Captain Kirk

Mozilla-engineer April King heeft een extensie voor Firefox ontwikkeld waarmee gebruikers gedetailleerde informatie over tls-certificaten kunnen opvragen. Websites gebruiken tls-certificaten om zich tegenover bezoekers te identificeren en het aanbieden van een beveiligde verbinding. Firefox geeft standaard al allerlei informatie over het tls-certificaat van een website weer. De "Certainly Something" extensie laat via een gebruiksvriendelijke interface echter veel meer details zien. De extensie maakt gebruik van een programmeerinterface (API) die in Firefox 62 en nieuwer beschikbaar is. Firefox 62 staat gepland voor 5 september, hoewel er al wel testversies van de browser zijn te proberen. bron: security.nl

Google heeft na twee jaar een nieuwe versie van de open source crypto-library Tink gelanceerd, die onder andere wordt gebruikt om data van Google Pay en Google Assistant te beveiligen. Tink kan door softwareontwikkelaars worden gebruikt om bijvoorbeeld gegevens te versleutelen. Het ondersteunt meerdere platformen en is gebouwd op bestaande libraries zoals BoringSSL en Java Cryptography Architecture. Google stelt dat Tink over allerlei maatregelen beschikt om kwetsbaarheden in deze libraries tegen te gaan. Het doel van de crypto-library is voornamelijk om zoveel mogelijk misbruik te voorkomen waardoor bijvoorbeeld datalekken in een applicatie kunnen ontstaan of gegevens niet veilig worden opgeslagen. Tink is al enige tijd beschikbaar op GitHub. De nu gelanceerde versie 1.2.0 is de eerste versie die cloud, Android, iOS en andere platformen ondersteunt. bron: security.nl

Securitybedrijf Acros Security heeft een onofficiële patch ontwikkeld die Windows-gebruikers moet beschermen tegen een nieuwe kwetsbaarheid die deze week openbaar werd gemaakt. Via het beveiligingslek kan een lokale gebruiker zijn rechten verhogen en systeemrechten krijgen. De onderzoeker die de kwetsbaarheid ontdekte besloot Microsoft niet van tevoren te informeren, waardoor er nog geen beveiligingsupdate beschikbaar is. Om gebruikers te beschermen heeft Acros Security in afwachting van een officiële Windows-update een eigen "zero patch" ontwikkeld. Een zero patch is code die aan draaiende processen wordt toegevoegd en ervoor zorgt dat het kwetsbare onderdeel niet benaderd kan worden. Het is bij een zero patch niet nodig om het systeem te herstarten en bij het verschijnen van de officiële beveiligingsupdate van Microsoft zal de zero patch automatisch niet meer worden toegepast. Zero patch maakt een hash van het kwetsbare dll-bestand. Nadat Microsoft dit bestand heeft gepatcht komt de hash niet meer overeen en wordt zodoende de zero patch niet meer toegepast. Om de micropatch te installeren moet wel de gratis 0patch Agent-software op het systeem draaien. Acros Security heeft daarnaast de broncode van de patch vrijgegeven, die uit slechts vier instructies bestaat. De patch is beschikbaar voor Windows 10 en Server 2016. bron: security.nl

De afgelopen maanden zijn verschillende beveiligingsmaatregelen voor de Spectre- en Meltdown-aanvallen verschenen, alsmede voor varianten zoals L1 Terminal Fault (L1TF)/Foreshadow. De aanvallen maken gebruik van de technieken die processors toepassen om de prestaties te verbeteren. De beveiligingsmaatregelen die chipfabrikanten en ontwikkelaars van besturingssystemen ontwikkelden hebben in veel gevallen dan ook een impact op de systeemprestaties. Website Phoronix wilde zien wat de gevolgen van de recente mitigaties zijn voor systemen met Linux-kernel 4.19. Vervolgens werden de systeemprestaties van een kernel zonder beveiligingsmaatregelen vergeleken met die van een kernel die wel tegen Spectre, Meltdown en Foreshadow bescherming biedt. De testsystemen waren zowel met een AMD- als Intel-processor uitgerust. Tijdens een benchmark waarbij de prestaties tijdens het compileren werden gemeten bleek de Linux-kernel met beveiligingsmaatregelen in combinatie met een Intel-processor 7 tot 16 procent langzamer te zijn. In het geval van AMD was de impact met 3 tot 4 procent veel minder groot. Tijdens de test met Hackbench, een benchmark en stresstest voor de Linux-kernelscheduler, moesten de Intel-processors zo'n 20 procent aan prestaties inleveren. Wederom was er bij AMD geen impact waarneembaar. Bij een andere test werd gewerkt met een PostgreSQL-databaseserver, waarbij de impact direct aan reële situaties is te koppelen. De Intel-processors met een beveiligde Linux-kernel leveren zo'n 7 tot 5 procent in. Ook bij deze tests is de impact op de AMD-systemen verwaarloosbaar. De test met de NGINX-webserver liet bij het Intel Xeon-systeem een 20 procent impact zien. Ook bij het tekenprogramma GIMP zorgen de beveiligingsmaatregelen tegen Spectre en Meltdown voor prestatieverlies. Intel-processors moeten 5 tot 10 procent van de prestaties inleveren, tegenover 0 tot 2 procent bij de AMD-systemen. De tests waren vooral op serversystemen gericht, maar Phoronix overweegt ook meer desktopgerelateerde tests uit te voeren als hier belangstelling voor is. bron: security.nl

