Captain Kirk

De online virusscanner van Google VirusTotal krijgt een nieuwe gebruikersinterface. Dat laat Pedram Amini, cto van InQuest, via Twitter weten. Via VirusTotal kunnen internetgebruikers verdachte bestanden uploaden. Die worden vervolgens via de engine van ruim vijftig virusscanners gescand. Ook is het mogelijk om ip-adressen, url's, domeinen of hashes van bestanden op te geven. De nieuwe interface zorgt ervoor dat VirusTotal beter op mobiele apparaten is te gebruiken. De website BleepingComputer meldt dat er ook twee nieuwe features worden toegevoegd genaamd Graph en Monitor. Graph is bedoeld voor het visueel weergeven van data, zodat mogelijke verbanden duidelijker worden. Monitor laat softwareontwikkelaars hun software-repository met VirusTotal synchroniseren. De virusscandienst zal vervolgens op bepaalde tijden de software scannen. In het geval een virusscanner de software onterecht als malware bestempelt kan de ontwikkelaar vervolgens actie ondernemen. Dit moet uiteindelijk false positives, waarbij anti-virussoftware onterecht alarm slaat, bij gebruikers voorkomen. Wanneer de vernieuwde versie wordt gelanceerd is nog niet bekend. bron: security.nl

Mozilla is een campagne gestart om bewustzijn over de gezondheid van het internet te vergroten. De opensource-ontwikkelaar maakt zich zorgen over plannen van de Amerikaanse toezichthouder FCC om netneutraliteit af te schaffen en dat grote techbedrijven steeds meer controle over het web krijgen. "Het internet is een belangrijk middel dat in elk aspect van het dagelijkse leven aanwezig is", zegt Mozilla-directeur Mark Surman. "Als je om de vrijheid van meningsuiting, economische groei en een gelijk speelveld geeft, dan vind je het belangrijk om die partijen te stoppen die het web willen beperken, afsluiten of monopoliseren alsof ze er de eigenaar van zijn." Op donderdag 29 juni organiseert Mozilla een speciaal evenement waarbij denkers, artiesten en politici macht, vooruitgang en het leven op het web bespreken. Verder zal er op 26 juni een podcast genaamd IRL: Online Life Is Real Life worden gelanceerd en vinden er in San Francisco verschillende 'guerilla pop-ups' plaats. Eerder dit jaar kwam Mozilla al met een initiatief om de gezondheid van het internet in kaart te brengen. bron: security.nl

Nog altijd 16.000 servers wereldwijd zijn besmet met de NSA-backdoor "DoublePulsar" en ruim 90.000 servers missen de beveiligingsupdate voor het SMB-lek in Windows waardoor de backdoor kan worden geïnstalleerd en dat ook door de WannaCry-ransomware werd gebruikt om zich te verspreiden. Dat blijkt uit een scan die zoekmachine Shodan uitvoerde. DoublePulsar werd bij de NSA gestolen en kwam in handen van de hackergroep Shadow Brokers, die de backdoor in april op internet zette. De backdoor wordt geïnstalleerd nadat er via een exploit toegang tot een server is gekregen. Het kan dan gaan om de EternalBlue-exploit van de NSA, die gebruik maakt van een SMB-lek in Windows dat in maart door Microsoft werd gepatcht. Op het hoogtepunt waren zo'n 100.000 servers met DoublePulsar geïnfecteerd. Het aantal daalde echter sterk na de uitbraak van de WannaCry-ransomware. Volgens John Matherly van Shodan laat dit zien dat mensen de gelekte NSA-exploits niet op grote schaal tegen kwetsbare SMB-servers inzetten. Ook stelt Matherly dat in theorie alle Windows SMB-servers die via internet toegankelijk zijn inmiddels gepatcht horen te zijn. Toch ontdekte Shodan nog altijd 91.000 servers die de update voor het SMB-lek in Windows missen en zo risico lopen om te worden aangevallen. bron: security.nl

Eind juni lanceert Google een tool waarmee gebruikers bestanden op hun computer naar de servers van Google kunnen back-uppen. "Backup and Sync", zoals de tool heet, is met name bedoeld voor eindgebruikers. Gebruikers kunnen zelf mappen opgeven waar een back-up van moet worden gemaakt. Voor zakelijke gebruikers zal Google later dit jaar met "Drive File Stream" komen. Deze tool laat gebruikers grote hoeveelheden zakelijke data in de cloud benaderen, zonder dat dit ruimte op hun eigen harde schijf in beslag neemt. Backup and Sync wordt op woensdag 28 juni gelanceerd. bron: security.nl

