Captain Kirk

Broncode van de remote desktopsoftware Ammyy Admin is gebruikt voor malware die zowel bij zeer gerichte als grootschalige aanvallen is ingezet, aldus securitybedrijf Proofpoint. Ammyy Admin is een programma waarmee op afstand toegang tot computers kan worden verkregen. Enige tijd geleden verscheen de broncode van Ammyy Admin versie 3 op internet en cybercriminelen hebben daar gebruik van gemaakt voor het ontwikkelen van malware, genaamd "FlawedAmmyy". Deze kwaadaardige versie is al sinds begin 2016 bij aanvallen ingezet, maar nu pas ontdekt, zo laat Proofpoint weten. Onder andere de automobielindustrie zou het doelwit van de aanvallen zijn. Om de malware te verspreiden maken de aanvallers gebruik van e-mails die als bijlage Word- of ZIP-bestanden bevatten. De Word-bestanden zijn voorzien van een kwaadaardige macro die, wanneer ingeschakeld door de gebruiker, de malware op het systeem downloadt. Eenmaal actief op een systeem kan FlawedAmmyy worden gebruikt om bedrijfsgeheimen, klantgegevens en andere informatie van ondernemingen te stelen, aldus de onderzoekers. bron: security.nl

140 Nederlandse WordPress-sites zijn besmet met een cryptominer die de brower van bezoekers naar cryptovaluta laat mijnen, zo meldt beveiligingsonderzoeker Troy Mursch van Bad Packets Report. De onderzoeker waarschuwde vorige maand dat hij via de PublicWWW-zoekmachine bijna 50.000 gehackte sites had gevonden waar aanvallers een cryptominer aan hadden toegevoegd. Van de 50.000 gehackte websites met een cryptominer draaiden er 5400 op WordPress-websites. Deze week kwam de onderzoeker met een update waarin hij stelt dat het aantal gehackte WordPress-sites is opgelopen naar bijna 7400. In een overzicht van de gehackte websites blijkt dat het om 140 .nl-domeinen gaat. Hoe de websites konden worden gehackt laat de onderzoeker niet weten. Op de meeste gehackte websites is de Coinhive-cryptominer geplaatst. Deze cryptominer bestaat uit een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om de cryptovaluta Monero te minen. Eigenaren van de gehackte websites hebben hier geen weet van en worden hier ook niet voor betaald. Het geld dat de cryptominer oplevert gaat naar de aanvallers. Bezoekers kunnen de cryptominer opmerken doordat hun computer trager wordt en meer stroom verbruikt. bron: security.nl

Een Amerikaans securitybedrijf claimt dat het een 'kill-switch' heeft gevonden om ddos-aanvallen via publiek toegankelijke memcached-servers te stoppen. Daarnaast waarschuwen onderzoekers van Corero dat het ook mogelijk is om data van kwetsbare memcached-servers te stelen of manipuleren. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Oorspronkelijk was het niet ontworpen om via het internet toegankelijk te zijn. Wereldwijd zijn er echter nog zo'n 95.000 memcached-servers publiek toegankelijk. Een aanvaller kan door ip-spoofing naar deze servers een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Dit heeft inmiddels geleid tot ddos-aanvallen met een recordomvang van 1,7 Tbps Corero zegt dat er een oplossing voorhanden is. Er is namelijk een 'kill-switch' waarbij er een commando naar de aanvallende memcached-server wordt gestuurd om het huidige ddos-misbruik te stoppen. De "flush_all" tegenmaatregel zorgt ervoor dat de cache van de kwetsbare servers komt te vervallen, waaronder ook de grote, kwaadaardige antwoorden van de aanvallers. Volgens de onderzoekers is de maatregel 100 procent effectief en heeft die geen gevolgen voor de kwetsbare memcached-server. De informatie is inmiddels met "nationale veiligheidsdiensten" gedeeld, aldus Corero. Verder ontdekten onderzoekers van het bedrijf dat het mogelijk is om informatie te stelen die memcached-servers van het lokale netwerk of host hebben opgeslagen. Het kan dan gaan om vertrouwelijke databasegegevens, klantdata of andere informatie. Ook is het mogelijk om de informatie aan te passen. "Door een eenvoudig debug-commando te gebruiken kunnen hackers de 'sleutels' van je data achterhalen. Daarnaast is het mogelijk om de data aan te passen en terug in het cache-geheugen te plaatsen, zonder dat de memcached-eigenaar dit weet", zo stelt het securitybedrijf. De Nederlandse beveiligingsonderzoeker Victor Gevers meldt op Twitter dat het aantal open memcached-servers gestaag aan het afnemen bron: security.nl

