Captain Kirk

Opera heeft een nieuwe optie aan een testversie van de browser toegevoegd waardoor het eenvoudiger voor gebruikers wordt om Flash Player in te schakelen. Mede vanwege het grote aantal aangevallen kwetsbaarheden besloten browserontwikkelaars om de ondersteuning van Flash Player langzaam af te bouwen en ook Adobe heeft het einde van de browserplug-in aangekondigd. In het geval van Opera zijn websites die nog met Flash werken verplicht om toestemming aan de gebruiker te vragen voordat de browserplug-in kan worden aangeroepen. Opera 51.0.2830.0, die gericht is op ontwikkelaars, introduceert echter een optie waarbij Flash Player vanuit de instellingen voor alle websites kan worden ingeschakeld. Websites zullen dan geen toestemming meer vragen. In het verleden kregen Flash Player-gebruikers geregeld met zeroday-aanvallen te maken of verschenen er kort na het uitkomen van beveiligingsupdates exploits voor de net gepatchte kwetsbaarheden. Het afgelopen jaar werd er één zeroday-lek in Flash Player gemeld en was er één geval waarbij net gepatchte kwetsbaarheden kort na het uitkomen van de beveiligingsupdate werden aangevallen. Doordat Flash Player met minder aanvallen te maken heeft, heeft Adobe zelfs het installeren van beveiligingsupdates een lagere prioriteit gegeven. Volgens recent onderzoek is Flash Player op 77 procent van de computers geïnstalleerd. Wanneer Opera de Flash-optie aan de standaardversie zal toevoegen is nog niet bekend. bron: security.nl

Windows-gebruikers die een bepaalde registersleutel missen zullen de beveiligingsupdates van januari en daarna niet ontvangen, zo heeft Microsoft aangekondigd. De softwaregigant heeft een probleem met een klein aantal anti-virusproducten ontdekt dat voor een blue screen of death kan (BSOD) zorgen. Om deze problemen door incompatibele anti-virusproducten te stoppen worden de Microsoft-beveiligingsupdates van 3 januari alleen aangeboden aan systemen die over een compatibele virusscanner beschikken. Anti-virusleveranciers moesten hiervoor aan Microsoft bevestigen dat hun software compatibel met de beveiligingsupdates van januari is, wat door het toevoegen van een speciale registersleutel aan het Windows Register wordt gedaan. In het geval de virusscanner deze registersleutel niet invoert zullen gebruikers de updates van januari en daarna niet ontvangen en zodoende kwetsbaar zijn voor aanvallen. Wanneer gebruikers geen virusscanner kunnen installeren of draaien adviseert Microsoft om de registersleutel handmatig in te voeren om de updates van januari te ontvangen. De softwaregigant waarschuwt dat het gebruik van de Registry Editor voor het invoeren van de registersleutel op eigen risico is. Verkeerd gebruik kan er zelfs voor zorgen dat Windows opnieuw geïnstalleerd moet worden, aldus de waarschuwing. De Britse beveiligingsonderzoeker Kevin Beaumont heeft een overzicht gemaakt van anti-virusproducten en of ze de registersleutel wel of niet installeren. Hij is bang dat door de nieuwe vereiste veel Windows-systemen geen updates meer zullen ontvangen. Een probleem dat volgens de onderzoeker zich ook bij organisaties kan voordoen. bron: security.nl

Onderzoekers hebben een nieuwe campagne ontdekt waarbij aanvallers op kwetsbare Oracle WebLogic-servers een Monero-cryptominer installeren. De aanvallers maken gebruik van een ernstige kwetsbaarheid in de Oracle WebLogic-serversoftware die vorig jaar oktober door Oracle werd gepatcht. Via de kwetsbaarheid kan een aanvaller op afstand willekeurige code met de rechten van de Oracle WebLogic-servergebruiker installeren. Volgens Renato Marinho, handler bij het Internet Storm Center (ISC), is de exploit die van de kwetsbaarheid misbruik maakt zeer eenvoudig uit te voeren en wordt die geleverd met een script om naar potentieel kwetsbare slachtoffers te zoeken. Het dropper-script dat de aanvallers voor de installatie van de cryptominer gebruiken blijkt echter onbedoeld de WebLogic-service uit te schakelen, wat mogelijk verschillende slachtoffers heeft gealarmeerd. Oracle-beheerders krijgen het advies om te kijken of hun omgeving niet gecompromitteerd is en als ze de update nog niet hebben geinstalleerd dit zo snel als mogelijk te doen. Oracle laat geregeld weten dat het meldingen van succesvolle aanvallen ontvangt die mogelijk waren omdat gebruikers beschikbare updates niet hadden uitgerold. bron: security.nl