Het effect van online tracking op de privacy van mensen en laadtijd van websites is zo groot dat Mozilla heeft besloten dat Firefox standaard trackers gaat blokkeren. De browserontwikkelaar wijst naar een onderzoek van Ghostery dat 55,4 procent van de tijd om een website te laden wordt besteed aan het laden van third-party trackers. Daarnaast zorgen trackers er ook voor dat mensen over het gehele web worden gevolgd. Mozilla wil dit tegengaan door trackers standaard te blokkeren en gebruikers meer keuze te geven in welke informatie ze met websites delen. Een vroege testversie van Firefox 63 bevat een optie die ervoor zorgt dat automatisch alle trackers worden geblokkeerd die het laden van een website vertragen. In september zal deze feature worden getest en wanneer de resultaten positief zijn zal Firefox 63 straks standaard dergelijke trackers blokkeren. Firefox gaat er daarnaast ook voor zorgen dat third-party trackingcontent geen toegang meer tot de lokale opslag krijgt en dat cookies van dergelijke trackers worden gestript. Deze privacymaatregel zal naar verwachting in Firefox 65 verschijnen. Een andere praktijk waar Mozilla de strijd mee aangaat is het gebruik van fingerprinting. Via fingerprinting is het mogelijk om gebruikers aan de hand van de kenmerken van hun apparaat te identificeren. Andere websites maken daarnaast gebruik van cryptominers die de computers van gebruikers naar cryptovaluta laten delven. Volgens Mozilla zorgt dit ervoor dat het web een vijandige plek wordt en zal Firefox daarom ook dit soort zaken standaard gaan blokkeren. Welke Firefox-versie fingerprinting en cryptomining gaat blokkeren is nog niet bekendgemaakt. Verschillende van de maatregelen zijn nu al in Firefox Nightly in te schakelen. bron: security.nl

Google heeft de eigen Titan-beveiligingssleutel voor eindgebruikers in de Verenigde Staten beschikbaar gemaakt. De sleutel fungeert als een tweede factor tijdens het inloggen en biedt volgens de internetgigant de beste bescherming tegen phishing. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Daarnaast werkt de beveiligingssleutel alleen op de website waarvoor de geregistreerd is. Beveiligingssleutels maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Google stelt dat de Titan-beveiligingssleutel zo ontworpen is dat die tijdens de gehele levenscyclus, zowel tijdens de productie als het gebruik, tegen aanvallen is beschermd. De firmware die de cryptografische operaties uitvoert wordt tijdens de productie in een beveiligde hardwarechip verwerkt. Deze chip is zo ontwikkeld dat die fysieke aanvallen moet weerstaan waarbij wordt geprobeerd om de firmware en de geheime sleutels te achterhalen. Deze beveiligde chips worden vervolgens geleverd aan de productielijn die de fysieke beveiligingssleutel maakt. De Titan-beveiligingssleutel werkt vanzelfsprekend met Google-accounts, maar is ook voor andere websites te gebruiken zoals Facebook, Twitter, GitHub en Dropbox. Vorige maand waren de beveiligingssleutels al beschikbaar voor Google Cloud-klanten en nu zijn die ook voor eindgebruikers in de Verenigde Staten verkrijgbaar. De Titan Security Key Bundle bestaat uit een usb-beveiligingssleutel en een bluetooth-beveiligingssleutel, alsmede een usb-c naar usb-a -adapter en een usb-c naar usb-a-verbindingskabel. De kosten bedragen in totaal 50 dollar. Google zegt dat de Titan-beveiligingssleutel binnenkort ook in andere gebieden te koop zal zijn. bron: security.nl

