Ga naar inhoud

Captain Kirk

Moderator
  • Items

    6.555
  • Registratiedatum

  • Laatst bezocht

Alles dat geplaatst werd door Captain Kirk

  1. Harde schijffabrikant Western Digital heeft meer details gegeven over de aanvallen tegen My Book Live- en My Book Live Duo-apparaten waarbij in sommige gevallen de gegevens van gebruikers worden gewist. De aanvaller weet door middel van een beveiligingslek aangeduid als CVE-2018-18472 toegang tot apparaten te krijgen. Alle getroffen systemen waren direct vanaf het internet toegankelijk, zo stelt WD op basis van onderzoek. Verder blijkt dat aanvallers een bestand genaamd "nttpd,1-ppc-be-t1-z" installeren dat malware is. Western Digital stelt dat de clouddiensten, firmware-updateservers of inloggegevens van klanten niet zijn gecompromitteerd. "Doordat de My Book Live-apparaten via port forwarding direct aan het internet zijn blootgesteld, kunnen de aanvallers kwetsbare apparaten via poortscanning vinden", zo laat de fabrikant weten. WD weet nog niet waarom de aanvaller een fabrieksreset uitvoert. Op dit moment vindt er onderzoek naar een besmet apparaat plaats. Verder wordt er onderzocht of datarecoverytools kunnen helpen bij het terughalen van gewiste data. Alle gebruikers van een WD My Book Live wordt aangeraden om het apparaat van het internet los te koppelen om zo aanwezige data te beschermen. bron: https://www.security.nl
  2. Microsoft heeft verschillende nieuwe aanvallen ontdekt afkomstig van de aanvallers die ook achter de SolarWinds-aanval zaten. De aanvallers wisten onder andere het systeem van een klantenservicemedewerker met malware te infecteren en kregen zo toegang tot klantgegevens, die vervolgens voor gerichte aanvallen werden gebruikt. Dat laat het techbedrijf in een blogposting weten. Het besmette systeem werd ontdekt tijdens het onderzoek naar een andere aanvalscampagne. Bij deze campagne probeerden de SolarWinds-aanval via bruteforce-aanvallen en password spraying accounts van organisaties te compromitteren. Password spraying is een techniek waarbij een aanvaller door middel van veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. De waargenomen aanvallen waren onder andere tegen it-bedrijven en overheden uit 36 landen gericht. Tijdens het onderzoek dat Microsoft naar de aanvallen uitvoerde ontdekte het bedrijf dat het systeem van een klantenservicemedewerker was gecompromitteerd. Deze medewerker had toegang tot "basale" accountinformatie van een "klein aantal" Microsoft-klanten. De aanvallers gebruikten deze informatie voor gerichte aanvallen. Het systeem in kwestie is inmiddels beveiligd. Voor zover bekend wisten de aanvallers via de aanvallen bij drie niet nader genoemde organisaties in te breken. Die zijn allemaal gewaarschuwd aldus Microsoft. bron: https://www.security.nl
  3. Microsoft is een onderzoek gestart naar het signeren van een rootkit-driver die bij aanvallen tegen gebruikers in China is ingezet, zo laat het techbedrijf weten. Vrijdag meldde antivirusbedrijf G Data dat het een door Microsoft gesigneerde rootkit-driver had ontdekt die verkeer van besmette systemen naar een Chinees ip-adres doorstuurde. In een blogpost erkent Microsoft het signeren van de rootkit-driver. Sinds Windows Vista kunnen op Windows standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. De aanvaller wilde volgens Microsoft meerdere drivers via het Windows Hardware Compatibility Program laten certificeren. Deze drivers waren van een derde partij afkomstig, maar om wie het precies gaat laat Microsoft niet weten. Het betreffende account dat de drivers instuurde is geschorst. Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien. Volgens Microsoft is het certificaat dat binnen het Windows Hardware Compatibility Program wordt gebruikt voor het signeren van drivers niet gecompromitteerd. De aanvaller achter de rootkit-driver heeft het volgens Microsoft specifiek voorzien op de "gamingsector" in China en zou geen bedrijven als doelwit hebben. Ook lijkt de betreffende aanval niet het werk van een statelijke actor, laat het techbedrijf verder weten. De aanvaller zou via de driver hun geolocatie kunnen spoofen om zo overal vandaan te kunnen spelen. Ook zou de rootkit helpen om een voordeel in games te krijgen en mogelijk de accounts van andere gamers over te nemen, bijvoorbeeld door het gebruik van keyloggers. Microsoft laat tevens weten dat een aanvaller beheerderstoegang moet hebben om de rootkit-driver te kunnen installeren of de gebruiker zover moet krijgen om dit voor hem te doen. Informatie over de aanval wordt met andere antivirusbedrijven gedeeld, zodat die hun gebruikers kunnen beschermen. Hoeveel malafide drivers er zijn gesigneerd laat Microsoft niet weten, maar het bedrijf heeft hashes van meer dan tachtig malafide bestanden gedeeld.
