Captain Kirk

Facebook gaat 4 miljoen gebruikers waarschuwen voor een app die hun gegevens deelde en mogelijk heeft misbruikt, zo heeft de sociale netwerksite zelf bekendgemaakt. Het gaat om de app myPersonality die voor 2012 actief was. De app deelde informatie van gebruikers met bedrijven en onderzoekers, terwijl er slechts "beperkte beveiligingsmaatregelen" aanwezig waren. "Als gevolg zullen we zo'n 4 miljoen mensen waarschuwen die ervoor kozen om hun Facebookgegevens met myPersonality te delen dat die mogelijk zijn misbruikt", aldus Ime Archibong van Facebook. Archibong zegt dat er geen aanwijzingen zijn dat myPersonality de informatie van vrienden van Facebookgebruikers heeft benaderd, zoals de app This is your digital life deed die centraal stond in het Cambridge Analytica-schandaal. Mocht echter blijken dat dit toch het geval was, zullen ook de getroffen vrienden worden geïnformeerd. MyPersonality is inmiddels van de sociale netwerksite verbannen. Facebook zegt dat het sinds het dataschandaal met Cambridge Analytica meer dan 400 apps wegens mogelijk datamisbruik heeft geschorst. bron: security.nl

Een beveiligingslek in OpenSSH maakt het mogelijk voor aanvallers om op afstand gebruikersnamen te achterhalen, waarmee mogelijk vervolgaanvallen zijn uit te voeren. "Dit beveiligingslek produceert geen lijst van geldige gebruikersnamen, maar maakt het mogelijk om gebruikersnamen te raden", zegt onderzoeker Didier Stevens van securitybedrijf Nviso. Door een misvormd public key authenticatiebericht naar een OpenSSH-server te sturen kan het bestaan van een bepaalde gebruikersnaam worden vastgesteld. Als de gebruiker niet bestaat zal er een bericht naar de client worden gestuurd dat de authenticatie is mislukt. Wanneer de gebruiker wel bestaat, zal het niet kunnen parsen van het bericht ervoor zorgen dat de communicatie wordt afgebroken. De verbinding wordt dan zonder het terugsturen van een bericht gesloten. Volgens Stevens doet de kwetsbaarheid zich voor omdat communicatie over het niet bestaan van een gebruikersnaam zich voordoet voordat het bericht volledig wordt verwerkt. De kwetsbaarheid werd via een commit op het ontwikkelaarsplatform GitHub openbaar gemaakt en proof-of-concept-exploits zijn beschikbaar. "Er zijn momenteel nog maar beperkt updates beschikbaar om deze kwetsbaarheid te verhelpen", aldus het Nationaal Cyber Security Centrum (NCSC). Voor Debian (Jessie) 8.0 is er een update beschikbaar gekomen. Stevens laat weten dat de kwetsbare authenticatiemechanismen van OpenSSH kunnen worden uitgeschakeld totdat er een patch beschikbaar en uitgerold is. bron: security.nl

Adobe heeft twee ernstige beveiligingslekken in Photoshop gepatcht waardoor een aanvaller in het ergste geval volledige controle over systemen had kunnen krijgen. De kwetsbaarheden zijn aanwezig in Photoshop CC 2017 versie 18.1.5 en eerder en Photoshop CC 2018 versie 19.1.5 en eerder. Wat een aanvaller precies moet doen om de kwetsbaarheden aan te vallen laat Adobe niet weten, maar eerdere ernstige beveiligingslekken in Photoshop konden via speciaal geprepareerde afbeeldingen worden aangevallen. Volgens Adobe is Photoshop historisch gezien geen doelwit voor aanvallers geweest. Systeembeheerders krijgen dan ook het advies om de update naar Photoshop CC 2017 versie 18.1.6 of Photoshop CC 2018 versie 19.1.6 uit te rollen als het hen uitkomt, wat via de ingebouwde updater kan worden gedaan. bron: security.nl