Er is een nieuwe versie van het op security en privacy gerichte besturingssysteem Tails verschenen die alleen 64-bit computers ondersteunt en op Debian 9 (Stretch) is gebaseerd. Tails staat voor The Amnesic Incognito Live System en is een volledig besturingssysteem om anoniem mee te internetten. Het is vanaf een dvd of usb-stick te gebruiken. Tails 3.0 introduceert een compleet nieuwe "ervaring" voor het opstarten en uitschakelen. Zo is de Tails Greeter aangepast, een tool die helpt bij het instellen van het besturingssysteem. Alle opties zijn nu vanuit één venster te kiezen, wat het gebruiksvriendelijker voor gebruikers moet maken. Daarnaast is het afsluitproces aangepast zodat het betrouwbaarder en discreter is. Verder is ook het 'theme' aangepast om een modernere uitstraling te geven. Op beveiligingsgebied ondersteunt Tails 3.0 alleen nog 64-bit computers, aangezien dit allerlei veiligheids- en stabiliteitsvoordelen heeft, aldus de ontwikkelaars. Het gaat dan om bescherming tegen bepaalde exploits en de mogelijkheid om bepaalde beveiligingsmaatregelen te kunnen gebruiken. Tails 3.0 is te downloaden via tails.boum.org. bron: security.nl

Microsoft heeft een browserkaper genaamd Xiazai sinds oktober 2015 van meer dan 2 miljoen computers verwijderd. Daarnaast werden er dit jaar gemiddeld 30.000 installaties per maand geblokkeerd. Volgens Microsoft gaat het dan ook om een zeer actieve dreiging die extra aandacht vereist. De softwaregigant bracht gisteren tijdens de patchdinsdag van juni namelijk een update uit voor de in Windows ingebouwde Malicious Software Removal Tool (MSRT) om Xiazai van Windowscomputers te verwijderen. De browserkaper wordt via softwarebundels aangeboden en doet zich voor als "installer" van legitieme software. Eenmaal geïnstalleerd wijzigt Xiazai de startpagina en snelkoppelingen van de browser. De aanpassingen die de browserkaper doorvoert kunnen zelfs na het verwijderen van Xiazai achterblijven. De Malicious Software Removal Tool, die automatisch door Windows wordt gestart, verwijdert de browserkaper en herstelt alle aangepaste systeeminstellingen. Uit cijfers van Microsoft blijkt dat Xiazai voornamelijk in China actief is. bron: security.nl

We zitten al wat dagen verder. Zijn de goden nog goed gestemd geweest en heb je nog iets terug kunnen toveren?

Malware die in PowerPoint-bestanden verborgen zit kan door alleen het zweven met de muis over een hyperlink worden geactiveerd, zo waarschuwen een beveiligingsonderzoeker en beveiligingsbedrijf. Wanneer een gebruiker het kwaadaardige PowerPoint-bestand opent staat daar de tekst "Loading...Please Wait". Zodra er met de muis over de link wordt bewogen zal PowerPoint een PowerShell-opdracht en een klein script uitvoeren die de uiteindelijke lading downloaden. De kwaadaardige code die is gedownload wordt echter niet automatisch uitgevoerd, aangezien PowerPoint dit blokkeert. Zowel Office 2010 als Office 2013 laten een waarschuwing zien. "Gebruikers kunnen er echter nog steeds voor kiezen om externe programma's in te schakelen omdat ze lui zijn, haast hebben of alleen gewend zijn om macro's te blokkeren", zegt Caleb Fenton van beveiligingsbedrijf SentinelOne. De aanval werd ook door een onderzoeker van het blog Dodge This Security ontdekt en geanalyseerd. bron: security.nl