Microsoft heeft afgelopen dinsdag een grootschalige uitbraak van cryptomining-malware ontdekt en gestopt, zo meldt de softwaregigant in een analyse. In korte tijd werden er 400.000 exemplaren van Smoke Loader gedetecteerd, een Trojan downloader die aanvullende malware op systemen installeert en ook bekend staat als Dofoil. Smoke Loader verspreidt zich via exploitkits en spamcampagnes. In het geval van de aanval van afgelopen dinsdag probeerde Smoke Loader een zelfontwikkelde cryptominer te installeren die NiceHash ondersteunt. Dit houdt in dat de cryptominer verschillende cryptovaluta kan mijnen. De exemplaren die Microsoft analyseerde mijnden de cryptovaluta Electroneum. De analyse van Microsoft laat zien hoe de malware middels machine learning, gedragsgebaseerde detectie en big data-analyse binnen enkele minuten kon worden gedetecteerd. De campagne van Smoke Loader was met name in Rusland actief waar 73 procent van de exemplaren werd waargenomen. Turkije en Oekraïne volgden met respectievelijk 18 en 4 procent. bron: security.nl

Google heeft opnieuw een waarschuwing aan websites met Symantec-certificaten gegeven om in actie te komen, aangezien deze sites straks foutmeldingen in Google Chrome veroorzaken. Begin vorig jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen. Certificaten, die onder andere voor versleutelde verbindingen tussen websites en bezoekers worden gebruikt, spelen een belangrijke rol op internet. Het overtreden van deze regels wordt Symantec dan ook zwaar aangerekend. Google besloot daarom het vertrouwen in de certificaten van Symantec geleidelijk op te zeggen. De eerste fase in dit proces vindt volgende maand plaats, als Chrome 66 geen Symantec-certificaten meer vertrouwt die voor 1 juni 2016 zijn uitgegeven. Chrome-gebruikers krijgen dan bij deze websites een certificaatwaarschuwing te zien en kunnen de website niet zonder extra handelingen uit te voeren bezoeken. De maatregel zal Google binnenkort in een testversie van Chrome 66 doorvoeren. De definitieve versie van Chrome 66 staat gepland voor 17 april. Met de lancering van Chrome 70 op 16 oktober wordt geen enkel Symantec-certificaat meer vertrouwd, ongeacht uitgiftedatum. Google roept webmasters en beheerders dan ook dringend op om actie te ondernemen en de certificaten te vervangen. bron: security.nl

Alle Windows 10-versies krijgen straks de beschikking over de Windows 10 S-modus, wat een aangepaste en op veiligheid gerichte versie van het besturingssysteem is. Windows 10 S werkt alleen met apps uit de Microsoft Store en ondersteunt alleen de Edge-browser met de Bing-zoekmachine. Doordat alleen door Microsoft gecontroleerde apps worden toegestaan zou dit Windows 10 S tegen ransomware en andere malware moeten beschermen, zo liet de softwaregigant weten. In eerste instantie werd Windows 10 S als losstaande Windows 10-versie gepresenteerd, die met name voor leerlingen en studenten was bedoeld. Windowsvolger Ed Bott noemde het zelfs de oplossing voor de 'clueloze pc-gebruiker', aangezien het installeren van malware een stuk lastiger is met Windows 10 S. In het geval Windows 10 S-gebruikers een applicatie wilden gebruiken die niet in de Window Store is te vinden, konden ze op Windows 10 Pro overschakelen, wat een permanente beslissing was. Nu laat Microsoft weten dat Windows 10 S straks in elke Windows 10-versie kan worden ingeschakeld en uitgeschakeld, zonder extra kosten. bron: security.nl