Een beveiligingslek in Ghostscript, populaire software voor het verwerken van PostScript en pdf-bestanden, maakt het mogelijk voor aanvallers om op afstand willekeurige commando's op webservers uit te voeren met de rechten van de Ghostscript-code en een beveiligingsupdate is nog niet voorhanden. Ghostscript wordt onder andere door ImageMagick gebruikt, een softwarebibliotheek voor het verwerken van afbeeldingen waar een groot aantal websites en progamma's gebruik van maakt. Ghostscript bevat een optionele beveiligingsoptie die onveilige PostScript-operaties moet tegengaan. Het is echter mogelijk om deze beveiligingsoptie te omzeilen waardoor een aanvaller willekeurige commando's met willekeurige argumenten kan uitvoeren. De kwetsbaarheid kan ook worden misbruikt in applicaties die van Ghostscript gebruikmaken, zoals ImageMagick. Google-onderzoeker Tavis Ormandy, die de kwetsbaarheid ontdekte, waarschuwt dat via het lek willekeurige bestanden gestolen kunnen worden van webservers die van ImageMagick gebruikmaken. Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) stelt dat het mogelijk is om via het beveiligingslek systemen over te nemen. Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit is er nog geen praktische oplossing voor de kwetsbaarheid beschikbaar. Websites die van ImageMagick gebruikmaken krijgen het advies om het verwerken van PS-, EPS-, PDF- en XPS-content, dat standaard via Ghostscript wordt gedaan, via het bestand policy.xml uit te schakelen. bron: security.nl

Facebook is begonnen met het beoordelen van de betrouwbaarheid van gebruikers. Via een reputatiescore die tussen de 0 en 1 ligt wordt voorspeld hoe betrouwbaar een gebruiker is. Dat laat de Washington Post weten. Het reputatiesysteem moet helpen bij tegengaan van nepnieuws. De sociale netwerksite biedt gebruikers de mogelijkheid om bijvoorbeeld onjuiste content te rapporteren. "Het is niet ongewoon dat mensen ons vertellen dat iets onjuist is omdat ze het niet eens zijn met het uitgangspunt van een verhaal of ze hebben het bewust op een bepaalde website voorzien", zegt Tessa Lyons, productmanager bij Facebook. Lyons merkt op dat reputatiescore geen absolute indicator van iemands geloofwaardigheid is. Ook wordt er geen enkele, uniforme reputatiescore aan gebruikers toegekend. De score is één meting van duizenden gedragsaanwijzingen waar Facebook naar kijkt bij het in kaart brengen van het risico. Facebook monitort ook welke gebruikers de neiging hebben om content van anderen als problematisch te signaleren en welke websites door gebruikers als betrouwbaar worden gezien. Het is echter onduidelijk welke andere criteria Facebook mee laat wegen bij het beoordelen van de score van gebruikers. Volgens Claire Wardle, directeur van First Draft, een onderzoekslab binnen de Harvard Kennedy School, is het geen fijn idee dat de manier waarop Facebook gebruikers beoordeelt onbekend is. Aan de andere kant kan de sociale netwerksite dit ook niet vertellen, omdat er anders misbruik van de algoritmes wordt gemaakt, aldus Wardle. bron: security.nl

Google waarschuwt Gmail-gebruikers duizenden keren per maand voor aanvallen die door een staat zijn gesteund of uitgevoerd. Het gaat dan met name om phishingaanvallen waarbij wordt geprobeerd om mensen op phishingsites te laten inloggen. Sinds 2012 laat Google een waarschuwing zien als het vermoedt dat gebruikers het doelwit zijn van door een staat gesponsorde aanvallers. De waarschuwingen worden ook getoond als Google de aanval heeft geblokkeerd. De internetgigant stelt dat het duizenden van dergelijke waarschuwingen per maand toont en dat de aanvallen van tientallen landen afkomstig zijn. Wanneer gebruikers een dergelijke waarschuwing krijgen is het belangrijk dat er direct actie wordt ondernomen, zegt Shane Huntley van Googles Threat Analysis Group. Zo wordt aangeraden om tweefactorauthenticatie in te stellen en mee te doen aan het Advanced Protection Programma van Google. Dit programma biedt extra bescherming voor accounts, onder andere door het inloggen met een usb-beveiligingssleutel te verplichten. bron: security.nl

Microsoft heeft via een gerechtelijk bevel zes domeinen van een hackergroep genaamd Fancy Bear uit de lucht laten halen en in bezit gekregen, zo heeft de softwaregigant zelf bekendgemaakt. Eén van de domeinen deed zich voor als een domeinnaam van het International Republican Institute, dat zich bezighoudt met het bevorderen van democratische principes en wordt geleid door een raad van bestuur die uit zes Republikeinse senatoren bestaat. Een ander domein lijkt op dat van het Hudson Institute, dat discussies organiseert over onder andere cybersecurity. Verder werd er een domein ontdekt dat naar de Amerikaanse Senaat refereert. Volgens Microsoft zijn er geen aanwijzingen dat de domeinen bij succesvolle aanvallen zijn ingezet voordat Microsoft er de controle over kreeg. Ook is onbekend wie het uiteindelijke doelwit was van mogelijke aanvallen waar deze domeinen bij betrokken zouden zijn. De afgelopen twee jaar heeft Microsoft via gerechtelijke bevelen 84 domeinen uit de lucht laten halen die van Fancy Bear zouden zijn. Volgens verschillende beveiligingsbedrijven is Fancy Bear, ook bekend als Pawn Storm, Strontium of APT28, een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. Eerder werden verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de Franse televisiezender TV5, de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, Europese hotels, het campagneteam van de Franse president Macron en vredesbeweging Pax door de groep aangevallen. bron: security.nl

