Captain Kirk

De malware die onlangs nog voor problemen bij Deutsche Telekom en verschillende Britse internetproviders zorgde blijkt routers niet alleen te infecteren, maar ook het wifi-wachtwoord te stelen. Dat meldt Andrew Tierney van het Britse beveiligingsbedrijf Pen Test Partners in een blogposting. De malware gebruikt de TR-064- en TR-069-configuratieprotocollen over poort 7547 om toegang tot de routers te krijgen. Vervolgens wordt de malware geladen die de besmette router naar andere kwetsbare routers laat zoeken. Pen Test Partners heeft een honeypot draaien en zag onlangs een aanval waarbij werd geprobeerd om niet alleen het apparaat te besmetten, maar ook het wifi-wachtwoord te stelen. Vanwege de aanvallen hebben verschillende providers inmiddels updates uitgebracht om het probleem te verhelpen. De update schakelt de TR-064-interface op de router uit en reset de wachtwoorden naar die op de achterkant van de router staan vermeld. Volgens Tierney werkt deze oplossing niet. "De meeste klanten wijzigen hun wifi-wachtwoord niet van die op de router staat vermeld. Waarom zouden ze? Ik denk dat ze niet eens weten dat dit kan." Dit houdt in dat zelfs als de router door de provider wordt gereset, de aanvallers nog steeds over werkende wifi-sleutels beschikken die ze eerder hebben gestolen. Enige vereiste is wel dat een aanvaller in de buurt van het wifi-netwerk moet zijn om van de gestolen inloggegevens gebruik te maken. Volgens Tierney is de kans dan ook groot dat bij klanten van TalkTalk en andere internetproviders de wifi-wachtwoorden zijn gestolen en ze daarom risico lopen. "Tenzij TalkTalk en andere providers kunnen bewijzen dat de wifi-wachtwoorden van klanten niet zijn gestolen, zouden ze alle routers van klanten met spoed moeten vervangen." In de tussentijd krijgen gebruikers het advies om hun router te resetten en dan het wifi-wachtwoord te veranderen. bron: security.nl

De gratis versleutelde e-maildienst ProtonMail heeft een belangrijke verandering doorgevoerd waardoor gebruikers voortaan nog maar één wachtwoord hoeven te gebruiken. Voorheen maakte de e-maildienst gebruik van twee wachtwoorden. Een wachtwoord om de gebruiker bij ProtonMail te laten inloggen en een wachtwoord om de e-mail te ontsleutelen. Volgens de ontwikkelaars heeft dit verschillende beveiligingsvoordelen, maar ook nadelen als het gaat om gebruiksgemak. Twee wachtwoorden zijn namelijk lastiger te onthouden dan één wachtwoord. Het zorgde er dan ook voor dat gebruikers toegang tot hun accounts en e-mail verloren. Ook veroorzaakte het problemen voor wachtwoordmanagers. Verder maakte het tweefactorauthenticatie een lastig proces aangezien de gebruiker beide wachtwoorden en een aparte code moest invoeren om in te loggen. Daarom is er nu een nieuw authenticatiesysteem uitgerold waardoor gebruikers voortaan nog maar één wachtwoord nodig hebben. De legacymode met twee wachtwoorden zal ProtonMail echter blijven ondersteunen. In dit systeem is het mailboxwachtwoord, dat wordt gebruikt voor het ontsleutelen van e-mail, afgeleid van het wachtwoord waarmee de gebruiker zich bij ProtonMail authenticeert. Dit gebeurt aan de hand van een gesalte hash. Als het mailboxwachtwoord wordt gecompromitteerd heeft de aanvaller niet meteen het inlogwachtwoord in handen. In deze opzet kan het inlogwachtwoord echter niet direct naar ProtonMail worden gestuurd, aangezien het kan worden gebruikt om het mailboxwachtwoord te berekenen en dus de e-mail te ontsleutelen. Om dit probleem op te lossen is het gehele inlogproces aangepast, zodat het inlogwachtwoord nooit naar de server wordt gestuurd. Dit heeft als extra voordeeld dat het tegen man-in-the-middle-aanvallen beschermt. bron: security.nl

