Captain Kirk

Geregeld zijn er bedrijven die claimen dat ze een oplossing hebben die wachtwoorden overbodig maken, maar de realiteit is dat wachtwoorden nog lang niet zijn verdwenen, zo stelt beveiligingsexpert Troy Hunt. Hunt erkent dat mensen slecht zijn in het kiezen van veilige wachtwoorden en er niet op een veilige manier mee omgaan. Wachtwoorden blijven dan ook een risicovolle afweging voor veel mensen, aldus de expert. Sommige mensen pleiten voor het gebruik van een wachtwoordmanager en aanvullende beveiliging zoals tweefactorauthenticatie, terwijl anderen wachtwoorden helemaal wil laten verdwijnen. Partijen zoals de Fast IDentity Online (FIDO)-Alliantie die het wachtwoord willen uitbannen zijn de afgelopen jaren met allerlei oplossingen gekomen. Het gaat dan bijvoorbeeld om tokens of apps waarmee gebruikers zich kunnen authenticeren. Toch missen al deze producten iets waardoor ze niet met het wachtwoord kunnen concurreren. "Ondanks de vele tekortkomingen heeft het wachtwoord iets dat het voor heeft op technisch superieure alternatieven, en dat is dat iedereen weet hoe het moet worden gebruikt. Iedereen", laat Hunt weten. "Daarom zullen wachtwoorden niet in de nabije toekomst verdwijnen." "Hoeveel aandacht er ook wordt gegeven aan hoe slecht wachtwoorden zijn of hoeveel accounts er zijn gehackt en wat het kost als mensen niet op hun account kunnen inloggen zal dit veranderen. Ook de technische bekwaamheid van alternatieve oplossingen zal de discussie niet veranderen, omdat het niet kan concurreren met wachtwoorden op die ene standaard waar organisaties zo gericht op zijn: namelijk bruikbaarheid", merkt de expert op. Volgens Hunt introduceren oplossingen die het wachtwoordprobleem claimen op te lossen weer nieuwe uitdagingen en problemen. De expert sluit dan ook af door te zeggen dat we voor de nabije toekomst beter moeten worden in het authenticatiesysteem dat iedereen kent, het wachtwoord. bron: security.nl

Onderzoekers van de Radboud Universiteit hebben ernstige kwetsbaarheden in zelfversleutelende ssd-schijven van Samsung en Crucial ontdekt waardoor een aanvaller met fysieke toegang zonder kennis van het wachtwoord toegang tot gegevens op de schijven kan krijgen (pdf). De kwetsbaarheden bevinden zich specifiek in implementaties van de TCG Opal-standaard. Dit is een standaard voor zelfversleutelende schijven waar verschillende implementaties van bestaan. De eerste kwetsbaarheid is dat er geen cryptografische link is tussen het gegeven wachtwoord van de eindgebruiker en de sleutel die gebruikt wordt voor de encryptie van gebruikersdata. "Het wachtwoord zou verplicht moeten zijn om de schijfencryptiesleutel te bemachtigen en deze vereiste zou cryptografisch moeten worden afgedwongen. Het ontbreken van deze eigenschap is catastrofaal. De bescherming van de gebruikersgegevens is dan niet langer afhankelijk van geheimen. Alle informatie die nodig is om de data van de gebruiker te achterhalen bevindt zich op de schijf en is te achterhalen. Helaas is het niet geheel triviaal om dit juist te implementeren", zo schrijven de onderzoekers. Het tweede probleem is dat sleutel-informatie op een 'wear-leveled storage chip' wordt opgeslagen. Om de levensduur van ssd-schijven te verlengen wordt van wear leveling gebruikgemaakt. Hierbij wordt de data zo gerangschikt dat het verwijderen en herschrijven van data gelijk over de schijf wordt verdeeld. Dit voorkomt dat een bepaald deel van de ssd-schijf meer wordt gebruikt dan andere delen en eerder kapot gaat. Oudere kopieën van een sector blijven echter bewaard totdat die wordt overschreven. De onderzoekers schetsen een scenario waarbij een schijfencryptiesleutel onbeveiligd is opgeslagen, waarna de gebruiker een wachtwoord instelt en de onbeveiligde sleutel met een versleutelde versie wordt vervangen. Door wear leveling kan de nieuwe variant op een ander deel van de opslagchip worden opgeslagen en wordt de oude locatie als ongebruikt aangegeven. Wanneer deze locatie niet wordt overschreven, kan de onbeveiligde variant van de schijfencryptiesleutel nog steeds worden achterhaald. Verder blijkt dat Microsoft BitLocker dat met Windows wordt geleverd, kwetsbaar is wanneer het met de kwetsbare ssd-schijven wordt gebruikt. De encryptieoplossing van Microsoft vertrouwt namelijk op de hardwarematige encryptie van een harde schijf als die aangeeft dit te ondersteunen. Kwetsbare schijven De kwetsbaarheden zijn aangetoond de Crucial (Micron) MX100, MX200 en MX300 shijven, de Samsung T3 en T5 externe usb-stations en de Samsung 840 EVO en 850 EVO schijven. De onderzoekers merken op dat niet alle beschikbare schijven op de markt zijn getest. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid werd door de onderzoekers benaderd en is het afgelopen jaar met zowel de onderzoekers als fabrikanten in contact geweest om de kwetsbaarheden te verhelpen. Samsung heeft updates voor de T5 en T3 beschikbaar gemaakt. Eigenaren van een T1 moeten met hun leverancier contact opnemen. Daarnaast adviseert Samsung softwarematige versleuteling. Crucial (Micron) zegt aan updates te werken, maar die zijn nog niet beschikbaar. Het NCSC wijst erop dat het aanpassen van de standaardinstelling voor BitLocker-gebruikers niet voldoende is om het risico te vermijden. Bij het aanpassen worden de reeds opgeslagen gegevens namelijk niet opnieuw versleuteld. "Alleen een volledig nieuwe installatie, inclusief verwijderen en herformateren van gegevens, zorgt voor encryptie via BitLocker", aldus het NCSC. Om misbruik te voorkomen zullen de onderzoekers van de Radboud Universiteit geen exploits of aanvalstools beschikbaar maken. bron: security.nl

