Captain Kirk

Beste Swat, welkom hier op het forum. Kun je voor ons de foutmelding hier plaatsten zodat de specialisten beter kunnen bekijken wat er aan de hand is?

De aankomende versie van Windows 10 heeft een feature die vooral bedrijven met slecht oplettende gebruikers van pas gaat komen: automatische vergrendeling van het systeem als de gebruiker niet meer wordt gedetecteerd. Volgens Windows Central heet de feature intern 'Windows Goodbye' als verwijzing naar authenticatiemiddel Windows Hello, maar heet de optie in de Insider-build Dynamic Lock. Die vergrendeling gebeurt niet overigens direct (met false positives in detectie en ergernis als gevolg) maar wordt waarschijnlijk gecombineerd met een inactivititeitsprocedure. Automatische vergrendeling is vooral in zakelijke omgevingen een wens van IT, hoewel het vaak wordt gehaat door gebruikers. Bij een bedrijf dat ik ken klaagden gebruikers over het feit dat de pc bij vijf minuten inactiviteit werd vergrendeld en ze daarna opnieuw het wachtwoord moesten ingeven. Een klacht waar de informatiebeveiliger raar van opkeek: "Dat is ook precies de bedoeling." De nieuwe feature wordt waarschijnlijk toegevoegd aan de nieuwe officiële update van Windows 10, de zogenoemde Creators Update, die dit voorjaar moet verschijnen. bron: Webwereld.nl

Microsoft gaat het nieuwe updatemodel dat het eind vorig jaar voor bedrijven met Windows 7 en 8.1 introduceerde alweer wijzigen, zo heeft de softwaregigant aangekondigd. Het nieuwe updatemodel bestond uit een enkele beveiligingsupdate die maandelijks werd aangeboden en alle security-fixes van die maand bevatte. Daarnaast verschenen de "maandelijkse rollup" en de "preview rollup". De maandelijkse rollup bevatte alle beveiligingsupdates van de betreffende maand en de maanden daarvoor. Als laatste was er de preview rollup die een vooruitblik bevatte van alle niet-security gerelateerde fixes die de volgende maand zouden uitkomen en alle fixes van de vorige rollups bevatte. De security-only update en de maandelijkse rollup werden via Windows Server Update Services (WSUS) en de Windows Update Catalogus aangeboden. Dit model gaat Microsoft nu vereenvoudigen. Daarnaast worden er aanpassingen doorgevoerd om de updates kleiner te maken. Zo gaat Microsoft de security-only update niet meer aanbieden op computers waar de maandelijkse rollup van dezelfde maand of later al is geïnstalleerd. Daarnaast bevatte de security-only update ook beveiligingsupdates voor Internet Explorer. Die zorgden er echter voor dat de updates een stuk groter werden. Volgens Microsoft kozen bedrijven juist voor de security-only update vanwege de kleine omvang van de updates. Daarom gaat Microsoft de IE-updates uit de security-only update halen. De IE-update kan nog wel los door bedrijven worden gedownload en bevindt zich ook in de maandelijkse rollup. Deze aanpassing gaat vanaf volgende maand in. Voor thuisgebruikers verandert er niets, aangezien die de maandelijkse rollup standaard via Windows Update binnenkrijgen. bron: security.nl

De beveiliging van Windows 7 is niet meer voldoende omdat het op een verouderd fundament is gebaseerd, zo heeft Microsoft Duitsland laten weten. Microsoft stuurde een persbericht waarin het al afscheid neemt van Windows 7, ook al ontvangt het besturingssysteem tot 2020 nog beveiligingsupdates. Dat meldt het Duitse Heise. Volgens Microsoft is het afscheid van Windows 7, na meer dan 10 jaar op de markt te zijn geweest, een logische beslissing omdat het op verouderde beveiligingsarchitecturen is gebaseerd. "Windows 7 was de eerste stap op weg naar de cloud. Tegenwoordig kan Windows 7 niet meer aan de verhoogde beveiligingseisen voldoen", aldus de softwaregigant. Het gebruik van Windows 7 zou daarnaast voor extra kosten zorgen. Het gaat dan bijvoorbeeld om productiviteitsverlies door malware-aanvallen en extra onderhoud dat moet worden uitgevoerd. Verder zijn veel hardwarefabrikanten met het ondersteunen van Windows 7 gestopt, stelt Microsoft verder. Daardoor worden nieuwe apparaten zoals printers niet meer herkend. Zo is Windows 10 de enige versie die met de nieuwste Intel- en AMD-processoren wordt ondersteund. "Windows 7 begint langzaamaan te verouderen. Het voldoet niet meer aan de vereisten voor moderne technologie of de beveiligingseisen van it-afdelingen", zegt Markus Nitschke, hoofd van Microsoft Duitsland. Hij adviseert bedrijven om tijdig over te stappen, om problemen zoals met Windows XP te voorkomen. Microsoft stelt verder dat door het principe van "Windows as a Service" Windows 10 altijd up-to-date en veilig is. Met de Creators Update voor Windows 10, die deze lente uitkomt, worden daarnaast allerlei nieuwe beveiligings- en beheerfuncties toegevoegd. Volgens StatCounter heeft Windows 7 wereldwijd nog een marktaandeel van 40 procent, terwijl Net Applications het op 48 procent houdt. In Nederland draait Windows 7 nog op ruim 25 procent van de computers, aldus StatCounter. bron: security.nl

