Captain Kirk

Het op privacy en security gerichte besturingssysteem Tails is dit jaar zo'n 22.000 keer per dag gebruikt, zo hebben de ontwikkelaars in een terugblik op 2018 laten weten. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat de privacy en anonimiteit van gebruikers wil beschermen. Zo loopt het internetverkeer standaard via het Tor-netwerk en laat het geen sporen na op de computer waarop het wordt gebruikt. Dit jaar lag de focus vooral op het vergroten van het gebruiksgemak voor gebruikers. Zo werd elke nieuwe feature met echte gebruikers getest. Ook werd het mogelijk om automatisch bij het starten van Tails aanvullende software te laten installeren en werd het versleutelingsprogramma VeraCrypt in de desktop geïntegreerd. Verder werd het besturingssysteem van een schermvergrendeling voorzien. Een andere belangrijke ontwikkeling waren de reproduceerbare "builds". Tails is opensourcesoftware, wat inhoudt dat gebruikers inzage in de broncode hebben. Er was voorheen echter geen garantie dat het ISO-bestand van Tails ook daadwerkelijk op deze broncode was gebaseerd. Met zogeheten reproduceerbare "builds" is het mogelijk gemaakt om te verifiëren dat de broncode ook voor het ISO-bestand is gebruikt. Dit jaar slaagde Tails er ook in om de inkomsten te diversificeren. Het aandeel van donaties van personen steeg van 17 procent naar 34 procent. De rest van de inkomsten is afkomstig van stichtingen, de Amerikaanse overheid en bedrijven. De ontwikkelaars merken op dat de grotere inbreng van privépersonen de organisatie robuuster en onafhankelijker maakt. De ontwikkeling van Tails kost jaarlijks 200.000 euro. Vorige maand startte Tails een donatiecampagne om 120.000 euro op te halen. bron: security.nl

Een onbekend aantal WordPress-sites is gehackt via een kwetsbaarheid in de WordPress GDPR Compliance-plug-in, zo laat securitybedrijf Wordfence weten. Deze plug-in helpt websites en webwinkels om aan de nieuwe Europese privacywetgeving te voldoen. Meer dan 100.000 WordPress-sites hebben de plug-in geïnstalleerd. Ruim drie weken gingen er berichten rond dat er mogelijk een kwetsbaarheid in de plug-in aanwezig was waardoor websites werden gecompromitteerd. Afgelopen woensdag 7 november werd de plug-in door WordPress wegens een kwetsbaarheid uit de officiële repository voor WordPress-plug-ins verwijderd. Via het beveiligingslek kan een ongeauthenticeerde aanvaller adminaccounts en backdoors toevoegen om WordPress-sites zo verder te compromitteren. Op dezelfde dag dat de plug-in werd verwijderd brachten de ontwikkelaars versie 1.4.3 uit die het probleem verhelpt. Aanvallers maken echter misbruik van de kwetsbaarheid om websites te compromitteren die een kwetsbare versie van de plug-in draaien. Verschillende webmasters melden dat er via het beveiligingslek beheerderaccounts zijn aangemaakt en backdoors zijn geüpload. Eigenaren van een WordPress-site met de GDPR Compliance-plug-in krijgen dan ook het dringende advies om naar versie 1.4.3 te updaten en te controleren of er geen onbekende adminaccounts zijn aangemaakt. Ook moet er worden gekeken of de aanvallers geen gebruik hebben gemaakt van WP-Cron om een backdoor te installeren die zichzelf kan vervangen wanneer verwijderd. bron: security.nl

Een beveiligingslek in het populaire gamingplatform Steam maakte het mogelijk om de cd-keys van elk spel te bemachtigen, zo ontdekte onderzoeker Artem Moskowsky. Steam is een platform voor de pc waarop gebruikers games en software kunnen aanschaffen. Het heeft naar eigen zeggen meer dan 125 miljoen gebruikers. Via cd-keys kunnen gebruikers games op Steam activeren. De kwetsbaarheid bevond zich in SteamWorks, een verzameling gratis tools waarmee ontwikkelaars allerlei functionaliteiten van Steam binnen hun eigen spel of software kunnen implementeren. Steam biedt een programmeerinterface (API) waarmee ontwikkelaars beschikbaar gemaakte cd-keys kunnen ophalen. Op deze manier kunnen gebruikers de games activeren waarvoor ze een cd-key hebben verkregen. Deze interface is ook voor gebruikers toegankelijk. Bij het ophalen van cd-keys voor games die een gebruiker niet bezit geeft de interface een foutmelding. Door het aanpassen van een parameter kon Moskowsy deze beperking omzeilen en cd-keys opvragen voor games die hij niet in zijn bezit had, zo laat de onderzoeker tegenover ZDNet weten. Door het aanpassen van andere parameters zou het uiteindelijk mogelijk zijn geweest om de cd-keys van elk spel op te vragen. Valve, de ontwikkelaar van Steam, organiseert via HackerOne een beloningsprogramma voor onderzoekers die kwetsbaarheden vinden en willen rapporteren. HackerOne is een platform dat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor hackers en onderzoekers laat organiseren en handelt de coördinatie tussen de bugmelder en softwareleverancier af. Moskowsky rapporteerde het probleem bij HackerOne op 7 augustus, waarna het binnen een paar dagen werd verholpen. Voor zijn bugmelding ontving hij een beloning van 15.000 dollar en een bonus van 5.000 dollar. Op 14 augustus vroeg de onderzoeker of de bugmelding openbaar mocht worden gemaakt, waar op 31 oktober toestemming voor werd gegeven. bron: security.nl

