Captain Kirk

WordPress heeft in september een ernstig beveiligingslek in de updateserver gedicht waardoor miljoenen WordPress-websites konden worden gehackt. Ongeveer 26% van alle websites op internet draait op WordPress, dat daarmee het populairste online contentmanagementsysteem is. De server (of servers) api.wordpress.org speelt een belangrijke rol in het WordPress-ecosysteem, aangezien deze server automatisch updates naar WordPress-websites stuurt. Elke WordPress-installatie maakt elk uur verbinding met deze server om te kijken of er updates voor plug-ins, themes en de WordPress-installatie zelf beschikbaar zijn. Het antwoord van de server bevat informatie over nieuwere versies die mogelijk beschikbaar zijn, waaronder of de plug-in, theme en installatie automatisch moeten worden geüpdatet. Ook bevat het een url om de update te downloaden en installeren. Door deze server te hacken zou een aanvaller zijn eigen link kunnen opgeven om zo een kwaadaardige update te verspreiden. Dit is mogelijk omdat WordPress de digitale handtekeningen van software-updates niet controleert. Een probleem dat deze week ook door een beveiligingsonderzoeker aan de kaak werd gesteld. Voordat een dergelijke aanval kan worden uitgevoerd moet een aanvaller echter eerst de server api.wordpress.org zien over te nemen. Onderzoekers van beveiligingsbedrijf Wordfence ontdekten eerder dit jaar een kwetsbaarheid waardoor dit mogelijk was. Op deze manier hadden ze miljoenen WordPress-websites van een kwaadaardige update kunnen voorzien. Voor de ontwikkeling van code op api.wordpress.org maken de ontwikkelaars van WordPress gebruik van een GitHub-webhook. GitHub is een populair online platform voor softwareontwikkelaars en wordt voor allerlei softwareprojecten gebruikt. Via de webhook kunnen de WordPress-ontwikkelaars hun code met die van de WordPress-repository synchroniseren. Een onderzoeker van Wordfence ontdekte echter een manier waardoor hij via de webhook een shellopdracht op api.wordpress.org kon uitvoeren, waarmee hij toegang tot het onderliggende besturingssysteem kreeg en de server kon overnemen. Vervolgens had hij een kwaadaardige update naar de WordPress-websites kunnen sturen. Deze update had ook toekomstige automatische updates kunnen uitschakelen, zodat het WordPress-team getroffen websites niet meer op afstand kon repareren. De onderzoeker waarschuwde het WordPress-ontwikkelteam, dat binnen een paar uur met een oplossing kwam en de onderzoeker beloonde. "WordPress wordt voor meer dan een kwart van alle websites gebruikt. Een fout van deze omvang zou catastrofaal voor het web zijn geweest", zegt onderzoeker Matt Barry die het probleem ontdekte. De kwetsbaarheid kreeg een 9,8 op een schaal van 10. bron: security.nl

Internetcriminelen maken gebruik van gehackte zakelijke OneDrive-accounts om malware te verspreiden. Dat laat beveiligingsbedrijf Forcepoint weten. Het gaat om OneDrive for Business, dat werknemers bestanden laat opslaan en delen. Elke werknemer heeft een persoonlijke url waar werkgelerateerde bestanden kunnen worden gedeeld. De url bevat verder de naam van het bedrijf. In de gehackte accounts plaatsen de aanvallers malware. Vervolgens wordt er een link naar het bestand gegenereert dat via spamberichten wordt verspreid. Het gaat om zowel uitvoerbare bestanden als zip-bestanden met daarin een JavaScript-bestand. "Misbruik van cloudopslagdiensten is een kosteffectieve methode voor cybercriminelen om malware te verspreiden. Aangezien deze tactiek al bij veel mensen bekend is zoeken cybercriminelen naar alternatieve manieren om via social engineering toe te slaan. Het gebruik van Microsoft OneDrive for Business kan ze in dit geval helpen, aangezien het een bekende dienst voor bedrijven is", zegt onderzoeker Roland Dela Paz. Hij merkt op dat een aanvullend risico is dat de aanvallers toegang tot het zakelijke OneDrive-account hebben, zoals bestanden en contacten. Hoe de accounts precies worden gehackt is onbekend. bron: security.nl

