Captain Kirk

Vooral in een oldtimer is een hele mooie ervaring. Maar nee, er komt voorlopig geen vervanger. Ik heb niet meer heel veel tijd om te knutselen en sleutelen wat zo een oldtimer wel nodig heeft. Mijn andere hobby's (eigen radiostationnetje en veel op pad met metaal detector) slokken nu de tijd op. Maar wie weet...

Hardwarefabrikant QNAP waarschuwt dat gebruikers onmiddellijk hun NAS-systeem tegen aanvallen moeten beveiligen, anders lopen ze het risico dat bestanden worden versleuteld en aanvallers de apparaten overnemen. Volgens QNAP zijn allerlei soorten netwerkapparaten het doelwit van brutefoce- en ransomware-aanvallen en lopen met name op internet aangesloten apparaten zonder bescherming risico. In een vandaag verschenen waarschuwing adviseert QNAP gebruikers om eerst te controleren of hun NAS-systeem vanaf het internet toegankelijk is. Wanneer dit het geval is wordt aangeraden om port forwarding op de router en UPnP op het NAS-systeem uit te schakelen. Vorig jaar werden QNAP-gebruikers meerdere keren het doelwit van aanvallen, waarbij aanvallers onder andere misbruik maakten van bekende kwetsbaarheden in de QNAP-software. Wat exact de reden is voor QNAP om gebruikers vandaag te waarschuwen laat de fabrikant niet weten, maar eind december was er een toename van ransomware-aanvallen op QNAP-systemen. bron: https://www.security.nl

FlexBooker, een online oplossing voor het beheer van afspraken, heeft de privégegevens van ruim 3,7 miljoen gebruikers gelekt, die nu op internet worden aangeboden. Via FlexBooker kunnen bedrijven en organisaties afspraken met klanten, gebruikers en medewerkers inplannen. Vorige maand kreeg de website met een datalek te maken waarbij data van meer dan 3,75 miljoen gebruikers werd buitgemaakt. Het gaat onder andere om e-mailadressen, namen, telefoonnummers en voor een klein aantal accounts ook wachtwoordhashes en gedeeltelijke creditcarddata. De gegevens konden door een gecompromitteerd AWS-account worden gestolen en worden nu op internet verhandeld. De gestolen e-mailadressen zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de meer dan 3,75 miljoen toegevoegde e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

Een beveiligingslek in de vpn-software van QNAP maakt het mogelijk voor aanvallers om NAS-systemen van de fabrikant over te nemen. QNAP heeft een beveiligingsupdate beschikbaar gesteld om het probleem te verhelpen. Via QVPN is het mogelijk om op NAS-systemen van QNAP een vpn-server te draaien. Deze software is gratis voor QNAP-gebruikers beschikbaar. Een kwetsbaarheid in QVPN maakt het mogelijk voor aanvallers om willekeurige code op het NAS-systeem uit voeren, zo laat QNAP vandaag weten. Het beveiligingslek is verholpen in QVPN Service versie 3.0.760 die onlangs uitkwam. Verdere details over de kwetsbaarheid, zoals hoe een aanvaller hier misbruik van zou kunnen maken, zijn niet door QNAP gegeven. Gebruikers wordt aangeraden om naar de nieuwste versie van de software te updaten. bron: https://www.security.nl