Met de lancering van Chrome 55 deze week zal de browser Adobe Flash Player voortaan standaard op websites blokkeren en voor het afspelen van videocontent html5 gebruiken. In het geval websites alleen Flash Player ondersteunen krijgen Chrome-gebruikers een melding te zien of ze Flash willen inschakelen. Html5 is volgens Google veel lichter en sneller en biedt meer veiligheid. De nieuwe maatregel geldt niet voor de tien volgens Google populairste websites op internet, namelijk YouTube.com, Facebook.com, Yahoo.com, VK.com, Live.com, Yandex.ru, OK.ru, Twitch.tv, Amazon.com en Mail.ru. Voor deze websites zal er een jaar lang een uitzondering worden gemaakt. Google is al geruime tijd bezig om Flash op het internet uit te faseren. In september werd in Chrome 53 al besloten om standaard Flash-trackers die internetgebruikers volgen te blokkeren. Bij de meeste Chrome-gebruikers zal de nieuwste versie automatisch worden geïnstalleerd. bron: security.nl

Het beveiligingslek in Firefox waarmee gebruikers van Tor Browser zijn aangevallen zou bij sommige partijen al een jaar lang bekend zijn geweest. Via de kwetsbaarheid werd geprobeerd om het ip-adres en mac-adres van Tor Browser-gebruikers te achterhalen, die via de browser juist anoniem willen blijven. Het beveiligingslek in kwestie zou in december vorig jaar door Exodus Intelligence aan beveiligingsbedrijf Fortinet zijn verkocht, zo melden zakenblad Forbes en Vice Magazine. Exodus Intelligence betaalt beveiligingsonderzoekers voor het rapporteren van kwetsbaarheden, die het vervolgens aan klanten doorspeelt, zoals beveiligingsbedrijven en opsporingsdiensten. Fortinet voegt dergelijke informatie aan de eigen beveiligingsapparatuur toe, zodat klanten van het bedrijf tegen eventuele aanvallen beschermd zijn. Op 10 december 2015 verscheen er een tweet van Fortinet dat het informatie over een "zero day" in Firefox aan de eigen systemen had toegevoegd. Bronnen laten tegenover Forbes weten dat dit de kwetsbaarheid is waarvoor deze week een noodpatch van Mozilla en het Tor Project verscheen, zodat gebruikers van Firefox en Tor Browser beschermd zijn. "We hebben de afgelopen jaren meerdere kwetsbaarheden in Firefox aan onze klanten geleverd. Deze lijkt inderdaad er één van ons te zijn, maar we onderzoeken op dit moment hoe het precies is gelekt en hoe het was gebruikt", zegt Logan Brown, president van Exodus Intelligence. Een bron verklaart aan Vice Magazine dat de kwetsbaarheid en een werkende exploit om er misbruik van te maken begin dit jaar aan een "offensieve klant" zijn doorverkocht. "Een offensieve klant bij een opsporingsdienst had er ergens deze zomer de beschikking over", laat de bron verder weten, die ook opmerkt dat het lek mogelijk met meerdere partijen is gedeeld. In een reactie zegt Brown dat Exodus Intelligence de leverancier in kwestie niet altijd inlicht over een kwetsbaarheid in diens producten, wat inhoudt dat beveiligingslekken lange tijd ongepatcht kunnen blijven. In dit geval heeft Brown toegezegd dat hij met Mozilla zal samenwerken om te kijken of de kwetsbaarheid in kwestie nu echt volledig is gepatcht. bron: security.nl

WordPress gaat vanaf volgend jaar voor sommige functies https vereisen. Volgens de ontwikkelaars van het populaire contentmanagementsysteem, dat op zo'n 26% van alle websites op internet draait, is de aanwezigheid van ssl vergelijkbaar met het aanwezig zijn van JavaScript en een moderne PHP-versie. "We vinden dat elke host ssl standaard moet ondersteunen, met name in een tijdperk na Snowden", zegt WordPress-ontwikkelaar Matt Mullenweg. Ergens volgend jaar zal er worden gekeken welke features, zoals api-authenticatie, het meest van ssl profiteren en zullen die alleen nog maar in ssl-omgevingen werken. Dit moet het gebruik van https onder WordPress-sites verder aanmoedigen. Daarnaast zal WordPress vanaf begin 2017 alleen nog maar hostingpartners promoten die standaard een ssl-certificaat aan hun klanten aanbieden. Het opzetten van een WordPress-website kan op verschillende manieren. Zo kunnen internetgebruikers de software zelf binnen hun eigen hostingomgeving downloaden en installeren, kan er een website via WordPress.com worden aangemaakt en bieden allerlei hostingproviders standaard WordPress-installaties aan. WordPress maakt voor verschillende van deze hostingpartners reclame. bron: security.nl