Een kwetsbaarheid in Adobe ColdFusion waarvoor in september een beveiligingsupdate verscheen wordt actief aangevallen en kan aanvallers toegang tot kwetsbare servers geven. ColdFusion is een platform voor het ontwikkelen van webapplicaties. Op 11 september publiceerde Adobe een beveiligingsupdate voor het serverplatform die meerdere kwetsbaarheden verhielp waardoor een aanvaller op afstand code had kunnen uitvoeren. Twee weken later meldde Adobe in het beveiligingsbulletin dat bij de update hoort dat één van de verholpen kwetsbaarheden actief werd aangevallen. Securitybedrijf Volexity laat weten dat het omstreeks deze periode een aanval detecteerde waarbij een ColdFusion-server werd gehackt omdat de door Adobe beschikbare update niet was geïnstalleerd. De aanvallers konden via het lek de China Chopper-webshell installeren. Vorige maand publiceerden de Five Eyes-landen nog een rapport over China Chopper. Dit is een webshell die aanvallers op gehackte webservers installeren waarmee ze op het systeem kunnen inloggen. De tool wordt al sinds 2012 bij aanvallen ingezet. Na ontdekking van de aanval onderzocht Volexity meer ColdFusion-webservers, waarvan er meerdere gehackt bleken te zijn. Het is echter niet duidelijk via welk beveiligingslek deze servers werden gecompromitteerd. Het is niet de eerste keer dat ColdFusion-servers worden aangevallen. In het verleden zijn gebruikers van het platform vaker het doelwit van aanvallen geweest. Beheerders van dergelijke servers krijgen dan ook het advies om beschikbare updates meteen te installeren en logbestanden op verdachte activiteiten te monitoren. bron: security.nl

Volgende maand verschijnt er een nieuwe versie van Google Chrome die gebruikers voor onduidelijke abonnementsdiensten gaat waarschuwen. Volgens Google worden elke maand miljoenen Chrome-gebruikers geconfronteerd met pagina's die op onduidelijke wijze een abonnement proberen af te laten sluiten. Gebruikers hoeven in dit geval vaak alleen een mobiel nummer op te geven om zich te abonneren. Voor gebruikers is het vaak niet duidelijk dat het om een abonnement gaat of wat de kosten zijn, totdat men de telefoonrekening ontvangt. Google wil dan ook dat het voor gebruikers duidelijk wordt wanneer er een abonnement wordt aangeboden en hoeveel dit per maand gaat kosten. De internetgigant wil dan ook dat abonnementsdiensten gebruikers beter informeren en duidelijk vermelden wat bijvoorbeeld de kosten zijn. Wanneer Chrome straks pagina's detecteert waarbij deze informatie ontbreekt krijgen gebruikers een waarschuwing te zien dat de pagina in kwestie geld in rekening kan brengen. De maatregel wordt zowel in de mobiele als desktopversie van Chrome 71 doorgevoerd, die voor december gepland staat. Google gaat webmasters via de Search Console waarschuwen als dergelijke onduidelijke abonnementspagina's op hun websites zijn aangetroffen. bron: security.nl

Internetgebruikers in Nederland zijn het doelwit geworden van aanvallen met kwaadaardige InPage-documenten, die vervolgens een verouderde versie van VLC media player gebruikten om het systeem verder te compromitteren. InPage is een tekstverwerker die talen als Arabisch, Farsi en Urdu ondersteunt. Het programma wordt vooral gebruikt om documenten in Urdu op te stellen, de officiële nationale taal van Pakistan. Bij de aanvallen die Microsoft zag werd er een kwaadaardig InPage-document naar doelwitten gemaild. Dit document maakt misbruik van een kwetsbaarheid die minstens al sinds september 2016 wordt aangevallen. Het is onbekend of het beveiligingslek inmiddels al is gedicht. Wanneer gebruikers met een kwetsbare InPage-versie het kwaadaardige document openen wordt er een legitieme, maar verouderde versie van VLC media player op het systeem geplaatst. Deze versie is kwetsbaar voor dll-hijacking, ook wel dll-preloading genoemd. Bij dergelijke aanvallen wordt er een kwaadaardig dll-bestand uit een lokale directory geladen, in plaats van een systeemmap. Windows-applicaties maken gebruik van dll-bestanden om te functioneren. Deze dll-bestanden bevinden zich in een systeemmap van Windows. Het is een bekend probleem dat sommige applicaties niet eerst in de systeemmap kijken, maar in de lokale directory waar de applicatie zich bevindt. Een aanvaller die in deze directory een kwaadaardig dll-bestand weet te krijgen kan zo via het programma het kwaadaardige dll-bestand laten uitvoeren en de computer infecteren. Het kwaadaardige dll-bestand dat via VLC media player wordt gestart maakt verbinding met een command en control-server die de uiteindelijke malware op het systeem downloadt en installeert. Deze malware geeft de aanvallers volledige controle over het systeem. Microsoft zag de meeste aanvallen in Pakistan, maar ook in Nederland zijn aanvallen waargenomen. Onder andere overheidsinstellingen waren het doelwit van de aanvallers. In welke landen laat Microsoft niet weten. bron: security.nl