De Franse privacytoezichthouder CNIL heeft Facebook en Google een boete van in totaal 210 miljoen euro opgelegd wegens cookie-overtredingen. Volgens CNIL is het niet eenvoudig voor gebruikers van google.fr en youtube.com om cookies te weigeren. De websites hebben een knop voor het accepteren van cookies, maar bieden geen soortgelijke eenvoudige oplossing voor het weigeren van cookies. Er zijn verschillende clicks vereist om alle cookies te weigeren, aldus de Franse privacytoezichthouder. Hierdoor ontmoedigt Google gebruikers om cookies te weigeren en stuurt ze richting het accepteren van de akkoordknop. Dit is een inbreuk op de vrije toestemming van internetgebruikers en een schending van de Franse databeschermingswetgeving, aldus CNIL. Dat legde Google een boete van 150 miljoen euro op. Daarnaast moet het techbedrijf Franse gebruikers binnen drie maanden de optie geven om cookies net zo makkelijk te weigeren als ze te accepteren. Anders zal het techbedrijf een boete van 100.000 euro per dag krijgen. Facebook kreeg voor een zelfde overtreding een boete van 60 miljoen euro opgelegd. Volgens CNIL maakt Facebook het niet eenvoudig voor gebruikers om cookies te weigeren en geeft ze het gevoel dat het weigeren helemaal niet mogelijk is. Net als Google krijgt ook Facebook drie maanden de tijd om ervoor te zorgen dat het weigeren van cookies net zo eenvoudig wordt als het accepteren ervan, anders dreigt een boete van 100.000 euro per dag. bron: https://www.security.nl

Organisaties die van Log4j gebruikmaken doen er verstandig aan om hun systemen extra op eventueel misbruik te controleren, zo adviseert Microsoft. Het techbedrijf verwacht gezien het aantal kwetsbare diensten en software dat het nog lang kan duren voordat alle systemen zijn beveiligd en gepatcht, waardoor continue waakzaamheid van organisaties is vereist. Door de aard van Log4j zijn niet alleen applicaties kwetsbaar die van de loggingsoftware gebruikmaken, maar ook alle diensten die weer met deze applicaties werken. Daardoor weten organisaties mogelijk niet hoe wijdverbreid het probleem in hun omgeving is, aldus Microsoft. Inmiddels zouden zowel statelijke actoren als doorsnee cybercriminelen misbruik van de Log4j-kwetsbaarheden maken. Tijdens de laatste week van december bleef het aantal aanvalspogingen hoog, stelt Microsoft verder. "We hebben gezien dat veel aanvallers exploits voor deze kwetsbaarheden aan hun bestaande malwarekits en tactieken toevoegen, van coinminers tot hand-on-keyboard-aanvallen. Organisaties beseffen mogelijk niet hoe hun omgevingen misschien al zijn gecompromitteerd." Microsoft adviseert dan ook een extra controle van systemen waarop kwetsbare Log4j-versies draaien. Het techbedrijf stelt dat de brede beschikbaarheid van exploitcode en scanningtechnieken een echt en concreet gevaar voor bedrijfsomgevingen vormt. Vanwege de vele software en diensten die zijn getroffen en de snelheid waarmee updates verschijnen en worden toegepast kan het nog lang duren voordat de situatie is verholpen, wat inhoudt dat bedrijven blijvend alert moeten zijn. bron: https://www.security.nl

Google heeft een nieuwe versie van Chrome uitgebracht die 37 kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek waarmee aanvallers kwetsbare systemen kunnen overnemen. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker of een tweede kwetsbaarheid vereist. Vorig jaar werden er in totaal vier kritieke kwetsbaarheden door externe onderzoekers in Chrome gevonden en aan Google gerapporteerd. Het jaar daarvoor waren het er drie en in 2019 ging het om een zelfde aantal. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details over het lek, aangeduid als CVE-2022-0096, worden pas na zestig dagen openbaar gemaakt. De kwetsbaarheid bevindt zich in het deel van de browser gebruikt voor dataopslag en maakt een use after free mogelijk, waardoor een aanvaller zijn code op het systeem van gebruikers kan uitvoeren. Onderzoeker Yangkang van securitybedrijf 360 meldde het probleem op 30 november vorig jaar bij Google. Welke beloning de onderzoeker voor zijn melding krijgt is nog niet bekend. Updaten naar Chrome 97.0.4692.71 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren. bron: https://www.security.nl

