Captain Kirk

Na Symantec geeft ook anti-virusbedrijf McAfee buitenlandse overheden geen toegang meer tot de broncode van de producten die het aanbiedt, zo laat het bedrijf tegenover persbureau Reuters weten. De mogelijkheid voor buitenlandse overheden om de broncode in zogeheten "certified testing labs" te bekijken werd eerder dit jaar al beëindigd, nadat McAfee zich in april van Intel losmaakte om als onafhankelijk bedrijf door te gaan. Volgens een woordvoerster is er geen bewijs dat het laten inspecteren van de broncode tot beveiligingsincidenten heeft geleid. Sommige overheden eisen toegang tot de broncode van de producten die ze afnemen om te controleren dat er geen backdoors in aanwezig zijn. Microsoft heeft bijvoorbeeld wereldwijd verschillende centra waar deze controles plaatsvinden. Eerder liet Symantec-ceo Greg Clark echter weten dat het inzage geven in de broncode de veiligheid van producten in gevaar kan brengen en een te groot beveiligingsrisico is. bron: security.nl

De Apache Software Foundation heeft in OpenOffice drie kwetsbaarheden gepatcht waardoor een aanvaller willekeurige code op systemen had kunnen uitvoeren. De beveiligingslekken bevonden zich in de Draw- en Writer-applicaties van OpenOffice en werden onder andere veroorzaakt door de manier waarop OpenOffice met stylesheets en fonts omgaat. Door de gebruiker een speciaal geprepareerd doc- of ppt-bestand te laten openen werd er een 'out of bound write' kwetsbaarheid veroorzaakt die het voor de aanvaller mogelijk maakte om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren, aldus Cisco dat de drie beveiligingslekken ontdekte. De Apache Software Foundation werd in maart en april over de kwetsbaarheden ingelicht en kwam vorige week met OpenOffice 4.1.4 waarin de problemen zijn verholpen. Hoewel kwetsbaarheden in Microsoft Office de aandacht krijgen zijn ook alternatieven een doelwit van aanvallers. Cisco wijst op aanvallen tegen Zuid-Koreaanse gebruikers die via kwetsbaarheden in de Hangul Word Processor met malware werden besmet. "Dit laat zien hoe belangrijk het is om alle applicaties up-to-date te houden en niet alleen het besturingssysteem. Als je een OpenOffice-gebruiker bent adviseren we je om de noodzakelijke updates zo snel als mogelijk te installeren", aldus het advies van Cisco. bron: security.nl

Onderzoekers zijn erin geslaagd om de audio-captcha van Google met gemiddeld 85 procent nauwkeurigheid te kraken, waardoor bots automatisch accounts op websites kunnen aanmaken en spamberichten plaatsen. Om robots van mensen te onderscheiden moeten er bij captcha's vaak puzzels en vertekende teksten worden opgelost. De captcha van Google biedt gebruikers ook de mogelijkheid om een audio-captcha op te lossen. De audio-captcha bestaat uit meerdere cijfers die in verschillende snelheden, accenten en toonhoogtes met achtergrondgeluid worden voorgelezen. Onderzoekers van de Universiteit van Maryland bedachten een aanval die zich op de audio-captcha van Google richt. Om de audio-captcha te kraken ontwikkelden de onderzoekers "unCaptcha", software die het audio-bestand van de captcha downloadt en vervolgens de gedeeltes met spraak opdeelt. Het opgedeelde audiofragment van elk cijfer wordt vervolgens naar zes gratis online audiotranscriptiediensten gestuurd, waaronder die van Google. Aan de hand van de verschillende resultaten wordt bepaald welk cijfer er in het audiofragment werd voorgelezen. De resultaten worden hierna 'organisch' door de software in het captcha-venster ingevoerd. Gemiddeld weet de software de captcha's met 85 procent nauwkeurigheid op te lossen. Nadat de onderzoekers hun onderzoek (pdf) publiceerden heeft Google verschillende maatregelen genomen die de effectiviteit van unCaptcha beperken. bron: security.nl

Lenovo heeft verschillende computermodellen van zogeheten FIDO-authenticators voorzien die gebruikers via een scan van de vingerafdruk of het aanklikken van een prompt op het beeldscherm op hun accounts laten inloggen. De Fast IDentity Online (FIDO)-Alliantie heeft zichzelf als doel gesteld om het wachtwoord te vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. Lenovo is één van de FIDO-leden, naast onder andere Google, Microsoft, MasterCard en PayPal. De betrokken partijen ontwikkelen producten en diensten die van het FIDO-protocol gebruik maken. Hierdoor zouden apparaten die FIDO ondersteunen automatisch worden herkend en krijgen gebruikers de mogelijkheid om wachtwoorden door een andere authenticatiemethode te vervangen. Lenovo claimt nu dat het de eerste pc-fabrikant is die door FIDO gecertificeerde authenticators direct in Windows-computers heeft geïntegreerd. In plaats van een wachtwoord om in te loggen kunnen gebruikers uit een alternatief kiezen. Zo kan er via het Universal Authentication Framework (UAF) met een scan van de vingerafdruk worden ingelogd. Daarnaast ondersteunt het systeem ook Universal 2nd Factor (U2F). In het geval een gebruiker tweefactorauthenticatie voor zijn account heeft ingeschakeld is het niet meer nodig om een aparte securitysleutel of sms-code in te voeren. De tweefactorauthenticatie is direct in de computer ingebouwd. Gebruikers krijgen in het geval van tweefactorauthenticatie via U2F op het scherm een prompt te zien die ze moeten bevestigen, waarna ze op hun account zijn ingelogd. Deze inlogmethode wordt onder andere door Google, Facebook en Dropbox ondersteund. Voor het ondersteunen van UAF en U2F maakt Lenovo gebruik van Intel Online Connect en de Intel Software Guard Extensions (Intel SGX) op de nieuwste Intel-processoren. De functionaliteit zal met verschillende computermodellen worden geleverd en voor al geleverde modellen beschikbaar worden gemaakt. Intel Online Connect is te downloaden via de website van Lenovo en zal via Lenovo System Update en Lenovo App Explorer beschikbaar worden aangeboden. bron: security.nl

