Captain Kirk

De ontwikkelaars van de populaire browseruitbreiding Adblock Plus hebben een nieuw systeem ontwikkeld dat machine learning gebruikt om advertenties op Facebook te detecteren en blokkeren. Facebook-gebruikers worden nu gevraagd om het "Sentinel" systeem van advertenties te voorzien. Volgens Adblock Plus, wat de meestgebruikte adblocker op internet is, is het blokkeren van advertenties een kat- en muisspel. "Advertentiebedrijven stellen niet jouw belangen voorop en ze respecteren niet je recht om te kiezen voor het zien van advertenties. Daarom geven ze veel geld uit om nieuwe manieren te vinden om adblocker-gebruikers te omzeilen en irriteren", aldus de ontwikkelaars van Adblock Plus. Op dit moment houden Adblock Plus en vrijwilligers allerlei filterlijsten bij om advertenties te blokkeren. Die lijsten worden weer omzeild door advertentienetwerken en partijen als Facebook. Om het detecteren van advertenties te moderniseren kijken de Adblock Plus-ontwikkelaars naar machine learning en neurale netwerken om advertenties visueel te detecteren. Het is echter nodig dat het systeem allerlei voorbeelden van Facebook-advertenties leert herkennen. Gebruikers kunnen hierbij helpen door screenshots van Facebook-ads naar de Sentinel-bot op Facebook Messenger te sturen. Verzonden screenshots kunnen op elk moment weer worden verwijderd. Meer informatie over het systeem is te vinden op adblock.ai. bron: security.nl

Er bevindt zich een ongepatcht beveiligingslek in WordPress waardoor aanvallers websites in bepaalde gevallen volledig kunnen overnemen, code op de onderliggende server kunnen uitvoeren en willekeurige bestanden kunnen verwijderen. De kwetsbaarheid is meer dan 7 maanden geleden aan de WordPress-ontwikkelaars gerapporteerd, maar een beveiligingsupdate is nog steeds niet voorhanden. De kwetsbaarheid doet zich voor doordat gebruikersinvoer voor de deletefunctie niet goed wordt opgeschoond. Om van het lek gebruik te kunnen maken moet een aanvaller wel de mogelijkheid hebben om mediabestanden te kunnen wijzigen en verwijderen. WordPress biedt de mogelijkheid om gebruikers verschillende rollen toe te kennen. De rol van "Auteur" is al voldoende om de kwetsbaarheid te misbruiken. Een aanvaller kan bijvoorbeeld het account van een WordPress-gebruiker proberen te kapen of misbruik van een ander beveiligingslek maken om hier toegang toe te krijgen. Ook biedt het lek mogelijkheden voor kwaadwillende medewerkers van een WordPress-site. Wanneer de aanvaller over een account beschikt is het mogelijk om elk willekeurig WordPress-bestand te verwijderen, alsmede alle andere bestanden die op de server staan. Daarnaast kan de aanvaller bepaalde beveiligingsmaatregelen omzeilen en willekeurige code op de server uitvoeren. Tevens maakt de kwetsbaarheid het mogelijk om de WordPress-site over te nemen. De ontwikkelaars van WordPress werden op 20 november vorig jaar over de kwetsbaarheid ingelicht. Op 24 januari van dit jaar liet het ontwikkelteam weten dat een update naar schatting 6 maanden in beslag zou nemen. Eind mei vroegen onderzoekers van securitybedrijf RIPS Technologies om een update, maar kregen geen reactie. Daarop zijn nu de details openbaar gemaakt. Ook heeft het securitybedrijf een tijdelijke "hotfix" gemaakt. Deze hotfix wordt met name aangeraden voor websites waar meerdere gebruikers op het WordPress-systeem kunnen inloggen. bron: security.nl

Facebook, Google en Microsoft tonen misleidende privacyschermen die gebruikers instellingen laten kiezen die ten koste van hun privacy gaan, zo blijkt uit onderzoek van de Noorse consumentenbond Forbrukerradet (pdf). Zo maken de techbedrijven gebruik van standaard privacy-invasieve instellingen en misleidende bewoording en worden privacyvriendelijke opties verborgen. Ook krijgen gebruikers de illusie dat ze in controle zijn, terwijl dat niet zo is. Verder blijkt dat het kiezen van privacyvriendelijke opties meer moeite van gebruikers vergt. "Facebook en Google hebben standaard privacy-invasieve instellingen. Gebruikers die de privacyvriendelijke opties willen moeten veel meer moeite doen. De bedrijven verbergen deze instellingen soms zodat de gebruiker niet weet dat de meer privacy-invasieve optie standaard was geselecteerd", aldus de onderzoekers. Maar zelfs als gebruikers hun instellingen wijzigen verandert er volgens de onderzoekers niet veel. "We concluderen dat het lijkt dat gebruikers geen behoorlijke keuze hebben, zelfs als ze alle moeite doen om hun instellingen te veranderen met de bedoeling om gebruik van hun privacyrechten te maken." De Nederlandse Consumentenbond heeft de Autoriteit Persoonsgegevens nu om opheldering gevraagd over de toepassing van de nieuwe Europese privacywetgeving AVG. "Er is te veel ruimte voor eigen interpretatie. Mag een cookiemuur nu wel of niet? Zijn er uitzonderingen voor bedrijven die onder de e-privacywetgeving vallen? De wet stelt (uiteraard) algemene eisen, maar sommige bedrijven maken daar misbruik van, wat leidt tot scheve situaties. Bedrijven die de wet netjes naleven, krijgen bijvoorbeeld minder advertentie-inkomsten dan bedrijven die de wet aan hun laars lappen. Dat kan niet de bedoeling zijn. Het is aan de Autoriteit Persoonsgegevens om aan deze onduidelijkheid een einde te maken. En om erop te handhaven natuurlijk, want anders heeft een wet geen zin", zegt directeur Bart Combée. bron: security.nl

