Captain Kirk

Wereldwijd lopen meer dan 120.000 ip-camera's risico om onderdeel van een nieuw Internet of Things-botnet te worden genaamd Persirai. Daarvoor waarschuwt het Japanse anti-virusbedrijf Trend Micro. Het botnet is in staat om meer dan 1000 verschillende cameramodellen aan te vallen. Besmette apparaten worden gebruikt voor het uitvoeren van ddos-aanvallen. Om de camera's aan te vallen maken de aanvallers verbinding via tcp-poort 81. Vervolgens wordt er een kwetsbaarheid gebruikt die afgelopen maart werd geopenbaard, maar nog altijd niet is gepatcht. De ip-camera's zijn door een Chinese fabrikant gemaakt en worden vervolgens door andere bedrijven onder verschillende namen, merken en functies verkocht. Zodra de malware toegang tot een ip-camera heeft verkregen verwijdert die zichzelf en draait alleen nog in het geheugen. Persirai maakt een aanpassing aan de code van de camera's, zodat het beveiligingslek niet meer door andere malware en aanvallers is aan te vallen. Als de camera echter wordt herstart zal de malware weer verdwijnen en is het apparaat weer lek. Onderzoekers vonden via de Shodan-zoekmachine 122.000 ip-camera's die via internet toegankelijk en kwetsbaar zijn. Ip-camera's maken vaak van Universal Plug and Play (UPnP) gebruik, waardoor de apparaten zonder dat gebruikers dit weten een poort op de router kunnen openzetten. Dat maakt ze echter kwetsbaar voor aanvallers. Gebruikers krijgen dan ook het advies om UPnP op hun router uit te schakelen, zodat de apparaten niet onopgemerkt via internet benaderbaar zijn. bron: security.nl

In 2013 begon Yahoo een beloningsprogramma voor hackers en onderzoekers die kwetsbaarheden melden en sindsdien heeft de internetgigant meer dan 2 miljoen dollar uitgekeerd. Vorig jaar beloonde Yahoo bijna 200 onderzoekers die lekken in de websites en apps van het bedrijf rapporteerden. De meeste problemen hadden een kleine impact, aldus de internetgigant, maar sommige waren wel ernstig. Zo werd er onlangs nog een kwetsbaarheid opgelost waardoor het mogelijk was om Flicker-accounts over te nemen. Inmiddels doen meer dan 2.000 onderzoekers en hackers mee aan het beloningsprogramma van Yahoo, verdeeld over meer dan 80 landen, zo laat Yahoo-engineer Andrew Rios weten. Voor het beloningsprogramma maakt Yahoo gebruik van HackerOne. Dit is een door Nederlanders opgericht platform dat softwarebedrijven, overheden en andere organisaties in staat stelt om beloningsprogramma's voor hackers te organiseren en de coördinatie tussen de bugmelder en softwareleverancier of kwetsbare partij afhandelt. bron: security.nl

Is goed. Laat even weten of het gelukt is.

In de ip-camera's en digitale videorecorders van de Chinese fabrikanten Dahua en Hikvision zijn ernstige beveiligingslekken ontdekt waardoor een aanvaller toegang tot de apparaten kan krijgen en vanwege de "grijze markt" kunnen niet alle eigenaren hun apparaten updaten. Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid waarschuwt dat in het geval van de Dahua ip-camera's en digitale videorecorders het zeer eenvoudig is om de kwetsbaarheden vis internet aan te vallen en dat er al exploits beschikbaar zijn. De apparatuur blijkt een wachtwoordhash in plaats van een wachtwoord voor de authenticatie van gebruikers te gebruiken. Daardoor kan een aanvaller de authenticatie omzeilen zonder over het daadwerkelijke wachtwoord te beschikken. Verder blijkt de apparatuur het wachtwoord in het configuratiebestand op te slaan. Een aanvaller kan zich zo voordoen als de beheerder en toegang tot gevoelige informatie krijgen. Dahua heeft nu voor 12 modellen ip-camera's en 3 modellen digitale videorecorders updates uitgebracht, die via de distributeur zijn te verkrijgen. Volgens het ICS-CERT wordt de apparatuur in allerlei vitale sectoren, overheidsgebouwen en transportsystemen gebruikt. Hikvision In het geval van Hikvision gaat het om twee problemen in zeven modellen ip-camera's. Ook deze apparaten blijken het wachtwoord in het configuratiebestand op te slaan. Daarnaast is er een probleem met de authenticatie, waardoor een aanvaller zijn rechten op het systeem kan verhogen en toegang tot gevoelige informatie kan krijgen. De kwetsbaarheden zijn op afstand en met weinig technische kennis aan te vallen. Er zijn echter nog geen exploits openbaar. Ook Hikvision heeft updates beschikbaar gesteld om het probleem te verhelpen. De fabrikant waarschuwt dat er een "grijze markt" is waarbij camera's via ongeautoriseerde kanalen worden verkocht. Deze camera's maken vaak gebruik van ongeautoriseerde firmware die door partijen buiten Hikvision is ontwikkeld. In het geval van camera's die van de grijze markt afkomstig zijn kan het updaten van de firmware met de originele Hikvision-firmware het apparaat in de oorspronkelijke staat herstellen. Gebruikers van deze "grijze markt" camera's die vanwege de ongeautoriseerde firmware hun apparaat niet kunnen updaten blijven echter kwetsbaar voor aanvallen. bron: security.nl