Het Amerikaanse ministerie van Homeland Security heeft een waarschuwing afgegeven voor aanvallen op JBoss-applicatieservers via de JBoss Verify en EXploitation-tool (JexBoss). JexBoss is een opensourcetool die door penetratietesters en securityprofessionals wordt gebruikt voor het testen van JBoss-applicatieservers op kwetsbaarheden. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Javagebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. Via JexBoss is het mogelijk om naar kwetsbare JBoss/WildFly-servers te zoeken en die vervolgens te compromitteren. Op deze manier kan er worden geprobeerd om andere systemen in het netwerk aan te vallen. In 2016 waarschuwden Cisco en de FBI al dat de aanvallers achter de SamSam-ransomware JexBoss gebruikten om organisaties binnen te dringen en systemen met ransomware te infecteren. De tool wordt zowel voor legitieme als malafide doeleinden gebruikt. In de waarschuwing van het ministerie wordt uitgelegd hoe JexBoss werkt en hoe aanvallers er gebruik van maken om de onderliggende server over te nemen. Afsluitend worden verschillende adviezen gegeven om het risico van JexBoss tegen te gaan, zoals het up-to-date houden van besturingssystemen, webservers en applicaties, het gebruik van accounts met verminderde rechten, het beveiligen van adminconsoles, het bekijken van serverlogs op aanvallen en het testen van systemen en applicaties op kwetsbaarheden. bron: security.nl

Het Zero Day Initiative (ZDI) van anti-virusbedrijf Trend Micro heeft 200.000 dollar uitgeloofd voor kwetsbaarheden in OpenSSH, Windows SMB en ISC Bind waardoor een aanvaller op afstand code kan uitvoeren. Het ZDI beloont onderzoekers voor het melden van kwetsbaarheden in allerlei software. Vervolgens waarschuwt het ZDI de kwetsbare softwareleverancier zodat die een beveiligingsupdate kan ontwikkelen en gebruikt het de informatie over de kwetsbaarheid om eigen klanten te beschermen. In juli werd het Targeted Incentive Programma door het bedrijf aangekondigd. Een speciaal beloningsprogramma voor belangrijke software. In eerste instantie werden er beloningen uitgeloofd voor kwetsbaarheden in Joomla, Drupal, WordPress, NGINX, Apache-webserver en Microsoft IIS. Sinds de lancering van het programma heeft het ZDI geen enkele inzending ontvangen die in aanmerking voor één van de hoofdprijzen kwam. Nu is het programma aangepast en hebben Joomla, Drupal en WordPress plaats gemaakt voor OpenSSH, Windows SMB en ISC Bind. Kwetsbaarheden in deze software waardoor een aanvaller op afstand code kan uitvoeren worden elk met 200.000 dollar beloond. Onderzoekers kunnen beveiligingslekken in de software tot en met de eerste maanden van 2019 inzenden. bron: security.nl

Cisco heeft eigenaren van een Small Business Switch gewaarschuwd voor een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller op afstand als beheerder kan inloggen. De kwetsbaarheid ontstaat doordat de software in bepaalde gevallen een gebruikersaccount met verhoogde rechten inschakelt, zonder de beheerders van het systeem hierover te waarschuwen. De Small Business Switches van Cisco beschikken standaard over een gebruiker met verhoogde rechten die voor de initiële login wordt gebruikt en niet van het systeem kan worden verwijderd. Een beheerder kan het account echter uitschakelen door een ander gebruikersaccount van verhoogde rechten te voorzien. Wanneer alle door de gebruiker ingestelde accounts met het rechtenniveau 15 van het systeem zijn verwijderd, wordt het standaardaccount weer ingeschakeld zonder dat de switch hier melding van maakt. In deze gevallen kan een aanvaller op het systeem inloggen en als beheerder opdrachten uitvoeren. Cisco heeft nog geen beveiligingsupdate beschikbaar gesteld, maar er is wel een workaround, namelijk het instellen van tenminste één gebruiker met rechtenniveau 15. Het beveiligingslek is aanwezig in de Cisco Small Business 200, 300 en 500 series switches, de Cisco 250 en 350 series switches en de Cisco 350, 350X en 550X series switches. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. bron: security.nl

De voornaamste functie van anti-virussoftware is het voorkomen van malware, maar een virusscanner moet ook in staat zijn om een eventuele infectie te verwijderen. Het Oostenrijkse testlab AV-Comparatives voert elk jaar een test uit waarbij anti-virusprogramma's alleen op het verwijderen van malware worden getest. Tijdens de normale tests van AV-Comparatives waarbij de detectie van malware wordt getest doen normaal 18 anti-virusbedrijven mee. De test met het verwijderen van malware is echter optioneel en anti-virusbedrijven kunnen aangeven dat ze niet mee willen doen, iets wat acht bedrijven ook deden. Voor de test, die van februari tot oktober plaatsvond, werd er gewerkt met 40 verschillende malware-exemplaren. De test is bedoeld voor eindgebruikers die een infectie oplopen en een pakket zoeken om de malware te verwijderen. De virusscanners werden dan ook pas na de infectie op het systeem geïnstalleerd en geüpdatet. Wanneer dit niet mogelijk bleek werd het systeem in veilige modus herstart. Als ook dit niet werkte werd er uitgeweken naar een 'rescue disk' van de anti-virusleverancier. Na de installatie werd er een volledige scan van het systeem uitgevoerd. AV-Comparatives herstartte hierna het systeem en controleerde handmatig of de malware en alle onderdelen waren verwijderd. Hiervoor konden de virusscanners verschillende punten krijgen. Hoe minder sporen er van de malware achterbleven des te hoger de score. Ook werd er gekeken naar de eenvoud waarmee de malware was te verwijderen. Als het systeem in veilige modus of via een rescue disk moest worden opgeschoond leverde dit een lagere score op. De virusscanners konden maximaal 100 punten voor het verwijderen van de malware scoren. Kaspersky Lab zet met 99 punten de hoogste score neer, gevolgd door Avast, Avira en Bitdefender met elk 94 punten. F-Secure en Vipre eindigen met respectievelijk 75 en 78 punten onderaan. Van de anti-virusbedrijven die aan de test deelnamen bieden Avira, Emsisoft, ESET, Kaspersky Lab en Vipre gratis verwijdertools aan. In het geval van Avast en Tencent zijn de virusscanners zelf al gratis. bron: security.nl

