Captain Kirk

Oracle heeft klanten gewaarschuwd voor een ernstig beveiligingslek in Apache Struts dat ook in verschillende producten van het softwarebedrijf aanwezig is. Struts is een populair opensourceframework voor het ontwikkelen van Java-webapplicaties. Tenminste 65 procent van de Fortune 100-bedrijven maakt gebruikt van webapplicaties die via Apache Struts gemaakt zijn. Vorige maand verscheen er een beveiligingsupdate voor een zeer ernstige kwetsbaarheid waardoor een aanvaller op afstand applicaties kan overnemen die met Struts zijn gemaakt of van het framework gebruikmaken. Oracle stelt dat producten die van Struts gebruikmaken niet per definitie kwetsbaar zijn en wijst naar het recent gepubliceerde beveiligingsbulletin waarin staat welke producten risico lopen. Het bulletin is echter alleen beschikbaar voor Oracle-klanten, die verder het advies krijgen om updates zodra ze beschikbaar zijn te installeren. Eind augustus werd bekend dat de Struts-kwetsbaarheid actief werd aangevallen om systemen met een cryptominer te infecteren. Op een schaal van 1 tot en met 10 wat betreft de ernst van het beveiligingslek werd dat met een 9,8 beoordeeld. bron: security.nl

Meer dan de helft van de 1 miljoen populairste websites biedt inmiddels een beveiligde verbinding aan. In februari van dit jaar ging het nog om 38 procent, zo blijkt uit cijfers van beveiligingsonderzoeker Scott Helme. De groei leek begin dit jaar af te nemen, maar laat inmiddels weer een sterke stijging zien. In augustus van dit jaar wees bijna 52 procent van de Top 1 miljoen websites volgens Alexa naar https. Een jaar geleden ging het nog om zo'n 30 procent en in 2016 was iets meer dan 13 procent van de websites via https bereikbaar. Een groot deel van de https-websites maakt voor het aanbieden van een beveiligde verbinding gebruik van tls-certificaten die van Let's Encrypt afkomstig zijn. Deze certificaatautoriteit biedt gratis tls-certificaten aan. Naast normale tls-certificaten kunnen websites ook voor een Extended Validation (EV) tls-certificaat kiezen. Deze certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken. Bij EV tls-certificaten wordt de naam van de entiteit die het certificaat heeft aangevraagd in de adresbalk van de browser weergegeven. Voordat het certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale tls-certificaten het geval is. EV tls-certificaten zijn dan ook duurder dan normale tls-certificaten en worden anders door de browser weergegeven. Ondanks de stijging van het aantal websites met een tls-certificaat is er geen groei zichtbaar in het aantal websites met een EV tls-certificaat. Volgens Helme laten de cijfers zien dat we op weg zijn naar een honderd procent versleuteld web. bron: security.nl

Volgende maand verschijnt er een nieuwe versie van Firefox die allerlei nieuwe opties voor extensies introduceert, waaronder verbeterde clipboard-toegang, zo laat Mozilla weten. Eind vorig jaar lanceerde Mozilla een nieuwe Firefox-versie genaamd Quantum die alleen extensies ondersteunt die op het WebExtensions-model zijn gebaseerd. Via dit model is het mogelijk om extensies in andere browsers te laten werken. Met de lancering van Firefox 63 zal de grootste upgrade van de WebExtensions-interface plaatsvinden. Daardoor moet het voor extensies eenvoudiger worden om de inhoud van het clipboard te benaderen. Iets wat nu op nog omslachtige wijze plaatsvindt. Ook zal het mogelijk worden om meerdere tabs te selecteren en zullen extensies toegang kunnen krijgen tot al in Firefox aanwezige zoekmachines. In totaal gaat het om 111 features en verbeteringen die aan de WebExtensions-interface zijn doorgevoerd. Firefox 63 staat gepland voor 23 oktober. bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft woordenlijsten uitgebracht die op Game of Thrones, Star Trek, Star Wars en Harry Potter zijn gebaseerd en gebruikers moeten helpen bij het genereren van willekeurige passphrases. Een passphrase is een wachtwoord dat uit meerdere woorden bestaat. Beveiligingsexpert adviseren passphrases boven een normaal wachtwoord omdat ze eenvoudiger te onthouden en lastiger te kraken of te raden zijn. Om mensen te helpen bij het kiezen van willekeurige woorden voor hun passphrase zijn er verschillende systemen bedacht. De bekendste woordenlijst is de Diceware-lijst van Arnold Reinhold die in 1995 werd gepubliceerd en 7776 woorden bevat. Door verschillende keren met een dobbelsteen te rollen komt er een getal uit, dat met een woord op de woordenlijst overeenkomt, vandaar ook de naam Diceware. Op deze manier kan er geheel willekeurig een passphrase van verschillende woorden worden samengesteld. In 2016 publiceerde de EFF al verschillende woordenlijsten die met een dobbelsteen kunnen worden gebruikt. Vanwege Dragon Con 2018 dat afgelopen weekend en vandaag in Atlanta plaatsvindt heeft de EFF verschillende nieuwe woordenlijsten gepubliceerd die op Game of Thrones (pdf, txt), Star Trek (pdf, txt), Star Wars (pdf, txt) en Harry Potter (pdf, txt) zijn gebaseerd. De woorden op de woordenlijsten zijn afkomstig van verschillende officiële encyclopedieën en Wiki-pagina's. Elke woordenlijst bestaat uit 4.000 unieke woorden, die één keer zijn herhaald. De lijsten zijn geoptimaliseerd voor een dobbelsteen met 20 zijden. Gebruikers krijgen wel het advies om de woorden nadat ze zijn gekozen niet te veranderen of opnieuw de dobbelsteen te rollen omdat ze de eerdere gekozen woorden niet fijn vinden. Volgens de EFF is een aanvaller die weet welke woordenlijst de gebruiker heeft gebruikt en over een computer beschikt die 15 miljoen wachtwoorden per seconden kan proberen, nog steeds 2000 jaar bezig om alle mogelijke combinaties te proberen, waarbij het gemiddeld 1000 jaar duurt om een wachtwoord te kraken. bron: security.nl

