Captain Kirk

Een gratis decryptietool voor de GandCrab-ransomware die afgelopen donderdag werd gelanceerd heeft in vijf dagen tijd 1700 slachtoffers geholpen met het kosteloos herstellen van hun bestanden. De decryptietool werd ontwikkeld door de Roemeense politie in samenwerking met politiediensten uit verschillende landen waaronder Nederland, Europol, de FBI en anti-virusbedrijf Bitdefender. GandCrab verspreidt zich via e-mailbijlagen, ongepatchte software, besmette downloads en remote desktopverbindingen. De eerste versie van de ransomware werd in januari van dit jaar opgemerkt. Volgens Europol heeft de ransomware sinds die voor het eerst in 2018 werd ontdekt bijna 500.000 slachtoffers gemaakt. Voordat GandCrab met versleutelen begint controleert de ransomware of er processen actief zijn waardoor bepaalde bestandstypes niet kunnen worden versleuteld. Het gaat dan bijvoorbeeld om documentviewers en editors, e-mailclients, webbrowsers, database-aplicaties en zelfs game-engines die worden gesloten voordat het encryptieproces start. Op deze manier zorgt de ransomware ervoor dat alle belangrijke bestanden worden versleuteld. Sinds het verschijnen van GandCrab begin dit jaar zijn er vijf verschillende versies verschenen. De decryptietool van afgelopen donderdag kan versie 1, 4 en 5 ontsleutelen. Inmiddels hebben 1700 unieke slachtoffers van de tool gebruikgemaakt. Het gaat met name om gebruikers in Zuid-Korea, China, India, de Verenigde Staten en Duitsland, aldus cijfers die Bitdefender heeft gepubliceerd. Slachtoffers van versies 2 en 3 krijgen het advies om het losgeld niet te betalen. Er wordt namelijk nog gezocht naar een manier om ook bestanden die door deze versies van de ransomware zijn versleuteld kosteloos te kunnen ontsleutelen. bron: security.nl

Spammers maken de afgelopen maanden geregeld gebruik van allerlei oude archiefformaten zoals ARJ om malware te verspreiden, zo meldt anti-virusbedrijf Trend Micro en blijkt ook uit observaties van Security.NL. De virusbestrijder ontdekte onlangs 7.000 e-mails die een kwaadaardig ARJ-bestand als bijlage hadden. Het ARJ (Archived by Robert Jung)-formaat was in de jaren 1990 een populair formaat om bestanden op zowel DOS als Windows in- en uit te pakken. Het concurreerde met PKZIP, een ander populair archiefprogramma. Inmiddels is het niet meer zo bekend en populair. Zo wordt het formaat standaard niet herkend door Windows en moet er een apart programma worden geïnstalleerd om ARJ-bestanden uit te pakken. Bij de aanval waar Trend Micro over schrijft wordt malware verspreid die systeemgegevens en opgeslagen wachtwoorden probeert te stelen. Naast ARJ zijn er ook aanvallen waargenomen waarbij er andere archiefformaten zoals .Z, .ACE, .JAR en .ISO worden gebruikt. Vaak zijn de e-mailbijlagen van een dubbele extensie voorzien, zoals "CONTRACT_MU21325REV.DOC.Z" of "RFQ_2329_Quotation Sheet,xls.iso". Standaard geeft Windows de extensie niet weer, waardoor gebruikers kunnen denken dat het om een ander soort bestand gaat. Het gebruik van dergelijke oude archiefformaten is nog altijd een uitzondering. Begin dit jaar meldde Cisco dat Zip- en Office-bestanden het meestgebruikt worden bij e-mailaanvallen. bron: security.nl

Mozilla test op dit moment een systeem dat op een privacyvriendelijke wijze telemetriegegevens van Firefox Nightly-gebruikers verzamelt. Om browsers te kunnen verbeteren verzamelen alle browserontwikkelaars statistieken en andere data over gebruikers en analyseren die vervolgens. In het geval van Firefox moeten gebruikers hier toestemming voor geven. Toch moeten gebruikers in dit geval Mozilla vertrouwen dat hun data niet wordt misbruikt, op straat belandt of met een andere partij wordt gedeeld, zegt Mozillas Robert Helmer. Mozilla wil echter naar een situatie toe waarbij gebruikers de browserontwikkelaar niet meer hoeven te vertrouwen, zeker als het om gevoelige gegevens gaat die nu alleen via een opt-in zijn te verkrijgen. Een nieuw systeem genaamd Prio dat is ontwikkeld door wetenschappers van Stanford University moet hierbij helpen. Het idee achter Prio is dat voor de meeste gevallen het niet nodig is om individuele data van gebruikers te verzamelen, maar alleen geaggregeerde gegevens. Prio, dat zich in het publieke domein bevindt, laat Mozilla geaggregeerde gegevens verzamelen, zonder dat de individuele data van gebruikers wordt verzameld. Het doet dit door de browser de gegevens van gebruikers in twee delen op te laten splitsen. Deze gegevens worden vervolgens elk naar een verschillende server gestuurd. Individueel vertellen de gegevens niets over de gerapporteerde data, maar wel wanneer ze worden samengevoegd. Elke server verzamelt de datadelen van gebruikers en voegt deze delen samen. Vervolgens nemen de servers hun totaalwaarde en voegen die samen. Het resultaat is de totale waarde van alle gebruikers. Zolang één server eerlijk is, is er geen mogelijkheid om de individuele waarden van gebruikers te herleiden, zegt Helmer. Mozilla heeft Prio gedurende een periode van zes weken onder Firefox Nightly-gebruikers getest. "Zodra we hebben gevalideerd dat het naar behoren werkt en het de privacygaranties biedt die we vereisen, kunnen we het toepassen waar het nodig is", aldus Helmer. Mozilla zal in de toekomst meer details over het systeem geven. bron: security.nl