  4. Microsoft heeft een malafide driver die als rootkit fungeert en verkeer naar een Chinees ip-adres stuurt van een digitale handtekening voorzien. Hoe het kan dat de rootkit-driver door Microsoft werd gesigneerd wordt door het techbedrijf onderzocht, meldt antivirusbedrijf G Data dat de malware ontdekte. Sinds Windows Vista kunnen standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. Vorige week werd G Data gewaarschuwd door een eigen systeem voor een mogelijke false positive, omdat een door Microsoft gesigneerde driver als malware was gedetecteerd. Het komt vaker voor dat antivirussoftware legitieme software als malware bestempelt. In dit geval ging het om een true positive. De malware in kwestie was door Microsoft gesigneerd. Eenmaal actief blijkt de rootkit-driver verkeer naar een Chinees ip-adres door te sturen dat volgens het Amerikaanse ministerie van Defensie een Chinees defensiebedrijf is. De malware blijkt ook in staat om zichzelf te updaten. G Data waarschuwde Microsoft waarna het techbedrijf signatures uitrolde voor de virusdatabase van Windows Defender. Volgens malware-analist Karsten Hahn is het nog altijd onduidelijk hoe de malafide driver kon worden gesigneerd. In deze analyse geeft G Data meer details over de rootkit. bron: https://www.security.nl
  5. Het Nationaal Cyber Security Centrum (NCSC) heeft op GitHub een lijst met domeinnamen gepubliceerd waarvan de Flubot-malware gebruikmaakt. Organisaties kunnen met deze lijst infecties op de telefoons van medewerkers opsporen of nieuwe besmettingen voorkomen. Vorige maand werd de Flubot-malware via malafide sms-berichten onder Nederlandse Androidgebruikers verspreid. In de berichten, die van een pakketbezorger afkomstig leken, werd gesteld dat de ontvanger door het installeren van de gelinkte app zijn of haar pakket kon volgen. In werkelijkheid bevatte de app de Flubot-malware. FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal de FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen. KPN liet tegenover Security.NL weten dat het door de malware een sterke toename zag in het aantal klanten met een sms-piek. Normaliter krijgt de telecomprovider met enkele tientallen klanten per week te maken waarbij er een piek in het sms-gebruik zichtbaar is. Na de uitbraak van de FluBot-malware ging het vorige week om bijna vijfhonderd klanten. Eerder meldde securitybedrijf ThreatFabric tegenover Security.NL dat het de infecties in Nederland met duizenden zag toenemen. De Fraudehelpdesk laat aan Security.NL weten dat het in mei 4700 meldingen ontving over verdachte berichten van een pakketdienst. Een aantal van deze personen installeerden de malafide app en waren vervolgens honderden euro's kwijt aan sms-kosten. De lijst van het NCSC bevat een overzicht van domeinnamen waar de malware mee communiceert. Het gaat om duizenden domeinnamen eindigend op .su, .ru en .cn. "Organisaties kunnen deze lijst gebruiken om infecties te detecteren en/of blokkeren en waar nodig actie ondernemen", aldus de overheidsdienst. bron: https://www.security.nl
  6. Onderzoekers hebben een malware-exemplaar ontdekt dat zich via illegale software verspreidt en op zeker 222.000 computers aanwezige antivirussoftware en Windows Update heeft uitgeschakeld. De besmette machines worden gebruikt voor het delven van de cryptovaluta Monero, meldt antivirusbedrijf Avast in een analyse. De Crackonosh-malware zit verborgen in illegaal, gekraakte versies van populaire games zoals Grand Theft Auto V, The Sims 4 en Euro Truck Simulator 2. Zodra gebruikers het installatieprogramma starten wordt ook de malware geïnstalleerd. De malware houdt het aantal herstarts van het systeem bij en zal na een aantal keer het systeem in veilige modus starten. Wanneer het systeem in veilige modus is opgestart schakelt de malware Windows Defender en Windows Update uit. Daarnaast worden verschillende antivirusprogramma's verwijderd, waaronder Avast, Bitdefender, F-Secure, Kaspersky, McAfee, Norton en Panda. Om gebruikers niets te laten merken plaatst de malware een icoontje van Windows Security in de systeembalk. Het uiteindelijke doel van de malware is om besmette systemen de cryptovaluta Monero te laten delven. De onderzoekers ontdekten dat de malware sinds juni 2018 actief is en sindsdien 9000 Monero heeft gedolven. Dat is op het moment van schrijven ruim 1,5 miljoen euro. "Zolang mensen gekraakte software blijven downloaden, blijven dit soort aanvallen winstgevend voor aanvallers", aldus onderzoeker Daniel Benes. Avast detecteerde de malware bij 222.000 klanten. Het gaat hier alleen om mensen die de software van het antivirusbedrijf gebruiken, waardoor het werkelijke aantal hoger kan liggen. bron: https://www.security.nl