Google gaat maatregelen tegen frauduleuze helpdesks nemen, aangezien die steeds lastiger van legitieme helpdesks zijn te onderscheiden, zo heeft de internetgigant aangekondigd. Via advertenties doen oplichters zich voor als de helpdesks van Microsoft en andere computerbedrijven. Ook komt het voor dat de advertenties naar pagina's wijzen die laten geloven dat er een probleem met de computer is en laten vervolgens het nummer van een 'helpdesk' zien. Zodra slachtoffers het in de advertentie of website opgegeven nummer bellen worden ze op verschillende manieren opgelicht. Zo proberen de oplichters het slachtoffer software te laten installeren waarmee de controle over het systeem kan worden overgenomen en moeten slachtoffers voor niet verrichtte of onnodige diensten of producten betalen. Ook komt het voor dat de oplichters geld van de bankrekening van het slachtoffer stelen. Volgens Google wordt het steeds lastiger om deze frauduleuze helpdesks van legitieme helpdesks te onderscheiden. Daarom heeft de internetgigant besloten om alle advertenties voor deze categorie diensten wereldwijd te beperken. De komende maanden wordt er een verificatieprogramma geïntroduceerd dat alleen legitieme helpdesks kunnen gebruiken om hun diensten via de platformen van Google te adverteren en aan te bieden. bron: security.nl

Safari-gebruikers op macOS zijn gewaarschuwd voor een optie in de browser die ervoor zorgt dat zip-bestanden automatisch worden uitgepakt, aangezien aanvallers hier misbruik van maken. Eerder deze week verscheen al het bericht dat Mac-gebruikers in het Midden-Oosten het doelwit van gerichte aanvallen zijn geweest. De aanvallers stuurden doelwitten een spearphishingmail die een link naar een kwaadaardige website bevat. Zodra het doelwit deze website bezoekt wordt er een download van een zip-bestand geactiveerd, dat de malware bevat. Safari zal het zip-bestand automatisch uitpakken en zo de malware op het systeem van de gebruiker plaatsen. Alleen het feit dat dit kwaadaardige bestand op het systeem van de gebruiker is geplaatst is voldoende om het een eigen "url-scheme" te laten registreren. Via een url-scheme kan een applicatie aangeven dat als de gebruiker een bepaalde url opent, de betreffende applicatie hiervoor verantwoordelijk is. Bekende url-schemes zijn http:// en ftp://. Applicaties kunnen echter ook een eigen url-scheme registreren. In het geval van de nu waargenomen aanvallen registreert macOS het url-scheme van de malware. Vervolgens zal de kwaadaardige website dit url-scheme aanroepen om de malware op het systeem van de gebruiker uit te voeren. Dit veroorzaakt wel een waarschuwing in Safari, maar de aanvaller heeft volledige controle over deze melding. Wanneer de gebruiker de website toestaat om de malware te starten verschijnt er een waarschuwing van File Quarantine dat er een bestand dat van het internet afkomstig is wordt geopend. Als de gebruiker ook deze waarschuwing negeert wordt de malware geïnstalleerd. De malware is van een geldig ontwikkelaarscertificaat voorzien, waardoor Apples GateKeeper dit in de standaardconfiguratie gewoon toestaat. bron: security.nl