400.000 mailservers lopen risico door een kwetsbaarheid in Exim, een message/mail transfer agent (MTA) voor het versturen en ontvangen van e-mail. Via het beveiligingslek kan een aanvaller zonder authenticatie op afstand willekeurige code op het systeem uitvoeren. Hiervoor hoeft een aanvaller alleen een speciaal geprepareerd bericht te versturen. Onderzoeker Meh Chang van securitybedrijf Devcore rapporteerde het probleem op 5 februari aan de ontwikkelaars van Exim. Vijf dagen later op 10 februari verscheen Exim 4.90.1, waarin de kwetsbaarheid was gepatcht. Chang heeft nu een analyse van het beveiligingslek online gezet. Daarin stelt hij dat nog minstens 400.000 mailservers risico lopen en geeft het advies aan beheerders om meteen naar de laatste versie te upgraden. Volgens de ontwikkelaars van Exim zou het lastig zijn om de kwetsbaarheid te misbruiken. Chang stelt in zijn analyse echter dat de bug eenvoudig is te triggeren en beschikt over een werkende exploit om dit te laten zien. Exim is onder andere in verschillende Linux-distributies aanwezig, waarin het probleem ook is gepatcht. Eind vorig jaar werd er ook al een ernstig beveiligingslek in de software ontdekt. bron: security.nl

Vorig jaar is een recordaantal Belgen slachtoffer van fraude met internetbankieren geworden. Het aantal slachtoffers in 2017 was groter dan de vier voorgaande jaren bij elkaar opgeteld. Dat blijkt uit cijfers van Febelfin, de overkoepelende federatie voor de Belgische financiële sector. In totaal werden er 3200 Belgen gedupeerd, met name via phishing. Van 2013 tot en met 2016 ging het in totaal om 2800 slachtoffers. De schade die slachtoffers vorig jaar leden bedroeg 2,5 miljoen euro, wat neerkomt op een gemiddelde van 780 euro per geval. Ook dit bedrag is hoger dan voorgaande jaren. Van 2014 tot en met 2016 bedroeg het schadebedrag in totaal 2,1 miljoen euro. Alleen in 2013 wisten criminelen met een bedrag van bijna 5,2 miljoen euro meer geld te stelen. "Deze fraudegevallen blijven hoofdzakelijk toe te schrijven aan phishing. Hoewel het principe van phishing steeds hetzelfde blijft, passen de fraudeurs voortdurend hun werkwijze aan", aldus Febelfin. Volgens de organisatie maken fraudeurs ook gebruik van nieuwe communicatiekanalen zoals Facebook of WhatsApp om potentiële slachtoffers te benaderen. Zo worden links in socialmediaberichten gebruikt die naar phishingsites wijzen. Febelfin waarschuwt gebruikers dan ook om alert te zijn op phishing. bron: security.nl

Windows 10 zal van een nieuw privacyscherm gebruik gaan maken voor het instellen van de privacyopties, zo heeft Microsoft laten zien. Het nieuwe ontwerp moet gebruikers helpen bij het maken van keuzes over hun privacy en biedt twee nieuwe instellingen voor Inking & Typing en Find my device. Via het privacyscherm kunnen gebruikers kiezen hoe er met locatiegegevens, diagnostische data, spraakherkenning en andere zaken moet worden omgegaan. In het geval van de optie Inking & Typing wordt informatie over het schrijfgedrag naar Microsoft teruggestuurd. Find my device, dat alleen met een Microsoft-account werkt, maakt van locatiegegevens gebruik om de locatie van een apparaat te bepalen zodat het gevonden kan worden. Microsoft heeft het nieuwe privacyscherm in een testversie van Windows 10 uitgerold. Daarbij wordt er van twee verschillende vormgevingen gebruikmaakt. De ene vormgeving laat alle opties in één scherm zien, terwijl de andere vormgeving voor elke privacyinstelling een apart scherm toont. Het nieuwe privacyscherm zal deze lente via een update in Windows 10 beschikbaar worden. bron: security.nl

Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin 45 kwetsbaarheden zijn verholpen waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. De kwetsbaarheden bevonden zich in verschillende onderdelen van de browser, zoals Flash, de ingebouwde pdf-lezer, de V8 JavaScript-engine en WebGL. Van de verholpen beveiligingslekken werden er 27 door externe beveiligingsonderzoekers aan Google gerapporteerd. Google betaalde hen in totaal ruim 34.000 dollar voor de bugmeldingen. Daarnaast beschermt Chrome 65 gebruikers tegen ongewenste redirects. Het gaat dan bijvoorbeeld om websites die zich voordoen als afspeelknop of transparante overlays op websites, die alle clicks afvangen en nieuwe tabs of vensters openen. Ook als gebruikers bijvoorbeeld een link openen kan er een redirect plaatsvinden. Sommige websites maken hier gebruik van door aangeklikte links in een nieuwe tab te openen, terwijl de hoofdpagina een andere pagina opent. Chrome zal dergelijke redirects nu blokkeren. Updaten naar Chrome 65.0.3325.146 gebeurt op de meeste systemen automatisch. bron: security.nl

Onderzoekers zullen deze week tijdens een beveiligingsconferentie van Kaspersky Lab in Mexico laten zien hoe het mogelijk was om via stemassistent Cortana de vergrendeling van Windows 10 te omzeilen en een systeem kwaadaardige websites te laten bezoeken. Zelfs wanneer een Windows 10-systeem is vergrendeld en in slaapstand luistert Cortana naar bepaalde stemopdrachten, zo ontdekten onderzoekers Tal Be'ery and Amichai Shulman. Een aanvaller met fysieke toegang tot een vergrendelde Windows 10-computer zou een kwaadaardige usb-netwerkadapter op het systeem kunnen aansluiten en vervolgens Cortana de opdracht kunnen geven om de browser te starten en een http-site te bezoeken. De kwaadaardige netwerkadapter vangt het http-verzoek af en stuurt de browser vervolgens naar een kwaadaardige website die malware op de computer installeert, zo meldt Vice Magazine dat al door de onderzoekers werd ingelicht. Na te zijn gewaarschuwd heeft Microsoft het probleem verholpen door alle browse-opdrachten die via Cortana op een vergrendelde computer worden uitgevoerd via de Bing-zoekmachine te laten lopen. bron: security.nl

Microsoft heeft een update uitgebracht voor een probleem met usb-apparaten dat na de installatie van een beveiligingsupdate voor Windows 10 ontstond. Tijdens de patchdinsdag van februari verschenen er verschillende cumulatieve updates, waaronder KB4074588. Deze update bevat onder andere belangrijke beveiligingsupdates voor ernstige kwetsbaarheden in de Microsoft Scripting Engine, Edge, Internet Explorer, Windows Search, Windows Kernel, Windows Authentication, Device Guard en andere onderdelen. Na het installeren van de update konden op Windows 10-systemen sommige usb- en onboard-apparaten, zoals een ingebouwde laptopcamera, keyboard of muis, stoppen met werken. Het probleem, dat zich alleen voordeed bij de Windows 10 Fall Creators Update (versie 1709), werd veroorzaakt door de installatie van nieuwe drivers die in de update aanwezig waren. Windows Update kon in bepaalde gevallen de installatie van de nieuwe drivers overslaan en de huidige geïnstalleerde drivers verwijderen. Microsoft heeft nu KB4090913 uitgebracht om het probleem te verhelpen. Deze update is beschikbaar via Windows Update en de Microsoft Update Catalogus. bron: security.nl