  7. Criminelen maken gebruik van een malafide callcenter om organisaties met ransomware te infecteren, zo laat Microsoft via Twitter weten. Het techbedrijf heeft een campagne ontdekt die met een e-mail begint. Volgens het bericht maakt de ontvanger gebruik van een bepaald programma en zal daar binnenkort voor moeten worden betaald. Om het zogenaamde abonnement te annuleren moet een opgegeven telefoonnummer worden gebeld. Dit telefoonnummer komt uit bij een malafide callcenter. Slachtoffers die bellen worden door een callcentermedewerker doorgestuurd naar een website waar een Excel-bestand kan worden gedownload om het abonnement op te zeggen. Dit Excel-document bevat een kwaadaardige macro. Wanneer gebruikers deze macro inschakelen wordt er malware op het systeem gedownload en uitgevoerd. Bij de aanvallen die door Microsoft zijn waargenomen wisten de aanvallers allerlei inloggegevens te stelen, waaronder de Active Directory-database, die via het programma rclone naar de aanvallers werden teruggestuurd. "Het gebrek aan kwaadaardige elementen in de e-mails kan een uitdaging voor het detecteren zijn", aldus Microsoft. Het techbedrijf heeft verschillende queries voor Microsoft 365 Defender beschikbaar gemaakt om de aanvallen te kunnen detecteren. bron: https://www.security.nl
  8. Netwerkfabrikant Zyxel heeft klanten gewaarschuwd voor aanvallen op firewalls en vpn-apparaten. Het bedrijf stuurde een e-mail naar klanten waarin het laat weten dat het recentelijk ontdekte dat een "geraffineerde aanvaller" het heeft voorzien op Zyxel-apparaten waar remote management of SSL VPN staan ingeschakeld. Het gaat om de USG/ZyWALL, USG FLEX, ATP en VPN serie apparaten die on-premise ZLD-firmware draaien, aldus het bericht dat door beveiligingsonderzoeker JAMESWT op Twitter werd gedeeld. Volgens Zyxel probeert de aanvaller verbinding met de apparaten te maken. Wanneer de aanval succesvol is wordt de authenticatie omzeild en een SSL VPN-tunnel opgezet met gebruikersaccounts zoals "zyxel_sslvpn", "zyxel_ts" of "zyxel_vpn_test", om zo de configuratie van het apparaat aan te passen. Op basis van wat nu bekend is stelt Zyxel dat een goed beveiligingsbeleid voor remote toegang de beste manier is om het aanvalsoppervlak te verkleinen. Zo wordt aangeraden om remote beheer vanaf het internet uit te schakelen wanneer dit niet is vereist. Wanneer dit wel nodig is moet alleen toegang vanaf vertrouwde ip-adressen worden toegestaan en kan GeoIP-filtering worden ingeschakeld. Details over hoe de aanvallers toegang tot de apparaten weten te krijgen, zoals gebruikte kwetsbaarheden, zijn niet door Zyxel bekendgemaakt. Eerder dit jaar waren Zyxel-apparaten ook het doelwit van aanvallen. Destijds maakten aanvallers misbruik van een ongedocumenteerd gebruikersaccount dat in Zyxel-apparaten aanwezig was. bron: https://www.security.nl
  9. Miljoenen Dell-computers zijn kwetsbaar door beveiligingslekken in BIOSConnect waardoor een aanvaller in het ergste geval willekeurige code op BIOS/UEFI-niveau kan uitvoeren en controle over het bootproces kan krijgen. Dell heeft firmware-updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. De meeste Dell-computers worden geleverd met SupportAssist. De software biedt verschillende supportfuncties, zoals het monitoren op hardware- en softwareproblemen en ondersteuning bij het verhelpen van eventuele problemen. BIOSConnect is een onderdeel van SupportAssist waarmee gebruikers remote het besturingssysteem kunnen herstellen of de firmware van de computer kunnen updaten. BIOSConnect laat het BIOS verbinding maken met de Dell-servers en de benodigde image voor een recovery of firmware-update downloaden. Onderzoekers van Eclypsium ontdekten dat BIOSConnect bij het opzetten van de verbinding met de Dell-server elk willekeurig wildcard-certificaat accepteert. Een aanvaller tussen de gebruiker en het internet kan zich zo voordoen als Dell en malafide content aanbieden. Dell HTTPS Boot, waarmee het mogelijk is om vanaf een https-server te booten, bevat dezelfde kwetsbaarheid. Wanneer UEFI Secure Boot is uitgeschakeld maakt deze kwetsbaarheid het mogelijk om op afstand willekeurige code in de UEFI/pre-boot omgeving uit te voeren. Daarnaast vonden de onderzoekers drie andere kwetsbaarheden in de processen van BIOSConnect voor het herstellen van het besturingssysteem en updaten van de firmware die het uitvoeren van willekeurige code in het BIOS mogelijk maken. Tijdens de komende DEFCON-conferentie zal Eclypsium meer details over deze beveiligingslekken geven. Dell laat weten dat de kwetsbaarheden in BIOSConnect alleen zijn te misbruiken wanneer een aanvaller zich tussen de gebruiker en het internet bevindt en de gebruiker de BIOSConnect-feature gebruikt. In het geval van