Er is een nieuwe versie van het populaire programma CCleaner verschenen die over een privacyinstelling beschikt waarmee gebruikers kunnen aangeven of hun data mag worden verzameld. CCleaner is software om cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden mee te verwijderen. Eind juli lanceerde Pirifom CCleaner versie 5.45 die gebruiksgegevens bleek te verzamelen. Zo werd onder andere vastgelegd welke functies de gebruiker gebruikte. Het verzamelen van de data gebeurde volgens ontwikkelaar Piriform geheel anoniem en er werden geen persoonsgegevens vastgelegd. Het bleek echter lastig om de analytics-functie uit te schakelen. CCleaner 5.45 bood wel een optie voor het uitschakelen, maar na een herstart van de computer werd de optie weer automatisch ingeschakeld. Daarnaast was de optie die aangaf dat gebruikersdata werd verzameld gecombineerd met de Monitoring-feature. Deze feature staat echter helemaal los van het verzamelen van gebruikersdata. Gebruikers reageerden woedend waarna CCleaner 5.45 door Piriform offline werd gehaald. Het bedrijf beloofde een nieuwe versie waarin het gebruikers tegemoet zou komen. In CCleaner 5.46 heeft Pirifom nu een aparte instelling voor het verzamelen van gebruikersdata en de Monitoring-feature toegevoegd. De Monitoring-feature is tevens hernoemd naar Smart Cleaning. Verder is er een link toegevoegd naar een datasheet die uitlegt welke gegevens worden verzameld en waarvoor. Wederom herhaalt Piriform dat het alleen data verzamelt voor statistische doeleinden om de applicatie te verbeteren. bron: security.nl

Mozilla-engineer April King heeft een extensie voor Firefox ontwikkeld waarmee gebruikers gedetailleerde informatie over tls-certificaten kunnen opvragen. Websites gebruiken tls-certificaten om zich tegenover bezoekers te identificeren en het aanbieden van een beveiligde verbinding. Firefox geeft standaard al allerlei informatie over het tls-certificaat van een website weer. De "Certainly Something" extensie laat via een gebruiksvriendelijke interface echter veel meer details zien. De extensie maakt gebruik van een programmeerinterface (API) die in Firefox 62 en nieuwer beschikbaar is. Firefox 62 staat gepland voor 5 september, hoewel er al wel testversies van de browser zijn te proberen. bron: security.nl

Google heeft na twee jaar een nieuwe versie van de open source crypto-library Tink gelanceerd, die onder andere wordt gebruikt om data van Google Pay en Google Assistant te beveiligen. Tink kan door softwareontwikkelaars worden gebruikt om bijvoorbeeld gegevens te versleutelen. Het ondersteunt meerdere platformen en is gebouwd op bestaande libraries zoals BoringSSL en Java Cryptography Architecture. Google stelt dat Tink over allerlei maatregelen beschikt om kwetsbaarheden in deze libraries tegen te gaan. Het doel van de crypto-library is voornamelijk om zoveel mogelijk misbruik te voorkomen waardoor bijvoorbeeld datalekken in een applicatie kunnen ontstaan of gegevens niet veilig worden opgeslagen. Tink is al enige tijd beschikbaar op GitHub. De nu gelanceerde versie 1.2.0 is de eerste versie die cloud, Android, iOS en andere platformen ondersteunt. bron: security.nl

Securitybedrijf Acros Security heeft een onofficiële patch ontwikkeld die Windows-gebruikers moet beschermen tegen een nieuwe kwetsbaarheid die deze week openbaar werd gemaakt. Via het beveiligingslek kan een lokale gebruiker zijn rechten verhogen en systeemrechten krijgen. De onderzoeker die de kwetsbaarheid ontdekte besloot Microsoft niet van tevoren te informeren, waardoor er nog geen beveiligingsupdate beschikbaar is. Om gebruikers te beschermen heeft Acros Security in afwachting van een officiële Windows-update een eigen "zero patch" ontwikkeld. Een zero patch is code die aan draaiende processen wordt toegevoegd en ervoor zorgt dat het kwetsbare onderdeel niet benaderd kan worden. Het is bij een zero patch niet nodig om het systeem te herstarten en bij het verschijnen van de officiële beveiligingsupdate van Microsoft zal de zero patch automatisch niet meer worden toegepast. Zero patch maakt een hash van het kwetsbare dll-bestand. Nadat Microsoft dit bestand heeft gepatcht komt de hash niet meer overeen en wordt zodoende de zero patch niet meer toegepast. Om de micropatch te installeren moet wel de gratis 0patch Agent-software op het systeem draaien. Acros Security heeft daarnaast de broncode van de patch vrijgegeven, die uit slechts vier instructies bestaat. De patch is beschikbaar voor Windows 10 en Server 2016. bron: security.nl