De online virusscandienst VirusTotal heeft een tool ontwikkeld die verbanden tussen malware, ip-adressen, domeinen en url's visualiseert. Via VirusTotal, dat eigendom van Google is, kunnen gebruikers verdachte bestanden, url's, domeinen en ip-adressen door zo'n 60 verschillende anti-virusprogramma's en blacklistingdiensten laten controleren. Daarnaast wordt er allerlei informatie over het bestand, ip-adres of domein verstrekt. Zodoende kan VirusTotal als 'second opinion' ten opzichte van de al aanwezige virusscanner fungeren. Volgens Google ontvangt VirusTotal elke dag een groot aantal bestanden en url's die door virusscanners, sandboxes en andere tools worden geanalyseerd. De informatie die dit oplevert is erg belangrijk, aangezien het tussen verschillende entiteiten verbanden legt. Om bij het onderzoek naar malware een volledig beeld te krijgen wordt er vaak van meerdere datapunten gebruikgemaakt, zoals bestanden, url's, domeinen en ip-adressen. "We weten dat dit complex kan zijn als je meerdere open tabs hebt. Daarom hebben we VirusTotal Graph ontwikkeld", aldus Juan Infantes van VirusTotal. Het is een visualisatietool die van de VirusTotal-dataset gebruikmaakt om de relatie tussen bestanden, url's, domeinen en ip-adressen duidelijk te maken en biedt een eenvoudige interface om hierin te navigeren. Ook is het mogelijk om de graphs op te slaan en met andere gebruikers te delen. "We denken dat de gemeenschap van deze inlichtingen zal profiteren", laat Infantes verder weten. Hij merkt op dat er scenario's zijn waarbij het delen van graphs om meer privacy vraagt. Voor deze gevallen is een oplossing in de maak die binnenkort zal worden aangekondigd. VirusTotal Graph is nog vrij nieuw en VirusTotal is dan ook benieuwd naar feedback. bron: security.nl

Een ernstig beveiligingslek in phpMyAdmin dat eind december werd gepatcht maakte het mogelijk voor een aanvaller om databasetabellen te verwijderen wanneer de beheerder een kwaadaardige link opende, zo laat onderzoeker Ashutosh Barot weten. PhpMyAdmin is een populaire tool voor het beheren van MySQL- en MariaDB-databases. De kwetsbaarheid werd op 20 december gepatcht, maar Barot heeft afgelopen vrijdag de details gepubliceerd. PhpMyAdmin was kwetsbaar voor cross-site request forgery (CSRF). Daarbij worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een webapplicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Wanneer gebruikers op phpMyAdmin waren ingelogd en op een kwaadaardige link klikten was het mogelijk om verschillende database-opdrachten uit te voeren, zoals het "drop table" statement, waarbij tabellen en hun inhoud worden verwijderd. De aanval werkte ook als de gebruiker op cPanel was ingelogd en phpMyAdmin na het gebruik was gesloten. Gebruikers krijgen dan ook het advies om te updaten naar phpMyAdmin 4.7.7. bron: security.nl

Alle moderne browsers beschikken over een ingebouwde wachtwoordmanager waarmee gebruikers hun wachtwoorden kunnen opslaan, maar de functionaliteit wordt door webtrackers misbruikt om internetgebruikers op het web te volgen, zo waarschuwen onderzoekers. Als gebruikers op een website voor de eerste keer inloggen vraagt de wachtwoordmanager of de inloggegevens moeten worden opgeslagen. De volgende keer dat de gebruiker de website bezoekt zal de wachtwoordmanager de inloggegevens automatisch in het inlogveld invullen. Onderzoekers hebben op meer dan duizend websites webtrackers ontdekt die van deze functionaliteit misbruik maken. De webtracker injecteert op de website een onzichtbaar inlogveld. Als de wachtwoordmanager voor deze website inloggegevens heeft opgeslagen worden die automatisch in het onzichtbare inlogveld ingevuld. Het script van de webtracker leest het e-mailadres uit en stuurt hiervan een hash naar de server van de derde partij die voor het script verantwoordelijk is. E-mailadressen zijn uniek en worden vaak over een langere periode gebruikt. Het volgen van gebruikers via hun e-mailadres biedt dan ook allerlei voordelen. Zo kan de gebruiker over meerdere apparaten worden gevolgd en heeft het verwijderen van cookies of het gebruik van private browsing geen effect op het volgen. Het probleem is al jaren bekend en wordt veroorzaakt door de manier waarop browsers met het huidige beveiligingsmodel van het web omgaan. Dit model, de same origin policy, zorgt ervoor dat een browser scripts op een eerste webpagina toegang geeft tot data in een tweede webpagina, maar alleen als beide webpagina's dezelfde herkomst hebben. Als een uitgever het trackingscript van een derde partij op de website embed, in plaats van het isoleren hiervan in een iframe, wordt het script gezien alsof het van de website van de uitgever afkomstig is. Het is tegenwoordig standaard om third-party scripts direct te embedden in plaats van een iframe te gebruiken. Daardoor verliezen gebruikers de bescherming van de same origin policy. "Dit model is slecht geschikt voor de praktijk. Uitgever hebben geen volledig vertrouwen of wantrouwen in derde partijen en dus passen de twee opties (iframe sandboxing en direct embedden) niet. De één beperkt de functionaliteit en de ander is een privacynachtmerrie", aldus de onderzoekers. Ze merken op dat derde partijen vaak vaag zijn over het gedrag van hun scripts en de meeste uitgevers niet de tijd of technische kennis hebben om ze te beoordelen. Van de 1 miljoen populairste websites werden scripts die de wachtwoordmanager misbruiken op 1110 websites aangetroffen. De onderzoekers stellen dat uitgevers, gebruikers en browserontwikkelaars stappen kunnen nemen om het automatisch invullen van wachtwoorden op onzichtbare inlogvelden tegen te gaan. Zo kunnen websites aparte subdomeinen voor het inloggen gebruiken, waardoor het automatisch invullen niet werkt op andere pagina's. Gebruikers kunnen zich beschermen door adblockers of extensies tegen webtrackers te installeren. bron: security.nl