Mozilla heeft een vroege testversie van Firefox 60 gelanceerd die oudere door Symantec uitgegeven tls-certificaten blokkeert, wat voor foutmeldingen op tal van populaire websites zorgt. Het gaat om certificaten die voor 1 juni 2016 zijn uitgegeven en worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en hun bezoekers. Aanleiding voor de maatregel zijn verschillende incidenten met door Symantec uitgegeven tls-certificaten. Verschillende browserontwikkelaars, waaronder Google en Mozilla, hebben besloten om het vertrouwen in de certificaten van Symantec geleidelijk op te zeggen. De eerste stap is het opzeggen van het vertrouwen in de certificaten die voor 1 juni 2016 zijn uitgegeven. Google voert deze maatregel volgende maand in, met de lancering van Chrome 66. Mozilla volgt op 9 mei met Firefox 60. De maatregel is echter nu al te testen in de Nightly-versie van Firefox 60. Volgens Mozilla blijkt uit cijfers dat zo'n 300 populaire websites van deze oudere Symantec-certificaten gebruikmaken en gebruikers van de testversie daardoor een certificaatwaarschuwing te zien krijgen. Met de lancering van Firefox 63 in oktober dit jaar wordt het vertrouwen in alle certificaten van Symantec opgezegd, ongeacht uitgiftedatum. Websites die nog van Symantec-certificaten gebruikmaken krijgen dan ook het advies om een ander certificaat te installeren. bron: security.nl

Besmette computers laten mijnen naar cryptovaluta is een lucratieve business voor cybercriminelen, die daarbij geen concurrentie dulden, zo ontdekte beveiligingsonderzoeker Xavier Mertens van het Internet Storm Center. Martens ontdekte malware die een cryptominer op systemen installeert, maar ook zoekt naar al aanwezige andere cryptominers, securitytools en processor-intensieve processen om die vervolgens uit te schakelen. "Cryptominers maken intensief gebruik van je processor en hoe meer rekenkracht ze kunnen gebruiken, hoe meer geld het oplevert", aldus Martens. De malware die hij ontdekte zoekt naar andere cryptominers en schakelt die uit. Hierbij maakt de malware gebruik van een lijst met procesnamen van andere cryptominers. De lijst is volgens Martens ook te gebruiken om te kijken of systemen met een cryptominer besmet zijn. Gisteren publiceerde anti-virusbedrijf Kaspersky Lab nog een rapport waarin wordt gesteld dat criminelen vorig jaar via cryptominer-malware miljoenen dollars hebben verdiend. bron: security.nl

Nadat internetgigant Akamai vorige week de grootste ddos-aanval tot dan toe waarnam van 1,3 Tbps, is er nu een nog grotere aanval waargenomen. Securitybedrijf Arbor Networks heeft een aanval van 1,7 Tbps gezien die gericht was tegen een klant van een Amerikaanse serviceprovider. Net als de ddos-aanval van 1,3 Tbps waar softwareontwikkelingsplatform GitHub het doelwit van werd, maakte ook deze ddos-aanval gebruik van publiek beschikbare memcached-servers. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. "Hoewel de internetgemeenschap samenwerkt om veel publiek toegankelijke memcached-servers uit te schakelen, zorgt het grote aantal open servers dat memcached draait ervoor dat dit een beveiligingslek is dat aanvallers over langere tijd zullen aanvallen", aldus Carlos Morales van Arbor Networks. Hij merkt op dat de aanval geen storing of downtime bij de serviceprovider veroorzaakte. bron: security.nl

