Captain Kirk

De makers van de Vivaldi-browser hebben vanwege het dataschandaal met Cambridge Analytica besloten om Facebook als standaard bookmark uit de browser te verwijderen. Vivaldi biedt gebruikers een "Speed Dial" pagina met allerlei bookmarks van populaire websites, waaronder ook Facebook. "Het continue gebrek aan respect voor de privacy van gebruikers en het enge niveau waarop adverteerders gebruikers kunnen benaderen staat recht tegenover onze visie bij Vivaldi", aldus Vivaldi-oprichter Jon von Tetzchner. "Wij willen een internet waar gebruikers eerst komen. Waar gebruikersgegevens niet onnodig worden verzameld en gedeeld. Zoals we eerder hebben gezegd, hoort het beschermen van privacy de standaard te zijn." Daarom zal Facebook voortaan geen standaard bookmark meer zijn. "Het is niet langer een platform waarvan we vinden dat we gebruikers kunnen aanmoedigen om het te gebruiken", gaat Tetzchner verder. De aanpassing is alleen bij nieuwe installaties van de browser zichtbaar. Bij bestaande gebruikers zal er niets worden aangepast. bron: security.nl

Doordat Netflix de e-mailadressen van gebruikers niet verifieert en Google stelt dat punten in Gmail-adressen "geen problemen opleveren" ontstaat er er een beveiligingslek, zo ontdekte softwareontwikkelaar Jim Fisher. Fisher ontving een e-mail van Netflix over een geblokkeerd account die eigenlijk voor een andere gebruiker was bedoeld. Dit was mogelijk door de manier waarop Netflix en Gmail werken. Fisher registreerde voor zichzelf het e-mailadres jameshfisher@gmail.com. E-mails die naar james.hfisher@gmail.com worden gestuurd ontvangt hij echter ook. Dit komt door de feature die Google tien jaar geleden aan Gmail toevoegde, waardoor punten "geen problemen opleveren". Zodoende is Fisher eigendom van alle varianten van zijn e-mailadres met een punt erin. Netflix verifieert bij de registratie geen e-mailadressen. In dit specifieke geval had de Netflix-gebruiker waarschijnlijk een verkeerd e-mailadres opgegeven. Aangezien de e-mail bij Fisher uitkomt kon hij ook een wachtwoordreset uitvoeren, wat hij ook deed. Zodoende kon hij zien waar de gebruiker de afgelopen maanden allemaal naar had gekeken. De werkwijze tussen Netflix en Google maakt het ook mogelijk om gebruikers te scammen, zo laat Fisher weten. Volgens de softwareontwikkelaar ligt het probleem bij Gmail, en dan met name de punten-functie. Beveiligingsexpert Bruce Schneier stelt dat het probleem subtieler is. "Het is een voorbeeld van twee systemen zonder kwetsbaarheid die samenkomen om een beveiligingslek te veroorzaken. Nu we meer systemen aan elkaar koppelen, zullen we veel meer van dit soort kwetsbaarheden zien." Op Hacker News en Reddit heeft het voorval voor een verhitte discussie gezorgd over welke partij voor de kwetsbaarheid verantwoordelijk is. Google geeft op een aparte pagina uitleg wat mensen kunnen doen als ze mail voor andere personen ontvangen. bron: security.nl

Onderzoekers hebben een dns-oplossing ontwikkeld die de privacy van internetgebruikers moet beschermen. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Standaard maken internetgebruikers gebruik van de dns-servers van hun internetprovider. Die kan echter zien welke websites hun abonnees opvragen. Nu zijn er alternatieve dns-aanbieders zoals CloudFlare, Google, OpenDNS en Quad9. In dit geval gaan de dns-verzoeken naar de alternatieve dns-aanbieder. Dit houdt echter in dat de gebruiker deze partij moet vertrouwen. Daarnaast zijn dns-verzoeken meestal onversleuteld en bevatten die informatie zoals de website die de gebruiker bezoekt, het ip-adres of subnet van het apparaat waar het verzoek van afkomstig is en zelfs de soorten apparaten die een gebruiker in zijn of haar thuisnetwerk heeft staan, aldus onderzoekers van de Princeton University. Er zijn wel oplossingen om de privacy te verbeteren, zoals dns over tls waarbij dns-verzoeken worden versleuteld, maar die lossen niet het fundamentele probleem van dns-privacy op. Namelijk dat de dns-server kan zien dat een bepaald ip-adres een website opvraagt. De onderzoekers hebben daarom een oplossing bedacht genaamd "Oblivious DNS" (ODNS). ODNS functioneert net als het normale dns, maar heeft twee extra onderdelen. Elke client draait een lokale ODNS-stubresolver en er wordt een zogeheten "ODNS authoritative zone" toegevoegd die ook als dns-resolver fungeert. Wanneer bijvoorbeeld de browser van een gebruiker het ip-adres van een website wil opvragen, zorgt de lokale stubresolver ervoor dat de opgevraagde domeinnaam geobfusceerd is. Zodoende weet de recursive dns-server niet welk domein er wordt opgevraagd. De authoritative nameserver voor ODNS verwijdert de identiteit van de gebruiker uit zijn dns-verzoek, zodat de uiteindelijke nameserver niet weet wie het ip-adres van een bepaald domein opvraagt. In de praktijk werkt dit als volgt. De browser van de gebruiker wil de website foo.com opvragen. De stubresolver genereert een sessiesleutel "k", versleutelt het opgevraagde domein en voegt de tld-extensie .odns toe. Dit resulteert in {foo.com}k.odns. De browser stuurt dit verzoek met de sessiesleutel naar de recursive resolver, die het doorstuurt naar de authorative nameserver voor .odns. Deze ODNS-nameserver ontsleutelt de sessiesleutel met de eigen privésleutel en ontsleutelt vervolgens het opgevraagde domein met de sessiesleutel. De ODNS-nameserver stuurt vervolgens een dns-verzoek naar de nameserver van foo.com. Deze server stuurt het antwoord naar de ODNS-nameserver terug. De ODNS-nameserver versleutelt dit antwoord, dat de domeinnaam foo.com en het ip-adres, en stuurt het terug naar de gebruiker. Zijn stubresolver kan vervolgens zowel het domein als het ip-adres ontsleutelen. De onderzoekers hebben nu een eerste prototype gemaakt waaruit blijkt dat ODNS 10 tot 20 milliseconden aan elk dns-verzoek toevoegt. Aangezien dns gebruik van caching maakt verwachten de onderzoekers dat de impact in de praktijk kleiner zal zijn. Er wordt nu aan een grootschaliger prototype gewerkt, waar ook partners voor worden gezocht. bron: security.nl