Ondanks verschillende beveiligingsfuncties die Microsoft aan Windows toevoegde is het nog altijd geen probleem voor malware om beheerders- of zelfs hogere rechten te verkrijgen. Dat stelt Vyacheslav Rusakov van het Russische anti-virusbedrijf Kaspersky Lab. Via beheerdersrechten kan een aanvaller veel meer op het systeem uitvoeren en kunnen de gevolgen van een infectie veel groter zijn. In Windows XP hadden gebruikers vaak standaard een beheerdersaccount. Als ze door malware besmet raakten, had de malware meteen beheerdersrechten. Vanaf Windows Vista introduceerde Microsoft een nieuw beveiligingsmodel genaamd Windows-integriteitsmechanisme. Wederom wordt er min of meer met twee soorten accounts gewerkt: een standaard gebruiker en een gebruiker met beheerdersrechten. Nu hebben gebruikers standaard geen verhoogde rechten meer, maar krijgen ze een pop-up te zien als er acties met beheerdersrechten moeten worden uitgevoerd. De gebruiker moet dan toestemming voor de actie geven. De meeste gebruikers kennen dit als User Account Control (UAC). "De menselijke factor is één van de belangrijkste beveiligingsproblemen, en daarom is het geven van de verantwoordelijkheid aan een gebruiker die niets van computerbeveiliging weet op z'n minst een twijfelachtige beslissing te noemen", merkt Rusakov op. Hij maakte een overzicht van de verschillende integriteitsniveaus in Windows. Zo krijgt een ingelogde gebruiker een "medium" integriteit toegekend, terwijl een systeembeheerder een "high" integriteitsniveau krijgt. Vervolgens gebruikte Rusakov gegevens van Kaspersky-gebruikers om te zien met welke rechten gedetecteerde malware op een computer werd uitgevoerd. Dan blijkt dat meer dan 80% met verhoogde rechten wordt uitgevoerd. De exacte reden hiervoor is onduidelijk, stelt Rusakov. De onderzoeker wijst erop dat internetcriminelen social engineering, exploits en andere trucs toepassen om de rechten te verhogen. Daarnaast zijn er gebruikers die UAC hebben uitgeschakeld omdat het hen irriteert. "Het is duidelijk dat malwareschrijvers geen problemen hebben om verhoogde rechten in Windows te verkrijgen. Daarom moeten ontwikkelaars van beveiligingssystemen hier rekening mee houden", zo besluit de onderzoeker. bron: security.nl