Aangezien er nog geen reactie is gekomen, gaan we er van uit dat je probleem is opgelost. Hierbij sluit ik het topic. Mocht je het toch terug open willen hebben, laat dit dan even weten.

Mozilla heeft een nieuwe versie van Firefox gelanceerd waarin het ftp-protocol deels wordt geblokkeerd. Een zeer groot nadeel van ftp is dat er op onbeveiligde wijze informatie wordt uitgewisseld. Zo worden inloggegevens als platte tekst naar de ftp-server verstuurd. Daarnaast maken volgens Mozilla veel malware-campagnes gebruik van gehackte ffp-servers en downloaden via het ftp-protocol malware op de apparaten van eindgebruikers. Daarom worden in Firefox 61 alle "ftp subresource loads" vanaf http- en https-sites geblokkeerd. Hierdoor zal het voor websites niet meer mogelijk zijn om bijvoorbeeld afbeeldingen, scripts en iframes via ftp te laden. Verder draaien WebExtensions op macOS nu in hun eigen proces, wat de veiligheid en stabiliteit ten goede moet komen. Ook ondersteunt Firefox nu standaard de laatste versie van de TLS 1.3-specificatie. Nieuwe Firefox-versies bevatten over het algemeen ook beveiligingsupdates, maar Mozilla maakt daar in de release notes geen melding van. Op het moment van schrijven geeft de Mozilla-pagina met "Security Advisories" geen nieuwe informatie weer. Het komt echter voor dat Mozilla beveiligingsupdates pas op een later moment bekendmaakt als gebruikers de mogelijkheid hebben gehad om te updaten naar de nieuwe versie. Dat kan via de automatische updatefunctie en Mozilla.org bron: security.nl

Het populaire ftp-programma FileZilla is opnieuw onder vuur komen te liggen wegens de aanwezigheid van adware en 'potentieel ongewenste programma's' in de installatiebundel. Eerder deze week wees een lezer van Reddit naar een topic op het forum van FileZilla. In het topic, dat van december is, stelt een FileZilla-gebruiker vragen over het feit dat verschillende anti-virusprogramma's voor de FileZilla-installatiebundel waarschuwden. Daarop stelt één van de ontwikkelaars dat het om een false positive gaat en FileZilla geen malware bevat. De reactie en uitleg van de ontwikkelaar zorgde echter voor een golf van kritiek op Reddit. Het forumtopic verscheen vervolgens op Hacker News, waar ook veel mensen zich negatief over het ftp-programma uitlieten. Volgens een nieuwe scan van de FileZilla-installatiebundel beschouwen 9 virusscanners het als verdachte software. Het gaat hier echter om de installatiebundel die via de officiële website wordt aangeboden. Deze installatiebundel biedt tijdens de installatie aanvullende software aan. Het installatieprogramma dat via Sourceforge wordt aangeboden bevat deze bundel niet en wordt door alle anti-viruspakketten op VirusTotal als schoon beschouwd. Sourceforge kwam echter in het verleden ook onder vuur te liggen wegens het bundelen van installatieprogramma's. bron: security.nl