De Belgische overheid gaat 78 miljoen extra investeren in cybersecurity, zo heeft de Belgische premier Alexander De Croo in de krant La Dernière Heure laten weten. België zal volgens De Croo meer dan een half miljard euro investeren in de digitalisering van de federale overheid. Er gaat nog eens honderd miljoen euro naar de regio's voor de ontwikkeling van de vereiste infrastructuur, zoals de uitrol van glasvezel en 5G. "En we zijn van plan om 78 miljoen euro extra te investeren in cyberbeveiliging”, aldus de premier. Die stelt dat het beveiligen van de vitale infrastructuur en gegevens de kern van elke digitale strategie moeten zijn. De Belgische minister van Defensie Ludivine Dedonder stelt dat ook voor de strijdkrachten de grootste dreiging digitaal is. "Het enige dat je nodig hebt is een computer, een internetverbinding en een profiel met veel toegevoegde waarde”, laat ze weten. Het Belgische leger zal daarom vijftig miljoen euro extra investeren in de aanschaf van materieel, de versterking van de infrastructuur en de beveiliging van de installaties, zo meldt het Belgische persbureau Belga. bron: https://www.security.nl

Microsoft heeft een oplossing beschikbaar gemaakt voor een datumprobleem in Exchange Server waardoor er geen e-mail kan worden afgeleverd. Het probleem wordt veroorzaakt door een fout in de datumcontrole die sinds de wisseling naar het nieuwe jaar ervoor zorgt dat de malware-engine van Exchange crasht waardoor er e-mail in de transport queues blijft staan. De variabele waarin Exchange de datum wil opslaan is te klein voor de nieuwe datum, wat voor de crash zorgt. Om het probleem te verhelpen heeft Microsoft een script beschikbaar gesteld. Beheerders moeten dit script zelf uitvoeren. "Het implementeren van deze oplossing vereist actie van de klant, en het zal enige tijd kosten om de noodzakelijke aanpassingen te maken, geüpdatete bestanden te downloaden en de transport queues op te schonen", aldus Microsoft. Het is wel mogelijk om de verschillende acties met het scanengine-resetscript te automatiseren of die handmatig uit te voeren. "Of je de stappen nu automatisch of handmatig uitvoert, ze moeten op elke on-premise Exchange 2016- en Exchange 2019-server in je organisatie worden uitgevoerd", stelt Microsoft. Het is wel mogelijk om het geautomatiseerde script op meerdere servers tegelijkertijd uit te voeren. bron: https://www.security.nl

Dat is mooi!. Helaas dacht mijn oude camper van 25+ er dit jaar anders over. Die was voor mij niet meer rendabel om te repareren en is verkocht aaneen monteur gegaan die graag door gaat met veel liefde erin steken. Geeft dan toch nog beetje goed gevoel, hoewel ik er nog steeds van baal.

Een malware-exemplaar dat is ontwikkeld voor het stelen van allerlei gegevens van besmette systemen heeft honderdduizenden gestolen wachtwoorden gelekt, onder andere van wachtwoordmanager LastPass en e-mailaccounts. De e-mailadressen van bijna 442.000 gecompromitteerde accounts zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. De RedLine Stealer kan allerlei in browsers opgeslagen data stelen, zoals gebruikersnamen en wachtwoorden, cookies en creditcardgegevens. Antivirusbedrijf AhnLab publiceerde eerder deze week een analyse waarin werd gesteld dat door RedLine Stealer gestolen vpn-gegevens waren gebruikt om een bedrijfsnetwerk te compromitteren. De medewerker van het niet nader genoemde bedrijf had de vpn-gegevens in zijn browser opgeslagen, waar ze door de malware werden gestolen. Drie maande na de diefstal werd er met de vpn-gegevens op het bedrijfsnetwerk ingelogd. Volgens beveiligingsonderzoeker Bob Diachenko is RedLine Stealer, sinds de malware begin 2020 op de markt kwam, een belangrijke bron voor de handel in gestolen identiteitsgegevens. Onlangs ontdekte Diachenko logbestanden van RedLine Stealer die voor iedereen op internet toegankelijk waren en meer dan zes miljoen records bleken te bevatten. Het ging onder andere om inloggegevens voor online wachtwoordmanager LastPass en e-mailaccounts, zoals Gmail. E-mailadressen van bijna 442.000 gecompromitteerde accounts zijn aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de nieuw toegevoegde e-mailadressen was 26 procent al via een ander datalek bij Have I Been Pwned bekend. bron: https://www.security.nl