Het Tor Project is vandaag een crowdfundingcampagne gestart om geld in te zamelen en Mozilla zal donaties tot een bedrag van totaal 500.000 dollar verdubbelen. Dagelijks maken 2 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Volgens het Tor Project was het aantal online aanvallen op censuur en privacy dit jaar ongekend. "Landen wereldwijd probeerden toegang tot het web te beperken, dissidenten de mond te snoeren en persoonlijke privacy aan te tasten", aldus Tommy Collison van het Tor Project. Ook voor volgend jaar verwacht het Tor Project dat veel overheden en bedrijven censuur de norm willen maken en privacy tot het verleden willen laten behoren. Een groot deel van de inkomsten van het Tor Project is afkomstig van de Amerikaanse overheid en de organisatie wil dat afbouwen door meer van individuele donaties afhankelijk te zijn. Aangezien er geen beperkingen aan crowdfunding zitten kan het geld dat hiermee wordt binnengehaald aan projecten worden besteed die volgens het Tor Project het belangrijkst zijn en kan er snel op veranderende omstandigheden worden gereageerd. Verder prijst het Tor Project de samenwerking met Mozilla. Niet alleen zal Mozilla donaties tot een bedrag van in totaal 500.000 dollar verdubbelen, beide partijen werken ook bij de ontwikkeling van software nauw samen. Zo vindt er regelmatig overleg plaats tussen de engineers van Mozilla en het Tor Project. Zo worden privacyverbeteringen van Tor Browser aan Firefox toegevoegd en hebben Mozilla-engineers de Tor-ontwikkelaars geleerd om in de Rust-programmeertaal te programmeren. Daarnaast helpt Mozilla het Tor-netwerk door verschillende Tor-servers te draaien. bron: security.nl

Een zeroday-lek in de WordPressplug-in Ultimate Form Builder Lite is actief gebruikt om websites aan te vallen en over te nemen voordat er een update beschikbaar was. Ultimate Form Builder Lite is een WordPressplug-in voor het maken van contactformulieren en draait op meer dan 50.000 websites. De kwetsbaarheid werd door onderzoekers van securitybedrijf Wordfence ontdekt. Wordfence waarschuwde begin deze maand al voor zeroday-lekken in drie plug-ins genaamd Appointments, Flickr Gallery en RegistrationMagic-Custom Registration Forms die actief werden aangevallen. Deze drie plug-ins werden in totaal door 21.000 websites gebruikt. Tijdens het onderzoek naar de aanvallen ontdekten de onderzoekers dat aanvallers het ook op WordPress-sites met Ultimate Form Builder Lite hadden voorzien. De aanvallers maakten gebruik van SQL injection in combinatie met een php-kwetsbaarheid. Door het versturen van één request konden aanvallers kwetsbare websites volledig overnemen. De ontwikkelaar van de WordPress-extensie werd op 13 oktober ingelicht en rolde afgelopen zondag 22 oktober een update uit waarin het probleem is verholpen. bron: security.nl

Met de lancering van de Windows 10 Fall Creators Update heeft Microsoft nieuwe beveiligingsmaatregelen aan het besturingssysteem toegevoegd die onder andere tegen de DDE-aanval beschermen die de laatste dagen in het nieuws is. De nieuwe beveiligingsmaatregelen worden door Microsoft 'Windows Defender Exploit Guard' genoemd. Het gaat om een verzameling van features die gebruikers tegen verschillende dreigingen moeten beschermen. Zo is er de feature genaamd 'Controlled folder access', die directories tegen ransomware beschermt. Alleen geautoriseerde applicaties krijgen in dit geval toegang tot bestanden in opgegeven mappen. Ongeautoriseerde uitvoerbare bestanden, dll-bestanden en scripts krijgen geen toegang, ook niet als ze met beheerdersrechten draaien. In het geval ransomware de bestanden in de opgegeven mappen benadert geeft Windows 10 een waarschuwing. Attack Surface Reduction Een andere feature is Attack Surface Reduction (ASR). Dit is een verzameling controls waarmee organisaties kunnen voorkomen dat een aanvaller via e-mail, scripts of Microsoft Office systemen kan infecteren. In het geval van Microsoft Office kan ASR voorkomen dat apps uitvoerbare content creëren of zichzelf in een proces injecteren. Ook wordt macro-code geblokkeerd. Een andere aanval die ASR blokkeert is die via de DDE-feature van Microsoft Office, zo heeft Microsoft bekendgemaakt. De Dynamic Data Exchange (DDE) feature van Microsoft Office maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. Hiervoor wordt er code aan het ene document toegevoegd die naar de data in het andere document wijst. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. Aanvallers maken nu gebruik van deze feature om internetgebruikers via Word-documenten met ransomware en andere malware te infecteren. Windows Defender Exploit Guard kan deze aanval detecteren en stoppen. Verder stopt de feature JavaScript-, VBScript- en PowerShell-code, alsmede uitvoerbare content die via e-mail of webmail binnenkomt. Exploitbescherming Windows Defender Exploit Guard biedt ook bescherming tegen exploits. Het vervangt hiermee de bekende Enhanced Mitigation Experience Toolkit (EMET) van Microsoft. Net als EMET voorziet Exploit Guard het systeem van een aanvullende beveiliging die bescherming tegen bekende en onbekende exploits moet bieden. De Fall Creators Update zal op Windows 10-computers EMET verwijderen als deze tool geïnstalleerd is. EMET-gebruikers kunnen wel hun instellingen binnen Exploit Guard importeren. De Fall Creators Update wordt de komende maanden onder Windows 10-machines uitgerold en kan ook handmatig worden geïnstalleerd. bron: security.nl