Cryptobeurs Gate.io heeft StatCounter van de website verwijderd nadat bekend werd dat aanvallers de meetdienst hadden gehackt en gebruikt voor het aanvallen van gebruikers van Gate.io. StatCounter is een populaire dienst waarmee websites het aantal bezoekers kunnen meten. Hiervoor moeten websites de JavaScriptcode van StatCounter aan hun eigen website toevoegen. Iets dat door meer dan 688.000 websites is gedaan, zo blijkt uit cijfers van de zoekmachine PublicWWW. Anti-virusbedrijf ESET maakte dinsdag bekend dat aanvallers de JavaScriptcode van StatCounter hadden aangepast. De aangepaste code had het voorzien op Gate.io-gebruikers die bitcoins wilden overmaken. Zodra gebruikers een transactie uitvoerden werd het bitcoin-adres door de JavaScriptcode aangepast, waardoor bitcoins naar een wallet van de aanvallers gingen. Gate.io is een redelijk populaire cryptobeurs, met name in China. StatCounter heeft nog altijd niet op het incident gereageerd. De kwaadaardige code is echter op dinsdag 6 november verwijderd, aldus ESET. Vanwege het beveiligingsincident heeft Gate.io besloten om StatCounter van de website te verwijderen, zo meldt de cryptobeurs op Twitter en de eigen website. StatCounter claimt dat meer dan 2 miljoen websites van de dienst gebruikmaken. bron: security.nl

Het Amerikaanse Cyber Command, een afdeling van het Pentagon die zich met cyberoperaties bezighoudt, heeft voor het eerst malware naar VirusTotal geüpload, de online virusscandienst van Google. Via VirusTotal kunnen gebruikers verdachte bestanden door de engines van zo'n 60 verschillende anti-virusprogramma's laten scannen. Geüploade bestanden kunnen met anti-virusleveranciers en premium VirusTotal-klanten worden gedeeld. Door het uploaden van niet-geclassificeerde malware wil het Cyber Command samenwerken met de publieke sector. Het gaat specifiek om malware die het Cyber Command zelf heeft ontdekt en waarvan het delen de grootste impact heeft op het "verbeteren van de wereldwijde cybersecurity", zo laat de organisatie op de eigen website weten. De malware die het Cyber Command uploadt is via deze pagina op VirusTotal te vinden. Een aantal jaren geleden lanceerde de FBI nog een portaal voor het uploaden van malware. bron: security.nl

Een nieuwe kwetsbaarheid in Oracles virtualisatiesoftware VirtualBox maakt een guest-to-host escape mogelijk. Doordat de onderzoeker de kwetsbaarheid openbaar heeft gemaakt zonder Oracle vooraf te informeren is het onbekend wanneer er een beveiligingsupdate zal verschijnen. In afwachting van een patch kunnen gebruikers zich echter beschermen door een standaardinstelling te wijzigen. VirtualBox biedt gebruikers de mogelijkheid om op hun eigen systeem, de host, een virtual machine te draaien, wat het guest-systeem is. Beveiligingsonderzoekers gebruiken virtualisatiesoftware veelal om bijvoorbeeld malware te onderzoeken. De infectie blijft op deze manier alleen tot het guest-systeem beperkt. Met behulp van de kwetsbaarheid kan een aanvaller met root- of adminrechten op het guest-systeem code met verminderde rechten op het host-systeem uitvoeren. Dit houdt in dat de aanvaller het guest-systeem al moet hebben gecompromitteerd, bijvoorbeeld via malware. Aanpassen standaardconfiguratie De kwetsbaarheid is aanwezig in de door VirtualBox gesimuleerde Intel PRO/1000 MT Desktop (82540EM) netwerkadapter wanneer die in de Network Address Translation (NAT) mode staat ingesteld. Dit is de standaardconfiguratie van VirtualBox. Door het aanpassen van deze standaardconfiguratie kunnen gebruikers zich tegen aanvallen beschermen. De netwerkadapter moet dan naar "PCNet" of naar "Paravirtualized" worden aangepast. De volgende patchronde van Oracle staat gepland voor 15 januari 2019. Het is onduidelijk of Oracle voor deze kwetsbaarheid van dit schema zal afwijken. bron: security.nl

