegenkomen. Een cijfer dat al bijna drie jaar stabiel blijft. bron: https://www.security.nl

De Ierse privacytoezichthouder DPC heeft Meta een AVG-boete van 265 miljoen euro opgelegd wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. Vorig jaar startte de Ierse databeschermingsautoriteit een onderzoek nadat media berichtte over een dataset van 533 miljoen Facebook-gebruikers die op internet werd aangeboden. Het ging om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum, in sommige gevallen e-mailadres, relatiestatus en andere informatie. De data was door middel van scraping verzamelt, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen. In april 2021 had de DPC al op basis van gegevens van Facebook aangegeven dat het techbedrijf mogelijk één of meerdere onderdelen van de AVG heeft overtreden of nog altijd overtreedt. Vandaag meldt de DPC dat Facebook artikel 25 (1 en 2) heeft overtreden. Het artikel gaat over gegevensbescherming 'by default en design' en stelt dat verwerkers passende technische en organisatorische maatregelen nemen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking, maar ook minimale gegevensverwerking. Naast de boete van 265 miljoen euro moet Meta verder binnen een bepaalde tijd corrigerende maatregelen doorvoeren. bron: https://www.security.nl

Europol heeft tijdens een internationale operatie die van mei tot en met november plaatsvond samen met opsporingsdiensten uit 27 landen meer dan 12.500 domeinen offline gehaald wegens het aanbieden van namaakgoederen en online piraterij. Zo werden via de websites onder andere illegaal content van streamingdiensten en televisiezenders aangeboden. Operation In Our Sites vond voor de dertiende keer plaats. Elk jaar gaat Europol samen met andere opsporingsdiensten op zoek naar websites die intellectueel eigendom of handelsmerken schenden. Bij deze editie van de operatie werden onder andere 12.500 websites offline gehaald, 32 servers gebruikt voor de illegale verspreiding van content van ruim tweeduizend televisiezenders uitgeschakeld en gingen vijftien online webwinkels die namaakgoederen op social media aanboden op zwart. Tevens werd er voor 3,8 miljoen euro aan namaakgoederen in beslag genomen. bron: https://www.security.nl

Hou ons op de hoogte. Wanneer je dochter niet op kort termijn kan, is er hier vast wel iemand die je bij kan staan.

Ik heb het topic ook eens goed meegelezen. Ik denk inderdaad ook dat je systeem het Windows niet meer goed kan handelen. Je BSOD komt door een brakke driver die weer veroorzaakt zou kunnen worden door een hadwarestukje wat het Windows niet meer goed kan handelen. Misschien dat alleen een clean install hier nog enige uitkomst zou kunnen bieden. Maar ik zou ook hier adviseren al je privébestanden te zetten naar een backup of 1-op-1 copy naar externe schijf en op zoek te gaan naar een nieuwer systeem.

Het Google Marketing Platform, voorheen bekend als DoubleClick, is de meest actieve tracker op internet, zo stelt antivirusbedrijf Kaspersky op basis van data die het van gebruikers verzamelde. Van de Top 25 trackers die het afgelopen jaar bij gebruikers werden gedetecteerd zijn er vier van Google: Google Analytics, Google AdSense, Google Marketing Platform (DoubleClick) en YouTube Analytics. De antivirussoftware van Kaspersky beschikt over een onderdeel genaamd Do Not Track (DNT) dat webtrackers blokkeert. Gebruikers moeten de optie zelf inschakelen. Kaspersky zegt anonieme data over het gebruik van DNT te verzamelen waarmee het de meest actieve trackers in kaart kan brengen. Google Marketing Platform werd het vaakst aangetroffen. Van alle geblokkeerde webtrackers bij Europese gebruikers is meer dan 21 procent afkomstig van Googles marketingplatform. Google Analytics volgt op een tweede plek met vijftien procent. Een andere actieve trackingpartij in Europa is het Franse advertentiebedrijf Criteo. Zeven procent van de waargenomen trackers waren van dit bedrijf. Daarmee staat het voor Facebook, dat voor vijf procent van de trackers verantwoordelijk is. "Er zijn slechts een paar globale bedrijven die in elke hoek van de wereld gebruikersdata verzamelen", aldus Kaspersky. Volgens de virusbestrijder kunnen internetgebruikers het tracken niet volledig voorkomen, maar alleen de hoeveelheid data beperken die techbedrijven over hen verzamelen. bron: https://www.security.nl