Het afgelopen jaar is er een recordaantal kwetsbaarheden in software ontdekt, waarbij Android het product is waar de meeste beveiligingslekken in werden gevonden. Dat blijkt uit cijfers van CVE-Details. CVE staat voor Common Vulnerabilities en Exposures. Zodra leveranciers of onderzoekers een lek vinden kunnen ze hiervoor een CVE-nummer aanvragen. Vervolgens kan de betreffende kwetsbaarheid via het uitgegeven CVE-nummer worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. In 2017 werden in totaal 14.709 CVE-nummers uitgegeven. In zowel 2015 als 2016 ging het in beide jaren om zo'n 6400 CVE-nummers. Wordt er naar de Top 50 van producten met de meeste kwetsbaarheden gekeken, dan staat Android met 841 beveiligingslekken bovenaan de lijst, gevolgd door de Linux-kernel (435) en iPhone OS (387). Opmerkelijk aan de Top 10 producten met de meeste kwetsbaarheden is dat het om negen besturingssystemen gaat en een applicatie, namelijk Imagemagick. Imagemagick, een softwarebibliotheek voor het verwerken van afbeeldingen, had het afgelopen jaar met 357 beveiligingslekken te maken. Meer dan de 266 die in Windows 10 werden gevonden. Browsers Vorig jaar was Google Chrome nog de browser met de meeste kwetsbaarheden, maar die positie is in 2017 door Microsoft Edge overgenomen. In Microsofts browser werden 202 beveiligingslekken gemeld. Safari volgt op een tweede plek met 178 beveiligingslekken, gevolgd door Chrome (153) en Internet Explorer (79). Mozilla Firefox is niet in de Top 50 van CVE Details te vinden, maar dit lijkt een bug van de website te zijn. Dit jaar patchte Mozilla namelijk bijna 180 kwetsbaarheden in Firefox. bron: security.nl

Firefox heeft negen maanden lang zonder toestemming van gebruikers crashrapporten naar Mozilla gestuurd, zo heeft de browserontwikkelaar laten weten. In het geval Firefox crasht kan de browser informatie over het probleem naar Mozilla sturen, zodat eventuele bugs kunnen worden verholpen. Standaard zal Firefox gebruikers toestemming vragen om de crashrapporten te versturen. Crashrapporten kunnen namelijk gevoelige en persoonlijke informatie bevatten. Het gaat dan bijvoorbeeld om geopende tabs en de geheugeninhoud van Firefox. Met de lancering van Firefox 52 op 7 maart van dit jaar werd er een bug in de browser geïntroduceerd die ervoor zorgde dat crashrapporten zonder toestemming van de gebruiker werden verstuurd. De bug is deze week via Firefox 57.0.3 verholpen. Mozilla laat weten dat het niet kan zien welke gebruikers toestemming hebben gegeven voor het versturen van crashrapporten en welke niet. "Hoewel we het crashrapportagesysteem hebben ontwikkeld zodat het lastig naar individuen te herleiden is, moeten we er bewust van zijn dat crashdumps de inhoud van de crashende tab kunnen bevatten. In geringe aantallen kan het om privé of identificerende informatie gaan", zegt Mozilla's Chris Lonnen. Mozilla heeft daarom besloten alle toegestuurde data te verwijderen. Updaten naar Firefox 57.0.3 kan via de automatische updatefunctie of Mozilla.org. bron: security.nl

