Captain Kirk

Anti-virusbedrijf Bitdefender heeft een gratis tool voor de Annabel-ransomware uitgebracht waarmee slachtoffers kosteloos hun bestanden kunnen ontsleutelen. De Annabel-ransomware versleutelt niet alleen bestanden op de computer, maar verandert ook de Master Boot Record (MBR) van de harde schijf. Daarnaast schakelt deze ransomware de Windows Firewall uit, voorkomt dat allerlei tools kunnen worden gestart en probeert zich via aangesloten usb-sticks naar andere computers te verspreiden. Voordat gebruikers de gratis decryptietool van Bitdefender kunnen gebruiken moeten ze eerst wel verschillende stappen doorlopen. Omdat de ransomware de MBR aanpast moet de gebruiker die eerst via andere tools zien te herstellen. Vervolgens moeten in het Windows Register verschillende sleutels worden verwijderd zodat de malware niet meer tijdens het opstarten van Windows wordt geladen. Hierna is het mogelijk om de infectie te verwijderen. Als laatste kan de gratis decryptietool worden gestart om de bestanden te ontsleutelen. Het anti-virusbedrijf laat weten dat vanwege de manier waarop AES-encryptie werkt, sommige bestanden 15 extra bytes aan het einde krijgen. Dit zou echter geen gevolgen voor het bestand moeten hebben. bron: security.nl

Na twee jaar verschijnt er binnenkort een nieuwe grote update van de Enigmail-extensie voor Thunderbird, die onder andere ondersteuning van gebruiksvriendelijke e-mailversleuteling toevoegt. Enigmail, dat al sinds 2009 bestaat, laat Thunderbird-gebruikers versleutelde berichten versturen. Binnenkort verschijnt versie 2.0 die Pretty Easy Privacy (pEp) ondersteunt. Pretty Easy privacy is een project dat als doel heeft om e-mail anoniem en versleuteld te maken. Enigmail biedt straks een "pEp-mode", afhankelijk van hoe het e-mailaccount is ingesteld. Als Enigmail of S/MIME niet zijn ingesteld voor een e-mailaccount, zal pEp automatisch worden ingeschakeld. Wanneer er van een nieuw Thunderbird-account gebruik wordt gemaakt, zal pEp standaard zijn ingeschakeld. Zodra Enigmail ziet dat pEp moet worden gebruikt, zal het de benodigde pEp-bestanden downloaden. Vervolgens zullen uitgaande e-mails automatisch worden versleuteld. Verder werken in Enigmail 2.0 de encryptie- en signeer-knoppen voor zowel OpenPGP en S/MIME. Enigmail zal tussen S/MIME of OpenPGP kiezen afhankelijk van de beschikbare sleutels voor de betreffende standaard. Ook is het straks mogelijk om het onderwerp te versleutelen en te vervangen door een "dummy" onderwerp. Op dit moment wordt alleen de inhoud van de e-mail versleuteld en niet het onderwerp. Daarnaast worden Autocrypt en Web Key Directory (WKD) ondersteund. De nieuwe features zijn in de tweede betaversie van Enigmail 2.0 te testen. Afhankelijk van de feedback komt er nog een derde betaversie of zal de definitieve versie over twee weken worden gelanceerd. bron: security.nl

Naar aanleiding van de ddos-aanvallen die via publiek beschikbare memcached-servers worden uitgevoerd heeft Red Hat advies gepubliceerd om dergelijke systemen te beveiligen. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. Vorige week werd GitHub doelwit van de grootste ddos-aanval ooit, die via memcached-servers was uitgevoerd. De aanval had een omvang van 1,3 Tbps. Inmiddels worden verschillende websites via dergelijke ddos-aanvallen afgeperst, zo laat securitybedrijf Cybereason aan it-journalist Brian Krebs weten. De aanvallers versturen in het aanvalsverkeer de boodschap met instructies voor de aangevallen website mee. Daarin staat dat er bijna 15.000 euro in Monero moet worden betaald om de aanval te laten stoppen. Om misbruik van memcached-servers te voorkomen heeft Red Hat nu beveiligingsadvies online geplaatst. Daarin wordt geadviseerd om UDP voor memcached uit te schakelen als dit niet is vereist en op TCP-verbindingen over te stappen. Wanneer UDP wel verplicht is wordt aangeraden een firewall in te stellen en alleen verbindingen van betrouwbare hosts te accepteren. Verder moet de memcached-server alleen van het lokale netwerk toegankelijk zijn en moet extern verkeer naar door memcached gebruikte poorten niet worden toegestaan. bron: security.nl

Wanneer je nog geen nieuwe data naar de stick hebt geschreven zou het inderdaad nog mogelijk moeten zijn om bijna alles terug te halen. Maar zoals Stegisoft ook al aangegeven heeft, het gaat hier om een Mac. Ook ik weet hoe die dar mee om gaat. Hou ons op de hoogte.