De Log4j-kwetsbaarheid is gebruikt bij een aanval op cryptoplatform Onus waarbij de persoonlijke gegevens van twee miljoen gebruikers werden gestolen. Dat laten Onus en securitybedrijf CyStack in een verklaring weten. Onus is één van de grootste cryptoplatformen in Vietnam en werkt met betaalsoftware van een derde partij genaamd Cyclos. Deze software maakt gebruik van loggingsoftware Log4j en was zodoende ook kwetsbaar. Volgens CyStack maakte een aanvaller misbruik van de Log4j-kwetsbaarheid in de Cyclos-software nog voor de leverancier Onus en andere klanten kon waarschuwen. Onus installeerde de beveiligingsupdate van Cyclos toen die beschikbaar kwam, maar op dat moment had de aanvaller al gegevens van twee miljoen gebruikers gestolen, stellen de onderzoekers. Het gaat om naam, e-mailadres, telefoonnummer, adresgegevens, KYC-informatie, versleutelde wachtwoorden, transactiegeschiedenis en "andere versleutelde informatie", aldus de uitleg van Onus. De aanvaller, die de gebruikersdata bij Onus claimt te hebben verwijderd, eiste vervolgens vijf miljoen dollar losgeld. Via de Log4j-kwetsbaarheid kreeg de aanvaller toegang een server van Onus waarop AWS-inloggegevens stonden. Het cryptoplatform had de AWS access key volledige toegang gegeven, waardoor de aanvaller alle S3-buckets van Onus kon compromitteren en verwijderen. De server bevatte daarnaast een script dat periodiek een back-up van de Onus-database naar een S3-bucket maakte. S3 is de cloudopslagdienst van Amazon. Het back-upscript bevatte de inloggegevens van de database, alsmede back-up SQL-bestanden. Zo kon de aanvaller toegang tot de Onus-database en gebruikersinformatie krijgen. Tevens installeerde de aanvallers een backdoor, aldus CyStack. Onus maakt excuses voor het datalek en noemt het een kans om de veiligheid van de eigen systemen verder te verbeteren en zo de veiligheid van gebruikers te garanderen. De gestolen gebruikersgegevens worden nu te koop aangeboden. bron: https://www.security.nl

Gisterenavond kwam de Apache Foundation met een beveiligingsupdate voor een nieuwe kwetsbaarheid in Log4j, aangeduid als CVE-2021-44832, waardoor het in bepaalde gevallen mogelijk is voor een aanvaller om op afstand code op het systeem uit te voeren. Nu zijn er meer details over het beveiligingslek openbaar gemaakt. De kwetsbaarheid doet zich alleen voor wanneer een aanvaller controle over de configuratie van Log4j heeft. Daardoor is de impactscore van dit beveiligingslek met een 6.6 lager dan andere kwetsbaarheden in Log4j waardoor remote code execution mogelijk is. Log4j beschikt over een feature om een remote configuratiebestand te laden. Daarnaast is het mogelijk om Log4j zo te configureren dat het via een Java Naming and Directory Interface (JNDI) op afstand een database laadt. In plaats van een database is het echter ook mogelijk om malafide code op te geven die vervolgens door Log4j wordt uitgevoerd. Beveiligingsonderzoeker Yaniv Nizry van securitybedrijf Checkmarx rapporteerde het probleem op 27 december aan Apache, dat gisterenavond Log4j versie 2.17.1 uitbracht waarin het probleem is verholpen. bron: https://www.security.nl