Onderzoekers hebben een botnet van 100.000 routers ontdekt die worden gebruikt voor het versturen van spam. Om toegang tot de routers te krijgen maken de aanvallers gebruik van een kwetsbaarheid in Broadcom UPnP, dit is Broadcoms implementatie van het Universal Plug en Play (UPnP)-protocol. Dit is een veelgebruikt protocol dat het eenvoudiger voor apparaten in een netwerk moet maken om met het internet of andere apparaten op het netwerk te communiceren. De kwetsbare implementatie wordt door verschillende routerfabrikanten gebruikt, waaronder Asus, D-link, Zyxel, US Robotics, TP-link en Netgear. Onderzoekers van securitybedrijf 360 Netlab vonden 116 verschillende routers die onderdeel van het botnet zijn. Zodra de aanvallers toegang tot een router verkrijgen wordt er proxysoftware geïnstalleerd. De proxy ontvangt vervolgens instructies om verkeer naar de mailservers van Outlook, Hotmail en Yahoo! door te sturen. Eerder dit jaar waarschuwde ook internetgigant Akamai dat tienduizenden thuisrouters via een UPnP-lek als proxy werden gebruikt. Gebruikers kunnen zich onder andere beschermen door UPnP uit te schakelen of een firewall in te stellen die al het inkomende verkeer naar UDP-poort 1900 blokkeert. bron: security.nl

Google heeft de afgelopen 2 jaar via een eigen fuzzer meer dan 9.000 bugs in opensourcesoftware gevonden en aan de betreffende ontwikkelaars gerapporteerd. OSS-Fuzz, zoals de fuzzer wordt genoemd, combineert verschillende fuzzing-engines en draait op een grote gedistribueerde fuzzing-infrastructuur. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. In het geval van de bugs die Google vond en rapporteerde ging het zowel om beveiligingslekken als stabiliteitsproblemen. Naast OSS-Fuzz gebruikt Google ook verschillende interne tools om bugs in zowel de eigen als opensourcecode te vinden. Voorheen werden gevonden problemen handmatig bij het betreffende opensourceproject gemeld. Dit proces was echter vrij complex, aldus Google. Daarom gaat de internetgigant nu alle fuzzingtools verenigen en automatiseren. Opensourceprojecten die binnen OSS-Fuzz geïntegreerd worden zullen straks zowel door interne als externe fuzzingtools van Google worden bekeken. Dit moet ervoor zorgen dat bugs sneller worden gevonden. De komende weken gaat Google verschillende belangrijke opensourceprojecten benaderen of ze OSS-Fuzz binnen hun project willen integreren. Om opensourceprojecten bij de integratie te helpen biedt Google een bedrag van tussen de 1.000 en 20.000 dollar. bron: security.nl

Microsoft heeft beveiligingsadvies gepubliceerd over het gebruik van softwarematige encryptie door BitLocker, nu onderzoekers kwetsbaarheden in zelfversleutelende ssd-schijven van Samsung en Crucial hebben ontdekt. De kwetsbaarheden zorgen ervoor dat een aanvaller met fysieke toegang zonder kennis van het wachtwoord toegang tot gegevens op de ssd-schijf kan krijgen. BitLocker is de encryptiesoftware van Microsoft die standaard met Windows 10 Pro, Enterprise en Education wordt geleverd, alsmede bij Windows 8.1 Pro en Enterprise en Windows 7 Enterprise en Ultimate. BitLocker zal standaard de hardwarematige versleuteling van de harde schijf gebruiken als het over deze functionaliteit beschikt. Beheerders die softwarematige encryptie op zelfversleutelende harde schijven willen afdwingen kunnen dit doen middels een Group Policy. Nadat de harde schijf via hardwarematige encryptie is versleuteld moet die eerst worden ontsleuteld voordat de softwarematige encryptie kan worden toegepast. Alleen het instellen van de Group Policy is niet voldoende om bestaande data opnieuw te versleutelen, zo laat Microsoft weten. Het is niet nodig om de harde schijf na het aanpassen van de BitLocker-instellingen te formatteren of applicaties opnieuw te installeren. bron: security.nl

Aanvallers zijn erin geslaagd om de populaire meetdienst StatCounter te hacken en hebben hier vervolgens gebruik van gemaakt bij een aanval op cryptobeurs Gate.io. StatCounter meet het aantal bezoekers dat een website krijgt en heeft naar eigen zeggen meer dan 2 miljoen aangesloten websites. Deze websites moeten de StatCounter-JavaScriptcode aan hun website toevoegen zodat bezoekers kunnen worden gemeten. Door StatCounter te hacken konden aanvallers hun JavaScriptcode op alle websites plaatsen die van de meetdienst gebruikmaken. De kwaadaardige code die werd toegevoegd zocht specifiek naar een url die verwees naar het overmaken van bitcoins. De specifieke url werd alleen bij Gate.io aangetroffen, een redelijk populaire cryptobeurs, met name in China. De JavaScriptcode die de aanvallers hadden toegevoegd verving het bitcoinadres waar Gate.io-gebruikers bitcoins naar wilden overmaken. De aanval werd ontdekt door anti-virusbedrijf ESET. De virusbestrijder stelt dat slachtoffers de aanpassing waarschijnlijk niet meteen opmerkten, aangezien de aanpassing pas plaatsvond nadat ze op verzonden hadden geklikt. Het is op dit moment onbekend hoeveel bitcoins de aanvallers hebben gestolen. Volgens onderzoeker Matthieu Faou laat de aanval zien dat zelfs websites die up-to-date en goed beschermd zijn risico lopen als er een zwakke schakel aanwezig is. In dit geval was het een externe derde partij die op een groot aantal websites actief is. "Dit is weer een reminder dat externe JavaScriptcode onder beheer van een derde partij staat en op elk moment en zonder aankondiging kan worden aangepast", aldus Faou. Zowel StatCounter als Gate.io zijn door ESET ingelicht, maar beide bedrijven hebben op het moment van schrijven nog geen melding van het incident gemaakt. bron: security.nl