Google heeft voor de achtste keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. De kwetsbaarheid bevindt zich in het GPU-proces van de browser dat wordt het gebruik voor het weergeven van video of graphics op een website. Via het beveiligingslek is een buffer overflow mogelijk. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De zeroday, aangeduid als CVE-2022-4135, werd gevonden door een onderzoeker van Googles eigen Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 107.0.5304.121/.122 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. bron: https://www.security.nl

Aan een populaire Google Chrome-extensie voor het spel Roblox met meer dan 200.000 installaties is gisteren malware toegevoegd die wachtwoorden en virtuele goederen van spelers probeert te stelen. Google heeft de extensie inmiddels uit de Chrome Web Store én bij gebruikers verwijderd. Die worden onder andere aangeraden hun wachtwoorden te wijzigen. SearchBlox is een Chrome-extensie voor het zoeken en joinen van Roblox-servers. Meer dan 200.000 spelers installeerden de Chrome-extensie. Gisteren bleek dat er kwaadaardige JavaScript aan de extensie was toegevoegd die onder andere virtuele items van Roblox-spelers automatisch verhandelt en hun inloggegevens steelt. Volgens berichten op Twitter zou de malafide code door de ontwikkelaar van de extensie zijn toegevoegd, maar dat is nog niet bevestigd. Wel zou het account van de extensie-ontwikkelaar op het Roblox-handelsplatform Rolimons wegens verdachte activiteiten zijn opgeheven. bron: https://www.security.nl

Onderzoekers waarschuwen voor een malafide helpdesk die cryptovaluta van slachtoffers steelt. De aanvallers hebben het voorzien op gebruikers van cryptobeurzen en cryptowallets, zo stelt securitybedrijf PIXM. De aanval begint met een phishingpagina waarop gebruikers wordt gevraagd om op hun account in te loggen en de tweefactorauthenticatie (2FA) te doorlopen. De phishingpagina laat vervolgens een foutmelding zien waarbij er binnen de browser een chatvenster van de zogenaamde helpdesk verschijnt. Een "helpdeskmedewerker" vraagt gebruikers in de chat om hun gebruikersnaam, wachtwoord en 2FA-code. Mocht het met deze gegevens niet lukken om op het account van het slachtoffer in te loggen gaan de aanvallers over naar fase drie. Het slachtoffer wordt dan gevraagd TeamViewer te installeren, zodat zijn computer op afstand door de oplichters kan worden overgenomen. Vervolgens vraagt de "helpdeskmedewerker" of het slachtoffer op het e-mailaccount wil inloggen dat aan het exchange- of wallet-account is gekoppeld. Daarna wordt het slachtoffer gevraagd om in te loggen op het crypto-account. De aanvaller, die via TeamViewer controle over de computer heeft, voegt een willekeurig karakter toe wanneer het slachtoffer zijn wachtwoord invult. Hierdoor zal de inlogpoging mislukken. Vervolgens wordt het slachtoffer opnieuw gevraagd om in te loggen, maar dit keer heeft de aanvaller vanaf het systeem van het slachtoffer op de TeamViewer-chat geklikt, waardoor die het wachtwoord in het chatvenster invoert. Met deze gegevens logt de malafide helpdeskmedewerker in. Vaak zal de betreffende cryptodienst een mail naar de gebruiker versturen of die het nieuwe apparaat waarvandaan wordt ingelogd via een aparte link wil bevestigen. De aanvaller gebruikt zijn toegang tot het systeem van het slachtoffer om de bevestigingslink te bemachtigen, zodat er toegang tot het gebruikersaccount kan worden verkregen. Daarna wordt de cryptovaluta gestolen. De zogenaamde helpdeskmedewerker blijft net zolang met het slachtoffer in gesprek totdat de diefstal is afgerond. bron: https://www.security.nl