Websites met een beveiligde verbinding zijn op dit moment binnen Google Chrome te herkennen aan een groen slotje en de melding "Veilig", maar Google is van plan om deze indicatoren uiteindelijk niet meer via de adresbalk weer te geven. Een beveiligde verbinding wordt de standaard en gebruikers krijgen alleen nog een melding te zien als ze een website met een onbeveiligde verbinding bezoeken. Dat liet Emily Schechter, productmanager Chrome Security, deze week tijdens een beveiligingsconferentie op Hawaii weten. Ook meldde ze dit op Twitter. Google heeft onderzoek laten doen waaruit blijkt dat mensen moeite met url's hebben. Ze zouden gebruikers moeten helpen met het identificeren van websites en het navigeren op internet, maar dat blijkt in de praktijk tegen te vallen, aldus Schechter. Om de uitrol van https onder websites te bevorderen besloot Google niet alleen om bij https-sites de melding "Veilig" in de adresbalk weer te geven, maar bij http-sites de melding "Niet veilig" te tonen. Een proces dat in juli van dit jaar wordt afgerond, als bij alle http-websites in Chrome de melding "Niet veilig" verschijnt. Het uiteindelijke plan van Google is om binnen Chrome het slot-icoon en de Veilig-melding te laten verdwijnen, zodat gebruikers alleen nog een melding krijgen als ze een http-site bezoeken. De presentatie van Schechter moet nog online verschijnen, maar onderzoekers Troy Hunt en Scott Helme die bij de presentatie waren, bespreken in deze podcast het plan van Google. bron: security.nl

Microsoft heeft opslagdienst OneDrive van verschillende functies voorzien die bestanden tegen ransomware en andere aanvallen moeten beschermen. De zakelijke versie van OneDrive beschikte al over een functie genaamd "Files Restore", die nu ook aan de versie voor eindgebruikers is toegevoegd. Via Files Restore kunnen gebruikers hun gehele OneDrive herstellen naar een eerder punt in de afgelopen 30 dagen. Office 365 kan daarnaast ransomware-aanvallen detecteren en gebruikers helpen met het herstellen van hun OneDrive naar een punt van voor de infectie. Wanneer Microsoft een ransomware-aanval detecteert krijgt de gebruiker via e-mail, mobiel of desktop een waarschuwing en zal vervolgens in het herstelproces worden begeleid. Een andere nieuwe beveiligingsfunctie voor OneDrive maakt het mogelijk om voor links waarmee bestanden worden gedeeld een wachtwoord in te stellen. Zodra de ontvanger van de link de via OneDrive gedeelde bestanden wil benaderen moet hij een wachtwoord opgeven. Verder zal Microsoft links in Word-, Excel- en PowerPoint-bestanden gaan scannen zodra de gebruiker die opent. Outlook.com Voor gebruikers van Outlook.com heeft Microsoft e-mailversleuteling toegevoegd. Wanneer Oulook.com-gebruikers een versleutelde e-mail naar iemand versturen die geen gebruikmaakt van Microsofts e-maildienst, ontvangt deze persoon een link naar een Office 365-pagina waar gekozen kan worden om een eenmalige code te ontvangen of zich opnieuw te authenticeren via een provider voordat de mail bekeken kan worden. Outlook.com-gebruikers die onderling versleuteld e-mailen hoeven geen extra stappen te nemen. Daarnaast is het nu mogelijk om het doorsturen van e-mails die via Outlook.com zijn verstuurd te voorkomen. Ook zullen Office-documenten die aan deze e-mails zijn toegevoegd worden versleuteld, zelfs na het downloaden. Wanneer de ontvanger van de bijlage besluit om die door te sturen of te delen, zal de ontvanger van de doorgestuurde e-mail de bijlage niet kunnen openen. E-mails waarvan is ingesteld dat ze niet mogen worden doorgestuurd zijn daarnaast ook versleuteld.