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben een malafide Firefox-extensie ontdekt die door een groep cyberspionnen genaamd Turla is ingezet en van Instagram gebruik maakt om de controleserver te vinden. De extensie werd bij een zogeheten "watering hole" aanval ontdekt. Hierbij hacken aanvallers websites die potentiële doelen uit zichzelf al bezoeken en plaatsen daar bijvoorbeeld een exploit die van een kwetsbaarheid in een browser of browserplug-in gebruik maakt. In dit geval werd de website van een niet nader genoemd Zwitsers beveiligingsbedrijf gehackt. In plaats van een exploit kregen bezoekers een malafide Firefox-extensie genaamd "HTML5 Encoding" aangeboden. De extensie is in werkelijkheid een eenvoudige backdoor die vier opdrachten kan uitvoeren, namelijk het uitvoeren van willekeurige bestanden, uploaden van bestanden, downloaden van bestanden en het lezen van directories. Om verbinding met de controleserver van de aanvallers te maken maakt de backdoor gebruik van Instagram. Het adres van de controleserver wordt namelijk achterhaald aan de hand van een reactie die op het officiële Instagram-account van Britney Spears was geplaatst. "Het feit dat Turla social media gebruikt als een manier om de controleservers te achterhalen is vrij interessant", aldus de onderzoekers. Ze merken op dat een dergelijke tactiek in het verleden ook door andere aanvallers is toegepast. Het gebruik van social media maakt het lastiger voor verdedigers. Ten eerste is het lastiger om kwaadaardig verkeer naar social media van legitiem verkeer te onderscheiden. Daarnaast geeft het aanvallers meer flexibiliteit bij het veranderen van hun controleserver alsmede het wissen van alle sporen ernaar. In dit geval denken de onderzoekers dat het om een test gaat. Verschillende programmeerinterfaces (api's) waar de malafide extensie mee werkt zullen in toekomstige Firefox-versies namelijk verdwijnen. Ook lijkt de aanval kleinschalig te zijn opgezet. De reactie op het Instagram-account van Britney Spears leverde een Bit.ly-link op die naar de uiteindelijke url van de controleserver wees. Bit.ly houdt echter bij hoe vaak een afgekorte link is geklikt. In dit geval bleek het in totaal om 17 clicks te gaan, waaronder 3 clicks uit Nederland. bron: security.nl

Google heeft een nieuwe versie van Chrome uitgebracht waarin 30 beveiligingslekken zijn verholpen waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Het ging om meerdere spoofinglekken in de Omnibox, alsmede een kwetsbaarheid bij het automatisch invullen van creditcardgegevens. In totaal keerde Google 23.500 dollar uit aan onderzoekers voor het rapporteren van de beveiligingslekken. Op de meeste systemen zal de update naar Chrome 59.0.3071.86 automatisch plaatsvinden. bron: security.nl

Door de lampjes van een netwerkrouter snel te laten knipperen is het mogelijk voor malware om gevoelige gegevens van computers te stelen die niet met internet verbonden zijn, zo hebben onderzoekers van de Israëlische Ben-Gurion Universiteit in een nieuw onderzoek aangetoond. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling, mobiele telefoons en harde schijflampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. De onderzoekers demonstreren nu het gebruik van de xLED-malware. Deze malware infecteert de router waarmee een besmette computer in verbinding staat. Het kan dan bijvoorbeeld gaan om computers van een netwerk die niet met internet verbonden zijn. Om toch wachtwoorden en andere gevoelige gegevens naar de aanvallers terug te sturen laat de xLED-malware de lampjes van een besmette router knipperen. Een aanvaller met toegang tot een camera in het gebouw of met een camera op afstand kan vervolgens het gecodeerde signaal van de routerlampjes opvangen en vervolgens de data ontcijferen. De xLED-malware kan de lampjes van de router meer dan duizend keer per seconde laten knipperen. Doordat een router vaak over zes of meer lampjes beschikt is het mogelijk om 10.000 bits aan informatie per seconde te versturen. "In tegenstelling tot netwerkverkeer dat wordt gemonitord en gecontroleerd door firewalls, wordt dit verborgen kanaal op dit moment niet gemonitord. Daardoor kunnen aanvallers data lekken en tegelijkertijd firewalls, niet met internet verbonden computers en andere datalekpreventiemethodes omzeilen", aldus de onderzoekers in het rapport (pdf). Om de aanval tegen te gaan doen ze verschillende aanbevelingen, zoals het afdekken van de lampjes of ramen en het detecteren van kwaadaardige firmware in de router. bron: security.nl

Anti-virusbedrijf Avast heeft naar eigen zeggen de WannaCry-ransomware sinds de verspreiding op 12 mei begon meer dan 1 miljoen keer in 150 landen geblokkeerd. Ook heeft de virusbestrijder sindsdien meer dan 350 varianten van de ransomware waargenomen. WannaCry verspreidde zich via een lek in de Microsoft Windows SMB Server waar sinds maart een update voor beschikbaar is. 60 miljoen Avast-gebruikers hadden deze update echter niet geïnstalleerd. In de aankondiging laat Avast weten dat het de eerste keer sinds 2005 is dat gebruikers door malware worden aangevallen die geen enkele menselijke interactie vereist, maar dat klopt niet helemaal. De Conficker-worm eind 2008 wist zich namelijk ook automatisch te verspreiden en infecteerde zo'n 7 miljoen computers.