Een extensie voor Google Chrome met 105.000 gebruikers is stilletjes voorzien van een cryptominer die de browsers van gebruikers laat minen naar de cryptocurrency Monero, zo meldt beveiligingsonderzoeker Troy Mursch op Twitter. Het gaat om de Chrome-extensie "Archive Poster" die bedoeld is om artikelen van andere blogs te gebruiken of te beoordelen. Op 7 december maken gebruikers in de recensies van de extensie al melding van een update die een cryptominer aan de extensie toevoegt en de processor van de computer zwaar belast. Een van de getroffen gebruikers plaatste vervolgens deze week een vraag op het officiële Chrome-helpforum over de cryptominer in de extensie, maar wordt door een "community specialist" verwezen naar de extensie-ontwikkelaar. Community specialists zijn mensen die door Google worden betaald voor het beantwoorden van forumvragen. Ondanks meerdere meldingen dat er een cryptominer in de extensie aanwezig is, wordt die op het moment van schrijven nog steeds via de Chrome Web Store aangeboden. bron: security.nl

Onderzoekers hebben in drie WordPress-plug-ins die op zo'n 90.000 websites actief zijn een backdoor ontdekt die als doel heeft om spamberichten te injecteren, zo laat securitybedrijf Wordfence weten. Het gaat om de plug-ins Duplicate Page and Post, No Follow All External Links en WP No External Links. De drie plug-ins werden eerder dit jaar door de oorspronkelijke ontwikkelaars aan een andere partij verkocht. Deze partij voegde de backdoor toe waardoor spamberichten konden worden geplaatst op de websites die van de plug-ins gebruikmaken. Het gaat om zogeheten search engine optimization (SEO) spam waarmee wordt geprobeerd om websites hoger in de zoekresultaten van Google te laten komen. Aan de hand van de gebruikte backdoorcode, ip-adressen en naam van de koper stelt Wordfence dat dezelfde criminele partij verantwoordelijk is voor de backdoor in de drie plug-ins, met als doel het injecteren van SEO-spam op duizenden websites. De partij die voor de plug-ins betaalde is een Brits marketingbedrijf en Wordfence vermoedt dat dit bedrijf de SEO-spam gebruikte om de zoekmachineresultaten van haar klanten te verbeteren. WordPress heeft de drie plug-ins inmiddels van WordPress.org verwijderd waar ze eerst werden aangeboden. Dit heeft echter geen effect op al geïnstalleerde plug-ins en webmasters op wie het betrekking heeft krijgen dan ook het advies de plug-ins te verwijderen. bron: security.nl

123456 en password zijn nog altijd de meestgebruikte wachtwoorden, zo blijkt uit het jaarlijkse onderzoek van SplashData, aanbieder van een wachtwoordmanager. Voor het onderzoek (pdf) werden 5 miljoen wachtwoorden van met name Amerikaanse en Europese internetgebruikers geanalyseerd. Het gaat om wachtwoorden die via verschillenden datalekken openbaar zijn geworden, hoewel SplashData niet laat weten om welke datalekken het precies gaat. Dit leverde uiteindelijk een Top 100 van de "ergste wachtwoorden van 2017" op. Naast allerlei andere veelgebruikte wachtwoorden zoals qwerty, letmein en iloveyou, is voor het eerst starwars in het overzicht terug te vinden. Hieronder de tien meest aangetroffen wachtwoorden. Sommige websites, zoals Twitter, verbieden gebruikers om dergelijke zwakke wachtwoorden te kiezen en maken hierbij gebruik van dergelijke overzichten. 123456 password 12345678 qwerty 12345 123456789 letmein 1234567 football iloveyou bron: security.nl

Oplichters die zich voordoen als medewerkers van Microsoft maken gebruik van hardnekkige browserlockers om de browser van internetgebruikers te vergrendelen, in de hoop dat die vervolgens het opgegeven telefoonnummer bellen, zo waarschuwt anti-malware-bedrijf Malwarebytes. Het gebruik van browserlockers vindt al geruime tijd plaats. De browserlocker laat een waarschuwing zien dat de computer met malware is geïnfecteerd en gebruikt allerlei technieken om het sluiten van de pagina te voorkomen. Het slachtoffer wordt aangeraden het opgegeven telefoonnummer te bellen dat van de Microsoft-helpdesk zou zijn. In werkelijkheid gaat het om oplichters die slachtoffers software laten installeren waarmee ze de computer op afstand kunnen overnemen. De oplichters laten vervolgens allerlei logbestanden en commando's zien die erop zouden duiden dat de computer is besmet. Voor het verwijderen van de zogenaamde infectie moeten slachtoffers honderden euro's betalen. Malwarebytes ontdekte onlangs een nieuwe browserlocker die zeer hardnekkig is en alleen via Taakbeheer gesloten kan worden. De aanval bestaat uit drie lagen: een achtergrondvenster in volledige schermmodus, een ander venster dat wordt geactiveerd als de gebruiker op Escape klikt en een pop-under die actief wordt bij een muisklik op het scherm. De browser laat wel een dialoogvenster zien met de vraag of de gebruiker de pagina wil verlaten of hier wil blijven. Dit venster is echter zo gecropt dat gebruikers alleen de optie "blijven" te zien krijgen. Daarnaast wordt er continu in de achtergrond een geluidsbestand (mp3) afgespeeld. Vanuit een technisch standpunt en vergeleken met ransomware is deze scam laagdrempelig. Door het gebruik van kwaadaardige advertenties kunnen oplichters de malafide pop-ups en waarschuwingen aan miljoenen mensen laten zien, die vaak niet weten dat ze via Taakbeheer de browser kunnen sluiten, zo stelt onderzoeker Jerome Segura. Hij merkt dan ook op dat zowel bewustwording bij gebruikers als technische maatregelen van browser om dergelijke scams te blokkeren een belangrijke rol spelen om slachtoffers te voorkomen. bron: security.nl