De afgelopen maanden zijn verschillende beveiligingsmaatregelen voor de Spectre- en Meltdown-aanvallen verschenen, alsmede voor varianten zoals L1 Terminal Fault (L1TF)/Foreshadow. De aanvallen maken gebruik van de technieken die processors toepassen om de prestaties te verbeteren. De beveiligingsmaatregelen die chipfabrikanten en ontwikkelaars van besturingssystemen ontwikkelden hebben in veel gevallen dan ook een impact op de systeemprestaties. Website Phoronix wilde zien wat de gevolgen van de recente mitigaties zijn voor systemen met Linux-kernel 4.19. Vervolgens werden de systeemprestaties van een kernel zonder beveiligingsmaatregelen vergeleken met die van een kernel die wel tegen Spectre, Meltdown en Foreshadow bescherming biedt. De testsystemen waren zowel met een AMD- als Intel-processor uitgerust. Tijdens een benchmark waarbij de prestaties tijdens het compileren werden gemeten bleek de Linux-kernel met beveiligingsmaatregelen in combinatie met een Intel-processor 7 tot 16 procent langzamer te zijn. In het geval van AMD was de impact met 3 tot 4 procent veel minder groot. Tijdens de test met Hackbench, een benchmark en stresstest voor de Linux-kernelscheduler, moesten de Intel-processors zo'n 20 procent aan prestaties inleveren. Wederom was er bij AMD geen impact waarneembaar. Bij een andere test werd gewerkt met een PostgreSQL-databaseserver, waarbij de impact direct aan reële situaties is te koppelen. De Intel-processors met een beveiligde Linux-kernel leveren zo'n 7 tot 5 procent in. Ook bij deze tests is de impact op de AMD-systemen verwaarloosbaar. De test met de NGINX-webserver liet bij het Intel Xeon-systeem een 20 procent impact zien. Ook bij het tekenprogramma GIMP zorgen de beveiligingsmaatregelen tegen Spectre en Meltdown voor prestatieverlies. Intel-processors moeten 5 tot 10 procent van de prestaties inleveren, tegenover 0 tot 2 procent bij de AMD-systemen. De tests waren vooral op serversystemen gericht, maar Phoronix overweegt ook meer desktopgerelateerde tests uit te voeren als hier belangstelling voor is. bron: security.nl

Het effect van online tracking op de privacy van mensen en laadtijd van websites is zo groot dat Mozilla heeft besloten dat Firefox standaard trackers gaat blokkeren. De browserontwikkelaar wijst naar een onderzoek van Ghostery dat 55,4 procent van de tijd om een website te laden wordt besteed aan het laden van third-party trackers. Daarnaast zorgen trackers er ook voor dat mensen over het gehele web worden gevolgd. Mozilla wil dit tegengaan door trackers standaard te blokkeren en gebruikers meer keuze te geven in welke informatie ze met websites delen. Een vroege testversie van Firefox 63 bevat een optie die ervoor zorgt dat automatisch alle trackers worden geblokkeerd die het laden van een website vertragen. In september zal deze feature worden getest en wanneer de resultaten positief zijn zal Firefox 63 straks standaard dergelijke trackers blokkeren. Firefox gaat er daarnaast ook voor zorgen dat third-party trackingcontent geen toegang meer tot de lokale opslag krijgt en dat cookies van dergelijke trackers worden gestript. Deze privacymaatregel zal naar verwachting in Firefox 65 verschijnen. Een andere praktijk waar Mozilla de strijd mee aangaat is het gebruik van fingerprinting. Via fingerprinting is het mogelijk om gebruikers aan de hand van de kenmerken van hun apparaat te identificeren. Andere websites maken daarnaast gebruik van cryptominers die de computers van gebruikers naar cryptovaluta laten delven. Volgens Mozilla zorgt dit ervoor dat het web een vijandige plek wordt en zal Firefox daarom ook dit soort zaken standaard gaan blokkeren. Welke Firefox-versie fingerprinting en cryptomining gaat blokkeren is nog niet bekendgemaakt. Verschillende van de maatregelen zijn nu al in Firefox Nightly in te schakelen. bron: security.nl