Dat is fijn. Ook fijn dat jet het even hebt laten weten. Dat stellen we zeer op prijs. Succes met je HD.

Google heeft zich aangesloten bij de "coalitie voor betere advertenties" en zal websites de mogelijkheid gaan bieden om meldingen aan adblocker-gebruikers te tonen. Volgens Google komt het te vaak voor dat mensen met vervelende, opdringerige advertenties te maken krijgen. Daardoor is er een toename van het aantal mensen dat een adblocker gebruikt. Dit heeft echter gevolgen voor websites, journalisten, webontwikkelaars en andere contentmakers die van advertenties afhankelijk zijn, aldus Google. "We vinden dat online advertenties beter moeten. Daarom hebben we ons aangesloten bij de Coalition for Better Ads, een industriegroep die online advertenties wil verbeteren", zegt Sridhar Ramaswamy van Google. De groep houdt zich onder andere bezig met het opstellen van standaarden voor advertenties. Deze standaarden gaat Google nu ook binnen Chrome implementeren. Vanaf begin 2018 zal Chrome advertenties blokkeren die niet aan de advertentiestandaarden voldoen. Ook heeft Google een tool ontwikkeld die websites helpt om deze standaarden op hun eigen websites toe te passen. Daarnaast werkt de internetgigant aan een tool genaamd "Funding Choices". Hiermee kunnen websites een melding aan adblocker-gebruikers tonen, waarin wordt opgeroepen om advertenties op de website toe te staan of via Google te betalen om de website zonder advertenties te bezoeken. Funding Choices is nu beschikbaar voor websites in Noord-Amerika, Groot-Brittannië, Duitsland, Australië en Nieuw-Zeeland en wordt later dit jaar ook in andere landen uitgerold. bron: security.nl

Al geruime tijd wordt gewaarschuwd voor open MongoDB-, ElasticSearch- en CouchDB-databases die via internet toegankelijk zijn, maar het echte probleem zijn databases die van het Hadoop Distributed File System (HDFS) gebruikmaken. Dat stelt John Matherly van zoekmachine Shodan. Matherly zocht op internet naar open MongoDB- en HDFS-databases. Het aantal gevonden MongoDB-databases is met bijna 48.000 veel groter dan de 4500 aangetroffen HDFS-databases. De HDFS-databases blijken echter veel meer data te bevatten. In het geval van de MongoDB-databases gaat het bij elkaar om 25 terabyte aan data, maar de HDFS-databases bevatten in totaal 5,1 petabyte aan gegevens. Een groot probleem, omdat open databases het risico lopen om te worden aangevallen. Aanvallers kunnen de inhoud stelen of voor losgeld gijzelen. Iets wat bij MongoDB-installaties het afgelopen jaar regelmatig voorkwam. Matherly ontdekte 207 HDFS-clusters waarbij goedwillenden een waarschuwing hadden achtergelaten dat de database voor het publiek toegankelijk is. De meeste HDFS-installaties werden in de Verenigde Staten (1900) aangetroffen gevolgd door China (1400). bron: security.nl