Harde schijven zijn kwetsbaar voor akoestische denial of service (dos) aanvallen waardoor een aanvaller de harde schijf kan laten stoppen met werken en zo het gehele systeem kan uitschakelen, aldus onderzoekers van Princeton University en Purdue University. De onderzoekers maken voor hun dos-aanval gebruik van akoestische resonantie om de schrijf- en leesoperatie van de harde schijf te beïnvloeden. Akoestische resonantie is een fenomeen waarbij een akoestisch signaal op bepaalde frequenties voor vibraties in een voorwerp zorgt, dat in het ergste geval tot de vernietiging van het voorwerp kan leiden. Een doorsnee harde schijf bestaat uit verschillende platters, platte ronde schijven met een dun laagje van ferromagnetisch materiaal, en de lees- en schrijfkoppen, die zich dicht op de platters bevinden. De data wordt op de platters opgeslagen en de koppen zijn verantwoordelijk voor het lezen en schrijven van data. Doordat harde schijven steeds meer data bevatten moeten de lees- en schrijfkoppen zeer nauwkeurig opereren. Een kleine afwijking van de koppen kan voor een storing zorgen en zelfs de platters beschadigen, waardoor er permanente schade ontstaat. De akoestische dos-aanval van de onderzoekers bestaat uit een akoestisch signaal dat voor ongewenste akoestische resonantie binnen de kernonderdelen van de harde schijf zorgt. Deze resonantie zorgt ervoor dat de koppen niet meer nauwkeurig op de platterlocatie kunnen worden geplaatst waar de data wordt gelezen of geschreven. Aanval Om de aanval uit te voeren moet een aanvaller in staat zijn om een akoestisch signaal in de buurt van de harde schijf af te spelen. Een aanvaller zou dit kunnen doen door een externe speaker te gebruiken of een speaker in de buurt van het doelwit. Als voorbeeld schetsen de onderzoekers verschillende scenario's, zoals een aanvaller die op afstand toegang heeft tot een mediaspeler in een voertuig of op een persoonlijk ander apparaat en zo het signaal kan afspelen. Een andere mogelijkheid is om de gebruiker een kwaadaardig geluidsbestand via e-mail toe te sturen of op een website te laten openen. Zelfs het gebruik van een televisieadvertentie waarin het akoestische signaal verborgen zit wordt door de onderzoekers als voorbeeld gegeven. Om het effect van de akoestische dos-aanval te bewijzen hebben de onderzoekers de aanval tegen twee echte systemen uitgevoerd, namelijk een desktop en een camerabewakingssysteem. Uit de demonstraties blijkt dat de aanval de normale werking van het besturingssysteem tijdelijk kan stoppen en zelfs het systeem volledig kan laten vastlopen waardoor een reboot nodig is. Ook laten de onderzoekers zien hoe een camerabewakingssysteem is uit te schakelen door de digitale videorecorder aan te vallen. Volgens de onderzoekers is er dan ook sprake van een nieuwe aanvalsvector tegen systemen. Het onderzoeksrapport (pdf) noemt geen oplossingen voor het probleem, maar een ssd-harde schijf, die geen bewegende onderdelen bevat, zou niet kwetsbaar moeten zijn. bron: security.nl

Mozilla heeft een beveiligingsupdate uitgebracht die meerdere kwetsbaarheden in de e-mailclient Thunderbird verhelpt, waaronder een lek dat het mogelijk maakt om de afzender te spoofen. In Thunderbird 52.5.2 zijn in totaal vijf kwetsbaarheden gepatcht, waarvan er één als ernstig is aangemerkt. Dit probleem bij het verwerken van WebGL-content treft alleen Thunderbird-gebruikers op Windows en zou het mogelijk maken voor een aanvaller om willekeurige code op het systeem uit te voeren. Daarnaast zijn er ook drie kwetsbaarheden verholpen met betrekking tot RSS-feeds. Een aanvaller zou via kwaadaardige RSS-feeds JavaScript of CSS binnen de mailbox kunnen uitvoeren en bijvoorbeeld informatie achterhalen, zoals een gebruikersnaam. De vijfde kwetsbaarheid betreft een spoofinglek waardoor het voor een aanvaller mogelijk is om het e-mailadres van de afzender te spoofen en elk willekeurig e-mailadres op te geven. Door het gebruik van zogeheten "null characters" werd het echte e-mailadres van de afzender niet binnen Thunderbird weergegeven. Het spoofinglek, met de naam Mailsploit, werd eerder deze maand geopenbaard en bevindt zich in meerdere e-mailclients. Updaten naar de nieuwste Thunderbird-versie kan via de automatische updater en Mozilla.org. bron: security.nl