In navolging van verschillende andere chatdiensten biedt nu ook Skype end-to-end versleutelde gesprekken. De optie staat echter niet standaard ingeschakeld. Begin dit jaar werd bekend dat Microsoft en Open Whisper Systems samenwerkten om end-to-end-encryptie aan Skype toe te voegen. Open Whisper Systems is de ontwikkelaar van het Signal Protocol, dat onder andere door WhatsApp en Signal worden gebruikt voor het end-to-end versleutelen van gesprekken. Hierdoor is de inhoud van een gesprek of bericht alleen toegankelijk voor de afzender en ontvanger. Om van de beveiligingsmaatregel in Skype gebruik te maken moeten gebruikers de optie "New Private Conversation" kiezen. De ontvanger ontvangt nu een uitnodiging. Zodra de ontvanger die accepteert worden alle gesprekken en berichten in die conversatie end-to-end versleuteld, totdat de gebruikers ermee stoppen. Een gebruiker kan op elk gegeven moment aan één versleuteld gesprek op één apparaat deelnemen. Het is mogelijk om het gesprek op een ander apparaat voort te zetten, maar de berichten die worden verstuurd en ontvangen zijn alleen beschikbaar op het apparaat dat op dat moment in gebruik is, zo meldt MSPoweruser. bron: security.nl

Onderzoekers van securitybedrijf EnSilo hebben tijdens de BSides Las Vegas-conferentie laten zien hoe de kernelbeveiliging van Windows is te omzeilen en een aanvaller hoge rechten op een systeem kan krijgen (pdf). De techniek werkt volgens de onderzoekers waarschijnlijk ook tegen Linux en macOS. Microsoft heeft verschillende beveiligingsmaatregelen aan de kernel toegevoegd die het lastiger moeten maken om een aanval uit te voeren. Onderzoekers Omri Misgav en Udi Yavo hebben echter een nieuwe manier gevonden waardoor een aanvaller die al toegang tot een systeem heeft de beveiligingsmaatregelen kan omzeilen om systeemrechten te krijgen, zo beschrijven ze in een blogposting. Om de beveiligingsmaatregelen te omzeilen en rechten te verhogen manipuleren de onderzoekers de zogeheten "page tables". Dit is een datastructuur die besturingssystemen gebruiken om het virtuele naar het fysieke geheugen te mappen. Door de page tables op een bepaalde manier te manipuleren is het mogelijk om gedeelde codepagina's aan te passen waarmee alle processen in het systeem kunnen worden beïnvloed. "De sleutel tot het succes van de techniek is het feit dat dezelfde code voor zowel lage als hoge processen op dezelfde plek in het RAM-geheugen is opgeslagen, in een poging om fysiek geheugen efficiënter te gebruiken", zegt onderzoeker Misgav. Door dit gedeelde geheugen te gebruiken kunnen de onderzoekers een proces met hogere rechten een kwaadaardige payload laten uitvoeren. Een groot verschil met deze techniek en eerdere onderzoeken is dat de techniek ook werkt als de Virtualization Based Security (VBS) van Windows staat ingeschakeld. De onderzoekers stellen dat ze Microsoft voor hun presentatie over de techniek hebben ingelicht. bron: security.nl

Er is een nieuwe testversie van Tor Browser verschenen die websites sneller zou moeten laden dankzij HTTP/2. Deze herziening van het HTTP-protocol moet ervoor zorgen dat browsers webpagina's efficiënter en sneller kunnen laden, mede door het comprimeren van HTTP-headers en multiplexing, waarbij er meerdere verzoeken over één tcp-verbinding worden verstuurd. HTTP/2 wordt al sinds begin 2015 in Firefox ondersteund. Tor Browser is op Firefox gebaseerd, maar HTTP/2 was nooit ingeschakeld. Dit kwam mede door het risico op het fingerprinten van gebruikers. De ontwikkelaars van Tor Browser hebben HTTP/2 geaudit en een patch ontwikkeld zodat het binnen de browser staat ingeschakeld. "Dit zou op allerlei websites voor prestatieverbeteringen moeten zorgen", zegt Nicolas Vigier van het Tor Project. Doordat Tor Browser het verkeer over meerdere servers laat lopen om de privacy en het ip-adres van gebruikers te beschermen kan dit invloed op de snelheid hebben waarmee websites worden geladen. Er is op de website van het Tor Project dan ook een aparte vermelding die uitlegt waarom het Tor-netwerk traag is. Mogelijk dat HTTP/2 ook bij Tor-gebruikers voor betere prestaties kan gaan zorgen. Verder beschikt Tor Browser 8.0a10 over een herziene startpagina en verschillende andere aanpassingen. Het gaat hier nog wel om een vroege testversie. bron: security.nl