Onderzoekers hebben een zeer efficiënte webtracker ontwikkeld die in staat is om gebruikers over meerdere browsers op hetzelfde systeem met grote nauwkeurigheid te volgen. Hiervoor worden naar eigenschappen van het besturingssysteem en de hardware gekeken, zoals processor en videokaart. De aanpak van de onderzoekers maakt het mogelijk om 99,24 procent van de gebruikers te identificeren, tegenover 90,84 procent voor een webtracker die op een enkele browser is gericht en van dezelfde dataset gebruikmaakt. Webtrackers, zoals cookies, user-agent en andere technieken, worden vooral gebruikt voor het volgen van internetgebruikers om zo gepersonaliseerde advertenties te laten zien. De eerste generatie webtrackers gebruikte voornamelijk cookies, terwijl de tweede generatie zich vooral op geïnstalleerde plug-ins en user-agent richt. Onderzoekers van twee Amerikaanse universiteiten wilden een nieuwe "2.5" generatie webtracker ontwikkelen die gebruikers over meerdere browsers op hetzelfde systeem kan volgen. Het gebruik van verschillende browsers wordt regelmatig aangeraden en een groot aantal internetgebruikers heeft meerdere browsers op de computer geïnstalleerd en maakt hier ook gebruik van. Voor hun aanpak maken de onderzoekers gebruik van eigenschappen van het besturingssysteem en hardware. Veel van deze eigenschpapen, zoals bijvoorbeeld de processor, videokaart of geinstalleerde scripts, zijn via JavaScript voor de browser benaderbaar. De webtracker laat de browser vervolgens bepaalde taken uitvoeren waarbij JavaScript de hardware of scripts van het systeem aanroept. Het resultaat maakt het mogelijk om gebruikers over meerdere browsers te volgen, omdat het systeem en de hardware nog steeds hetzelfde zijn. Een bekende browser die allerlei maatregelen tegen webtrackers en fingerprinting heeft geïmplementeerd is Tor Browser. De webtracker van de onderzoekers bleek alleen in staat om schermbreedte en hoogteratio en audiocontextgegevens te kunnen verzamelen, zoals sample rate. Iets dat de Tor Browser-ontwikkelaars eenvoudig kunnen verhelpen, zo stellen de onderzoekers. Verder staat in Tor Browser standaard de Canvas-programmeerinterface uitgeschakeld, waarmee gebruikers ook zijn te volgen. Als mogelijke oplossing voor dergelijke webtrackers bespreken de onderzoekers het gebruik van een virtual machine waarbij de browseruitvoer altijd hetzelfde is, ongeacht het onderliggende systeem. Het onderzoek "(Cross-)Browser Fingerprinting via OS and Hardware Level Features" (pdf) wordt eind februari tijdens het Network and Distributed System Security Symposium (NDSS) in San Diego besproken. bron: security.nl

Microsoft heeft een nieuwe versie van de gratis Windows-beveiligingstool EMET uitgebracht die een aantal kleine verbeteringen bevat. EMET staat voor Enhanced Mitigation Experience Toolkit (EMET) en voegt een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toe. Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Ook kan EMET systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. De beveiligingstool wordt dan ook door menig expert en organisatie aangeraden. Microsoft is ondanks kritiek van beveiligingsexperts van plan om de ondersteuning van EMET op 31 juli 2018 stop te zetten. In de tussentijd zullen er echter nog steeds updates voor de beveiligingstool verschijnen, zoals de nu verschenen versie 5.52. In deze versie zijn verschillende bugs opgelost die voor vastlopers of andere problemen konden zorgen. Microsoft spreekt dan ook over een kleine update. bron: security.nl