Advertentiebedrijf Criteo heeft een belangrijke beveiligingsmaatregel genaamd HSTS misbruikt om Safari-gebruikers op het internet te volgen. HSTS staat voor HTTP Strict Transport Security en zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Criteo gebruikte HSTS om data in de browsercache van de gebruiker te krijgen waarmee een unieke identifier werd geproduceerd. Via deze identifier is het mogelijk om Safari-gebruikers te herkennen en ze vervolgens te profileren. De techniek werkt mede omdat HSTS-data lastig in Safari is te verwijderen, aldus de Amerikaanse burgerrechtenbeweging EFF. De gebruiker moet namelijk de gehele cache legen om de identifier te verwijderen. Begin deze maand heeft Apple echter een update voor iOS en Safari uitgebracht die het misbruik van HSTS op deze manier voorkomt. Het is niet de eerste keer dat Apple dit jaar de dubieuze praktijken van Criteo dwarsboomt. Safari blokkeert standaard cookies van derde partijen. Alleen de website die de gebruiker bezoekt mag een cookie plaatsen. Advertentiebedrijven zoals Criteo kunnen alleen zogeheten third-party cookies plaatsen, omdat de gebruiker niet direct hun domein bezoekt. Bij Safari kunnen advertentiebedrijven daardoor geen cookies plaatsen. Criteo vond echter een manier waarbij het Safari-gebruikers onzichtbaar naar Criteo.com leidde en vervolgens zo alsnog een cookie kon plaatsen. Deze zomer kwam Apple echter met een update voor Safari die de browser van Intelligent Tracking Prevention (ITP) voorziet. ITP zorgt ervoor dat onzichtbare redirects, zoals Criteo gebruikte, niet meer voldoende zijn voor het plaatsen van een cookie. Daarop kwam het advertentiebedrijf met de HSTS-methode, die inmiddels ook niet meer werkt. De EFF maakt zich echter zorgen dat Criteo onderdeel van het Acceptable Ads initiatief is. Dit initiatief is bedacht door het bedrijf achter AdBlock Plus, de populairste adblocker op internet. Advertentiebedrijven betalen Adblock Plus zodat hun advertenties standaard niet worden geblokkeerd. Ook advertenties van Criteo worden zodoende toegestaan. Gebruikers kunnen deze advertenties wel blokkeren, maar moeten hiervoor de instellingen aanpassen. Slechts 5 tot 10 procent van de gebruikers verandert echter de standaardinstellingen van de software die ze gebruiken. "Het feit dat het Acceptable Ads initiatief het volgen van gebruikers via de HSTS-beveiligingsmaatregel door Criteo goedkeurde is indicatief voor de privacyproblemen die zich in de kern van het Acceptable Ads-programma bevinden", aldus de EFF. De organisatie roept dan ook om geen advertenties goed te keuren die misbruik van beveiligingsmaatregelen maken om gebruikers te volgen. bron: security.nl

Gebruikers van Facebook Messenger zijn gewaarschuwd voor een cryptominer die zich via het chatprogramma verspreidt. De aanval begint met een zip-bestand dat naar gebruikers wordt gestuurd en van al besmette vrienden afkomstig is. Het zip-bestand lijkt een video te bevatten, maar het gaat in werkelijkheid om een exe-bestand met een dubbele extensie, zo laat anti-virusbedrijf Trend Micro weten. Zodra gebruikers dit bestand openen wordt er een kwaadaardige Chrome-extensie geïnstalleerd. Deze extensie laadt een website met een video, om gebruikers zo niets te laten vermoeden. Daarnaast gebruikt de extensie het Facebook Messenger-account van de gebruiker om de malware verder te verspreiden, door het zip-bestand naar andere contacten door te sturen. Verder downloadt de malware een cryptominer die de rekenkracht van de computer gebruikt om de cryptocurrency Monero te minen. bron: security.nl