Onderzoekers hebben een side-channel-aanval via videokaarten van Nvidia gedemonstreerd waardoor aanvallers wachtwoorden kunnen stelen of het surfgedrag van gebruikers kunnen volgen. Webbrowsers maken gebruik van videokaarten om beelden op desktops, laptops en smartphone weer te geven (pdf). De aanval die onderzoekers van de University of California, Riverside ontwikkelden maakt gebruik van WebGL en OpenGL. Dit zijn programmeerinterfaces waardoor een applicatie de videokaart kan gebruiken. De onderzoekers maakten een kwaadaardige applicatie die in de browser of op de desktop kan worden uitgevoerd en via WebGL of OpenGL andere applicaties kan bespioneren die ook van de videokaart gebruikmaken. Op deze manier is het mogelijk om te zien welke websites de gebruiker bezoekt of kunnen zijn wachtwoorden worden achterhaald. De onderzoekers hebben hun bevindingen aan videokaartfabrikant Nvidia gerapporteerd. Het bedrijf is van plan om een patch te ontwikkelen waarmee systeembeheerders de optie krijgen om de side-channel-aanval tegen te gaan. Ook is het onderzoeksrapport met AMD en Intel gedeeld, zodat beide bedrijven kunnen zien of ook hun videokaarten kwetsbaar zijn. In de toekomst is de groep van plan om de haalbaarheid van een side-channel-aanval op de videokaart van Androidtelefoons te onderzoeken. bron: security.nl

Vanaf volgende maand gaat Chrome alle advertenties blokkeren op websites die geregeld malafide of misleidende advertenties aan bezoekers tonen. Vorig jaar kondigde Google al maatregelen aan om Chrome-gebruikers tegen ongewenste pop-ups en redirects te beschermen. Het gaat in dit geval om het onverwachts doorsturen van gebruikers naar ongewenste content, zoals een nieuwe pagina. Dit wordt bijvoorbeeld gedaan door websites die zich voordoen als afspeelknop of transparante overlays op websites, die alle clicks afvangen en nieuwe tabs of vensters openen. Dergelijke redirects besloot Chrome vanaf begin dit jaar te blokkeren. De aanpak ging echter niet ver genoeg, zegt Googles Vivek Sekhar. De meeste vervelende ervaringen waar Chrome-gebruikers mee te maken krijgen worden niet geblokkeerd. Het gaat dan in bijna alle gevallen om malafide of misleidende advertenties. Bijvoorbeeld advertenties die zich als systeemwaarschuwingen of als knoppen voordoen om de advertentie te sluiten. Sommige van deze advertenties worden gebruikt om persoonlijke informatie te stelen, aldus Sekhar. Met de lancering van Chrome 71 in december gaat de browser daarom alle advertenties blokkeren op websites die geregeld malafide of misleidende advertenties laten zien. Webmasters kunnen via de Google Search Console zien of dergelijke advertenties op hun website zijn aangetroffen. Zodra dit het geval is krijgen webmasters 30 dagen de tijd om het probleem op te lossen voordat de advertenties worden geblokkeerd. bron: security.nl

Geregeld zijn er bedrijven die claimen dat ze een oplossing hebben die wachtwoorden overbodig maken, maar de realiteit is dat wachtwoorden nog lang niet zijn verdwenen, zo stelt beveiligingsexpert Troy Hunt. Hunt erkent dat mensen slecht zijn in het kiezen van veilige wachtwoorden en er niet op een veilige manier mee omgaan. Wachtwoorden blijven dan ook een risicovolle afweging voor veel mensen, aldus de expert. Sommige mensen pleiten voor het gebruik van een wachtwoordmanager en aanvullende beveiliging zoals tweefactorauthenticatie, terwijl anderen wachtwoorden helemaal wil laten verdwijnen. Partijen zoals de Fast IDentity Online (FIDO)-Alliantie die het wachtwoord willen uitbannen zijn de afgelopen jaren met allerlei oplossingen gekomen. Het gaat dan bijvoorbeeld om tokens of apps waarmee gebruikers zich kunnen authenticeren. Toch missen al deze producten iets waardoor ze niet met het wachtwoord kunnen concurreren. "Ondanks de vele tekortkomingen heeft het wachtwoord iets dat het voor heeft op technisch superieure alternatieven, en dat is dat iedereen weet hoe het moet worden gebruikt. Iedereen", laat Hunt weten. "Daarom zullen wachtwoorden niet in de nabije toekomst verdwijnen." "Hoeveel aandacht er ook wordt gegeven aan hoe slecht wachtwoorden zijn of hoeveel accounts er zijn gehackt en wat het kost als mensen niet op hun account kunnen inloggen zal dit veranderen. Ook de technische bekwaamheid van alternatieve oplossingen zal de discussie niet veranderen, omdat het niet kan concurreren met wachtwoorden op die ene standaard waar organisaties zo gericht op zijn: namelijk bruikbaarheid", merkt de expert op. Volgens Hunt introduceren oplossingen die het wachtwoordprobleem claimen op te lossen weer nieuwe uitdagingen en problemen. De expert sluit dan ook af door te zeggen dat we voor de nabije toekomst beter moeten worden in het authenticatiesysteem dat iedereen kent, het wachtwoord. bron: security.nl