Bijna 1 miljoen Gmail-gebruikers zijn getroffen door de phishingaanval van afgelopen week, zo heeft Google bekendgemaakt. Nog onbekende aanvallers verstuurden een phishingmail die van Google afkomstig leek en claimde dat iemand een document met de ontvanger via Google Docs wilde delen. Als gebruikers de link in het berichten openden kregen ze de vraag of ze een applicatie genaamd "Google Docs" toegang tot hun Google-account wilden gegeven. Verleende de gebruiker deze toestemming, dan werd zijn adresboek gebruikt om de phishingmail naar zijn contacten te versturen. Volgens Google werd minder dan 0,1 procent van de Gmail-gebruikers slachtoffer van de aanval. Vorig jaar februari maakte Google bekend dat het 1 miljard Gmail-gebruikers had. Dat zou inhouden dat zo'n 1 miljoen Gmail-gebruikers slachtoffer van de aanval werden, aldus The Next Web. Na ongeveer een uur werd de aanval gestopt. Google laat weten dat de aanval van contactgegevens gebruikmaakte, maar er verder geen andere data is blootgesteld. Om toegang tot de accounts te krijgen maakte de aanval gebruik van de authenticatiestandaard OAuth. Dit is een manier om derde partijen toegang tot de accounts van gebruikers te geven, zonder dat gebruikers hierbij hun wachtwoord hoeven af te staan. De derde partij krijgt in dit geval een token waarmee hij toegang tot het account krijgt. Aanvallers kunnen hier echter ook misbruik van maken. Eind 2011 waarschuwde onderzoeker André DeMarre al dat aanvallers een kwaadaardige app konden maken die zich "Google" noemt en via OAuth toegang tot het account van de gebruiker kon krijgen. Een paar maanden later in 2012 besloot hij Google te waarschuwen, zo meldt de onderzoeker op Hacker News. Naar eigen zeggen kreeg hij een bescheiden beloning voor zijn melding. Google liet de onderzoeker een aantal maanden later weten dat het maatregelen zou uitrollen om dit soort aanvallen tegen te gaan. De internetgigant was echter niet van plan om te controleren dat de opgegeven naam met de url overeenkwam. Iets wat de onderzoeker wel adviseerde. bron: security.nl

Onderzoekers hebben een botnet ontdekt dat uit meer dan 15.000 Windows-servers bestaat en wordt gebruikt voor het minen naar verschillende digitale valuta. De servers worden op verschillende manieren gehackt, zoals oude kwetsbaarheden, onveilige configuraties en zwakke wachtwoorden. Zo worden bekende, zwakke configuraties in phpMyAdmin uitgebuit, alsmede beveiligingslekken in JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL-servers, Apache Tomcat, Oracle Weblogic en andere veelgebruikte diensten. Met name Windows Server 2008-machines zijn getroffen. Meer dan de helft van het botnet draait deze Windows-versie. Als het gaat om locaties zijn de meeste besmette servers in de Verenigde Staten, Brazilië en India aangetroffen. Zodra de aanvallers toegang hebben verkregen wordt er een remote access trojan (RAT) en een "cryptocurrency miner" geïnstalleerd. Afhankelijk van de gezochte digitale valuta wordt er een aparte miner geladen. Daarbij heeft de digitale valuta Monero de voorkeur, maar kan er ook voor ByteCoin, RieCoin of ZCash worden gekozen, zo meldt beveiligingsbedrijf GuardiCore. Het bedrijf biedt een detectie- en verwijderscript aan waarmee beheerders hun servers kunnen controleren. Ook laat het bedrijf zien hoe de infectie handmatig is te verwijderen. bron: security.nl