De Belgische politie heeft de website Have I Been Pwned gepromoot, die internetgebruikers waarschuwt als hun e-mailadres in een gehackte of gestolen database voorkomt. De website is een initiatief van de Australische beveiligingsonderzoeker en regionale Microsoft-directeur Troy Hunt. Volgens de Belgische politie weten internetgebruikers dat hun gegevens niet altijd goed beschermd zijn. "Grote internetspelers zoals LinkedIn, Dropbox, Sony, Snapchat of Badoo werden onlangs het slachtoffer van cyberaanvallen waardoor de gegevens van duizenden gebruikers op het net verschenen." Voor internetgebruikers kan het echter lastig zijn om te verifiëren dat hun gegevens zijn gestolen. Daarom besteedt de Belgische politie op de eigen website aandacht aan Have I Been Pwned. Inmiddels zijn er 166 datalekken aan de website toegevoegd, met de gegevens van bijna 2 miljard accounts. Het grootste datalek, met 359 miljoen accounts, komt voor rekening van MySpace. Ook LinkedIn (164 miljoen acocunts) en Adobe (152 miljoen accounts) kregen met grote datalekken te maken. Om automatisch in het geval van een nieuw datalek te worden gewaarschuwd moeten internetgebruikers wel hun e-mailadres opgeven. "Wees gerust, de beheerder van de site garandeert dat het mailadres dat u gaat laten controleren niet zal worden opgeslagen, noch aan andere diensten zal worden verstrekt", aldus de Belgische politie. bron: security.nl

Nog altijd 13.000 routers van de Chinese fabrikant Netcore zijn via een twee jaar oude backdoor op internet benaderbaar. De routers, die buiten China onder de naam Netis worden aangeboden, hebben een udp-poort die op poort 53413 luistert en toegankelijk vanaf de wan-kant van de router is. Dit houdt in dat als de router in kwestie een ip-adres heeft dat van buiten toegankelijk is, wat bij de meeste gebruikers het geval zal zijn, een aanvaller van over het internet de backdoor kan benaderen. De backdoor wordt beveiligd via een "hardcoded" wachtwoord dat in de firmware van de routers is te vinden. In eerste instantie werden meer dan 2 miljoen ip-adressen ontdekt waarbij de betreffende udp-poort open stond. Dat is inmiddels naar 13.000 gedaald, aldus de Shadowserver Foundation. Toch wordt er nog altijd actief op internet naar kwetsbare apparaten gezocht. Het Japanse anti-virusbedrijf Trend Micro zag de afgelopen maanden miljoenen scans voorbij komen. bron: security.nl

Een beveiligingsonderzoeker heeft gewaarschuwd voor kwetsbaarheden in het updateproces van WordPress waar aanvallers in theorie misbruik van zouden kunnen maken. WordPress is het populairste contentmanagentsysteem (cms) op internet en wordt naar schatting voor 26% van alle websites gebruikt. WordPress beschikt over een updatefunctie waarbij beheerders hun website via het cms kunnen updaten. Het enige verificatieproces dat bij het downloaden van de update van de WordPress-servers wordt gebruikt is een md5-checksum, zo waarschuwt onderzoeker Scott Arciszewski. Verder wordt nergens in het proces de cryptografische handtekening gecontroleerd. Alle WordPress-sites vertrouwen daarnaast de updateserver. Volgens Arciszewski is deze server dan ook de grootste "single point of failure" op internet. "Als je erin slaagt hun infrastructuur te hacken kun je een valse update naar miljoenen WordPress-blogs versturen en overal willekeurige code uitvoeren." De onderzoeker stelt verder dat PHP voor versie 5.6.0 over zeer slechte ondersteuning van sslt/tls beschikt. Een man-in-the-middle-aanval zou dan ook tot de mogelijkheden behoren, zo laat hij weten. WordPress blijft echter PHP 5.2.4 ondersteunen. De kans dat de problemen worden opgelost zijn echter klein, aldus Arciszewski. "De WordPress-cultuur, voor wie het niet weet, vindt gebruikersaandeel belangrijker dan veiligheid." De onderzoeker gelooft dan ook niet in een oplossing. Wel heeft hij een aantal tips voor WordPress-beheerders om de veiligheid van hun website te verbeteren. Daarnaast geeft hij ook het WordPress-ontwikkelteam verschillende aanwijzingen, zoals ervoor zorgen dat WordPress alleen recentere PHP-versies ondersteunt. bron: security.nl