Gehackte websites zijn de afgelopen maanden gebruikt om zogenaamde software-updates te verspreiden die in werkelijkheid de NetSupport-tool installeren, waarmee aanvallers volledige controle over de computer van hun slachtoffer krijgen. Dat meldt securitybedrijf FireEye. Zodra de gehackte websites worden bezocht verschijnt er een melding dat de gebruiker Adobe Flash Player, Google Chrome of Mozilla Firefox moet updaten. Het aangeboden JavaScript-bestand, dat bij Dropbox wordt gehost, downloadt de uiteindelijke lading. Het gaat om de NetSupport Manager remote access tool (RAT). NetSupport Manager is een legitiem commercieel pakket dat systeembeheerders gebruiken om op afstand systemen te beheren. De tool biedt een remote desktop, het starten van progamma's op de client, uitwisselen van bestanden en het tonen van de geolocatie. Onderzoekers van FireEye wisten toegang tot de server te krijgen die de aanvallers gebruiken. Daar vonden ze ook een bestand met ip-adressen en user-agents. Mogelijk gaat het hier om ip-adressen van gecompromitteerde systemen. De meeste ip-adressen in het bestand waren afkomstig uit Nederland, Duitsland en de Verenigde Staten. "RATs worden vaak voor legitieme doeleinden gebruikt, meestal door systeembeheerders. Aangezien legitieme applicaties eenvoudig verkrijgbaar zijn, kunnen criminelen er gebruik van maken en soms verdenkingen door de gebruiker voorkomen", zegt onderzoeker Sudhanshu Dubey. bron: security.nl

Anti-virusbedrijf Avast heeft een nieuwe versie van de eigen browser gelanceerd die gebruikers meer privacy, veiligheid en prestaties moet bieden dan "mainstream" browsers. Volgens de virusbestrijder schieten bekende browsers tekort als het gaat om security en privacy. Gebruikers moeten vervolgens zelf via extensies en andere software aanvullende beveiligingslagen toevoegen. De Avast Secure Browser is op Chromium gebaseerd, net als Google Chrome, en wordt standaard met de adblocker Adblock meegeleverd en andere privacymaatregelen. Ook beschikt de browser over een "Bank Mode" die moet voorkomen dat de invoer van gebruikers, zoals wachtwoorden of creditcardnummers, door cybercriminelen kunnen worden gezien. De Extension Guard van de browser moet de installatie van ongewenste add-ons of extensies voorkomen. De Avast Secure Browser is compatibel met Windows 7, 8.1 en 10. Mobiele versies voor iOS en Android moeten later dit jaar verschijnen. bron: security.nl

Cisco-switches die binnen de vitale infrastructuur worden gebruikt zijn het doelwit van aanvallen geworden, zo heeft de netwerkgigant laten weten. Volgens Cisco maken "specifieke geraffineerde actoren" gebruik van een kwetsbaarheid in de Cisco Smart Install Client. In verschillende landen hebben zich inmiddels incidenten voorgedaan. Daarbij zijn ook systemen in de vitale infrastructuur het doelwit geworden. Sommige van deze aanvallen zouden mogelijk door landen zijn uitgevoerd, aldus Cisco in een waarschuwing. Vorig jaar februari waarschuwde de netwerkgigant al dat aanvallers naar Smart Install Clients aan het scannen waren. Een aantal maanden later in augustus gaf de Australische overheid een waarschuwing af dat Cisco-routers en -switches werden aangevallen. Smart Install is een 'plug-and-play' feature voor het configureren en uitrollen van switches. Volgens Cisco is het een legacy-tool om "no-touch" installaties van nieuwe Cisco-apparatuur mogelijk te maken. Vanwege de scans die vorig jaar plaatsvonden publiceerde Cisco een scantool en een blogposting. Het Smart Install-protocol kan worden misbruikt om de TFTP-serverinstellingen aan te passen, configuratiebestanden te stelen via TFTP, het configuratiebestand aan te passen, het IOS-image van de router of switch te vervangen, accounts aan te maken of IOS-commando's uit te voeren. IOS is het besturingssysteem dat op de netwerkapparatuur van Cisco draait. Volgens Cisco is er geen sprake van een kwetsbaarheid in de "klassieke zin" van het woord, maar is misbruik van het protocol een aanvalsvector die direct moet worden verholpen, aldus de netwerkgigant. Die besloot te kijken hoeveel systemen kwetsbaar zijn en ontdekte meer dan 168.000 systemen die via de Cisco Smart Install Client risico lopen. Beheerders van Cisco-apparaten krijgen dan ook het advies om te controleren of hun apparatuur kwetsbaar is. In deze blogposting geeft Cisco enkele aanwijzingen om het probleem te verhelpen. bron: security.nl