De Windows 10 Fall Creators Update die vorige week werd gelanceerd zal gefaseerd onder computers, smartphones en Internet of Things-apparaten worden uitgerold, zo heeft Microsoft bekendgemaakt. Als eerste zal de update naar nieuwere apparaten worden gestuurd die door Microsoft en partners zijn getest. Door zich op nieuwere machines te richten hoopt de softwaregigant feedback te ontvangen of de update voor problemen zorgt. Eerder dit jaar bij de Creators Update werd de uitrol vanwege een probleem tijdelijk stopgezet voor computers met bluetooth-apparaten. Afhankelijk van de feedback die bij Microsoft van gebruikers, bedrijven en fabrikanten binnenkomt zal de uitrol worden versneld. Dit zou de beste update-ervaring moeten bieden, zegt Microsofts John Cable. Cable noemt de Fall Creators Update de veiligste versie van Windows 10, die over allerlei nieuwe beveiligingsmaatregelen beschikt. "Gegeven deze ingebouwde beveiliging en het belang om apparaten te beschermen, is het up-to-date zijn belangrijker dan ooit te voren", aldus Cable. Hij stelt dat de meeste Windows 10-computers binnen 6 maanden na het verschijnen van een feature-update, zoals de Anniversary Update of Fall Creators Update, naar deze versie zijn gemigreerd. Semi-Annual Channel Voor zakelijke klanten is Microsoft nu begonnen met het Semi-Annual Channel. Organisaties en bedrijven konden voorheen uit verschillende updatemodellen kiezen, waaronder de Current Branch en Current Branch for Business. Bij de Current branch for Business werden alleen feature-updates geïnstalleerd nadat die uitgebreid in de consumentenmarkt zijn getest en gevalideerd. Microsoft heeft nu besloten om de Current Branch en Current Branch for Business door het Semi-Annual Channel te vervangen. Twee keer per jaar komen er grote feature-updates uit, namelijk in maart en september. Deze zogeheten 'feature releases' worden 18 maanden vanaf de lancering ondersteund. Cable adviseert systeembeheerders om, net als Microsoft, de Fall Creators Update gefaseerd binnen de organisatie uit te rollen om te controleren dat software en hardware met de nieuwe Windows 10-versie blijft werken. Kleinere downloads Verder stelt Cable dat Microsoft de downloadgrootte van feature-updates heeft aangepast. Voor Windows 10-gebruikers met de Creators Update zal de update naar de Fall Creators Update door het gebruik van differentiële downloads zo'n 25 procent kleiner zijn. bron: security.nl

Cybercriminelen maken op dit moment gebruik van de DDE-feature in Microsoft Word om computers met de Locky-ransomware te infecteren, zo waarschuwt het Internet Storm Center. De Dynamic Data Exchange (DDE) feature van Word maakt het mogelijk om data van het ene document in een tweede document te injecteren. In plaats van een document kan er ook naar kwaadaardige code worden gelinkt. De gebruiker moet echter nog steeds toestemming geven voor het uitvoeren van de code. Daarnaast werkt de aanval alleen als de gebruiker de Protected View-beveiliging van Word uitschakelt. Deze beveiligingsmaatregel staat standaard ingeschakeld, maar kan via één muisklik worden uitgeschakeld. Vorige week kwam de DDE-feature al in het nieuws omdat aanvallers er gebruik van maakten. De afgelopen dagen zijn er echter verschillende nieuwe spamruns waargenomen waarbij Word-documenten werden verstuurd die ontvangers via de DDE-feature met malware probeerden te infecteren. In het geval van de Locky-ransomware gaat het om e-mails die zich als een factuur voordoen. De e-mails hebben een Word-document als bijlage. Zodra gebruikers het document openen krijgen ze de vraag of ze velden in het document die naar andere bestanden verwijzen willen bijwerken. Vervolgens wordt de gebruiker gevraagd of cmd.exe mag worden uitgevoerd. Als de gebruiker hiermee akkoord gaat wordt de Locky-ransomware uitgevoerd, die bestanden op het systeem versleutelt. Voor het ontsleutelen moeten slachtoffers 1200 euro betalen. Volgens verschillende experts maken aanvallers gebruik van de DDE-feature om filters en beleidsinstellingen te omzeilen die op macro's en embedded objecten controleren. bron: security.nl

Afgelopen maandag 16 oktober kwam Adobe met een noodpatch voor een actief aangevallen zeroday-lek in Flash Player en nog geen twee dagen later is er een nieuwe aanval waargenomen die van de kwetsbaarheid misbruik maakt. Dat laat securitybedrijf Proofpoint in een analyse weten. De aanvallers versturen een e-mail met als bijlage een Microsoft Word-document genaamd "World War 3.docx". Aan het Word-document is een embedded ActiveX-object toegevoegd dat de Flash Player-exploit bevat. Deze exploit maakt misbruik van de kwetsbaarheid in Flash Player. Alleen het openen van het document met een ongepatchte versie van Flash Player op een Windows-computer is voldoende om besmet te raken. Onderzoekers hebben het document getest en stellen dat de aanval succesvol is op Windows 7 en Windows 10 met een kwetsbare versie van Flash Player en Microsoft Office 2013. MacOS-gebruikers zijn geen doelwit van de aanval en ook gebruikers met een 64-bit versie van Microsoft Office 2016 in combinatie met de Windows 10 Fall Creators Update zijn tegen de exploit beschermd. Volgens Proofpoint blijkt uit verschillende zaken dat de aanvallers deze aanvalscampagne waarschijnlijk snel in elkaar hebben gezet, om zo gebruikers en organisaties aan te kunnen vallen die de beschikbare update nog niet hebben geïnstalleerd. In het geval de aanval succesvol is wordt er malware geinstalleerd waarmee aanvallers het systeem verder kunnen verkennen. De aanval wordt door Proofpoint toegeschreven aan een groep aanvallers genaamd APT28, die ook bekendstaat als Fancy Bear, Pawn Storm, Sofacy en Strontium. Volgens verschillende beveiligingsbedrijven gaat het om een groep hackers die vanuit Rusland opereert en mogelijk steun van de Russische overheid krijgt. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de presidentscampagne van Hillary Clinton, de Franse televisiezender TV5, het Wereld Anti-Doping Agentschap (WADA), de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta, het campagneteam van de Franse president Macron, Europese diplomaten en wifi-netwerken in Europese hotels door de groep aangevallen. bron: security.nl