HTTPS Boot moet een aanvaller zich ook tussen de gebruiker en het internet weten te plaatsen en wachten totdat de gebruiker de bootvolgorde aanpast en het systeem opstart via HTTPS Boot. Twee van de kwetsbaarheden zijn op 28 mei door Dell verholpen en vereisen geen actie van gebruikers. Voor de andere twee beveiligingslekken, CVE-2021-21571 en CVE-2021-21572, zijn firmware-updates uitgerold. In totaal zijn 129 verschillende modellen Dell-computers kwetsbaar. De onderzoekers schatten dat het om zo'n dertig miljoen machines wereldwijd gaat. Gebruikers krijgen het advies van de onderzoekers om de firmware-update niet via BIOSConnect uit te voeren. In plaats daarvan wordt aangeraden om de firmware-update handmatig te downloaden, de hash van het bestand te controleren en daarna uit te voeren. bron: https://www.security.nl
  10. De Europese Commissie heeft vandaag de oprichting van een gezamenlijke Europese cybereenheid aangekondigd voor de aanpak van grote cyberincidenten. De op te richten Joint Cyber Unit moet cybersecurity communities bij elkaar brengen en samenwerking bevorderen. "Alle relevante partijen in de EU moeten voorbereid zijn om collectief te reageren en relevante informatie op een 'need to share' in plaats van een 'need to know' basis te delen", aldus de EC. Volgens de Europese Commissie opereren bestaande cybersecurity communities op dit moment te vaak gescheiden van elkaar. Door beter samen te werken en expertise te delen moet de Joint Cyber Unit grootschalige cyberincidenten en crises binnen de EU voorkomen, afschrikken en erop reageren. Zo moet er een virtueel en fysiek platform komen waar relevante EU-instellingen, organen en agentschappen samen met de lidstaten op grootschalige cyberaanvallen kunnen reageren. Naast het delen van best practices en informatie over dreigingen zal de Joint Cyber Unit op een operationeel en technisch niveau opereren. De eenheid moet onder andere helpen bij het oprichten en mobiliseren van EU Cybersecurity Rapid Reaction Teams, het faciliteren van protocollen voor wederzijdse hulp onder deelnemers en helpen bij de inzet van monitoring- en detectiesystemen, waaronder Security Operation Centra (SOCs). De Joint Cyber Unit moet volgend jaar juni in de operationele fase zijn aanbeland en zal een jaar later volledig moeten zijn opgericht. "Cybersecurity is een hoeksteen van een digitaal en verbonden Europa. Het gecoördineerd reageren op dreigingen is tegenwoordig cruciaal. De Joint Cyber Unit zal aan dit doel bijdragen. Samen kunnen we echt een verschil maken", zegt Margrethe Vestager, Eurocommissaris voor Mededinging. bron: https://www.security.nl
  11. Mozillas eigen vpn-dienst is binnenkort beschikbaar in België en verschillende andere Europese landen. Nederland staat echter nog niet op de lijst. Dat blijkt uit de GitHub-pagina van Mozilla. Vorig jaar juli werd Mozilla VPN als eerste in Canada, Maleisië, Nieuw-Zeeland, Singapore, het Verenigd Koninkrijk en de Verenigde Staten uitgerold. In april volgden Duitsland en Frankrijk. Binnenkort zijn België, Italië, Oostenrijk, Spanje en Zwitserland aan de beurt. De vpn-dienst maakt gebruik van het WireGuard-protocol dat volgens de ontwikkelaar een snellere, eenvoudigere en modernere vpn-oplossing is dan IPSec. Ook zou het beter moeten presteren dan de populaire vpn-oplossing OpenVPN. Het aantal regels code van WireGuard is veel kleiner dan dat van andere vpn-protocollen, wat het eenvoudiger uit te rollen, te gebruiken en te auditen zou moeten maken. Mozillas vpn is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wat betreft de samenwerking met Mullvad stelt Mozilla dat de vpn-provider de privacy van gebruikers respecteert en geen logbestanden bijhoudt. Ook Mozilla zelf zegt geen logbestanden bij te houden of netwerkgegevens van gebruikers te volgen of delen. Inmiddels maakt de vpn-dienst gebruik van meer dan 750 servers in meer dan dertig landen. De vpn-dienst kost 9,99 euro per maand, 42 euro voor een periode van zes maanden en 60 euro voor een jaar. Mozilla VPN werkt met Android versie 6 en nieuwer, iOS 13.0 en nieuwer, macOS 10.15 en nieuwer, Ubuntu en Windows 10 64-bit. Tevens is het gebruik van een Firefox-account verplicht. bron: https://www.security.nl