Mozilla heeft een beveiligingstool voor Firefox ontwikkeld die gebruikers voor gehackte accounts waarschuwt. Firefox Monitor, zoals de tool heet, maakt gebruik van data die van Have I Been Pwned afkomstig is. Have I Been Pwned is een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. Volgens Mozilla is er een sterke stijging van het aantal datalekken en heeft het daarom besloten Firefox Monitor te ontwikkelen zodat gebruikers kunnen kijken of ze slachtoffer zijn geworden. Om te kijken of een account is gehackt moeten gebruikers in Firefox Monitor een e-mailadres invoeren. Mozilla merkt op dat het beschermen van de privacy van gebruikers erg belangrijk is. Daarom wordt het volledige e-mailadres van de gebruiker nooit volledig buiten Mozilla verstuurd. Zodra de gebruiker zijn e-mailadres invoert maakt Firefox Monitor hier een hash van en stuurt de eerste zes karakters naar Have I Been Pwned. Mozilla stelt dat gehashte gegevens nog steeds kwetsbaar voor bruteforce-aanvallen zijn. Een aanvaller kan een lijst met e-mailadressen langsgaan om zo het e-mailadres te vinden dat bij een bepaalde hash hoort. Om dit aanvalsoppervlak te verkleinen slaat Firefox Monitor de zogeheten range queries en resultaten niet op in een database. In plaats daarvan worden de resultaten van de gebruiker in een versleutelde clientsessie opgeslagen. Op dit moment bevindt Firefox Monitor zich nog in de testfase. Begin volgende week zullen 250.000 Firefox-gebruikers, voornamelijk in de Verenigde Staten, worden uitgenodigd om de feature te proberen. Zodra Mozilla tevreden met de testresultaten is zal de dienst voor alle Firefox-gebruikers beschikbaar worden gemaakt. bron: security.nl

Alleen door het openen van de verkeerde link of het zien van een advertentie kan een aanvaller toegang tot het lokale netwerk en achterliggende apparaten krijgen. Daarvoor waarschuwt onderzoeker Brannon Dorsey. De techniek die aanvallers hiervoor kunnen gebruiken wordt dns rebinding genoemd. Het zorgt ervoor dat een aanvaller vanaf het internet de firewall van de gebruiker kan omzeilen en zijn browser kan gebruiken om direct met de apparaten op het thuisnetwerk te communiceren. Dns rebinding kwam de afgelopen maanden verschillende keren in het nieuws. Zo bleken games van gameontwikkelaar Blizzard, zoals StarCraft en World of WarCraft, hier kwetsbaar voor te zijn, alsmede de torrentclient Transmission en de Fritzbox-modems van fabrikant AVM. De same-origin policy is een beveiligingsmaatregel die moet voorkomen dat een website die in de browser is geopend geen andere geopende websites kan benaderen. Ook zorgt het ervoor dat een script op een website geen toegang tot andere machines op het lokale netwerk kan krijgen. Een belangrijk onderdeel van de same-origin policy is het vergelijken van domeinnamen. Dns rebinding maakt hier gebruik van door het ip-adres van een domeinnaam snel te veranderen in een ander ip-adres. Voor de browser gaat het nog steeds om dezelfde domeinnaam, maar wordt er wel een ander ip-adres geladen. Dit kan zowel een lokaal als extern ip-adres zijn. Op deze manier kan een aanvaller via de browser van de gebruiker bij lokale ip-adressen komen en zo toegang tot allerlei apparaten krijgen. Dorsey plaatste op Medium een uitgebreide uitleg over de werking van dns rebinding. Ook ontdekte hij dat verschillende apparaten, zoals de Radio Thermostat CT50, Google Home, Chromecast, RokuTV en Sonos WiFi-speakers hiervoor kwetsbaar zijn of waren. Inmiddels is Roku met een update gekomen en doet Sonos dit volgende maand. Daarnaast zijn er verschillende maatregelen die eindgebruikers kunnen nemen, zoals het gebruik van OpenDNS dat verdachte ip-adressen in dns-verzoeken filtert. Een andere optie is het gebruik van Dnsmasq of het installeren van router-firmware zoals DD-WRT, aldus de onderzoeker. bron: security.nl

Oracle heeft beveiligingsupdates uitgebracht voor twee nieuwe varianten van de Spectre-aanvallen die vorige maand door Google en Microsoft werden aangekondigd. Het gaat om Spectre-variant 3a en variant 4 waarmee een aanvaller gevoelige informatie kan achterhalen. Voor het uitvoeren van de beide aanvallen moet een aanvaller al toegang tot het aangevallen systeem hebben. Voor het verhelpen van de vierde Spectre-variant moeten zowel software- als microcode-updates worden geïnstalleerd, terwijl voor de derde Spectre-variant de installatie van alleen microcode-updates voldoende is. Oracle heeft nu voor Oracle Linux en Oracle VM beveiligingsupdates uitgebracht, samen met de microcode die Intel onlangs uitrolde. bron: security.nl