Securitybedrijf Check Point heeft gewaarschuwd voor een nieuw groot botnet dat uit Internet of Things-apparaten bestaat en naar schatting een miljoen organisaties zou hebben geïnfecteerd. Het botnet bestaat uit besmette ip-camera's, routers en NAS-systemen van GoAhead, D-Link, AVTech, Netgear en Linksys. De apparaten worden onder andere gehackt via een ernstig beveiligingslek dat in maart van dit jaar werd geopenbaard en in honderdduizenden ip-camera's aanwezig zou zijn. Zodra een IoT-apparaat is besmet wordt het gebruikt om andere IoT-apparaten aan te vallen en onderdeel van het botnet te maken. "We schatten dat meer dan een miljoen organisaties wereldwijd zijn getroffen en het aantal is alleen maar aan het toenemen", aldus Check Point. De aanvallers zouden vooral bezig zijn met het creëren van hun IoT-botnet en hebben de besmette apparaten nog niet ingezet voor bijvoorbeeld het uitvoeren van ddos-aanvallen, zoals bij het Mirai-botnet het geval was. Eén van de kwetsbaarheden die de aanvallers gebruiken werd in maart openbaar gemaakt voordat fabrikanten werden ingelicht. In veel gevallen is er dan ook geen update beschikbaar. De verantwoordelijke onderzoeker besloot dit te doen omdat het beveiligingslek in meer dan 1250 verschillende modellen van een groot aantal fabrikanten aanwezig is. Volgens de onderzoeker zou het lastig zijn om alle fabrikanten van te voren te waarschuwen. In de advisory van de kwetsbaarheid geeft de onderzoeker het advies aan gebruikers om de kwetsbare apparaten los te koppelen van het internet. bron: security.nl

Er is een nieuwe versie van Tor Browser verschenen die in het geval van de Linux-versie over een ingeschakelde content-sandbox beschikt. De content-sandbox moet gebruikers extra tegen aanvallen beschermen. In juni kondigde het Tor Project al aan dat Tor Browser 7 over een content-sandbox beschikte, maar dat bleek achteraf niet het geval te zijn. Tor Browser bestaat uit een aangepaste Firefox-versie en software om met het Tor-netwerk verbinding te maken. De Firefox-versie van Tor Browser is gebaseerd op Firefox ESR (Extended Support Release). De Firefox ESR-versie die de basis voor Tor Browser 7 vormde bleek niet over een content-sandbox te beschikken, waardoor deze beveiligingsmaatregel ook niet in Tor Browser aanwezig was. Met de lancering van Tor Browser 7.0.7 heeft het Tor Project de content-sandbox van Firefox 54 aan de Firefox ESR-versie toegevoegd waar Tor Browser gebruik van maakt. Het gaat hierbij alleen om de Linux-versie van Tor Browser die over de content-sandbox beschikt. Het Tor Project waarschuwt dat de sandbox nog niet erg sterk is, met name gezien de dreigingen waar Tor Browser mee te maken heeft. De sandbox maakt het nog steeds mogelijk voor een aanvaller om willekeurige socket- en connect-calls te lezen. "Er is dus waarschijnlijk een manier voor een vastberaden aanvaller om uit de sandbox te ontsnappen en het maakt het zeker mogelijk om persoonlijk identificeerbare informatie zoals een MAC-adres te achterhalen", aldus één van de Tor Browser-ontwikkelaars. Verder zal Tor Browser 7.0.7 vanaf volgende week ook een donatie-banner laten zien die gebruikers vraagt om geld aan het Tor Project te doneren. Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. De nieuwste versie van de browser is te downloaden via de updatefunctie van de Tor Browser of Torproject.org. bron: security.nl

Windows Defender dat standaard met Windows 10 wordt meegeleverd is een veelgebruikte virusscanner, maar de anti-virussoftware heeft in vergelijking met andere beveiligingssoftware een grote impact op systemen, zo claimt het Oostenrijkse testlab AV-Comparatives aan de hand van een eigen test (pdf). Voor de test werd de systeembelasting gemeten van 21 virusscanners en internet security suites voor eindgebruikers. De test werd uitgevoerd op een Lenovo G50-computer met een Intel Core i3-4005U processor, 4GB geheugen en een traditionele harde schijf. Als besturingssysteem werd Windows 10 64-bit gebruikt. Volgens AV-Comparatives zijn dergelijke prestatietests belangrijk omdat een trage computer na de installatie van een virusscanner de grootste ergernis van gebruikers is als het om beveiligingssoftware gaat. Reden voor sommige gebruikers om de virusscanner al dan niet tijdelijk uit te schakelen, wat weer risico's met zich meebrengt. AV-Comparatives vergelijkt daarom niet alleen hoe goed anti-viruspakketten malware kunnen vinden en verwijderen, maar ook wat de impact op het systeem is. De test bestond uit twee onderdelen. Tijdens het eerste onderdeel werd de impact van de beveiligingssoftware getest tijdens het kopiëren van bestanden, archiveren en uitpakken van bestanden, installeren en verwijderen van programma's, downloaden van bestanden, het starten van applicaties en het laden van websites. Hierbij kon een maximale score van 90 punten worden gehaald. Als laatste werd ook nog het benchmarkprogramma PC Mark 8 gedraaid. Als basis werd een computer zonder virusscanner genomen die 100 punten bij PC Mark 8 scoort. Bij het eerste onderdeel zetten Bitdefender, Bullguard, ESET, F-Secure en Vipre de hoogste score neer. Van de 90 haalbare punten behaalden deze pakketten 88 punten. Microsoft Windows Defender en Adaware eindigen met respectievelijk 63 en 55 punten onderaan. Windows Defender blijkt het systeem vooral zwaar te belasten bij het kopiëren van bestanden. De test met PC Mark 8 wordt gewonnen door Secrite (99,5), gevolgd door ESET (99,2) en F-Secure (99,0). Hekkensluiters zijn Windows Defender (94,66), Tencent (93,0) en Adaware (92,8). Aan de hand van de twee tests berekende AV-Comparatives een uiteindelijke impactscore. ESET eindigt met een impactscore van 2,8 bovenaan, gevolgd door F-Secure met 3,0 punten. De systeembelasting is het grootst bij Microsoft Windows Defender (30,4) en Adaware (39,1). Bij dezelfde test in mei eindigde Microsoft onderaan en was Adaware een-na-laatste. Ook die test werd door ESET gewonnen. Computerkennis Hoewel gebruikers vaak de virusscanner de schuld van een trage computer geven is dat niet altijd het geval, aldus AV-Comparatives. Oude hardware is vaak ook een reden. Gebruikers krijgen dan ook het advies om meer geheugen te installeren, alle software up-to-date te houden, 20 procent vrije ruimte op de harde schijf te houden, ongebruikte software te verwijderen en programma's uit de Start-up map in Windows te verwijderen. Ook wordt het advies gegeven om regelmatig de harde schijf te defragmenteren. Hiervoor is het wel nodig om 15 procent vrije ruimte te hebben. Het defragmenteren is niet nodig bij een ssd-schijf. Als de computer vol staat met ongebruikte bestanden en registervermeldingen van allerlei geïnstalleerde en verwijdere software is het verstandig om een volledige herinstallatie te doen. Verder krijgen gebruikers het advies om regelmatig een volledige systeemscan uit te voeren. Door een technologie genaamd fingerprinting worden al gescande bestanden enige tijd niet meer door de virusscanner gescand, wat de snelheid kan verbeteren. Als laatste kan ook een beetje geduld geen kwaad merkt het testlab op. "Een vertraging van een paar seconden vanwege beveiligingssoftware is niet per definitie een groot probleem." bron: security.nl