Microsoft heeft onlangs een spionageaanval tegen grote techbedrijven en financiële organisaties ontdekt waarbij de aanvallers het updatemechanisme van een niet nader genoemd editprogramma gebruikten om de organisaties te infiltreren. De aanvallers hadden het softwarebedrijf dat het editprogramma aanbiedt gehackt. Vervolgens gebruikten ze de updatefunctie van de software om andere organisaties met malware te infecteren. "De softwareontwikkelaar had geen idee van het probleem. Hoewel hun logistieke softwareketen als aanvalsvector tegen andere organisaties werd gebruikt, waren ze zelf ook een doelwit", aldus Elia Florio van het Windows Defender ATP Research Team. "Deze cyberaanval had veel problematischer kunnen zijn als die onopgemerkt was gebleven." Doordat de aanval in een vroeg stadium werd ontdekt kon de impact worden beperkt. Tijdens het forensisch onderzoek van de Temp-map op besmette systemen bleek dat de updater een ongesigneerd bestand downloadde. Het bestand, dat Microsoft als de Rivit Trojan bestempelt, bleek verschillende PowerShell-scripts en een 'reverse shell' te starten waarmee de aanvaller toegang tot de machine kreeg. Verder onderzoek wees uit dat de aanval alleen tegen bepaalde machines was gericht en de meeste machines die het had kunnen infecteren negeerde. Volgens Microsoft is er dan ook sprake van een zorgvuldig geplande aanval. De softwaregigant kon uiteindelijk alle getroffen partijen waarschuwen, alsmede het gehackte softwarebedrijf. Het is niet de eerste keer dat aanvallers via het updatekanaal toeslaan. In het verleden is deze aanvalsvector vaker gebruikt. Microsoft adviseert softwareleveranciers die een automatische updatefunctie aanbieden dan ook om altijd de digitale handtekening te controleren van bestanden die via een updatekanaal zijn gedownload en ze nooit zomaar op het systeem van gebruikers uit te voeren. bron: security.nl

Een team van beveiligingsexperts dat het wachtwoord als inlogmethode wil uitbannen heeft een alternatief genaamd Pico ontwikkeld en het nu voor het eerst op een echte website getest. Pico werd zes jaar geleden al aangekondigd en kwam drie jaar geleden ook al in het nieuws. De inlogmethode wordt met geld van de European Research Council ontwikkeld. Het laat gebruikers zonder dat die een geheim hoeven te onthouden op hun account inloggen. Het enige dat volstaat is "iets" dat de gebruiker heeft. Onlangs werd er voor het eerst een test met een grote website georganiseerd. Twaalf gebruikers van fotodeelsite Gyazo maakten gedurende twee weken van Pico gebruik. Die moesten met hun smartphone een qr-code scannen om in te loggen. Een gebruikersnaam of wachtwoord was niet vereist. De onderzoekers van de Universiteit van Cambridge en Keio University hadden op meer deelnemers aan de test gehoopt, maar zijn blij met de feedback. Deelnemers vonden het idee van Pico namelijk veiliger en eenvoudiger dan wachtwoorden. Sommige gebruikers waren echter niet blij met het scannen van de qr-code. De meeste gebruikers wilden Pico echter op meer websites kunnen gebruiken. In hun rapport over de test stellen de onderzoekers dat Pico in het geval van Gyazo weinig toegevoegde waarde had, aangezien gebruikers op deze website vanwege de lange levensduur van cookies niet vaak hun wachtwoord hoeven in te voeren. De test liet ook zien dat websites ondersteuning van Pico eenvoudig kunnen toevoegen. Zo hoefde de backend-code van Gyazo niet te worden aangepast en was alleen het toevoegen van in-page JavaScript voldoende. Daarnaast konden eindgebruikers zonder het installeren van een browserplug-in van de technologie gebruikmaken. De onderzoekers willen nu ook authenticatie via bluetooth en nfc gaan ondersteunen en Pico op meer websites uitrollen, alsmede op andere soorten systemen en fysieke apparaten. Verder willen de onderzoekers het gebruik van Pico zo laagdrempelig mogelijk maken. "Gebruikers kiezen ondanks de nadelen liever voor hetgeen dat ze kennen. Gebruikers zijn gewend aan wachtwoorden en begrijpen ze erg goed", aldus de conclusie van het rapport (pdf). Door Pico gebruiksvriendelijker en bruikbaarder te maken moet dit worden veranderd. bron: security.nl