  12. Brave heeft een eigen zoekmachine gelanceerd die volgens de browserontwikkelaar volledig op de privacy van gebruikers is gericht. Zo worden gebruikers volgens het bedrijf niet geprofileerd en gevolgd. Daarnaast maakt Brave Search gebruik van een eigen zoekindex en is zo niet afhankelijk van andere aanbieders. "In tegenstelling tot andere oudere zoekmachine die gebruikers volgen en profileren, en nieuwere zoekmachines die voornamelijk een skin over oudere zoekmachines zijn en niet hun eigen index gebruiken, biedt Brave Search een geheel nieuwe manier om relevante resultaten te krijgen met een door de community gedreven index, terwijl de privacy is gegarandeerd", zegt Brave-ceo en medeoprichter Brandon Eich. Op dit moment bevindt de zoekmachine zich nog in de bètafase en zal daarom nog geen advertenties tonen. Uiteindelijk zullen gebruikers kunnen kiezen uit een gratis te gebruiken zoekmachine met advertenties en een betaalde advertentievrije zoekmachine. De zoekmachine is vanuit de Brave-browser te gebruiken en search.brave.com. bron: https://www.security.nl
  13. Vpn-dienst ProtonVPN heeft een nieuwe open source Linux-app gelanceerd die over een volledige gui beschikt. Daarnaast is er een nieuwe command-line (CLI) tool beschikbaar gemaakt. Beide tools zijn zowel door gratis als betaalde gebruikers van de vpn-dienst te gebruiken. ProtonVPN bood voor Linux-gebruikers al een CLI-tool die samen met de opensourcegemeenschap was ontwikkeld. Deze tool wordt nu door de nieuwe CLI-tool vervangen. De Linux-app was meer dan een jaar in ontwikkeling en biedt allerlei features die ook in de vpn-applicaties voor andere platformen aanwezig zijn, zoals een killswitch en de NetShield Adblocker. ProtonVPN adviseert gebruikers om naar nieuwe Linux-app of CLI-tool te upgraden. De tools worden officieel ondersteund op Debian 10, Ubuntu 20.04 (LTS), Mint 20, MX Linux 19, Fedora 31+ en Archlinux / Manjaro. De vpn-dienst laat weten dat het in de toekomst meer Linux-distributies wil gaan ondersteunen. bron: https://www.security.nl
  14. Criminelen gebruiken de naam van de Fraudehelpdesk om mensen op te lichten zodat ze al hun geld naar de rekening van een katvanger overmaken, zo waarschuwt de organisatie. De oplichters claimen namens de Fraudehelpdesk te bellen en stellen dat het geld van de gebelde persoon moet worden veiliggesteld op een 'kluisrekening' of 'veilige rekening'. In sommige gevallen werden slachtoffers om hun inloggegevens gevraagd. Hier is sprake van bankhelpdeskfraude, alleen doen de oplichters zich dit keer niet voor als bankmedewerker. Het verhaal dat slachtoffers al hun geld naar een andere rekening moeten overmaken is echter hetzelfde. Om legitiem over te komen wijzen de oplichters zelfs naar de website van de Fraudehelpdesk. De beller belt buiten de openingstijden van de Fraudehelpdesk. waardoor de organisatie op dat moment niet telefonisch bereikbaar is op het algemene nummer. "De beller maakt daarom gebruik van een afwijkend telefoonnummer", aldus de Fraudehelpdesk. Wie telefonisch wordt benaderd met het verzoek om iets te betalen of in te loggen bij de bank krijgt het advies om de verbinding te verbreken. Gisteren liet de Fraudehelpdesk aan Security.NL weten dat het in de eerste vijf maanden van dit jaar 478 meldingen van bankhelpdeskfraude heeft ontvangen, waarvan 49 pogingen succesvol waren. Deze slachtoffers werden in totaal voor 510.000 euro opgelicht, wat neerkomt op een gemiddeld schadebedrag van 10.400 euro. bron: https://www.security.nl
  15. Het Tor Project heeft een beveiligingsupdate voor Tor Browser uitgebracht die onder andere bescherming tegen cross-browser tracking toevoegt. Vorige maand demonstreerde FingerprintJS, een bedrijf dat fingerprintoplossingen voor bedrijven en websites ontwikkelt om gebruikers te identificeren en fraude tegen te gaan, dat het mogelijk is om internetgebruikers over meerdere browsers te volgen. Sommige internetgebruikers gebruiken vanwege privacyredenen verschillende browsers. De kwetsbaarheid maakt het mogelijk voor trackers en websites om informatie over geïnstalleerde programma's op de computer te achterhalen om de gebruiker vervolgens een unieke identifier toe te kennen, ook wanneer er van browser wordt gewisseld of er van een vpn of de incognito-mode gebruik wordt gemaakt. Websites kunnen kijken of een lijst met 32 populaire applicaties bij bezoekers is geïnstalleerd. Een proces dat een paar seconden in beslag neemt en zowel op Linux, macOS als Windows werkt. Om te kijken of een bepaald programma is geïnstalleerd kunnen browsers de ingebouwde url-handlers gebruiken. Websites kunnen kijken welke url-handlers aanwezig zijn en zo achterhalen of een applicatie is geïnstalleerd of niet. Volgens FingerprintJS zijn zowel Tor Browser, Safari, Chrome en Firefox kwetsbaar. Het probleem is nu in Tor Browser verholpen, zo laat het Tor Project weten. Gebruikers wordt aangeraden om te updaten naar Desktop Tor Browser 10.0.17 en Android Tor Browser 10.0.16. Dit kan via de automatische updatefunctie en TorProject.org. bron: https://www.security.nl