Onlangs kondigde Microsoft aan dat het gaat stoppen met de gratis beveiligingstool EMET omdat Windows 10 een beter beveiliging zou bieden, maar volgens Will Dormann van het CERT Coordination Center van de Carnegie Mellon Universiteit kan EMET onveilige apps beter beschermen dan Windows 10. EMET staat voor Enhanced Mitigation Experience Toolkit (EMET) en voegt een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toe. Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Ook kan EMET systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. De beveiligingstool wordt dan ook door menig expert en organisatie aangeraden. Toch gaat Microsoft met het programma stoppen. De reden hiervoor is dat Windows niet meer wordt aangeboden op de manier zoals dat vroeger gebeurde. In het verleden verscheen er elke 3 a 4 jaar een nieuwe Windowsversie die vaak allerlei nieuwe beveiligingsmaatregelen bevatte. EMET fungeerde dan ook als een soort noodoplossing om Windowscomputers in de tussentijd tegen bepaalde zero day-lekken te beschermen. Windows 10 ontvangt continu nieuwe updates en zou standaard over allerlei beveiligingsfuncties beschikken die gelijk of beter dan die van EMET zijn, aldus Microsoft. Dormann is het daar niet mee eens. Om dat aan te tonen maakte hij een overzicht van de verschillende beveiligingsfuncties verdeeld over Windows 7 en Windows 10, zowel met als zonder EMET. Daaruit blijkt dat Windows 10 met EMET beter is beschermd ten opzichte van het standaard besturingssysteem. Volgens Dormann biedt Windows 10 niet alle beveiligingsmaatregelen waar gebruikers van EMET op vertrouwen en is het dan ook een goed idee om de tool voorlopig te blijven gebruiken. Microsoft zal de ondersteuning van EMET vanaf 31 juli 2018 stoppen. bron: security.nl

Microsoft is begin deze maand een nieuwe promotiecampagne voor Edge begonnen waarbij het gebruikers van Google Chrome en Mozilla Firefox op Windows 10 notificaties toont dat de eigen browser veiliger is. Chrome- en Firefox-gebruikers krijgen soms bij het starten van de browser een pop-up te zien. In de melding staat dat Edge veiliger is en meer social engineering-malware blokkeert, zo meldde een gebruiker op Reddit. Het gaat dan om malware die zich als een videocodec of plug-in voordoet, of met andere software is gebundeld. Moderne browsers beschikken over verschillende detectiemethodes om dit soort downloads te identificeren en te stoppen. Begin november verscheen er onderzoek van onderzoeksbureau NSS Labs waaruit blijkt dat Edge meer social engineering-malware stopt dan Chrome en Firefox. Edge blokkeerde 99% van de malware-exemplaren uit de test, gevolgd door door Chrome (85,8%) en Firefox (78,3%). Via het menu Meldingen en Acties en dan "Tips en suggesties over Windows weergeven" kan de melding worden uitgeschakeld. bron: security.nl

Beveiligingsbedrijf Symantec heeft identiteitsbeschermer LifeLock voor een bedrag van 2,3 miljard dollar overgenomen. LifeLock zegt klanten te beschermen tegen identiteitsdiefstal en claimt gestolen identiteiten ook te kunnen herstellen, bijvoorbeeld in het geval van creditcardfraude. Hiervoor zegt LifeLock een biljoen "datapunten" per dag op dreigingen te scannen. Het bedrijf heeft 4,4 miljoen klanten. Symantec meldt dat het product een aanvulling op de bestaande beveiligingssoftware is, om zo een bredere cyberbescherming te kunnen bieden. "Deze overname laat de transformatie van de beveiligingsindustrie voor consumenten zien van malwarebescherming naar de bredere categorie van digitale veiligheid voor consumenten", zegt Symantec-ceo Greg Clark. bron: security.nl