Een zeroday-lek in de Huawei HG532-router is actief door een variant van de Mirai-malware aangevallen voordat er een oplossing van de fabrikant beschikbaar was, zo laten securitybedrijf Check Point en Huawei weten. Sinds 23 november zag Check Point naar eigen zeggen honderdduizenden pogingen om HG532-routers te compromitteren, voornamelijk in de Verenigde Staten, Italië, Duitsland en Egypte. Verder onderzoek wees uit dat de aanvallen van een onbekende kwetsbaarheid gebruikmaakten. De Huawei-routers ondersteunen het TR-064-configuratieprotocol, waarmee bijvoorbeeld providers firmware-upgrades kunnen uitrollen. De implementatie van Huawei bevatte echter een fout waardoor aanvallers op afstand willekeurige code konden uitvoeren. Het ging in dit geval om een variant van de beruchte Mirai-malware genaamd Okiru/Satori. Na te zijn ingelicht heeft Huawei een update voor de kwetsbaarheid ontwikkeld, aldus Check Point. In het eigen beveiligingsbulletin geeft de netwerkfabrikant daarnaast verschillende oplossingen, zoals het aanpassen van het standaardwachtwoord en het configureren van de ingebouwde firewall. bron: security.nl

De ontwikkelaars van Opera hebben een nieuwe beveiligingsmaatregel ontwikkeld die gebruikers tegen cryptominers in de browser moet beschermen. Cryptominers draaien in de browser en maken gebruik van de rekenkracht van de computer om digitale cyptocurrency zoals Monero te minen. Vaak gebeurt dit zonder dat gebruikers toestemming hebben gegeven. Aan een testversie van Opera 50 is nu een nieuwe optie toegevoegd genaamd NoCoin. Als gebruikers deze optie inschakelen worden cryptominers geblokkeerd. De optie maakt gebruik van de in Opera ingebouwde adblocker en zal cryptominers op dezelfde manier blokkeren als advertenties worden geblokkeerd. NoCoin is nu al te testen in Opera 50 beta RC en zal later onder gebruikers van de normale Opera-versie worden uitgerold. bron: security.nl

Het Tor Project heeft de zoekmachine verbeterd waarmee gebruikers informatie over Tor-servers kunnen zoeken. Via Relay Search kan er worden gezocht op fingerprint, nickname, land, instellingen en contactgegevens, waarna er informatie over bandbreedte, uptime, exit-beleid en andere zaken van de server worden weergegeven. Een nieuwe optie maakt het nu mogelijk om geaggregeerde zoekopdrachten te geven. Vervolgens kan er aan de hand van bepaalde zoekcriteria verfijnder worden gezocht. Daarnaast zijn er verschillende andere verbeteringen doorgevoerd. Zo kunnen nu via een enkele zoekopdracht tot 2000 Tor-servers worden weergegeven en geeft het overzicht van de beste Tor-servers geen 10 servers weer, maar 250. Verder zijn er nu per individuele server meer gegevens te bekijken. Dagelijks maken zo'n twee miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Dit verkeer loopt via meerdere servers om de identiteit van de gebruiker te maskeren. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exit-node, die het verzoek naar het internet stuurt. bron: security.nl

Facebook heeft een nieuwe beveiligingsfeature geïntroduceerd die gebruikers tegen phishingmails moet beschermen. Gebruikers die een e-mail ontvangen die van Facebook afkomstig lijkt kunnen nu via het instellingenmenu een overzicht van recente e-mails van Facebook bekijken. Op deze manier kunnen gebruikers controleren of het ook om een legitiem bericht gaat. De sociale netwerksite meldt dat het via Facebookmail.com meldingen verstuurd over pogingen om op Facebook-accounts in te loggen of wachtwoorden te wijzigen. Aanvallers maken echter misbruik door soortgelijke e-mails te versturen die gebruikers naar phishingsites lokken. Door de nieuwe feature zouden deze e-mails eenvoudiger te herkennen moeten zijn. In het geval gebruikers een phishingmail ontvangen vraagt Facebook om die naar phish@facebook.com te versturen. bron: security.nl

Het is deze week 20 jaar geleden dat de eerste versie van de encryptiesoftware GnuPG verscheen en tegelijkertijd met de verjaardag is er ook een nieuwe versie verschenen. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Sinds de lancering in 1997 wordt de software door Werner Koch onderhouden. Ondanks de aandacht voor encryptie en het gebruik van GnuPG had Koch in het verleden moeite om geld in te zamelen. In 2015 waarschuwde de ontwikkelaar zelfs dat hij failliet zou gaan. Na deze noodkreet ontving hij 130.000 euro aan donaties. Met dat geld werd het huidige ontwikkelteam van zes personen gefinancierd. Om niet alleen van eenmalige grote donaties afhankelijk te zijn wil het ontwikkelteam meer geld via maandelijkse terugkerende donaties ophalen. Zo werd er eerder dit jaar nog een inzamelingsactie gestart, waarbij werd geprobeerd om 15.000 euro aan maandelijkse donaties op te halen. In september eindigde de actie, met een maandelijks bedrag van 5428 euro en een eenmalig bedrag van bijna 36.000 euro. De nieuwste versie van GnuPG is versie 2.2.4 en bevat alleen bugfixes, geen beveiligingsupdates. bron: security.nl