In oktober zal Firefox bij alle websites die van een Symantec-certificaat gebruikmaken een waarschuwing laten zien en Mozilla heeft nu besloten om deze waarschuwing te verduidelijken. Websites gebruiken de certificaten van Symantec voor het aanbieden van een beveiligde verbinding. Vanwege verschillende incidenten heeft Mozilla besloten om het vertrouwen in de certificaten van Symantec op te zeggen. Dit vindt gefaseerd plaats, waarbij eerst alle Symantec-certificaten die voor 1 juli 2016 zijn uitgegeven niet meer worden vertrouwd. Dat is nu al het geval in Chrome, Firefox en Safari. Met de lancering van Firefox 63 in oktober van dit jaar wordt het vertrouwen in alle certificaten van Symantec opgezegd, ongeacht uitgiftedatum. Vorige maand liet Mozilla nog weten dat 35.000 van de 1 miljoen populairste websites op internet nog steeds van een Symantec-certificaat gebruikmaken. Zodra Firefox-gebruikers straks een website met een Symantec-certificaat bezoeken verschijnt er eerst een waarschuwing. Daarin staat dat als men besluit om de website toch te bezoeken aanvallers informatie zoals wachtwoorden, e-mails of creditcardgegevens kunnen stelen. Vervolgens wordt uitgelegd dat certificaten door certificaatautoriteiten worden uitgegeven en de meeste browsers Symantec niet langer meer als certificaatautoriteit vertrouwen. Gebruikers hebben echter nog wel de mogelijkheid om de website te bezoeken. De nieuwe waarschuwing is nu in Firefox Nightly, een vroege testversie van de browser, te zien. bron: security.nl

Duizenden 3d-printers zijn zonder wachtwoord toegankelijk via het internet en kunnen bijvoorbeeld opdrachten krijgen om voorwerpen te printen. Dat laat Xavier Mertens weten, handler bij het Internet Storm Center (ISC). Mertens vond ruim 3700 OctoPrint-interfaces waarvoor geen enkele authenticatie is vereist. OctoPrint is een webinterface voor het bedienen en monitoren van 3d-printers. Via de interface is het mogelijk om 3d-objecten in de printer te laden. Doordat de printers zonder wachtwoord toegankelijk zijn zou een aanvaller bijvoorbeeld ingeladen ontwerpen via de interface kunnen achterhalen. Een andere mogelijkheid is het printen van een 3d-object. Mertens wijst naar verhalen waarbij goedkope 3d-printers in brand vlogen. Een andere mogelijkheid is dat een aanvaller een ontwerp dat door de printer is geladen downloadt, aanpast en vervolgens weer uploadt. Op deze manier zou de printer een voorwerp printen dat bijvoorbeeld minder veilig is. Verder biedt OctoPrint een monitoringfeature die van een embedded webcam gebruikmaakt. Op deze manier kan een aanvaller kijken wat het slachtoffer aan het doen is. De handleiding van OctoPrint adviseert gebruikers die de webinterface via internet toegankelijk maken om altijd de toegangscontrole in te schakelen. De meeste webinterfaces die Mertens ontdekte bevinden zich in de Verenigde Staten, gevolgd door Duitsland en Frankrijk. bron: security.nl

Google is onder vuur komen te liggen vanwege advertenties voor ddos-diensten die de internetgigant op de eigen zoekmachine laat zien. Richard Clayton, directeur van het Cambridge Cybercrime Centre van de Universiteit van Cambridge, ontdekte de advertenties voor zogenaamde "booters" en "stressers". De websites voeren tegen betaling ddos-diensten uit tegen websites. Zodoende kunnen ook personen met weinig technische kennis websites uit de lucht halen. Volgens de Britse politie worden dergelijke diensten vaak verborgen achter "een zweem van authenticiteit", waarbij wordt geclaimd dat het een legitieme toepassing heeft om de bestendigheid van servers te testen. In werkelijkheid zijn het echter cybercriminelen die er gebruik van maken. De afgelopen jaren hebben opsporingsinstanties verschillende operaties tegen ddos-diensten uitgevoerd en zijn ook gebruikers van deze diensten opgepakt. Clayton was dan ook verbaasd dat Google advertenties voor booters en stressers bij de eigen zoekmachine laat zien. Hij besloot een klacht over de advertentie in te dienen, maar dat leverde niets op. Pas toen Clayton een Google-medewerker persoonlijk benaderde verdween de advertentie. Een paar dagen later verscheen er echter weer een andere advertentie voor een ddos-dienst. Dit keer leverde het indienden van een klacht en het benaderen van de Google-medewerker niets op, waardoor de advertentie nog steeds wordt getoond. "Het lijkt erop dat voor Google inkomsten belangrijker zijn dan het handhaven van beleid", aldus Clayton. bron: security.nl

