Captain Kirk

Duizenden mensen draaien elke dag vanuit hun browser een proxy waardoor mensen in autoritaire regimes verbinding met het Tor-netwerk kunnen maken, zo laat het Tor Project weten. Op dit moment zijn er zo'n achtduizend zogeheten Snowflake-proxies actief. Snowflake is een "pluggable transport" die een combinatie gebruikt van domain fronting en peer-to-peer WebRTC-verbindingen tussen vrijwilligers en Tor-gebruikers om zo internetcensuur te omzeilen. Dagelijks maken meer dan twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt. In sommige landen waar internetcensuur heerst kunnen providers het Tor-verkeer blokkeren. Als oplossing beschikt Tor Browser over pluggable transports. Daarbij wordt het Tor-verkeer omgevormd tot onschuldig lijkend verkeer. Op deze manier zien partijen die het verkeer monitoren niets verdachts en kunnen gebruikers toch van het Tor-netwerk gebruik maken. Snowflake zorgt ervoor dat Tor-gebruikers in landen met internetcensuur via de browser van een vrijwilliger in een ander land verbinding kunnen maken met het Tor-netwerk. Het enige wat vrijwilligers hoeven te doen is het installeren van een Chrome- of Firefox-extensie. Vrijwilligers hoeven zich volgens het Tor Project ook geen zorgen te maken over welke websites mensen via hun proxy bezoeken, aangezien het zichtbare ip-adres het ip-adres van de exitnode is en niet dat van de vrijwilliger. Later deze maand zal er een nieuwe versie van Tor Browser uitkomen waarin Snowflake als standaard "bridge" optie beschikbaar zal zijn om verbinding met het Tor-netwerk te maken. Internetgebruikers worden dan ook opgeroepen om een Snowflake-proxy te starten en mee te helpen met het omzeilen van overheidscensuur. bron: https://www.security.nl

De op privacy gerichte zoekmachine DuckDuckGo lanceert later dit jaar een eigen desktopbrowser en komt binnenkort al met een oplossing om de privacy van e-mailgebruikers te beschermen. Daarnaast is DuckDuckGo de tweede zoekmachine in Nederland op smartphones, zo laat de zoekmachine vandaag weten. Volgens DuckDuckGo is het zoekverkeer de afgelopen met 55 procent toegenomen en de DuckDuckGo-app meer dan vijftig miljoen keer gedownload. "Privacysceptici hebben de discussie over online privacy te lang gedomineerd. "Natuurlijk vinden mensen privacy belangrijk, maar ze doen er niets aan." Het is tijd om deze foute aanname ten grave te dragen", stelt DuckDuckGo. De zoekmachine biedt al een eigen browser op mobiele platformen en heeft voor verschillende desktopbrowsers een extensie ontwikkeld. Later dit jaar komt er een compleet nieuwe DuckDuckGo-desktopbrowser gebaseerd op de mobiele browser die het al biedt. Daarnaast verschijnt binnenkort "DuckDuckGo Email Protection", dat e-mailgebruikers meer privacy moet geven. Details zijn echter niet gegeven. Later deze zomer komt DuckDuckGo voor Androidgebruikers met een feature om apptrackers te blokkeren en meer inzicht te krijgen in wat erop het toestel gebeurt. "Privacy is vrijheid. Het behandelt mensen als mensen, niet als datapunten, en stelt iedereen op internet in staat om manipulatie door online profilering te ontsnappen", zo stelt de zoekmachine, die toevoegt dat het privacy de standaard wil maken en niet de uitzondering. bron: https://www.security.nl

Een kwetsbaarheid in Instagram zorgde ervoor dat afgeschermde foto's ook zichtbaar waren voor personen die de gebruiker in kwestie niet volgden. Facebook heeft het beveiligingslek verholpen en onderzoeker Mayur Fartade die het probleem ontdekte en rapporteerde met 30.000 dollar beloond. Instagram-gebruikers kunnen hun account op privé zetten zodat alleen volgers die daar toestemming voor hebben kunnen zien wat de gebruiker deelt. Afbeeldingen op het platform zijn voorzien van een Media ID. Wanneer een aanvaller dit Media ID zou weten, bijvoorbeeld via een bruteforce-aanval, had die een request kunnen sturen naar Instagrams GraphQL endpoint. De respons bevatte vervolgens de url van de betreffende afbeelding, alsmede andere informatie. Ook via een ander endpoint was het mogelijk om deze informatie op te vragen. Fartade waarschuwde Facebook op 16 april van dit jaar en stuurde op 19 april meer informatie. Drie dagen later verhielp Facebook het probleem. Op 24 april ontdekte de onderzoeker echter het andere endpoint dat dezelfde informatie prijsgaf. Vijf dagen later rolde Facebook een oplossing uit, maar die was volgens de onderzoeker niet volledig. Gisteren liet Facebook weten dat het probleem nu wel was opgelost, iets wat Fartade bevestigt. Daarnaast meldde het techbedrijf dat de onderzoeker voor zijn melding met 30.000 dollar wordt beloond. bron: https://www.security.nl