Microsoft heeft een nieuwe testversie van Windows 10 uitgerold waarin het inloggen via gezichtsherkenning is verbeterd. Windows 10 beschikt over Windows Hello, dat gebruikers via biometrische kenmerken zoals vingerafdruk of gezichtsscan laat inloggen. Om het inloggen via de gezichtsscan te verbeteren is er aan de nieuwste testversie van Windows 10 een visuele indicator toegevoegd die het gezicht van de gebruiker in realtime volgt en feedback geeft voor het instellen van het gezicht als inlogmiddel. Daarnaast laat Microsoft weten dat er bijna 100 apparaten zijn die het biometrisch inloggen via Windows Hello ondersteunen. Biometrisch inloggen is volgens Microsoft veiliger dan inloggen via een wachtwoord en zou ook een stuk gebruiksvriendelijker zijn. bron: security.nl

Browserontwikkelaar Opera heeft een experimentele browser genaamd "Neon" gelanceerd om een idee te geven hoe browsers er in de toekomst kunnen uitzien. Volgens het bedrijf zijn de browsers van dit moment "niet meer zo fris". Verschillende onderdelen van de huidige browsers stammen nog uit de tijd dat het internet vooral uit documenten en tekstpagina's bestond. Het web is echter aan het veranderen en ook de verwachting van mensen hoe websites zich moeten gedragen, aldus Opera. Om het idee dat Opera over de browser van de toekomst heeft te verwezenlijken is Neon ontwikkeld. De browser is op de Blink-engine gebouwd die ook door Chrome en Opera wordt gebruikt. Neon zou echter van de grond af zijn opgebouwd. Het gaat dan vooral om visuele aanpassingen en effecten. Daarnaast mist Neon verschillende beveiligingsopties die Opera wel heeft, zoals een vpn en een ingebouwde adblocker. "De reden hiervoor is simpel, Opera Neon is een conceptbrowser bedoeld om mee te experimenteren en te spelen", zo laat Krystian Kolondra van Opera weten. Hij merkt op dat Neon niet bedoeld is om de huidige versie van Opera te vervangen. Toch zullen verschillende van de nieuwe features van Neon dit jaar aan Opera worden toegevoegd. Neon is te downloaden voor Mac en Windows. bron: security.nl

Na vier jaar in ontwikkeling te zijn geweest heeft de desktopversie van de versleutelde chat-app Telegram versie 1.0 bereikt en zou volgens de ontwikkelaars nu e-mail kunnen ontvangen. In 2013 verscheen de eerste versie van Telegram Desktop, dat gebruikers achter hun pc via Telegram laat communiceren. Alle gesprekken via Telegram Desktop worden automatisch gesynchroniseerd met de telefoon, wat ook geldt voor verstuurde documenten, video's en foto's. Hiervoor wordt gebruik gemaakt van de "versleutelde cloud" van Telegram. Daarnaast kan via de optie "Cloud Drafts" al op de telefoon met het maken van een bericht worden begonnen om die op de desktop af te maken. "Wie heeft er nu nog e-mail nodig? Telegram Desktop is vele malen sneller en kan probleemloos bijlagen verwerken", aldus de ontwikkelaars. Telegram Desktop is er voor Linux, Mac en Windows. bron: security.nl

Beveiligingsbedrijf Symantec gaat het programma waarmee het websites gratis ssl-certificaten aanbiedt ook in de Benelux uitrollen. Vorig jaar kondigde het bedrijf "Encryption Everywhere" aan, dat vooral gericht is op hostingproviders. Die kunnen het binnen hun eigen platformen en beheerpanelen integreren. Klanten van de provider kunnen vervolgens via één muisklik een ssl-certificaat aanvragen en laten installeren. Sinds de lancering van het programma zijn er volgens Symantec voor 57 miljoen websites certificaten uitgegeven. In de Benelux zal Encryption Everywhere door de Nederlandse aanbieder van ssl-certificaten Xolphin worden verzorgd. Een standaard ssl-certificaat zal via Encryption Everywhere kosteloos kunnen worden aangevraagd. Voor meer opties, zoals extended validation (EV) certificaten of wildcardcertificaten, die voor meerdere subdomeinen gelden, moet worden betaald. Het aanbieden van gratis ssl-certificaten volgt op het succes van Let's Encrypt. Een initiatief waar eigenaren van een website zelf een ssl-certificaat kunnen aanvragen en dat inmiddels zo'n 22 miljoen certificaten heeft uitgegeven. bron: security.nl