Een nieuw beveiligingslek in processors van Intel maakt het mogelijk om gevoelige data van systemen te stelen, zoals OpenSSL-privésleutels. Dat hebben onderzoekers van de Tampere University of Technology en Universidad Tecnologica de la Habana op de Open Source Security Mailing List laten weten. De kwetsbaarheid wordt PortSmash genoemd en is een side-channel-kwetsbaarheid, net zoals Spectre en Meltdown waren. In het geval van PortSmash speelt het probleem bij Intel-processoren die van Simultaneous multithreading (SMT) gebruikmaken. Hierdoor kunnen meerdere programma-instructies tegelijkertijd op één processor-core worden uitgevoerd. Een kwaadaardig proces dat naast een legitiem proces op dezelfde processor-core draait kan informatie van dit legitieme proces stelen. De onderzoekers merken op dat het hier om een lokale aanval gaat in de zin dat een aanvaller zijn kwaadaardige proces op dezelfde fysieke processor-core als het slachtoffer moet draaien. Dit is vooral een probleem in serveromgevingen waar bijvoorbeeld virtual machines van verschillende gebruikers op dezelfde fysieke machine draaien. In hun aankondiging merken de onderzoekers op hoe ze via PortSmash een OpenSSL-privésleutel van een TLS-server hebben kunnen stelen. Intel werd op 1 oktober van dit jaar door de onderzoekers geïnformeerd, terwijl OpenSSL op 26 oktober de informatie over PortSmash ontving. Het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid laat weten dat er buiten het uitschakelen van hyper-threading op Intel-processoren vooralsnog geen mitigerende maatregelen bekend zijn. bron: security.nl

Onderzoekers hebben tijdens een beveiligingsconferentie vier sniffing-aanvallen tegen browsers gedemonstreerd waarmee de surfgeschiedenis van gebruikers is te achterhalen. Al jaren geleden hebben onderzoekers aangetoond dat het mogelijk was om te achterhalen op welke linkjes gebruikers hadden geklikt. Daarop kwamen browserontwikkelaars met verschillende tegenmaatregelen. Een onderzoeksteam van UC San Diego en Stanford University heeft nu aangetoond hoe via moderne browserfeatures de surfgeschiedenis van gebruikers opnieuw is te achterhalen. De aanvallen zijn vervolgens getest tegen de vier grote browsers, (Chrome, Firefox, Edge en IE) en verschillende browsers die op security zijn gericht (ChromeZero, Brave, FuzzyFox, DeterFox en Tor Browser). Twee van de aanvallen werken tegen alle browsers behalve Tor Browser. De andere twee aanvallen zijn specifiek gericht tegen features die in op Chromium-gebaseerde browsers aanwezig zijn. Via één van de aanvallen was het mogelijk voor een kwaadaardige website of aanvaller om met een snelheid van 3.000 url's per seconde de surfgeschiedenis uit te lezen. Gebruikers van Tor Browser hoeven zich geen zorgen over de aanvallen te maken, omdat deze browser standaard de surfgeschiedenis niet bewaart. De onderzoekers merken op dat het beschermen van de surfgeschiedenis essentieel voor de privacy van gebruikers is. "De vier aanvallen in dit onderzoek tonen aan dat moderne browsers systematisch falen in het beschermen van de surfgeschiedenis tegen webaanvallers", aldus de conclusie van het onderzoeksrapport. De aanvallen werken zowel tegen populaire browsers als browsers die meer op privacy en security zijn gericht, en slagen op verschillende besturingssystemen. Volgens de onderzoekers moeten browserontwikkelaars dan ook maatregelen nemen om de surfgeschiedenis beter te beschermen. Ze stellen een oplossing voor die een kleine impact op de prestaties en de styling van bezochte links heeft. "Maar we denken dat deze kosten de privacyvoordelen waard zijn", zo stellen de onderzoekers, die hun bevindingen tijdens de USENIX Workshop on Offensive Technologies (WOOT '18) presenteerden (pdf). bron: security.nl