De bruteforce-aanvallen op WordPress-sites waar eerder deze week voor werd gewaarschuwd zijn afkomstig van een botnet dat als doel heeft om op gehackte WordPress-servers een cryptominer te installeren. Dat laat securitybedrijf Wordfence weten. Het botnet probeert via allerlei combinaties van gebruikersnamen en wachtwoorden toegang tot WordPress-sites te krijgen. Wanneer de aanval succesvol is wordt er malware geïnstalleerd die de server bruteforce-aanvallen op andere WordPress-sites laat uitvoeren, alsmede de rekenkracht van de machine gebruikt voor het minen van de cryptocurrency Monero. Twee wallets die de aanvallers gebruiken hebben inmiddels 217 Monero verzameld, wat op dit moment 103.000 euro is. Waarschijnlijk maken de aanvallers gebruik van meer wallets, waardoor het werkelijke bedrag hoger ligt, aldus onderzoeker Brad Haas. bron: security.nl

Microsoft en Facebook hebben vorige week verschillende maatregelen genomen om gebruikers tegen malware van de Lazarus-groep te beschermen, een groep aanvallers die verantwoordelijk wordt gehouden voor de uitbraak van de WannaCry-ransomware. De acties van Facebook en Microsoft werden gisteren tijdens eens persconferentie van het Witte Huis genoemd, maar details ontbraken. In een verklaring stelt Microsoft dat het heeft geholpen bij het verstoren van de malware waar de Lazarus-groep gebruik van maakt, besmette systemen van klanten heeft opgeschoond en accounts heeft uitgeschakeld waarmee cyberaanvallen werden uitgevoerd. Ook zou de beveiliging van Windows zijn versterkt om nieuwe infecties te voorkomen. Specifieke details worden niet door Microsoft gegeven, maar de softwaregigant zegt dat het de komende maanden meer informatie zal vrijgeven. Een van de genomen maatregelen is mogelijk het uitschakelen van de DDE-feature in Word. De feature werd bij gerichte aanvallen ingezet om doelwitten met malware te infecteren. Microsoft-topman Brad Smith laat verder weten dat Microsoft blij is dat de Verenigde Staten, Groot-Brittannië, Australië, Canada, Nieuw-Zeeland en Japan gisteren Noord-Korea als verantwoordelijke voor de WannaCry-ransomware hebben genoemd. "Om het groeiende aantal aanvallen van naties op burgers te stoppen moeten overheden bereid zijn om de landen te noemen die ze uitvoeren. De aankondiging van vandaag is een belangrijke stap van overheid en private sector om het internet veiliger te maken." bron: security.nl

Google Chrome zal vanaf 15 februari volgend jaar bepaalde advertenties gaan blokkeren, zo heeft de internetgigant aangekondigd. Het gaat dan om advertenties die niet aan de standaarden van de Coalitie voor Betere Advertenties (CBA) voldoen. De coalitie bestaat uit uitgevers en advertentie- en techbedrijven. Ook Google is lid van de coalitie. Volgens de internetgigant zorgen opdringerige en vervelende reclames ervoor dat steeds meer mensen een adblocker installeren, wat weer gevolgen voor websites heeft, aangezien die in veel gevallen afhankelijk van advertentie-inkomsten zijn. Door het opstellen van nieuwe standaarden wil de CBA voor betere advertenties zorgen. Zo zijn pop-upadvertenties, video-advertenties met geluid die automatisch worden afgespeeld, advertenties die voor het openen van de website verschijnen en over een aftelklok beschikken en grote advertenties niet meer toegestaan voor desktopomgevingen. Voor mobiele apparaten is de lijst met afgekeurde advertenties nog iets langer. Nergens gaat de CBA echter in op de veiligheids- en privacyrisico's van advertenties, bijvoorbeeld in het geval van malvertising en advertentietrackers. Het "Better Ads Experience" programma van de coalitie gaat volgende maand van start. Een maand later zal Google in Chrome advertenties gaan blokkeren die niet aan de CBA-standaarden voldoen. bron: security.nl

Gebruikers van Windows 10 die het wachtwoord van hun lokale account vergeten zijn kunnen die straks via het beantwoorden van een aantal beveiligingsvragen resetten. Microsoft heeft de optie aan een testversie van het besturingssysteem toegevoegd en zal die later onder gebruikers uitrollen. Met de lancering van de Fall Creators Update het al mogelijk voor gebruikers die met hun Microsoft-account op Windows inloggen om vanaf het inlogscherm het wachtwoord te resetten. Nu zal de optie ook voor lokale accounts beschikbaar worden. Hiervoor moeten gebruikers eerst een aantal beveiligingsvragen en antwoorden instellen. In het geval gebruikers hun wachtwoorden vergeten zijn kunnen ze vervolgens door het beantwoorden van de eerder ingestelde beveiligingsvragen het wachtwoord resetten. De nieuwe feature is nu al te te testen in Windows 10 Insider Preview Build 17063. bron: security.nl