Zou inderdaad heel goed een slecht contact geweest kunnen zijn. Bij gebruik van de pc ontstaat er warmte wat weer voor uitzetting van onderdelen kan zorgen. Latjes eruit en even de contacten met een droge doek goed schoonwrijven is vaak al voldoende.

Internetgigant Akamai heeft naar eigen zeggen de grootste ddos-aanval tot nu toe waargenomen met een omvang van 1,3 Tbps. Niet eerder zag Akamai een aanval waarbij zoveel dataverkeer werd verstuurd. De aanval, die twee keer groter was dan de recordaanval van het Mirai-botnet in september 2016 met 620 Gbps, was gericht tegen een softwareontwikkelingsbedrijf en maakte gebruik van memcached-servers. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Wereldwijd zijn zo'n 100.000 publiek beschikbare memcached-systemen te vinden die middels ip-spoofing voor ddos-aanvallen zijn te gebruiken. Hierbij verstuurt een aanvaller gespoofte verzoeken met het ip-adres van de aan te vallen website naar de memcached-server. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. Vanwege de mogelijkheid om zulke grote aanvallen uit te voeren verwacht Akamai dat deze techniek bij veel meer aanvallen zal worden ingezet en er nog grotere aanvallen zullen plaatsvinden. Er is echter ook goed nieuws, zo stelt de internetgigant. Providers kunnen het verkeer op source-poort 11211 "rate limiten" en voorkomen dat verkeer hun netwerk betreedt of verlaat. Dit zal echter de nodige tijd in beslag nemen. Akamai werkt met andere industriepartners samen aan best practices om het memcached-probleem op te lossen. bron: security.nl

Het aantal websites dat bezoekers van http naar https doorstuurt is de afgelopen acht maanden sterk gestegen, zo blijkt uit onderzoek van Mozilla onder de 1 miljoen populairste websites volgens meetbureau Alexa. De browserontwikkelaar keek voor het onderzoek naar het gebruik van verschillende beveiligingsmaatregelen, zoals https, HSTS en Content Security Policy, alsmede het doorsturen van http naar https. Sinds de laatste meting in juni is het aantal websites dat https ondersteunt met 19 procent gestegen, wat neerkomt op 83.000 websites. In de afgelopen periode hebben daarnaast nog eens 97.000 websites besloten om standaard via https te worden aangeboden. Nog eens 16.000 websites verbieden via HSTSs zelf toegang tot http en sturen bezoekers meteen door naar https. Het doorsturen van http naar https wordt door bijna 33 procent van de websites gedaan, een stijging van 43 procent ten opzichte van juni. Ook Content Security Policy, een technologie die tegen cross-site scripting-aanvallen moet beschermen kende procentueel een sterke groei, maar wordt nog altijd door relatief weinig websites toegepast. Via het Mozilla Observatory worden websites ook beoordeeld op het gebruik van de eerder genoemde en andere beveiligingmaatregelen. Ondanks de betere cijfers in februari worden veel maatregelen niet door websites genomen waardoor nog altijd 90 procent een "F" scoort, wat de laagste beoordeling is. Ten opzichte van de vorige periode daalde dit aantal wel met bijna 3 procent. Het aantal websites met een A+, de hoogste beoordeling, steeg met 38 procent van .013 procent naar .018 procent. bron: security.nl