Gebruikers van online wachtwoordmanager LastPass zijn het doelwit geworden van credential stuffing-aanvallen, zo laat het bedrijf weten. Op Hacker News maakten verschillende gebruikers melding dat ze van LastPass een e-mail hadden ontvangen dat er was geprobeerd om op hun account in te loggen. LastPass, dat gebruikers hun wachtwoorden in de cloud laat opslaan, verstuurt e-mails wanneer er een inlogpoging vanaf een andere locatie of apparaat is ondernomen. In een reactie op de meldingen van gebruikers stelt LastPass dat het om credential stuffing gaat. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Er werd op Twitter ook gesuggereerd dat inloggegevens mogelijk via malware of phishing waren bemachtigd, maar dat is volgens LastPass ook niet het geval. Daarnaast zijn er voor zover bekend geen accounts bij de credential stuffing-aanval gecompromitteerd. Wat betreft de beveiligingswaarschuwingen die gebruikers ontvingen zijn die waarschijnlijk ten onrechte verstuurd. LastPass zegt dat het de waarschuwingssystemen heeft aangepast en het probleem nu is verholpen. Daarnaast waarschuwt LastPass gebruikers om geen wachtwoorden te hergebruiken en voor het master password, waarmee er toegang tot opgeslagen wachtwoorden wordt verkregen, een passphrase te kiezen. bron: https://www.security.nl

Er is een nieuwe kwetsbaarheid in Log4j gevonden waardoor in bepaalde gevallen remote code execution (RCE) mogelijk is. De Apache Software Foundation heeft vanavond een beveiligingsupdate uitgebracht (Log4j 2.17.1) om het probleem, aangeduid als CVE-2021-44832, te verhelpen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 6.6. Het beveiligingslek is aanwezig in Log4j2 versies 2.0-beta7 tot en met 2.17.0 (op versies 2.3.2 en 2.12.4 na) en doet zich voor wanneer een aanvaller het logging-configuratiebestand kan aanpassen en vervolgens een malafide configuratie kan aanmaken waarbij er wordt verwezen naar een Java Naming and Directory Interface (JNDI) URI die code uitvoert. Doordat een aanvaller het configuratiebestand moet kunnen aanpassen is de impact van de kwetsbaarheid lager beoordeeld dan eerdere RCE-kwetsbaarheden in Log4j. Beheerders wordt aangeraden om te updaten naar Log4j 2.3.2 (voor Java 6), 2.12.4 (voor Java 7) of 2.17.1 (voor Java 8 en nieuwer). bron: https://www.security.nl

De afgelopen dagen is er een toename van ransomware-aanvallen op NAS-systemen van fabrikant QNAP. Dat laat ID Ransomware tegenover Bleeping Computer weten. ID Ransomware is een dienst waar mensen door ransomware versleutelde bestanden of losgeldmeldingen kunnen uploaden om te te zien door welke ransomware ze zijn getroffen en of er een gratis decryptietool beschikbaar is. In een maand tijd ontving ID Ransomware 411 inzendingen van NAS-eigenaren die slachtoffer waren geworden van de eCh0raix-ransomware. Daarbij nam het aantal inzendingen vanaf 19 december toe, met op 21 december een piek van negentig slachtoffers die bij ID Ransomware aanklopten. In 2019 waarschuwde QNAP voor het eerst voor de eCh0raix-ransomware, die allerlei bestanden op het NAS-systeem versleutelt. In augustus van dit jaar werd er een nieuwe variant van eCh0raix ontdekt die naast QNAP-apparaten ook NAS-systemen van Synology kan infecteren. Wat de oorzaak van de laatste infectiepiek is, is onbekend. Sommige slachtoffers stellen dat de aanvallers toegang kregen via een kwetsbare versie van Photo Station. Daarnaast is bekend dat eCh0raix ook gebruikmaakt van beveiligingslekken in Hybrid Backup Sync (HBS 3). Eerder bracht QNAP updates voor deze kwetsbaarheden uit. Slachtoffers van de ransomware die hun bestanden terug willen moeten losgeld betalen, wat varieert van 1200 tot 3000 dollar. In mei van dit jaar werd duidelijk dat honderden eigenaren van een QNAP-apparaat die door ransomware waren getroffen het gevraagde losgeld betaalden, wat de criminelen achter de aanvallen destijds zo'n 350.000 dollar opleverde. bron: https://www.security.nl