Een website die 8 maanden door een Britse beveiligingsonderzoeker werd gelanceerd herkent inmiddels meer dan 240 verschillende ransomware-exemplaren. Het gaat om ID Ransomware, die is ontwikkeld door onderzoeker Michael Gillespie. De website helpt slachtoffers van ransomware met het identificeren van de variant die op hun computer bestanden heeft versleuteld, zodat er mogelijk een oplossing kan worden gevonden. Voor verschillende varianten zijn gratis tools beschikbaar die bestanden kunnen ontsleutelen zonder dat slachtoffers hiervoor het gevraagde losgeld hoeven te betalen. Sinds de lancering zijn er ruim 158.000 bestanden door ransomware-slachtoffers geupload om zo te achterhalen welke ransomware hun bestanden had versleuteld. De bestanden waren van bijna 82.000 unieke ip-adressen afkomstig, waaronder ook Nederland. De geuploade bestanden zijn voornamelijk door de Locky-, Crypt0L0cker-, CryptXXX- en Cerber-ransomware versleuteld, zo laat Gillespie aan de website Bleeping Computer weten. ID Ransomware lijkt op de portaal NoMoreRansom.org, die eind juli door de Nederlandse politie, Europol en beveiligingsbedrijven Intel Security en Kaspersky Lab werd gelanceerd en inmiddels meer dan 2500 ransomware-slachtoffers heeft geholpen met het kosteloos terugkrijgen van hun versleutelde bestanden. Hoewel ID Ransomware en NoMoreRansom op elkaar lijken beschouwt Gillespie het niet als concurrentie. Er wordt zelfs tussen beide partijen samengewerkt, zo laat hij weten. In de toekomst wil de onderzoeker een "lite" versie van de website lanceren waarbij slachtoffers ook een e-mailadres of bitcoinadres kunnen opgeven. bron: security.nl

De Mirai-worm die Internet of Things-apparaten infecteert is nog altijd zeer actief, zo ontdekte beveiligingsonderzoeker Rob Graham. Graham kocht een nieuwe ip-camera en besloot die op het internet aansluiten. Daarbij gebruikte hij een Raspberry Pi als router/firewall om de camera van het thuisnetwerk te isoleren en het verkeer naar buiten te beperken. Nog geen 5 minuten dat Graham de ip-camera had ingeschakeld werd het apparaat gevonden en geïnfecteerd door de Mirai-worm, zo laat de onderzoeker op Twitter weten. De worm infecteert IoT-apparaten waarvan het standaardwachtwoord niet door de eigenaar is veranderd. De eerste infectie vond echter al na 98 seconden plaats, aldus de onderzoeker. Het ging hier echter om een andere worm. Wel moet worden opgemerkt dat Graham port forwarding voor telnet-poort 23 inschakelde. De camera in kwestie was van het merk JideTech en gebruikt een chip van HikVision. Vorige week kwam de Amerikaanse overheid nog met een veiligheidsplan voor Internet of Things-apparaten. Een dag later was er een hoorzitting voor het Amerikaanse congres over de ddos-aanvallen die met Mirai besmette IoT-apparaten op dns-aanbieder Dyn uitvoerden. Beveiligingsexpert Bruce Schneier pleitte er toen voor dat de overheid moet ingrijpen om de problematiek van onveilige IoT-apparaten op te lossen, aangezien fabrikanten en gebruikers dit weinig kan schelen. bron: security.nl

Internetcriminelen hebben malware verspreid via de Ask.com Toolbar, een browseruitbreiding die onder andere via Oracle's Java werd geïnstalleerd. De Ask Toolbar is zelf omstreden software en wordt door sommige expert als adware of potentieel ongewenste software bestempeld. De toolbar laat gebruikers zoeken via de zoekmachine van Ask.com. Naast Java werd en wordt de browseruitbreiding ook via andere software aangeboden. Vorig jaar bleek uit onderzoek dat de Ask Toolbar tot de meest verwijderde toolbars op internet behoort. Toch staat de browseruitbreiding op miljoenen computers geïnstalleerd. Volgens IAC, het moederbedrijf van Ask, heeft de zoekmachine meer dan 200 miljoen gebruikers per maand. Internetcriminelen zijn er onlangs in geslaagd om het updatemechanisme van de Ask Toolbar te kapen en te gebruiken voor de verspreiding van malware, zo meldt beveiligingsbedrijf Red Canary. In plaats van een update werd er zo een Trojan-downloader op de computer geïnstalleerd, die weer aanvullende malware installeerde. Het ging onder andere om malware die gegevens voor internetbankieren steelt. De aanvallers experimenteerden met verschillende soorten malware, waardoor onderzoekers denken dat het waarschijnlijk om een testrun ging om te kijken welke malware het meest effectief was, maar het zou ook om een configuratieprobleem kunnen gaan, zo merken ze op. Wat verder opvalt is dat de Ask Toolbar alleen gesigneerde software-updates accepteert. In dit geval wisten de aanvallers hun malware door Ask.com gesigneerd te krijgen zodat ze die via de updatefunctie konden verspreiden. Na te zijn ingelicht heeft Ask de aanval gestopt. Ask heeft echter niet laten weten hoe de aanvallers konden toeslaan en wat er wordt gedaan om herhaling te voorkomen. bron: security.nl