Verkeerd ingestelde installaties van het programma rTorrent worden actief aanvallen om Linux-systemen met een cryptominer te infecteren, zo waarschuwt netwerkbedrijf F5. RTorrent is een tekstgebaseerde torrentclient voor het downloaden van torrents. Het kan via XML-RPC door andere programma's worden bestuurd. XML-RPC is een remote procedure call (RPC) protocol. Zo is er ruTorrent, een webgebaseerde frontend die via XML-RPC van rTorrent gebruikmaakt. Voor de XML-RPC-communicatie vereist rTorrent geen authenticatie. De functionaliteit hoort dan ook niet via internet toegankelijk te zijn, omdat derden dan zonder authenticatie met de lokale rTorrent-client kunnen communiceren. Daarnaast ondersteunt rTorrent een methode voor het direct uitvoeren van shellcommando's. Aanvallers zoeken nu actief naar verkeerd ingestelde rTorrent-clients en laten het programma vervolgens een cryptominer downloaden en uitvoeren. Deze cryptominer gebruikt de rekenkracht van het systeem om naar de cryptovaluta Monero te mijnen. Ook kijken de aanvallers of er geen cryptominers van concurrenten draaien. Wanneer dit het geval is worden deze cryptominers gestopt. Een van de Monero-wallets die bij de aanval wordt gebruikt heeft inmiddels 3900 dollar aan Monero verzameld. RTorrent-gebruikers krijgen het advies om te controleren dat hun installatie geen commando's van buiten accepteert. bron: security.nl

Een nieuwe golf van phishing-mails gericht aan Apple-gebruikers heeft ertoe geleid dat Apple tips heeft gepubliceerd hoe te bepalen of een e-mail echt van Apple afkomstig is. In nauwelijks van echt te onderscheiden e-mails, die van de Apple Store afkomstig lijken te zijn, wordt er bijvoorbeeld gemeld dat er een abonnement op Youtube Red is gestart waarbij de eerste maand gratis is. Tevens wordt gemeld dat de kosten na de eerste gratis maand maar liefst $144,99 per maand bedragen. Op deze manier wordt de lezer verleid op de "Cancel Subscription" link te klikken. Apple adviseert gebruikers alert op deze mails te zijn. Geadviseerd wordt om alleen de persoonlijke gegevens aan te passen via de instellingen op het Apple-toestel, via de accountpagina in de App Store of via iTunes-software op de pc, en niet via een link in een mail. Ook vraagt Apple om verdachte phishing-mails door te sturen naar reportphishing@apple.com. bron: security.nl

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid in Nederland waarschuwt voor ddos-aanvallen waarbij gebruik gemaakt wordt van publiek beschikbare memcached-systemen. Volgens het NCSC zijn memcached-systemen bij ddos-aanvallen in zowel Nederland als daarbuiten misbruikt. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het systeem bevat geen authenticatie en is niet ontwikkeld om publiek beschikbaar te zijn, aldus het NCSC. Eerder deze week waarschuwden Cloudflare en Arbor Networks al voor publiek beschikbare memcached-system die bij ddos-aanvallen zijn misbruikt. Wereldwijd zouden 88.000 van dergelijke systemen online te vinden zijn, waarvan ongeveer drieduizend in Nederland, zo laat het NCSC weten. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. Het NCSC adviseert netwerkbeheerders om te verifiëren of er publieke memcached- of andere systemen in het netwerk aanwezig zijn die mogelijk kwetsbaar zijn voor misbruik in amplificatie-aanvallen en maatregelen te nemen om misbruik van deze systemen te voorkomen. Het gaat in de recente aanvallen om memcached-systemen die beschikbaar zijn op poort 11211. Het advies is om deze systemen van het internet af te schermen. bron: security.nl

Slachtoffers van de ransomware GandCrab kunnen weer toegang krijgen tot hun versleutelde bestanden. De decryptietool voor GandCrab is vandaag op de site nomoreransom.org beschikbaar gesteld door de Roemeense politie in samenwerking met Bitdefender en de Europese politieorganisatie Europol. GandCrab wordt sinds ongeveer een maand in het wild waargenomen en heeft wereldwijd inmiddels meer dan 50.000 slachtoffers gemaakt, onder wie veel Europeanen. Het is daarmee een van de meest agressieve vormen van ransomware van dit jaar, aldus Europol. GandCrab verspreidt zich via gemanipuleerde advertenties op websites en via nepfacturen die als bijlage per mail worden verzonden. Als de malware wordt geïnstalleerd, worden de bestanden op de computer van het slachtoffer versleuteld en wordt er een bedrag van 300 tot 500 dollar aan losgeld geëist, te betalen in de virtuele munt DASH. Voor zover bekend is GandCrab het eerste ransomware-exemplaar dat betalingen in DASH vereist. GandCrab kent ook een affiliate-programma waarbij de ransomware als dienst (ransomware-as-a-service) wordt aangeboden en de ontwikkelaars voor elke ontvangen losgeldbetaling een commissie ontvangen. bron: security.nl