Facebook heeft een beveiligingsmaatregel geïmplementeerd die ervoor zorgt dat links altijd naar de https-versie wijzen als die beschikbaar is, zo heeft de sociale netwerksite vandaag bekendgemaakt. Hiervoor wordt gebruik gemaakt van HSTS, wat staat voor HTTP Strict Transport Security. Het zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd of op een http-link geklikt. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Dit moet de veiligheid van gebruikers vergroten, aldus Facebook. Om te bepalen of er van een link op Facebook.com een https-versie beschikbaar is wordt er gebruik gemaakt van twee bronnen. Als eerste is er de Chromium-preloadlist, die in deze meeste browsers wordt gebruikt. Via deze lijst wordt bijgehouden welke websites over https moeten worden bezocht. Daarnaast verzamelt Facebook de HSTS-headers van websites die op Facebook worden gedeeld. Via deze header kunnen websites aangegeven dat ze bij het volgende bezoek via https moet worden bezocht. Door beide bronnen te combineren hoopt Facebook dat mensen veiliger en sneller kunnen browsen. Daarnaast doet de sociale netwerksite een oproep aan websites om HSTS in te schakelen. bron: security.nl

Anti-virusbedrijf Bitdefender heeft een gratis tool voor de Annabel-ransomware uitgebracht waarmee slachtoffers kosteloos hun bestanden kunnen ontsleutelen. De Annabel-ransomware versleutelt niet alleen bestanden op de computer, maar verandert ook de Master Boot Record (MBR) van de harde schijf. Daarnaast schakelt deze ransomware de Windows Firewall uit, voorkomt dat allerlei tools kunnen worden gestart en probeert zich via aangesloten usb-sticks naar andere computers te verspreiden. Voordat gebruikers de gratis decryptietool van Bitdefender kunnen gebruiken moeten ze eerst wel verschillende stappen doorlopen. Omdat de ransomware de MBR aanpast moet de gebruiker die eerst via andere tools zien te herstellen. Vervolgens moeten in het Windows Register verschillende sleutels worden verwijderd zodat de malware niet meer tijdens het opstarten van Windows wordt geladen. Hierna is het mogelijk om de infectie te verwijderen. Als laatste kan de gratis decryptietool worden gestart om de bestanden te ontsleutelen. Het anti-virusbedrijf laat weten dat vanwege de manier waarop AES-encryptie werkt, sommige bestanden 15 extra bytes aan het einde krijgen. Dit zou echter geen gevolgen voor het bestand moeten hebben. bron: security.nl

Na twee jaar verschijnt er binnenkort een nieuwe grote update van de Enigmail-extensie voor Thunderbird, die onder andere ondersteuning van gebruiksvriendelijke e-mailversleuteling toevoegt. Enigmail, dat al sinds 2009 bestaat, laat Thunderbird-gebruikers versleutelde berichten versturen. Binnenkort verschijnt versie 2.0 die Pretty Easy Privacy (pEp) ondersteunt. Pretty Easy privacy is een project dat als doel heeft om e-mail anoniem en versleuteld te maken. Enigmail biedt straks een "pEp-mode", afhankelijk van hoe het e-mailaccount is ingesteld. Als Enigmail of S/MIME niet zijn ingesteld voor een e-mailaccount, zal pEp automatisch worden ingeschakeld. Wanneer er van een nieuw Thunderbird-account gebruik wordt gemaakt, zal pEp standaard zijn ingeschakeld. Zodra Enigmail ziet dat pEp moet worden gebruikt, zal het de benodigde pEp-bestanden downloaden. Vervolgens zullen uitgaande e-mails automatisch worden versleuteld. Verder werken in Enigmail 2.0 de encryptie- en signeer-knoppen voor zowel OpenPGP en S/MIME. Enigmail zal tussen S/MIME of OpenPGP kiezen afhankelijk van de beschikbare sleutels voor de betreffende standaard. Ook is het straks mogelijk om het onderwerp te versleutelen en te vervangen door een "dummy" onderwerp. Op dit moment wordt alleen de inhoud van de e-mail versleuteld en niet het onderwerp. Daarnaast worden Autocrypt en Web Key Directory (WKD) ondersteund. De nieuwe features zijn in de tweede betaversie van Enigmail 2.0 te testen. Afhankelijk van de feedback komt er nog een derde betaversie of zal de definitieve versie over twee weken worden gelanceerd. bron: security.nl