Onderzoekers van Cisco hebben een onbekende Remote Administration Tool (RAT) ontdekt die al 3 jaar door aanvallers wordt gebruikt en allerlei informatie van besmette systemen kan stelen, zoals wachtwoorden, cookies en bestanden. De malware wordt door Cisco KONNI genoemd. In eerste instantie was de malware alleen in staat om informatie te stelen, zoals toetsaanslagen, maar de ontwikkelaar heeft de afgelopen jaren allerlei nieuwe features toegevoegd. Zo kan de malware nu lokdocumenten en -afbeeldingen tonen, screenshots maken en aanvallers willekeurige code op het systeem laten uitvoeren. Ook worden 64-bit systemen ondersteund. Sinds de malware in 2014 actief werd maken de aanvallers gebruik van de gratis hostingprovider 000webhost voor hun infrastructuur. De aanvallen beginnen met een e-mail die een src-bestand als bijlage heeft. Als gebruikers de bijlage openen wordt er een lokdocument getoond, terwijl in de achtergrond het systeem besmet raakt. Aan de hand van de gebruikte lokdocumenten stelt Cisco dat de aanvallers het op publieke organisaties hebben voorzien. De gebruikte documenten bevatten gegevens van mensen die werken voor de VN, Unicef en ambassades en organisaties die banden met Noord-Korea hebben. Wie er achter de malware zit is onduidelijk, maar de laatste aanvallen hebben een gemeenschappelijk thema. "De ontwikkelaar heeft duidelijk interesse in Noord-Korea, aangezien drie van de vier aanvalscampagnes daarmee te maken hebben", zegt onderzoeker Paul Rascagneres. Hij merkt op dat de aanvallers achter KONNI nog steeds actief zijn. bron: security.nl

Deze week werd er een ernstig beveiligingslek in de zakelijke processors van Intel onthuld, maar het bedrijf dat de kwetsbaarheid ontdekte stelt dat Intel-systemen zonder Active Management Technology (AMT) support mogelijk ook aangevallen kunnen worden. Intel AMT is een feature van Intel-processoren met Intel vPro-technologie en maakt het mogelijk om systemen op afstand te beheren. Onderzoeker Maksim Malyutin van beveiligingsbedrijf Embedi ontdekte halverwege februari in probleem in deze technologie. Intel werd vervolgens op 3 maart ingelicht. Via de kwetsbaarheid kan een aanvaller toegang tot AMT-diensten krijgen, zoals het toetsenbord, video en muis, bios-instellingen en andere zaken. In een korte blogposting over het beveiligingslek gaan de onderzoekers in op verschillende misvattingen die in de media verschenen. Zo is de kwetsbaarheid pas sinds 2010-2011 in Intel-processors aanwezig, en niet sinds 2008 zoals eerst werd gerapporteerd. Daarnaast bestempelen de onderzoekers het lek niet als een mogelijkheid om willekeurige code op systemen uit te voeren, maar als een "logische fout". Specifieke details over het probleem wil Embedi echter nog niet geven. Een ander opvallend punt in de blogpost is dat het bedrijf laat weten dat er ook een kans is dat Intel-systemen zonder AMT-support kunnen worden aangevallen. Ook in een interview met Threatpost laat Embedi-cto Dmitry Evdokimov dit weten, maar gaat hier verder niet op in. Intel heeft updates voor de kwetsbaarheid uitgebracht. Het is nu aan fabrikanten om voor hun systemen en moederborden updates uit te rollen. De AMT-diensten zijn via poort 16992 en 16993 bereikbaar. Hoewel Intel het lek deze week pas bekendmaakte, blijkt er al sinds vorige maand een stijging van het aantal poortscans op deze poorten te zijn. Evdokimov zegt hier niet op te kunnen reageren, maar stelt dat het mogelijk toeval is. bron: security.nl