Volgend jaar februari stopt Microsoft in Edge en Internet Explorer 11 de ondersteuning van sha-1-certificaten, waardoor het kan voorkomen dat sommige websites niet meer worden geladen. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Het wordt onder andere voor ssl-certificaten gebruikt waarmee websites een versleutelde verbinding aanbieden. "Het sha-1-hashingalgoritme is niet langer veilig", aldus Microsoft. Kwetsbaarheden in sha-1 kunnen een aanvaller content laten spoofen of phishing- aanvallen en man-in-the-middle-aanvallen laten uitvoeren op internetgebruikers. Daarom hebben allerlei partijen, waaronder ook Google en Mozilla, besloten om sha-1 uit te faseren. Vanaf 14 februari 2017 zullen Microsoft Edge en Internet Explorer 11 daarom geen websites meer laden die van een sha-1-certificaat gebruikmaken. Gebruikers krijgen dan een waarschuwing te zien dat er een probleem met het certificaat van de website is. De waarschuwing kan nog worden genegeerd, maar Microsoft raadt dit ten zeerste af. De maatregel heeft geen gevolgen voor sha-1-certificaten die bedrijven zelf op de computers van hun werknemers hebben geïnstalleerd, hoewel Microsoft adviseert dat ook in die gevallen er naar een sha-256-certificaat wordt gemigreerd. bron: security.nl

Het Pentagon gaat binnenkort een nieuw beloningsprogramma lanceren genaamd Hack the U.S. Army waarbij hackers en beveiligingsonderzoekers voor het melden van kwetsbaarheden worden betaald. Het programma volgt op een eerdere proef met een ander beloningsprogramma genaamd Hack the Pentagon. Dat programma leverde 138 onbekende kwetsbaarheden in websites van het Pentagon op. Net als dit programma zal ook Hack the U.S. Army via het platform van HackerOne worden georganiseerd. HackerOne vervult een coördinerende rol tussen bedrijven en de hackers die kwetsbaarheden ontdekken en rapporteren. Om aan het programma deel te nemen moeten hackers en onderzoekers zich eerst laten screenen. Verdere details over de inhoud en beloningen worden de komende weken bekendgemaakt. bron: security.nl

De populaire torrentsite The Pirate Bay heeft geen zicht op besmette advertenties die kwaadwillenden op de website plaatsen, zo heeft een van de beheerders laten weten. Daardoor loopt de website risico om op de recidivistenlijst van Google te belanden. Vorige week kondigde Google aan dat het internetgebruikers langer gaat waarschuwen voor websites die herhaaldelijk kwaadaardige content tonen. De afgelopen maanden verschenen er geregeld besmette advertenties op The Pirate Bay waar Google vervolgens voor waarschuwde. Bezoekers kregen bij het bezoeken van de website een grote waarschuwing te zien dat het onveilig was om door te gaan. Zodra de besmette advertenties waren verwijderd verdwenen ook de waarschuwingen. Google wil bij websites die herhaaldelijk kwaadaardige content tonen nu langer deze waarschuwing tonen, namelijk voor een periode van 30 dagen. Iets wat een probleem voor The Pirate Bay kan zijn. "Er zijn niet veel advertentiebedrijven die met torrentsites willen werken", zegt een van de beheerders tegenover TorrentFreak. "De partijen waar wij toegang toe hebben maken zich niet veel zorgen om wat voor advertenties ze tonen en laten ons ook niet van tevoren zien wat hun klanten opsturen voordat het wordt getoond." Volgens de beheerder zullen de advertentiebedrijven en netwerken er echter zelf ook last van hebben als The Pirate Bay op de recidivistenlijst van Google belandt. "Misschien zullen de advertentiebedrijven die een neiging hebben om kwaadaardige advertenties te tonen hun klanten beter gaan screenen", aldus de beheerder. bron: security.nl