Naar aanleiding van de ddos-aanvallen die via publiek beschikbare memcached-servers worden uitgevoerd heeft Red Hat advies gepubliceerd om dergelijke systemen te beveiligen. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. Vorige week werd GitHub doelwit van de grootste ddos-aanval ooit, die via memcached-servers was uitgevoerd. De aanval had een omvang van 1,3 Tbps. Inmiddels worden verschillende websites via dergelijke ddos-aanvallen afgeperst, zo laat securitybedrijf Cybereason aan it-journalist Brian Krebs weten. De aanvallers versturen in het aanvalsverkeer de boodschap met instructies voor de aangevallen website mee. Daarin staat dat er bijna 15.000 euro in Monero moet worden betaald om de aanval te laten stoppen. Om misbruik van memcached-servers te voorkomen heeft Red Hat nu beveiligingsadvies online geplaatst. Daarin wordt geadviseerd om UDP voor memcached uit te schakelen als dit niet is vereist en op TCP-verbindingen over te stappen. Wanneer UDP wel verplicht is wordt aangeraden een firewall in te stellen en alleen verbindingen van betrouwbare hosts te accepteren. Verder moet de memcached-server alleen van het lokale netwerk toegankelijk zijn en moet extern verkeer naar door memcached gebruikte poorten niet worden toegestaan. bron: security.nl

Wanneer je nog geen nieuwe data naar de stick hebt geschreven zou het inderdaad nog mogelijk moeten zijn om bijna alles terug te halen. Maar zoals Stegisoft ook al aangegeven heeft, het gaat hier om een Mac. Ook ik weet hoe die dar mee om gaat. Hou ons op de hoogte.

Zou inderdaad heel goed een slecht contact geweest kunnen zijn. Bij gebruik van de pc ontstaat er warmte wat weer voor uitzetting van onderdelen kan zorgen. Latjes eruit en even de contacten met een droge doek goed schoonwrijven is vaak al voldoende.

Internetgigant Akamai heeft naar eigen zeggen de grootste ddos-aanval tot nu toe waargenomen met een omvang van 1,3 Tbps. Niet eerder zag Akamai een aanval waarbij zoveel dataverkeer werd verstuurd. De aanval, die twee keer groter was dan de recordaanval van het Mirai-botnet in september 2016 met 620 Gbps, was gericht tegen een softwareontwikkelingsbedrijf en maakte gebruik van memcached-servers. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Wereldwijd zijn zo'n 100.000 publiek beschikbare memcached-systemen te vinden die middels ip-spoofing voor ddos-aanvallen zijn te gebruiken. Hierbij verstuurt een aanvaller gespoofte verzoeken met het ip-adres van de aan te vallen website naar de memcached-server. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd. Vanwege de mogelijkheid om zulke grote aanvallen uit te voeren verwacht Akamai dat deze techniek bij veel meer aanvallen zal worden ingezet en er nog grotere aanvallen zullen plaatsvinden. Er is echter ook goed nieuws, zo stelt de internetgigant. Providers kunnen het verkeer op source-poort 11211 "rate limiten" en voorkomen dat verkeer hun netwerk betreedt of verlaat. Dit zal echter de nodige tijd in beslag nemen. Akamai werkt met andere industriepartners samen aan best practices om het memcached-probleem op te lossen. bron: security.nl