Google heeft de eigen Titan-beveiligingssleutel voor eindgebruikers in de Verenigde Staten beschikbaar gemaakt. De sleutel fungeert als een tweede factor tijdens het inloggen en biedt volgens de internetgigant de beste bescherming tegen phishing. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Daarnaast werkt de beveiligingssleutel alleen op de website waarvoor de geregistreerd is. Beveiligingssleutels maken gebruik van een protocol dat op standaard public key-cryprografie is gebaseerd. Een gebruiker die zijn beveiligingssleutel voor een website wil gebruiken moet dit eerst instellen. Tijdens het instellen registreert de gebruiker een publieke sleutel. Bij het inloggen vraagt de website vervolgens om een cryptografische handtekening die bewijst dat de gebruiker de eigenaar is van de privésleutel die bij de publieke sleutel hoort. Google stelt dat de Titan-beveiligingssleutel zo ontworpen is dat die tijdens de gehele levenscyclus, zowel tijdens de productie als het gebruik, tegen aanvallen is beschermd. De firmware die de cryptografische operaties uitvoert wordt tijdens de productie in een beveiligde hardwarechip verwerkt. Deze chip is zo ontwikkeld dat die fysieke aanvallen moet weerstaan waarbij wordt geprobeerd om de firmware en de geheime sleutels te achterhalen. Deze beveiligde chips worden vervolgens geleverd aan de productielijn die de fysieke beveiligingssleutel maakt. De Titan-beveiligingssleutel werkt vanzelfsprekend met Google-accounts, maar is ook voor andere websites te gebruiken zoals Facebook, Twitter, GitHub en Dropbox. Vorige maand waren de beveiligingssleutels al beschikbaar voor Google Cloud-klanten en nu zijn die ook voor eindgebruikers in de Verenigde Staten verkrijgbaar. De Titan Security Key Bundle bestaat uit een usb-beveiligingssleutel en een bluetooth-beveiligingssleutel, alsmede een usb-c naar usb-a -adapter en een usb-c naar usb-a-verbindingskabel. De kosten bedragen in totaal 50 dollar. Google zegt dat de Titan-beveiligingssleutel binnenkort ook in andere gebieden te koop zal zijn. bron: security.nl

In oktober zal Firefox bij alle websites die van een Symantec-certificaat gebruikmaken een waarschuwing laten zien en Mozilla heeft nu besloten om deze waarschuwing te verduidelijken. Websites gebruiken de certificaten van Symantec voor het aanbieden van een beveiligde verbinding. Vanwege verschillende incidenten heeft Mozilla besloten om het vertrouwen in de certificaten van Symantec op te zeggen. Dit vindt gefaseerd plaats, waarbij eerst alle Symantec-certificaten die voor 1 juli 2016 zijn uitgegeven niet meer worden vertrouwd. Dat is nu al het geval in Chrome, Firefox en Safari. Met de lancering van Firefox 63 in oktober van dit jaar wordt het vertrouwen in alle certificaten van Symantec opgezegd, ongeacht uitgiftedatum. Vorige maand liet Mozilla nog weten dat 35.000 van de 1 miljoen populairste websites op internet nog steeds van een Symantec-certificaat gebruikmaken. Zodra Firefox-gebruikers straks een website met een Symantec-certificaat bezoeken verschijnt er eerst een waarschuwing. Daarin staat dat als men besluit om de website toch te bezoeken aanvallers informatie zoals wachtwoorden, e-mails of creditcardgegevens kunnen stelen. Vervolgens wordt uitgelegd dat certificaten door certificaatautoriteiten worden uitgegeven en de meeste browsers Symantec niet langer meer als certificaatautoriteit vertrouwen. Gebruikers hebben echter nog wel de mogelijkheid om de website te bezoeken. De nieuwe waarschuwing is nu in Firefox Nightly, een vroege testversie van de browser, te zien. bron: security.nl

Duizenden 3d-printers zijn zonder wachtwoord toegankelijk via het internet en kunnen bijvoorbeeld opdrachten krijgen om voorwerpen te printen. Dat laat Xavier Mertens weten, handler bij het Internet Storm Center (ISC). Mertens vond ruim 3700 OctoPrint-interfaces waarvoor geen enkele authenticatie is vereist. OctoPrint is een webinterface voor het bedienen en monitoren van 3d-printers. Via de interface is het mogelijk om 3d-objecten in de printer te laden. Doordat de printers zonder wachtwoord toegankelijk zijn zou een aanvaller bijvoorbeeld ingeladen ontwerpen via de interface kunnen achterhalen. Een andere mogelijkheid is het printen van een 3d-object. Mertens wijst naar verhalen waarbij goedkope 3d-printers in brand vlogen. Een andere mogelijkheid is dat een aanvaller een ontwerp dat door de printer is geladen downloadt, aanpast en vervolgens weer uploadt. Op deze manier zou de printer een voorwerp printen dat bijvoorbeeld minder veilig is. Verder biedt OctoPrint een monitoringfeature die van een embedded webcam gebruikmaakt. Op deze manier kan een aanvaller kijken wat het slachtoffer aan het doen is. De handleiding van OctoPrint adviseert gebruikers die de webinterface via internet toegankelijk maken om altijd de toegangscontrole in te schakelen. De meeste webinterfaces die Mertens ontdekte bevinden zich in de Verenigde Staten, gevolgd door Duitsland en Frankrijk. bron: security.nl