Organisaties en bedrijven moeten tijdens de feestdagen alert zijn op aanvallen via het Log4j-lek, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC). Op dit moment ziet het NCSC naar eigen zeggen kleinschalig misbruik van het lek, maar de verwachting is dat dit misbruik zal toenemen. "Daarom blijven we waarschuwen voor aanvallen met een potentieel grote impact en adviseren organisaties nog steeds om zich onverminderd voor te bereiden op dergelijke scenario's. Dit advies blijft onverminderd van kracht, ook tijdens de feestdagen", zo laat het NCSC via de eigen website weten. Volgens securitybedrijf Tenable is tien procent van de onderzochte servers, webapplicaties, containers en IoT-apparaten kwetsbaar. "Eén op de tien bedrijfsservers loopt risico, Eén op de tien webapplicaties en ga zo door. Eén op de tien van bijna elk aspect van onze digitale infrastructuur loopt het risico op misbruik via Log4Shell", zegt onderzoeker Amit Yoran. bron: https://www.security.nl

Twee weken nadat details van de Log4j-kwetsbaarheid openbaar werden hebben de Five Eyes-landen een gezamenlijke advisory over het beveiligingslek gepubliceerd waarin ze stellen dat elke Log4j-applicatie als mogelijk gecompromitteerd beschouwd zou moeten worden. In de advisory geven Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse overheidsdiensten advies om met het beveiligingslek om te gaan. Het gaat uiteindelijk om drie stappen: het identificeren van kwetsbare applicaties, het installeren van updates en het zoeken naar eventueel misbruik van het beveiligingslek. Zo adviseren de instanties om kwetsbare applicaties als gecompromitteerd te beschouwen en te isoleren totdat ze zijn gepatcht en geverifieerd. Gegeven het grootschalig misbruik van het Log4j-lek stellen de overheidsinstanties dat alle organisaties hun Log4j-applicaties als gecompromitteerd zouden moeten beschouwen en onderzoek naar sporen van misbruik en compromittering moeten uitvoeren. Mocht er inderdaad sprake van misbruik zijn wordt aangeraden dit bij de autoriteiten te melden. bron: https://www.security.nl

Voor iedereen een hopelijk iets positiever,vrijer maar vooral zo gezond mogelijk nieuw jaar. En zoals iemand in mijn radioprogramm als zei: Wees vooral een beetje lief tegen elkaar.

Tienduizenden Facebookgebruikers zijn het doelwit geworden van commerciële surveillancebedrijven, die toegang tot accounts probeerden te krijgen en telefoons en computers met malware probeerden te infecteren. Facebook heeft zo'n 50.000 mensen die doelwit waren inmiddels gewaarschuwd. Dat laat het techbedrijf in een nieuw rapport weten (pdf). In totaal identificeerde Facebook zeven surveillancebedrijven die het socialmediaplatform gebruikten voor het uitvoeren van aanvallen en vergaren van informatie van tienduizenden mensen. Deze bedrijven gebruikten honderden Facebookaccounts om met hun slachtoffers contact te maken. Zo werd geprobeerd om informatie te verkrijgen, een vertrouwensband op te bouwen, slachtoffers op links te laten klikken of die bestanden te laten downloaden. Het uiteindelijke doel van de aanvallers was om volledige controle over telefoons of computers van slachtoffers te krijgen, zodat die konden worden bespioneerd. "Op dat moment, afhankelijk van de exploit, heeft de aanvaller toegang tot alle data op de telefoon of computer van het slachtoffer, waaronder wachtwoorden, cookies, accesstokens, foto's, video's, berichten, adresboeken, en de mogelijkheid om stilletjes de microfoon, camera en locatietracking in te schakelen", aldus Facebook. Naast het waarschuwen van slachtoffers en doelwitten heeft Facebook ook de accounts van de surveillancebedrijven geblokkeerd en hen "Cease and Desist" brieven verstuurd. Daarnaast zijn details over de bedrijven en hun infrastructuur gedeeld met andere onderzoekers, platformen en beleidsmakers. bron: https://www.security.nl