Door een kritieke kwetsbaarheid in een softwareplatform waar verschillende camerafabrikanten gebruik van maken is het voor aanvallers mogelijk om met miljoenen beveiligingscamera's mee te kijken. De kwetsbaarheid is aanwezig in de P2P-software van het bedrijf ThroughTek. ThroughTek biedt camerafabrikanten een P2P-oplossing waardoor hun gebruikers via een app met hun eigen beveiligingscamera kunnen meekijken. De app en beveiligingscamera staan via een P2P-server met elkaar in verbinding. De oplossing van ThroughTek wordt onder andere voor ip-camera's en babymonitors gebruikt. Onderzoekers van Nozomi Networks ontdekten dat de data tussen de camera en de servers van ThroughTek niet goed is beveiligd. De P2P-software maakt voor het beveiligd versturen van data geen gebruik van een "secure key exchange", maar van obfuscatie op basis van een hardcoded key. Een aanvaller die toegang tot netwerkverkeer heeft kan zo in real-time met de videostream van de beveiligingscamera meekijken. De ernst van de kwetsbaarheid, aangeduid als CVE-2021-32934, is op een schaal van 1 tot en met 10 met een 9,1 beoordeeld. ThroughTek werd in maart van dit jaar voor het lek gewaarschuwd. Op de eigen website meldt het bedrijf dat veel camerafabrikanten de P2P-software niet goed hebben geïmplementeerd of een verouderde versie van de software gebruiken. In nieuwere versies van de software is het probleem verholpen. De onderzoekers stellen dat het voor eindgebruikers lastig is om de door hun camerafabrikant gebruikte P2P-provider te achterhalen of te bepalen of de gebruikte protocollen veilig zijn. Om ongewenste pottenkijkers te voorkomen adviseert Nozomi Networks dan ook om de P2P-functionaliteit in zijn geheel uit te schakelen. bron: https://www.security.nl

Duizenden vanaf het internet toegankelijke VMware vCenter-servers zijn nog altijd kwetsbaar voor aanvallen omdat beschikbare beveiligingsupdates niet zijn geïnstalleerd. Dat meldt securitybedrijf Trustwave op basis van eigen onderzoek. Aanvallers zoeken actief naar kwetsbare servers om die aan te vallen. Op 25 mei jongstleden bracht VMware patches uit voor twee kwetsbaarheden in vCenter, waaronder CVE-2021-21985. Dit beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 beoordeeld. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers en wordt standaard geleverd met de vSAN-plug-in. Deze plug-in controleert invoer van gebruikers onvoldoende, waardoor een aanvaller met toegang tot de vCenter-server op afstand willekeurige code kan uitvoeren. Het maakt niet uit of er van vSAN gebruik wordt gemaakt of niet. Op 3 juni waarschuwden onder andere securitybedrijf Bad Packets dat aanvallers naar kwetsbare servers zochten. Onderzoekers van Trustwave wilden kijken hoeveel vCenter-servers via internet zijn te vinden en de betreffende beveiligingsupdate missen. Hiervoor maakten de onderzoekers gebruik van de Shodan-zoekmachine, die in totaal vijfduizend vCenter-servers vond. Van deze vijfduizend servers bleken er vierduizend een kwetsbare versie van de software te draaien. Van de duizend servers die niet kwetsbaar zijn blijkt het overgrote deel "end of life" te zijn. Slechts acht van de niet-kwetsbare servers draaiden een ondersteunde versie van vCenter. Organisaties worden dan ook opgeroepen de beschikbare patch te installeren of anders een workaround toe te passen. bron: https://www.security.nl

Microsoft zal de ondersteuning van Windows 10 Home en Pro op 14 oktober 2025 stoppen. Dat blijkt uit een productdocument van het techbedrijf. Volgens Windowsvolger Paul Thurrott is het de eerste keer dat Microsoft laat weten wanneer het de ondersteuning van beide besturingssystemen stopt. Voorheen kondigde het techbedrijf alleen aan wanneer een bepaalde Windows 10-versie geen updates meer zou ontvangen. Volgende week op 24 juni zal Microsoft de "Next Generation Windows" aankondigen. Thurrott stelt dat de nu genoemde einddatum laat zien dat de volgende Windows vanuit een marketingperspectief gezien geen Windows 10 zal zijn en een andere naam krijgt. De eerste versie van Windows 10 verscheen op 29 juli 2015. Twee keer per jaar brengt Microsoft een grote feature-update uit voor Windows 10. In het geval van Windows 10 Home, Pro, Pro Education en Pro for Workstations worden die achttien maandenlang met beveiligingsupdates ondersteund. Gebruikers die na deze periode nog patches willen blijven ontvangen moeten naar een nieuwere versie upgraden. Nu blijkt dat Windows 10 Home en Pro als platform na 14 oktober 2025 end-of-life zullen zijn. bron: https://www.security.nl

WordPress-sites die gebruikmaken van de zeer populaire plug-in Jetpack zijn het doelwit van een aanval met hergebruikte wachtwoorden. Dat laat securitybedrijf Wordfence weten. Jetpack is een plug-in voor het maken en terugzetten van back-ups, blokkeren van spam, scannen op malware, monitoren van up- en downtime, beschermen tegen bruteforce-aanvallen en het inschakelen van tweefactorauthenticatie. Meer dan vijf miljoen WordPress-sites maken er gebruik van. Ongeacht of gebruikers de WordPress-site zelf hosten of bij WordPress.com hebben ondergebracht, het gebruik van een WordPress.com-account is verplicht om van Jetpack gebruik te kunnen maken. Eén van de features van Jetpack maakt het mogelijk voor gebruikers die zijn ingelogd op WordPress.com om allerlei beheertaken op de gekoppelde WordPress-site uit te voeren, waaronder de installatie van plug-ins. Aanvallers proberen nu via hergebruikte wachtwoorden toegang tot de WordPress.com-accounts te krijgen, om vervolgens malafide plug-ins te installeren. Deze plug-ins zorgen ervoor dat bezoekers van de WordPress-site automatisch worden doorgestuurd naar malafide websites. Wordfence stelt dat het aantal op deze manier besmette websites is verdubbeld, maar noemt geen aantallen. Gebruikers van Jetpack wordt aangeraden om een uniek wachtwoord voor hun WordPress.com-account te gebruiken en tweefactorauthenticatie in te stellen. "Als je niet actief gebruik maakt van Jetpack, koppel je site dan los van WordPress.com of schakel de plug-in uit", adviseert het securitybedrijf. bron: https://www.security.nl