De ontwikkelaars van de WannaCry-ransomware hebben verschillende fouten gemaakt waardoor slachtoffers zonder te betalen hun bestanden kunnen terugkrijgen. Dat stelt het Russische anti-virusbedrijf Kaspersky Lab in een analyse. Zodra WannaCry een bestand versleutelt wordt het originele bestand verwijderd. De verwijdermethode verschilt echter per locatie en eigenschappen van de bestanden. De ransomware maakt onderscheid tussen bestanden in "belangrijke" en niet belangrijke mappen. In het geval bestanden buiten de belangrijke mappen worden versleuteld, worden die naar de tijdelijke map van het systeem verplaatst en verwijderd. In tegenstelling tot bestanden in de belangrijke mappen worden de verwijderde bestanden niet overschreven. Daardoor is er een mogelijkheid om ze via datarecoverysoftware terug te halen. In het geval van bestanden die zich niet op de systeemschijf bevinden maakt WannaCry een niet zichtbare "Recycle" map aan. De ransomware wil de originele bestanden na de encryptie naar deze map verplaatsen. Door synchronisatiefouten in de code blijven in veel gevallen de originele bestanden in dezelfde map achter en worden niet naar de Recycle-map verplaatst. De originele bestanden worden wel verwijderd, maar dit gebeurt op een onveilige manier, zodat ze via datarecoverysoftware zijn te herstellen. Daarnaast gaat WannaCry ook de fout in met het verwerken van "alleen-lezen" bestanden. In het geval dergelijke bestanden worden aangetroffen zal de ransomware die niet versleutelen. Het zal alleen een versleutelde kopie van het originele bestand maken. Het originele bestand zelf wordt vervolgens verborgen gemaakt. Gebruikers kunnen deze bestanden dan ook eenvoudig zelf herstellen door het verborgen attribuut uit te schakelen. Volgens Kaspersky Lab blijkt uit het onderzoek naar de ransomware dat de ontwikkelaars van WannaCry veel fouten hebben gemaakt en de code van een laag niveau is. "Als je door WannaCry besmet bent geraakt is er een goede kans dat je veel van de bestanden op een getroffen computer kunt herstellen", aldus de onderzoekers, die vervolgens stellen dat hiervoor allerlei gratis tools beschikbaar zijn. bron: security.nl

Mmmm, ik begin het somber in te zien. Ik weet dan op dit moment geen manieren even om je foto's te redden. Misschien iemand anders alhier?

Het Roemeense anti-virusbedrijf Bitdefender heeft een gratis tool gelanceerd waarmee gebruikers de veiligheid van het eigen wifi-netwerk kunnen checken. De Smart Home Scanner laat zien welke apparaten er met het netwerk verbonden zijn en zoekt naar verschillende soorten kwetsbaarheden. Het gaat dan om onveilige authenticatie, zwakke inloggegevens, beveiligingslekken en verborgen backdoors, aldus de virusbestrijder. Vervolgens geeft het programma advies wat gebruikers kunnen doen om de beveiliging van hun wifi-netwerk aan te scherpen, zoals het veranderen van wachtwoorden en installeren van firmware-updates. bron: security.nl

Een fout in Google Chrome maakt het voor websites mogelijk om zonder visuele waarschuwing audio en video op te nemen, zo laat de Israëlische beveiligingsonderzoeker Ran Bar-Zik via een blog op Medium weten. Sites kunnen gebruikers om toestemming tot hun camera, locatie of het tonen van notities vragen. Google Hangouts en videochatsites maken hier vooral gebruik van. Om misbruik tegen te gaan zullen Chrome en Firefox een visuele waarschuwing tonen dat er een opname plaatsvindt. In het geval een gebruiker per ongeluk toestemming heeft verleend kan hij via deze waarschuwing zien dat de website gebruik van de camera maakt en zo alsnog maatregelen nemen. Het is echter mogelijk om deze waarschuwing te onderdrukken. Zodra gebruikers hun toestemming hebben verleend kan de website ze vervolgens ongemerkt afluisteren of filmen. Aangezien het verzoek om toegang tot de camera te krijgen hetzelfde eruitziet als de verzoeken om de locatie of het geven van notificaties, kunnen gebruikers die ongemerkt doen. "Veel sites vragen hier om en veel gebruikers geven dit zonder er verder over na te denken", aldus Bar-Zik. De onderzoeker heeft het probleem bij Google gemeld en een demonstratiepagina gemaakt. Volgens Google gaat het niet echt om een beveiligingslek. Zo wordt er op mobiele apparaten bijvoorbeeld helemaal geen waarschuwing in de browser getoond. De visuele waarschuwing via de rode opnameknop is alleen op de desktop zichtbaar wanneer hiervoor in de gebruikersinterface ruimte is. Wel zegt Google naar manieren te kijken om de situatie te verbeteren. bron: security.nl