De meeste Ubuntu-gebruikers die een nieuwe desktop-installatie uitvoeren kiezen ervoor om hun systeemgegevens met de ontwikkelaar te delen, zo meldt Will Cooke, directeur Ubuntu Desktop bij Canonical. In februari werd bekend dat Ubuntu gebruikers tijdens de installatie om data ging vragen. Tijdens de eerste login na de installatie verschijnt er een pop-up die vraagt of de gebruiker Ubuntu wil verbeteren. Daarin staat dat er systeemgegevens, locatiedata en informatie over geïnstalleerde applicaties worden verstuurd. Standaard staat de optie aangevinkt en gebruikers hebben de optie om het rapport met systeemgegevens eerst in te zien. Cooke meldt in een blogposting dat 67 procent van de gebruikers die de afgelopen maanden een nieuwe desktop-installatie uitvoerden hun diagnostische gegevens heeft gedeeld. Bij de aankondiging van het plan liet Cooke ook weten dat de verzamelde gegevens openbaar zouden worden gemaakt, waarbij de gebruikers anoniem zullen blijven. Het plan is dat de gegevens tijdens de ontwikkelfase van Ubuntu 18.10 beschikbaar worden gemaakt. Ubuntu heeft echter al een aantal gegevens vrijgegeven, zoals de installatietijd, schijfpartities en globale locaties van Ubuntu-gebruikers. Zo blijkt dat de gemiddelde installatie 18 minuten in beslag neemt en de meeste mensen een schone installatie uitvoeren waarbij hun schijf wordt gewist. De diagnostische data bestaat uit Ubuntu-versie, netwerkverbinding of niet, soort processor, geheugen, schijfgrootte, schermresolutie, videokaartfabrikant en model, computerfabrikant, locatie, installatieduur, of automatisch inloggen staat ingeschakeld, geselecteerde schijflayout, of er bij de installatie software van derden wordt geïnstalleerd, of het downloaden van updates tijdens de installatie staat aangevinkt en of LivePatch staat ingeschakeld of niet. Met de gegevens wil Ubuntu een duidelijker beeld van gebruikers krijgen. bron: security.nl

Softwareontwikkelaars kunnen door overheidsinstanties worden gedwongen om backdoors aan hun updates toe te voegen om gebruikers te bespioneren, zo waarschuwt de American Civil Liberties Union (ACLU). De organisatie heeft daarom een plan gemaakt wat ontwikkelaars in dit geval kunnen doen. Het is algemeen beveiligingsadvies aan gebruikers dat ze hun software regelmatig moeten updaten. Updates verhelpen kwetsbaarheden en maken systemen veiliger. Op deze manier maken ze ook het hele ecosysteem sterker. "Een netwerk is sterker wanneer alle schakels sterk zijn. En omgekeerd kan een sterk netwerk worden gehackt als er een zwakke schakel is", aldus de ACLU. Volgens de burgerrechtenbeweging kunnen overheidsinstanties kwaadaardige updates als een middel zien om mensen te surveilleren. "De Amerikaanse of andere overheden kunnen je dwingen om zulke kwaadaardige software te maken en installeren. Een rechercheur kan eisen dat je je software aanpast om het aantal keren te omzeilen dat er een foutieve pincode kan worden ingevoerd, aftappen in te schakelen, de camera aan te zetten of iemand fysiek te volgen." Als voorbeeld wordt de zaak van de San Bernardino-schutter genoemd. De schutter had een iPhone bij zich die vergrendeld was. De FBI vroeg Apple vervolgens om te helpen bij het ontgrendelen van het toestel. Apple weigerde dit, waarop de opsporingsdienst naar de rechter stapte. Die gaf de FBI gelijk en stelde dat Apple een aangepaste versie van iOS moest maken zodat de beveiliging van de iPhone, die na tien verkeerde pincodes alle data op het toestel wist, was te omzeilen. Apple ging tegen de uitspraak in beroep, maar nog voor beide partijen zich opnieuw voor de rechter moesten verantwoorden besloot de FBI de zaak te laten vallen omdat een niet nader genoemde leverancier had aangeboden het toestel te ontgrendelen. Stappenplan Vanwege het risico dat dergelijke updates voor de privacy en veiligheid van gebruikers vormen komt de ACLU met een stappenplan. Daarin staat wat softwareontwikkelaars kunnen doen als ze een gerechtelijk bevel ontvangen om een backdoor of malware aan een update toe te voegen. Zo wordt het gebruik van digitale handtekeningen voor updates aangeraden en "mirrorable distribution", waarbij gebruikers en tussenpartijen informatie over beschikbare updates onder elkaar kunnen uitwisselen. Dit moet met name het uitvoeren van een gerichte aanval tegen een specifieke gebruiker lastiger maken. Daarnaast adviseert de ACLU een proces om met dergelijke overheidsverzoeken om te gaan en wordt het inschakelen van een advocaat aangeraden. bron: security.nl

Beste fritz the fox, Kun je ook hier laten weten hoe het met je probleem staat? Indien het opgelost is, laat het dan ook even weten zodat we dit topic kunnen sluiten.

Beste Fritz the Fox, Aangezien je al een tijdje niet meer gereageerd hebt ga ik er van uit dat je probleem dankzij de hulp van kweezie wabbit is opgelost. Daarom sluit ik het topic. Is je probleem er nog steeds en wil je het weer open hebben, stuur dan even een berichtje.