Intel heeft een waarschuwing gegeven aan gebruikers van de Remote Keyboard-app op Android en iOS om het programma te verwijderen. Verschillende kwetsbaarheden maken het mogelijk voor een aanvaller om toetsaanslagen te injecteren en code met de rechten van de gebruiker uit te voeren. De Remote Keyboard-app was ontwikkeld voor de Intel NUC- en Compute Stick-apparaten die op Windows 8.1 en Windows 10 draaien en maakt het mogelijk om de muis of keyboard via de smartphone of tablet te bedienen. Hiervoor wordt gebruik gemaakt van het WiFi Direct-protocol. De app bevat echter drie kwetsbaarheden. Het eerste beveiligingslek laat een aanvaller op het netwerk toetsaanslagen in het verkeer tussen de app en het apparaat injecteren die als de lokale gebruiker worden uitgevoerd. De tweede kwetsbaarheid laat een aanvaller toetsaanslagen in een andere remote keyboard-sessie injecteren. Als laatste is er een beveiligingslek waardoor een geautoriseerde lokale aanvaller willekeurige code met de rechten van de gebruiker kan uitvoeren. De Remote Keyboard-app wordt niet meer door Intel ondersteund, wat inhoudt dat de kwetsbaarheden niet zullen worden verholpen. De chipgigant adviseert gebruikers dan ook om de Remote Keyboard-app te verwijderen. De app is inmiddels uit de Play Store verwijderd. De Android-versie had tussen de 500.000 en 1 miljoen gebruikers. bron: security.nl

Het dataschandaal bij Facebook heeft 87 miljoen gebruikers getroffen en niet 51 miljoen zoals eerst werd aangenomen, zo heeft de sociale netwerksite laten weten. Veruit het grootste deel (70 miljoen) betreft Amerikaanse gebruikers. Er zijn echter ook gegevens van 90.000 Nederlandse Facebook-gebruikers ongeoorloofd met Cambridge Analytica gedeeld, aldus Facebook tegenover de NOS. Gisteren deed Facebook in totaal drie aankondigingen over het dataschandaal. Als eerste maakte de sociale netwerksite bekend dat de algemene voorwaarden en het databeleid duidelijker worden gemaakt. Zo worden de aangeboden diensten in beter te begrijpen taal uitgelegd en beschrijft het databeleid beter welke data wordt verzameld en hoe deze gegevens binnen Facebook, Instagram, Messenger en andere producten worden gebruikt. De tweede aankondiging ging over de aanpassingen om de toegang tot Facebook-gegevens te beperken. Zo moet Facebook nu alle apps goedkeuren die toegang tot informatie vragen zoals check-ins, likes, foto's, berichten, video's en andere content. App-ontwikkelaars moeten een overeenkomst ondertekenen voordat ze toegang tot deze data krijgen. Verder heeft Facebook de zoekfunctie uitgeschakeld. Voorheen was het mogelijk om via een e-mailadres of telefoonnummer iemand op Facebook te vinden. Kwaadwillenden maakten echter misbruik van de maatregel om publieke profielen te verzamelen. Volgens Facebook zou het mogelijk zijn om van bijna alle gebruikers het publieke profiel op te vragen. Er is dan ook besloten de functie uit schakelen. Als laatste verscheen er een verklaring van Facebook-oprichter Mark Zuckerberg en een reeks vragen met journalisten. Zuckerberg stelt dat de sociale netwerksite niet genoeg heeft gedaan om misbruik tegen te gaan en de privacy van gebruikers te beschermen. Ook gaat hij in het op "scrapen" van profielgegevens en het businessmodel van Facebook. De meeste data die Facebook van gebruikers heeft, hebben gebruikers zelf gedeeld, aldus Zuckerberg. "Het is geen tracking. Er zijn andere internetbedrijven of datahandelaren die gebruikers tracken en data verkopen, maar wij kopen en verkopen niet." bron: security.nl

De Amerikaanse burgerrechtenbeweging EFF heeft een nieuwe versie van HTTPS Everywhere gelanceerd, de browserplug-in die ervoor zorgt dat gebruikers bij het bezoeken van een website meteen verbinding met de https-versie maken als die beschikbaar is. De nieuwste versie zorgt ervoor dat de lijst met websites die https ondersteunen vaker wordt bijgewerkt. HTTPS Everywhere werkt met een lijst van https-sites, zodat de plug-in weet welke websites het via https kan opvragen. De lijst werd voorheen alleen via versie-updates bijgewerkt. Het was echter een omslachtig proces om alleen voor een lijst-update een nieuwe versie uit te brengen, zo laat de EFF weten. Daarom zal de nieuwste versie nu periodiek controleren of er een nieuwe lijst beschikbaar is en die automatisch downloaden. De lijst-updates zijn digitaal ondertekend. Daarnaast heeft de EFF het eenvoudiger voor andere ontwikkelaars en derde partijen gemaakt om hun eigen lijsten te publiceren en die binnen een "custom-made" versie van HTTPS Everywhere te verwerken. De browserplug-in is beschikbaar voor Google Chrome, Mozilla Firefox en Opera. bron: security.nl