Windows 10 gaat het inloggen via een Google-account ondersteunen, zo stelt de website Chrome Story op basis van een nieuw Chromium-project. Via het project krijgt Google Chrome ondersteuning voor de credential providers-feature in Windows 10. Credential providers laten gebruikers inloggen op Windows 10, bijvoorbeeld via een wachtwoord of het gebruik van biometrische kenmerken. Het is voor third-party ontwikkelaars mogelijk om een eigen credential provider te ontwikkelen en die binnen Windows te registreren. Vervolgens kunnen Windows-gebruikers via het authenticatieproces van deze derde partij inloggen. Google is waarschijnlijk van plan om Chrome als een credential manager voor Windows 10 te registreren. De nu verschenen code lijkt te suggereren dat gebruikers via hun G Suite-account op het besturingssysteem kunnen inloggen. Mogelijk dat ook het gebruik van normale Google-accounts wordt ondersteund. Volgens de website Bleeping Computer kan Google op deze manier verder de zakelijke markt binnendringen door Windows 10 direct binnen hun G Suite-platform te integreren. Het project bevindt zich nog in beginfase. Het is dan ook onduidelijk of en wanneer gebruikers er gebruik van kunnen maken. bron: security.nl

Een ernstig beveiligingslek in Apache Struts waarvoor vorige week een update verscheen wordt nu actief aangevallen en gebruikt voor het infecteren van kwetsbare servers met een cryptominer. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties. Tenminste 65 procent van de Fortune 100-bedrijven maakt gebruikt van webapplicaties die via Apache Struts zijn gemaakt. Op 22 augustus verscheen er een beveiligingsupdate van de Apache Foundation voor de kwetsbaarheid. Via het beveiligingslek kan een aanvaller kwetsbare servers overnemen. Een dag na het verschijnen van de update publiceerde een onderzoeker een proof-of-concept-exploit die van de kwetsbaarheid misbruik maakt. Inmiddels is de exploit door cybercriminelen gebruikt om kwetsbare systemen aan te vallen en infecteren, zo meldt securitybedrijf Volexity. Wanneer de exploit succesvol is wordt de CNRig Miner geïnstalleerd, die het systeem naar cryptovaluta laat delven. In het verleden is het vaker voorgekomen dat net gepatchte Apache Struts-lekken het doelwit van aanvallen werden. Beheerders krijgen dan ook het advies om de update zo snel als mogelijk te installeren. bron: security.nl

Er is een nieuwe versie van de populaire adblocker Adblock Plus verschenen die over een filter tegen anti-adblockers beschikt. Volgens Tom Woolford van Eyeo, de ontwikkelaar van Adblock Plus, maken steeds meer websites gebruik van technologie om adblockers te blokkeren. Via de technologie worden adblockers omzeild en krijgen gebruikers toch advertenties te zien. "Nu het gevecht tegen anti-adblockbedrijven elke dag heftiger wordt, gaat Adblock Plus dit tegen door anti-adblockers uit te schakelen", aldus Woolford. De nieuwste Adblock Plus-versie is voorzien van een "anti-circumvention" filterlijst. Deze lijst detecteert en blokkeert advertenties die juist ontwikkeld zijn om adblockers te omzeilen. Het filter wordt door Adblock Plus zelf beheerd en wordt omschreven als een aanvulling op al bestaande filterlijsten. Adblock Plus versie 3.3 is beschikbaar voor Chrome, Firefox en Opera. bron: security.nl

Adobe heeft een noodpatch uitgebracht voor een beveiligingslek in de Creative Cloud-desktopapplicatie waardoor een aanvaller zijn rechten op het systeem kan verhogen. Een proof-of-concept-exploit die van de kwetsbaarheid misbruik maakt was al voor het uitkomen van de Adobe-update beschikbaar. Creative Cloud is een verzameling van Adobe-applicaties die in abonnementsvorm wordt aangeboden. Normaliter komt Adobe elke tweede dinsdag van de maand met updates voor kwetsbaarheden in de eigen software. In dit geval is besloten om buiten de patchcyclus om met een update te komen. Gebruikers van de Creative Cloud-desktopapplicatie krijgen het advies om naar versie 4.6.1 te upgraden, wat kan via het download center. Adobe adviseert gebruikers om de update spoedig te installeren, waarbij als voorbeeld binnen 30 dagen wordt gegeven. bron: security.nl