Google heeft een nieuwe versie van reCAPTCHA gelanceerd, een oplossing om mensen van bots te onderscheiden. De eerste versie van ReCAPTCHA verscheen in 2007 en werd in 2009 door Google overgenomen. Gebruikers moesten bij deze versie woorden uit oude boeken overtikken om aan te tonen dat ze een mens en geen robot waren. Dit moest voorkomen dat bijvoorbeeld spammers op geautomatiseerde wijze allerlei accounts konden aanmaken of reacties konden plaatsen. De tweede versie van reCAPTCHA keek naar allerlei andere signalen om te bepalen of een verzoek van een mens of bot afkomstig was. Dit zorgde ervoor dat de helft van alle gebruikers die met deze reCAPTCHA-versie werden geconfronteerd met één muisklik konden doorgaan, zonder dat ze eerst een puzzel moesten oplossen of woorden moesten overtikken, aldus Google. Nu kondigt Google reCAPTCHA versie 3 aan. Deze versie geeft een score aan de website terug die aangeeft hoe verdacht de interactie is. Afhankelijk van de grens die een website heeft ingesteld worden legitieme gebruikers helemaal niet meer met reCAPTCHA geconfronteerd. "ReCAPTCHA versie 3 draait in de achtergrond een risicoanalyse om je voor verdacht verkeer te waarschuwen, terwijl je menselijke gebruikers gewoon van je website gebruik kunnen maken", zegt Wei Lu van Google. Doordat reCAPTCHA gebruikers nu niet meer stoort geeft Google websites het advies om de oplossing aan meerdere pagina's toe te voegen. Op deze manier moet de risicoanalyse-engine van reCAPTCHA het patroon van aanvallers nauwkeuriger herkennen. Ook kunnen webmasters op deze manier zien op welke pagina's bots het hebben voorzien. Google benadrukt dat reCAPTCHA van echt verkeer op de website leert en dat resultaten in een testomgeving van de productieomgeving kunnen verschillen. bron: security.nl

Google heeft een nieuwe versie van reCAPTCHA gelanceerd, een oplossing om mensen van bots te onderscheiden. De eerste versie van ReCAPTCHA verscheen in 2007 en werd in 2009 door Google overgenomen. Gebruikers moesten bij deze versie woorden uit oude boeken overtikken om aan te tonen dat ze een mens en geen robot waren. Dit moest voorkomen dat bijvoorbeeld spammers op geautomatiseerde wijze allerlei accounts konden aanmaken of reacties konden plaatsen. De tweede versie van reCAPTCHA keek naar allerlei andere signalen om te bepalen of een verzoek van een mens of bot afkomstig was. Dit zorgde ervoor dat de helft van alle gebruikers die met deze reCAPTCHA-versie werden geconfronteerd met één muisklik konden doorgaan, zonder dat ze eerst een puzzel moesten oplossen of woorden moesten overtikken, aldus Google. Nu kondigt Google reCAPTCHA versie 3 aan. Deze versie geeft een score aan de website terug die aangeeft hoe verdacht de interactie is. Afhankelijk van de grens die een website heeft ingesteld worden legitieme gebruikers helemaal niet meer met reCAPTCHA geconfronteerd. "ReCAPTCHA versie 3 draait in de achtergrond een risicoanalyse om je voor verdacht verkeer te waarschuwen, terwijl je menselijke gebruikers gewoon van je website gebruik kunnen maken", zegt Wei Lu van Google. Doordat reCAPTCHA gebruikers nu niet meer stoort geeft Google websites het advies om de oplossing aan meerdere pagina's toe te voegen. Op deze manier moet de risicoanalyse-engine van reCAPTCHA het patroon van aanvallers nauwkeuriger herkennen. Ook kunnen webmasters op deze manier zien op welke pagina's bots het hebben voorzien. Google benadrukt dat reCAPTCHA van echt verkeer op de website leert en dat resultaten in een testomgeving van de productieomgeving kunnen verschillen. bron: security.nl