Certificaatautoriteit GoDaddy heeft zo'n 9000 ssl-certificaten die het heeft uitgegeven ingetrokken omdat tijdens de uitgifte het domein waarvoor het certificaat was bedoeld niet werd gecontroleerd, zo heeft het bedrijf bekendgemaakt. Volgens GoDaddy gaat het om een bug in het uitgiftesysteem die eind juli vorig jaar werd geïntroduceerd en deze week werd verholpen. In totaal zijn door de programmeerfout ruim 6.000 klanten gedupeerd. Bij het aanvragen van een certificaat kijkt de certificaatautoriteit of de aanvrager van het certificaat ook de eigenaar van het domein is. Hiervoor wordt er een unieke code naar de eigenaar gestuurd die hij ergens op zijn webserver moet plaatsen. De certificaatautoriteit controleert of deze code aanwezig is en verstrekt vervolgens het certificaat. Door de programmeerfout gaven bepaalde webserverconfiguraties een positief resultaat terug, ook al was de code niet aanwezig. Na de ontdekking heeft GoDaddy alle 8951 certificaten waarvan de code niet was gecontroleerd ingetrokken. Daardoor kunnen internetgebruikers bij het bezoeken van deze websites een waarschuwing van hun browser krijgen. Voor gedupeerde klanten heeft GoDaddy al een nieuw certificaat aangevraagd. Klanten moeten nog wel op hun GoDaddy-account inloggen en het certificaatproces opnieuw starten en doorlopen. Tevens heeft het bedrijf een rapport over het incident gepubliceerd. bron: security.nl

Tijdens de patchdinsdag van januari heeft Microsoft slechts drie patches voor de eigen software uitgebracht die in totaal drie kwetsbaarheden verhelpen. Het is lange tijd geleden dat Microsoft zo weinig beveiligingslekken tijdens een geplande patchronde heeft gedicht. De beveiligingslekken bevonden zich in Edge, Office en SharePoint en Windows. In het geval van Edge kon een aanvaller via de kwetsbaarheid zijn rechten binnen de browser verhogen. Het beveiligingslek in Office 2016 en SharePoint Enterprise Server 2016 liet een aanvaller willekeurige code op het systeem uitvoeren als er een kwaadaardig document werd geopend. Het derde en laatste lek in Windows maakte een denial of service mogelijk. De kwetsbaarheden in Edge en Windows waren al bekend voordat de beveiligingsupdates beschikbaar waren, maar zijn volgens Microsoft niet actief in het wild aangevallen. Naast de de drie patches voor de eigen software publiceerde Microsoft ook een beveiligingsupdate voor de embedded Flash Player in Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Vorig jaar bracht Microsoft in totaal 155 beveiligingsupdates uit. bron: security.nl

De beveiligingsupdate die Adobe gisteren uitbracht voor ernstige beveiligingslekken in Adobe Acrobat en Adobe Reader blijkt ook stilletjes een Chrome-extensie te installeren, tot onvrede van veel gebruikers. Zowel gebruikers op Twitter, Reddit als het forum van Adobe zelf klagen over de werkwijze. De extensie, die ook via de Chrome Web Store is te downloaden, laat gebruikers pdf-bestanden met Adobe Reader of Acrobat openen en websites als pdf-bestand opslaan. Omdat de extensie in dit geval via de beveiligingsupdate van Adobe stilletjes wordt geïnstalleerd krijgen gebruikers bij het starten van Chrome eerst de vraag of ze de extensie ook willen inschakelen. Dit is een maatregel die Google aan Chrome heeft toegevoegd om de automatische activatie van kwaadaardige extensies te voorkomen. De Adobe-extensie vraagt daarbij toegang om alle gegevens op bezochte websites te lezen en aan te passen, downloads van de gebruiker te beheren en met andere applicaties te communiceren. De extensie vraagt ook om gebruiksinformatie naar Adobe terug te sturen. Beveiligingsexperts waarschuwen systeembeheerders dan ook om actie te ondernemen en ervoor te zorgen dat de Chrome-extensie niet geïnstalleerd wordt. Meer dan 10 miljoen gebruikers hebben de extensie echter al geïnstalleerd, zo blijkt uit cijfers van Google. bron: security.nl