Een malafide browserextensie is verantwoordelijk voor het stelen van privéberichten en persoonsgegevens van Facebookgebruikers, die vervolgens op internet te koop werden aangeboden. Dat laat de sociale netwerksite tegenover de BBC weten. In een advertentie boden aanvallers toegang tot gecompromitteerde Facebookaccounts aan. Daarbij waren als monster gegevens van meer dan 81.000 accounts online geplaatst, waaronder ook privéberichten. In de meeste gevallen gaat het om Facebookgebruikers in Rusland en Oekraïne. Volgens Facebook is een niet nader genoemde extensie verantwoordelijk voor de datadiefstal en heeft het browserontwikkelaars ingelicht om bekende malafide extensies uit hun stores te verwijderen. bron: security.nl

Windows Defender is de eerste virusscanner die in een sandbox kan draaien, maar gebruikers die deze belangrijke beveiligingsmaatregel inschakelen moeten wel hun systeem herstarten in plaats van uitschakelen. Anders wordt de sandbox niet actief. Dat meldt Didier Stevens, handler bij het Internet Storm Center. Een beveiligingslek in een virusscanner kan grote gevolgen voor het onderliggende systeem hebben. Om de impact van dergelijke kwetsbaarheden te beperken heeft Microsoft besloten om Windows Defender in een sandbox te laten draaien. Een aanvaller moet niet alleen een kwetsbaarheid in de anti-virussoftware zien te vinden, maar ook in de sandbox voordat hij het onderliggende systeem kan aanvallen. De sandbox staat nog niet standaard ingeschakeld. Gebruikers van Windows Defender op Windows 10 versie 1703 of nieuwer kunnen dit echter zelf inschakelen door een variabele in te stellen. Hierbij is het wel belangrijk dat het systeem wordt herstart in plaats van uitgeschakeld. Alleen bij een herstart wordt de sandbox namelijk geactiveerd. In de blogposting over de sandbox vermeldde Microsoft ook dat gebruikers het systeem moeten herstarten. Stevens maakte melding bij Microsoft dat de sandbox, afhankelijk van de ingestelde variabele, niet wordt uitgeschakeld of ingeschakeld bij het uitschakelen van het systeem. De ingestelde aanpassing wordt alleen bij een herstart doorgevoerd. Microsoft laat in een reactie op Twitter weten dat het aan een oplossing werkt die in de toekomst via een engine-update wordt uitgerold. Windows Defender is een standaardonderdeel van Windows 8.1 en Windows 10 en presteert tijdens tests vaak net zo goed als betaalde anti-virusoplossingen. bron: security.nl

De Belgische Federal Computer Crime Unit (FCCU) die zich met de bestrijding van cybercrime bezighoudt heeft met een groot personeelstekort te maken, waardoor het onvoldoende mensen heeft om een normale werking te verzekeren. Dat laat De Standaard vandaag weten. De FCCU zou voor een normale operationele bezetting 44 mensen moeten tellen, maar nu werken er nog maar 13 mensen. In het voorjaar verschenen er al berichten dat de bezetting was gedaald naar 22 tot 25 personen. Dat aantal is de afgelopen maanden nog verder afgenomen. Ook de laatste Franstalige medewerker is inmiddels vertrokken. Een reden voor het vertrek wordt niet gegeven. De Standaard merkt wel op dat het bedrijfsleven doorgaans beter betaalt. De FCCU werkt nu aan een strategische nota om jonge it'ers te rekruteren. bron: security.nl

Wanneer je hem draait in een virtuele box, lijkt mij het risico klein. Waarvoor gebruik je XP-nog? Ikzelf heb bijvoorbeeld nog een XP draaien in een muziekstudio. De pc staat compleet los van netwerk en internet. Het hoeft alleen maar het mengpaneel en een console aan te sturen en de mp3-bestanden af te spelen. Nieuwe bestanden gaan eerst door de scanner op een andere pc. Op die manier kun je nog gewoon doorgaan met XP. Doe je in jouw geval misschien niets meer mer XP, dan zou ik verwijdering overwegen.

Anti-virusbedrijf Avast heeft opnieuw gebruikers van Windows XP en Vista gewaarschuwd dat de support vanaf 1 januari 2019 zal worden beperkt. Gebruikers zullen dan geen nieuwe updates meer ontvangen die bijvoorbeeld nieuwe beveiligingsfeatures introduceren. Ook is onduidelijk of deze gebruikers nog op beveiligingsupdates voor kwetsbaarheden in de anti-virussoftware kunnen rekenen. Wel blijven Windows XP- en Vista-gebruikers van Avast virusdefinities ontvangen, waarmee de virusscanners nieuwe malware kunnen detecteren. Avast adviseert verder dat alle gebruikers naar Windows 10 updaten. Zodoende kan men van de laatste upgrades gebruik blijven maken en wordt de kans op aanvallen verkleind, aldus de virusbestrijder. Volgens StatCounter draait 1,35 procent van de Nederlandse Windows-gebruikers nog op Windows XP of Vista. bron: security.nl