Het aantal websites dat bezoekers van http naar https doorstuurt is de afgelopen acht maanden sterk gestegen, zo blijkt uit onderzoek van Mozilla onder de 1 miljoen populairste websites volgens meetbureau Alexa. De browserontwikkelaar keek voor het onderzoek naar het gebruik van verschillende beveiligingsmaatregelen, zoals https, HSTS en Content Security Policy, alsmede het doorsturen van http naar https. Sinds de laatste meting in juni is het aantal websites dat https ondersteunt met 19 procent gestegen, wat neerkomt op 83.000 websites. In de afgelopen periode hebben daarnaast nog eens 97.000 websites besloten om standaard via https te worden aangeboden. Nog eens 16.000 websites verbieden via HSTSs zelf toegang tot http en sturen bezoekers meteen door naar https. Het doorsturen van http naar https wordt door bijna 33 procent van de websites gedaan, een stijging van 43 procent ten opzichte van juni. Ook Content Security Policy, een technologie die tegen cross-site scripting-aanvallen moet beschermen kende procentueel een sterke groei, maar wordt nog altijd door relatief weinig websites toegepast. Via het Mozilla Observatory worden websites ook beoordeeld op het gebruik van de eerder genoemde en andere beveiligingmaatregelen. Ondanks de betere cijfers in februari worden veel maatregelen niet door websites genomen waardoor nog altijd 90 procent een "F" scoort, wat de laagste beoordeling is. Ten opzichte van de vorige periode daalde dit aantal wel met bijna 3 procent. Het aantal websites met een A+, de hoogste beoordeling, steeg met 38 procent van .013 procent naar .018 procent. bron: security.nl

Verkeerd ingestelde installaties van het programma rTorrent worden actief aanvallen om Linux-systemen met een cryptominer te infecteren, zo waarschuwt netwerkbedrijf F5. RTorrent is een tekstgebaseerde torrentclient voor het downloaden van torrents. Het kan via XML-RPC door andere programma's worden bestuurd. XML-RPC is een remote procedure call (RPC) protocol. Zo is er ruTorrent, een webgebaseerde frontend die via XML-RPC van rTorrent gebruikmaakt. Voor de XML-RPC-communicatie vereist rTorrent geen authenticatie. De functionaliteit hoort dan ook niet via internet toegankelijk te zijn, omdat derden dan zonder authenticatie met de lokale rTorrent-client kunnen communiceren. Daarnaast ondersteunt rTorrent een methode voor het direct uitvoeren van shellcommando's. Aanvallers zoeken nu actief naar verkeerd ingestelde rTorrent-clients en laten het programma vervolgens een cryptominer downloaden en uitvoeren. Deze cryptominer gebruikt de rekenkracht van het systeem om naar de cryptovaluta Monero te mijnen. Ook kijken de aanvallers of er geen cryptominers van concurrenten draaien. Wanneer dit het geval is worden deze cryptominers gestopt. Een van de Monero-wallets die bij de aanval wordt gebruikt heeft inmiddels 3900 dollar aan Monero verzameld. RTorrent-gebruikers krijgen het advies om te controleren dat hun installatie geen commando's van buiten accepteert. bron: security.nl

Een nieuwe golf van phishing-mails gericht aan Apple-gebruikers heeft ertoe geleid dat Apple tips heeft gepubliceerd hoe te bepalen of een e-mail echt van Apple afkomstig is. In nauwelijks van echt te onderscheiden e-mails, die van de Apple Store afkomstig lijken te zijn, wordt er bijvoorbeeld gemeld dat er een abonnement op Youtube Red is gestart waarbij de eerste maand gratis is. Tevens wordt gemeld dat de kosten na de eerste gratis maand maar liefst $144,99 per maand bedragen. Op deze manier wordt de lezer verleid op de "Cancel Subscription" link te klikken. Apple adviseert gebruikers alert op deze mails te zijn. Geadviseerd wordt om alleen de persoonlijke gegevens aan te passen via de instellingen op het Apple-toestel, via de accountpagina in de App Store of via iTunes-software op de pc, en niet via een link in een mail. Ook vraagt Apple om verdachte phishing-mails door te sturen naar reportphishing@apple.com. bron: security.nl