De gratis Enhanced Mitigation Experience Toolkit (EMET) van Microsoft die bescherming tegen zero day-aanvallen en drive by-downloads moet bieden blijkt Windowscomputers ook tegen Word-documenten met kwaadaardige macro's te kunnen beschermen. EMET voegt een extra beveiligingslaag aan applicaties en het besturingssysteem toe, wat het lastiger voor aanvallers moet maken om kwetsbaarheden uit te buiten. EMET kan echter ook aanvallen stoppen die via kwaadaardige macro's worden uitgevoerd, zo meldt Didier Stevens, handler bij het Internet Storm Center (ISC). Stevens opende een bestand met een kwaadaardige macro's. Standaard staan macro's in Word-documenten uitgeschakeld. Als Stevens in dit geval de macro's inschakelde werd er malware op het systeem geïnstalleerd. De macro injecteert hiervoor shellcode in het proces van Microsoft Word. Het injecteren van code op deze manier activeert de Export address table Access Filtering (EAF) van EMET en zorgt ervoor dat het Word-proces wordt afgesloten. Microsoft kondigde vorige week nog aan dat het halverwege 2018 gaat stoppen met de ondersteuning van EMET. Volgens de softwaregigant is de gratis beveiligingstool geen integraal onderdeel van het besturingssysteem, kan het worden omzeild en beschikt Windows 10 inmiddels over betere beschermingsmaatregelen. bron: security.nl

XS4ALL is de eerste landelijke internetprovider die DNSSEC heeft geactiveerd, om zo om klanten beter tegen frauduleuze websites te beschermen. Dat heeft het bedrijf vandaag bekendgemaakt. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. "Het probleem is dat DNS “goedgelovig” is. Malafide hackers weten het DNS dikwijls om de tuin te leiden en een andere naam aan een IP-adres te koppelen. Argeloze internetters worden dan omgeleid naar een namaakwebsite, alwaar ze door de hackers te grazen worden genomen", aldus XS4ALL. Als oplossing is DNSSEC ontwikkeld. Dit is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd. Een bekende DNS-aanval is 'DNS cache poisoning'. Hierbij wordt geprobeerd de cache van de DNS-aanbieder te vervuilen, zodat die een ander ip-adres aan gebruikers teruggeeft, die dan bijvoorbeeld worden doorgestuurd naar een website van de aanvaller. Om dit soort aanvallen tegen te gaan moet de authenticiteit van een DNS-respons worden gecontroleerd. DNSSEC lost dit probleem op door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren."Met DNSSEC weet u zeker dat de website die u bezoekt ook daadwerkelijk de website is die u wilt bezoeken", stelt XS4ALL. Volgens de provider is het probleem hier niet mee opgelost. Niet alle websites zijn namelijk opgenomen in de DNSSEC-lijst. Zelfs websites die eigenlijk heel veilig zouden moeten zijn, zoals die van banken, doen lang niet altijd mee "Dat komt doordat het soms veel moeite en geld kost om een domein helemaal compatible te maken met DNSSEC. En omdat DNSSEC pas werkt als zowel de website als de internetprovider het ondersteunt, ontstaat er een kip-en-ei-probleem. Websitebeheerders wachten tot internetproviders DNSSEC ondersteunen, terwijl internetproviders juist wachten tot meer websites het gebruiken. Tja, dan kun je dus lang wachten", laat XS4ALL weten. De provider heeft er daarom voor gekozen met DNSSEC te beginnen. 45% van de Nederlandse websites heeft al DNSSEC en is door XS4ALL-klanten per direct veilig te bezoeken. Van de overige 55% zegt de provider de veiligheid helaas nog niet te kunnen garanderen. "Al zullen we het juiste ip-adres van belangrijke of populaire sites handmatig toevoegen aan onze lijst met veilige domeinen. We hopen overigens dat er snel meer websites en internetproviders zullen volgen." bron: security.nl

Dat is fijn om te horen! Succes met het printen. Als je hier verder geen vragen meer over hebt, laat het even weten. Dan zetten we het topic als gesloten.