Microsoft heeft vorige week weer een ernstig beveiligingslek in Windows Defender, Security Essentials en andere beveiligingssoftware gedicht waardoor een aanvaller kwetsbare Windowscomputers kon overnemen. De kwetsbaarheid bevond zich in de Malware Protection Engine. Deze software wordt gebruikt door de in Windows ingebouwde virusscanner Windows Defender, maar ook door de beveiligingssoftware van de softwaregigant, zoals Security Essentials, Microsoft Endpoint Protection en Microsoft Forefront Security for SharePoint Service. De software draait standaard in de achtergrond en scant continu allerlei bestanden en websites. Het beveiligingslek zorgde ervoor dat een aanvaller via een speciaal geprepareerd uitvoerbaar bestand willekeurige code met systeemrechten op het systeem kon uitvoeren. Een aanvaller had een dergelijk bestand via e-mail naar het slachtoffer kunnen sturen. Alleen het ontvangen van het bestand was voor een aanvaller voldoende geweest om het systeem over te nemen, aangezien ontvangen bestanden automatisch worden gescand. De kwetsbaarheid was door Google-onderzoeker Tavis Ormandy gevonden die het op 12 mei aan Microsoft rapporteerde. Eerder had Ormandy ook al een probleem in de Malware Protection Engine ontdekt, waarvoor Microsoft een noodpatch en een waarschuwing uitbracht. Deze nieuwe kwetsbaarheid werd afgelopen woensdag echter stilletjes gepatcht, zo laat Ormandy weten. Ormandy maakte op donderdag 25 mei bekend dat er een stille update was uitgerold. Op dezelfde dag publiceerde Microsoft echter een overzicht van kwetsbaarheden die in de Microsoft Protection Engine zijn gepatcht. Het gaat om meerdere kwetsbaarheden die door Google waren gevonden en gerapporteerd. bron: security.nl

De Belgische Privacycommissie krijgt geen extra bevoegdheden om bedrijven en organisaties te onderzoeken waarvan wordt vermoed dat ze de privacy schenden, zo heeft de Belgische staatssecretaris voor Privacy Philippe De Backer laten weten. De Privacycommissie maakte deze week bekend dat het extra bevoegdheden nodig heeft om effectief te werken, aldus De Morgen. Zo wil de commissie zonder toestemming van de eigenaars of verantwoordelijken computersystemen kunnen inkijken. Daarnaast moet er onderzoek naar de veiligheid van apparatuur kunnen worden uitgevoerd en moeten er boetes kunnen worden opgelegd als de Privacycommissie tijdens onderzoeken wordt belemmerd. Ook wil de commissie anoniem op internet kunnen patrouilleren. "De commissie geeft de valse indruk dat ze machteloos is. Ik stel ook vast dat ze om bevoegdheden vraagt waarover ze voor de andere inspectiediensten een ongunstig advies afleverde", aldus de De Backer. Hij vindt dat de Privacycommissie zich moet richten op het helpen van bedrijven met de nieuwe Europese regels voor databescherming die volgend jaar van kracht worden. "De focus ligt op preventie, niet op het uitschrijven van boetes achteraf." bron: security.nl

Het Nationaal Cyber Security Centrum (NCSC) van de overheid heeft gewaarschuwd voor een kwetsbaarheid in Windows die afgelopen maandag door een Russische programmeur openbaar werd gemaakt en ervoor zorgt dat computers met Windows 7 of Windows 8.1 kunnen crashen. Het probleem doet zich voor bij het opvragen van $MFT (Master File Table)-bestanden, die zich in alle NTFS-volumes bevinden. Het bestand houdt metadata van alle bestanden op het volume bij, zoals hun locatie, en is onzichtbaar voor gebruikers. Ook voor de meeste programma's is het niet toegankelijk. Windows blokkeert het openen van het bestand, maar als de bestandsnaam als een directorynaam wordt gebruikt, bijvoorbeeld C:\$MFT\abc, zal Windows het bestand vergrendelen en niet meer vrijgeven. Alle volgende operaties van het besturingssysteem wachten echter totdat het bestand wordt vrijgegeven. Dit kan ervoor zorgen dat de computer crasht en in sommige gevallen een blue screen of death laat zien. Een aanvaller kan hier gebruik van maken door de aanroep naar het $MFT-bestand in een webpagina te verwerken. De Russische programmeur maakte zijn bevindingen openbaar op het Russische blogplatform Habrahabr, waar hij ook een exploit publiceerde. In de reacties op zijn publicatie laten gebruikers weten dat de exploit niet werkt via Google Chrome. Een update, alsmede een andere workaround, zijn nog niet voor het probleem beschikbaar, zo meldt het NCSC. Windows 10 blijkt niet kwetsbaar te zijn. bron: security.nl