Onderzoekers waarschuwen voor een phishingmail waarbij aanvallers een XPS-bestand gebruiken om het Microsoft-wachtwoord van de ontvanger te stelen. De e-mail gaat over een betaling en bevat een XPS-bestand. XPS staat voor XML Paper Specification en is Microsofts tegenhanger van pdf. Zodra gebruikers het bestand openen krijgen ze de tekst te zien dat het om een beveiligd document gaat dat via een apart icoon in het document te openen is. Dit document wijst naar een phishingsite waar de gebruiker met zijn Microsoft-wachtwoord moet inloggen. Zodra de gebruiker dit doet kan de aanvaller op het account inloggen en meer phishingmails versturen. Volgens Lorna Hutcheson, handler bij het Internet Storm Center, worden XPS-bestanden niet vaak gebruikt bij phishingaanvallen en komen gebruikers ze ook niet vaak tegen. Daarnaast staan ze waarschijnlijk niet op de blacklist van de meeste e-mailgateways. Organisaties die geen gebruik van XPS-bestanden maken krijgen dan ook het advies die op de gateway te blokkeren. "Dit is ook een goed voorbeeld van hoe belangrijk het is om je werknemers te trainen om alert te zijn op onverwachte e-mails en niet zomaar op alles te klikken", aldus Hutcheson. bron: security.nl

Onderzoekers hoeven niet langer meer de Control Flow Guard (CFG) beveiligingsfeature in Windows 10 te onderzoeken, aangezien de beperkingen bij Microsoft bekend zijn, zo laat de softwaregigant weten. CFG is een beveiligingsmaatregel in Windows 10 die het kapen van code door aanvallers moet voorkomen en veel bekende aanvalstechnieken op deze manier weet te dwarsbomen. CFG was een onderdeel van het beloningsprogramma van Microsoft. Onderzoekers die de beveiligingsfeatures van Windows weten te omzeilen kunnen dit aan Microsoft melden en worden hiervoor beloond. CFG was volgens de softwaregigant een zeer populair doel voor beveiligingsonderzoekers. "Dankzij dit onderzoek hebben we veel geleerd over de verschillende bugs en ontwerpbeperkingen van CFG", zegt Microsofts Joe Bialek. Inmiddels is er echter genoeg over de beperkingen van CFG bekend en heeft Microsoft besloten om het uit het beloningsprogramma voor onderzoekers te halen. "We denken dat we genoeg weten over de beperkingen van CFG en het dreigingsmodel waar we het ontwerp voor moeten aanpassen", gaat Bialek verder. Hij stelt dat aanvullend onderzoek naar het omzeilen van CFG geen zin heeft totdat de nu bekende beperkingen zijn verholpen. Ook wil Microsoft dat onderzoekers zich op andere onderdelen gaan richten. Hoewel er geen beloningen voor CFG meer worden uitgekeerd is Microsoft niet van plan om de beveiligingsfeature uit Windows 10 te verwijderen. Nadat de tekortkomingen zijn verholpen is de softwaregigant van plan om CFG weer aan het programma toe te voegen. bron: security.nl

ProtonVPN gaat in meer landen servers neerzetten waar gebruikers uit kunnen kiezen, zo heeft de vpn-dienst bij het eenjarig bestaan laten weten. Op dit moment heeft de vpn-dienst meer dan honderd servers in vijftien landen staan. Tegen het einde van het jaar zal het om twintig landen gaan. Het aantal gebruikers is inmiddels de 500.000 gepasseerd. ProtonVPN is ontwikkeld door hetzelfde team van wetenschappers dat eerder de versleutelde e-maildienst ProtonMail lanceerde. De vpn-dienst kent zowel een gratis als betaalde optie. Gratis gebruikers kunnen kiezen uit servers in Japan, Nederland en de Verenigde Staten. Betalende gebruikers hebben keuze uit meer landen. ProtonVPN stelt dat deze betalende gebruikers het mogelijk maken om een gratis vpn-dienst aan te bieden die de privacy van gebruikers niet misbruikt. Via een virtual private network (vpn) is het mogelijk om het internetverkeer via een versleutelde tunnel naar een andere computer te laten lopen. Het wordt gebruikt om verkeer op bijvoorbeeld open wifi-netwerken te beschermen, censuur te omzeilen en het browsegedrag voor de eigen internetprovider af te schermen. De vpn-dienst heeft zelfs een speciale uitleg online staan om Netflix te kijken en het WK-voetbal te volgen. bron: security.nl