Voor miljoenen WordPress-sites is er een beveiligingsupdate uitgekomen die drie kwetsbaarheden verhelpt, alsmede 25 problemen oplost die niet security-gerelateerd zijn. Wat betreft de beveiligingsproblemen wordt als eerste localhost niet meer standaard als dezelfde host behandeld. Daarnaast wordt er van veilige redirects gebruik gemaakt bij het redirecten van de inlogpagina over tls. Als derde fix wordt de versiestring nu correct geëscaped zodat die in de generator-tag te gebruiken is. Updaten naar WordPress 4.9.5 kan via de automatische updatefunctie, het beheerderspaneel of WordPress.org. Onlangs maakte W3Techs bekend dat 30 procent van de 10 miljoen populairste websites op WordPress draait. bron: security.nl

Microsoft heeft een ernstig beveiligingslek gedicht in Windows Defender, Security Essentials en andere beveiligingssoftware die van de Microsoft Malware Protection Engine gebruikmaakt. Via de kwetsbaarheid had een aanvaller zonder interactie van gebruikers het systeem kunnen overnemen. Alleen het versturen van een speciaal geprepareerd bestand via e-mail of instant messenger of het openen van een kwaadaardige of gehackte website was voldoende geweest. De Malware Protection Engine scant in de achtergrond namelijk allerlei bestanden zonder interactie van gebruikers, wat tot misbruik van de kwetsbaarheid kan leiden. Wanneer real-time bescherming niet staat ingeschakeld zou een aanvaller moeten wachten totdat een geplande virusscan plaatsvindt. Aangezien de beveiligingssoftware van Microsoft met verhoogde rechten draait had een aanvaller via de kwetsbaarheid volledige controle over het systeem kunnen krijgen. De kwetsbaarheid is aanwezig in versie 1.1.14600.4 van de Malware Protection Engine en ouder en verholpen in versie 1.1.14700.5. De nieuwste versie wordt automatisch via een engine-update geïnstalleerd. Volgens Microsoft is het onwaarschijnlijk dat aanvallers misbruik van de kwetsbaarheid zullen maken. bron: security.nl

De meeste internetgebruikers maken gebruik van de dns-servers van hun eigen internetprovider, maar het is ook mogelijk om een andere aanbieder te kiezen die extra features biedt. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Door het instellen van de dns-server van een andere aanbieder vragen internetgebruikers niet aan hun eigen provider waar het ip-adres van een bepaalde domeinnaam te vinden is, maar aan de ingestelde aanbieder. Een blogger genaamd "Nykolas Z" besloot acht gratis dns-providers met elkaar te vergelijken op prestaties en privacy, te weten: CleanBrowsing, CloudFlare, Comodo DNS, Google, Norton DNS, OpenDNS, Quad9 en Yandex DNS. Bij het onderdeel privacy werd gekeken of de dns-aanbieders de dns-verzoeken van gebruikers niet opslaan of met andere partijen delen, alsmede welke security- en privacy-features ze gebruiken, zoals DNSCrypt en DNS over HTTPS. Als het gaat om het delen en opslaan van dns-verzoeken zeggen Google, CloudFlare, Quad9 en Cleanbrowsing dit niet te doen. Voor de prestatietest werden vanaf 18 locaties wereldwijd dns-lookups voor populaire domeinen uitgevoerd. Alle dns-providers scoren goed in Europa en Noord-Amerika, met een responstijd van onder de 15 milliseconden. Voor 72 procent van de locaties is CloudFlare de snelste aanbieder, gevolgd door Google en Quad9. Quad9 was sneller dan Google in Europa en Noord-Amerika, maar presteerde weer slechter in Azië en Zuid-Amerika. Nykolas merkt op dat de providers niet één op één met elkaar te vergelijken zijn, aangezien sommige specifieke features aanbieden die voor enige vertraging kunnen zorgen. Zo blokkeren bijvoorbeeld Comodo en Quad9 de toegang tot kwaadaardige domeinen. bron: security.nl

Google heeft verklaard hoe en waarom Chrome bestanden op computers scant, nadat dit voor ophef op Twitter zorgde. Beveiligingsonderzoeker Kelly Shortridge had vorige week via de microbloggingdienst laten weten dat Chrome een bestand in haar Mijn Documenten-map had gescand. De tweet werd honderden keren geretweet en zorgde voor tientallen reacties en vragen. Experts, waaronder cryptografieprofessor Matthew Green en onderzoeker Haroon Meer, vonden het "creepy" dat Chrome zonder te vragen bestanden scant. Het blijkt om de Chrome Cleanup Tool te gaan die software zoekt en verwijdert die problemen kan veroorzaken met Chrome. De tool bestaat al enkele jaren. In een reactie laat Justin Schuh, directeur Chrome Security, weten hoe de tool precies werkt. Hij merkt op dat het hier niet om een volledige scan van het systeem gaat, maar er alleen plekken worden gescand waar de browser kan worden gekaapt. Daardoor kan de scanner links naar andere plekken volgen. Verder maakt de Cleanup Tool gebruik van een lokale engine met signatures van verdachte bestanden en wordt de scan alleen lokaal uitgevoerd. Het is ook minder indringend dan een scan met een normale virusscanner, aldus Schuh. Op dit moment is het nog niet mogelijk om het uitvoeren van de scan, die wekelijks in de achtergrond wordt uitgevoerd, uit te schakelen. Er wordt echter gekeken naar mogelijkheden om zorgen hierover bij bedrijven weg te nemen, reageert Schuh. Hij merkt verder op dat elke schoonmaakactie door de tool de nadrukkelijke toestemming van de gebruiker vereist. Afhankelijk van de instellingen van de gebruiker kan er bij het uitvoeren van de tool wel informatie, zoals metadata en systeeminstellingen, naar Google worden gestuurd. bron: security.nl