In een ip-camera van fabrikant Yi Technologies zijn verschillende kwetsbaarheden ontdekt waardoor een aanvaller in het ergste geval op afstand kan meekijken of de camera kan saboteren. Dat laat Cisco weten. Camera's van Yi Technologies worden ook in Nederland aangeboden. Onderzoekers vonden in totaal negen kwetsbaarheden in de Yi Technology Home Camera 27US. Het is een standaard Internet of Things-camera die gebruikers de mogelijkheid biedt om via het internet mee te kijken en eenvoudig is te installeren. Ook biedt het offline en cloudopslag. Via de beveiligingslekken is het mogelijk om op afstand code op het systeem uit te voeren, het apparaat uit te schakelen of de netwerkauthenticatie te omzeilen. Een aanvaller kan zo met de camera meekijken, de camera uitschakelen zodat er niet wordt opgenomen, opgenomen beelden verwijderen en via de camera andere apparaten in het netwerk aanvallen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden is het ergste beveiligingslek met een 9,6 beoordeeld. Deze kwetsbaarheid ontstaat doordat de camera, zodra die is aangesloten, via http verbinding maakt met een server om de tijd te synchroniseren. Een aanvaller die het verzoek van de camera weet te onderscheppen kan vervolgens een antwoord terugsturen dat een buffer overflow veroorzaakt. Hierdoor wordt het mogelijk om willekeurige code op de camera uit te voeren. Een aantal van de kwetsbaarheden is op afstand te misbruiken, anderen alleen met fysieke toegang. Yi Technologies werd op 1 mei over de beveiligingslekken geïnformeerd en kwam op 22 oktober met een update. Daarop heeft Cisco nu de details bekendgemaakt. Eigenaren van een Yi Home Camera krijgen het advies de nieuwste firmware te installeren. bron: security.nl

Microsoft gaat de inlogopties voor Windows 10 aanpassen wat het eenvoudiger voor mensen moet maken om zonder wachtwoord in te loggen. Naast het gebruik van een wachtwoord biedt het besturingssysteem via Windows Hello ook verschillende andere inlogmanieren. Zo kan er worden gekozen om met biometrische informatie in te loggen zoals een vingerafdruk of irisscan, en is het mogelijk om een pincode of fotowachtwoord in te stellen. Volgens gebruikers was het vorige ontwerp van de inlogopties onoverzichtelijk en verwarrend. Microsoft heeft nu in de nieuwste testversie van Windows 10 een aanpassing doorgevoerd om de inlogopties te vereenvoudigen. "We denken dat deze aanpassing je helpt om de veiligste inlogoptie voor jouw wensen te kiezen, of het nu een pincode of een biometrische factor zoals vingerafdruk of gezichtsherkenning is", zegt Microsofts Dona Sarkar. Het nieuwe ontwerp toont een overzicht van de verschillende inlogopties, wat gebruikers een beter geïnformeerde keuze moet laten maken. "Security zou niet intimiderend moeten zijn en we willen je helpen bij het elimineren van wachtwoorden. Daarom willen we dat je eenvoudig je eerste verdedigingslinie kan instellen door je apparaat met Windows Hello te beveiligen", aldus Sarkar. bron: security.nl

Internetgebruikers die op hun Google-account willen inloggen moeten voortaan JavaScript hebben ingeschakeld, zo laat Google weten. De maatregel zou nodig zijn voor het uitvoeren van een risicoanalyse. Als gebruikers op de Google-inlogpagina hun gebruikersnaam en wachtwoord invoeren voert de internetgigant naar eigen zeggen een "risk assesment" uit. Alleen als er niets verdacht aan de inlogpoging is wordt die goedgekeurd. Deze risicoanalyse is nu verbeterd, maar dit vereist wel dat de gebruiker in zijn browser JavaScript heeft ingeschakeld. Zonder JavaScript kan de risicoanalyse niet worden uitgevoerd. JavaScript staat standaard ingeschakeld en de meeste mensen laten dit zo, maar bij 0,1 procent van de Google-gebruikers staat JavaScript uitgeschakeld. Dit kan bijvoorbeeld voor privacy- of veiligheidsredenen worden gedaan. Veel exploits en trackers op internet maken namelijk gebruik van JavaScript. Gebruikers waar JavaScript staat uitgeschakeld krijgen nu een melding te zien. Op deze website legt Google uit hoe gebruikers JavaScript kunnen inschakelen. bron: security.nl

Een zeroday-lek in de Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) software van Cisco wordt op dit moment actief aangevallen en een beveiligingsupdate is nog niet beschikbaar, zo laat de netwerkgigant zelf weten. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand een denial of service veroorzaken. De Adaptive Security Appliance (ASA) software bevindt zich in in allerlei netwerkapparaten van Cisco, zoals firewalls, security appliances en routers, die door bedrijven en organisaties worden gebruikt. De kwetsbaarheid wordt veroorzaakt door het niet goed verwerken van SIP-verkeer. Door het versturen van specifieke SIP-verzoeken kan een aanvaller het netwerkapparaat herstarten of voor een hoge processorbelasting zorgen, waardoor een denial of service ontstaat. Cisco meldt in het beveiligingsbulletin over de kwetsbaarheid dat er nog geen updates of workarounds voorhanden zijn. Het beveiligingslek is aanwezig in de Cisco ASA-software versie 9.4 en nieuwer en Cisco FTD-software versie 6.0 en nieuwer als SIP-inspectie staat ingeschakeld en de software op bepaalde netwerkapparaten draait. Netwerkbeheerders kunnen aan de uitvoer van "show conn port 5060" zien of ze worden aangevallen. In dit geval wordt er een groot aantal onvolledige SIP-verbindgen getoond en de uitvoer laat ook een hoge processorbelasting zien. Ook kunnen aanvallen ervoor zorgen dat het netwerkapparaat crasht of herstart. Hoewel er geen updates of workarounds zijn kunnen beheerders wel SIP-inspectie uitschakelen, ip-adressen blokkeren of verkeer met ongeldige waardes filteren. bron: security.nl