Onderzoekers van de Universiteit van Texas hebben laten zien hoe smartlampen door malware gebruikt kunnen worden om data van besmette systemen zoals computers en smartphones te versturen. Ook is het mogelijk om via smartlampen de muziek- en filmvoorkeuren van gebruikers te achterhalen (pdf). De afgelopen jaren zijn smartlampen steeds populairder geworden. De lampen zijn vaak op afstand te bedienen via wifi, Bluetooth of een Zigbee-netwerk. Daarnaast kunnen de lampen over infraroodmogelijkheden beschikken en ondersteunen ze een feature genaamd multimedia-visualisatie. De onderzoekers maakten van deze eigenschappen gebruik om drie soorten aanvallen te ontwikkelen. De eerste twee aanvallen richten zich op het op passieve wijze achterhalen van de muziek- en filmvoorkeuren van de gebruiker. Hiervoor wordt er gebruik gemaakt van multimedia-visualisatie. Smartlampen gebruiken deze feature om de lichtkleur aan te passen aan de muziek die de gebruiker aan het luisteren is of de video die bekeken wordt. Een aanvaller die zicht op de lampen heeft kan zo de muziek- en videovoorkeuren van de gebruiker achterhalen. Bij een test met 100 muzieknummers lukte het de onderzoekers om 51 nummers te achterhalen en in 82 gevallen werd het muziekgenre succesvol vastgesteld. Ook bij films lukte het de onderzoekers aan de hand van de lichtveranderingen van de smartlamp om te bepalen waar de gebruiker naar kijkt. Malware Voor de derde aanval werd gekeken hoe smartlampen zijn te gebruiken om data te versturen van computers of smartphones die met malware besmet zijn geraakt en bijvoorbeeld niet over een internetverbinding beschikken. Hiervoor maakten de onderzoekers gebruik van de infraroodmogelijkheden van de smartlamp. Malware op bijvoorbeeld de smartphone kan verzamelde data encoderen en via het infraroodlicht versturen. Het voordeel hiervan is dat het menselijke oog geen infrarood waarneemt, waardoor dit "covert channel" langer onopgemerkt blijft. De onderzoekers stellen dat de maximale bandbreedte voor de dataoverdracht 32 bits per seconde bedraagt. De aanval is mogelijk op zogeheten hubloze smartlampen, zoals LIFX, door het ontbreken van permissie-instellingen voor het bedienen van de lichten binnen het lokale netwerk. De aanval is ook mogelijk in het geval van smartlampen die via een hub verbinding maken, maar dan alleen als de hub niet over permissie-instellingen beschikt. De Philips Hue beschikt wel over dergelijke 'permission controls' en is dan ook niet te gebruiken voor deze aanval. Daarnaast biedt de Hue geen smartlampen die over infraroodmogelijkheden beschikken. Gordijnen Om dergelijke aanvallen te voorkomen hebben eigenaren van een smartlamp verschillende mogelijkheden, zoals het gebruik van gordijnen of raamfolie. Ook kan de maximale helderheid van de lampen worden beperkt. Verder kunnen er netwerkregels worden opgesteld zodat computers en smartphones de smartlampen niet via een ip-netwerk kunnen bedienen. bron: security.nl

Het Oostenrijkse testlab AV-Comparatives heeft uitgehaald naar anti-virustests door YouTubers, die niet met de werkelijkheid overeen zouden komen. De resultaten van anti-virustests die op YouTube zijn te zien verschillen vaak van de testresultaten van testlabs zoals AV-Comparatives of AV-Test. Door YouTubers geteste anti-viruspakketten presteren vaak veel slechter dan de tests van verschillende testlabs laten zien. Volgens het Oostenrijkse testlab komt dit doordat YouTubers met een kleinere verzameling malware-exemplaren werken en alleen maar toegang tot publiek beschikbare malwareverzamelingen hebben. Ook baseren de testers zich vaak op resultaten van VirusTotal.com. Dit is een gratis dienst van Google om verdachte bestanden door de engines van zo'n 60 anti-viruspakketten te laten scannen. Virusscanners die aan VirusTotal deelnemen scannen door gebruikers geüploade bestanden alleen met hun on-demand scanner. Andere features en onderdelen voor het detecteren van malware worden niet gebruikt. Daardoor bestaat de mogelijkheid dat het malware-exemplaar door een scanner op VirusTotal wordt gemist, terwijl de geïnstalleerde virusscanner op het systeem van een gebruiker de malware wel detecteert. Ook de manier waarop YouTubers testen laat te wensen, waardoor er onjuiste resultaten worden gemeld, aldus AV-Comparatives. Daarnaast stelt het testlab dat veel YouTubers de resultaten van hun tests verkeerd interpreteren omdat ze over onvoldoende middelen beschikken om te controleren of de malware het systeem echt infecteerde. "De meeste YouTube-tests eindigen met een blockpercentage van het geteste anti-virusproduct, wat veel lager kan zijn dan de score die hetzelfde product in een professionele test haalt. Met vergezochte conclusies gebaseerd op beperkte testmethodes en zonder een representatieve en gebalanceerde malwareverzameling, hoeven de resultaten van YouTubers niet overeen te komen met de echte bescherming van een virusscanner", concludeert AV-Comparatives. Gebruikers die een virusscanner zoeken krijgen dan ook het advies om meerdere tests te lezen en eerst een probeerversie te installeren. bron: security.nl