  16. Internetbedrijf Cloudflare heeft de gratis vpn-dienst Warp beschikbaar gemaakt voor Linux-gebruikers. Warp is gebaseerd op Cloudflares eigen implementatie van het WireGuard vpn-protocol genaamd BoringTun. De Warp-applicatie gebruikt BoringTun om het verkeer van de gebruiker te versleutelen en naar Cloudflares servers te sturen. Dit moet het afluisteren van de verbinding voorkomen, aldus het bedrijf. Warp werd vorig jaar voor macOS en Windows gelanceerd, maar is nu ook toegankelijk voor gebruikers van Ubuntu, Red Hat Enterprise Linux en CentOS. Daarbij laat het internetbedrijf weten dat de applicatie voorlopig niet over een gebruikersinterface beschikt en alleen vanaf de command line is te gebruiken. Volgens Cloudflare maken inmiddels miljoenen mensen gebruik van de vpn-dienst. Naast de gratis dienst biedt Cloudflare ook Warp+, een betaald vpn-abonnement. Deze versie zou hogere snelheden en slimmere routering moeten bieden. bron: https://www.security.nl
  17. Amazon heeft op een aantal eigen websites, waaronder Amazon.com en WholeFoods.com, besloten om Googles nieuwe trackingmethode FLoC te blokkeren. Wanneer Chrome-gebruikers deze sites bezoeken zal de browser deze informatie niet gebruiken om de gebruiker in een bepaald cohort te plaatsen. Federated Learning of Cohorts (FLoC) is een nieuwe trackingmethode van Google waarbij Chrome-gebruikers op basis van hun browsegedrag in zogeheten cohorten worden geplaatst. Google Chrome kijkt naar alle websites die de gebruiker bezoekt en deelt de gebruiker op basis hiervan in een cohort. Deze cohorten zijn van een uniek id voorzien. Vervolgens kunnen adverteerders op basis van het cohort-id gerichte advertenties tonen. Websites doen standaard mee, maar webmasters kunnen een header toevoegen zodat er geen FLoC-cohort wordt berekend. Een Twitteraar ontdekte dat Amazon deze header aan Amazon.com heeft toegevoegd. Digiday meldt dat de afgelopen dagen meer websites van Amazon van de header zijn voorzien. Volgens experts die de website sprak wil Amazon op deze manier voorkomen dat Google er met waardevolle data vandoor gaat die het zelf kan gebruiken. Eerder besloten ook al GitHub en WordPress om Google FLoC te blokkeren. Op dit moment wordt FLoC onder een klein deel van de Chrome-gebruikers in Australië, Brazilië, Canada, Indonesië, Japan, Mexico, Nieuw-Zeeland, de Filipijnen en de Verenigde Staten getest. bron: https://www.security.nl
  18. Duizenden mensen draaien elke dag vanuit hun browser een proxy waardoor mensen in autoritaire regimes verbinding met het Tor-netwerk kunnen maken, zo laat het Tor Project weten. Op dit moment zijn er zo'n achtduizend zogeheten Snowflake-proxies actief. Snowflake is een "pluggable transport" die een combinatie gebruikt van domain fronting en peer-to-peer WebRTC-verbindingen tussen vrijwilligers en Tor-gebruikers om zo internetcensuur te omzeilen. Dagelijks maken meer dan twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. In sommige landen waar internetcensuur heerst kunnen providers het Tor-verkeer blokkeren. Als oplossing beschikt Tor Browser over pluggable transports. Daarbij wordt het Tor-verkeer omgevormd tot onschuldig lijkend verkeer. Op deze manier zien partijen die het verkeer monitoren niets verdachts en kunnen gebruikers toch van het Tor-netwerk gebruik maken. Snowflake zorgt ervoor dat Tor-gebruikers in landen met internetcensuur via de browser van een vrijwilliger in een ander land verbinding kunnen maken met het Tor-netwerk. Het enige wat vrijwilligers hoeven te doen is het installeren van een Chrome- of Firefox-extensie. Vrijwilligers hoeven zich volgens het Tor Project ook geen zorgen te maken over welke websites mensen via hun proxy bezoeken, aangezien het zichtbare ip-adres het ip-adres van de exitnode is en niet dat van de vrijwilliger. Later deze maand zal er een nieuwe versie van Tor Browser uitkomen waarin Snowflake als standaard "bridge" optie beschikbaar zal zijn om verbinding met het Tor-netwerk te maken. Internetgebruikers worden dan ook opgeroepen om een Snowflake-proxy te starten en mee te helpen met het omzeilen van overheidscensuur. bron: https://www.security.nl
  19. De op privacy gerichte zoekmachine DuckDuckGo lanceert later dit jaar een eigen desktopbrowser en komt binnenkort al met een oplossing om de privacy van e-mailgebruikers te beschermen. Daarnaast is DuckDuckGo de tweede zoekmachine in Nederland op smartphones, zo laat de zoekmachine vandaag weten. Volgens DuckDuckGo is het zoekverkeer de afgelopen met 55 procent toegenomen en de DuckDuckGo-app meer dan vijftig miljoen keer gedownload. "Privacysceptici hebben de discussie over online privacy te lang gedomineerd. "Natuurlijk vinden mensen privacy belangrijk, maar ze doen er niets aan." Het is tijd om deze foute aanname ten grave te dragen", stelt DuckDuckGo. De zoekmachine biedt al een eigen browser op mobiele platformen