Criminelen gebruiken meer dan 10.000 gehackte WordPress-sites om internetgebruikers naar besmette advertenties door te sturen en zo met malware te infecteren. Dat laat securitybedrijf Check Point vandaag weten. De gehackte WordPress-sites die voor deze "malvertising" campagne worden gebruikt draaien allemaal een kwetsbare versie van de WordPress-software en konden zo worden overgenomen. De websites worden vervolgens van een JavaScript-bestand voorzien dat bezoekers doorstuurt naar een bepaald ip-adres en server. Naast het gebruik van WordPress-sites zetten de criminelen ook "potentieel ongewenste software" (PUPs) in die internetgebruikers op hun computer hebben geïnstalleerd. De PUPs wijzigen de startpagina van de gebruiker zijn browser en laten die naar de eerder genoemde server wijzen. Het bezoekersverkeer dat de WordPress-sites en PUPs genereren wordt door de eigenaar van de server aangeboden aan het advertentienetwerk AdsTerra, aldus onderzoekers van Check Point. Dit advertentienetwerk is in het verleden ook al eens in verband gebracht met besmette advertenties. Het verkeer van de gehackte WordPress-sites en PUPs wordt door het advertentienetwerk doorgestuurd naar resellers, die het weer verkopen aan criminelen. Deze criminelen gebruiken het doorgestuurde verkeer om bezoekers een advertentiepagina met de Rig-exploitkit te laten laden. De Rig-exploitkit maakt gebruik van bekende kwetsbaarheden in Adobe Flash Player en Microsoft Internet Explorer. Wanneer internetgebruikers deze software niet up-to-date hebben en worden doorgestuurd naar een advertentie of pagina met de exploitkit kunnen ze zonder verdere interactie met ransomware, bankmalware en andere soorten malware besmet raken. "Vanwege de vaak complexe aard van malware-campagnes en het gebrek aan geavanceerde technologie om te controleren en voorkomen dat besmette advertenties op advertentienetwerken terechtkomen, is het waarschijnlijk dat malvertising de komende jaren een populaire manier voor cybercriminelen blijft om illegale inkomsten te genereren", aldus Richard Clayton van Check Point. bron: security.nl

Mozilla gaat in Firefox 63 een maatregel doorvoeren die het lastiger moet maken om updates te blokkeren. Op dit moment biedt Firefox drie opties als het om updates gaat. De eerste optie is dat update automatisch wordt geïnstalleerd. Dan is er nog de optie dat er automatisch op updates wordt gecontroleerd, maar dat de gebruiker bepaalt of ze worden geïnstalleerd. Als laatste kunnen gebruikers ervoor kiezen om nooit op updates te controleren. Volgens Mozilla is het eenvoudig om deze laatste optie in te stellen en te vergeten, waardoor Firefox geen updates meer ontvangt. "Wanneer deze optie staat ingeschakeld stelt het gebruikers bloot aan ernstige beveiligingsproblemen en het lijkt niet verstandig om deze feature via de instellingen aan te bieden", aldus een Mozilla-medewerker. De browserontwikkelaar heeft dan ook besloten om de optie in Firefox 63 zowel vanuit het menu als about:config te verwijderen. Via about:config kunnen Firefox-gebruikers ook allerlei instellingen veranderen. De enige mogelijkheid om niet op Firefox-updates te controleren is door gebruik te maken van de Enterprise Policy Engine, zo meldt webontwikkelaar Soeren Hentzschel. Hiervoor moet er een specifiek json-bestand in een submap van de Firefox-directory worden geplaatst. Firefox 63 staat gepland voor 23 oktober van dit jaar. Bij gebruikers die ervoor hebben gekozen om geen updates te ontvangen zal dan de optie worden ingesteld die automatisch op updates controleert, maar de gebruiker de installatie laat bepalen. bron: security.nl