Bester Strupie, Soms lukt het door de software van de printer te laten draaien in een compabiliteitsmodus. Hier kun je lezen hoe je dit kunt doen. Hoop voor je dat dit je probleem op lost.

Aangezien er geen reactie meer is gekomen, ga ik er van uit dat je vraag voldoende beantwoord is en sluit ik het topic. Wil je toch nog hier even op door gaan, stuur mij dan even een pm om het topic weer te openen.

Er is een nieuwe versie van OpenSSL 1.1.0 uitgekomen die drie kwetsbaarheden verhelpt waardoor een aanvaller in het ergste geval OpenSSL kan laten crashen. Het gaat om https-servers die de CHACHA20-POLY1305-encryptie-algoritmes voor versleutelde verbindingen gebruiken. Een aanvaller kan deze servers aanvallen en een heap-buffer-overflow veroorzaken, waardoor OpenSSL kan crashen. Dit kan weer gevolgen hebben voor bijvoorbeeld de applicatie of website die er gebruik van maakt. Het probleem speelt alleen in OpenSSL 1.1.0. OpenSSL-versies voor 1.1.0 zijn niet kwetsbaar. Het beveiligingslek is als "high" bestempeld. In deze gevallen komt het OpenSSL Project Team altijd met een nieuwe versie. De overige twee kwetsbaarheden hebben het stempel "moderate" en "low" gekregen. Beheerders die OpenSSL 1.1.0 op hun servers draaien krijgen het advies naar OpenSSL 1.1.0c te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Google heeft weer een nieuwe versie van Chrome 54 uitgegeven waarin vier beveiligingslekken zijn gepatcht. Drie van de kwetsbaarheden werden door externe onderzoekers gerapporteerd en lieten een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Een aanvaller kan in dit geval data van andere websites lezen of aanpassen. Verder bleek dat Chrome-extensies informatie konden lekken. In totaal betaalde Google de drie onderzoekers die de problemen rapporteerden 11.500 dollar. Updaten naar Chrome 54.0.2840.99 voor Windows en Chrome 54.0.2840.98 voor Mac zal op de meeste systemen automatisch gebeuren. Google stelt dat de Linux-versie aanvullende aanpassingen bevat en daardoor een dag later zal verschijnen. bron: security.nl

Onderzoekers hebben een nieuw soort dos-aanval onthuld waarmee firewalls en routers kunnen worden aangevallen. De aanval heeft de naam BlackNurse gekregen en is een ICMP-aanval. Het Internet Control Message Protocol (ICMP) is een protocol voor het versturen van berichten tussen ip-systemen. Netwerkapparaten zoals routers gebruiken het om aan te geven dat een dienst, host of router niet bereikbaar is. ICMP wordt al geruime tijd gebruikt voor het uitvoeren van dos-aanvallen. Deze aanvallen zijn gebaseerd op ICMP Type 8 Code 0 en staan ook bekend als ping flood-aanvallen. BlackNurse is echter gebaseerd op ICMP met Type 3 Code 3-pakketten. "We weten dat als een gebruiker ICMP Type 3 Code 3 naar externe interfaces toestaat, de BlackNurse-aanval zelfs met weinig bandbreedte zeer effectief wordt", aldus de onderzoekers die de aanval onthulden. Het zou in dit geval al voldoende zijn om aanvalsverkeer van 15 tot 18 Mbit/s te versturen. Eén enkele laptop zou in dit geval al voldoende zijn voor het uitvoeren van de aanval. Het maakt daarbij niet uit of de aangevallen partij over meer bandbreedte beschikt. De aanval zal in de meeste gevallen de processor zo zwaar belasten, waardoor gebruikers aan de lan-kant van de firewall geen verkeer meer van en naar het internet kunnen versturen en ontvangen. "De BlackNurse-aanval heeft onze aandacht gekregen, want met onze anti-ddos-oplossing zagen we dat hoewel het verkeer erg weinig was, de aanval er toch voor kon zorgen dat klanten niets meer konden. Dit was ook van toepassing op klanten met grote internet-uplinks en grote zakelijke firewalls", aldus het beveiligingsteam van de Deense telecomprovider TDC in een rapport over BlackNurse (pdf). Het beveiligingsteam adviseert om ICMP Type 3-berichten aan de wan-interface van Cisco ASA-firewalls niet te accepteren. Netwerkbeveiligingsbedrijf Netresec maakte deze analyse van de aanval. bron: security.nl