Alle moderne browsers beschikken tegenwoordig over private browsing, een functie die ervoor moet zorgen dat het surfgedrag niet op de computer wordt opgeslagen. De informatie die tijdens private browsing wordt benaderd kan echter door een gemotiveerde aanvaller toch uit het geheugen van de computer worden gehaald. Aanleiding voor onderzoekers van MIT en Harvard om een nieuw systeem te ontwikkelen genaamd Veil dat private browsing meer privé moet maken. Browsers horen na het sluiten van een private browsingsessie alle opgeslagen data te verwijderen. Modern geheugenmanagement is echter complex en kan ervoor zorgen dat er toch ergens in het geheugen data achterblijft. Veil probeert dit probleem te tackelen door alle data die de browser in het geheugen laadt te versleutelen totdat het op het beeldscherm wordt weergegeven. Het gebruik van Veil Om van Veil gebruik te maken gaat de Veil-gebruiker naar de Veil-website en voert daar de url van een website in. Een speciale "blinding-server" verstuurt vervolgens een versie van de opgevraagde pagina in het Veil-formaat. De Veil-pagina lijkt op een normale webpagina, maar bevat code die een decryptie-algoritme uitvoert. De data op de pagina is onleesbaar totdat het door het algoritme is ontsleuteld. Zodra de data is ontsleuteld moet het in het geheugen van de computer worden geladen om op het beeldscherm te worden weergegeven. Deze tijdelijk opgeslagen data zou veel lastiger te traceren moeten zijn als de browsingsessie voorbij is. Om aanvallers toch geen kans te geven neemt Veil een aanvullende beveiligingsmaatregel. De blinding-server voegt aan elke geladen pagina zinloze code toe. Deze code heeft geen effect op de manier hoe de pagina ervoor de gebruiker uit ziet, maar verandert wel het onderliggende bronbestand. Elke pagina die door een blinding-server wordt geladen, ook al is het dezelfde pagina, ziet er anders uit. Een aanvaller die na het sluiten van een Veil-sessie een deel van de ontsleutelde code weet te bemachtigen kan daardoor waarschijnlijk niet zeggen welke website de gebruiker heeft bezocht. Wanneer deze maatregelen niet genoeg zijn biedt Veil ook de optie om de blinding-server een afbeelding van de opgevraagde pagina te laten maken. In dit geval opent de blinding-server de opgevraagde pagina, maakt hier een screenshot van en stuurt dat naar de gebruiker. Dit voorkomt dat er uitvoerbare code op het systeem van de gebruiker belandt. Als de gebruiker vervolgens ergens op de afbeelding klikt registreert de browser dit en stuurt het nieuwe verzoek naar de blinding-server, die vervolgens een nieuwe ingezoomde afbeelding laadt en naar de gebruiker terugstuurt. Om het systeem te kunnen gebruiken moeten websites wel een Veil-versie van hun website maken, maar de onderzoekers hebben hiervoor een compiler ontwikkeld die de conversie automatisch uitvoert. Een grotere uitdaging is het hosten van de blinding-servers, dat door vrijwilligers kan worden gedaan, zoals bij het Tor-netwerk het geval is, of door bedrijven die bijvoorbeeld hun bezoekers meer privacy willen bieden. Voor de implementatie van Veil zijn er geen aanpassingen aan de browser vereist. bron: security.nl

Het aantal malafide advertenties dat internetgebruikers met malware probeerde te infecteren, gegevens probeerde te ontfutselen of op een andere manier probeerde te duperen is in de tweede helft van 2017 afgenomen, zo claimt securitybedrijf RiskIQ. In het derde kwartaal detecteerde het securitybedrijf 53 procent minder "malvertising" dan in het tweede kwartaal van 2017. In het vierde kwartaal zette deze daling door en werden er 10 procent minder kwaadaardige advertenties gedetecteerd. Het gebruik van advertenties om ongepatchte internetgebruikers aan te vallen, bijvoorbeeld via kwetsbaarheden in Adobe Reader of Internet Explorer, daalde met 36 procent in het derde kwartaal en 20 procent in het vierde kwartaal. Andere malware in advertenties nam in het vierde kwartaal met zelfs 67 procent af. Wel kende het vierde kwartaal een stijging van 16 procent in het aantal advertenties die naar een scam wezen, maar over het geheel genomen waren er zowel in het derde als vierde kwartaal minder malafide advertenties. bron: security.nl