en heeft voor verschillende desktopbrowsers een extensie ontwikkeld. Later dit jaar komt er een compleet nieuwe DuckDuckGo-desktopbrowser gebaseerd op de mobiele browser die het al biedt. Daarnaast verschijnt binnenkort "DuckDuckGo Email Protection", dat e-mailgebruikers meer privacy moet geven. Details zijn echter niet gegeven. Later deze zomer komt DuckDuckGo voor Androidgebruikers met een feature om apptrackers te blokkeren en meer inzicht te krijgen in wat erop het toestel gebeurt. "Privacy is vrijheid. Het behandelt mensen als mensen, niet als datapunten, en stelt iedereen op internet in staat om manipulatie door online profilering te ontsnappen", zo stelt de zoekmachine, die toevoegt dat het privacy de standaard wil maken en niet de uitzondering. bron: https://www.security.nl
  20. Een kwetsbaarheid in Instagram zorgde ervoor dat afgeschermde foto's ook zichtbaar waren voor personen die de gebruiker in kwestie niet volgden. Facebook heeft het beveiligingslek verholpen en onderzoeker Mayur Fartade die het probleem ontdekte en rapporteerde met 30.000 dollar beloond. Instagram-gebruikers kunnen hun account op privé zetten zodat alleen volgers die daar toestemming voor hebben kunnen zien wat de gebruiker deelt. Afbeeldingen op het platform zijn voorzien van een Media ID. Wanneer een aanvaller dit Media ID zou weten, bijvoorbeeld via een bruteforce-aanval, had die een request kunnen sturen naar Instagrams GraphQL endpoint. De respons bevatte vervolgens de url van de betreffende afbeelding, alsmede andere informatie. Ook via een ander endpoint was het mogelijk om deze informatie op te vragen. Fartade waarschuwde Facebook op 16 april van dit jaar en stuurde op 19 april meer informatie. Drie dagen later verhielp Facebook het probleem. Op 24 april ontdekte de onderzoeker echter het andere endpoint dat dezelfde informatie prijsgaf. Vijf dagen later rolde Facebook een oplossing uit, maar die was volgens de onderzoeker niet volledig. Gisteren liet Facebook weten dat het probleem nu wel was opgelost, iets wat Fartade bevestigt. Daarnaast meldde het techbedrijf dat de onderzoeker voor zijn melding met 30.000 dollar wordt beloond. bron: https://www.security.nl
  21. Door een kritieke kwetsbaarheid in een softwareplatform waar verschillende camerafabrikanten gebruik van maken is het voor aanvallers mogelijk om met miljoenen beveiligingscamera's mee te kijken. De kwetsbaarheid is aanwezig in de P2P-software van het bedrijf ThroughTek. ThroughTek biedt camerafabrikanten een P2P-oplossing waardoor hun gebruikers via een app met hun eigen beveiligingscamera kunnen meekijken. De app en beveiligingscamera staan via een P2P-server met elkaar in verbinding. De oplossing van ThroughTek wordt onder andere voor ip-camera's en babymonitors gebruikt. Onderzoekers van Nozomi Networks ontdekten dat de data tussen de camera en de servers van ThroughTek niet goed is beveiligd. De P2P-software maakt voor het beveiligd versturen van data geen gebruik van een "secure key exchange", maar van obfuscatie op basis van een hardcoded key. Een aanvaller die toegang tot netwerkverkeer heeft kan zo in real-time met de videostream van de beveiligingscamera meekijken. De ernst van de kwetsbaarheid, aangeduid als CVE-2021-32934, is op een schaal van 1 tot en met 10 met een 9,1 beoordeeld. ThroughTek werd in maart van dit jaar voor het lek gewaarschuwd. Op de eigen website meldt het bedrijf dat veel camerafabrikanten de P2P-software niet goed hebben geïmplementeerd of een verouderde versie van de software gebruiken. In nieuwere versies van de software is het probleem verholpen. De onderzoekers stellen dat het voor eindgebruikers lastig is om de door hun camerafabrikant gebruikte P2P-provider te achterhalen of te bepalen of de gebruikte protocollen veilig zijn. Om ongewenste pottenkijkers te voorkomen adviseert Nozomi Networks dan ook om de P2P-functionaliteit in zijn geheel uit te schakelen. bron: https://www.security.nl
  22. Duizenden vanaf het internet toegankelijke VMware vCenter-servers zijn nog altijd kwetsbaar voor aanvallen omdat beschikbare beveiligingsupdates niet zijn geïnstalleerd. Dat meldt securitybedrijf Trustwave op basis van eigen onderzoek. Aanvallers zoeken actief naar kwetsbare servers om die aan te vallen. Op 25 mei jongstleden bracht VMware patches uit voor twee kwetsbaarheden in vCenter, waaronder CVE-2021-21985. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 beoordeeld. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers en wordt standaard geleverd met de vSAN-plug-in. Deze plug-in controleert invoer van gebruikers onvoldoende, waardoor een aanvaller met toegang tot de vCenter-server op afstand willekeurige code kan uitvoeren. Het maakt niet uit of er van vSAN gebruik wordt gemaakt of niet. Op 3 juni waarschuwden onder andere securitybedrijf Bad Packets dat aanvallers naar kwetsbare servers zochten. Onderzoekers van Trustwave wilden kijken hoeveel vCenter-servers via internet zijn te vinden en de betreffende beveiligingsupdate missen. Hiervoor maakten de onderzoekers gebruik van de Shodan-zoekmachine, die in totaal vijfduizend vCenter-servers vond. Van deze vijfduizend servers bleken er vierduizend een kwetsbare versie van de software te draaien. Van de duizend servers die niet kwetsbaar zijn blijkt het overgrote deel "end of life" te zijn. Slechts acht van de niet-kwetsbare servers draaiden een ondersteunde versie van vCenter. Organisaties worden dan ook opgeroepen de beschikbare patch te installeren of anders een workaround toe te passen. bron: https://www.security.nl
  23. Microsoft zal de ondersteuning van Windows 10 Home en Pro op 14 oktober 2025 stoppen. Dat blijkt uit een productdocument van het techbedrijf. Volgens Windowsvolger Paul Thurrott is het de eerste keer dat Microsoft laat weten wanneer het de ondersteuning van beide besturingssystemen stopt. Voorheen kondigde het techbedrijf alleen aan wanneer een bepaalde Windows 10-versie geen updates meer zou ontvangen. Volgende week op 24 juni zal Microsoft de "Next Generation Windows" aankondigen. Thurrott stelt dat de nu genoemde einddatum laat zien dat de volgende Windows vanuit een marketingperspectief gezien geen Windows 10 zal zijn en een andere naam krijgt. De eerste versie van Windows 10 verscheen op 29 juli 2015. Twee keer per jaar brengt Microsoft een grote feature-update uit voor Windows 10. In het geval van Windows 10 Home, Pro, Pro Education en Pro for Workstations worden die achttien maandenlang met beveiligingsupdates ondersteund. Gebruikers die na deze periode nog patches willen blijven ontvangen moeten naar een nieuwere versie upgraden. Nu blijkt dat Windows 10 Home en Pro als platform na 14 oktober 2025 end-of-life zullen zijn. bron: https://www.security.nl
  24. WordPress-sites die gebruikmaken van de zeer populaire plug-in Jetpack zijn het doelwit van een aanval met hergebruikte wachtwoorden. Dat laat securitybedrijf Wordfence weten. Jetpack is een plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie. Meer dan vijf miljoen WordPress-sites maken er gebruik van. Ongeacht of gebruikers de WordPress-site zelf hosten of bij WordPress.com hebben ondergebracht, het gebruik van een WordPress.com-account is verplicht om van Jetpack gebruik te kunnen maken. Eén van de features van Jetpack maakt het mogelijk voor gebruikers die zijn ingelogd op WordPress.com om allerlei beheertaken op de gekoppelde WordPress-site uit te voeren, waaronder de installatie van plug-ins. Aanvallers proberen nu via hergebruikte wachtwoorden toegang tot de WordPress.com-accounts te krijgen, om vervolgens malafide plug-ins te installeren. Deze plug-ins zorgen ervoor dat bezoekers van de WordPress-site automatisch worden doorgestuurd naar malafide websites. Wordfence stelt dat het aantal op deze manier besmette websites is verdubbeld, maar noemt geen aantallen. Gebruikers van Jetpack wordt aangeraden om een uniek wachtwoord voor hun WordPress.com-account te gebruiken en tweefactorauthenticatie in te stellen. "Als je niet actief gebruik maakt van Jetpack, koppel je site dan los van WordPress.com of schakel de plug-in uit", adviseert het securitybedrijf. bron: https://www.security.nl
  25. Certificaatautoriteit heeft een incident gemeld omdat de certificaten die het uitgaf één seconde te lang geldig waren. Let's Encrypt geeft gratis tls-certificaten uit die websites voor het opzetten van een beveiligde verbinding met bezoekers kunnen gebruiken. De certificaten zijn maximaal negentig dagen geldig. Hierbij nam de software van Let's Encrypt de uitgiftetijd en voegde daar precies 2160 uur aan toe, om zo te bepalen tot wanneer het certificaat geldig is. In Request for Comments (RFC) 5280 staat de geldigheidsduur van een certificaat echter omschreven als de periode waarbij de uitgiftetijd en eindtijd moet worden meegeteld. In het geval van Let's Encrypt werd dit niet gedaan, waardoor er certificaten werden uitgegeven die negentig dagen en één seconde geldig waren. Aangezien de uitgegeven certificaten niet aan de regels voldoen heeft Let's Encrypt nu melding van een incident gemaakt. Het probleem werd op 8 juni aan de certificaatautoriteit gemeld, die de volgende dag een oplossing had doorgevoerd waardoor certificaten voortaan nog maar 7775999 seconden geldig zijn. Aangezien de impact van het probleem meevalt is besloten om al uitgegeven certificaten niet in te trekken. bron: https://www.security.nl
×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.