Criminelen zijn er in geslaagd om in de eerste zeven maanden van dit jaar elfduizend Nederlandse computers met malware te infecteren en zo 675.000 wachtwoorden te stelen. Wereldwijd raakten in totaal 890.000 computers besmet en werden meer dan vijftig miljoen wachtwoorden buitgemaakt. Dat stelt securitybedrijf Group-IB op basis van eigen onderzoek. Onderzoekers van het bedrijf identificeerden 34 bendes die achter de aanvallen zitten en gebruikmaken van bekende malware zoals RedLine en Raccoon Infostealer. Deze malware is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, browsercookies en auto-fill content. Verder kan de malware data van cryptowallet-extensies stelen, inloggegevens en chatlogs van Telegram en Discord, inloggegevens voor het Steam-platform en Amazon, vpn-wachtwoorden voor NordVPN, OpenVPN en ProtonVPN, FTP-inloggegevens die in FileZilla zijn opgeslagen en tekst uit specifieke bestanden. Naast 675.000 wachtwoorden werden ook gegevens voor 4500 cryptowallets van Nederlandse computers buitgemaakt. De gestolen gegevens worden door de criminelen vervolgens doorverkocht of zelf gebruikt om mee te frauderen. De RedLine-malware is volgens Group-IB het populairst en wordt door 23 van de 34 groepen ingezet. Voor de verspreiding van de wachtwoordstelers maken de aanvallers gebruik van links die ze onder andere plaatsen in reacties op YouTube. Ook wordt de malware toegevoegd aan software of op forums geplaatst. Group-IB adviseert gebruikers om geen software van verdachte bronnen te downloaden, voor de installatie van aparte virtual machines of alternatieve besturingssystemen gebruik te maken, geen wachtwoorden in browsers op te slaan en geregeld cookies uit de browser te verwijderen. Eerder dit jaar wist de Nederlandse politie een Oekraïense man aan te houden die door de Verenigde Staten wordt gezocht en een sleutelrol zou hebben gespeeld bij de verspreiding en ontwikkeling van de Raccoon Infostealer. De malware werd van 2018 tot begin van dit jaar aangeboden als malware-as-a-service of "MaaS". Voor het gebruik van de malware werd zo'n tweehonderd dollar per maand betaald. Update De cijfers over Nederland zijn door Group-IB in een apart rapport aan Security.NL verstrekt. bron: https://www.security.nl

Onderzoekers hebben in de Tailscale-client voor Windows een kritieke kwetsbaarheid ontdekt waardoor aanvallers op afstand systemen kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website is voldoende, er is geen verdere interactie van gebruikers vereiste om remote code execution mogelijk te maken. Tailscale heeft een beveiligingsupdate uitgebracht, maar gebruikers moeten die handmatig installeren, aangezien de software niet over een automatische updatefunctie beschikt. Tailscale is een service voor het opzetten van een mesh vpn. Waar traditionele vpn's al het verkeer via een centrale gateway-server laten lopen, creëert Tailscale een op het WireGuard vpn gebaseerd peer-to-peer mesh-netwerk. De informatie over ip-adressen van nodes op het netwerk, controle van gebruikers, Wireguard public keys en andere zaken voor het netwerk worden door een centraal "control plane" verstuurd. Door middel van dns rebinding is het mogelijk om Windows-clients van Tailscale verbinding met een malafide coördinatieserver te laten maken. Dns rebinding is een techniek waardoor een aanvaller de same-origin policy van de browser kan omzeilen en toegang kan krijgen tot apparaten op het lokale netwerk van de gebruiker. Via de malafide coördinatieserver is het vervolgens mogelijk om de instellingen van de Windows Tailscale-client aan te passen en die een bestand te laten downloaden en uitvoeren, zonder enige interactie van de gebruiker. De kwetsbaarheid, aangeduid als CVE-2022-41924, werd gevonden door onderzoekers Jamie McClymont en Emily Trau. Ze waarschuwden Tailscale op 16 november. Zeven uur na de melding waren de problemen verholpen en ontvingen de onderzoekers een beloning van 10.000 dollar, ook al heeft Tailscale geen bugbountyprogramma voor het belonen van bugmeldingen. Tailscale adviseert gebruikers van de Windows-client om te updaten naar versie 1.32.3. bron: https://www.security.nl

Wel bijzonder. Voor de stichting waar ik onder werk (zowel Primair als Middelbare scholen) zagen we dat Google inderdaad minder toegefelijk is in een overleg dan Microsoft. Met Microsoft hebben wij inmiddels duidelijke afspraken en is de DPIA, het Data Protection Impact Assissment, geregeld. Binnen het netwerk van alle schoolbesturen in Nederland zie je dat dit op meer scholen in Nederland al goed geregeld is of dat men, de scholen en schoolbesturen, er volop mee bezig is.