Eugene Kaspersky, oprichter van het gelijknamige Russische anti-virusbedrijf, heeft opnieuw uitgehaald naar Microsoft dat met Windows 10 de vrijheid, keuze en privacy van gebruikers heeft afgenomen, aldus de virusbestrijder. Onlangs richtte Kaspersky zijn pijlen al op Windows Defender, de standaard in Windows 8.1 en 10 ingebouwde virusscanner. Volgens Kaspersky maakt Microsoft misbruik van zijn monopoliepositie. Nu richt de Russische virusbestrijder zich op Windows 10 als besturingssysteem. Aanleiding voor zijn laatste betoog is de zoektocht naar een nieuwe laptop en bijbehorend besturingsysteem. Linux en macOS zijn zijn naar eigen zeggen geen optie voor Kaspersky, waardoor Windows voor hem overblijft. Aangezien Windows 7 niet meer te koop is kan er alleen nog uit Windows 8.1 en Windows 10 worden gekozen. "Waar ik echt niet van houd in deze Windows-versies is dat mijn computer, waarvoor ik heb betaald, mij vertelt hoe ik moet leven, wat ik moet kopen, waar ik naar toe moet gaan, waar ik naar moet luisteren, wat ik moet kijken, wat ik moet lezen en ga maar door." Daarnaast stuurt Windows stilletjes allerlei informatie van de computer door. "En je kunt deze functie niet volledig uitschakelen. Ik wil mijn data controleren, zelfs als het geanonimiseerd is. En ik wil de vrijheid behouden om mijn computer op mijn manier te gebruiken, hoe onlogish het soms ook lijkt." Ook wil Kaspersky zijn telemetrie niet ruilen voor zaken waar hij toch niet op zit te wachten. De virusbestrijder stelt dat Windows 10 alles van gebruikers weet. Zeker bij de "express" installatie geven gebruikers zowel Microsoft als derde partijen een grote hoeveelheid informatie over zichzelf, gaat Kaspersky verder. "Ik kan wel moeite doen om te beperken wat er naar Microsoft wordt gestuurd, maar zullen de meeste internetgebruikers hetzelfde doen? En kan je dat van ze verwachten? En zelfs de meest paranoïde gebruiker kan dit probleem niet 100% verhelpen. Wat je ook doet, er zal nog steeds data worden verstuurd. Het is gewoon niet mogelijk om dit helemaal in Windows 10 uit te schakelen." Microsoft gebruikt volgens Kaspersky de dominante positie die het heeft om terabytes aan statistieken en telemetrie te verzamelen en speelt "kiekeboe" met het gedrag en de voorkeuren van gebruikers. "Dit is veel waardevoller dan harde valuta, bitcoins of goud, aangezien het voor de meeste consumentenbedrijven de fundamentele basis is", merkt de flamboyante Rus op. De virusbestrijder stelt dat het dan ook logisch is dat Microsoft in de verleiding komt om een eigen browser, spelplatform en beveiligingsoplossing te lanceren, terwijl de concurrentie langzaam wordt weggedrukt. Kaspersky besluit zijn betoog door te stellen dat er dan ook geen keuze meer is. "Windows 7 is de laatste versie van Windows waar gebruikers nog een keuze en controle hebben over wat er met hun gegevens gebeurt." Hij ziet dan ook geen reden om een nieuwer besturingssysteem op zijn laptop te installeren. Zeker niet Windows 10. Microsoft stopt echter in 2020 de ondersteuning van Windows 7. "Er kan de komende drie jaar veel veranderen, maar iets vertelt me dat het niet Microsoft zal zijn." Misschien is het dan ook tijd om Mac te overwegen, merkt Kaspersky op. "Als Mac tot dan overleeft en niet een volgende 'Big Brother' zoals Microsoft is geworden." bron: security.nl

In het derde kwartaal van dit jaar zijn meer Belgen het slachtoffer van fraude met internetbankieren geworden dan in heel 2015 het geval was. Al drie kwartalen op rij is er een stijging van het aantal fraudeslachtoffers. De schade in het derde kwartaal bleef ten opzichte van het tweede kwartaal gelijk. In het derde kwartaal werden 368 Belgen het slachtoffer van fraude met internetbankieren. Een kwartaal eerder ging het nog om 352 slachtoffers, terwijl er in eerste kwartaal 145 Belgen slachtoffer werden. Het schadebedrag in het derde kwartaal bedroeg ruim 234.000 euro, net zoals in het tweede kwartaal. In het eerste kwartaal wisten criminelen nog ruim 113.000 euro via internetbankieren te stelen. Over heel 2015 genomen wisten criminelen nog 283 slachtoffers te maken en werd er 1 miljoen euro gestolen. Volgens Febelfin, de overkoepelende organisatie van Belgische banken, is de stijging van het aantal gevallen voornamelijk te wijten aan phishing. Criminelen sturen daarbij e-mails die van de bank afkomstig lijken en naar een phishingsite wijzen. Vaak proberen de criminelen onder het mom van een vervanging van de bankkaart ook de bankkaart en bijhorende pincode te bemachtigen. "De klant moet zijn bankkaart naar een door de fraudeurs opgegeven adres opsturen en zijn pincode ingeven op een valse website. Met de bankkaart en de bijhorende pincode kunnen fraudeurs vervolgens geld afhalen en betalingen uitvoeren via de rekeningen van de klant", aldus Febelfin, dat de nieuwe kwartaalcijfers vandaag publiceerde. bron: security.nl