517 miljoen gestolen wachtwoorden die eerder dit jaar als dataset online werden aangeboden zijn nu ook als NTLM-hashes beschikbaar. De wachtwoordhashes zijn van allerlei gehackte websites en datalekken afkomstig en werden door beveiligingsonderzoeker Troy Hunt verzameld. Hunt is de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. De beveiligingsonderzoeker besloot in februari van dit jaar 517 miljoen gehashte wachtwoorden voor iedereen beschikbaar te maken. Op deze manier kunnen websites gebruikers waarschuwen als ze een wachtwoord gebruiken dat in de dataset voorkomt. Dit wordt onder andere door GitHub en de Python Package Index gedaan. Hunt kreeg het verzoek om de dataset met wachtwoordhashes ook als NTLM-hashes aan te bieden. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. Door de 517 miljoen gestolen wachtwoorden als NTLM-hashes beschikbaar te maken kunnen Active Directory-beheerders kijken of die hashes met de wachtwoordhashes in hun AD-omgeving overeenkomen. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. bron: security.nl

Ontwikkelaar van OCR-software Abbyy heeft door een onbeveiligde MongoDB-database meer dan 200.000 klantdocumenten gelekt, zoals gescande contracten, memo's en brieven. Dat meldt beveiligingsonderzoeker Bob Diachenko die de database via de zoekmachine Shodan ontdekte. Abbyy biedt optical character recognition (OCR)-software voor het omzetten van papieren documenten naar digitale bestanden. Op 19 augustus vond Diachenko een MongoDB-database die niet met een wachtwoord en login beveiligd was. Zodoende had elke internetgebruiker toegang tot de 142 gigabyte grote database kunnen krijgen. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. De database die Diachenko aantrof bleek allerlei gescande documenten te bevatten die door Abbyy-partners via de beheerdersconsole van het bedrijf waren opgeslagen. Het ging om meer dan 200.000 geheimhoudingsovereenkomsten, memo's, brieven en andere interne documenten die waren gedigitaliseerd. De onderzoeker waarschuwde Abbyy, waarna de database offline werd gehaald. Tegenover TechCrunch laat Abbyy weten dat één klant door het datalek is getroffen. bron: security.nl

Een meerderheid van de aangiften over cybercrime die in België worden gedaan leidt tot niets, zo blijkt uit cijfers die N-VA-Kamerlid Goedele Uyttersprot opvroeg en met De Tijd deelde. Tussen januari 2016 en augustus vorig jaar ontvingen de Belgische parketten bijna 35.000 klachten over cybercrime. Het gaat dan om infecties door ransomware, oplichting door phishingmails en andere zaken. Ruim 22.000 van de klachten kregen geen gevolg (64 procent), wat inhoudt dat ruim 13.500 slachtoffers van internetfraude geen gerechtigheid kregen. Op het moment dat de cijfers werden verstrekt waren ruim 5700 klachten nog in "vooronderzoek" bij de parketten en waren 661 klachten nog in een "gerechtelijk onderzoek" bij een onderzoeksrechter. Ook deze zaken kunnen alsnog tot niets leiden. 2,5 procent van de ontvangen klachten leverde uiteindelijk een dagvaarding voor de strafrechter op. De voornaamste reden dat de parketten een zaak laten vallen is omdat de daders onbekend zijn en een onderzoek zeer waarschijnlijk geen verdachte zal opleveren. Ook worden veel zaken geseponeerd omdat andere dossiers voorrang krijgen. Uyttersprot laat weten dat het werkelijke probleem veel groter is, aangezien niet alle cybercrimedelicten in de cijfers zijn opgenomen. bron: security.nl

Er is een nieuw beveiligingslek in Windows ontdekt waardoor een lokale gebruiker systeemrechten kan krijgen en een beveiligingsupdate van Microsoft is nog niet voorhanden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De kwetsbaarheid bevindt zich in de Advanced Local Procedure Call (ALPC) interface van de Windows Taakplanner. Via het beveiligingslek kan een lokale gebruiker zijn rechten verhogen tot die van SYSTEM. De kwetsbaarheid werd door een Twitter-gebruiker genaamd SandboxEscaper in een tweet openbaar gemaakt. Volgens het CERT/CC is er nog geen praktische oplossing voor het probleem voorhanden. bron: security.nl