Certificaatautoriteit heeft een incident gemeld omdat de certificaten die het uitgaf één seconde te lang geldig waren. Let's Encrypt geeft gratis tls-certificaten uit die websites voor het opzetten van een beveiligde verbinding met bezoekers kunnen gebruiken. De certificaten zijn maximaal negentig dagen geldig. Hierbij nam de software van Let's Encrypt de uitgiftetijd en voegde daar precies 2160 uur aan toe, om zo te bepalen tot wanneer het certificaat geldig is. In Request for Comments (RFC) 5280 staat de geldigheidsduur van een certificaat echter omschreven als de periode waarbij de uitgiftetijd en eindtijd moet worden meegeteld. In het geval van Let's Encrypt werd dit niet gedaan, waardoor er certificaten werden uitgegeven die negentig dagen en één seconde geldig waren. Aangezien de uitgegeven certificaten niet aan de regels voldoen heeft Let's Encrypt nu melding van een incident gemaakt. Het probleem werd op 8 juni aan de certificaatautoriteit gemeld, die de volgende dag een oplossing had doorgevoerd waardoor certificaten voortaan nog maar 7775999 seconden geldig zijn. Aangezien de impact van het probleem meevalt is besloten om al uitgegeven certificaten niet in te trekken. bron: https://www.security.nl

Intel heeft tijdens de tweede patchronde van dit jaar beveiligingsupdates uitgebracht die 73 kwetsbaarheden in een groot aantal producten verhelpen. Veertig van de beveiligingslekken zijn door Intel zelf ontdekt, terwijl 29 er via het bugbountyprogramma van de chipgigant zijn gerapporteerd. De updates zijn onder andere voor de Intel NUC, Thunderbolt-controller, wifi-driver, Rapid Storage Technology-software, SSD Data Center Tool, Driver and Support Assistant (DSA) en verschillende processors van de chipgigant. Via de kwetsbaarheden kan een aanvaller onder andere zijn rechten op een al gecompromitteerd systeem verhogen, informatie achterhalen of een denial of service veroorzaken. In de eerste helft van dit jaar verhielp Intel in totaal 132 kwetsbaarheden. 56 daarvan bevonden zich in de netwerk- en bluetooth-software van Intel. Een overzicht van alle beveiligingsbulletins is op deze pagina te vinden. bron: https://www.security.nl

Onderzoekers hebben een onbeveiligde database ontdekt die miljoenen door malware gestolen wachtwoorden, cookies, afbeeldingen en tekstbestanden bevatte. De malware in kwestie verspreidde zich via illegale software en e-mail en infecteerde de afgelopen jaren meer dan 3,2 miljoen computers, zo stelt cloudopslagdienst NordLocker. Op de besmette systemen werden bijna 26 miljoen inloggegevens voor bijna een miljoen websites gestolen, alsmede twee miljard cookies en 6,6 miljoen bestanden. De helft van de gestolen bestanden bestaat uit tekstbestanden. Tevens maakte de malware meer dan 1 miljoen afbeeldingen buit. Na de infectie maakte de malware ook een screenshot van de computer en wanneer aanwezig een foto via de webcam. NordLocker rapporteerde de open database aan het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) en de cloudprovider waar die werd gehost. Daarop werd de database offline gehaald. 1,1 miljoen unieke e-mailadressen die de malware verzamelde zijn aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 1,1 miljoen e-mailadressen was 38 procent al via een ander datalek bij Have I Been Pwned bekend. Aangezien het om een "gevoelig" datalek gaat is het niet mogelijk om er publiek op te zoeken. Gebruikers worden alleen gewaarschuwd wanneer ze hun e-mailadres voor de notificatiedienst van Have I Been Pwned aanmelden, zo meldt Troy Hunt, bedenker van de datalekzoekmachine. bron: https://www.security.nl

Verschillende bedrijven zijn in april het doelwit van een gerichte aanval geworden waarbij aanvallers een zerodaylek in Google Chrome gebruikten om systemen met malware te infecteren. Het beveiligingslek in de browser werd gebruikt in combinatie met twee zerodays in Windows om uit de sandbox van Chrome te breken en systeemrechten te krijgen. Dat laat antivirusbedrijf Kaspersky in een analyse weten. De aanvallen werden op 14 en 15 april door de virusbestrijder waargenomen. Wat voor bedrijven het doelwit van de aanvallen waren en waar die zich bevinden laat Kaspersky niet weten. Bij de aangevallen organisaties was Google Chrome up-to-date. Het gebruikte zerodaylek in de browser kon niet worden achterhaald, maar onderzoekers vermoeden dat het om CVE-2021-21224 gaat. CVE-2021-21224 werd op 12 april door Google in de JavaScript-engine verholpen. Het techbedrijf maakte de bijbehorende regress/unittest openbaar. Aan de hand van deze informatie lukte het een beveiligingsonderzoeker om de onderliggende kwetsbaarheid te achterhalen en een exploit te ontwikkelen, die online werd geplaatst. Google verhielp de kwetsbaarheid op 20 april in Chrome. Via het lek kan een aanvaller code binnen de browser uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website is hiervoor voldoende. De zerodays in Windows maken het mogelijk uit de sandbox van Chrome te breken en rechten te verhogen. De kwetsbaarheden in Windows zijn op zichzelf niet voldoende om een systeem te compromitteren. Kaspersky rapporteerde de twee beveiligingslekken, aangeduid als CVE-2021-31955 en CVE-2021-31956, op 20 april aan Microsoft. Het techbedrijf kwam gisterenavond met beveiligingsupdates voor Windows om de kwetsbaarheden te verhelpen. bron: https://www.security.nl