Klanten van verschillende hostingproviders zijn de afgelopen maanden gehackt omdat de providers de NFS-permissies van hun shared hostingomgeving niet goed hadden ingesteld. Het gaat om de providers Hostway, Momentous, Paragon en MelbourneIT, alsmede andere merken van de bedrijven. Bij shared hosting worden meerdere klanten op één server gehost. Elke klant krijgt een account op de server en zijn website is aan dat account gekoppeld. In het geval van de kwetsbare hostingproviders werden de websites van klanten op een gedeeld bestandssysteem (NFS) gehost. Alle directories op dit gedeelde bestandssysteem waren standaard "world-traversable" en alle klantbestanden "world-readable". Daarnaast was het pad naar de website-directory van de klant openbaar of kon eenvoudig worden geraden. Deze condities zorgden ervoor dat zodra een hacker één website op de server had gehackt, hij eenvoudig toegang tot de bestanden van andere websites kon krijgen. Vervolgens maakten de aanvallers nieuwe beheerderaccounts voor deze websites aan en zorgden dat de bestaande beheerders geen toegang meer hadden. Hierna werden malware en spam aan de websites toegevoegd of werden ze gedefacet. Securitybedrijf Wordfence ontdekte de verkeerd ingestelde NFS-permissies en waarschuwde de providers, die vervolgens het probleem verhielpen. bron: security.nl

Microsoft heeft een noodpatch uitgerold voor een kwetsbaarheid in Windows 7 en Server 2008 die door de Meltdown-update van de softwaregigant werd veroorzaakt. Beveiligingsonderzoeker Ulf Frisk ontdekte dat de update die Microsoft in januari had uitgebracht om Windows 7 en Server 2008 tegen de Meltdown-aanval te beschermen een nieuwe, veel grotere kwetsbaarheid introduceerde. Het beveiligingslek maakte het mogelijk voor elk willekeurig proces om de inhoud van het complete geheugen uit te lezen en hier ook naar toe te schrijven. Volgens Frisk was de kwetsbaarheid eenvoudig te misbruiken. Microsoft laat weten dat een aanvaller die al toegang tot een systeem had via het beveiligingslek willekeurige code in kernelmode had kunnen uitvoeren en zo volledige controle over het systeem had kunnen krijgen. Normaliter komt Microsoft elke tweede dinsdag van de maand met beveiligingsupdates. Gezien de ernst van de kwetsbaarheid en dat details openbaar waren gemaakt besloot de softwaregigant een noodpatch uit te brengen. Gebruikers krijgen dan ook het dringende advies om deze update te installeren. In het beveiligingsbulletin bedankt Microsoft Frisk voor zijn melding. Tevens laat Microsoft weten dat er nog geen aanvallen zijn waargenomen die misbruik van de kwetsbaarheid maken, maar de softwaregigant verwacht dat dit slechts een kwestie van tijd zal zijn. bron: security.nl

Microsoft Security Essentials heeft voor het eerst in een test van het Duitse testlab AV-Test de beoordeling 'top product' gehaald. De gratis virusscanner van Microsoft werd samen met zeventien andere virusscanners en internet security suites voor eindgebruikers op Windows 7 getest. De beveiligingsoplossingen werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 228 "zero-day" malware-exemplaren en ruim 4800 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt. Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,6 procent gehaald. De test met de 4800 exemplaren leverde een gemiddelde detectiescore van 99,9 procent op. Elf virusscanners wisten voor de detectie van malware de maximale 6 punten te halen, waaronder Security Essentials. In het verleden liet Security Essentials vaak lagere scores op dit onderdeel zien. Bij een vorige test werd nog 5 punten gehaald. Microworld zet met 4,5 punten de laagste score neer. Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Zeven pakketten scoren de maximale 6 punten. De overige pakketten komen op de 5,5 of 5 punten uit. Als laatste kwamen de 'false positives' aan bod, dat voor veel pakketten geen probleem is. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Zeven pakketten halen op dit onderdeel de maximale 6 punten, waaronder Security Essentials. F-Secure en Symantec eindigen met respectievelijk 3,5 en 4 punten onderaan. Uiteindelijk weten Ahn Lab, Kaspersky Lab en Trend Micro voor de gehele test de maximale score van 18 punten te halen. Security Essentials volgt op een tweede plek met 17,5 punten. F-Secure eindigt met 14,5 punten onderaan. bron: security.nl