Nieuwe Europese regels die volgend jaar gaan gelden zorgen ervoor dat particulieren wettelijke garantie hebben bij goederen met een digitaal element, zoals IoT-apparatuur, digitale diensten, zoals streaming- en cloudopslagdiensten, en digitale content, zoals e-books en muziekbestanden. Bij digitale diensten en inhoud is er ook recht op wettelijke garantie wanneer er niet met geld voor wordt betaald, maar met persoonsgegevens. Door de regels zijn leveranciers verplicht om ervoor te zorgen dat het product of dienst goed en veilig gedurende de normale levensduur is te gebruiken. "Aanbieders zijn daarom ook verplicht om updates te leveren. Dit moet zo lang als afgesproken en daarnaast zo lang als redelijk is. De aanbieder moet aangeven wanneer een update beschikbaar is en wat de gevolgen zijn als de consument de update niet installeert", aldus de Autoriteit Consument & Markt (ACM). Wanneer het gaat om diensten die doorlopend geleverd worden, zoals streaming- en cloudopslagdiensten, moeten die gedurende de hele gebruiksperiode goed functioneren. Bij problemen is de leverancier verplicht om die gratis op te lossen. Denkt de leverancier dat het probleem door de klant wordt veroorzaakt, dan zal hij dit het eerste jaar moeten bewijzen. De bewijslast voor de aanbieder is verlengd van 6 naar 12 maanden. Kan de aanbieder niet bewijzen dat de klant het probleem zelf heeft veroorzaakt, dan moet hij het alsnog oplossen. Bij doorlopende diensten heeft de aanbieder gedurende de gehele looptijd de bewijslast. Als hij niet kan bewijzen dat het probleem door de klant komt, moet hij het oplossen door reparatie, vervanging of geld terug te geven. "Het recht van consumenten op een goed werkend product is een basisregel binnen het consumentenrecht. Dit recht noemen we ook wel wettelijke garantie", zegt Edwin van Houten, directeur Consumenten van de ACM. "Dit recht geldt bij alle producten en straks ook voor digitale producten en diensten." De toezichthouder zal straks op de naleving van de nieuwe regels gaan handhaven en roept ondernemers op om zich al voor te bereiden. bron: https://www.security.nl

Een nieuwe kwetsbaarheid in Apache Log4j die deze week werd gevonden is veel ernstiger dan eerst werd gedacht. In eerste instantie leek het erop dat het beveiligingslek, aangeduid als CVE-2021-45046, alleen een denial of service (dos)-aanval mogelijk maakt. Nu blijkt dat remote code execution tot de mogelijkheden behoort, waardoor een aanvaller in bepaalde gevallen kwetsbare servers kan overnemen. Vorige week werd er werreldwijd gewaarschuwd voor een kritiek beveiligingslek in Log4j, dat inmiddels bekendstaat als Log4Shell en CVE-2021-44228. De impact van dit beveiligingslek werd op een schaal van 1 tot en met 10 met een 10.0 beoordeeld en werd verholpen met Log4j versie 2.15.0. Een aantal dagen later bleek dat deze versie het beveiligingslek CVE-2021-45046 bevatte. In bepaalde gevallen maakt dit het lek mogelijk voor aanvallers om een dos-aanval uit te voeren. De impact van deze kwetsbaarheid, verholpen in Log4j 2.16.0, is veel kleiner en werd beoordeeld met een 3.7. De impactscore is vandaag echter aangepast naar een 9.0, omdat in bepaalde niet-standaard configuraties remote code execution mogelijk is. Het grote beveiligingslek in Log4j van vorige week werd veroorzaakt doordat een aanvaller de logsoftware door middel van een message lookup kwaadaardige code kon laten downloaden en uitvoeren. Om dit te voorkomen werden in Log4j 2.15.0 remote verbindingen in message lookups, bijvoorbeeld een verbinding naar een server van de aanvaller, geblokkeerd. Verder werden message lookups standaard uitgeschakeld. Onderzoekers hebben nu ontdekt dat op andere plekken in de code van Log4j message lookups nog steeds mogelijk zijn, meldt securitybedrijf Lunasec. Daardoor kan een aanvaller kwetsbare servers nog steeds kwaadaardige code laten uitvoeren. Organisaties wordt dan ook aangeraden om te updaten naar versie 2.16.0. bron: https://www.security.nl