Microsoft heeft tijdens de patchdinsdag van juni zes actief aangevallen zerodaylekken in Windows verholpen. Via de kwetsbaarheden had een aanvaller volledige controle over systemen kunnen krijgen. Van de zes zerodays is er één als kritiek aangemerkt. Het gaat om CVE-2021-33742, een kwetsbaarheid in het Windows MSHTML-platform waardoor remote code execution mogelijk is. Internet Explorer 11 en de Internet Explorer-mode in Microsoft Edge maken gebruik van het MSHTML-platform, alsmede andere applicaties. Het bekijken van malafide webcontent, bijvoorbeeld bij het bezoeken van een website, zou voldoende zijn om een aanvaller code op het systeem te laten uitvoeren. "Het is niet duidelijk hoe wijdverbreid de aanvallen zijn, maar aangezien deze kwetsbaarheid alle ondersteunde Windowsversies raakt zou deze update bovenaan de lijst van te testen en uit te rollen patches moeten staan", zegt Dustin Childs van het Zero Day Initiative. Via de overige aangevallen zerodaylekken kan een aanvaller zijn rechten op het systeem verhogen of informatie uit het kernelgeheugen lezen. Bij de 'elevation-of-privilege' kwetsbaarheden moet een aanvaller al toegang tot het systeem hebben. Daarnaast is er een kwetsbaarheid in Windows Remote Desktop Services verholpen waardoor een denial of service mogelijk is. Informatie over dit beveiligingslek was al voor het uitkomen van de update openbaar, maar volgens Microsoft is er geen misbruik van het lek gemaakt. Een andere kwetsbaarheid die volgens Childs de aandacht verdient is CVE-2021-31962 en betreft een kwetsbaarheid in Kerberos AppContainer. In een bedrijfsomgeving zou een aanvaller via dit beveiligingslek de Kerberos-authenticatie kunnen omzeilen en zich bij een willekeurige service principal name (SPN) kunnen authenticeren. Een aanvaller kan zo toegang tot elke willekeurige service krijgen die via een SPN toegankelijk is. "Aangezien SPN-authenticatie cruciaal is voor de security in Kerberos-implementaties, moet deze patch de hoogste prioriteit krijgen", stelt Childs. De beveiligingsupdates voor de in totaal vijftig kwetsbaarheden zullen op de meeste systemen automatisch worden geïnstalleerd. bron: https://www.security.nl

Hostingprovider TransIP heeft besloten om de HashCheckService die servers scant op de aanwezigheid van kindermisbruikmateriaal tijdelijk uit te schakelen nadat WordPress-afbeeldingen onterecht als het gewraakte materiaal waren aangemerkt en daardoor mogelijk bij klanten zijn verwijderd. Via de HashCheckService, die wordt aangeboden door het Expertisebureau Online Kindermisbruik (EOKM), kunnen internetbedrijven en hostingproviders aan de hand van hashes controleren of er kinderpornografisch materiaal op hun servers staat. De database van de HashCheckService bevat meer dan 3,2 miljoen hashes van bekend online kinderpornografisch beeldmateriaal. Door middel van een API (application programming interface) kunnen providers de database benaderen en kijken of de hashes van bestanden op hun servers overeenkomen met de hashes van de database. TransIP maakte de HashCheckService vorig jaar beschikbaar voor klanten. Die kunnen zo, wanneer ze de service inschakelen, hun webhostingserver laten scannen op de aanwezigheid van kindermisbruikmateriaal. De hashes waarvan de dienst gebruikmaakt zijn afkomstig van de Nationale Politie, Interpol en het National Center for Missing & Exploited Children. "De database wordt continu aangevuld door internationale politieorganen, waarbij er nu ondanks meervoudige controle een serie standaardafbeeldingen van WordPress-installaties en plugins is meegenomen", laat TransIP in een e-mail aan klanten weten. Hierdoor zijn deze WordPress-afbeeldingen aangemerkt als kindermisbruikmateriaal en kunnen zo bij een scan automatisch worden verwijderd. "Het gaat hier met nadruk niet om persoonlijke afbeeldingen. Het betreft afbeeldingen die automatisch worden aangevuld door WordPress bij het uitvoeren van updates. We adviseren je dan ook om te kijken of je deze handmatig kunt uitvoeren", aldus TransIP. Vanwege het incident heeft de hostingprovider besloten om het gebruik van de HashCheckService voorlopig in zijn geheel te pauzeren. "De garanties op de integriteit van de data vanuit het EOKM blijken onvoldoende. Hierover zijn wij met hen in overleg, maar totdat hier een oplossing voor komt laten wij de service uitgeschakeld. Dit betekent dat wij in de tussentijd niet je webhostingpakket(ten) kunnen scannen", maakt de provider duidelijk. bron: https://www.security.nl

Afgelopen zondag was het precies dertig jaar geleden dat de eerste versie van encryptiesoftware Pretty Good Privacy (PGP) op internet verscheen. Inmiddels is sterke encryptie overal aanwezig, maar dreigt er ook een nieuwe crypto-oorlog, zo waarschuwt PGP-bedenker Philip Zimmermann in een essay over de dertigste verjaardag van zijn software. PGP versie 2.0 verscheen in september 1992 en ondersteunde tien buitenlandse talen, draaide op verschillende platformen en bood allerlei nieuwe functies waardoor het de meestgebruikte methode werd voor het versleutelen van e-mail. Zimmermann werd doelwit van een strafrechtelijk onderzoek of hij de Amerikaanse wapenexportwetgeving had overtreden. De Amerikaanse autoriteiten lieten het onderzoek begin 1996 vallen, maar stelden nog steeds beperkingen aan het exporteren van encryptiesoftware. In 2000 werden de beperkingen opgeheven. Sinds de lancering van PGP 1.0 zijn er dertig jaar verstreken en is sterke encryptie overal aanwezig, van vpn's en browsers tot bank-apps, schijfversleuteling, cryptovaluta en het Tor-netwerk. Volgens Zimmermann is deze ontwikkeling niet meer tegen te houden, maar is dat toch wat verschillende overheden proberen. Onder andere Australië, het Verenigd Koninkrijk, de Verenigde Staten en andere liberale democratieën hebben zich tegen end-to-end encryptie uitgesproken. "Twintig jaar nadat de we dachten de crypto-oorlog te hebben gewonnen. Is het weer nodig om te mobiliseren?", vraagt de PGP-bedenker zich af. Volgens Zimmermann is de noodzaak op het recht op privégesprekken nooit belangrijker geweest. "Veel democratieën glijden af naar populistische autocratieën. Gewone burgers en grassroots politieke bewegingen moeten zich zich zo goed als mogelijk tegen deze opkomende autocratieën beschermen." Zimmermann waarschuwt dat wanneer een autocratie een overal aanwezige surveillance-infrastructuur bouwt of erft, het bijna onmogelijk wordt om politieke oppositie te organiseren, zoals in China het geval is. En het gaat niet alleen om de persoonlijke veiligheid, ook de nationale veiligheid staat op het spel, aldus de PGP-bedenker. Hij wijst onder andere naar het gebruik van Huawei voor de 5G-infrastructuur in Europa. Zimmermann stelt dat producten met end-to-end encryptie essentieel voor de Europese nationale veiligheid zijn en er op beleidsterrein moet worden gestreden om het recht op end-to-end encryptie te behouden. bron: https://www.security.nl