Versleutelde e-maildienst ProtonMail heeft vandaag een nieuw e-maildomein gelanceerd waar gebruikers mee kunnen mailen. Ook beschikt de mobiele app van ProtonMail nu over een versleuteld adresboek. Iedereen met een ProtonMail-account kan voortaan van het domein @pm.me gebruikmaken. Volgens de e-maildienst moet dit verkorte adres het eenvoudiger voor gebruikers maken om hun ProtonMail-adres te delen. Een gebruiker met het e-mailadres john@protonmail.com is na het activeren van het verkorte e-maildomein ook bereikbaar op john@pm.me. Alle gebruikers kunnen e-mail op hun pm.me-adres ontvangen, maar het versturen van e-mail vanaf dit adres is alleen aan betalende gebruikers voorbehouden. Gratis gebruikers die op hun pm.me-adres een e-mail ontvangen kunnen nog wel gewoon met hun protonmail.com-adres antwoorden. Naast het nieuwe domein is er ook een nieuwe versie van de mobiele app voor Android en iOS verschenen. Deze versie introduceert een versleuteld adresboek, een feature die eind vorig jaar al aan de webversie werd toegevoegd. In oudere versies van de Proton-app bestond het contactenmenu alleen uit de naam en e-mailadres van een contact. Nu is er een volledig functioneel adresboek toegevoegd waarmee het mogelijk is om aanvullende informatie aan een contact toe te voegen, zoals adres, organisatienaam en notities. Het adresboek maakt gebruik van "zero-access" encryptie, waardoor alleen de gebruiker de inhoud kan bekijken, zo laat de e-maildienst weten. Naast encryptie wordt met digitale handtekeningen de integriteit van het adresboek geverifieerd. Gebruikers moeten op deze manier de garantie krijgen dat de data in het adresboek niet is aangepast. Om de gegevens te versleutelen wordt voor elke gebruiker een nieuw privé en publiek sleutelpaar gegenereerd. De privésleutel wordt aan de kant van de gebruiker gegenereerd en versleuteld met een afgeleide van het wachtwoord van de gebruiker. De contactvelden worden versleuteld met de voor het adresboek gegenereerde publieke sleutel en kunnen alleen met de corresponderende privésleutel worden ontsleuteld. bron: security.nl

Nvidia heeft een nieuwe driver uitgebracht voor Geforce-videokaarten waarmee zeven beveiligingslekken worden verholpen. Via de lekken had een aanvaller in het ergste geval systemen kunnen overnemen of uit een virtual machine kunnen ontsnappen om het host-systeem aan te vallen. De kwetsbaarheden bevinden zich in de Nvidia D3D10-driver. Deze driver wordt door allerlei Nvidia-videokaarten gebruikt, alsmede binnen de virtualisatiesoftware van VMware. De meest kritieke kwetsbaarheid maakt het mogelijk voor een aanvaller om een via een speciaal geprepareerd shader-bestand willekeurige code uit te voeren. In het geval van een VMware-virtual machine zou een aanvaller uit het gast-systeem kunnen ontsnappen om de host aan te vallen. Via de overige kwetsbaarheden had een aanvaller zijn rechten op het systeem kunnen verhogen of een denial of service kunnen veroorzaken, zo meldt Cisco, dat meerdere van de beveiligingslekken ontdekte. Het bedrijf adviseert beheerders en gebruikers om direct de beschikbare updates te installeren. Zo kunnen gebruikers versie 391.35 van de Geforce-driver installeren (pdf). bron: security.nl

Routerfabrikant MikroTik heeft op het eigen forum een waarschuwing afgegeven voor een botnet dat ongepatchte routers aanvalt. Het botnet, dat gebruikmaakt van een door de CIA ontwikkelde exploit, kwam gisteren al in het nieuws. De exploit maakt misbruik van een kwetsbaarheid in RouterOS, het besturingssysteem van MikroTik-routers, die vorig jaar maart werd gepatcht. Gebruikers die al langer dan een jaar geen updates hebben geïnstalleerd krijgen het dringende advies dit alsnog te doen. Volgens MicroTik is het botnet alleen bezig om zich te verspreiden en doet het verder niets. "Maar we adviseren uit voorzorg om je wachtwoord te wijzigen en je firewall te upgraden", aldus de fabrikant. In de waarschuwing laat MikroTik verder weten welke configuraties risico lopen. Het probleem raakt voornamelijk routers die via poort 80 toegankelijk zijn, geen firewall-regels hebben ingesteld en sinds maart vorig jaar niet zijn geüpdatet. Het installeren van RouterOS versie 6.38.5 of nieuwer zal ervoor zorgen dat de misbruikte kwetsbaarheid wordt verholpen en malware wordt verwijderd. bron: security.nl

Wachtwoordmanager 1Password gaat samenwerken met Have I Been Pwned, een dienst die internetgebruikers voor allerlei datalekken waarschuwt. Dat meldt Troy Hunt vandaag, de oprichter van Have I Been Pwned. De dienst biedt een zoekmachine waarmee gebruikers in ruim 4,9 miljard gestolen records kunnen kijken of hun data ooit bij een website is buitgemaakt. Vorige maand werd al bekend dat 1Password gebruikmaakt van een database van meer dan 500 miljoen gelekte wachtwoorden die door Hunt beschikbaar is gesteld. De nu aangekondigde samenwerking gaat verder. Zo staat 1Password nu standaard op Have I Been Pwned vermeld en zal Hunt de wachtwoordmanager ook aanbevelen als gebruikers om advies vragen. Volgens Hunt was hij altijd al fan van 1Password en zorgt de samenwerking er naar eigen zeggen voor dat hij meer inzicht krijgt in de manier waarop de wachtwoordmanager het "wachtwoordprobleem" aanpakt. bron: security.nl