Linux-systemen zijn kwetsbaar door een beveiligingslek in de DHCPv6-client van Systemd, waardoor een aanvaller op een lokaal netwerk willekeurige code op andere systemen op het netwerk kan uitvoeren door alleen een DHCPv6-packet te versturen. Systemd biedt een verzameling tools waarmee Linux-systemen zijn te beheren, waaronder een systeem- en servicemanager. Veel Linux-distributies, zoals Ubuntu, Linux Mint en Red Hat, maken er gebruik van. Daarnaast biedt het een DHCPv6-client die automatisch wordt ingeschakeld bij het inschakelen van ipv6-ondersteuning. Deze client blijkt de buffergrootte van DHCPv6-packets niet goed bij te houden, wat uiteindelijk kan leiden tot een buffer overflow. Een kwaadaardige host op hetzelfde netwerk als het slachtoffer kan zich voordoen als een DHCPv6-server en vervolgens misbruik van deze kwetsbaarheid maken om een denial of service te veroorzaken of code op het systeem van het slachtoffer uit te voeren. Een update is inmiddels ontwikkeld en zal aan Linux-distributies worden toegevoegd, zo meldt The Register. Beveiligingsexpert Robert Graham heeft de kwetsbaarheid onder de loep genomen en stelt dat het probleem zich niet had mogen voordoen als er was geleerd van de lessen uit het verleden. bron: security.nl

Opnieuw zijn er in de Python Package Index (PyPI), de officiële locatie voor Python-software, verschillende kwaadaardige packages ontdekt en vervolgens verwijderd. Python is een populaire programmeertaal en PyPI bevat allerlei software die door de Python-gemeenschap is ontwikkeld. Vorig jaar vond het Computer Security Incident Response Team van de Slowaakse overheid (SK-CSIRT) allerlei kwaadaardige packages die aan PyPI waren toegevoegd. Nu blijkt dat aanvallers dat opnieuw hebben gedaan, zo ontdekte een onderzoeker genaamd Bertus. De aanvallers creëerden kwaadaardige packages met een naam die op bestaande packages leken. Deze packages werden vervolgens aan PyPI toegevoegd. Als gebruikers bij het installeren van een package een typefout maakten, installeerden ze de kwaadaardige package. De packages deden verschillende zaken. Sommigen injecteerden code in het bestand .bashrc anderen stuurden een ping terug naar de server en één opende een reverse shell. Ook was er een package die probeerde om bitcoinadressen in het clipboard aan te passen. Als een slachtoffer een bitcointransactie zou willen uitvoeren zou op deze manier het geld naar de verkeerde bitcoinwallet worden overgemaakt. De eerste 11 kwaadaardige packages werden begin oktober ontdekt en verwijderd. De twaalfde kwaadaardige package, die bitcoinadressen in het clipboard aanpaste, werd al sinds december 2017 via PyPI aangeboden en op 22 oktober verwijderd. bron: security.nl

De afgelopen paar weken zijn miljoenen nieuwe ip-adressen onderdeel van twee specifieke botnets geworden en toegevoegd aan de blocklist van anti-spamorganisatie Spamhaus. De Exploits Block List (XBL) van Spamhaus bestaat uit ip-adressen die onderdeel van een botnet zijn en malware verspreiden. De afgelopen weken is het aantal ip-adressen op de blocklist gestegen van 10 miljoen naar 15 miljoen. De toename is volgens Spamhaus te verklaren door twee botnets. Het eerste botnet wordt gebruikt voor het versturen van spam voor Chinese pornosites. Dit botnet maakt mogelijk misbruik van een beveiligingsprobleem in proxysoftware die in China erg populair is. Het tweede botnet dat voor de groei van de blocklist verantwoordelijk is, is het Avalanche/Gamarue-botnet. Het Avalanche-botnet werd eind 2016 door de FBI en Europol uit de lucht gehaald. Begin dit jaar werd de vermeende ontwikkelaar van het botnet in Oekraïne opgepakt. Hoewel de servers om het botnet mee te besturen uit de lucht zijn gehaald, zijn er nog tal van computers met de malware besmet. Deze computers proberen weer andere machines te infecteren. Daarnaast zijn de besmette machines nog steeds onveilig en kunnen anderen daar misbruik van maken, zegt Quentin Jenkins van Spamhaus. Hij merkt op dat zelfs als alle botnetbendes worden opgerold, de malware die ze hebben gemaakt actief blijft. "Dit is iets dat ons nog lange tijd zal blijven achtervolgen. De Conficker-bot is ook nog steeds actief, ook al is diens controlenetwerk jaren geleden verdwenen." bron: security.nl