Criminelen hebben afbeeldingen via Facebook en LinkedIn verspreid die gebruikers met ransomware proberen te infecteren. De aanval doet enigszins denken aan een aanvalsmethode die in 2008 voor het eerst opdook en waar Microsoft in 2010 ook nog een keer voor waarschuwde. Destijds ging het net als nu om afbeeldingen waar kwaadaardige code aan is toegevoegd. Vervolgens worden de afbeeldingen door de aanvallers op social mediasites zoals Facebook en LinkedIn geplaatst. "De aanvallers maken misbruik van een misconfiguratie in de infrastructuur van social mediasites om slachtoffers opzettelijk hun afbeelding te laten downloaden", zegt Roman Ziakin van beveiligingsbedrijf Check Point. Details over de aanvalsmethode wil het beveiligingsbedrijf niet geven totdat social mediasites de kwetsbaarheid hebben verholpen. Wel is er een demonstratievideo vrijgegeven. Daarop is te zien hoe er een jpg-bestand wordt geupload op Facebook. Vervolgens moet het slachtoffer op de afbeelding klikken. Hierna krijgt het slachtoffer een downloadvenster te zien waarin hem wordt gevraagd om een hta-bestand te downloaden. Zodra de gebruiker vervolgens het gedownloade hta-bestand opent wordt er ransomware op de computer gedownload die allerlei bestanden versleutelt. Hta staat voor html-applicatie en is eigenlijk een html-bestand dat scripting ondersteunt. Het is vaker door malware gebruikt en fungeert vaak als "downloader" om aanvullende malware te downloaden. Zo waarschuwde beveiligingsbedrijf App River in augustus van dit jaar nog voor hta-bestanden in zip-bestanden die via e-mail werden verspreid en volgde er eind oktober een zelfde soort waarschuwing van Cisco. Internetgebruikers krijgen het advies, als ze op een afbeelding hebben geklikt en de browser vervolgens een bestand downloadt, dit bestand niet te openen. Ook moeten er geen afbeeldingen met ongewone extensies zoals .svg, .js en .hta worden geopend. bron: security.nl

Een belangrijke beveiligingsupdate die Microsoft deze maand voor Windows uitrolde is niet automatisch op alle Windows Servers geïnstalleerd, zo heeft Microsoft twee weken na het verschijnen van de patch bekendgemaakt. Het gaat om het 140ste beveiligingsbulletin van Microsoft dit jaar. De update verhelpt een kwetsbaarheid in de bootmanager van Windows waardoor een aanvaller die fysiek aanwezig is de beveiliging kan omzeilen. Op deze manier is het mogelijk om de integriteitscontrole van software uit te schakelen, zodat het mogelijk wordt om test-gesigneerde uitvoerbare bestanden en drivers op de computer te installeren. Microsoft laat nu weten dat de update niet automatisch op alle installaties van Windows Servers 2012, Windows Server 2012 R2 en Windows Server 2016 wordt geïnstalleerd als er een eerdere update ontbreekt. Meer informatie geeft Microsoft in dit Knowledge Base-artikel. bron: security.nl

Mozilla zal volgend jaar verschillende aanpassingen aan de ondersteuning van Firefox-add-ons doorvoeren zodat de browser alleen nog maar met WebExtensions werkt. Andere add-ons zullen dan niet meer worden ondersteund. Firefox maakt op dit moment gebruik van een eigen model voor extensies. Er zijn duizenden extensies die allerlei nieuwe functionaliteit aan de browser toevoegen, zoals adblockers, wachtwoordmanangers en tools voor het downloaden van video's. Mozilla wil echter overstappen op een model waarbij extensies straks in alle browsers kunnen werken, net zoals met webapplicaties nu het geval is. Om dit te realiseren is er voor WebExtensions gekozen, een verzameling van programmeerinterfaces (api's) voor het ontwikkelen van extensies. Extensies voor Chrome, Opera en Microsoft Edge zullen in Firefox als WebExtension kunnen draaien. Volgens Mozilla zijn WebExtensies eenvoudiger te ontwikkelen en hoeven ontwikkelaars niet precies te weten hoe Firefox werkt om aan de slag te gaan. Ook is het voor ontwikkelaars eenvoudiger om hun extensie op meerdere browsers te laten werken. Eind 2017 met de lancering van Firefox 57 zal de browser alleen nog WebExtensions ondersteunen. Om ervoor te zorgen dat nieuwe extensies hiervoor klaar zijn zal Mozilla van Firefox 53 geen nieuwe extensies meer accepteren die geen WebExtension zijn, zo laat Mozilla's Kev Needham weten. bron: security.nl