Google heeft besloten om Apache Log4j onafgebroken op nieuwe kwetsbaarheden te controleren. Hiervoor zet het techbedrijf de eigen fuzzingdienst genaamd OSS-Fuzz in. Ook gaat het techbedrijf werken aan het automatisch detecteren van Log4j-achtige kwetsbaarheden. Vijf jaar geleden lanceerde Google de gratis fuzzingdienst OSS-Fuzz, waar inmiddels meer dan vijfhonderd opensourceprojecten gebruik van maken. De dienst heeft de afgelopen jaren in deze projecten meer dan zevenduizend kwetsbaarheden gevonden. Bij fuzzing wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Via OSS-Fuzz worden geselecteerde opensourceprojecten onafgebroken gecontroleerd en Google heeft samen met securitybedrijf Code Intelligence nu ook Log4j aan deze controle toegevoegd. Verder wil Google kwetsbaarheden zoals die in Log4j beter op geautomatiseerde wijze kunnen detecteren. Code Intelligence heeft inmiddels de eigen fuzzer genaamd Jazzer voorzien van de mogelijkheid om remote JNDI lookups te detecteren, wat de kwetsbaarheid in Log4j mogelijk maakte. "Kwetsbaarheden zoals Log4Shell zijn een eye-opener voor de industrie wat betreft nieuwe aanvalsvectoren. Met OSS-Fuzz en Jazzer kunnen we dit soort kwetsbaarheden nu detecteren, zodat ze kunnen worden verholpen voordat ze een probleem in productiecode worden", zegt Jonathan Metzman van het Google Open Source Security Team. bron: https://www.security.nl

Microsoft heeft een waarschuwing gepubliceerd voor de Log4j-kwetsbaarheid in de eigen producten, zoals Minecraft, Microsoft Defender for IoT en verschillende Azure-services. De afgelopen dagen kwam Microsoft al met meerdere blogpostings over het beveiligingslek, maar nu is er ook een security-advisory gepubliceerd. Volgens het techbedrijf heeft het nog geen misbruik van de kwetsbaarheid in de eigen zakelijke diensten waargenomen. "Onze securityteams analyseren onze producten en diensten om te begrijpen waar Apache Log4j wordt gebruikt. Het onderzoek is nog gaande, maar als we enige impact voor onze diensten identificeren of acties die klanten moeten nemen, zullen we dit laten weten", aldus Microsoft. In het overzicht van kwetsbare producten staan Minecraft Java Edition, Microsoft Defender for IoT, Events Hub Extension en Cosmos DB Kafka Connector. Verder worden gebruikers van Azure Spring Cloud, Azure Databricks en Azure DevOps opgeroepen om beschikbare updates te installeren of mitigatiemaatregelen door te voeren. bron: https://www.security.nl

De in 2015 opgerichte certificaatautoriteit Let's Encrypt voorziet inmiddels meer dan 260 miljoen websites van gratis tls-certificaten. Sinds de oprichting is het percentage websites dat via https wordt geladen gestegen van 40 procent naar 83 procent wereldwijd. In de Verenigde Staten gaat het zelfs om 92 procent. Dat laat ISRG-directeur Josh Aas weten in een eindejaarsbrief. De Internet Security Research Group (ISRG) is de organisatie achter Let's Encrypt. De ISRG is een non-profitorganisatie en honderd procent afhankelijk van donaties. "Wereldwijde impact vereist geen cheques van miljoenen dollars", merkt Aas op. Sinds 2015 hebben tienduizenden mensen aan het ISRG gedoneerd "Soms gaat het om drie dollar per maand. Dat heeft bij elkaar opgeteld voor 17 miljoen dollar gezorgd dat we hebben gebruikt om het internet voor bijna iedereen te veranderen." De ISRG-directeur zegt trots te zijn dat het een financieel efficiënte organisatie is die met een paar miljoen dollars per jaar diensten aan miljarden mensen levert. bron: https://www.security.nl