De kwetsbaarheid die meer dan een half jaar in de Belgische website voor elektronische belastingaangifte heeft gezeten, is gedicht. Dat bevestigen Belgische media. Een Belgische hacker kwam eind vorige week in het nieuws als ontdekker van een beveiligingsprobleem met de overheidswebsite My MinFin. Door de kwetsbaarheid was het mogelijk voor hackers om de website te manipuleren en zo gebruikers hun login, wachtwoord of token afhandig te maken of om een virus naar de computer van gebruikers te sturen. Het lek was al sinds begin juli 2017 bij het Belgische Federale overheidsdienst (FOD) Financiën bekend. Op 7 juli vorig jaar meldde de man het lek via het contactformulier op de website van de FOD Financiën en via een privé-bericht op Twitter. Omdat er geen reactie volgde en het lek bleef bestaan besloot hij op 19 februari om het probleem openbaar te maken via Facebook. Het lek is afgelopen zondag gedicht. bron: security.nl

Vanwege verschillende "beveiligingsaanpassingen" die zullen worden doorgevoerd gaat Apple vanaf 25 mei stoppen met de ondersteuning van iTunes op Windows XP en Vista. Gebruikers van deze besturingssystemen, die ook niet meer door Microsoft worden ondersteund, kunnen dan geen gebruik meer van de iTunes Store maken. Dit houdt in dat gebruikers geen nieuw materiaal via de iTunes Store kunnen aanschaffen of eerder aangeschaft materiaal opnieuw kunnen downloaden. Na 25 moeten gebruikers op Windows 7 of nieuwer overstappen als ze hun eerder gekochte muziek, podcasts en video's willen downloaden of nieuw materiaal zoeken. Apple gaat vanwege de aangekondigde beveiligingsaanpassingen ook de ondersteuning van de eerste generatie van Apple TV stoppen. Alleen Apple TV generatie 2 of nieuwer kan straks de iTunes Store nog bereiken. Wat de beveiligingsaanpassingen precies inhouden heeft Apple niet bekendgemaakt. bron: security.nl

Firefox beschikt sinds de lancering van de Quantum-versie voor het eerst over een permissiemodel voor extensies en extensie-ontwikkelaars moeten daar verstandig mee omgaan door alleen noodzakelijke permissies te vragen, zo stelt Mozilla. Via de permissies kunnen gebruikers zien waar de extensie toegang tot wil hebben en moeten dit vervolgens bevestigen voordat de extensie kan worden geïnstalleerd. Zo kan de gebruiker zien of een extensie toegang tot de inhoud van alle bezochte websites wil, of zaken als downloadgeschiedenis, bookmarks en clipboard wil. Het permissiemodel is al geruime tijd aanwezig in Google Chrome en bij het installeren van smartphone-apps, maar dus sinds kort in Firefox. Volgens Mozilla kan het dan ook zijn dat mensen die Firefox al lange tijd gebruiken niet met permissieverzoeken bekend zijn. Ontwikkelaars zouden dan ook duidelijk moeten uitleggen waarom hun extensie bepaalde permissies nodig heeft en alleen de absoluut noodzakelijke permissies vragen. Op deze manier laten extensie-ontwikkelaars zien dat ze de privacy van gebruikers respecteren en kan er een vertrouwensband worden opgebouwd, aldus Mike Conca van Mozilla. Onlangs riep Mozilla gebruikers nog op om goed op te letten op welke permissies een extensie vraagt. bron: security.nl

De RIG-exploitkit was in 2016 en begin 2017 een favoriet middel van cybercriminelen om internetgebruikers ongemerkt met malware te infecteren, maar sinds april vorig jaar is de dreiging ervan sterk afgenomen, zo blijkt uit onderzoek van securitybedrijf Palo Alto Networks. Exploitkits maken gebruik van kwetsbaarheden in browsers en browserplug-ins die niet door gebruikers zijn gepatcht om zonder enige interactie malware te installeren. Alleen het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is voldoende. De RIG-exploitkit maakt gebruik van oude kwetsbaarheden in Adobe Flash Player en Internet Explorer. Het marktaandeel van Internet Explorer is de afgelopen jaren echter sterk afgenomen en moderne browsers blokkeren standaard Adobe Flash Player. Daardoor is het voor cybercriminelen veel lastiger geworden om internetgebruikers via exploitkits te infecteren. Iets waar ook de RIG-exploitkit mee te maken heeft. In januari 2017 zag Palo Alto Networks nog 812 hits op RIG-gerelateerde activiteiten. Precies een jaar later is dat naar 65 gedaald, een afname van 92 procent. Verder laat het onderzoek van het securitybedrijf zien dat als een aanval met de RIG-exploitkit toch succesvol is, er geen ransomware meer wordt geïnstalleerd zoals vorig jaar nog het geval was, maar een cryptominer of tool om informatie mee te stelen. De onderzoekers komen dan ook tot de conclusie dat de RIG-exploitkit nog steeds aanwezig is, maar een veel kleinere rol speelt in het dreigingslandschap. bron: security.nl