Anti-malwarebedrijf Malwarebytes heeft een gratis browser-extensie gelanceerd die advertenties, clickbait, malware, pop-ups en scams blokkeert. De extensie zou gebruikers niet alleen tegen allerlei dreigingen beschermen, ook zorgt het ervoor dat websites sneller worden geladen. Volgens de malwarebestrijder downloaden populaire websites veel ongewenste content in de achtergrond, waaronder clickbait-artikelen en advertenties. Door die te filteren zouden websites sneller worden geladen. De extensie blokkeert zowel clickbait-content alsmede websites die "dubieus gedrag" vertonen. Verder moet de extensie bescherming bieden tegen malware, phishingsites, browserlockers, helpdeskfraude en 'potentieel ongewenste programma's', zoals toolbars en pop-ups. De extensie bevindt zich nog in de betafase en is beschikbaar voor Chrome en Firefox. bron: security.nl

Wetenschappers van de Graz University of Technology in Oostenrijk hebben een Spectre-variant ontwikkeld waarbij het mogelijk is om data van systemen op een netwerk te stelen, zonder dat een aanvaller code op deze systemen hoeft uit te voeren. Echt snel is de NetSpectre-aanval echter niet, met een snelheid van 3 tot 60 bits per uur. Bij de oorspronkelijke Spectre-aanvallen moest een aanvaller eerst code op het systeem van het doelwit zien uit te voeren. Dat is in het geval van de NetSpectre-variant niet meer nodig. De onderzoekers hebben hun aanval gedemonstreerd op lokale netwerken en tussen virtual machines in de Google Cloud. Om de aanval uit te voeren moet er in de code die op het aangevallen systeem draait zogeheten Spectre-gadgets aanwezig. Dit zijn codefragmenten die bepaalde operaties uitvoeren. Zodra een systeem netwerkinterfaces of API's met een Spectre-gadget blootstelt, kunnen die via NetSpectre worden aangevallen en is het mogelijk om willekeurig geheugen over het netwerk uit te lezen. De aanvaller hoeft alleen een aantal aangepaste requests naar het doelwit te sturen en de tijd te meten om een geheime waarde uit het geheugen van het aangevallen systeem te lekken. Aangezien de aanval maximaal 60 bits aan data per uur kan opleveren, kan het dagen duren voordat encryptiesleutels of tokens zijn gestolen, zo meldt The Register. Toch stellen de onderzoekers dat NetSpectre een grote verschuiving is ten opzichte van de eerste Spectre-aanvallen. Niet alleen is NetSpectre op afstand uit te voeren, ook lopen veel meer en meer soorten apparaten risico. "Er moet nu ook rekening met Spectre-aanvallen worden gehouden op apparaten die geen code van de aanvaller draaien", aldus de conclusie van het onderzoeksrapport (pdf). Verder stellen de onderzoekers dat NetSpectre ook te gebruiken is om de beveiligingsmaatregel address-space layout randomization te verslaan. Red Hat komt vandaag met meer informatie over de aanval. Systemen die updates tegen de eerdere Spectre-aanvallen hebben ontvangen zijn ook beschermd tegen NetSpectre, aldus Intel. bron: security.nl

Op dinsdag 10 juli kwam Microsoft met beveiligingsupdates voor een beveiligingslek in het .NET Framework, maar die blijken bij sommige gebruikers voor problemen te zorgen, zo heeft de softwaregigant bekendgemaakt. Via de kwetsbaarheid, die in alle ondersteunde Windows-versies aanwezig was, kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen. In bepaalde gevallen kunnen de updates ervoor zorgen dat applicaties niet meer starten of goed werken. Microsoft zegt van het probleem te weten en heeft een onderzoek ingesteld. De softwaregigant geeft verder aan dat de beveiligingsupdates voor de kwetsbaarheid opnieuw zullen worden uitgebracht zodra ze beschikbaar zijn. In de tussentijd worden gebruikers een beheerders verwezen naar een FAQ over aanbevolen acties die genomen kunnen worden voor het uitrollen van de updates. bron: security.nl

Onderzoekers van anti-virusbedrijf Trend Micro waarschuwen voor een nieuwe exploitkit die computers via bekende kwetsbaarheden in Adobe Flash Player en Microsoft Internet Explorer met een bootkit en cryptominer infecteert. Het gaat om de Underminer-exploitkit die via advertenties wordt verspreid. Zodra internetgebruikers met een kwetsbare versie van Internet Explorer of Flash Player de advertenties te zien krijgen wordt de Mellifera-cryptominer en een bootkit geïnstalleerd. De cryptominer zou naar verluidt op meer dan 500.000 computers draaien. De bootkit infecteert de bootsector van het systeem. De Flash-lekken die de exploitkit gebruikt werden in juli 2015 en februari 2018 door Adobe gepatcht. Het IE-lek werd in mei 2016 door Microsoft verholpen. Gebruikers krijgen dan ook het advies om hun systeem en software up-to-date te houden. bron: security.nl