Google is onder vuur komen te liggen vanwege advertenties voor ddos-diensten die de internetgigant op de eigen zoekmachine laat zien. Richard Clayton, directeur van het Cambridge Cybercrime Centre van de Universiteit van Cambridge, ontdekte de advertenties voor zogenaamde "booters" en "stressers". De websites voeren tegen betaling ddos-diensten uit tegen websites. Zodoende kunnen ook personen met weinig technische kennis websites uit de lucht halen. Volgens de Britse politie worden dergelijke diensten vaak verborgen achter "een zweem van authenticiteit", waarbij wordt geclaimd dat het een legitieme toepassing heeft om de bestendigheid van servers te testen. In werkelijkheid zijn het echter cybercriminelen die er gebruik van maken. De afgelopen jaren hebben opsporingsinstanties verschillende operaties tegen ddos-diensten uitgevoerd en zijn ook gebruikers van deze diensten opgepakt. Clayton was dan ook verbaasd dat Google advertenties voor booters en stressers bij de eigen zoekmachine laat zien. Hij besloot een klacht over de advertentie in te dienen, maar dat leverde niets op. Pas toen Clayton een Google-medewerker persoonlijk benaderde verdween de advertentie. Een paar dagen later verscheen er echter weer een andere advertentie voor een ddos-dienst. Dit keer leverde het indienden van een klacht en het benaderen van de Google-medewerker niets op, waardoor de advertentie nog steeds wordt getoond. "Het lijkt erop dat voor Google inkomsten belangrijker zijn dan het handhaven van beleid", aldus Clayton. bron: security.nl

Windows 10 gaat het inloggen via een Google-account ondersteunen, zo stelt de website Chrome Story op basis van een nieuw Chromium-project. Via het project krijgt Google Chrome ondersteuning voor de credential providers-feature in Windows 10. Credential providers laten gebruikers inloggen op Windows 10, bijvoorbeeld via een wachtwoord of het gebruik van biometrische kenmerken. Het is voor third-party ontwikkelaars mogelijk om een eigen credential provider te ontwikkelen en die binnen Windows te registreren. Vervolgens kunnen Windows-gebruikers via het authenticatieproces van deze derde partij inloggen. Google is waarschijnlijk van plan om Chrome als een credential manager voor Windows 10 te registreren. De nu verschenen code lijkt te suggereren dat gebruikers via hun G Suite-account op het besturingssysteem kunnen inloggen. Mogelijk dat ook het gebruik van normale Google-accounts wordt ondersteund. Volgens de website Bleeping Computer kan Google op deze manier verder de zakelijke markt binnendringen door Windows 10 direct binnen hun G Suite-platform te integreren. Het project bevindt zich nog in beginfase. Het is dan ook onduidelijk of en wanneer gebruikers er gebruik van kunnen maken. bron: security.nl

Een ernstig beveiligingslek in Apache Struts waarvoor vorige week een update verscheen wordt nu actief aangevallen en gebruikt voor het infecteren van kwetsbare servers met een cryptominer. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties. Tenminste 65 procent van de Fortune 100-bedrijven maakt gebruikt van webapplicaties die via Apache Struts zijn gemaakt. Op 22 augustus verscheen er een beveiligingsupdate van de Apache Foundation voor de kwetsbaarheid. Via het beveiligingslek kan een aanvaller kwetsbare servers overnemen. Een dag na het verschijnen van de update publiceerde een onderzoeker een proof-of-concept-exploit die van de kwetsbaarheid misbruik maakt. Inmiddels is de exploit door cybercriminelen gebruikt om kwetsbare systemen aan te vallen en infecteren, zo meldt securitybedrijf Volexity. Wanneer de exploit succesvol is wordt de CNRig Miner geïnstalleerd, die het systeem naar cryptovaluta laat delven. In het verleden is het vaker voorgekomen dat net gepatchte Apache Struts-lekken het doelwit van aanvallen werden. Beheerders krijgen dan ook het advies om de update zo snel als mogelijk te installeren. bron: security.nl

Er is een nieuwe versie van de populaire adblocker Adblock Plus verschenen die over een filter tegen anti-adblockers beschikt. Volgens Tom Woolford van Eyeo, de ontwikkelaar van Adblock Plus, maken steeds meer websites gebruik van technologie om adblockers te blokkeren. Via de technologie worden adblockers omzeild en krijgen gebruikers toch advertenties te zien. "Nu het gevecht tegen anti-adblockbedrijven elke dag heftiger wordt, gaat Adblock Plus dit tegen door anti-adblockers uit te schakelen", aldus Woolford. De nieuwste Adblock Plus-versie is voorzien van een "anti-circumvention" filterlijst. Deze lijst detecteert en blokkeert advertenties die juist ontwikkeld zijn om adblockers te omzeilen. Het filter wordt door Adblock Plus zelf beheerd en wordt omschreven als een aanvulling op al bestaande filterlijsten. Adblock Plus versie 3.3 is beschikbaar voor Chrome, Firefox en Opera. bron: security.nl