Wanneer Facebook vermoedt dat de computer van een gebruiker besmet is geraakt met malware moet die eerst een malware-scan op zijn systeem uitvoeren, anders kan er niet op het account worden ingelogd. Een maatregel die voor onvrede bij gebruikers zorgt. Verschillende Facebookgebruikers laten tegenover Wired weten dat ze niet meer op hun account konden inloggen, tenzij er eerst een scan plaatsvond. De scantools die Facebook aanbood waren echter alleen voor Windows, terwijl de gebruikers met een Mac werkten. In een verklaring laat Facebook weten dat gebruikers soms de verkeerde software krijgen aangeboden omdat sommige malware de computer kan "spoofen" die iemand gebruikt. Het probleem staat echter niet op zichzelf. Tal van gebruikers op Reddit, Twitter en andere fora klagen over de beveiligingsmaatregel. In eerste instantie was de malware-scan vrijwillig, maar inmiddels is die verplicht als Facebook vermoedt dat een systeem gecompromitteerd is geraakt. Er zijn echter vragen over de maatregel. Facebook blijkt namelijk naar een specifieke gebruiker met een specifieke browser te kijken. Als er vanaf de vermeende besmette computer op een ander account wordt ingelogd verschijnt er geen melding. Ook als de gebruiker op het vermeende besmette systeem met een andere browser inlogt hoeft er ook niet gescand te worden. Facebook stelt dat het niet voldoende informatie over accounts op een bepaald apparaat heeft, waardoor er niet alleen naar het apparaat wordt gekeken, maar ook of het account zich verdacht gedraagt. bron: security.nl

Onderzoekers van securitybedrijf Qihoo 360 hebben een advertentienetwerk ontdekt dat sinds december vorig jaar het eigen platform gebruikt om browsers van internetgebruikers zonder hun toestemming naar cryptovaluta te laten mijnen en daarbij actief maatregelen neemt om de AdBlock-adblocker te omzeilen. De rol van het advertentienetwerk is om advertenties van adverteerders op websites te tonen. Het bedrijf zou echter het eigen advertentieplatform voor cryptomining gebruiken, aldus Qihoo 360. Het is in de analyse van de onderzoekers onduidelijk of het advertentienetwerk hiervoor heimelijk code aan de advertenties van adverteerders toevoegt of eigen advertenties gebruikt. Wel is duidelijk dat het advertentienetwerk maatregelen neemt om AdBlock te omzeilen, een zeer populaire adblocker met naar eigen zeggen meer dan 40 miljoen gebruikers. Hiervoor maakt het bedrijf gebruik van een 'domain generation algorithm' (dga) waarmee allerlei willekeurige domeinnamen worden gegenereerd waarvandaan de JavaScript-code van de Coinhive-cryptominer wordt geladen. Dit zou het lastig voor tools als AdBlock maken om de cryptominer te detecteren, aldus de onderzoekers, die verder opmerken dat de confrontatie tussen advertentienetwerken en adblockers niets nieuws is, maar dat de betrokkenheid bij cryptomining wel de aandacht verdient. De advertenties met de cryptominer zouden voornamelijk op pornosites verschijnen, aldus de analyse waarin deze domeinen ook worden genoemd. Volgens de onderzoekers is de naam van het advertentienetwerk "P Inc.". In een voetnoot wordt echter gewezen naar het PopAds-advertentienetwerk, dat eind 2016 al een manier aankondigde om adblockers te omzeilen. bron: security.nl