Google Chrome staat toe dat extensies van een remote locatie code kunnen downloaden en uitvoeren, wat een risico voor gebruikers is, zo waarschuwt Mozilla. Onlangs kondigde Google verschillende beveiligingsmaatregelen aan om de veiligheid van Chrome-extensies te verbeteren. Zo kunnen Chrome-gebruikers de toegang van extensies tot bepaalde websites beperken en zullen extensies strenger worden gecontroleerd. Verder heeft Google het gebruik van geobfusceerde code in extensies verboden en zijn extensie-ontwikkelaars straks verplicht om via 2-stapsverificatie in te loggen. Mozillas Mike Conca prijst de aangekondigde maatregelen, maar stelt ook dat Google op bepaalde vlakken een stap verder had kunnen gaan. Binnen Firefox is het bijvoorbeeld voor extensies verboden om remote code te gebruiken. "We vinden dat geen enkele controle de risico's kan elimineren die worden geïntroduceerd als ontwikkelaars eenvoudig en ondetecteerbaar kunnen aanpassen welke code door extensies worden geladen", aldus Conca. Het beleid van Mozilla zorgt ervoor dat geen enkele ongecontroleerde code door de browser wordt geladen en de verplichte digitale handtekeningen voorkomen dat gecontroleerde code later kan worden aangepast. Waar Google het gebruik van geobfusceerde code heeft verboden, staat Mozilla dit juist toe. Obfuscatie maakt het lastig om te bepalen wat een extensie precies doet. Mozilla verplicht echter dat extensie-ontwikkelaars de niet geobfusceerde code van de extensie ter controle indienen, alsmede instructies hoe de online versie, inclusief de obfuscatie, is te reproduceren. "We vinden het belangrijk dat ontwikkelaars hun code kunnen beveiligen, maar tegelijkertijd goed gecontroleerde extensies kunnen aanbieden die de veiligheid en privacy van gebruikers respecteren", merkt Conca op. 2-stapsverificatie Mozilla en Google vinden elkaar wel waar het gaat om het gebruik van 2-stapsverificatie. Zowel vorig jaar als dit jaar wisten aanvallers via phishingmails de accounts van ontwikkelaars van Chrome-extensies over te nemen. Vervolgens gebruikten aanvallers deze toegang om malafide updates onder gebruikers van de Chrome-extensies te verspreiden. Vanaf volgend jaar worden extensie-ontwikkelaars door Google verplicht om van 2-stapsverificatie gebruik te maken. Naar aanleiding van de succesvolle phishingaanvallen op ontwikkelaars van Chrome-extensies gaat ook Mozilla vanaf volgend jaar 2-stapsverificatie voor ontwikkelaars van Firefox-extensies verplichten. bron: security.nl

Eén van de ontwikkelaars van het Mirai-botnet is in de Verenigde Staten veroordeeld tot het betalen van 8,6 miljoen dollar en zes maanden huisarrest wegens het uitvoeren van ddos-aanvallen op het netwerk van de Rutgers University, zo laat het Amerikaanse openbaar ministerie weten. De 22-jarige man werd in september samen met twee andere mannen veroordeeld voor het ontwikkelen en opzetten van het beruchte Mirai-botnet en een clickfraude-botnet. Ze werden elk veroordeeld tot een proeftijd van 5 jaar, een taakstraf van 2500 uur, het betalen van een schadevergoeding van 127.000 dollar en het afstaan van alle cryptovaluta die tijdens het onderzoek in beslag is genomen. Ook moesten ze als onderdeel van hun veroordeling blijven samenwerken met de FBI op het gebied van cybercrime en cybersecurity. Nu is de 22-jarige man veroordeeld voor het uitvoeren van ddos-aanvallen op het het netwerk van de Rutgers University. De aanvallen vonden plaats tussen november 2014 en september 2016. Daardoor raakte de centrale authenticatieserver van de universiteit onbereikbaar, die onder andere wordt gebruikt voor een portaal waarmee docenten en studenten opdrachten uitwisselen. De Amerikaan slaagde erin om de server meerdere opeenvolgende perioden uit de lucht te halen, waardoor er schade aan de universiteit, de faculteit en studenten werd aangericht, aldus het Amerikaanse openbaar ministerie. De andere twee ontwikkelaars van het Mirai-botnet waren niet bij deze aanvallen betrokken. Ook vonden de ddos-aanvallen grotendeels plaats voordat het Mirai-botnet was opgezet. bron: security.nl

Beveiligingslekken in anti-virussoftware kunnen zeer grote gevolgen voor de veiligheid van systemen hebben. Aanleiding voor Microsoft om een sandbox voor Windows Defender te ontwikkelen, de in Windows ingebouwde virusscanner. Volgens de softwaregigant is Windows Defender daarmee de eerste volledige anti-virusoplossing die in een sandbox draait. De afgelopen jaren hebben onderzoekers in Windows Defender en andere anti-virussoftware tal van ernstige kwetsbaarheden aangetoond. Anti-virussoftware zit vaak diep genesteld in het besturingssysteem en draait daarbij ook nog eens permanent in de achtergrond. Kwetsbaarheden kunnen een aanvaller op deze manier vergaande toegang geven en zijn vaak zonder interactie van de gebruiker te misbruiken. Zo kan het bijvoorbeeld volstaan om alleen een e-mail met een kwaadaardige bijlage te versturen. De bijlage wordt automatisch gescand, waardoor een eventuele exploit automatisch wordt uitgevoerd. Beveiligingsexperts en onderzoekers roepen dan ook al jaren dat anti-virusbedrijven een sandbox voor hun anti-virussoftware moeten ontwikkelen. De sandbox fungeert als een extra beveiligingsmaatregel. Een aanvaller moet niet alleen een kwetsbaarheid in de anti-virussoftware zien te vinden, maar ook in de sandbox voordat hij het onderliggende systeem kan aanvallen. Microsoft heeft een dergelijke beveiligingsmaatregel nu voor de nieuwste testversie van Windows Defender op Windows 10 ontwikkeld. "Het laten draaien van Windows Defender Antivirus in een sandbox zorgt ervoor dat in het onwaarschijnlijke geval van een hack, kwaadaardige acties zijn beperkt tot de geïsoleerde omgeving, waardoor de rest van het systeem wordt beschermd", zegt Microsofts Mady Marinescu. Ze merkt op dat prestaties vaak de voornaamste zorg zijn bij sandboxes, met name in het geval van anti-virussoftware die vaak bij allerlei gebeurtenissen op het systeem is betrokken. Om ervoor te zorgen dat de systeemprestaties niet onder de sandbox te lijden hebben is het aantal interacties tussen de sandbox en het geprivilegieerde proces beperkt. Zo vindt er alleen interactie tussen de sandbox plaats op belangrijke momenten waarbij de impact verwaarloosbaar is. De sandbox wordt nu onder testers van Windows Defender op Windows 10 ingeschakeld, maar gebruikers kunnen dit ook zelf doen op Windows 10, versie 1703 of nieuwer. Windows Defender is een standaardonderdeel van Windows 8.1 en Windows 10 en presteert tijdens tests vaak net zo goed als betaalde anti-virusoplossingen. bron: security.nl