Fortnite-ontwikkelaar hekelt Google over publicatie lek De ontwikkelaar van het populaire spel Fortnite heeft uitgehaald naar Google wegens het openbaar maken van een beveiligingslek in het installatieprogramma van Fortnite voor Android. Fortnite is één van de populairste games van het moment met 125 miljoen spelers wereldwijd. Onlangs verscheen de versie voor het Androidplatform. Deze versie wordt echter niet via Google Play aangeboden, maar via een installatieprogramma dat spelontwikkelaar Epic Games zelf aanbiedt. Dit installatieprogramma downloadt en installeert het spel. Google maakte afgelopen vrijdag bekend dat er een kwetsbaarheid in het installatieprogramma aanwezig is dat een al kwaadaardige app op het Androidtoestel kan gebruiken om malware te installeren. Na te zijn ingelicht door Google kwam Epic Games met een update. "we hebben Google gevraagd om met het openbaar maken van de kwetsbaarheid te wachten totdat de update door meer gebruikers was geïnstalleerd. Dat hebben ze geweigerd, wat voor een onnodig risico voor Androidgebruikers zorgde om goedkope PR-punten te scoren", aldus Tim Sweeney, oprichter en directeur van Epic Games, op Twitter. Google informeerde Epic op 15 augustus. Twee dagen later was er een update beschikbaar om de kwetsbaarheid te verhelpen. Deze update wordt alleen geïnstalleerd als gebruikers het installatieprogramma starten of het spel spelen. Een week later maakte Google de kwetsbaarheid bekend, inclusief technische details. Epic Games had gevraagd om 90 dagen met de openbaarmaking te wachten, maar dat verzoek werd geweigerd. Sweeney zegt dat hij Google dankbaar is voor het vinden en melden van de kwetsbaarheid. Hij heeft echter moeite met de snelle openbaarmaking van de technische details. "Dat doet niets anders dan hackers een kans geven om ongepatchte gebruikers aan te vallen", aldus Sweeney. Google zou echter de installatie van Fortnite op Android monitoren en hebben gezien dat er niet veel kwetsbare installatieprogramma's actief zijn. bron: security.nl

Onderzoekers van Google hebben in het installatieproces van het populaire spel Fortnite een beveiligingslek ontdekt waardoor kwaadaardige apps stilletjes malware hadden kunnen installeren. Fortnite heeft wereldwijd meer dan 125 miljoen spelers en onlangs verscheen er ook een Androidversie. De Android-versie wordt echter niet via Google Play aangeboden. Gebruikers moeten dan ook eerst een belangrijke beveiligingsmaatregel uitschakelen om het spel te kunnen installeren. De installer-app van Fortnite downloadt en installeert uiteindelijk het gehele spel. De eerste versie van dit installatieprogramma bevatte echter een kwetsbaarheid. Hierdoor had een kwaadaardige app die al op het systeem van de gebruiker geïnstalleerd stond een kwaadaardig APK-bestand via de Fortnite-installer kunnen laten installeren. In het geval van Samsung-toestellen zou de installatie van dit kwaadaardige APK-bestand zonder interactie of medeweten van de gebruiker hebben plaatsgevonden. De enige vereiste voor de al aanwezige kwaadaardige app was dat die over leespermissies voor de externe opslag moest beschikken. XDA laat weten dat alleen in het geval van Samsung-toestellen het kwaadaardige APK-bestand stilletjes in de achtergrond kon worden geïnstalleerd. Bij andere Android-toestellen zorgde de Fortnite-installer alleen voor een zogeheten "man-in-the-disk-aanval" en zou de installatie van de kwaadaardige app wel zichtbaar zijn geweest. Google informeerde spelontwikkelaar Epic op 15 augustus en binnen 2 dagen was er een update beschikbaar. Gebruikers krijgen het advies om de Fortnite-installer te updaten naar versie 2.1.0 of later, zo meldt Android Central. bron: security.nl

Microsoft heeft voor gebruikers van Windows 10 Intel-microcode-updates beschikbaar gemaakt die bescherming moeten bieden tegen een nieuw ontdekt beveiligingslek in processors van Intel. De kwetsbaarheid wordt L1 Terminal Fault (L1TF) of Foreshadow genoemd en kan een aanvaller toegang geven tot gevoelige data op personal computers en cloudsystemen. Op de dag dat de L1TF-kwetsbaarheid werd aangekondigd kwam Microsoft al met een beveiligingsupdate voor Windows. Om volledig beschermd te zijn, zijn er naast software-updates ook firmware/microcode-updates vereist. Intel heeft deze microcode-updates nu ontwikkeld en Microsoft heeft die voor Windows 10-gebruikers beschikbaar gemaakt. De softwaregigant laat weten dat de updates een impact op de systeemprestaties kunnen hebben, afhankelijk van de systeemconfiguratie. In het geval van de systemen voor eindgebruikers werd er nagenoeg geen merkbare impact waargenomen. In het geval van mensen die gebruikmaken van Virtualization Based Security (VBS) of versies van Hyper-V voor Windows Server 2016 is het mogelijk nodig om Hyper-Threading volledig uit te schakelen om tegen L1TF beschermd te zijn. Dit kan echter een grote impact op de systeemprestaties hebben. Windows Server 2016 biedt een optie om de Hyper-V Core Scheduler in te schakelen die de L1TF-aanvalsvector verhelpt, terwijl Hyper-Threading blijft ingeschakeld. Hierdoor is er volgens Microsoft een minimale impact op de prestaties. bron: security.nl