Abuse.ch, een platform dat zich met de bestrijding van botnets en malware bezighoudt, heeft een nieuw onderkomen bij de universiteit van Bern gevonden. In de toekomst zal Abuse.ch als een onderzoeksproject van het Institute for Cybersecurity and Engineering ICE worden geleid. Het platform werd vijftien jaar geleden gestart door de Zwitserse beveiligingsonderzoeker Roman Hüssy. Abuse.ch werd mede vanwege de trackers van de Zeus- en SpyEye-botnets bekend. Informatie van het platform wordt door allerlei bedrijven, onderzoekers, Security Operations Centers, Computer Security Incident Response Teams en Computer Emergency Response Teams gebruikt om netwerken en systemen te beschermen. Inmiddels bestaat Abuse.ch uit vijftig servers en tweehonderd sandboxes. Elke maand genereert het platform honderddertig terabyte aan netwerkverkeer en verwerkt twee miljoen api-verzoeken per dag. Toch is het nog altijd een eenmansoperatie. Volgens Hüssy is het beheer van het platform een uitdaging geworden, niet per se vanuit een technisch oogpunt, maar voornamelijk door de kosten van de infrastructuur en vereiste kennis voor bigdata-analyse. Om de toekomst van Abuse.ch veilig te stellen wilde de Zwitserse beveiligingsonderzoeker er een onderzoeksproject van maken. Zodoende wordt het mogelijk om financiering van derde partijen te ontvangen en mogelijk beroep te doen op onderzoeksbeurzen. Ook wordt het mogelijk om iemand aan te nemen die het werk van Hüssy aan Abuse.ch gaat ondersteunen. Er gelden echter enkele voorwaarden om van Abuse.ch een onderzoeksproject te kunnen maken en één daarvan is dat Hüssy bij een universiteit aan de slag gaat en hij voor die functie financiering vindt. De onderzoeker stapte naar verschillende grote organisaties die van de data van Abuse.ch gebruikmaken met het verzoek om hem te helpen, maar kreeg geen gehoor. Eind vorig jaar waarschuwde Hüssy dat het voortbestaan van Abuse.ch in gevaar kon komen als hij geen voldoende geld zou binnen zou halen om van het platform een onderzoeksproject te maken. Dat is nu gelukt, zo laat de onderzoeker weten. Abuse.ch zal net als voorheen op een niet-commerciële basis worden gerund. bron: https://www.security.nl

New York Pizza heeft miljoenen persoonsgegevens van klanten gelekt. Bij een inbraak op de systemen van een leverancier werd de data buitgemaakt, zo laat de pizzaketen in een e-mail aan klanten en op de eigen website weten. Het gaat om naam, adresgegevens, e-mailadres, telefoonnummer, bestelde pizza's, wachtwoordhash en in een "klein aantal" gevallen ook de geboortedatum in het geval van verjaardagsbestellingen. De NOS meldt dat het om 3,9 miljoen klantgegevens gaat. "We zijn zo snel mogelijk gestart met het informeren van onze klanten en medewerkers. Ook hebben wij de partijen met wie wij samenwerken geïnformeerd. Daarnaast hebben wij externe specialisten ingeschakeld die het incident onderzoeken, wie achter de aanval zit, en hoe dit in de toekomst kan worden voorkomen", aldus New York Pizza in een reactie op het datalek. Klanten wordt aangeraden hun wachtwoord te wijzigen en alert te zijn op phishingmails. bron: https://www.security.nl

Aanvallers maken actief misbruik van een zerodaylek in de WordPressplug-in Fancy Product Designer, waardoor meer dan zeventienduizend sites risico lopen om te worden overgenomen. Een beveiligingsupdate om het probleem te verhelpen is nog niet beschikbaar. Dat meldt securitybedrijf Wordfence. Fancy Product Designer is een WordPressplug-in waarmee webwinkels hun klanten bestanden kunnen laten uploaden, zoals afbeeldingen en pdf-documenten. Bijvoorbeeld voor het ontwerpen van eigen T-shirts, bekers, posters of muismatten. De plug-in blijkt niet goed te controleren of er geen malafide bestanden worden geüpload. Daardoor is het mogelijk om op elke website die van de plug-in gebruikmaakt PHP-bestanden te uploaden waardoor aanvallers de website volledig kunnen overnemen. De kwetsbaarheid, CVE-2021-24370, is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Wordfence ontdekte op 31 mei dat de kwetsbaarheid in ieder geval sinds 16 mei actief wordt gebruikt om WordPress-sites mee over te nemen. Het securitybedrijf waarschuwde de ontwikkelaars van de plug-in. Die hebben nog geen beveiligingsupdate beschikbaar gemaakt. Vanwege de actieve aanvallen besloot Wordfence gebruikers nu al te waarschuwen. Details over het lek worden pas na het uitkomen van de patch openbaar gemaakt. bron: https://www.security.nl