Een beveiligingslek in het populaire contentmanagementsysteem WordPress maakt het mogelijk voor een aanvaller om het wachtwoord van gebruikers te resetten en in het ergste geval de e-mail met de resetlink te onderscheppen. Het probleem werd bijna een jaar geleden door onderzoeker Dawid Golunski bij WordPress gerapporteerd, maar is nog altijd niet gepatcht. Het probleem is dat een aanvaller de afzender van de resetmails die WordPress-sites versturen kan aanpassen. Zodoende kan een aanvaller voor de From- en Return-Path-velden zijn eigen domein en e-mailadres opgeven. De aanvaller moet in dit geval nog wel de resetmail in handen zien te krijgen, aangezien die nog altijd naar het e-mailadres van de WordPress-beheerder wordt gestuurd. Hiervoor schetst Golunski verschillende scenario's, zoals het uitvoeren van een dos-aanval. Door het versturen van bijvoorbeeld grote bestanden raakt de mailbox van de beheerder vol, zodat die geen nieuwe e-mails meer accepteert. De resetmail kan in dit geval worden teruggestuurd naar de afzender, wat de aanvaller is die zijn adres als afzender van de resetmail heeft opgegeven. Golunski waarschuwde WordPress vorig jaar juli al, maar het probleem is nog altijd niet verholpen. Daarop heeft hij nu zijn bevindingen openbaar gemaakt. bron: security.nl

Gebruikers van Google Docs zijn gisteren het doelwit van een zeer geraffineerde phishingaanval geworden. De phishingmail, die onder andere via gehackte accounts werd verstuurd, probeerde slachtoffers een kwaadaardige app toegang tot hun Google-account te geven. De e-mail liet gebruikers weten dat iemand een document met ze wilde delen. Zodra gebruikers op de link klikten werden ze naar een website van Google doorgestuurd om een Google-account te kiezen. Vervolgens verscheen de vraag of de gebruiker een applicatie genaamd "Google Docs" toegang tot hun Google-account wilde geven. Als gebruikers toegang gaven werd hetzelfde bericht naar hun contacten doorgestuurd. De aanvallers maakten hierbij gebruik van de authenticatiestandaard OAuth. Dit is een manier om derde partijen toegang tot de accounts van gebruikers te geven, zonder dat gebruikers hierbij hun echte wachtwoord hoeven af te staan. De derde partij krijgt in dit geval een token waarmee hij toegang tot het account krijgt. Aanvallers kunnen hier echter ook misbruik van maken. Onlangs waarschuwde anti-virusbedrijf Trend Micro nog hoe een groep cyberspionnen genaamd Pawn Storm OAuth voor soortgelijke aanvallen had gebruikt. bron: security.nl

Doen we. Veel plezier met de koptelefoon

Een forensisch onderzoeker heeft een kwetsbaarheid in Tor Browser gevonden waardoor het mogelijk is om het besturingssysteem van gebruikers te achterhalen, wat kan helpen bij het identificeren van gebruikers. Tor Browser is ontwikkeld om de privacy van gebruikers te beschermen. De browser past ook verschillende maatregelen toe om 'profiling' tegen te gaan. Onderzoeker Neil Krawetz ontdekte echter een probleem wat dit deels mogelijk maakt. Hij stelt dat er tal van attributen zijn om Tor Browser-gebruikers te identificeren. De afgelopen jaren heeft hij meerdere van deze profileringsmethoden aan het Tor Project geprobeerd te melden, maar kreeg naar eigen zeggen geen enkele reactie. Onlangs vond hij een kwetsbaarheid in Tor Browser waardoor het besturingssysteem is te achterhalen. Hij meldde ook dit probleem zonder succes, waardoor hij het nu bekend heeft gemaakt. Zo heeft de scrollbalk van Tor Browser op Windows een andere omvang dan die op Linux of Mac. Ook aan de hand van de venstergrootte kan het besturingssysteem worden achterhaald. Zelfs als een gebruiker de dikte van de scrollbalk aanpast, is dit nog steeds een onderscheidend kenmerk, laat Krawetz weten. "Je moet wel onthouden dat deze kenmerken verschillend, maar niet uniek zijn", merkt de onderzoeker op. Elke Tor Browser-gebruiker op Windows met een beeldscherm van 2048x1024 pixels heeft dezelfde attributen. Ook elke Tor Browser-gebruiker op Linux Mint en een scherm van 1280x900 pixels ziet er hetzelfde uit. "Er zijn echter niet veel mensen die hetzelfde besturingssysteem en dezelfde schermgrootte gebruiken en dezelfde websites rond hetzelfde moment bezoeken. Je zult dan ook waarschijnlijk opvallen", aldus Krawetz. In dit geval gaat het alleen om het besturingssysteem. De onderzoeker zegt tal van eigenschappen te kunnen identificeren. "Eén eigenschap is verschillend. Twee onafhankelijk eigenschappen doen je meer opvallen. Tegen de tijd dat het er een dozijn zijn, is het mogelijk verschillend genoeg om uniek te zijn", merkt de onderzoeker op. Volgens Krawetz zou het verhelpen van het nu onthulde probleem Tor Browser-gebruikers niet anoniem maken, maar is het een begin. "Hoewel ik niet verwacht dat Tor Browser alles kan anonimiseren, zou het niet eenvoudig moeten zijn om het besturingssysteem van de gebruiker te bepalen", besluit hij. bron: security.nl