Aanvallers hebben een manier ontdekt om het phishingfilter van Microsoft te omzeilen. De e-mails worden voorzien van verborgen woorden die een fontgrootte van nul hebben. Daardoor zijn ze niet zichtbaar voor de ontvanger van de e-mail, maar kunnen ze wel het Microsoft-filter misleiden. Microsoft past "natuurlijke taalverwerking" toe om te kijken of de inhoud van een e-mail frauduleus is. Wanneer er bijvoorbeeld "Copyright 2018 Apple Corporation. All rights reserved" onderaan het bericht staat en de e-mail is niet van Apple afkomstig, wordt de e-mail als frauduleus bestempeld. Via natuurlijke taalverwerking wordt de context en bedoeling van de e-mail geïnterpreteerd en vervolgens gecorreleerd met de afzender. Door de fontgrootte te manipuleren is het mogelijk om het filter andere woorden te laten "lezen" dan de ontvanger van het bericht. Microsofts filter leest namelijk de platte tekst van een bericht, terwijl de gebruiker de html-versie te zien krijgt. Volgens securitybedrijf Avanan wordt de tactiek inmiddels door phishingmails gebruikt. In onderstaande afbeelding is de tekst te zien die de gebruiker krijgt voorgeschoteld en de html-versie die door het filter wordt verwerkt. bron: security.nl

De nieuwe Europese privacywetgeving AVG zal browser fingerprinting niet snel laten verdwijnen, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Browser fingerprinting is een techniek waarmee trackers en advertentienetwerken internetgebruikers zonder het gebruik van cookies en ip-adressen kunnen volgen. Via http-headers die de browser verstuurt en JavaScript is het mogelijk om allerlei variabelen te achterhalen, zoals taalinstelling, tijdszone, besturingssysteem, schermresolutie en geïnstalleerde fonts en plug-ins. Uit eerdere onderzoeken blijkt dat internetgebruikers op basis van hun unieke browser fingerprint zijn te identificeren. Onder de AVG zijn websites verplicht om het gebruik van browser fingerprinting aan gebruikers te melden en hier toestemming voor te vragen. Pas dan kan de techniek worden toegepast. "Aangezien het doel van fingerprinting is om niet door de gebruiker te worden opgemerkt is het niet verrassend dat trackers deze standaard niet toepassen", aldus Bill Budington van de EFF. "Aan de hand van de manier waarop fingerprinting tot nu toe is ingezet, is het lastig voor te stellen dat bedrijven van opzettelijke obscuriteit naar volledige transparantie en open communicatie met gebruikers gaan." Het heimelijk uitvoeren van browser fingerprinting kan grote kosten voor bedrijven met zich meebrengen, aangezien er hoge straffen staan op het overtreden van de AVG. "Maar dat is alleen in theorie. We verwachten niet dat de AVG fingerprinting snel zal laten verdwijnen, net zoals de Europese ePrivacy verordening niet voor het einde van trackingcookies heeft gezorgd", stel Budington. Hij verwacht dat niet-Europese websites er mogelijk voor zullen kiezen om de Europese privacywetgeving te negeren in de hoop dat ze de gevolgen kunnen ontsnappen. Voordat de AVG dan ook resultaten zal opleveren moeten browserontwikkelaars, standaardenorganisaties, privacyvoorstanders en technologen blijven samenwerken om de hoeveelheid informatie te beperken die derde partijen via de browser van gebruikers kunnen achterhalen, aldus de EFF. bron: security.nl

De ontwikkelaar van de encryptiesoftware VeraCrypt zoekt hulp om volledige schijfversleuteling van Windows-systemen mogelijk te maken. VeraCrypt is een opensource-encryptieprogramma voor Windows, macOS en Linux, gebaseerd op het populaire TrueCrypt waarvan de ondersteuning in 2014 werd gestopt. De software maakt het mogelijk om systemen volledig te versleutelen of versleutelde containers aan te maken. Een probleem op nieuwere Windows-systemen waar Secure Boot standaard staat ingeschakeld is dat volledige schijfversleuteling niet wordt ondersteund. Secure Boot is een beveiligingsstandaard die ervoor zorgt dat een computer bij het opstarten alleen maar software laadt die wordt vertrouwd door de fabrikant. Microsoft en sommige computerfabrikanten vereisen dat bij het opstarten van de computer hun eigen certificaat wordt geladen, aangezien ze hun eigen EFI-drivers tijdens het opstarten draaien. Zonder het certificaat worden de drivers niet vertrouwd en zal de machine niet starten. Om de VeraCrypt-bootloader met Secure Boot te laten werken moeten de VeraCrypt-sleutels in de firmware geladen worden, waarvoor een script is ontwikkeld. Het script blijkt op sommige computers niet te werken, aangezien alleen het VeraCrypt-certificaat en twee certificaten van Microsoft en sommige computerfabrikanten worden geladen. Om dit probleem te verhelpen vraagt VeraCrypt-ontwikkelaar Mounir Idrassi dat computergebruikers het certificaat van hun computer opsturen, zodat het in VeraCrypt kan worden verwerkt. Van hoe meer fabrikanten de certificaten beschikbaar zijn, des te groter de kans dat de software straks op meer computers met Secure Boot werkt. Hiervoor heeft Idrassi een tool gemaakt die de EFI-variabele van de firmware uitleest en verschillende bestanden en mappen met de firmwarecertificaten aanmaakt. Vervolgens kunnen gebruikers deze bestanden naar het VeraCrypt-forum uploaden. Sinds de oproep heeft Idrassi bestanden van zo'n 20 computers ontvangen en is er een bètaversie verschenen die de Secure Boot-sleutels van verschillende computerfabrikanten bevat. bron: security.nl