Google is al enige tijd bezig om meer websites op https te laten overstappen, maar de internetgigant blijkt nu ook sommige websites die gebruikers via http laten inloggen op een blacklist te zetten, zo claimt securitybedrijf Sucuri. Sinds begin dit jaar waarschuwt Google Chrome gebruikers als ze op een http-site hun wachtwoord of creditcardgegevens invoeren. Daarnaast verschijnt er bij https-sites tegenwoordig de melding "Veilig". Uiteindelijk wil Google alle http-sites als "Niet veilig" bestempelen. Sucuri deed onlangs onderzoek naar verschillende websites die door Google als "Misleidende site" waren bestempeld. Hierdoor kregen Chrome-gebruikers een waarschuwing te zien als ze deze websites wilden bezoeken. De afgelopen maanden ontdekte Sucuri dat het aantal websites waarvoor deze waarschuwing werd gegeven zonder duidelijke reden was toegenomen. De websites bevatten namelijk geen kwaadaardige of externe code. Google bleek de waarschuwing en blacklistvermelding te verwijderen zodra de websites op https overstapten. Het ging hier vooral om net geregistreerde websites. "Sommige websites waren nog geen maand oud, hadden geen malware en werden geblacklist totdat we ssl inschakelden", zegt Cesar Anjos van Sucuri. Anjos merkt op dat Google nooit heeft gemeld dat ssl een factor is bij het beoordelen van blacklistwaarschuwingen, maar dat dit wel nut heeft. "Google kan uiteindelijk de surfervaring van hun gebruikers zo veilig mogelijk maken en webmasters onderwijzen door websites te blokkeren die het versturen van wachtwoorden en creditcardgegevens niet beveiligen." bron: security.nl

Het populaire ftp-programma FileZilla heeft een nieuwe optie toegevoegd waardoor wachtwoorden voor ftp-servers voortaan versleuteld worden opgeslagen. Voorheen werden de wachtwoorden nog onversleuteld bewaard, wat een beveiligingsrisico voor gebruikers was. Zo werden in 2015 Firefoxgebruikers nog het doelwit van een zeroday-aanval waarbij er onder andere FileZilla-wachtwoorden werden gestolen. Eind vorig jaar werd FileZilla Secure gelanceerd. Een variant van FileZilla die wachtwoorden wel versleuteld bewaarde. De ontwikkelaar van deze versie was via een browserexploit met malware besmet geraakt waardoor zijn onversleutelde FileZilla-wachtwoorden werden gestolen. In FileZilla Client 3.26.0-rc1 is nu voor het eerst ondersteuning van het versleuteld opslaan van wachtwoorden toegevoegd. Net als met veel andere programma's moeten gebruikers eerst een "master password" invoeren voordat de opgeslagen wachtwoorden zijn te gebruiken. Gebruikers die FileZilla willen downloaden krijgen het advies dit alleen via de officiële website te doen. In het verleden zijn er besmette versies ontdekt die via onofficiële websites werden aangeboden en waren ontwikkeld om wachtwoorden van gebruikers te stelen. bron: security.nl

Mozilla is gestopt met het tonen van de broncode van Firefoxadd-ons die via addons.mozilla.org (AMO) worden aangeboden. AMO had tot enkele weken geleden de optie "View Source", waarmee gebruikers de inhoud van een add-on konden bekijken. Volgens Mozilla werkte de viewer niet naar behoren en werd die uitgeschakeld om het probleem te onderzoeken. De foutmelding die gebruikers te zien kregen "Oops! Not allowed. You tried to do something that you weren't allowed to" zorgde voor enige verwarring. Daarom heeft Mozilla besloten om zowel de optie als foutmelding te verwijderen. Volgens de opensource-ontwikkelaar is het waarschijnlijk dat het de mogelijkheid om de broncode te bekijken niet meer zal aanbieden. "We kunnen het eenvoudiger voor ontwikkelaars maken om gebruikers naar hun code-repositories te laten wijzen. Ik denk dat dit een verbetering is, aangezien sites zoals GitHub een veel betere ervaring voor het bekijken van broncode bieden", aldus Jorge Villalobos van Mozilla. Hij merkt op dat gebruikers de inhoud van een add-on ook handmatig kunnen inspecteren door die eerst te downloaden en vervolgens via hun favoriete tool te bekijken. bron: security.nl