WordPress heeft in september een ernstig beveiligingslek in de updateserver gedicht waardoor miljoenen WordPress-websites konden worden gehackt. Ongeveer 26% van alle websites op internet draait op WordPress, dat daarmee het populairste online contentmanagementsysteem is. De server (of servers) api.wordpress.org speelt een belangrijke rol in het WordPress-ecosysteem, aangezien deze server automatisch updates naar WordPress-websites stuurt. Elke WordPress-installatie maakt elk uur verbinding met deze server om te kijken of er updates voor plug-ins, themes en de WordPress-installatie zelf beschikbaar zijn. Het antwoord van de server bevat informatie over nieuwere versies die mogelijk beschikbaar zijn, waaronder of de plug-in, theme en installatie automatisch moeten worden geüpdatet. Ook bevat het een url om de update te downloaden en installeren. Door deze server te hacken zou een aanvaller zijn eigen link kunnen opgeven om zo een kwaadaardige update te verspreiden. Dit is mogelijk omdat WordPress de digitale handtekeningen van software-updates niet controleert. Een probleem dat deze week ook door een beveiligingsonderzoeker aan de kaak werd gesteld. Voordat een dergelijke aanval kan worden uitgevoerd moet een aanvaller echter eerst de server api.wordpress.org zien over te nemen. Onderzoekers van beveiligingsbedrijf Wordfence ontdekten eerder dit jaar een kwetsbaarheid waardoor dit mogelijk was. Op deze manier hadden ze miljoenen WordPress-websites van een kwaadaardige update kunnen voorzien. Voor de ontwikkeling van code op api.wordpress.org maken de ontwikkelaars van WordPress gebruik van een GitHub-webhook. GitHub is een populair online platform voor softwareontwikkelaars en wordt voor allerlei softwareprojecten gebruikt. Via de webhook kunnen de WordPress-ontwikkelaars hun code met die van de WordPress-repository synchroniseren. Een onderzoeker van Wordfence ontdekte echter een manier waardoor hij via de webhook een shellopdracht op api.wordpress.org kon uitvoeren, waarmee hij toegang tot het onderliggende besturingssysteem kreeg en de server kon overnemen. Vervolgens had hij een kwaadaardige update naar de WordPress-websites kunnen sturen. Deze update had ook toekomstige automatische updates kunnen uitschakelen, zodat het WordPress-team getroffen websites niet meer op afstand kon repareren. De onderzoeker waarschuwde het WordPress-ontwikkelteam, dat binnen een paar uur met een oplossing kwam en de onderzoeker beloonde. "WordPress wordt voor meer dan een kwart van alle websites gebruikt. Een fout van deze omvang zou catastrofaal voor het web zijn geweest", zegt onderzoeker Matt Barry die het probleem ontdekte. De kwetsbaarheid kreeg een 9,8 op een schaal van 10. bron: security.nl

Internetcriminelen maken gebruik van gehackte zakelijke OneDrive-accounts om malware te verspreiden. Dat laat beveiligingsbedrijf Forcepoint weten. Het gaat om OneDrive for Business, dat werknemers bestanden laat opslaan en delen. Elke werknemer heeft een persoonlijke url waar werkgelerateerde bestanden kunnen worden gedeeld. De url bevat verder de naam van het bedrijf. In de gehackte accounts plaatsen de aanvallers malware. Vervolgens wordt er een link naar het bestand gegenereert dat via spamberichten wordt verspreid. Het gaat om zowel uitvoerbare bestanden als zip-bestanden met daarin een JavaScript-bestand. "Misbruik van cloudopslagdiensten is een kosteffectieve methode voor cybercriminelen om malware te verspreiden. Aangezien deze tactiek al bij veel mensen bekend is zoeken cybercriminelen naar alternatieve manieren om via social engineering toe te slaan. Het gebruik van Microsoft OneDrive for Business kan ze in dit geval helpen, aangezien het een bekende dienst voor bedrijven is", zegt onderzoeker Roland Dela Paz. Hij merkt op dat een aanvullend risico is dat de aanvallers toegang tot het zakelijke OneDrive-account hebben, zoals bestanden en contacten. Hoe de accounts precies worden gehackt is onbekend. bron: security.nl