Het komt geregeld voor dat onderzoekers van Google Project Zero kwetsbaarheden in de producten van onder andere Microsoft vinden, maar onderzoekers van Microsoft hebben op hun beurt een kwetsbaarheid in Google Chrome gevonden. Om gebruikers te beschermen richt Google Chrome zich op het hebben van een sterke sandbox, wat de impact van kwetsbaarheden beperkt. Een aanvaller moet naast een kwetsbaarheid in Chrome ook uit de sandbox zien te breken. Microsoft wilde kijken hoe Chrome presteert in het geval van een enkele kwetsbaarheid waardoor een aanvaller op afstand code kan uitvoeren en of het hebben van een sterke sandbox voldoende is om een browser veilig te maken. Het onderzoek van Microsoft volgt op onderzoek van Google-engineer Justin Schuh begin dit jaar. Schuh besloot de veiligheid van Edge en Chrome met elkaar te vergelijken. De engineer kwam tot de conclusie dat Microsoft veel investeert in het voorkomen dat aanvallers aan de 'voorkant' willekeurige code kunnen uitvoeren. Google richt zich juist meer op het isoleren tijdens het surfen, om zo de impact van een aanval te beperken. Ook Microsoft komt tot een dergelijke conclusie. Doordat Chrome relatief weinig bescherming biedt tegen zogeheten remote code execution (RCE)-kwetsbaarheden is er weinig werk vereist om aan de hand van een geheugenbug een exploit te ontwikkelen. Doordat de Chrome-sandbox verschillende veiligheidscontroles uitvoert kan een RCE-exploit onder andere de Same Origin Policy (SOP) omzeilen, waardoor een aanvaller toegang tot de online diensten van de gebruiker krijgt, zoals e-mail, documenten en banksessies, alsmede opgeslagen inloggegevens. Microsoft stelt dat het vanwege dit soort kwetsbaarheden de producten op alle fronten beveiligt. "Met Microsoft Edge verbeteren we zowel de technologie om te isoleren en maken remote code execution lastiger", aldus Jordan Rabet van het Microsoft Offensive Security Research team. Rabet merkt ook op dat Google werkt aan een isoleringsfeature die Chrome beter bestand tegen bepaalde RCE-aanvallen moet maken. Google werd op 14 september door Microsoft over de kwetsbaarheid ingelicht en had vier dagen later een update klaarstaan. Wel waarschuwt Microsoft dat de manier waarop Google Chrome patches verwerkt een risico voor gebruikers is. De broncode van de update werd namelijk beschikbaar gemaakt via GitHub, terwijl de update nog niet onder gebruikers was uitgerold. Microsoft ontving voor de kwetsbaarheid 7500 dollar. Voor een aantal andere bugs ontving de softwaregigant ook nog eens ruim 7500 dollar. Het geld wordt door Microsoft aan een goed doel gedoneerd. "Onze strategieën verschillen misschien, maar we geloven in samenwerken met de hele security-industrie om klanten te beschermen", besluit Rabet. bron: security.nl