Google heeft een nieuwe website gelanceerd waarmee internetgebruikers eenvoudig kwaadaardige websites kunnen aangeven. Het gaat om een nieuwe website van Safe Browsing, de technologie die volgens Google meer dan 2 miljard op internet aangesloten apparaten tegen aanvallen beschermt. Het gaat dan onder andere om dreigingen zoals malware en phishing. De eerste versie van Safe Browsing werd in 2007 gelanceerd. Naast Google Chrome maken ook Mozilla Firefox en Apple Safari gebruik van de technologie. Als gebruikers bijvoorbeeld een bekende phishingsite of website met malware bezoeken, krijgen ze dankzij Safe Browsing een waarschuwing dat het niet veilig is om door te gaan. Safe Browsing is naast browsers ook voor andere partijen en ontwikkelaars toegankelijk. De nieuwe Safe Browsing-website maakt het makkelijker voor gebruikers om kwaadaardige websites te melden, biedt toegang tot informatie voor ontwikkelaars en beleidsdocumenten. Ook fungeert de nieuwe website als een centrale hub voor verschillende andere tools van Google, zoals het Transparantierapport, Search Console en Safe Browsing Alerts voor netwerkbeheerders. bron: security.nl

Al jaren maakt Microsoft gebruik van Security Bulletins om informatie over beveiligingsupdates te verspreiden, maar vanaf februari volgend jaar gaat de softwaregigant hiermee stoppen. Volgens Microsoft hebben gebruikers om een andere manier gevraagd om de informatie te benaderen. Ook wilden gebruikers dat informatie uit Security Bulletins eenvoudiger kan worden weergegeven. Hierop heeft Microsoft de Security Updates Guide ontwikkeld. Een nieuw portaal dat gebruikers informatie over beveiligingslekken en -updates laat filteren, bijvoorbeeld op cve-nummer, productnaam, datum en Knowledge Base-nummer. Ook is het mogelijk om producten uit het overzicht te verwijderen. Verder biedt Microsoft een programmeerinterface (api) om de beschikbare informatie te gebruiken. Dit moet volgens de softwaregigant een stuk eenvoudiger werken dan het "scrapen" van de website met Security Bulletins. Informatie over beveiligingsupdates zal tot en met januari 2017 als Security Bulletin worden weergeven. Na de patchronde van januari volgend jaar zal informatie over beveiligingsupdates alleen nog in de Security Updates Guide te vinden zijn. bron: security.nl

Microsoft heeft een kwaadaardig programma dat de browsers van internetgebruikers kaapt en over rootkit-eigenschappen beschikt van 1,2 miljoen Windowscomputers verwijderd. Het gaat om de Soctuseer-software die zich via softwarebundels weet te verspreiden. Eenmaal actief laat de browserkaper advertenties zien op basis van het zoekgedrag van de gebruiker. Als de gebruiker op bijvoorbeeld "laptop" zoekt zal Soctuseer op andere websites pop-up-advertenties voor laptops laten zien. Hiervoor maakt de browserkaper van verschillende technieken gebruik, zoals het installeren van een NetFilter-driver en het injecteren van een dll-bestand in het browserproces. Sommige versies van Soctuseer beschikken over rootkit-eigenschappen, aldus Microsoft. Iets wat vrij bijzonder voor browserkapers is. Deze versies installeren een driver die toegang tot de bestanden van de browserkaper beperkt. Daardoor zijn de bestanden van Soctuseer voor veel programma's onzichtbaar. Sinds september ontdekte Microsoft 1,2 miljoen computers die met Soctuseer besmet waren. Het grootste deel bevindt zich in de Verenigde Staten, Indonesië en India. Om deze computers op te schonen heeft Microsoft tijdens de maandelijkse patchcyclus van november de in Windows ingebouwde Malicious Software Removal Tool (MSRT) van een update voorzien. De MSRT kan veelvoorkomende malware-families detecteren en verwijderen. Tijdens het installeren van de beveiligingsupdates voor Windows wordt er ook een automatische scan met de MSRT uitgevoerd en zal de tool eventueel aanwezige malware die het kan detecteren verwijderen. bron: security.nl