Microsoft gaat Windows 10 van nieuwe privacyinstellingen voorzien die gebruikers meer controle moeten geven over de gegevens die het besturingssysteem verzamelt. Afhankelijk van de gekozen instelling zal Windows 10 ook minder data gaan verzamelen, zo heeft Microsoft bekendgemaakt. Volgens de softwaregigant komt het hiermee tegemoet aan "feedback" van gebruikers. Al sinds de lancering krijgt Windows 10 felle kritiek wegens de standaardinstellingen en gegevens die worden verzameld. In de volgende grote Windows-update voert Microsoft verschillende aanpassingen door. Zo zal de "Express-instelling" bij het installeren van Windows 10 worden vervangen door een nieuwe "installatie-ervaring" waarbij de gebruiker al de belangrijkste instellingen kan kiezen. Verder wordt ook het verzamelen van gegevens in Windows 10 aangepast. Voorheen gebruikte Microsoft hiervoor drie niveaus, dat worden er nu twee, namelijk Basic en Full. Op het Basic-niveau worden daarnaast minder gegevens verzameld. Naast de nieuwe privacyinstellingen voor Windows 10 heeft Microsoft ook een privacydashboard gelanceerd voor internetgebruikers met een Microsoft-account. Via dit dashboard kunnen gebruikers "activiteitsgegevens" beheren die door verschillende Microsoft-diensten worden gebruikt, zoals locatiegegevens, zoekopdrachten, surfgeschiedenis en Cortana-gegevens. Het dashboard is nu al beschikbaar. De nieuwe privacyinstellingen voor Windows 10 verschijnen met de Creators Update die mogelijk in april van dit jaar verschijnt. bron: security.nl

Adobe heeft vandaag beveiligingsupdates uitgebracht die meerdere ernstige beveiligingslekken in Flash Player, Acrobat en Adobe Reader verhelpen. Via de kwetsbaarheden kon een aanvaller in het ergste geval het onderliggende systeem volledig overnemen. In het geval van Flash Player was het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Office-document met een embedded Flash-object voldoende. De beveiligingsupdate voor Flash Player lost in totaal 13 kwetsbaarheden op waarvan er 12 een aanvaller willekeurige code op het systeem lieten uitvoeren. Het dertiende beveiligingslek maakte het voor een aanvaller mogelijk om informatie te achterhalen. Voor zover bekend zijn nog geen van de kwetsbaarheden in het wild aangevallen. Adobe adviseert gebruikers om binnen 72 uur naar Flash Player versie 24.0.0.194 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe Reader In Adobe Reader en Acrobat zijn in totaal 29 kwetsbaarheden verholpen, waarvan er 28 als ernstig zijn aangemerkt. Via deze beveiligingslekken kon een aanvaller, als er een kwaadaardig pdf-document werd geopend, willekeurige code uitvoeren. De resterende kwetsbaarheid maakte het mogelijk om de beveiliging van de pdf-lezers te omzeilen. Gebruikers krijgen het advies om naar Acrobat DC of Acrobat Reader versie 15.023.20053, Acrobat DC of Acrobat Reader DC Classic versie 15.006.30279 of Acrobat XI of Adobe Reader XI versie 11.0.19 te updaten. Dit kan via de automatische updatefunctie van de pdf-lezer of de website van Adobe. bron: security.nl

De Duitse geheime dienst wil kunnen terugslaan bij cyberaanvallen, zoals het verwijderen van gestolen data op servers die de aanvallers gebruiken of het uitschakelen van systemen. Dat laat Hans-Georg Maassen, hoofd van de Duitse binnenlandse veiligheidsdienst BfV tegenover het persbureau dpa weten. "We denken dat het noodzakelijk is om niet alleen defensief bezig te zijn, maar de vijand ook te kunnen aanvallen zodat hij stopt met verdere aanvallen tegen ons." Eerder opperde de Duitse minister van Binnenlandse Zaken al dat Duitse diensten de bevoegdheid moeten krijgen om cyberaanvallen actief te kunnen bestrijden. Maassen is het hiermee eens. Op dit moment kan de BfV gegevens die zijn gestolen en door de aanvallers op een server worden bewaard niet verwijderen. "Er is dus een groot risico dat naast de aanvaller derde partijen deze gegevens kunnen benaderen", merkt Maassen op. In dit geval zouden de Duitse autoriteiten over de juridische autoriteit moeten beschikken om de gegevens te verwijderen. Verder pleit het hoofd van de Duitse binnenlandse veiligheidsdienst ook voor wetgeving om systemen uit te schakelen die een serieuze bedreiging voor de cyberveiligheid vormen. bron: security.nl