Om sneller nieuwe features aan Edge toe te voegen zou Microsoft van plan zijn om de browser via de Windows Store te gaan updaten. Op dit moment wordt Edge elke maand tijdens patchdinsdag bijgewerkt, alsmede tijdens grote geplande Windows-updates, zoals de Creators Update. Bronnen laten Neowin weten dat Microsoft in september het updateproces van Edge van Windows 10 zal loskoppelen, als de volgende grote Windows 10-update verschijnt. Op deze manier kan de softwaregigant vaker nieuwe features toevoegen, zoals de concurrentie op dit moment al doet. Dit zou ervoor moeten zorgen dat meer mensen de browser gaan gebruiken. Edge heeft op dit moment onder desktopgebruikers een aandeel van 3,7 procent, aldus StatCounter, terwijl Net Applications het op 5,6 procent houdt. In Nederland zou 8 procent van de desktopgebruikers met Edge surfen. bron: security.nl

Netgear heeft beveiligingslekken in verschillende routers en switches gedicht waardoor een aanvaller in het ergste geval toegang tot de apparaten kon krijgen. Een kwetsbaarheid in de WNR2000- (v3, v4 en V5) en R2000-routers maakte het mogelijk om via de webinterface willekeurige code uit te voeren. De kwetsbaarheid kon alleen worden aangevallen als de aanvaller lokaal toegang had of als beheer op afstand stond ingeschakeld en de interface via internet was te benaderen. In het geval van de switches gaat het om een beveiligingsprobleem dat in 28 modellen aanwezig is. Via het lek kan een aanvaller allerlei opdrachten op het apparaat uitvoeren, zoals het herstarten en resetten van de switch. Volgens Netgear is de aanval alleen uit te voeren als de switch op afstand is te benaderen. Bij de meeste gebruikers zou een firewall deze toegang echter voorkomen, aldus de netwerkfabrikant. Voor zes switches zijn er nu updates verschenen. Wanneer de overige 22 modellen worden gepatcht is onbekend. Netgear adviseert de updates zo snel als mogelijk te installeren. bron: security.nl

Internetzoekmachine Shodan stond al bekend vanwege het indexeren van routers, ip-camera's, industriële systemen en andere online apparaten, maar vanaf vandaag wordt er ook actief naar botnetservers gezocht. Samen met beveiligingsbedrijf Recorded Future heeft Shodan een speciale crawler voor beveiligingsonderzoekers ontwikkeld die het internet afzoekt naar botnetservers. Het gaat in dit geval om servers waarmee besmette computers worden aangestuurd. Door het vinden van dergelijke servers kunnen aanvalscampagnes worden gestopt. Op dit moment worden voor het vinden van deze servers vaak passieve methodes gebruikt, zoals honeypots en malware-analyse. Met "Malware Hunter", zoals de nieuwe crawler wordt genoemd, biedt Shodan een actieve aanpak. Malware Hunter doet zich voor als een besmette computer die verbinding met de botnetserver probeert te maken. Aangezien het onbekend is waar de botnetserver zich bevindt zal de crawler bij elk ip-adres op internet aankloppen. Als de crawler een positieve reactie van het ip-adres terugkrijgt, gaat het om een botnetserver. Op deze manier kunnen servers en campagnes snel worden uitgeschakeld. Het zoeken naar botnetservers kan er in sommige gevallen voor zorgen dat beveiligingssoftware op gescande netwerken en ip-adressen een waarschuwing geeft dat er een aanval plaatsvindt. Volgens Shodan worden er echter geen aanvallen uitgevoerd of verzoeken met kwaadaardige content verstuurd. In het geval software toch een waarschuwing geeft gaat het om een vals alarm dat wordt veroorzaakt doordat de software signatures voor uitgaand verkeer voor inkomend verkeer gebruikt. bron: security.nl