Er is een nieuwe versie van Adblock Plus verschenen, de populairste browserextensie op internet, die verminderd geheugengebruik belooft en een nieuwe gebruikersinterface introduceert. Volgens ontwikkelaar Eyeo vermindert Adblock Plus 3.4 het geheugengebruik met 50 procent. Daardoor moeten websites sneller worden geladen. De nieuwe gebruikersinterface moet ervoor zorgen dat gebruikers eenvoudiger door de browseruitbreiding kunnen navigeren. Een andere belangrijke toevoeging is de mogelijkheid om screenshots naar de ontwikkelaar te sturen van zaken die volgens gebruikers geblokkeerd hadden moeten worden. Adblock Plus heeft naar eigen zeggen alleen al op de desktop meer dan 100 miljoen gebruikers. bron: security.nl

Hogesnelheidstreindienst Eurostar heeft alle klanten verplicht om een nieuw wachtwoord in te stellen. Aanleiding is een aanval waarbij werd geprobeerd om op accounts van klanten in te loggen. In een e-mail spreekt Eurostar over een "automated attempt" die tussen 15 en 19 oktober plaatsvond. Het lijkt erop dat aanvallers gegevens die van gehackte websites afkomstig zijn hebben gebruikt om in te loggen op accounts van Eurostar-klanten. Iets wat mogelijk zou zijn als gebruikers hetzelfde wachtwoord voor meerdere websites gebruiken en het wachtwoord door een datalek bij één van deze websites op straat is komen te liggen. Hoeveel klanten daadwerkelijk op deze manier zijn gehackt laat Eurostar niet weten, zo meldt de Daily Telegraph. Eerder dit jaar besloot ook de Britse National Lottery om van alle deelnemers het wachtwoord te resetten nadat het een aanval met hergebruikte wachtwoorden had waargenomen. Gebruikers van Groupon, Deliveroo en Domino's zijn eerder ook het doelwit van dergelijke aanvallen geweest. bron: security.nl

Een groen slotje in de adresbalk van de browser zegt niets over de betrouwbaarheid van een website, iets waar veel internetgebruikers zich niet bewust van zijn, zo laat de Stichting Internet Domeinregistratie Nederland (SIDN) weten, de organisatie die de .nl-domeinnamen beheert. De SIDN reageert naar aanleiding van een uitzending van het televisieprogramma Kassa over "Tikkiefraude", waarbij slachtoffers naar phishingsites worden gelokt. Gebruikers die op straat door Kassa worden benaderd laten weten dat ze bij het beoordelen van de betrouwbaarheid van een website naar het groene slotje kijken. Het slot-icoon geeft echter alleen maar weer dat er een beveiligde verbinding tussen de website en bezoeker is en kan worden gebruikt om de identiteit van de website vast te stellen. Het zegt niets over de betrouwbaarheid of veiligheid van de achterliggende website. "Criminelen installeren ook op phishingsites een groen slotje om het vertrouwen van de klant te winnen. Het slotje alleen zegt dus eigenlijk niks. Heel verwarrend voor de consument", aldus de SIDN. Ook blijkt dat mensen niet altijd weten wat de juiste domeinnaam van hun bank is. "Het slotje is altijd een beetje tricky advies geweest omdat het eigenlijk niet zoveel zegt over met wie je aan het communiceren bent", stelt Michel van Eeten, hoogleraar internetveiligheid bij de TU Delft, in de uitzending. "De banken hebben zoveel nadruk op dat slotje gelegd waardoor mensen nu denken dat als ze het slotje zien dat het veilig is. Dat is niet zo. Elke crimineel heeft tegenwoordig ook een slotje. Dit hebben we zoveel nadruk gegeven dat mensen nu eigenlijk verkeerd getraind zijn." bron: security.nl