De versleutelde e-maildienst ProtonMail heeft adresverificatie en volledige PGP-support geïntroduceerd, dat gebruikers extra bescherming moet bieden. Via adresverificatie kunnen gebruikers zeker weten dat ze met de juiste persoon communiceren terwijl de PGP-support versleutelde mail interoperabiliteit toevoegt. Voor de introductie van adresverificatie was het mogelijk als ProtonMail was gecompromitteerd om de communicatie van gebruikers te compromitteren door de gebruiker een valse publieke encryptiesleutel te sturen. Hierdoor zou de e-mailcommunicatie worden versleuteld op een manier dat een aanvaller, in bezit van de bijbehorende privésleutel, de e-mails kon onderscheppen en ontsleutelen. Adresverificatie moet hier een oplossing voor bieden. Het maakt gebruik van een feature die ProtonMail eerder introduceerde genaamd "Versleutelde contacten". Hierbij wordt het adresboek van de gebruiker gesigneerd en versleuteld op een manier waardoor alleen de gebruiker nog de inhoud kan bekijken. Wanneer ProtonMail-gebruikers een e-mail van een ProtonMail-contact ontvangen hebben ze de optie om de publieke sleutel van deze gebruiker in het versleutelde adresboek op te slaan. Aangezien het adresboek is versleuteld en digitaal gesigneerd is het niet mogelijk om de publieke sleutel te manipuleren, aldus Any Yen van ProtonMail. "Dit houdt in dat als er e-mails naar dit contact worden gestuurd, het niet langer mogelijk is voor een kwaadwillende derde partij, en zelfs ProtonMail, om je te misleiden een kwaadaardige publieke sleutel te gebruiken die verschilt van de sleutel die je hebt vertrouwd", zo stelt Yen. Hij merkt op dat adresverificatie een geavanceerde feature is die mogelijk niet nodig is voor doorsnee gebruikers. "Maar aangezien journalisten en activisten ProtonMail voor gevoelige communicatie gebruiken, hebben we van adresverificatie een prioriteit gemaakt." PGP-support De volledige PGP-support die nu is toegevoegd zorgt ervoor dat ProtonMail-gebruikers met PGP-versleutelde e-mails naar niet-ProtonMail-gebruikers kunnen versturen door de publieke PGP-sleutels van deze gebruikers te importeren. Daarnaast is het mogelijk om op het ProtonMail-account PGP-mail te ontvangen van andere PGP-gebruikers in de wereld. Gebruikers kunnen nu hun publieke sleutel exporteren en die met anderen delen. ProtonMail biedt zowel gratis als betaalde accounts aan. bron: security.nl

Windows 10 gaat het juiste moment voorspellen voor het herstarten van de computer na de installatie van beveiligingsupdates, zo heeft Microsoft aangekondigd. Op internet zijn tal van klachten te vinden over het herstarten van systemen op het verkeerde moment om het installeren van updates af te ronden. Iets dat ook Microsoft erkent. "Heb je ooit moeten stoppen met wat je aan het doen was, of op je computer moeten wachten omdat het apparaat op het verkeerde moment werd geüpdatet? We hebben geluisterd", zegt Microsofts Dona Sarkar. De softwaregigant heeft in Windows 10 de herstartlogica aangepast wanneer er updates gepland staan. Dit nieuwe systeem zou adaptiever en proactiever moeten zijn. Het voorspellingsmodel zou nauwkeurig kunnen voorspellen wat het juiste moment is om de computer te herstarten. Er wordt niet alleen gekeken of het apparaat in gebruik is voordat het systeem wordt herstart, maar ook of de gebruiker niet even van zijn plek is en snel weer zal terugkeren. Op de vraag hoe nauwkeurig dit model is laat Sarkar weten dat het model op interne apparaten is toegepast en de resultaten veelbelovend zijn. De functie is nu aan de nieuwste testversie van Windows 10 toegevoegd. Wanneer een apparaat toch op het verkeerde moment herstart kunnen gebruikers dit aan Microsoft doorgeven. bron: security.nl