Microsoft heeft bevestigd dat er een probleem is met zip-bestanden en de Windows 10 October 2018 Update waardoor gebruikers hun bestanden kunnen verliezen. Het probleem doet zich voor als gebruikers bestanden uit een zip-bestand verplaatsen of kopiëren naar een map waar bestanden met dezelfde bestandsnamen zich bevinden. Normaliter laat Windows dan een melding zien of de gebruiker deze bestanden wil overschrijven. Bij de Windows 10 October 2018 Update wordt dit venster echter niet getoond. Dit kan verschillende gevolgen hebben. Als gebruikers de bestanden uit het zip-bestand kopiëren en vervolgens plakken in een map met dezelfde bestandsnamen gebeurt er niets, zonder dat hier melding van wordt gemaakt. Wanneer gebruikers echter het bestand uit het zip-bestand verplaatsen naar een map met dezelfde bestandsnaam, kan het verplaatste bestand worden verwijderd zonder dat dit aan de gebruiker wordt gemeld. In deze gevallen kan het verwijderde bestand nog worden hersteld, zo laat Microsoft weten. Wanneer gebruikers echter bestanden uit een zip-bestand knippen en plakken kan dit ervoor zorgen dat bestanden verloren gaan zonder dat ze zijn te herstellen. Gebruikers krijgen dan ook het advies om een zip-bestand eerst volledig uit te pakken en daarna pas bestanden naar de nieuwe locatie te kopiëren. Microsoft werkt nu aan een oplossing die begin november beschikbaar moet zijn. bron: security.nl

Cybercriminelen die internetgebruikers via ongepatchte software met malware proberen te infecteren kiezen weer steeds vaker voor ransomware in plaats van cryptominers, zo stelt anti-malwarebedrijf Malwarebytes. Begin dit jaar lieten Cisco en Microsoft nog weten dat er juist een trend gaande was dat ransomware werd vervangen door cryptominers. Cryptominers gebruiken de rekenkracht van een besmet systeem om cryptovaluta te delven. De afgelopen maanden kiezen cybercriminelen juist weer voor ransomware, zo stelt onderzoeker Jerome Segura. Een reden wordt niet door Segura gegeven, maar mogelijk hangt het samen met de dalende koers van cryptovaluta. Om internetgebruikers te infecteren maken cybercriminelen nog wel steeds op grote schaal gebruik van twee specifieke kwetsbaarheden. Het gaat om een beveiligingslek in Internet Explorer dat op 8 mei van dit jaar door Microsoft werd gepatcht en een kwetsbaarheid in Adobe Flash Player waarvoor sinds 6 februari een beveiligingsupdate beschikbaar is. Internetgebruikers die deze updates niet hebben geïnstalleerd kunnen alleen door het bezoeken van een gehackte websites of het te zien krijgen van een besmette advertentie met malware geïnfecteerd raken. Gebruikers krijgen dan ook het advies om hun software up-to-date te houden. Verder merkt Segura op dat Internet Explorer mogelijkheden voor cybercriminelen blijft bieden om nieuwe exploits te ontwikkelen, maar dat andere browsers zoals Edge mogelijk ook de aandacht zullen krijgen. bron: security.nl

Het Amerikaanse ministerie van Defensie heeft besloten het 'Hack the Pentagon' beloningsprogramma voor onderzoekers en hackers uit te breiden. Twee jaar geleden werd het programma voor het eerst gestart, waarbij goedgekeurde ethische hackers en beveiligingsonderzoekers werden beloond voor het rapporteren van kwetsbaarheden in websites en andere onderdelen van de infrastructuur van het Pentagon. De eerste editie van Hack the Pentagon vond plaats over een periode van vier weken. Het programma is nu uitgebreid. Zo zullen er doorlopende assessments van belangrijke onderdelen plaatsvinden en zal er niet alleen naar websites worden gekeken, maar ook naar andere onderdelen zoals hardware en fysieke systemen. "Via dit model kan het ministerie van Defensie tijdens de ontwikkeling van een systeem een open dialoog met goedgekeurde hackers gaande houden, wat zeer waardevol is aangezien software en andere onderdelen regelmatig worden geüpdatet", aldus het Pentagon. bron: security.nl