Intel waarschuwt voor ernstig lek in processors Intel heeft een waarschuwing afgegeven voor een ernstig beveiligingslek dat sinds 2008 in processors aanwezig is en waardoor systemen op afstand kunnen worden overgenomen. Zoals gisteren al gemeld bevindt de kwetsbaarheid zich in de Intel Active Management Technology (AMT), Standard Manageability (ISM) en Small Business Technology. Volgens Intel lopen consumentencomputers met een Intel-processor geen risico. De chipgigant bevestigt dat de kwetsbaarheid zowel lokaal als op afstand kan worden aangevallen. In het geval van de Small Business Technology is de kwetsbaarheid niet op afstand aan te vallen. Intel heeft nu firmware-updates uitgebracht om het probleem te verhelpen. Deze update is nu aan fabrikanten van systemen en moederborden ter beschikking gesteld, zodat zij een patch onder hun gebruikers kunnen uitrollen. Als de fabrikant van de computer of moederbord nog geen update heeft uitgebracht kan ervoor worden gekozen om de Local Manageability Service (LMS) uit te schakelen of te verwijderen. Dit voorkomt dat een aanvaller de kwetsbaarheid kan gebruiken om systeemrechten te krijgen. In het geval computers geen Intel AMT, Intel SBA of Intel ISM ondersteunen hoeven gebruikers geen actie te ondernemen. bron: security.nl

Er is een nieuwe versie van de populaire ssh-client PuTTY verschenen waarin een beveiligingslek dat zich met dll-bestanden kon voordoen nu echt is gepatcht. Het ging om een lek in de Windows-versie waardoor er dll-bestanden vanuit de lokale directory werden geladen waar ook de PuTTY-bestanden zich bevonden. Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens PuTTY direct vanuit de downloadmap uitvoerde, werd ook het kwaadaardige dll-bestand uitgevoerd. Iets wat volgens de ontwikkelaars waarschijnlijker is dan het klinkt, aangezien sommige browsers het ooit hebben toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen. In februari verscheen er al een beveiligingsupdate voor dit probleem, maar deze update bleek de kwetsbaarheid niet geheel te verhelpen. Er waren verschillende dll-bestanden gemist waardoor de aanval nog steeds werkte. Daarnaast zorgde de bescherming tegen de eerder genoemde dll-aanval ervoor dat de Windows-versie niet meer met de Kerberos-authenticatie werkte. Ook dit probleem is nu opgelost. Gebruikers krijgen dan ook het advies om naar versie PuTTY 0.69 te updaten. bron: security.nl

Er wordt gewaarschuwd voor een ernstig beveiligingslek in computers met een Intel-processor waardoor het mogelijk zou zijn om systemen op afstand aan te vallen. Dat claimt technologiesite SemiAccurate. Het probleem zou aanwezig zijn in de Management Engine (ME) van de Intel-processor. De ME is een subsysteem dat uit een losse processor bestaat en is aanwezig in elke Intel-processor vanaf 2008 tot en met Kaby Lake, het nieuwste model. Het heeft toegang tot het netwerk, het besturingssysteem, het geheugen en de cryptografische engine. De ME kan zelfs op afstand worden gebruikt als de computer is uitgeschakeld en is in staat om schijfversleuteling te omzeilen. De kwetsbaarheid is volgens SemiAccurate aanwezig in de ME-firmware vanaf versie 6.0-11.6. Details zijn nog niet vrijgegeven, behalve dat de kwetsbaarheid op afstand is te misbruiken als de Intel Active Management Technology (AMT) staat ingeschakeld. In het geval AMT niet staat ingeschakeld is het lek nog steeds lokaal aan te vallen. "Het is niet mogelijk om een beheerde pc of server te beschermen totdat er een patch is", aldus Charlie Demerjian van SemiAccurate. Demerjian vermoedt dat de kwetsbaarheid al actief in "het wild" wordt aangevallen, maar bewijs hiervoor wordt niet gegeven. Intel heeft op 25 april een firmware-update uitgebracht. Nu is het aan fabrikanten om een update voor hun systemen en moederborden uit te rollen. Pas eind juni zal er meer informatie over het probleem worden vrijgegeven. In de tussentijd wordt aangeraden Intel AMT, Intel Server Management Software (ISM) en Intel Small Business Technology (SBT) uit te schakelen. bron: security.nl