De makers van het besturingssysteem OpenBSD hebben besloten om hyperthreading standaard op systemen met een Intel-processor uit te schakelen, aangezien het een serieus beveiligingsrisico is. Dat laat Mark Kettenis van het OpenBSD-project op de OpenBSD-mailinglist weten. Simultaneous multithreading (SMT) is een techniek die de prestaties van moderne processors moet verbeteren. Het zorgt er onder andere voor dat cachegeheugen onder verschillende processor-threads wordt gedeeld. Dit maakt het volgens Kettenis veel eenvoudiger om cache timing-aanvallen uit te voeren en zou er ook voor zorgen dat verschillende Spectre-achtige kwetsbaarheden zijn aan te vallen. Het probleem speelt vooral bij Intels propriëtaire implementatie van SMT genaamd hyperthreading, aldus Kettenis. "We moeten geen verschillende beveiligingsdomeinen op verschillende processor-threads op dezelfde core draaien", zo laat hij weten. Het is echter lastig om dit binnen OpenBSD aan te passen. Daar komt bij dat moderne computers niet de mogelijkheid bieden om hyperthreading via het bios uit te schakelen en er dus geen manier is om het gebruik van extra processor-threads in de OpenBSD-scheduler uit te schakelen. "Aangezien we denken dat het om een serieus beveiligingsrisico gaat, hebben we ze nu standaard uitgeschakeld", gaat Kettenis verder. Gebruikers kunnen de optie wel weer inschakelen. Op dit moment geldt dit alleen voor OpenBSD-systemen met een Intel-processor, maar het ontwikkelteam is van plan om de feature ook voor processors van andere leveranciers en andere hardware-architecturen door te voeren. Kettenis merkt op dat SMT niet per definitie een positief effect op de prestaties hoeft te hebben. Dit hangt vooral van de werklast af. "Het is waarschijnlijker dat het de meeste werklasten zal vertragen als je een processor met meer dan twee cores hebt", aldus Kettenis. Op Hacker News is er inmiddels een uitgebreide discussie over de beslissing ontstaan. bron: security.nl

Registrars GoDaddy en Public Domain Registry (PDR) hebben 1000 malafide webshops offline gehaald. De Consumentenbond deed onderzoek naar webwinkels die zogenaamd met hoge kortingen merkkleding of luxe producten verkopen, maar in werkelijkheid nepproducten of soms zelfs helemaal niets leveren. In veel gevallen maken deze winkels gebruik van vrijgekomen domeinnamen. In totaal ontdekte de Consumentenbond 2000 verdachte websites. De overgrote meerderheid van de sites (92 procent) is geregistreerd via vier registrars. Het gaat om Public Domain Registry (PDR) uit India, het Amerikaanse GoDaddy, 1API uit Duitsland en het Nederlandse Registrar.eu. 1API en Openprovider (het bedrijf achter Registrar.eu) haalden eerder al 850 sites die bij hen geregistreerd stonden offline. Na overleg met GoDaddy en PDR zijn nu ook 1000 andere malafide webshops uit de lucht gehaald. Detectiesysteem De Stichting Internet Domeinregistratie Nederland (SIDN), beheerder van de .nl-domeinnamen, heeft aangegeven te werken aan een geautomatiseerd systeem waarbij ze malafide websites sneller en op grotere schaal kan opsporen en doorspelen aan de registrars om ze offline te laten halen. Dat moet criminelen ontmoedigen om voor een .nl-domein te kiezen. Volgens de SIDN gaat het om een relatief nieuwe detectiemethode. Tot voor kort werden malafide websites nog handmatig en op basis van meldingen door de stichting opgespoord . bron: security.nl

False positives, waarbij virusscanners schone bestanden als malware beschouwen, kunnen grote gevolgen voor ontwikkelaars, anti-virusbedrijven en eindgebruikers hebben. Aanleiding voor Googles VirusTotal om een nieuwe dienst te lanceren die false positives moet voorkomen. VirusTotal is een dienst van Google waar gebruikers verdachte bestanden door meer dan 70 anti-virusbedrijven kunnen laten scannen. De nu gelanceerde "VirusTotal Monitor" laat softwareontwikkelaars hun bestanden naar een private cloud binnen VirusTotal uploaden. Vervolgens worden de bestanden dagelijks door de meer dan 70 anti-virusbedrijven op VirusTotal gescand. De bestanden blijven hierbij privé en worden niet met derde partijen gedeeld. Alleen als een bestand als malware wordt beschouwd wordt die met het anti-virusbedrijf gedeeld dat de waarschuwing veroorzaakt. Zodra er een onterechte detectie plaatsvindt worden zowel de softwareontwikkelaar als het anti-virusbedrijf geïnformeerd. Het anti-virusbedrijf krijgt zo toegang tot het bestand en diens metadata, zoals het bedrijf achter het bestand en contactgegevens van de softwareontwikkelaar. Op deze manier kan het probleem snel worden verholpen. Het proces vindt geheel geautomatiseerd plaats, zodat softwareontwikkelaars niet met 70 verschillende anti-virusbedrijven hoeven te communiceren. Emiliano Martinez van VirusTotal stelt dat de nieuwe dienst geen vrijbrief is om elk bestand door virusscanners goedgekeurd te laten krijgen. "Soms zullen leveranciers inderdaad bepalen om detecties voor bepaalde software aan te houden. Door contextuele informatie over de ontwikkelaar te geven kunnen ze werk prioriteren wat hopelijk tot een wereld met minder false positives leidt", aldus Martinez. bron: security.nl