Microsoft Edge krijgt een optie om websites standaard via https te laden, wat bescherming tegen man-in-the-middle-aanvallen moet bieden, zo laat Microsoft weten. "Automatic HTTPS" wordt standaard gebruikt voor websites waarvan wordt aangenomen dat ze ook https ondersteunen. Daarnaast kunnen gebruikers instellen dat de browser altijd van https gebruik moet maken. De meeste websites ondersteunen inmiddels beveiligde verbindingen via https. Veel van deze sites zijn echter niet ingesteld om het gebruik van https te verplichten, waardoor aanvallers kunnen toeslaan wanneer er een redirect van http naar https plaatsvindt, zo stelt Microsoft. Sommige websites sturen gebruikers daarnaast helemaal niet door van http naar https. Om verbindingsfouten te voorkomen maakt Edge gebruik van een lijst met domeinen die waarschijnlijk https ondersteunen. Microsoft genereert deze lijst op basis van topdomeinen die veel verkeer via https ontvangen en niet zijn ingesteld om alleen via https toegankelijk te zijn. Voor gebruikers die websites alleen over https willen bezoeken biedt de browser daarvoor straks ook een optie. Wel waarschuwt Microsoft dat deze gebruikers mogelijk met meer foutmeldingen te maken kunnen krijgen. Automatic HTTPS is nu te testen in de testversies van Microsoft Edge 92. bron: https://www.security.nl

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die ook in privénavigatie bescherming tegen cross-site tracking biedt. De privacymaatregel met de naam Total Cookie Protection (TCP) was sinds februari al beschikbaar in de 'strict mode' van de Enhanced Tracking Protection (ETP). TCP zorgt ervoor dat bij elke bezochte website een aparte "cookie jar" wordt gebruikt, waardoor een trackingcookie van de ene website niet meer voor andere sites toegankelijk is. Firefox blokkeert al enige tijd trackingcookies via Enhanced Tracking Protection. Hiervoor maakt de browser gebruik van een lijst met bekende trackers van trackerblocker Disconnect. Op dit moment blokkeert ETP zo'n drieduizend van de meestgebruikte en waargenomen trackers. De bescherming van ETP is echter afhankelijk van de Disconnect-lijst en dat die up-to-date is. Trackers kunnen de lijst eenvoudig omzeilen door nieuwe domeinnamen te registreren. Daarnaast kan het lang duren voordat een nieuw trackingdomein aan de lijst wordt toegevoegd. Total Cookie Protection moet ervoor zorgen dat tracking via cookies tot het verleden gaat behoren, aldus Mozilla. Cookies zijn nog altijd zeer effectief voor het volgen van internetgebruikers op het web. Een tracker die op meerdere websites als derde partij actief is kan voor het eigen trackingdomein third-party cookies bij bezoekers plaatsen. Zo is het mogelijk om internetgebruikers over meerdere websites te volgen. Met Total Cookie Protection worden alle cookies van een domein dat de gebruiker bezoekt in een aparte cookie jar opgeslagen, gescheiden van andere websites die hun eigen cookie jar hebben. Ook al is een tracker op meerdere websites actief, dan zullen de trackingcookies nog steeds beperkt zijn tot de cookie jar van de betreffende website. Volgens Mozilla heeft dit grote voordelen voor de privacy van gebruikers, omdat het nu mogelijk is om een uitgebreidere bescherming te bieden dan met de Disconnect-lijst het geval is, terwijl dit geen gevolgen heeft voor websites zolang ze geen cross-site access vereisen. Met de lancering van Firefox 89 is Total Cookie Protection nu ook beschikbaar in de privénavigatie van de browser. Verder is in deze versie de vormgeving van Firefox op de schop genomen en zijn er negen kwetsbaarheden verholpen. Door één van deze beveiligingslekken, alleen aanwezig in de Androidversie van Firefox, was de ingebouwde wachtwoordmanager kwetsbaar voor domeinspoofing. Daardoor kon de wachtwoordmanager door een malafide website worden verleid om het wachtwoord van een andere website te suggereren. Updaten naar Firefox 89 kan via de ingebouwde updatefunctie en Mozilla.org. bron: https://www.security.nl

Klanten van Accellion zijn door een probleem met een mailtool afgelopen december niet door het softwarebedrijf gewaarschuwd voor een zeroday-aanval waarbij twee tot dan toe onbekende kwetsbaarheden werden gebruikt om systemen over te nemen. Dat blijkt uit een rapport van KPMG dat onderzoek deed naar misbruik van de beveiligingslekken bij de centrale bank van Nieuw-Zeeland (pdf). De zeroday-aanval was gericht tegen de Accellion File Transfer Appliance (FTA)-server. FTA was een twintig jaar oude oplossing die organisaties gebruikten voor het uitwisselen van grote bestanden. Op 16 december waarschuwde een klant Accellion voor een aanval. Verder onderzoek wees uit dat de aanvallers misbruik van twee zerodaylekken maakten om toegang tot FTA-servers te krijgen. Nadat er toegang was verkregen installeerden de aanvallers een webshell om hun toegang te behouden en gegevens te stelen. Onder andere de Clop-ransomwaregroep maakte misbruik van de lekken. Op 20 december kwam Accellion met een beveiligingsupdate voor de kwetsbaarheden. Eén van de organisaties die op 25 december via de beveiligingslekken werd aangevallen was de centrale bank van Nieuw-Zeeland. De bank liet KPMG de aanval en het resulterende datalek onderzoeken. Daaruit blijkt dat Accellion klanten via e-mail had willen waarschuwen. Een probleem met de e-mailtool zorgde er echter voor dat deze waarschuwing niet werd verstuurd. De bank werd uiteindelijk op 6 januari van dit jaar alsnog ingelicht en rolde een dag later de beschikbare beveiligingsupdate uit. Volgens de onderzoekers heeft de vertraagde waarschuwing bijgedragen aan de inbraak en de manier waarop de bank had kunnen reageren om de aanval te voorkomen. "We waren te afhankelijk van Accelloin, de leverancier van de FTA, om ons voor kwetsbaarheden in hun systeem te waarschuwen. In dit geval bleven de waarschuwingen op hun systeem achter en bereikten de centrale bank niet voordat de aanval plaatsvond. We hebben geen voorafgaande waarschuwing ontvangen", aldus de bank. De bank erkent dat het maatregelen had kunnen treffen om de impact van de aanval te beperken. Inmiddels is FTA door Accellion uitgefaseerd. Naast de centrale bank van Nieuw-Zeeland lieten de Nederlandse Aardolie Maatschappij (NAM), securitybedrijf Qualys, de Australian Securities and Investments Commission (ASIC), de Amerikaanse staat Washington, de Amerikaanse supermarktketen Kroger en advocatenkantoor Jones Day weten dat erop hun FTA-server was ingebroken. bron: https://www.security.nl