De Emotet-malware, waar de Amerikaanse overheid in juli nog voor waarschuwde, is van een nieuwe feature voorzien waardoor het op besmette systemen alle e-mails van 180 dagen en nieuwer kan stelen. Daardoor krijgen mogelijk tienduizenden systemen de komende dagen met datalekken te maken. Dat meldt securitybedrijf Kryptos Logic. Volgens het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) is Emotet één van de meest schadelijke malware-exemplaren voor zowel de publieke als private sectoren. Emotet is een Trojan die voornamelijk fungeert als een downloader of dropper van andere malware. Het kan dan bijvoorbeeld gaan om bankmalware of ransomware. Emotet wordt voornamelijk verspreid via e-mailbijlagen. Eerder deze maand werd nog bekend dat een Amerikaans waterleidingbedrijf door Emotet was getroffen, alsmede 600 systemen van Amerikaanse openbare bibliotheken. Naast het installeren van andere malware was Emotet al in staat om op besmette systemen de adresboeken van Outlook- en Exchange-gebruikers te stelen. Nu is er een nieuwe module aan de malware toegevoegd waardoor ook alle e-mails van 180 dagen en nieuwer worden gestolen. Daardoor is de malware ook tot cyberspionage in staat, aldus Kryptos Logic. De module om e-mails te stelen kan ook onder bestaande infecties worden uitgerold. "In andere woorden, Emotet zal de komende dagen waarschijnlijk talloze e-mails van tienduizenden besmette systemen stelen", zo stelt het securitybedrijf. Eerder meldde het US-CERT al dat Emotet lastig is te verwijderen vanwege de wormachtige manier waarop het zich binnen netwerken kan verspreiden. Update Naar aanleiding van de nieuwe module om e-mails te stelen heeft de Duitse overheid, via het Computer Emergency Response Team der Bundesverwaltung, op Twitter een waarschuwing gegeven en adviseert organisaties om verkeer naar bekende Emotet-servers te blokkeren. bron: security.nl

Veel populaire websites laten gebruikers niet via een usb-beveiligingssleutel inloggen, ook al biedt dit volgens Google de beste bescherming tegen phishing. Dat blijkt uit onderzoek van wachtwoordmanager Dashlane. Onderzoekers keken naar de opties die de 34 populairste websites in de Verenigde Staten voor tweefactorauthenticatie (2FA) bieden. Gebruikers moeten hierbij naast hun wachtwoord met een tweede factor inloggen, bijvoorbeeld door een code in te voeren die via sms of een app is verkregen. Voor het onderzoek werd er gekeken of websites tweefactorauthenticatie via e-mail/sms, een authenticator-app of een hardwaretoken zoals een usb-beveiligingssleutel ondersteunden. Van de 34 websites zijn er 8 die gebruikers via alle drie de opties laten inloggen. Vier websites ondersteunen helemaal geen tweefactorauthenticatie. Wanneer dit wel wordt ondersteund is het meestal via sms/e-mail (30 websites). Het gebruik van een authenticator-app voor het genereren van de tweede code is bij 21 websites mogelijk. Inloggen via een hardwaretoken kan bij slechts 8 sites, waaronder Twitter, Facebook, Dropbox en Google. bron: security.nl

Een gratis decryptietool voor de GandCrab-ransomware die afgelopen donderdag werd gelanceerd heeft in vijf dagen tijd 1700 slachtoffers geholpen met het kosteloos herstellen van hun bestanden. De decryptietool werd ontwikkeld door de Roemeense politie in samenwerking met politiediensten uit verschillende landen waaronder Nederland, Europol, de FBI en anti-virusbedrijf Bitdefender. GandCrab verspreidt zich via e-mailbijlagen, ongepatchte software, besmette downloads en remote desktopverbindingen. De eerste versie van de ransomware werd in januari van dit jaar opgemerkt. Volgens Europol heeft de ransomware sinds die voor het eerst in 2018 werd ontdekt bijna 500.000 slachtoffers gemaakt. Voordat GandCrab met versleutelen begint controleert de ransomware of er processen actief zijn waardoor bepaalde bestandstypes niet kunnen worden versleuteld. Het gaat dan bijvoorbeeld om documentviewers en editors, e-mailclients, webbrowsers, database-aplicaties en zelfs game-engines die worden gesloten voordat het encryptieproces start. Op deze manier zorgt de ransomware ervoor dat alle belangrijke bestanden worden versleuteld. Sinds het verschijnen van GandCrab begin dit jaar zijn er vijf verschillende versies verschenen. De decryptietool van afgelopen donderdag kan versie 1, 4 en 5 ontsleutelen. Inmiddels hebben 1700 unieke slachtoffers van de tool gebruikgemaakt. Het gaat met name om gebruikers in Zuid-Korea, China, India, de Verenigde Staten en Duitsland, aldus cijfers die Bitdefender heeft gepubliceerd. Slachtoffers van versies 2 en 3 krijgen het advies om het losgeld niet te betalen. Er wordt namelijk nog gezocht naar een manier om ook bestanden die door deze versies van de ransomware zijn versleuteld kosteloos te kunnen ontsleutelen. bron: security.nl