Ruim 131 miljoen e-mailadressen die bij het Amerikaanse marketingbedrijf Exactis werden gestolen zijn toegevoegd aan de zoekmachine Have I Been Pwned. Een beveiligingsonderzoeker vond een 2 terabyte grote database van het bedrijf op een publiek toegankelijke server. De database bevat gegevens van miljoenen Amerikanen, zoals adresgegevens, e-mailadressen, leeftijd, interesses, gewoontes en het geslacht van iemands kinderen, en informatie van miljoenen bedrijven. Wat vooral opviel aan de database was het grote aantal eigenschappen dat per persoon werd bijgehouden. Naast openbare records en algemene contactgegevens ging het bijvoorbeeld ook of iemand rookt, geloofsovertuiging, gezinssamenstelling, opleidingsniveau, inkomen, gesproken talen, ip-adressen, investeringen of iemand huisdieren heeft en allerlei andere zaken. Een kleine subset van de database met ruim 131 miljoen e-mailadressen is nu met Have I Been Pwned gedeeld. Dit is een zoekmachine van beveiligingsonderzoeker Troy Hunt waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun gegevens ooit bij een website zijn gestolen. De toevoegde dataset is het grootste datalek dat dit jaar een Have I Been Pwned is toegevoegd. bron: security.nl

Google gaat een eigen usb-beveiligingssleutel verkopen waarmee gebruikers hun accounts kunnen beveiligen. Het gaat om de Titan Security Key, een fysieke usb-sleutel die als tweede factor tijdens het inloggen fungeert. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Volgens Google biedt dit een betere bescherming dan tweefactorauthenticatie via sms. Daarnaast zou het phishing moeten voorkomen. "Een tactiek die criminelen veel gebruiken is het opzetten van phishingsites die moeten doorgaan voor die van Google, om vervolgens om codes voor authenticatie in twee stappen te vragen. Beveiligingssleutels bieden een betere bescherming tegen deze en andere aanvallen doordat ze versleuteling toepassen en alleen werken voor de sites waarvoor ze moeten werken", aldus Google. "We hebben altijd gezegd dat het gebruik van beveiligingssleutels de sterkste, meest phishingbestendige authenticatiefactor voor belangrijke gebruikers is, met name cloudbeheerders", zegt Jennifer Lin van Google. De internetgigant liet eerder deze week weten dat Google-medewerkers sinds begin vorig jaar verplicht moeten inloggen via een beveiligingssleutels en er sindsdien geen enkel werkaccount is gephisht. De Titan Security Key beschikt over door Google ontwikkelde firmware en werkt naast Google ook voor andere websites, zoals Facebook, Twitter, GitHub en Dropbox. De usb-beveiligingssleutels zijn nu beschikbaar voor Google Cloud-klanten en zullen binnenkort voor iedereen via de Google Store verkrijgbaar zijn. bron: security.nl

Adware en cryptominers waren in het tweede kwartaal van dit jaar de voornaamste dreigingen, zo stelt anti-malwarebedrijf Malwarebytes op basis van eigen detecties. De hoeveelheid adware die op systemen van eindgebruikers werd gedetecteerd nam met 19 procent toe ten opzichte van het eerste kwartaal. Cryptominers die computers naar digitale valuta laten delven werden minder vaak gedetecteerd, maar zijn nog altijd de tweede dreiging bij eindgebruikers en zelfs de eerste dreiging die op zakelijke computers werd gevonden. De meeste malware-categorieën kenden echter een behoorlijke dip in het aantal detecties. Met name banking Trojans die worden gebruikt om gegevens voor internetbankieren te stelen werden veel minder aangetroffen, zo blijkt uit het kwartaalrapport (pdf). bron: security.nl

Onderzoekers hebben Android-malware ontdekt die Windows-computers probeert te besmetten. De malware wordt buiten de Google Play Store om verspreid en doet zich voor als WhatsApp of Telegram. Zodra een gebruiker de kwaadaardige app installeert hebben aanvallers volledig controle over het toestel. Eenmaal actief zal de malware echter ook in de afbeeldingenmap van de telefoon de Windows-malware plaatsen, die vervolgen de naam "DCIM" krijgt. Dit is de naam van de directory waarin de met de telefoon gemaakte foto's worden geplaatst. Een gebruiker die foto's van zijn telefoon naar zijn computer wil kopiëren zal geregeld naar deze map gaan. Zodra de gebruiker het bestand vanaf zijn Windows-computer opent raakt ook dit systeem met een remote access Trojan besmet. Volgens onderzoekers van Qihoo 360 is het de eerste keer dat Android-malware op deze manier wordt ingezet om computers te besmetten. De malware is vooral in Turkije, Jordanië en Syrië aangetroffen. bron: security.nl