De Nederlandse beveiligingsonderzoeker Niels van Dijkhuizen heeft vandaag tijdens een securityconferentie in Luxemburg een nieuwe USB HID-aanval gepresenteerd waarmee het mogelijk is om vergrendelde systemen aan te vallen en bestaande beveiligingsmaatregelen te omzeilen. In het verleden zijn er meerdere aanvallen gedemonstreerd waarbij een aanvaller een usb-apparaatje aansluit om allerlei informatie te stelen. Bekende voorbeelden zijn de Rubber Ducky of het aangepaste Teensy-board dat Google-onderzoeker Elie Bursztein vorig jaar demonstreerde. Deze usb-apparaten maken gebruik van HID (Human Interface Device) spoofing. De computer denkt in dit geval dat het aangesloten usb-apparaat een toetsenbord is. Dit nep-toetsenbord kan bijvoorbeeld allerlei commando's uitvoeren waarmee de computer van het slachtoffer wordt gehackt of toetsaanslagen opslaan. Volgens Van Dijkhuizen zijn veel van dergelijke apparaten of de manier waarop ze werken te opzichtig en vallen zodoende op. Gebruikers zullen in dit geval doorhebben dat er iets mis is. Aanvallen met dergelijke apparatuur werken hierdoor alleen als de computer ontgrendeld is, aldus de onderzoeker tijdens de Hack.lu-conferentie. Vanwege het risico van USB HID-aanvallen werden verschillende oplossingen ontwikkeld, zoals de USBProxy, USG en Beamgun. De Nederlandse onderzoeker wilde een HID-aanval ontwikkelen die tegen een vergrendelde computer werkt en in staat is om bekende beveiligingsmaatregelen te omzeilen Het usb-apparaat moest daarnaast goedkoop, klein en onopgemerkt zijn. Tevens moest het apparaat over-the-air (ota) kunnen communiceren. Op deze manier is remote sniffing en beheer mogelijk. De oplossing die Van Dijkhuizen ontwikkelde kreeg de naam Keynterceptor, wat de onderzoeker als een 'proof of concept keyboard implant' omschrijft. Voor zijn ontwerp maakte Van Dijkhuizen onder andere gebruik van een Teensy 2.0 Arduino-board, een soort van micro-computer, en een 433MHz draadloze UART-module. In totaal kostte het usb-apparaatje bij elkaar 30 euro. Om beveiligingsmaatregelen te omzeilen besloot de onderzoeker de usb-omschrijving van toetsenborden te klonen. De Keynterceptor kan zich op deze manier als een vertrouwd toetsenbord voordoen. Ook paste hij nog verschillende andere trucs toe, zoals Keynterceptor met menselijke snelheid laten typen. Eenmaal aangesloten is het mogelijk om op afstand het toetsenbord te bedienen, automatisch in te loggen met gestolen inloggegevens, maar ook de invoer van de gebruiker te blokkeren via een radiofrequentie kill-switch. Tevens ontwikkelde de onderzoeker een uitbreiding die op een power adapter lijkt en over een 4G-dongle en een 433MHz-ontvanger beschikt. Het communiceren op deze frequentie valt minder op dan het gebruik van wifi. Een mogelijke oplossing tegen deze aanval is een extra verificatiestap bij het inloggen/ontgrendelen. Het gaat dan bijvoorbeeld om een captcha of twee/multifactor-authenticatie. "Als ethisch hacker wil ik graag aandacht voor de hoge mate van vertrouwen in onze usb-apparatuur", zo laat Van Dijkhuizen tegenover Security.NL weten. Ook onderzoekers Karsten Nohl en Jakob Lell waarschuwen hiervoor naar aanleiding van hun BadUSB-aanval in 2014. Van Dijkhuizen hoopt dan ook dat de industrie met een oplossing komt, omdat usb-apparaten op dit moment niet te vertrouwen zijn, zo liet hij afsluitend weten. bron: security.nl

Oracle heeft tijdens de vaste patchronde van oktober 252 nieuwe beveiligingslekken in een groot aantal producten gepatcht waardoor het totaal voor 2017 op 1129 uitkomt. De meeste kwetsbaarheden, 40 in totaal, werden in Oracle Fusion Middleware gepatcht. Ook in Hospitality Applications (37), E-Business Suite (26) en Oracle MySQL (25) werden meerdere ernstige kwetsbaarheden verholpen waardoor een aanvaller systemen op afstand had kunnen overnemen. In het geval van Java, dat ook een product van Oracle is, gaat het in totaal om 22 beveiligingslekken. Twintig van deze kwetsbaarheden zijn op afstand en zonder authenticatie aan te vallen. Op een schaal van 1 tot en met 10 zijn twee van de kwetsbaarheden met een 9,6 beoordeeld. Java staat nog altijd op miljoenen computers geinstalleerd, zowel bij eindgebruikers als bedrijven. De beveiligingslekken bevinden zich in Java 6u161, 7u151, 8u144 en 9, alsmede Java SE Embedded 8u144. De nieuwste Java-versie is te downloaden via Java.com. Oracle blijft naar eigen zeggen geregeld berichten ontvangen van systemen die zijn gehackt omdat klanten beschikbare patches, die de aangevallen kwetsbaarheden verhelpen, niet hadden geïnstalleerd. De volgende patchronde van Oracle staat gepland voor 16 januari 2018. In tegenstelling tot bijvoorbeeld Microsoft en Adobe, die elke maand met updates komen, brengt Oracle elk kwartaal updates uit. De updates verschijnen in januari, april, juli en oktober. bron: security.nl

Apache HTTP Server, de meestgebruikte webserversoftware ter wereld, gaat een protocol ondersteunen dat het eenvoudiger voor websites maakt om tls-certificaten te installeren en te beheren. Hierdoor zal naar verwachting het aantal websites dat via een beveiligde https-verbinding bereikbaar is sterk stijgen. Het gaat om het ACME-protocol, dat door de certificaatautoriteit Let's Encrypt wordt gebruikt voor de installatie van tls-certificaten. Let's Encrypt geeft gratis tls-certificaten uit en heeft een volledig versleuteld web als doel. Gebruikers van Let's Encrypt die een gratis tls-certificaat willen zullen in de meeste gevallen de ACME-client moeten downloaden en verschillende commando's moeten uitvoeren. Volgens Let's Encrypt zou het voor webmasters en serverbeheerders eenvoudiger zijn als hun webserversoftware standaard over een ingebouwde ACME-client beschikt. Zodoende is het niet meer nodig om aanvullende software binnen te halen. "Hoe minder werk mensen hebben om https uit te rollen des te beter", zegt Josh Aas, directeur van de Internet Security Research Group (ISRG). Let's Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen. Volgens Aas is ACME-ondersteuning in één van de populairste webservers ter wereld fantastisch, omdat zo het uitrollen van https voor miljoenen websites een stuk eenvoudiger wordt. De Apache httpd ACME-module heet mod_md. De module bevindt zich op dit moment in de ontwikkelversie van Apache. Er wordt daarnaast aan een plan gewerkt om de ACME-module ook voor Apache 2.4.x stable release beschikbaar te maken. De mod_md-code is beschikbaar op GitHub. bron: security.nl