Om ervoor te zorgen dat Windows 10-computers beveiligingsupdates niet missen heeft Microsoft besloten om in de volgende grote feature-update de slaapstand tijdelijk uit te stellen. De nieuwe feature-update heeft de naam Redstone 4 (RS4) en zou in maart van dit jaar moeten verschijnen. Een van de aanpassingen in Redstone 4 is dat Windows Update "proactiever" wordt in het up-to-date houden van Windows 10-computers. Wanneer Windows Update straks updates zoekt, downloadt of installeert op een computer die op netstroom is aangesloten en niet actief wordt gebruikt, zal de slaapstand maximaal 2 uur worden uitgesteld. Dit moet ervoor zorgen dat Windows Update meer kans heeft om te slagen. De nieuwe functie kan nu al in de Windows 10 Insider Preview Build 17107 worden getest. bron: security.nl

Wachtwoordmanager 1Password heeft een nieuwe feature ontwikkeld waarmee gebruikers kunnen kijken of hun wachtwoorden in een database van meer dan 500 miljoen gelekte wachtwoorden voorkomen. De database is beschikbaar gesteld door beveiligingsonderzoeker Troy Hunt en bestaat uit wachtwoordhashes die bij allerlei datalekken zijn gestolen. 1Password-gebruikers met een abonnement hebben nu bij de wachtwoorden die in de wachtwoordmanager zijn opgeslagen de optie "Check Password". Via deze optie wordt er in de database van Hunt gekeken of het wachtwoord daarin voorkomt, zonder dat het wachtwoord naar de onderzoeker of AgileBits wordt gestuurd, de ontwikkelaar van 1Password. Voor het versturen van het wachtwoord maakt 1Password hier eerst een sha-1-hash van. Vervolgens worden de eerste vijf karakters van deze hash naar de dienst van Hunt gestuurd. Hierna stuurt de server een lijst met gelekte wachtwoordhashes terug die met dezelfde vijf karakters beginnen. 1Password vergelijkt deze lijst lokaal op het systeem van de gebruiker om te zien of die de volledige hash van de gebruiker bevat. Wanneer er een match is wordt de gebruiker gewaarschuwd. AgileBits benadrukt dat als er via de nieuwe feature een hit wordt gevonden dit niet wil zeggen dat het account van de gebruiker is gecompromitteerd. Het kan zijn dat iemand hetzelfde wachtwoord gebruikt. Toch adviseert AgileBits in deze gevallen om het wachtwoord te wijzigen. bron: security.nl

Malware is steeds vaker gesigneerd met legitieme certificaten die in naam van legitieme bedrijven zijn aangevraagd, wat het lastiger voor beveiligingssoftware maakt om de malware te detecteren. Dat stelt securitybedrijf Recorded Future in een nieuw onderzoek (pdf). Softwareontwikkelaars kunnen hun programma's via certificaten signeren, zodat ze bijvoorbeeld door het besturingssysteem of beveiligingssoftware worden vertrouwd. In het geval van ongesigneerde software kan het besturingssysteem een waarschuwing laten zien of vereisen dat er extra stappen voor de installatie zijn vereist. Certificaten kunnen bij een certificaatautoriteit worden aangevraagd. Deze partijen controleren de aanvrager en geven dan pas het certificaat uit. Voor een aanvaller heeft het verschillende voordelen om zijn of haar malware te signeren. Hiervoor moet echter een certificaat worden verkregen. In het verleden zijn er meerdere malware-aanvallen geweest waarbij aanvallers de certificaten van bedrijven stalen, om daarmee hun malware te signeren. Er is echter ook een markt waar certificaten op aanvraag worden geregeld, met de gegevens van legitieme bedrijven, aldus Recorded Future. "In tegenstelling tot wat vaak wordt gedacht, dat de veiligheidscertificaten die in de ondergrond rondgaan van legitieme eigenaren zijn gestolen voordat ze bij aanvallen worden ingezet, hebben wij met een hoge mate van zekerheid vastgesteld dat de certificaten op verzoek van een specifieke koper worden aangemaakt en worden geregistreerd met gestolen zakelijke identiteiten, wat netwerkbeveiligingsapparaten minder effectief maakt", zo stelt het securitybedrijf. De goedkoopste certificaten voor het signeren van code kosten 299 dollar, waarbij het meest uitgebreide Extended Validation (EV) certificaat met een SmartScreen reputatiebeoordeling voor 1599 dollar wordt aangeboden. De beginprijs van een domeinnaamregistratie met een EV SSL-certificaat is 349 dollar. Recorded Future besloot de aangeboden certificaten met een Remote Access Trojan (RAT) te testen. De RAT werd door acht anti-virusbedrijven gedetecteerd. Na het signeren van de code met een certificaat dat door de criminelen was geregeld wisten nog maar twee oplossingen de malware te detecteren. Recorded Future verwacht niet dat deze vervalste certificaten vanwege de hoge kosten gemeengoed onder cybercriminelen zullen worden. Meer geraffineerde aanvallers en landen die zich met minder grootschalige en meer gerichte aanvallen bezighouden zullen dergelijke certificaten in hun operaties blijven gebruiken, aldus de conclusie van de onderzoekers. bron: security.nl