De Europese Unie werkt aan de ontwikkeling van een wallet-app waarmee EU-burgers zich straks in heel Europa bij zowel bedrijven als overheden kunnen identificeren. Daarnaast is de app te gebruiken voor de opslag van wachtwoorden en betaalgegevens. "Deze nieuwe digitale identiteit geeft elke Europeaan de sleutels tot zijn digitale tweeling", liet Thierry Breton, EU-commissaris voor Interne Markt, eerder dit jaar weten. De plannen voor de wallet-app worden morgen aangekondigd, meldt de Financial Times. De app, die in de hele Europese Unie zal zijn te gebruiken, ondersteunt onder andere biometrische beveiliging. Gebruikers kunnen bijvoorbeeld door middel van een vingerafdruk of gezichtsscan de app openen. Naast de toepassing van online identificatie fungeert de wallet volgens de FT ook als een 'kluis' waarin gebruikers officiële documenten zoals een rijbewijs kunnen opslaan. De EU zou daarnaast maatregelen treffen om te voorkomen dat informatie uit de wallet voor andere commerciële doeleinden worden ingezet, zoals advertenties. Op dit moment overlegt Brussel met de lidstaten over de technische standaarden voor de uitrol van de app, die over een jaar volledig operationeel zou moeten zijn. De app wordt niet verplicht, maar personen die bij de wallet zijn betrokken laten tegenover de FT weten dat gebruikers van een "extra veilig digitaal ecosysteem en grotere flexibiliteit" zullen profiteren. Wat dit precies inhoudt is nog niet duidelijk gemaakt. bron: https://www.security.nl

De SolarWinds-aanval was geen 'gewone spionage' en laat zien dat er regels voor cyberspionage moeten komen, zo stelt Microsoft. Daarnaast moeten landen sancties treffen wanneer deze regels worden overtreden. Dat zegt Tom Burt, Microsofts Corporate Vice President. Vorige week waarschuwde Microsoft voor een phishingaanval gericht tegen overheidsinstanties en ngo's die het werk zou zijn van de groep achter de SolarWinds-aanval. De Amerikaanse overheid heeft de aanval bevestigd, maar nog niet vastgesteld dat die is uitgevoerd door de SolarWinds-aanvallers. Er zit echter een verschil tussen deze phishingaanval en de SolarWinds-aanval, en de laatste toont de noodzaak van regels voor cyberspionage, aldus Burt. Bij de SolarWinds-aanval werden updates van het softwarebedrijf voorzien van een backdoor waardoor de aanvallers aanvullende malware bij een selecte groep slachtoffers konden installeren. Deze aanval was volgens Burt vanwege twee redenen geen gewone spionage. Ten eerste werd voor deze aanval het online updateproces van SolarWinds gebruikt. "Alle leveranciers maken gebruik van online updates om hun klanten te beschermen en die updates moeten te vertrouwen zijn", merkt Microsofts vicepresident op. "Door het gebruik van updates voor malafide doeleinden wordt dat vertrouwen aangetast en de veiligheid van het gehele digitale ecosysteem in gevaar gebracht." Daarnaast was de aanval niet gericht. Meer dan 18.000 klanten van SolarWinds installeerden de besmette updates van de aanvallers. Door deze ongerichte aanpak zijn bedrijven onnodig op kosten gejaagd, gaat Burt verder. "Dit is geen 'gewone spionage'. In vergelijking waren de phishingaanvallen van vorige week gericht op spionagedoelwitten en maakten geen misbruik van een kernproces dat essentieel is voor de veiligheid van het digitale ecosysteem", reageert Burt op sommige mensen die de SolarWinds-aanval als gewone spionage bestempelden. De phishingaanval, de SolarWinds-aanval en de Exchange-aanval van eerder dit jaar laten volgens Burt zien dat bedrijven en overheden sneller maatregelen moeten treffen. Ten eerste moeten organisaties zich beter verdedigen. Ten tweede moet er meer worden gedaan om schadelijke aanvallen af te schrikken. Zo stelde de Amerikaanse overheid dat de SolarWinds-aanval door Rusland is uitgevoerd en legde hiervoor Russische bedrijven, instellingen en personen sancties op. Burt stelt dat de SolarWinds-aanval aantoont dat er duidelijkere regels moeten komen voor wat bijvoorbeeld 'gewone spionage' is en wanneer de grens wordt overschreden. bron: https://www.security.nl