Europol heeft vandaag nieuwe bevoegdheden tegen cybercrime, terrorisme en andere misdrijven gekregen. De nieuwe regelgeving introduceert een aantal veranderingen binnen de structuur van de opsporingsdienst en de manier waarop het werkt. Door de bevoegdheden kan Europol in sommige gevallen direct informatie met bedrijven uitwisselen. In het geval van bijvoorbeeld IS-pagina's op Facebook kan Europol vragen om die te laten verwijderen. Op deze manier moet de verspreiding van terroristische propaganda sneller worden tegengegaan. Verder zorgen de nieuwe regels ervoor dat EU-lidstaten verplicht worden om Europol van gegevens te voorzien die de opsporingsdienst wil hebben. Ook zorgt de regelgeving ervoor dat Europol sneller gespecialiseerde eenheden kan opzetten om op terroristische dreigingen te reageren. Volgens de opsporingsdienst gaan de nieuwe bevoegdheden "hand in hand" met versterkte databeschermingsmaatregelen, democratische controle en parlementair toezicht. De Europese Databeschermingsautoriteit (EDPS) zal toezien op de activiteiten van Europol en er is een klachtenprocedure waar burgers kunnen aankloppen. Daarnaast zal het werk van Europol door een aparte groep, bestaande uit leden van nationale parlementen en Europarlementariërs, worden gecontroleerd. bron: security.nl

Google gaat gebruikers van een 32-bit versie van Chrome op een 64-bit versie van Windows automatisch naar een 64-bit versie van de browser updaten, zo heeft de internetgigant bekendgemaakt. Het gaat dan om gebruikers met minimaal 4GB geheugen en zoals gezegd een 64-bit versie van het besturingssysteem. Ook moeten deze gebruikers de automatische updatefunctie hebben ingeschakeld, wat standaard bij Chrome het geval is. Volgens Google moet de overstap naar 64-bit de stabiliteit, prestaties en veiligheid ten goede komen. Google heeft de maatregel nu al voor de bètaversie doorgevoerd. De 32-bit versie van Chrome zal wel nog via de downloadpagina van de browser te downloaden zijn. bron: security.nl

Vorig jaar zijn ruim 6000 Belgen het slachtoffer van ransomware geworden, zo heeft de Federal Computer Crime Unit (FCCU) van de Belgische Federale Politie bekendgemaakt. In 2015 werden er nog 275 besmettingen gerapporteerd, het jaar daarna was dit naar ruim 6200 opgelopen. De FCCU en het Belgische Federaal Cyber Emergency Team hebben zich nu bij het No More Ransom-project van Europol, de Nederlandse politie en beveiligingsbedrijven Intel Security en Kaspersky Lab aangesloten. Via de website worden voor verschillende ransomware-exemplaren gratis decryptietools aangeboden, zodat slachtoffers kosteloos hun bestanden kunnen terugkrijgen. Sinds de start van het project zijn meer dan 75.000 mensen geholpen. Het Belgische Centrum voor Cybersecurity (CCB) heeft bovendien een document gepubliceerd met informatie over hoe internetgebruikers zich beter tegen ransomware kunnen beschermen pdf. Het document bevat maatregelen om een infectie te voorkomen, zoals het updaten van software en het alert zijn op ongevraagde e-mails. Daarnaast wordt er advies gegeven wat slachtoffers in het geval van een ransomware-infectie kunnen doen. Het betalen van het gevraagde losgeld wordt afgeraden. "Er is geen enkele garantie dat na betaling de versleutelde bestanden opnieuw toegankelijk worden. De betaling gebeurt immers aan (onbetrouwbare) cybercriminelen. Betalen impliceert tevens het steunen van een criminele organisatie waardoor cybercriminelen een drijfveer hebben om hun illegale activiteiten verder te zetten", zo laat het document weten. bron: security.nl

Ik vermoed dat je desktop niet een speciaal slot heeft voor je nieuwe HD. Je kunt even bij een computerwinkel kijken voor een speciaal soort slee welke past in je HD-ruimte in je desktop en waarop je je 2.5inch kunt bevestigen. Onderstaande video geeft je een idee over hoe je dit zou kunnen doen.

Is hiermee je vraag beantwoord? Zo ja, dan zet ik dit topic op slot.