Mozilla en de Universiteit van Dundee starten een doctoraat voor een 'gezonder Internet of Things'. Het Open Design of Trusted Things-project is mogelijk dankzij een financiering van 1,5 miljoen euro van de Europese Unie en moet zorgen voor technologen, ontwerpers en onderzoekers die voor een meer open, veiliger en betrouwbaarder Internet of Things zullen zorgen. De promovendi beginnen aan de Universiteit van Dundee, waar ze zich zullen richten op ontwerponderzoek, co-creatie en het ontwikkelen van technologie. Vervolgens gaat het programma verder in het kantoor van Mozilla in Berlijn, waar de focus op 'internetgezondheid' zal komen te liggen. "Door de mensen te trainen die IoT-technologie zullen ontwikkelen en beïnvloeden, kunnen we een positieve verandering teweeg brengen die aan de tekentafel begint", aldus Mozilla. Het werven van onderzoekers zal eind 2018 beginnen, waarbij het project in juli 2019 van start zal gaan. bron: security.nl

Onderzoekers hebben tientallen besmette apps op Google Play ontdekt die in werkelijkheid bankmalware en Trojaanse paarden bleken te zijn. Anti-virusbedrijf Doctor Web waarschuwt voor 14 games die in de officiële appstore van Google waren te vinden en minstens 51.000 keer zijn gedownload. Zodra de malafide apps werden gestart vroegen ze om lees- en schrijftoegang tot de sd-kaart en om beheerdersrechten. Vervolgens downloadde de malware in de achtergrond een APK-bestand en vroeg de gebruiker om die te installeren. Wanneer de gebruiker dit weigerde liet de malware elke 20 seconden het installatievenster zien. Het APK-bestand is adware en toont allerlei advertenties op het scherm. Google heeft de apps inmiddels verwijderd. Anti-virusbedrijf ESET meldt dat het in de Play Store 29 malafide apps heeft aangetroffen die mobiele banking Trojans bleken te zijn. De apps deden zich voor als horoscopen, opschoontools en batterijmanagers en waren bijna 30.000 keer gedownload. Wanneer de malafide apps werden gestart kregen gebruikers een foutmelding te zien. In de achtergrond kon de malware phishingvensters tonen, sms-berichten met bankcodes onderscheppen en doorsturen en andere apps downloaden en installeren. Ook deze apps zijn door Google uit de appstore gehaald. bron: security.nl

Yahoo wil het grootste datalek in de geschiedenis voor een bedrag van 50 miljoen dollar schikken. Bij een aanval in 2013 werden de gegevens van 3 miljard accounts gestolen. De schikking heeft betrekking op 1 miljard accounts die eigendom van zo'n 200 miljoen mensen in de Verenigde Staten en Israël waren. Getroffen gebruikers komen in aanmerking voor een schadevergoeding van 25 dollar per uur voor de tijd die ze kwijt waren aan problemen als gevolg van het datalek. Slachtoffers die hun schade kunnen aantonen komen in aanmerking voor een maximale vergoeding van 375 dollar. Mensen die de schade niet hebben gedocumenteerd kunnen maximaal 125 dollar vragen. Yahoo-gebruikers die jaarlijks 20 tot 50 dollar voor een premium e-mailaccount betaalden krijgen 25 procent van het betaalde bedrag terug. Daarnaast zal Yahoo alle 200 miljoen getroffen gebruikers twee jaar lang gratis kredietmonitoring aanbieden. In sommige berekeningen werd de schade door het datalek op meer dan 1 miljard dollar geschat. Yahoo ontkende dergelijke bedragen, omdat gebruikers bij het aanmaken van accounts valse informatie hadden opgegeven. De schikking moet nog door een Amerikaanse rechter worden goedgekeurd, maar als dit het geval is krijgen de advocaten die de gebruikers vertegenwoordigen 37,5 miljoen dollar, zo meldt de Associated Press. bron: security.nl

Cybercriminelen maken gebruik van verschillende zeroday-lekken in Magento-extensies om webwinkels te hacken en zo code te injecteren die creditcardgegevens van klanten steelt. Magento is een populair platform voor webwinkels. De afgelopen maanden zijn tal van webwinkels en bedrijven in het nieuws gekomen nadat er op de betaalpagina's creditcardskimmers waren aangetroffen die creditcardgegevens opslaan en stelen. Het ging onder andere om Ticketmaster, British Airways en elektronicawebwinkel Newegg. In sommige gevallen hadden de criminelen directe toegang tot de gehackte website, in andere gevallen werd er gebruik gemaakt van code van derde partijen die op deze websites draaiden. Bij de aanvallen die tegen webwinkels met de kwetsbare Magento-extensies zijn gericht is de aanvalsvector steeds hetzelfde, zo stelt de Nederlandse beveiligingsonderzoeker Willem de Groot. De aanvallers maken gebruik van een specifieke PHP-functie om hun eigen PHP-code in de website te injecteren. Op deze manier kunnen ze de database of JavaScript-bestanden aanpassen en van een creditcardskimmer voorzien. Magento heeft veel van de kwetsbare PHP-functies in de eigen code vervangen, maar dat geldt niet voor veel populaire extensies, zo stelt De Groot. Hij merkt op dat aanvallers tal van PHP Object Injection-kwetsbaarheden in een groot aantal extensies hebben gevonden en nu actief Magento-webwinkels op deze extensies controleren. De onderzoeker heeft 20 kwetsbare extensies in kaart gebracht en adviseert webwinkels om die meteen uit te schakelen en de logbestanden op ongeautoriseerde activiteiten te controleren. bron: security.nl