Franse scholen en onderwijsinstellingen mogen geen gebruikmaken van de gratis versies van Microsoft Office 365 en Google Workspace omdat die niet aan de AVG voldoen en de Schrems II-uitspraak over de doorgifte van persoonsgegevens naar derde landen, zo stelt de Franse minister van Onderwijs Pap NDiaye. Hij reageerde op vragen van Philippe Latombe van de Democratische beweging. Latombe stelde dat Microsoft met gratis oplossingen marktverstorend werkt en zich aan oneerlijke competitie schuldig maakt. Daarnaast heeft de politicus zorgen over de privacy van leerlingen, vanwege de opslag van data in de Amerikaanse cloud. NDiaye stelt dat de gratis versies van Microsoft Office 365 en Google Workspace niet aan de AVG voldoen en het ministerie onderwijsinstellingen heeft gevraagd om hier geen gebruik meer van te maken. De Franse privacytoezichthouder CNIL adviseert het gebruik van oplossingen die wel aan de Europese privacywetgeving voldoen en waarbij geen data naar de Verenigde Staten wordt verstuurd. Eerder besloot een Duitse deelstaat Microsoft Office 365 te verbieden omdat het niet aan de AVG voldoet. Vorig jaar liet toenmalig minister Grapperhaus van Justitie en Veiligheid weten dat er bij het gebruik van Google G Suite en G Suite for Education privacyrisico's zijn waardoor organisaties die de software gebruiken geen of onvoldoende grip houden op wat er met de gegevens van gebruikers gebeurt. bron: https://www.security.nl

Misschien kun je het volgende proberen: ga naar het speakericoontje rechtsonder in je taakbalk klik met de rechter muisknop op het icoontje klik op Geluidsinstellingen openen Er opent zich nu een venster. Bovenin lees je: Uw uitvoerapparaat kiezen kies hier voor uitvoer via je geluidskaart

Onderzoekers zijn er ruim twee jaar geleden in geslaagd om dankzij een kwetsbare encryptiemethode en met behulp van een achthonderd grote cpu-cluster van hostingprovider Digital Ocean de encryptiesleutels van de Zeppelin-ransomware te kraken, zodat slachtoffers sindsdien kosteloos hun data kunnen terugkrijgen. Dat is deze week bekendgemaakt. Afgelopen augustus waarschuwde de FBI organisaties nog voor aanvallen met de Zeppelin-ransomware, die met name tegen medische bedrijven en zorginstellingen is ingezet, maar ook defensiebedrijven, vitale infrastructuur, techbedrijven en onderwijsinstellingen. De Zeppelin-ransomware is sinds eind 2019 actief. Onderzoekers van securitybedrijf Unit 221B ontdekten begin 2020 een kwetsbaarheid in de gebruikte encryptiemethode, waardoor het mogelijk is om door middel van een bruteforce-aanval de decryptiesleutel in een aantal uur te achterhalen. Zeppelin gebruikt drie verschillende encryptiesleutels voor het versleutelen van bestanden. Na de versleuteling worden de public keys van het systeem verwijderd. Het blijkt echter mogelijk om de volledige encryptie ongedaan te maken door een specifieke public key uit het Windows Register te halen en te kraken. "Als we de RSA-512 Public Key uit het register kunnen halen, kunnen we die kraken en de 256-bit AES Key krijgen die de bestanden versleutelt", aldus onderzoekers Lance James en Joel Lathrop. De uitdaging was dat de public key na het versleutelen van alle bestanden van het systeem wordt verwijderd. Het lukte de onderzoekers om door middel van verschillende forensische tools de verwijderde public key veilig te stellen en daarna te kraken. Ze maakten vervolgens een tool die dit proces voor slachtoffers automatiseerde. Hostingprovider Digital Ocean had een cluster van twintig servers beschikbaar gesteld met elk veertig processors om de veilig gestelde keys binnen vier tot zes uur te kraken. Zo konden de onderzoekers allerlei slachtoffers van de Zeppelin-ransomware helpen met het kosteloos terugkrijgen van hun bestanden. Het onderzoek naar de kwetsbare encryptie was begin 2020 al gedeeld met opsporingsdiensten en een selecte groep onderzoekers. Deze week werd het onderzoek voor iedereen openbaar en is het besproken tijdens de Black Hat-conferentie in Riyad Saudi-Arabië besproken. bron: https://www.security.nl