Opera heeft een nieuwe testversie van de browser gelanceerd die over een snellere adblocker beschikt. Een kleine 2 jaar geleden was Opera de eerste browser die een adblocker toevoegde, mede omdat advertenties een "privacyprobleem" zijn doordat ze gebruikers over het hele web volgen. Naast het blokkeren van advertenties beschermt de adblocker sinds begin dit jaar ook tegen cryptominers die in de browser willen draaien. Opera heeft door een verbetering van de eigen algoritmes de adblocker veel sneller weten te maken. Uit een eigen benchmark, uitgevoerd op 15 populaire nieuwssites, blijkt dat de testversie van Opera 52 zestien procent sneller is dan Opera 51 en 44 procent sneller dan Chrome 64. De nieuwste Chrome-versie beschikt over een advertentiefilter dat bepaalde advertenties blokkeert. "Naast de behoefte aan snelheid zien we ook dat steeds meer mensen onze adblocker als een beveiligingstool gebruiken. Ze vinden het geen fijn idee dat ze continu door adverteerders worden gevolgd, maar willen ook beschermd zijn tegen cryptojacking", aldus Krystian Kolondra van Opera. bron: security.nl

Met de lancering van Firefox 62 later dit jaar worden uitgepakte extensies in de browser niet meer ondersteund, wat de onder andere de stabiliteit moet verbeteren. Firefox biedt de mogelijkheid om extensies te 'side loaden'. Hierbij wordt er een vermelding aan het Windows Register toegevoegd met de directory of het XPI-bestand van de extensie. Wanneer er naar een directory met de inhoud van de extensie wordt gewezen spreekt Mozilla over een uitgepakte extensie. Een XPI-bestand is eigenlijk een ZIP-bestand dat de bestanden en installatie-instructies van de extensie bevat. Volgens Mozilla maakten voornamelijk oudere legacy-extensies gebruik van het "uitgepakte extensiemodel". Met de lancering van Firefox Quantum en de overstap naar WebExtensions is de ondersteuning van uitgepakte extensies niet langer vereist, aldus de browserontwikkelaar. Het ondersteunen van zowel uitgepakte als ingepakte extensies zou echter een grote last voor de ontwikkel- en testteams zijn. Het verwijderen van de code waarmee uitgepakte extensies worden ondersteund zou daarnaast de stabiliteit van Firefox verbeteren. Extensie-ontwikkelaars die met uitgepakte extensies werken krijgen dan ook het advies om van een ingepakt XPI-bestand gebruik te gaan maken. Firefox 62 staat gepland voor 21 augustus dit jaar. bron: security.nl

Er is een nieuwe versie van de populaire wachtwoordkraker Hashcat verschenen die wachtwoordhashes nu veel sneller kan kraken dan bij vorige versies het geval was. Bij veelgebruikte hash-algoritmes zoals MD5, SHA-1 en SHA-256 bedraagt de prestatiewinst tientallen procenten, aldus de benchmarks. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database wordt gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Het is echter mogelijk om een hash te kraken en het bijbehorende wachtwoord te achterhalen. Iets wat middels een tool als Hashcat mogelijk is. Het programma maakt hierbij gebruik van de rekenkracht van de videokaart en processor. In Hashcat 4.1.0 zouden zowel eigenaren van een AMD- als Nnvidia-videokaart bij alle hash-algoritmes en aanvalsmodes prestatieverbeteringen moeten zien, zo laat de ontwikkelaar van de software weten. Dit komt mede door een nieuwe techniek die bedoeld is om de PCIe-overdachtstijd te verkorten. Ook zijn de prestaties voor systemen met Intel I7- en AMD Ryzen-processoren verbeterd. Verder zijn er verschillende nieuwe hash-modes toegevoegd, waaronder die van Electrum Wallet, Apple Secure Notes en Ethereum Pre-Sale Wallet. Hashcat 4.1.0 is te downloaden via Hashcat.net. bron: security.nl