Twintig procent van de Office 365-gebruikers die een e-mail met malafide link ontvangt opent deze link binnen de eerste 5 minuten, zo stelt Microsoft aan de hand van eigen onderzoek. Het onderzoek, waarbij miljarden e-mails werden geanalyseerd, vond plaats van januari tot en met september van dit jaar. Volgens onderzoekers van Microsoft hebben aanvallers het versturen van malware verruild voor gerichte phishingcampagnes. Zo werden er tijdens de onderzoeksperiode 300.000 phishingcampagnes geanalyseerd. Ook werden er 8 miljoen gevallen van ceo-fraude waargenomen. Niet alleen de schaal neemt toe, ook de snelheid waarmee gebruikers op malafide links klikken. Zo liet de Nederlandse Vereniging van Banken (NVB) weten dat de schade door fraude met internetbankieren in de eerste helft van dit jaar meer dan is verdubbeld. Dit is met name aan phishing te danken. Microsoft stelt dat het afgelopen maanden maatregelen heeft genomen om de detectie van phishing te verbeteren, maar dat geen enkele oplossing alle dreigingen kan stoppen. bron: security.nl

Het Tor Project is vandaag de jaarlijkse donatiecampagne gestart en laat weten dat Mozilla elke donatie zal verdubbelen. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy en anonimiteit te beschermen. Het afgelopen jaar groeide het aantal medewerkers van het Tor Project, alsmede het aantal gebruikers en Tor-servers. De druk op internetvrijheid is echter ook toegenomen. "Landen zoals Egypte en Venezuela hebben de vrijheid van meningsuiting en toegang tot het open web beperkt, bedrijven zoals Google en Amazon gaan verkeerd om met de gegevens van mensen en bevorderen de surveillance-economie, en sommige landen sluiten zelfs het gehele internet af om mogelijke oppositie de mond te snoeren", zegt Sarah Stevenson van het Tor Project. Om te kunnen overleven is het Tor Project mede afhankelijk van donaties. Stevenson roept gebruikers dan ook op om te doneren zodat de organisatie zich kan blijven inzetten voor internetvrijheid. De donaties van gebruikers zullen ook worden gebruikt om de schaalbaarheid en capaciteit van het Tor-netwerk te vergroten, oplossingen voor internetcensuur te ontwerpen en de Tor Browser voor Android verder te ontwikkelen. bron: security.nl

Met de lancering van Firefox 63 vandaag introduceert Mozilla een experimenteel cookiebeleid dat gebruikers tegen cross-site trackingcookies moet beschermen, op een manier waarbij websites zoveel als mogelijk blijven werken. Bij cross-site tracking worden internetgebruikers over meerdere websites gevolgd. Het nieuwe cookiebeleid blokkeert opslagtoegang voor domeinen die als trackers bekendstaan. Hiervoor maakt Firefox gebruik van de Tracking Protection-lijst die door Disconnect wordt beheerd. Domeinen die als trackers zijn aangemerkt zullen niet in staat zijn om cookies bij Firefox-gebruikers te plaatsen of lokale opslag en andere sitegegevens te benaderen wanneer de domeinen in een third-party context worden geladen. Daarnaast zal Firefox voorkomen dat trackers andere programmeerinterfaces (API's) kunnen benaderen waarmee ze over meerdere websites kunnen communiceren. Zodoende kunnen trackers geen "cross-site identifiers" gebruiken die in Firefox zijn opgeslagen om browsegedrag over meerdere websites aan elkaar te koppelen. Mozilla stelt dat het blokkeren van deze trackers ervoor kan zorgen dat websites niet goed meer werken. Met name bij websites die third-party content integreren. Mozilla heeft daarom heuristiek toegevoegd zodat Firefox gedurende een bepaalde tijd en onder bepaalde omstandigheden opslagtoegang kan geven. Ook wordt er gekeken naar andere manieren om met zogeheten cross-origin content om te gaan. Daarnaast kunnen gebruikers de trackingbescherming per website uitschakelen. Firefox zal echter alleen toegang per website verstrekken en alleen toegang tot embedded content bieden waarmee de gebruiker interactie heeft. De optie wordt optioneel in Firefox 63 aangeboden via het "Privacy & Security" menu, maar Mozilla is van plan om die in Firefox 65 standaard in te schakelen. Deze versie staat gepland voor 29 januari volgend jaar. Firefox 63 is te downloaden via de automatische updatefunctie en Mozilla.org. bron: security.nl