Een database met de gegevens van 3,3 miljoen Hello Kitty-fans die eind 2015 onbeveiligd op internet werd aangetroffen blijkt toch te zijn gestolen en is nu online verschenen. De database bevatte allerlei persoonlijke gegevens, waaronder de data van 186.000 kinderen, en was voor iedereen toegankelijk. Het bleek om een onbeveiligde MongoDB-database te gaan. Een probleem dat op dit moment ook nog steeds speelt. Het Japanse bedrijf Sanrio, dat eigenaar van Hello Kitty is, stelde dat het om een misconfiguratie van de databaseserver ging en had na de publicatie door de beveiligingsonderzoeker het probleem opgelost. Ook liet het bedrijf weten dat er geen aanwijzingen waren dat de gegevens waren gestolen. Dat lijkt nu toch het geval te zijn, want de website LeakedSource heeft de gegevens van 3,3 miljoen Hello Kitty-fans aan de eigen database van datalekken toegevoegd. Het gaat om voor- en achternaam, geboortedatum, geslacht, nationaliteit, e-mailadres, gebruikersnaam, een met sha-1 gehasht wachtwoord en een geheime vraag en antwoord, zo meldt CSO Online. Ten tijde van het datalek adviseerde Sanrio gebruikers om hun wachtwoord aan te passen, alsmede op andere websites waar ze hetzelfde wachtwoord gebruikten. Het is echter onbekend hoeveel gebruikers het advies hebben opgevolgd. bron: security.nl

Een coalitie van Amerikaanse techbedrijven, waaronder Apple en Google, steunen de strijd van Facebook tegen de zwijgbevelen die de Amerikaanse overheid aan techbedrijven oplegt als er data van gebruikers worden opgevraagd. In deze gevallen mogen de techbedrijven hun gebruikers hier niet over inlichten. Facebook spande tegen deze zwijgbevelen en een huiszoekingsbevel waarmee de gegevens van bijna 400 Facebookgebruikers worden opgevraagd een rechtszaak aan. De sociale netwerksite wordt gesteund door een coalitie van techbedrijven die een 'amicus curiae brief' naar de rechter hebben gestuurd. Amicus curiae, wat staat voor 'vrienden van de rechtbank', betreft organisaties en personen die geen partij zijn in een zaak, maar gevraagd of ongevraagd hun mening of advies over een zaak aan de rechtbank geven. "In dit geval stelt de overheid dat Facebook geen juridisch recht heeft om zelfs de reikwijdte van het bevel of de legitimiteit hiervan aan te vechten, en een lagere rechtbank is hiermee akkoord gegaan. Dit zou inhouden dat bedrijven zoals Mozilla onrechtmatige bevelen niet kan aanvechten. En omdat zwijgbevelen ervoor zorgen dat wij gebruikers niet kunnen waarschuwen, kunnen ook deze gebruikers ze niet aanvechten. Onrechtmatige bevelen worden nooit openbaar of zichtbaar voor gebruikers. Dit is verbijsterend en onacceptabel", aldus Mozilla's Denelle Dixon-Thayer. Ze zegt dat Mozilla nog geen zwijgbevel heeft ontvangen waardoor het gebruikers niet mag informeren over een overheidsverzoek om hun gegevens. Toch hekelt Mozilla deze werkwijze van de Amerikaanse overheid. Eerder had de opensource-ontwikkelaar al aangegeven om zich tegen te brede dataverzoeken te gaan verzetten. Zo steunden Mozilla en andere techbedrijven in september vorig jaar ook een rechtszaak van Microsoft tegen de zwijgbevelen van de Amerikaanse overheid. bron: security.nl

Microsoft heeft een nieuwe testversie van Windows 10 uitgerold waarin Edge standaard Flash Player blokkeert en pas via een extra muisklik zal inschakelen. Volgens de softwaregigant moet dit de veiligheid, stabiliteit en prestaties van de browser verbeteren. Vorige maand kondigde Microsoft al aan dat Edge standaard Flash Player gaat blokkeren. Op websites die html5 ondersteunen zal Flash Player niet meer geladen worden. In het geval een website nog wel van Flash afhankelijk is krijgen gebruikers een melding te zien of ze Adobe Flash-content willen uitvoeren of niet. Microsoft hanteert een whitelist van populaire websites waarvoor het nieuwe beleid niet meteen zal gelden. Wanneer de maatregel in de definitieve versie van Windows 10 wordt doorgevoerd is nog onduidelijk. Microsoft zegt dat het de komende testversies de melding aan gebruikers om Flash Player in te schakelen verder wil verbeteren. De optie is nu al te testen in Windows 10 Insider Preview Build 15002. bron: security.nl