PayPal heeft een e-mail naar gebruikers gestuurd waarin wordt gevraagd om de browser voor 30 juni te updaten, omdat anders de website van de betaaldienst niet meer kan worden bezocht. Aanleiding voor de berichtgeving zijn nieuwe beveiligingsstandaarden van de Payment Card Industry Security Standards Council. Die stellen dat vanaf 30 juni ssl en oudere tls-versies niet meer mogen worden gebruikt voor het opzetten van een beveiligde verbinding tussen gebruikers en website. Websites die van PayPal gebruikmaken moeten hun PayPal-integratie naar tls versie 1.2 updaten. De standaarden hebben ook gevolgen voor internetgebruikers die via PayPal betalen. Die moeten namelijk naar een browser updaten die tls 1.2 ondersteunt. PayPal heeft inmiddels een uitleg online gezet hoe gebruikers via tlstest.paypal.com kunnen testen of hun browser met tls 1.2 werkt. Op Twitter klagen meerdere mensen over de e-mail van PayPal, aangezien hun browser up-to-date is maar ze nog steeds het bericht ontvingen. PayPal stelt dat het aan een oplossing werkt en mensen vanaf morgen alleen nog e-mails ontvangen als ze echt hun browser moeten updaten. bron: security.nl

Google Home en de Google Chromecast kunnen de locatiegegevens van gebruikers tot op een paar meter nauwkeurig lekken, zo heeft onderzoeker Craig Young van securitybedrijf Tripwire ontdekt. De apparaten zijn via de Home-app te configureren, die de meeste acties via de Google-cloud uitvoert. Voor sommige taken wordt echter een lokale http-server gebruikt. Commando's om bijvoorbeeld de naam en wifi-verbinding van het apparaat in te stellen worden zonder enige vorm van authenticatie naar het apparaat verstuurd. Hoewel Googles app stelt dat gebruikers op een Google-account moeten zijn ingelogd dat aan het apparaat is gekoppeld, ontbreekt er op protocolniveau een authenticatiemechanisme. Een aanvaller kan zo niet alleen het scherm kapen waarop de Chromecast of Google Home is aangesloten, maar ook allerlei gegevens achterhalen waarmee de fysieke locatie van de apparaten is te bepalen. Google beschikt over een uitgebreide database van allerlei wifi-netwerken wereldwijd die aan een fysieke locatie zijn gekoppeld. Door de signaalsterkte van wifi-netwerken in de buurt te analyseren kan Google trianguleren waar een gebruiker zich precies bevindt. Om de aanval uit te voeren en de gegevens van een Chromecast te achterhalen moet een aanvaller het doelwit eerst een link laten openen. Vervolgens moet de link een minuut in de browser van de gebruiker open blijven voordat de aanvaller de locatiegegevens kan achterhalen. Het is echter mogelijk om de kwaadaardige content in een advertentie of zelfs een tweet te verbergen. Google is van plan om halverwege volgende maand met een update te komen, zo meldt it-journalist Brian Krebs. In onderstaande video wordt de aanval gedemonstreerd. bron: security.nl

De meeste mensen hebben nog nooit de firmware van hun router geüpdatet, zo blijkt uit twee onderzoeken. Anti-virusbedrijf Avast deed een onderzoek onder Amerikaanse internetgebruikers. 72 procent van de deelnemers had nog nooit zijn firmware geüpdatet en 51 procent had nog nooit op de router ingelogd om het standaard ingestelde wachtwoord te wijzigen. De cijfers komen overeen met een onderzoek dat in april van dit jaar onder 2200 Britten werd uitgevoerd. Bij dit onderzoek had 86 procent nog nooit de firmware van zijn of haar router geüpdatet. Ook bleek dat 82 procent van de deelnemers nooit het beheerderswachtwoord had gewijzigd. Op de vraag waarom mensen de instellingen van hun router niet wijzigen stelt bijna de helft dat ze niet weten waarom ze dit moeten doen en 34 procent zegt niet te weten hoe het gedaan moet worden. bron: security.nl