Adobe heeft een noodpatch uitgebracht voor een beveiligingslek in de Creative Cloud-desktopapplicatie waardoor een aanvaller zijn rechten op het systeem kan verhogen. Een proof-of-concept-exploit die van de kwetsbaarheid misbruik maakt was al voor het uitkomen van de Adobe-update beschikbaar. Creative Cloud is een verzameling van Adobe-applicaties die in abonnementsvorm wordt aangeboden. Normaliter komt Adobe elke tweede dinsdag van de maand met updates voor kwetsbaarheden in de eigen software. In dit geval is besloten om buiten de patchcyclus om met een update te komen. Gebruikers van de Creative Cloud-desktopapplicatie krijgen het advies om naar versie 4.6.1 te upgraden, wat kan via het download center. Adobe adviseert gebruikers om de update spoedig te installeren, waarbij als voorbeeld binnen 30 dagen wordt gegeven. bron: security.nl

Onderzoekers van de Universiteit van Texas hebben laten zien hoe smartlampen door malware gebruikt kunnen worden om data van besmette systemen zoals computers en smartphones te versturen. Ook is het mogelijk om via smartlampen de muziek- en filmvoorkeuren van gebruikers te achterhalen (pdf). De afgelopen jaren zijn smartlampen steeds populairder geworden. De lampen zijn vaak op afstand te bedienen via wifi, Bluetooth of een Zigbee-netwerk. Daarnaast kunnen de lampen over infraroodmogelijkheden beschikken en ondersteunen ze een feature genaamd multimedia-visualisatie. De onderzoekers maakten van deze eigenschappen gebruik om drie soorten aanvallen te ontwikkelen. De eerste twee aanvallen richten zich op het op passieve wijze achterhalen van de muziek- en filmvoorkeuren van de gebruiker. Hiervoor wordt er gebruik gemaakt van multimedia-visualisatie. Smartlampen gebruiken deze feature om de lichtkleur aan te passen aan de muziek die de gebruiker aan het luisteren is of de video die bekeken wordt. Een aanvaller die zicht op de lampen heeft kan zo de muziek- en videovoorkeuren van de gebruiker achterhalen. Bij een test met 100 muzieknummers lukte het de onderzoekers om 51 nummers te achterhalen en in 82 gevallen werd het muziekgenre succesvol vastgesteld. Ook bij films lukte het de onderzoekers aan de hand van de lichtveranderingen van de smartlamp om te bepalen waar de gebruiker naar kijkt. Malware Voor de derde aanval werd gekeken hoe smartlampen zijn te gebruiken om data te versturen van computers of smartphones die met malware besmet zijn geraakt en bijvoorbeeld niet over een internetverbinding beschikken. Hiervoor maakten de onderzoekers gebruik van de infraroodmogelijkheden van de smartlamp. Malware op bijvoorbeeld de smartphone kan verzamelde data encoderen en via het infraroodlicht versturen. Het voordeel hiervan is dat het menselijke oog geen infrarood waarneemt, waardoor dit "covert channel" langer onopgemerkt blijft. De onderzoekers stellen dat de maximale bandbreedte voor de dataoverdracht 32 bits per seconde bedraagt. De aanval is mogelijk op zogeheten hubloze smartlampen, zoals LIFX, door het ontbreken van permissie-instellingen voor het bedienen van de lichten binnen het lokale netwerk. De aanval is ook mogelijk in het geval van smartlampen die via een hub verbinding maken, maar dan alleen als de hub niet over permissie-instellingen beschikt. De Philips Hue beschikt wel over dergelijke 'permission controls' en is dan ook niet te gebruiken voor deze aanval. Daarnaast biedt de Hue geen smartlampen die over infraroodmogelijkheden beschikken. Gordijnen Om dergelijke aanvallen te voorkomen hebben eigenaren van een smartlamp verschillende mogelijkheden, zoals het gebruik van gordijnen of raamfolie. Ook kan de maximale helderheid van de lampen worden beperkt. Verder kunnen er netwerkregels worden opgesteld zodat computers en smartphones de smartlampen niet via een ip-netwerk kunnen bedienen. bron: security.nl