In 2016 jaar is het fundament voor een volledig versleuteld web gelegd, zo stelt Let's Encrypt, een initiatief van de Internet Security Research Group (ISRG) dat wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken. Sinds de lancering ruim een jaar geleden heeft Let's Encrypt 21,7 miljoen certificaten uitgegeven die worden gebruikt om het verkeer van en naar zo'n 24 miljoen websites te versleutelen. Begin vorig jaar was het rootcertificaat van Let's Encrypt nog niet door grote rootprogramma's geaccepteerd. Dit is nodig om ervoor te zorgen dat uitgegeven ssl-certificaten automatisch door browsers worden herkend. Inmiddels is het rootcertificaat van Let's Encrypt door Apple, Google en Mozilla geaccepteerd. "En we zullen binnenkort de acceptatie door een ander groot rootprogramma aankondigen. Dit zijn belangrijke stappen om als een onafhankelijke certificaatautoriteit te kunnen werken", zegt Josh Aas, directeur van het ISRG in een terugblik op 2016 en vooruitblik op dit jaar. Voor 2017 verwacht Aas een nog grotere groei. "Het fundament voor een volledig versleuteld web is dit jaar gelegd." Zo zijn er steeds meer hostingproviders die hun klanten eenvoudig https laten inschakelen. Daarnaast zijn browserfabrikanten bezig om allerlei aanpassingen aan de interface van hun browser door te voeren om gebruikers voor onversleutelde http-websites te waarschuwen. Zo toont Google Chrome nu bij https-websites het label "veilig" en wil de internetgigant in de toekomst http-websites standaard als "onveilig" bestempelen. bron: security.nl

Richard Stallman, oprichter van de Free Software Foundation en de man achter het GNU Project, claimt dat Windows een universele backdoor bevat. Hij doelt daarmee op de automatische updatefuntie. Op zijn eigen website geeft Stallman regelmatig kritiek op grote bedrijven zoals Apple, Google en Facebook. In korte artikelen geeft hij redenen waarom deze bedrijven vermeden moeten worden. Microsoft is het laatste bedrijf dat Stallman op de korrel neemt. In totaal geeft hij zes redenen waarom producten van Microsoft niet moeten worden gebruikt. "Microsofts grootste fout is het verspreiden van een niet-vrij besturingssysteem, Windows. Dat systeem zit boordevol kwaadaardige functionaliteit, zoals surveillance van gebruikers, DRM, censuur en een universele backdoor", aldus Stallman. Hij wijst daarbij naar een link op GNU.org waar staat dat de software van Microsoft malware is. Zo heeft Microsoft de eigen schijfversleuteling van een backdoor voorzien, laat Stallman weten. Hij wijst naar een artikel van The Intercept dat Windows 10 de herstelsleutel van versleutelde systemen in de cloud bewaart als gebruikers met hun Microsoft-account inloggen. Ook heeft Stallman kritiek op de automatische updatefunctie. Volgens de softwareactivist is dit een universele backdoor waarmee Microsoft allerlei veranderingen bij gebruikers kan doorvoeren. "In Windows 10 is de universele backdoor niet eens meer verborgen. Alle "upgrades" worden meteen opgedrongen", aldus Stallman. Verder hekelt hij de manier waarop Microsoft Windows 10 verspreidde en dat het bedrijf fabrikanten onder druk zou zetten om bij elke verkochte computer voor een Windowslicentie te betalen. bron: security.nl

Wifi-versterkers van fabrikant Edimax die ook in Nederland worden verkocht bevatten verschillende kwetsbaarheden waardoor ze het opgeslagen wifi-wachtwoord kunnen lekken, zo waarschuwen beveiligingsonderzoekers. Het gaat om de Edimax Wi-Fi Extender EW-7438RPn Mini en de EW-7238RPD. Een aanvaller die het slachtoffer naar een kwaadaardige website weet te lokken kan het wachtwoord stelen. Voorwaarde is wel dat gebruikers het wachtwoord van de wifi-versterker in hun browser hebben opgeslagen. Dat laat het Britse beveiligingsbedrijf Pen Test Partners weten. Voor het uitvoeren van de aanval maakten de onderzoekers van verschillende kwetsbaarheden gebruik, zoals cross-site scripting (xss) en cross-site request forgery (xsrf). Edimax heeft geen maatregelen genomen om deze kwetsbaarheden tegen te gaan. De onderzoekers adviseren de fabrikant dan ook om maatregelen tegen xsrf en xss te nemen. Daarnaast moet het wachtwoord niet in de webinterface worden getoond, zo stellen ze. "En zorg ervoor dat cryptografisch gesigneerde updates automatisch worden gedownload en geïnstalleerd", aldus de oproep van de onderzoekers aan Edimax en andere fabrikanten. Edimax werd eind augustus vorig jaar over de problemen ingelicht, maar de onderzoekers hebben nooit een reactie ontvangen of en wanneer een update gereed zou zijn. bron: security.nl