Onderzoekers van de Radboud Universiteit hebben ernstige kwetsbaarheden in zelfversleutelende ssd-schijven van Samsung en Crucial ontdekt waardoor een aanvaller met fysieke toegang zonder kennis van het wachtwoord toegang tot gegevens op de schijven kan krijgen (pdf). De kwetsbaarheden bevinden zich specifiek in implementaties van de TCG Opal-standaard. Dit is een standaard voor zelfversleutelende schijven waar verschillende implementaties van bestaan. De eerste kwetsbaarheid is dat er geen cryptografische link is tussen het gegeven wachtwoord van de eindgebruiker en de sleutel die gebruikt wordt voor de encryptie van gebruikersdata. "Het wachtwoord zou verplicht moeten zijn om de schijfencryptiesleutel te bemachtigen en deze vereiste zou cryptografisch moeten worden afgedwongen. Het ontbreken van deze eigenschap is catastrofaal. De bescherming van de gebruikersgegevens is dan niet langer afhankelijk van geheimen. Alle informatie die nodig is om de data van de gebruiker te achterhalen bevindt zich op de schijf en is te achterhalen. Helaas is het niet geheel triviaal om dit juist te implementeren", zo schrijven de onderzoekers. Het tweede probleem is dat sleutel-informatie op een 'wear-leveled storage chip' wordt opgeslagen. Om de levensduur van ssd-schijven te verlengen wordt van wear leveling gebruikgemaakt. Hierbij wordt de data zo gerangschikt dat het verwijderen en herschrijven van data gelijk over de schijf wordt verdeeld. Dit voorkomt dat een bepaald deel van de ssd-schijf meer wordt gebruikt dan andere delen en eerder kapot gaat. Oudere kopieën van een sector blijven echter bewaard totdat die wordt overschreven. De onderzoekers schetsen een scenario waarbij een schijfencryptiesleutel onbeveiligd is opgeslagen, waarna de gebruiker een wachtwoord instelt en de onbeveiligde sleutel met een versleutelde versie wordt vervangen. Door wear leveling kan de nieuwe variant op een ander deel van de opslagchip worden opgeslagen en wordt de oude locatie als ongebruikt aangegeven. Wanneer deze locatie niet wordt overschreven, kan de onbeveiligde variant van de schijfencryptiesleutel nog steeds worden achterhaald. Verder blijkt dat Microsoft BitLocker dat met Windows wordt geleverd, kwetsbaar is wanneer het met de kwetsbare ssd-schijven wordt gebruikt. De encryptieoplossing van Microsoft vertrouwt namelijk op de hardwarematige encryptie van een harde schijf als die aangeeft dit te ondersteunen. Kwetsbare schijven De kwetsbaarheden zijn aangetoond de Crucial (Micron) MX100, MX200 en MX300 shijven, de Samsung T3 en T5 externe usb-stations en de Samsung 840 EVO en 850 EVO schijven. De onderzoekers merken op dat niet alle beschikbare schijven op de markt zijn getest. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid werd door de onderzoekers benaderd en is het afgelopen jaar met zowel de onderzoekers als fabrikanten in contact geweest om de kwetsbaarheden te verhelpen. Samsung heeft updates voor de T5 en T3 beschikbaar gemaakt. Eigenaren van een T1 moeten met hun leverancier contact opnemen. Daarnaast adviseert Samsung softwarematige versleuteling. Crucial (Micron) zegt aan updates te werken, maar die zijn nog niet beschikbaar. Het NCSC wijst erop dat het aanpassen van de standaardinstelling voor BitLocker-gebruikers niet voldoende is om het risico te vermijden. Bij het aanpassen worden de reeds opgeslagen gegevens namelijk niet opnieuw versleuteld. "Alleen een volledig nieuwe installatie, inclusief verwijderen en herformateren van gegevens, zorgt voor encryptie via BitLocker", aldus het NCSC. Om misbruik te voorkomen zullen de onderzoekers van de Radboud Universiteit geen exploits of aanvalstools beschikbaar maken. bron: security.nl

Een nieuw beveiligingslek in processors van Intel maakt het mogelijk om gevoelige data van systemen te stelen, zoals OpenSSL-privésleutels. Dat hebben onderzoekers van de Tampere University of Technology en Universidad Tecnologica de la Habana op de Open Source Security Mailing List laten weten. De kwetsbaarheid wordt PortSmash genoemd en is een side-channel-kwetsbaarheid, net zoals Spectre en Meltdown waren. In het geval van PortSmash speelt het probleem bij Intel-processoren die van Simultaneous multithreading (SMT) gebruikmaken. Hierdoor kunnen meerdere programma-instructies tegelijkertijd op één processor-core worden uitgevoerd. Een kwaadaardig proces dat naast een legitiem proces op dezelfde processor-core draait kan informatie van dit legitieme proces stelen. De onderzoekers merken op dat het hier om een lokale aanval gaat in de zin dat een aanvaller zijn kwaadaardige proces op dezelfde fysieke processor-core als het slachtoffer moet draaien. Dit is vooral een probleem in serveromgevingen waar bijvoorbeeld virtual machines van verschillende gebruikers op dezelfde fysieke machine draaien. In hun aankondiging merken de onderzoekers op hoe ze via PortSmash een OpenSSL-privésleutel van een TLS-server hebben kunnen stelen. Intel werd op 1 oktober van dit jaar door de onderzoekers geïnformeerd, terwijl OpenSSL op 26 oktober de informatie over PortSmash ontving. Het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid laat weten dat er buiten het uitschakelen van hyper-threading op Intel-processoren vooralsnog geen mitigerende maatregelen bekend zijn. bron: security.nl