Een server van Facebook kon door een beveiligingslek worden overgenomen, zo laat Daniel Le Gall weten, de onderzoeker die het probleem ontdekte. Le Gall vond een Sentrydienst van Facebook. Sentry is een in Django geschreven webapplicatie voor het verzamelen van logs. De applicatie bleek echter instabiel te zijn in het geval van de wachtwoordresetfeature voor gebruikers die af en toe crashte. Daarnaast stond de Django-debugmode ingeschakeld die allerlei informatie vrijgaf. Op deze manier wist Le Gall informatie te achterhalen die hij kon gebruiken om via een aangepast cookie zijn eigen sessie te vervalsen en zo commando's en code op het systeem uit te voeren. De onderzoeker rapporteerde het probleem op 30 juli aan Facebook, waarna het op 9 augustus door de sociale netwerksite werd verholpen. Voor zijn melding ontving de onderzoeker een beloning van 5.000 dollar. Facebook stelde dat de kwetsbare server zich in een apart VLAN bevond en geen specifieke gegevens van gebruikers bevatte.

Mozilla gaat Firefox voorzien van een optie waardoor gebruikers trackers en andere third-party content kunnen blokkeren die een impact op de privacy en prestaties hebben. De browser beschikte al over een optie genaamd "Tracking Protection" waarmee online trackers zijn te blokkeren. Deze optie zal echter worden vervangen door "Content Blocking". Hiermee is het mogelijk om third-party content, zoals advertenties of code, te blokkeren die gebruikers op het web volgt en ervoor zorgt dat websites trager laden. Gebruikers kunnen ervoor kiezen om trackers en andere elementen te blokkeren die meer dan vijf seconden nodig hebben om te laden. Daarnaast kan worden ingesteld om alle bekende trackers te blokkeren. Mozilla merkt hierbij op dat dit er wel voor kan zorgen dat sommige pagina's niet meer laden. De optie is nu testen in de nieuwste versie van Firefox Nightly, wat een vroege testversie van de browser is. In het geval van de definitieve Firefox-versie, waar de meeste gebruikers mee werken, zal content blocking naar verwachting in Firefox 63 verschijnen. Deze versie staat gepland voor 23 oktober van dit jaar. bron: security.nl

Een softwarebedrijf dat spyware voor ouders en werkgevers ontwikkelt heeft de vertrouwelijke data van 2200 klanten gelekt. Het gaat om het bedrijf SpyFone, de ontwikkelaar van "eenvoudig te gebruiken monitoring" waarmee ouders hun kinderen in de gaten kunnen houden, zo meldt Vice Magazine. Ook richt het bedrijf zich op werkgevers, zodat die kunnen controleren of werknemers wel verantwoord omgaan met de zakelijke telefoon. Via de software is het mogelijk om gesprekken op te nemen, de locatie van de gebruiker te volgen, foto's te bekijken, berichten in chatapplicaties te lezen, bezochte websites te achterhalen en live met de gebruiker mee te kijken. Een bijbehorende analysetool kan pdf- of Excel-bestanden genereren waarmee er "gedetailleerd inzicht" kan worden verkregen in de activiteiten van het kind of de werknemer. Een beveiligingsonderzoeker ontdekte een onbeveiligde Amazon S3-bucket van SpyFone die voor iedereen op internet toegankelijk was. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens kunnen opslaan. De bucket bevatte volgens de onderzoeker "terabytes" aan data, waaronder selfies, sms-berichten, audio-opnamen, adresboeken, locaties, gehashte wachtwoorden, Facebookberichten en foto's van 2200 klanten. Deze klanten zouden bij elkaar bijna 3700 telefoons volgen. Verder bevatte de data ook 44.000 unieke e-mailadressen. Tevens bleken de backenddiensten van het bedrijf onbeveiligd te zijn. De onderzoeker kon zo zonder wachtwoord inloggen, zelf een beheerdersaccount aanmaken en allerlei klantgegevens bekijken. SpyFone heeft het datalek inmiddels bevestigd en zegt dat het een onderzoek is gestart. "We verwachten dat dit datalek de laatste zal zijn", aldus een woordvoerder van het bedrijf. bron: security.nl