Het Oostenrijkse testlab AV-Comparatives heeft uitgehaald naar anti-virustests door YouTubers, die niet met de werkelijkheid overeen zouden komen. De resultaten van anti-virustests die op YouTube zijn te zien verschillen vaak van de testresultaten van testlabs zoals AV-Comparatives of AV-Test. Door YouTubers geteste anti-viruspakketten presteren vaak veel slechter dan de tests van verschillende testlabs laten zien. Volgens het Oostenrijkse testlab komt dit doordat YouTubers met een kleinere verzameling malware-exemplaren werken en alleen maar toegang tot publiek beschikbare malwareverzamelingen hebben. Ook baseren de testers zich vaak op resultaten van VirusTotal.com. Dit is een gratis dienst van Google om verdachte bestanden door de engines van zo'n 60 anti-viruspakketten te laten scannen. Virusscanners die aan VirusTotal deelnemen scannen door gebruikers geüploade bestanden alleen met hun on-demand scanner. Andere features en onderdelen voor het detecteren van malware worden niet gebruikt. Daardoor bestaat de mogelijkheid dat het malware-exemplaar door een scanner op VirusTotal wordt gemist, terwijl de geïnstalleerde virusscanner op het systeem van een gebruiker de malware wel detecteert. Ook de manier waarop YouTubers testen laat te wensen, waardoor er onjuiste resultaten worden gemeld, aldus AV-Comparatives. Daarnaast stelt het testlab dat veel YouTubers de resultaten van hun tests verkeerd interpreteren omdat ze over onvoldoende middelen beschikken om te controleren of de malware het systeem echt infecteerde. "De meeste YouTube-tests eindigen met een blockpercentage van het geteste anti-virusproduct, wat veel lager kan zijn dan de score die hetzelfde product in een professionele test haalt. Met vergezochte conclusies gebaseerd op beperkte testmethodes en zonder een representatieve en gebalanceerde malwareverzameling, hoeven de resultaten van YouTubers niet overeen te komen met de echte bescherming van een virusscanner", concludeert AV-Comparatives. Gebruikers die een virusscanner zoeken krijgen dan ook het advies om meerdere tests te lezen en eerst een probeerversie te installeren. bron: security.nl

517 miljoen gestolen wachtwoorden die eerder dit jaar als dataset online werden aangeboden zijn nu ook als NTLM-hashes beschikbaar. De wachtwoordhashes zijn van allerlei gehackte websites en datalekken afkomstig en werden door beveiligingsonderzoeker Troy Hunt verzameld. Hunt is de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. De beveiligingsonderzoeker besloot in februari van dit jaar 517 miljoen gehashte wachtwoorden voor iedereen beschikbaar te maken. Op deze manier kunnen websites gebruikers waarschuwen als ze een wachtwoord gebruiken dat in de dataset voorkomt. Dit wordt onder andere door GitHub en de Python Package Index gedaan. Hunt kreeg het verzoek om de dataset met wachtwoordhashes ook als NTLM-hashes aan te bieden. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. Door de 517 miljoen gestolen wachtwoorden als NTLM-hashes beschikbaar te maken kunnen Active Directory-beheerders kijken of die hashes met de wachtwoordhashes in hun AD-omgeving overeenkomen. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. bron: security.nl

Ontwikkelaar van OCR-software Abbyy heeft door een onbeveiligde MongoDB-database meer dan 200.000 klantdocumenten gelekt, zoals gescande contracten, memo's en brieven. Dat meldt beveiligingsonderzoeker Bob Diachenko die de database via de zoekmachine Shodan ontdekte. Abbyy biedt optical character recognition (OCR)-software voor het omzetten van papieren documenten naar digitale bestanden. Op 19 augustus vond Diachenko een MongoDB-database die niet met een wachtwoord en login beveiligd was. Zodoende had elke internetgebruiker toegang tot de 142 gigabyte grote database kunnen krijgen. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. De database die Diachenko aantrof bleek allerlei gescande documenten te bevatten die door Abbyy-partners via de beheerdersconsole van het bedrijf waren opgeslagen. Het ging om meer dan 200.000 geheimhoudingsovereenkomsten, memo's, brieven en andere interne documenten die waren gedigitaliseerd. De onderzoeker waarschuwde Abbyy, waarna de database offline werd gehaald. Tegenover TechCrunch laat Abbyy weten dat één klant door het datalek is getroffen. bron: security.nl

Een meerderheid van de aangiften over cybercrime die in België worden gedaan leidt tot niets, zo blijkt uit cijfers die N-VA-Kamerlid Goedele Uyttersprot opvroeg en met De Tijd deelde. Tussen januari 2016 en augustus vorig jaar ontvingen de Belgische parketten bijna 35.000 klachten over cybercrime. Het gaat dan om infecties door ransomware, oplichting door phishingmails en andere zaken. Ruim 22.000 van de klachten kregen geen gevolg (64 procent), wat inhoudt dat ruim 13.500 slachtoffers van internetfraude geen gerechtigheid kregen. Op het moment dat de cijfers werden verstrekt waren ruim 5700 klachten nog in "vooronderzoek" bij de parketten en waren 661 klachten nog in een "gerechtelijk onderzoek" bij een onderzoeksrechter. Ook deze zaken kunnen alsnog tot niets leiden. 2,5 procent van de ontvangen klachten leverde uiteindelijk een dagvaarding voor de strafrechter op. De voornaamste reden dat de parketten een zaak laten vallen is omdat de daders onbekend zijn en een onderzoek zeer waarschijnlijk geen verdachte zal opleveren. Ook worden veel zaken geseponeerd omdat andere dossiers voorrang krijgen. Uyttersprot laat weten dat het werkelijke probleem veel groter is, aangezien niet alle cybercrimedelicten in de cijfers zijn opgenomen. bron: security.nl