Microsoft heeft vorige week een update uitgebracht voor één van de beveiligingslekken in het WPA- en WPA2-protocol die gisteren werden onthuld. Via de "KRACK-attack" kan een aanvaller met WPA- of WPA2-beveiligd verkeer ontsleutelen en in het ergste geval ook manipuleren. Het gaat in totaal om tien kwetsbaarheden die gisteren door Mathy Vanhoef van de KU Leuven werden geopenbaard. Vanhoef had verschillende organisaties en leveranciers al in juli gewaarschuwd, zodat die beveiligingsupdates konden ontwikkelen. In het geval van Microsoft is de update tijdens de patchdinsdag van oktober uitgerold. Het gaat om update KB4041676 die volgens de omschrijving "beveiligingsupdates voor Windows Wireless Networking" bevat. Verdere details werden echter niet gegeven. Inmiddels heeft Microsoft wel meer informatie online gezet. Windows bleek één van de tien ontdekte kwetsbaarheden te bevatten. Het gaat om CVE-2017-13080. Microsoft spreekt van een 'spoofinglek' waardoor een aanvaller broadcast en/of multicast-verkeer naar wifi-gebruikers kan replayen. Om de kwetsbaarheid te exploiteren moet een aanvaller in de buurt van het doelwit zijn en een man-in-the-middle-aanval uitvoeren om het verkeer tussen het doelwit en het access point te onderscheppen. Volgens Microsoft is er nog geen misbruik van de kwetsbaarheid in 'het wild' waargenomen. Ook stelt de softwaregigant dat misbruik 'minder waarschijnlijk' is. De update van Microsoft is voor Windows 7 en nieuwer uitgekomen en zal op de meeste systemen automatisch zijn geïnstalleerd. bron: security.nl

Google heeft de Windows-versie van Chrome van nieuwe features voorzien die gebruikers extra tegen ongewenste software beschermen. Volgens Google hebben miljoenen internetgebruikers dagelijks met de gevolgen van ongewenste software te maken. Het gaat dan bijvoorbeeld om software of extensies die zoekresultaten aanpassen, de startpagina veranderen of advertenties injecteren. Chrome beschikte al over verschillende maatregelen om dergelijke software tegen te gaan, zoals de Safe Browsing-technologie van Google en de optie om de instellingen van Chrome te resetten. Nu zijn deze maatregelen verder uitgebreid, zo heeft de internetgigant aangekondigd. Chrome is nu in staat om te detecteren of de instellingen zonder toestemming van de gebruiker zijn aangepast en zal vervolgens aanbieden om die te herstellen. Daarnaast is de Chrome Cleanup-optie aangepast. Deze feature zal gebruikers nu waarschuwen als het ongewenste software detecteert en maakt het mogelijk om Chrome eenvoudig naar de standaardinstellingen terug te zetten. Als laatste beschikt de browser over een krachtigere 'cleanup engine'. Google werkt hierbij samen met anti-virusbedrijf ESET. De detectietechnologie van ESET wordt gecombineerd met de sandbox-technologie van Chrome om ongewenste software effectiever te detecteren. Het gaat hier niet om een virusscanner, maar een tool die alleen software verwijdert die niet aan het 'ongewenste softwarebeleid' van Google voldoet. bron: security.nl

Adobe heeft vandaag een noodpatch uitgebracht voor een zeroday-lek in Flash Player dat actief is gebruikt om Windows-gebruikers aan te vallen. Via de kwetsbaarheid kan een aanvaller systemen in het ergste geval volledig overnemen. Adobe stelt dat het beveiligingslek bij "beperkte en gerichte" aanvallen tegen Windows-gebruikers is ingezet. De kwetsbaarheid werd door een onderzoeker van anti-virusbedrijf Kaspersky Lab ontdekt. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 27.0.0.170 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. bron: security.nl

Microsoft Edge blokkeert meer malware- en phishingsites dan Google Chrome en Mozilla Firefox, zo stelt onderzoeksbureau NSS Labs aan de hand van een test. Gedurende 23 dagen tijdens augustus en september werden 1136 unieke phishingsites getest. Edge blokkeerde gemiddeld 92,3 procent van de url's, tegenover Chrome met gemiddeld 74,5 procent. Firefox eindigde met 61,1 procent op de derde plek. Ook is Edge sneller in het identificeren van nieuwe phishingsites, zo blijkt uit het onderzoek dat NSS Labs met MSPoweruser deelde. Daarnaast werd er ook getest met 'socially engineered malware'. Het gaat in dit geval om malware die gebruikers zelf downloaden en niet via bijvoorbeeld een drive-by download wordt geïnstalleerd. Hierbij wist Edge gemiddeld 99,5 procent van de kwaadaardige websites die malware aanboden te blokkeren, gevolgd door Chrome met 87,5 procent. Firefox eindigt wederom op de derde plek, dit keer met een percentage van 70,1 procent. Volgens NSS Labs kan de test helpen bij organisaties die met twee browsers werken. Vanwege veiligheidsredenen kiezen sommige organisaties ervoor om legacy browsers alleen voor interne of oudere applicaties te gebruiken en voor overige zaken een moderne browser in te zetten. Het volledige testrapport is tegen betaling (295 dollar) verkrijgbaar. bron: security.nl

Een bug in de populaire Firefox-extensie NoScript zorgt ervoor dat het icoon om de extensie te bedienen niet meer in de browser wordt weergegeven. NoScript is een uitbreiding voor Firefox die scripts op webpagina's blokkeert en allerlei extra beveiliging aan de browser toevoegt. De extensie wordt door mening beveiligingsexpert aangeraden. Met meer dan 1,7 miljoen gebruikers is het ook één van de populairste uitbreidingen voor Firefox. Afgelopen vrijdag verscheen er een update met versienummer 5.1.2 die ervoor zorgt dat het NoScript-icoon niet meer zichtbaar is. Scripts worden nog wel geblokkeerd, maar het is niet meer mogelijk om de extensie te bedienen. Op het forum van NoScript maakten tal van gebruikers melding van het probleem. Het probleem is onder andere op te lossen door Firefox in veilige modus te herstarten, te sluiten en vervolgens weer normaal te herstarten. bron: security.nl