Spammers maken de afgelopen maanden geregeld gebruik van allerlei oude archiefformaten zoals ARJ om malware te verspreiden, zo meldt anti-virusbedrijf Trend Micro en blijkt ook uit observaties van Security.NL. De virusbestrijder ontdekte onlangs 7.000 e-mails die een kwaadaardig ARJ-bestand als bijlage hadden. Het ARJ (Archived by Robert Jung)-formaat was in de jaren 1990 een populair formaat om bestanden op zowel DOS als Windows in- en uit te pakken. Het concurreerde met PKZIP, een ander populair archiefprogramma. Inmiddels is het niet meer zo bekend en populair. Zo wordt het formaat standaard niet herkend door Windows en moet er een apart programma worden geïnstalleerd om ARJ-bestanden uit te pakken. Bij de aanval waar Trend Micro over schrijft wordt malware verspreid die systeemgegevens en opgeslagen wachtwoorden probeert te stelen. Naast ARJ zijn er ook aanvallen waargenomen waarbij er andere archiefformaten zoals .Z, .ACE, .JAR en .ISO worden gebruikt. Vaak zijn de e-mailbijlagen van een dubbele extensie voorzien, zoals "CONTRACT_MU21325REV.DOC.Z" of "RFQ_2329_Quotation Sheet,xls.iso". Standaard geeft Windows de extensie niet weer, waardoor gebruikers kunnen denken dat het om een ander soort bestand gaat. Het gebruik van dergelijke oude archiefformaten is nog altijd een uitzondering. Begin dit jaar meldde Cisco dat Zip- en Office-bestanden het meestgebruikt worden bij e-mailaanvallen. bron: security.nl

Mozilla test op dit moment een systeem dat op een privacyvriendelijke wijze telemetriegegevens van Firefox Nightly-gebruikers verzamelt. Om browsers te kunnen verbeteren verzamelen alle browserontwikkelaars statistieken en andere data over gebruikers en analyseren die vervolgens. In het geval van Firefox moeten gebruikers hier toestemming voor geven. Toch moeten gebruikers in dit geval Mozilla vertrouwen dat hun data niet wordt misbruikt, op straat belandt of met een andere partij wordt gedeeld, zegt Mozillas Robert Helmer. Mozilla wil echter naar een situatie toe waarbij gebruikers de browserontwikkelaar niet meer hoeven te vertrouwen, zeker als het om gevoelige gegevens gaat die nu alleen via een opt-in zijn te verkrijgen. Een nieuw systeem genaamd Prio dat is ontwikkeld door wetenschappers van Stanford University moet hierbij helpen. Het idee achter Prio is dat voor de meeste gevallen het niet nodig is om individuele data van gebruikers te verzamelen, maar alleen geaggregeerde gegevens. Prio, dat zich in het publieke domein bevindt, laat Mozilla geaggregeerde gegevens verzamelen, zonder dat de individuele data van gebruikers wordt verzameld. Het doet dit door de browser de gegevens van gebruikers in twee delen op te laten splitsen. Deze gegevens worden vervolgens elk naar een verschillende server gestuurd. Individueel vertellen de gegevens niets over de gerapporteerde data, maar wel wanneer ze worden samengevoegd. Elke server verzamelt de datadelen van gebruikers en voegt deze delen samen. Vervolgens nemen de servers hun totaalwaarde en voegen die samen. Het resultaat is de totale waarde van alle gebruikers. Zolang één server eerlijk is, is er geen mogelijkheid om de individuele waarden van gebruikers te herleiden, zegt Helmer. Mozilla heeft Prio gedurende een periode van zes weken onder Firefox Nightly-gebruikers getest. "Zodra we hebben gevalideerd dat het naar behoren werkt en het de privacygaranties biedt die we vereisen, kunnen we het toepassen waar het nodig is", aldus Helmer. Mozilla zal in de toekomst meer details over het systeem geven. bron: security.nl

Google heeft een nieuwe versie van reCAPTCHA gelanceerd, een oplossing om mensen van bots te onderscheiden. De eerste versie van ReCAPTCHA verscheen in 2007 en werd in 2009 door Google overgenomen. Gebruikers moesten bij deze versie woorden uit oude boeken overtikken om aan te tonen dat ze een mens en geen robot waren. Dit moest voorkomen dat bijvoorbeeld spammers op geautomatiseerde wijze allerlei accounts konden aanmaken of reacties konden plaatsen. De tweede versie van reCAPTCHA keek naar allerlei andere signalen om te bepalen of een verzoek van een mens of bot afkomstig was. Dit zorgde ervoor dat de helft van alle gebruikers die met deze reCAPTCHA-versie werden geconfronteerd met één muisklik konden doorgaan, zonder dat ze eerst een puzzel moesten oplossen of woorden moesten overtikken, aldus Google. Nu kondigt Google reCAPTCHA versie 3 aan. Deze versie geeft een score aan de website terug die aangeeft hoe verdacht de interactie is. Afhankelijk van de grens die een website heeft ingesteld worden legitieme gebruikers helemaal niet meer met reCAPTCHA geconfronteerd. "ReCAPTCHA versie 3 draait in de achtergrond een risicoanalyse om je voor verdacht verkeer te waarschuwen, terwijl je menselijke gebruikers gewoon van je website gebruik kunnen maken", zegt Wei Lu van Google. Doordat reCAPTCHA gebruikers nu niet meer stoort geeft Google websites het advies om de oplossing aan meerdere pagina's toe te voegen. Op deze manier moet de risicoanalyse-engine van reCAPTCHA het patroon van aanvallers nauwkeuriger herkennen. Ook kunnen webmasters op deze manier zien op welke pagina's bots het hebben voorzien. Google benadrukt dat reCAPTCHA van echt verkeer op de website leert en dat resultaten in een testomgeving van de productieomgeving kunnen verschillen. bron: security.nl