Onderzoekers hebben tijdens een beveiligingsconferentie vier sniffing-aanvallen tegen browsers gedemonstreerd waarmee de surfgeschiedenis van gebruikers is te achterhalen. Al jaren geleden hebben onderzoekers aangetoond dat het mogelijk was om te achterhalen op welke linkjes gebruikers hadden geklikt. Daarop kwamen browserontwikkelaars met verschillende tegenmaatregelen. Een onderzoeksteam van UC San Diego en Stanford University heeft nu aangetoond hoe via moderne browserfeatures de surfgeschiedenis van gebruikers opnieuw is te achterhalen. De aanvallen zijn vervolgens getest tegen de vier grote browsers, (Chrome, Firefox, Edge en IE) en verschillende browsers die op security zijn gericht (ChromeZero, Brave, FuzzyFox, DeterFox en Tor Browser). Twee van de aanvallen werken tegen alle browsers behalve Tor Browser. De andere twee aanvallen zijn specifiek gericht tegen features die in op Chromium-gebaseerde browsers aanwezig zijn. Via één van de aanvallen was het mogelijk voor een kwaadaardige website of aanvaller om met een snelheid van 3.000 url's per seconde de surfgeschiedenis uit te lezen. Gebruikers van Tor Browser hoeven zich geen zorgen over de aanvallen te maken, omdat deze browser standaard de surfgeschiedenis niet bewaart. De onderzoekers merken op dat het beschermen van de surfgeschiedenis essentieel voor de privacy van gebruikers is. "De vier aanvallen in dit onderzoek tonen aan dat moderne browsers systematisch falen in het beschermen van de surfgeschiedenis tegen webaanvallers", aldus de conclusie van het onderzoeksrapport. De aanvallen werken zowel tegen populaire browsers als browsers die meer op privacy en security zijn gericht, en slagen op verschillende besturingssystemen. Volgens de onderzoekers moeten browserontwikkelaars dan ook maatregelen nemen om de surfgeschiedenis beter te beschermen. Ze stellen een oplossing voor die een kleine impact op de prestaties en de styling van bezochte links heeft. "Maar we denken dat deze kosten de privacyvoordelen waard zijn", zo stellen de onderzoekers, die hun bevindingen tijdens de USENIX Workshop on Offensive Technologies (WOOT '18) presenteerden (pdf). bron: security.nl

Een malafide browserextensie is verantwoordelijk voor het stelen van privéberichten en persoonsgegevens van Facebookgebruikers, die vervolgens op internet te koop werden aangeboden. Dat laat de sociale netwerksite tegenover de BBC weten. In een advertentie boden aanvallers toegang tot gecompromitteerde Facebookaccounts aan. Daarbij waren als monster gegevens van meer dan 81.000 accounts online geplaatst, waaronder ook privéberichten. In de meeste gevallen gaat het om Facebookgebruikers in Rusland en Oekraïne. Volgens Facebook is een niet nader genoemde extensie verantwoordelijk voor de datadiefstal en heeft het browserontwikkelaars ingelicht om bekende malafide extensies uit hun stores te verwijderen. bron: security.nl

Windows Defender is de eerste virusscanner die in een sandbox kan draaien, maar gebruikers die deze belangrijke beveiligingsmaatregel inschakelen moeten wel hun systeem herstarten in plaats van uitschakelen. Anders wordt de sandbox niet actief. Dat meldt Didier Stevens, handler bij het Internet Storm Center. Een beveiligingslek in een virusscanner kan grote gevolgen voor het onderliggende systeem hebben. Om de impact van dergelijke kwetsbaarheden te beperken heeft Microsoft besloten om Windows Defender in een sandbox te laten draaien. Een aanvaller moet niet alleen een kwetsbaarheid in de anti-virussoftware zien te vinden, maar ook in de sandbox voordat hij het onderliggende systeem kan aanvallen. De sandbox staat nog niet standaard ingeschakeld. Gebruikers van Windows Defender op Windows 10 versie 1703 of nieuwer kunnen dit echter zelf inschakelen door een variabele in te stellen. Hierbij is het wel belangrijk dat het systeem wordt herstart in plaats van uitgeschakeld. Alleen bij een herstart wordt de sandbox namelijk geactiveerd. In de blogposting over de sandbox vermeldde Microsoft ook dat gebruikers het systeem moeten herstarten. Stevens maakte melding bij Microsoft dat de sandbox, afhankelijk van de ingestelde variabele, niet wordt uitgeschakeld of ingeschakeld bij het uitschakelen van het systeem. De ingestelde aanpassing wordt alleen bij een herstart doorgevoerd. Microsoft laat in een reactie op Twitter weten dat het aan een oplossing werkt die in de toekomst via een engine-update wordt uitgerold. Windows Defender is een standaardonderdeel van Windows 8.1 en Windows 10 en presteert tijdens tests vaak net zo goed als betaalde anti-virusoplossingen. bron: security.nl