Wifi-netwerken wereldwijd zijn kwetsbaar door meerdere beveiligingslekken in de WPA2-beveiliging. De Belgische onderzoekers Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet ontdekten tien kwetsbaarheden waardoor het onder andere mogelijk is om versleuteld wifi-verkeer te ontsleutelen, tcp-verbindingen te kapen, http-content te injecteren en packets te relayen. De KRACK-aanval die de onderzoekers ontwikkelden, wat staat voor Key Reinstallation Attacks, valt de handshake volgorde aan die WPA2 gebruikt om de encryptiesleutels te kiezen voor een sessie tussen de client en het access point. Tijdens de derde van de vier stappen kan de sleutel meerdere keren opnieuw worden gestuurd. Wanneer dit op bepaalde manieren wordt gedaan kan de cryptografische nonce, een willekeurig getal dat maar een keer mag worden gebruikt, op zo'n manier worden herbruikt dat de encryptie volledig wordt ondermijnd. Daardoor is het mogelijk om met WPA2-beveiligd verkeer af te luisteren en bijvoorbeeld van kwaadaardige code te voorzien. De onderzoekers zullen later vandaag de details van hun onderzoek vrijgeven. Details zijn echter al onder embargo met organisaties en andere onderzoekers gedeeld. Volgens Ars Technica heeft het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid al een waarschuwing naar zo'n honderd organisaties gestuurd. De onderzoekers hebben op Github al een pagina met de naam krackattacks aangemaakt, alsmede de domeinnaam krackattacks.com geregistreerd. Op 1 november tijdens de ACM Conferentie over Computer en Communications Security (CCS) zullen Vanhoef en Piessens hun onderzoek presenteren, zo meldt The Register. Afgelopen augustus publiceerden de onderzoekers al onderzoek (pdf) naar logische kwetsbaarheden in wifi-protocollen. Update De onderzoekers hebben hun onderzoek gepubliceerd (pdf) en op de website krackattacks.com meer informatie gegeven. Ze stellen dat de aanval zich richt op 'clients', zoals smartphones en laptops, in plaats van access points. Via de aanval kan alle informatie die een doelwit verstuurt worden ontsleuteld, mits dit via http gebeurt. Https biedt volgens de onderzoekers een extra beveiligingslaag, maar ook deze laag kan worden omzeild, zo waarschuwen ze. Afhankelijk van de gebruikte apparatuur kan ook de data naar het slachtoffer toe worden ontsleuteld. De aanval werkt zowel tegen WPA als WPA2. Hierbij moet worden opgemerkt dat een aanvaller het wachtwoord van het wifi-netwerk via de nu gepresenteerde aanval niet kan achterhalen. Het aanpassen van het wifi-wachtwoord kan de aanval dan ook niet voorkomen. De onderzoekers adviseren wifi-gebruikers om updates voor hun apparaten te installeren wanneer die beschikbaar komen. Update 2 Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft de eigen advisory over de kwetsbaarheid gepubliceerd. De kwetsbaarheden worden op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Verder noemt het CERT/CC verschillende leveranciers die kwetsbaar zijn, waaronder Cisco, Intel, Juniper, Samsung, Toshiba en ZyXel. Als oplossing wordt het installeren van updates genoemd, als die beschikbaar zijn. Update 3 Ook het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie heeft een waarschuwing afgegeven. "Om de kwetsbaarheden volledig te mitigeren is het noodzakelijk om zowel de client als de access points van updates te voorzien", zo laat het NCSC weten. Verder stelt de overheidsinstantie dat om vertrouwelijkheid en integriteit van gegevens te waarborgen overwogen kan worden om gebruik te maken van versleutelde verbindingen, zoals tls-, https- en vpn-verbindingen. Beveiligingsexpert Robert Graham heeft een korte uitleg over de aanval online gezet. Daarin laat hij weten dat een aanvaller niet op het wifi-netwerk van het doelwit hoeft te zijn ingelogd. Verder biedt ssl/tls/vpn bescherming tegen de aanval en zijn zowel WPA als WPA2 kwetsbaar. Aangezien veel producten, zoals de Amazon Echo, tls gebruiken beperkt dit de impact van de aanval. Verder stelt de expert dat organisaties en bedrijven de aanval tegen zichzelf moeten uitvoeren, om te controleren dat alle apparaten beschermd zijn. Uiteindelijk moet het zo zijn dat alleen gepatchte toestellen met het wifi-netwerk binnen de organisatie verbinding mogen maken. bron: security.nl

Google heeft deze week meerdere nepversies van de populaire adblocker Adblock Plus uit de Chrome Web Store en van de computers van Chrome-gebruikers verwijderd. Eerder deze week waarschuwde de beveiligingsonderzoeker met het alias 'SwiftOnSecurity' voor een nepversie van Adblock Plus. Deze nepversie was 37.000 keer gedownload en toonde allerlei advertenties bij gebruikers. Na te zijn ingelicht verwijderde Google de extensie. In een reactie op 10 oktober erkende Google dat een aantal Chrome-apps de detectiesystemen had omzeild, maar dat er werd gewerkt aan een oplossing. Een dag later op 11 oktober waarschuwde SwiftOnSecurity opnieuw. Dit keer voor twee nieuwe nepversies van Adblock Plus, waarbij één op slimme wijze een vals aantal downloads liet zien. Bij de ondertitel stond "10.000.000+ users - Adblock Plus". Daardoor zouden gebruikers kunnen denken dat het om de echte versie ging, aangezien die meer dan 10 miljoen gebruikers heeft. Om de filters van Google te omzeilen hadden deze extensies gebruik gemaakt van Cyrillische unicode-karakters. Inmiddels zijn ook deze nep-apps verwijderd en de accounts van de ontwikkelaars geschorst. bron: security.nl

Dit gebeurd automatisch. Je kunt wel iemand blokkeren wanneer deze in je vriendenlijst staat.