Google heeft een nieuwe versie van reCAPTCHA gelanceerd, een oplossing om mensen van bots te onderscheiden. De eerste versie van ReCAPTCHA verscheen in 2007 en werd in 2009 door Google overgenomen. Gebruikers moesten bij deze versie woorden uit oude boeken overtikken om aan te tonen dat ze een mens en geen robot waren. Dit moest voorkomen dat bijvoorbeeld spammers op geautomatiseerde wijze allerlei accounts konden aanmaken of reacties konden plaatsen. De tweede versie van reCAPTCHA keek naar allerlei andere signalen om te bepalen of een verzoek van een mens of bot afkomstig was. Dit zorgde ervoor dat de helft van alle gebruikers die met deze reCAPTCHA-versie werden geconfronteerd met één muisklik konden doorgaan, zonder dat ze eerst een puzzel moesten oplossen of woorden moesten overtikken, aldus Google. Nu kondigt Google reCAPTCHA versie 3 aan. Deze versie geeft een score aan de website terug die aangeeft hoe verdacht de interactie is. Afhankelijk van de grens die een website heeft ingesteld worden legitieme gebruikers helemaal niet meer met reCAPTCHA geconfronteerd. "ReCAPTCHA versie 3 draait in de achtergrond een risicoanalyse om je voor verdacht verkeer te waarschuwen, terwijl je menselijke gebruikers gewoon van je website gebruik kunnen maken", zegt Wei Lu van Google. Doordat reCAPTCHA gebruikers nu niet meer stoort geeft Google websites het advies om de oplossing aan meerdere pagina's toe te voegen. Op deze manier moet de risicoanalyse-engine van reCAPTCHA het patroon van aanvallers nauwkeuriger herkennen. Ook kunnen webmasters op deze manier zien op welke pagina's bots het hebben voorzien. Google benadrukt dat reCAPTCHA van echt verkeer op de website leert en dat resultaten in een testomgeving van de productieomgeving kunnen verschillen. bron: security.nl

Linux-systemen zijn kwetsbaar door een beveiligingslek in de DHCPv6-client van Systemd, waardoor een aanvaller op een lokaal netwerk willekeurige code op andere systemen op het netwerk kan uitvoeren door alleen een DHCPv6-packet te versturen. Systemd biedt een verzameling tools waarmee Linux-systemen zijn te beheren, waaronder een systeem- en servicemanager. Veel Linux-distributies, zoals Ubuntu, Linux Mint en Red Hat, maken er gebruik van. Daarnaast biedt het een DHCPv6-client die automatisch wordt ingeschakeld bij het inschakelen van ipv6-ondersteuning. Deze client blijkt de buffergrootte van DHCPv6-packets niet goed bij te houden, wat uiteindelijk kan leiden tot een buffer overflow. Een kwaadaardige host op hetzelfde netwerk als het slachtoffer kan zich voordoen als een DHCPv6-server en vervolgens misbruik van deze kwetsbaarheid maken om een denial of service te veroorzaken of code op het systeem van het slachtoffer uit te voeren. Een update is inmiddels ontwikkeld en zal aan Linux-distributies worden toegevoegd, zo meldt The Register. Beveiligingsexpert Robert Graham heeft de kwetsbaarheid onder de loep genomen en stelt dat het probleem zich niet had mogen voordoen als er was geleerd van de lessen uit het verleden. bron: security.nl

Opnieuw zijn er in de Python Package Index (PyPI), de officiële locatie voor Python-software, verschillende kwaadaardige packages ontdekt en vervolgens verwijderd. Python is een populaire programmeertaal en PyPI bevat allerlei software die door de Python-gemeenschap is ontwikkeld. Vorig jaar vond het Computer Security Incident Response Team van de Slowaakse overheid (SK-CSIRT) allerlei kwaadaardige packages die aan PyPI waren toegevoegd. Nu blijkt dat aanvallers dat opnieuw hebben gedaan, zo ontdekte een onderzoeker genaamd Bertus. De aanvallers creëerden kwaadaardige packages met een naam die op bestaande packages leken. Deze packages werden vervolgens aan PyPI toegevoegd. Als gebruikers bij het installeren van een package een typefout maakten, installeerden ze de kwaadaardige package. De packages deden verschillende zaken. Sommigen injecteerden code in het bestand .bashrc anderen stuurden een ping terug naar de server en één opende een reverse shell. Ook was er een package die probeerde om bitcoinadressen in het clipboard aan te passen. Als een slachtoffer een bitcointransactie zou willen uitvoeren zou op deze manier het geld naar de verkeerde bitcoinwallet worden overgemaakt. De eerste 11 kwaadaardige packages werden begin oktober ontdekt en verwijderd. De twaalfde kwaadaardige package, die bitcoinadressen in het clipboard aanpaste, werd al sinds december 2017 via PyPI aangeboden en op 22 oktober verwijderd. bron: security.nl