Een groep criminelen maakt onder andere gebruik van Google Ads voor de verspreiding van ransomware, zo stelt Microsoft. De groep wordt aangeduid als DEV-0569 en zit achter de verspreiding van de "Royal-ransomware". Meerdere groepen hebben de beschikking over deze ransomware. Volgens Microsoft valt DEV-0569 op door de gebruikte verspreidingsmethodes waardoor het meer organisaties kan bereiken. Zo maakt de groep gebruik van de contactformulieren op bedrijfswebsites om berichten met malafide links achter te laten. Ook maakt de groep gebruik van legitiem lijkende downloadsites die in werkelijkheid malafide bestanden aanbieden. Daarnaast heeft de groep ook Google Ads ingezet. De via Google getoonde advertentiecampagnes maken gebruik van het legitieme traffic distribution system (TDS) Keitaro om potentiële doelwitten te selecteren. Afhankelijk van bijvoorbeeld ip-adres of apparaat komt de advertentie uit op een legitieme downloadsite of een malafide versie. De malafide downloadsite biedt bijvoorbeeld het programma TeamViewer aan, maar in werkelijkheid gaat het om malware waarmee uiteindelijk de ransomware kan worden geïnstalleerd. Microsoft heeft het gebruik van het advertentiesysteem door de ransomwaregroep bij Google gerapporteerd. bron: https://www.security.nl

Mozilla gaat adblockers in Firefox geen beperkingen opleggen zoals Google in Chrome doet, zo heeft de softwareontwikkelaar nogmaals laten weten. Huidige adblockers blijven in ieder geval tot eind 2023 ondersteund en daarna zullen nieuwe adblockers bij de overstap naar de Manifest V3-specificatie niet worden beperkt. Manifest V3 bevat specificaties waar browser-extensies aan moeten voldoen. Twee jaar geleden kondigde Google Manifest V3 aan. Eén van de aanpassingen in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die beperkt de mogelijkheden van adblockers door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Gisteren maakte adblocker Adblock Plus bekend dat het vanwege Manifest V3 wordt gedwongen een beperkte adblocker uit te brengen. Google stapt halverwege volgend jaar over op Manifest V3 in Chrome. Mozilla laat weten dat het zeker tot eind 2023 extensies gebaseerd op Manifest V2 zal blijven ondersteunen. Uiteindelijk zal ook Mozilla Manifest V2 in Firefox uitfaseren, waardoor huidige extensies niet meer zullen werken. De Firefox-ontwikkelaar heeft echter besloten om de webRequest API in Manifest V3 te blijven ondersteunen, alsmede een compatibele versie van DNR. Volgens Mozilla biedt de webRequest API meer flexibiliteit dan DNR, waar adblockers en andere privacy- en security-extensies op creatieve wijze gebruik van kunnen maken. bron: https://www.security.nl

De makers van Adblock Plus zullen vanwege nieuwe regels van Google Chrome volgend jaar een beperkte versie van de adblocker uitbrengen. De manier waarop extensies binnen Chrome mogen werken staat beschreven in een manifest. Google is druk bezig met de komst van Manifest V3. Eén van de aanpassingen in het nieuwe manifest betreft het grotendeels uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Verschillende partijen hebben al geklaagd dat adblockers met de komst van Manifest V3 minder effectief worden. Nu laat ook Adblock Plus weten dat Manifest V3 voor de nodige beperkingen zorgt. Adblockers zoals Adblock Plus maken gebruik van filterlijsten om advertenties en trackers te blokkeren. Met de komst van Manifest V3 worden adblockers beperkt in het aantal filterlijsten dat ze gebruikers kunnen bieden. Om aan de nieuwe eisen te voldoen zal Adblock Plus straks vijftig vooraf geïnstalleerde filters bieden die gebruikers kunnen in- en uitschakelen. Van deze filters kunnen gebruikers er maximaal tien gelijktijdig ingeschakeld hebben. Op dit moment worden de filterlijsten van Adblock Plus automatisch bijgewerkt, vaak dagelijks. Het automatisch dagelijks updaten van filterlijsten zal straks ook niet meer mogelijk zijn. In plaats daarvan zullen ontwikkelaars steeds nieuwe versies van hun extensies moeten uitbrengen. Wanneer de Manifest V3-versie van Adblock Plus verschijnt is nog niet bekend. De adblocker-ontwikkelaar zegt zich ook te zullen inzetten voor aanpassingen van Manifest V3. bron: https://www.security.nl