Het National Cyber Security Centre (NCSC) van de Britse overheid heeft de afgelopen 12 maanden ruim 152.000 phishingsites offline laten halen, zo laat de organisatie in het jaaroverzicht van 2018 weten (pdf). Het Britse NCSC bestaat inmiddels twee jaar, maar in het vorige jaaroverzicht werd geen melding gemaakt van uit de lucht gehaalde phishingsites. Van de ruim 152.000 phishingsites die het afgelopen jaar offline werden gehaald, werden er ruim 138.000 in Groot-Brittannië gehost. De overige 14.000 phishingsites bevonden zich in de rest van de wereld. De tijd dat phishingsites die zich als de Britse overheid voordeden online staan, nam af van gemiddeld 42 uur naar 10 uur. Gedurende de afgelopen periode is het aantal phishingsites wel afgenomen, wat volgens het NCSC suggereert dat criminelen zich minder vaak voordoen als Britse overheidsinstanties en minder phishingsites in Groot-Brittannië hosten. Verder heeft het NCSC vorig jaar met securitybedrijf Netcraft samengewerkt om phishingsites offline te laten halen en werden e-mailproviders gewaarschuwd die werden gebruikt voor het versturen van besmette e-mails die van de Britse overheid afkomstig leken. bron: security.nl

Mozilla zal vandaag een test starten waarbij bepaalde Amerikaanse Firefox-gebruikers in bepaalde gevallen een aanbeveling voor de vpn-dienst van ProtonVPN te zien krijgen. Een virtual private network (vpn) zorgt ervoor dat het verkeer van gebruikers via een beveiligde tunnel loopt. Daardoor kunnen bijvoorbeeld internetproviders niet zien welke websites hun abonnees bezoeken en is het mogelijk om bepaalde websites die in een land worden geblokkeerd toch te bezoeken. Ook biedt een vpn bescherming op een openbaar wifi-netwerk. De Opera-browser beschikt over een ingebouwde vpn-optie. In plaats van zelf een vpn-dienst op te zetten heeft Mozilla ervoor gekozen om met ProtonVPN samen te werken. Het Zwitserse ProtonVPN biedt zowel gratis als betaalde vpn-diensten. Firefox-gebruikers krijgen echter een aanbeveling voor de betaalde versie van 10 dollar per maand te zien. Volgens webontwikkelaar Soeren Hentzschel, die de vpn-test ontdekte, zal Mozilla een deel van dit bedrag ontvangen. Verdere details zijn nog onbekend, aangezien Mozilla zelf nog niets over het vpn-plan bekend heeft gemaakt. bron: security.nl

Supermicro is een onderzoek gestart naar vermeende malafide chips die op moederborden van de computerfabrikant aanwezig zouden zijn, zoals onlangs door Bloomberg werd beweerd. In een brief aan klanten verklaart Supermicro nogmaals dat het verhaal van Bloomberg niet klopt. "We zijn vol vertrouwen dat een recent artikel, waarin wordt geclaimd dat een kwaadaardige chip tijdens het fabricageproces aan onze moederborden is toegevoegd, niet klopt. Van alles dat we weten en hebben gezien is er geen kwaadaardige chip tijdens de fabricage van onze moederborden toegevoegd", aldus de brief van Supermicro. Het bedrijf stelt vervolgens dat klanten zullen begrijpen dat het lastig is om te bewijzen dat iets niet heeft plaatsgevonden, ook al hebben de Bloomberg-journalisten geen moederborden met een dergelijke aangepaste chip laten zien. Ook is Supermicro niet door overheidsinstanties ingelicht over het bestaan van ongeautoriseerde chips. Om de claims in het Bloomberg-artikel te weerleggen is er een verder onderzoek ingesteld. "Ongeacht dat het bewijs voor het bestaan van malafide chips ontbreekt, zijn we bezig met een complex en tijdsintensief onderzoek om het artikel te weerleggen", zo stelt Supermicro. De computerfabrikant merkt op dat dat het ontwerp van de moederborden zeer complex is, waardoor het praktisch bijna onmogelijk is om een functioneel, ongeautoriseerd onderdeel toe te voegen zonder dat dit wordt opgemerkt. "Het complexe ontwerp van de onderliggende lagen van het moederbord maken het ook zeer onwaarschijnlijk dat een ongeautoriseerd hardware-onderdeel, of een aangepast moederbord, goed zouden functioneren." Afsluitend noemt Supermicro verschillende andere redenen waarom de beschuldigingen niet kloppen en wijst ook naar andere partijen die het verhaal ontkennen. bron: security.nl

Microsoft heeft een belangrijk beveiligingslek gedicht in de desktopsoftware van het zakelijke sociale netwerk Yammer. Via Yammer kunnen organisaties een eigen besloten sociaal netwerk opzetten. Het kent zowel een mobiele applicatie als een programma voor de desktop. Een kwetsbaarheid in deze desktopversie maakte het mogelijk voor een aanvaller om op afstand willekeurige code op het systeem van de gebruiker uit te voeren als die een kwaadaardige link opende. Microsoft heeft de kwetsbaarheid opgelost door het laden van willekeurige content in de desktopapplicatie niet meer toe te staan. Gebruikers krijgen het advies om te updaten naar Yammer 2.0.0. bron: security.nl