Gratis virusscanners doen niet onder voor betaalde anti-viruspakketten, zo blijkt uit een verzameling van 'real-world' anti-virustests die door het Oostenrijkse testlab AV-Comparatives werden uitgevoerd. Voor de tests, die van februari tot en met juni van dit jaar plaatsvonden, werd er met echte besmette links en drive-by downloads op internet getest. In de testperiode werden er 1080 kwaadaardige links en websites met een gepatcht Windows 10-systeem bezocht. F-Secure en Trend Micro weten alle malware-exemplaren zonder tussenkomst van de gebruiker te blokkeren. De gratis versies van Avast en AVG missen zes exemplaren. Microsofts Windows Defender, de in Windows 10 ingebouwde virusscanner, mist één exemplaar. In twintig andere gevallen was het aan de gebruiker om te bepalen of de malware werd uitgevoerd of niet. Van de achttien virusscanners eindigt Quick Heal onderaan. Dit anti-viruspakket mist 19 malware-exemplaren en laat de gebruiker twintig keer beslissen. Naast de detectie van malware werd er ook op false positives getest, waarbij de virusscanners met legitieme, schone software en domeinen kregen te maken. Het ging om zo'n duizend willekeurig gekozen populaire domeinen en zo'n tweeduizend populaire en nieuwe/aanbevolen downloads. F-Secure en Trend Micro, die zo goed presteerden bij de detectie van malware, gaan nu hard onderuit. F-Secure gaat maar liefste 111 keer de fout in, terwijl Trend Micro 38 keer vals alarm geeft. Ook Symantec heeft moeite met dit onderdeel, zo blijkt uit de 24 valse waarschuwingen. Emsisoft, Kaspersky Lab en VIPRE presteren op dit onderdeel het beste met één false positive. Vanwege het grote aantal false postives krijgen F-Secure, Trend Micro en Symantec een lagere uiteindelijke beoordeling. Uiteindelijk worden Avast, AVG, Avira, Bitdefender, Kaspersky Lab, McAfee, Tencent en VIPRE als 'Advanced+' beoordeeld, de hoogste beoordeling. De gratis virusscanners van Microsoft en Panda worden als Advanced beoordeeld, net als de oplossingen van Symantec, ESET, Trend Micro en F-Secure. De oplossing van BullGuard eindigt onderaan en krijgt alleen de vermelding "getest". bron: security.nl

Een beveiligingslek in de pdf-lezer van Google Chrome is eind juni "per ongeluk" verholpen, zo meldt onderzoeker Zhou Aiting van het Qihoo 360 Vulcan Team. Aiting had op 17 april een kwetsbaarheid in de pdf-lezer van Chrome gevonden waardoor een aanvaller willekeurige code had kunnen uitvoeren. De kwetsbaarheid alleen was niet voldoende om uit de sandbox van Chrome te beveiligen, waardoor een aanvaller in het ergste geval data van andere websites had kunnen stelen of aanpassen. Twee dagen nadat Google door de onderzoeker was ingelicht werd er een patch voor het probleem ontwikkeld. Deze patch werd op 10 mei onder Chrome-gebruikers uitgerold. Voor zijn bugmelding ontving Aiting 5.000 dollar. De onderzoeker ontdekte dat de patch niet volledig was en het nog steeds mogelijk bleek om het beveiligingslek aan te vallen. Eind juni kwam er echter een onverwachte oplossing voor het probleem. Google besloot namelijk het datatype waardoor de aanval mogelijk was in de pdf-lezer te verwijderen en door het gebruik van een vector te vervangen. Daardoor werd ook de kwetsbaarheid "per ongeluk" verholpen, aldus Aiting. bron: security.nl

Het ontwikkelplatform GitHub gaat ontwikkelaars voortaan waarschuwen als ze voor hun softwareproject gebruikmaken van Python-packages met bekende kwetsbaarheden. Het kan dan bijvoorbeeld gaan om softwarebibliotheken of opensourceprogramma's waar het project gebruik van maakt. Meer dan 75 procent van de GitHub-projecten heeft dergelijke "dependencies". De waarschuwingen laten ontwikkelaars weten waar de kwetsbaarheid zich bevindt, wat die precies inhoudt en wat een mogelijke oplossing is. Bij publieke repositories staan de waarschuwingen automatisch ingeschakeld. De beveiligingswaarschuwingen werden eind vorig jaar ingevoerd voor JavaScript en Ruby. GitHub wist op deze manier miljoenen kwetsbaarheden in softwareprojecten van gebruikers te ontdekken. Vanaf deze week wordt ook Python ondersteund. Op dit moment worden Python-gebruikers voor een aantal recente kwetsbaarheden gewaarschuwd. GitHub is echter van plan om de komende weken ook oudere Python-kwetsbaarheden aan de database toe te voegen, zo laat het ontwikkelplatform in een blogposting weten. bron: security.nl