Mozilla heeft vandaag een uitbreiding voor Firefox gelanceerd die de privacy van Facebook-gebruikers moet beschermen. Facebook Container, zoals de uitbreiding heet, isoleert het Facebookprofiel van de rest van de activiteiten die de gebruiker op het web uitvoert. Hiervoor wordt er van een aparte container gebruikgemaakt. Dit moet het lastiger voor Facebook maken om gebruikers via third-party cookies op andere websites te volgen. Als gebruikers bijvoorbeeld een link op Facebook.com openen die naar een andere website wijst zal die buiten de container worden geladen. Wanneer gebruikers in een andere browser-tab buiten de container op een Facebook Share-knop klikken, wordt die binnen de Facebook Container geladen. Mozilla waarschuwt wel dat het gebruik van de Share-knop ervoor zorgt dat informatie over de bezochte website naar Facebook wordt gestuurd. Omdat gebruikers alleen binnen de Facebook Container op de sociale netwerksite zijn ingelogd, zullen embedded Facebook-reacties en Like-knoppen buiten de Facebook Container niet meer werken. Dit voorkomt dat Facebook informatie over de webactiviteiten van de gebruiker aan zijn of haar Facebookprofiel kan koppelen. Daarnaast zullen websites waar gebruikers via hun Facebook-account kunnen inloggen of een account kunnen aanmaken niet goed meer werken. Mozilla meldt verder dat Facebook Container geen bescherming biedt tegen misbruik van gegevens die Facebook al van gebruikers heeft verzameld. "Facebook heeft nog steeds toegang tot alles wat je doet terwijl je op Facebook.com bent, waaronder je reacties, foto-uploads, likes en allerlei andere data die je met Facebook-verbonden apps deelt", aldus Mozilla. De extensie is alleen gericht op het beperken van tracking door Facebook. Andere advertentienetwerken kunnen echter proberen om de Facebook-activiteiten van de gebruiker aan zijn of haar normale browsegedrag te koppelen. Naast het installeren van Facebook Container kunnen gebruikers hun Facebook-instellingen aanpassen, de Private Browsing-mode van Firefox gebruiken, Tracking Protection binnen de browser inschakelen, third-party cookies blokkeren of de Firefox Multi-Account Containers-exensie gebruiken om online tracking verder te beperken. Mozilla laat als laatste weten dat de Facebook Container-extensie geen data verzamelt. Het enige dat wordt doorgegeven is hoe vaak de extensie is geïnstalleerd of verwijderd. bron: security.nl

Cryptominers die de browsers van internetgebruikers naar cryptovaluta laten delven worden steeds lastiger te detecteren, zo waarschuwt anti-malwarebedrijf Malwarebytes. Een cryptominer bestaat vaak uit een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om een cryptovaluta zoals Monero te delven. Sommige websites gebruiken cryptominers als vervanging voor advertenties. Cybercriminelen maken er echter ook gebruik van en plaatsen ze op gehackte websites of verbergen ze in advertenties. Om gebruikers te beschermen besloten adblockers en beveiligingssoftware om cryptominers op websites te blokkeren. Als reactie hierop hebben de makers van cryptominers allerlei maatregelen genomen om detectie te omzeilen. Veel adblockers maken gebruik van blacklists om cryptominers te herkennen. Door de cryptominer van steeds andere (sub)domeinen te laden worden die niet meer door de adblockers herkend, aangezien het gebruikte domein niet overeenkomt met het domein op de blacklist. Een andere methode om cryptominers te detecteren is het monitoren van de processorbelasting. Het delven van cryptovaluta kan de processor maximaal belasten. Aangezien dit tot detectie kan leiden kiezen cryptominers er nu voor om onder een bepaalde belasting te blijven, zodat niet duidelijk is dat de systeembelasting door een cryptominer wordt veroorzaakt. Toch is het gebruik van adblockers en webblockers nog steeds de beste manier om cryptominers tegen te gaan, aldus onderzoeker Jerome Segura. bron: security.nl

Er zijn nieuwe versies van Firefox, Firefox ESR en Tor Browser verschenen waarin een beveiligingslek is gedicht. Bij bepaalde grafische bewerkingen kan zich een "potentieel te misbruiken crash" voordoen. Mozilla heeft de kwetsbaarheid als "high" beoordeeld. Via dergelijke kwetsbaarheden kan een aanvaller gevoelige data van websites in andere vensters stelen of data of code in die sites injecteren. Alleen het bezoeken van een gehackte of kwaadaardige website is hierbij voldoende om de aanval uit te voeren. Daarnaast zijn er verschillende bugs in Firefox verholpen. Gebruikers krijgen het advies om te updaten naar Firefox 59.0.2, Firefox ESR 52.7.3 of Tor Browser 7.5.3, wat via de automatische updatefunctie van de browsers kan. bron: security.nl