Het Duitse AV-Test Institute heeft 21 antivirusprogramma's voor Windows 10 vergeleken waaruit blijkt dat de geteste virusscanners elkaar weinig ontlopen. Van de 21 pakketten werden er 17 als "Top Product" bestempeld, waaronder de gratis virusscanner Microsoft Defender die standaard in Windows 10 zit. De antivirusprogramma's werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 278 "zero-day" malware-exemplaren en bijna 17.000 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,3 procent gehaald. De test met de bijna 17.000 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Acht virusscanners scoren op beide onderdelen 100 procent (AhnLab, Avast, AVG, Bitdefender, ESET, G DATA, Microsoft en NortonLifeLock). Om op dit onderdeel zes punten te scoren was het niet noodzakelijk om ook alle malware te detecteren. Microworld en PC Matic zetten met respectievelijk 4 en 4,5 punten de laagste detectiescore neer Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Twintig van de 21 pakketten scoren de maximale 6 punten. Alleen Avira komt lager uit met 5,5 punten. Volgens AV-Test laat dit zien dat virusscanners tegenwoordig nog nauwelijks impact op systemen hebben. Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de 'false positives' aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Voor de test werden meer dan een miljoen schone websites en bestanden gebruikt. Zestien pakketten halen de maximale 6 punten. PC Matic eindigt op dit onderdeel met 4 punten onderaan. Van de 21 virusscanners weten er uiteindelijk veertien op alle drie de vlakken maximaal te scoren. PC Matic is met 14,5 punten hekkensluiter. Om als topproduct bestempeld te worden was het niet nodig om de maximale score te halen. Ook producten met 17,5 punten krijgen dit stempel. Naast het gratis Microsoft Defender wist ook het gratis Avast Free Antivirus de maximale score te halen. bron: https://www.security.nl

Een groep aanvallers heeft een paar dagen voor de publicatie over een zerodaylek in de vpn-software van Pulse Secure webshells van besmette systemen verwijderd, zo claimt securitybedrijf FireEye. Op 20 april kwamen Pulse Secure en FireEye met een waarschuwing voor een actief aangevallen zerodaylek in de Pulse Secure-software. De kwetsbaarheid, aangeduid als CVE-2021-22893, scoort op een schaal van 1 tot en met 10 wat betreft de impact een maximale score van 10. Daarnaast bleek dat de aanvallers ook van andere, al bekende kwetsbaarheden in de software gebruikmaakten om systemen te compromitteren. Tussen 17 en 20 april zagen onderzoekers van FireEye dat de aanvallers achter deze aanvallen van tientallen systemen de webshells verwijderden die ze via de beveiligingslekken hadden geïnstalleerd. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. "Het is ongewoon voor Chinese spionagegroepen om een groot aantal backdoors in de omgevingen van slachtoffers te verwijderen rond de tijd van openbaarmaking. Deze acties laten zorgen over de operationele veiligheid en gevoeligheid voor publiciteit zien", zegt Dan Perez van FireEye. Of de aanvallers mogelijk wisten van het onderzoek van het securitybedrijf of dat het puur toeval is laat Perez niet weten. Volgens de onderzoeker doen de aanvallers veel moeite om detectie te voorkomen. Zo worden timestamps van bestanden gewijzigd en logbestanden, core dumps en bestanden met gestolen data geregeld aangepast of verwijderd. Verder hebben de aanvallers uitgebreide kennis van netwerkapparaten en het aangevallen netwerk, aldus Perez. Dit kan het lastig voor organisaties maken om een overzicht te krijgen van wat de aanvallers hebben buitgemaakt en sinds wanneer ze in het netwerk aanwezig zijn. De aanvallers hebben het voorzien op inloggegevens, andere vertrouwelijke data en het behouden van toegang tot het netwerk. Volgens FireEye heeft het tientallen getroffen organisaties in Europa en de Verenigde Staten waargenomen, die actief zijn in de defensie-industrie, overheid, telecomsector, onderwijsinstellingen, transport en financiële sector. Tevens claimt het securitybedrijf dat de spionageactiviteiten van de aanvallers doelen van de Chinese overheid ondersteunen. bron: https://www.security.nl

Mozilla gaat de werking van adblockers in Firefox na overleg met extensie-ontwikkelaars niet beperken zoals het geval is bij Google Chrome. Twee jaar geleden kondigde Google Manifest v3 aan, een verzameling van aanpassingen hoe extensies binnen Chrome zullen werken. Sinds januari van dit jaar ondersteunt Chrome extensies die aan Manifest v3 voldoen, maar oude extensies werken ook nog steeds in Chrome. Een van deze aanpassing in het nieuwe manifest betreft het uitfaseren van de webRequest API. Adblockers maken van deze API gebruik voor het onderscheppen, blokkeren, doorsturen en aanpassen van in- en uitgaand verkeer van de browser. Google heeft in de plaats van deze API een nieuwe API voorgesteld genaamd declarativeNetRequest (DNR). Die zou echter de mogelijkheden van adblockers beperken door een limiet te stellen aan het aantal regels alsmede het aantal beschikbare filters en acties van een extensie. Adblockers zouden hierdoor minder effectief advertenties kunnen blokkeren. Mozilla stelt dat DNR de werking van onder andere adblockers beperkt. De browserontwikkelaar is echter van plan om ondersteuning van Manifest v3 aan Firefox toe te voegen. Na overleg met adblocker-ontwikkelaars is nu besloten om zowel de webRequest API als DNR te ondersteunen. Zodoende kunnen extensie-ontwikkelaars de API kiezen die voor hen en hun gebruikers het beste werkt. Mozilla zegt dat het de webRequest API blijft ondersteunen totdat er een betere oplossing is die alle belangrijke scenario's afdekt, aangezien DNR zoals het op dit moment door Chrome wordt geïmplementeerd niet voldoet aan de eisen van extensie-ontwikkelaars, zegt Mozillas Rob Wu. Wanneer Firefox Manifest v3 zal ondersteunen is nog onbekend. bron: https://www.security.nl