Ontwikkelaar van databasesoftware MongoDB heeft beheerders en gebruikers gewaarschuwd voor aanvallers die databases voor losgeld gijzelen. De afgelopen dagen hebben verschillende groepen aanvallers meer dan 11.000 databases van websites en organisaties gegijzeld. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Veel van deze databases zijn zonder wachtwoord benaderbaar. De aanvallers kunnen zo de inhoud van de database kopiëren en die vervolgens in de originele database vervangen door een boodschap dat er betaald moet worden om de kopie terug te krijgen. Het gaat om bedragen van tussen de 0,1 en 0,5 bitcoin, wat met de huidige wisselkoers 90 tot 450 euro is. Onderzoeker Niall Merrigan heeft op Google Docs een overzicht van de verschillende groepen aanvallers en het aantal slachtoffers geplaatst. Inmiddels zijn 11.397 databases gehackt. In de waarschuwing laat MongoDB weten dat deze aanvallen zijn te voorkomen door beschikbare beveiligingsmaatregelen in te schakelen. Verder worden tips gegeven om MongoDB-installaties te beveiligen en krijgen slachtoffers van een gegijzelde database advies. Andreas Nilsson van MongoDB laat getroffen organisaties ook weten dat ze ervan moeten uitgaan dat de aanvaller alle gegevens in de aangevallen databases heeft gekopieerd en interne procedures voor een datalek moeten worden gevolgd. John Matherly van de zoekmachine Shodan maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist. Het gaat bij elkaar om 364 terabyte aan publiek toegankelijke data. bron: security.nl

Internetgebruikers zijn op allerlei manieren te volgen, van hun ip-adres en cookies tot de fonts die ze geïnstalleerd hebben. Aanleiding voor Mozilla om in een nieuwe Firefox-versie bescherming tegen 'font fingerprinting' toe te voegen, maar gebruikers moeten die wel zelf inschakelen. Onderzoekers lieten vorig jaar al zien (pdf) dat internetgebruikers aan de hand van hun fonts zijn te volgen. Iets wat ook via een website als Panopticlick wordt gedemonstreerd. De browser geeft deze informatie namelijk door en maakt het mogelijk voor websites en trackers om een unieke "vingerafdruk" te ontwikkelen. Vanwege het risico besloten de ontwikkelaars van Tor Browser, dat op Firefox is gebaseerd, vorig jaar al bescherming tegen font fingerprinting toe te voegen. In Tor Browser staat deze maatregel standaard ingeschakeld. In januari vorig jaar werd het privacyrisico van font fingerprinting ook al bij Mozilla aangekaart. Het heeft even geduurd, maar ook Firefox zal een dergelijke beschermingsmaatregel krijgen. Gebruikers krijgen straks de optie om zelf te bepalen welke fonts aan een website of tracker bekend worden gemaakt. Vanaf Firefox 52, gepland voor maart 2017, zal de optie aanwezig zijn. Gebruikers moeten die nog wel zelf inschakelen, zo ontdekte blogger Soeren Hentzschel. bron: security.nl

Een blauw scherm met een foutcode was jarenlang de manier waarop Windows aan gebruikers communiceerde dat er een fatale systeemfout had plaatsgevonden en de computer opnieuw moest worden gestart, maar de blauwe kleur wordt mogelijk in de toekomst door groen vervangen. In de nieuwste testversie van Windows 10 laat Microsoft namelijk in plaats van een Blue Screen of Death (BSod) een groene variant zien. Microsofts Matthijs Hoekstra, senior program manager voor het Windows Enterprise Developer Platform, hintte op Twitter op de nieuwe kleur. Een gebruiker ontdekte uiteindelijk het nieuwe kleurenschema en maakte er een screenshot van. Waarom Microsoft voor groen heeft gekozen is onbekend. Hoewel Hoekstra de nieuwe "feature" in de testversie van Windows 10 onder de aandacht bracht heeft ook hij geen verklaring. bron: security.nl