De Belgische politie heeft de website Have I Been Pwned gepromoot, die internetgebruikers waarschuwt als hun e-mailadres in een gehackte of gestolen database voorkomt. De website is een initiatief van de Australische beveiligingsonderzoeker en regionale Microsoft-directeur Troy Hunt. Volgens de Belgische politie weten internetgebruikers dat hun gegevens niet altijd goed beschermd zijn. "Grote internetspelers zoals LinkedIn, Dropbox, Sony, Snapchat of Badoo werden onlangs het slachtoffer van cyberaanvallen waardoor de gegevens van duizenden gebruikers op het net verschenen." Voor internetgebruikers kan het echter lastig zijn om te verifiëren dat hun gegevens zijn gestolen. Daarom besteedt de Belgische politie op de eigen website aandacht aan Have I Been Pwned. Inmiddels zijn er 166 datalekken aan de website toegevoegd, met de gegevens van bijna 2 miljard accounts. Het grootste datalek, met 359 miljoen accounts, komt voor rekening van MySpace. Ook LinkedIn (164 miljoen acocunts) en Adobe (152 miljoen accounts) kregen met grote datalekken te maken. Om automatisch in het geval van een nieuw datalek te worden gewaarschuwd moeten internetgebruikers wel hun e-mailadres opgeven. "Wees gerust, de beheerder van de site garandeert dat het mailadres dat u gaat laten controleren niet zal worden opgeslagen, noch aan andere diensten zal worden verstrekt", aldus de Belgische politie. bron: security.nl

Nog altijd 13.000 routers van de Chinese fabrikant Netcore zijn via een twee jaar oude backdoor op internet benaderbaar. De routers, die buiten China onder de naam Netis worden aangeboden, hebben een udp-poort die op poort 53413 luistert en toegankelijk vanaf de wan-kant van de router is. Dit houdt in dat als de router in kwestie een ip-adres heeft dat van buiten toegankelijk is, wat bij de meeste gebruikers het geval zal zijn, een aanvaller van over het internet de backdoor kan benaderen. De backdoor wordt beveiligd via een "hardcoded" wachtwoord dat in de firmware van de routers is te vinden. In eerste instantie werden meer dan 2 miljoen ip-adressen ontdekt waarbij de betreffende udp-poort open stond. Dat is inmiddels naar 13.000 gedaald, aldus de Shadowserver Foundation. Toch wordt er nog altijd actief op internet naar kwetsbare apparaten gezocht. Het Japanse anti-virusbedrijf Trend Micro zag de afgelopen maanden miljoenen scans voorbij komen. bron: security.nl

Een beveiligingsonderzoeker heeft gewaarschuwd voor kwetsbaarheden in het updateproces van WordPress waar aanvallers in theorie misbruik van zouden kunnen maken. WordPress is het populairste contentmanagentsysteem (cms) op internet en wordt naar schatting voor 26% van alle websites gebruikt. WordPress beschikt over een updatefunctie waarbij beheerders hun website via het cms kunnen updaten. Het enige verificatieproces dat bij het downloaden van de update van de WordPress-servers wordt gebruikt is een md5-checksum, zo waarschuwt onderzoeker Scott Arciszewski. Verder wordt nergens in het proces de cryptografische handtekening gecontroleerd. Alle WordPress-sites vertrouwen daarnaast de updateserver. Volgens Arciszewski is deze server dan ook de grootste "single point of failure" op internet. "Als je erin slaagt hun infrastructuur te hacken kun je een valse update naar miljoenen WordPress-blogs versturen en overal willekeurige code uitvoeren." De onderzoeker stelt verder dat PHP voor versie 5.6.0 over zeer slechte ondersteuning van sslt/tls beschikt. Een man-in-the-middle-aanval zou dan ook tot de mogelijkheden behoren, zo laat hij weten. WordPress blijft echter PHP 5.2.4 ondersteunen. De kans dat de problemen worden opgelost zijn echter klein, aldus Arciszewski. "De WordPress-cultuur, voor wie het niet weet, vindt gebruikersaandeel belangrijker dan veiligheid." De onderzoeker gelooft dan ook niet in een oplossing. Wel heeft hij een aantal tips voor WordPress-beheerders om de veiligheid van hun website te verbeteren. Daarnaast geeft hij ook het WordPress-ontwikkelteam verschillende aanwijzingen, zoals ervoor zorgen dat WordPress alleen recentere PHP-versies ondersteunt. bron: security.nl

Onlangs kondigde Microsoft aan dat het gaat stoppen met de gratis beveiligingstool EMET omdat Windows 10 een beter beveiliging zou bieden, maar volgens Will Dormann van het CERT Coordination Center van de Carnegie Mellon Universiteit kan EMET onveilige apps beter beschermen dan Windows 10. EMET staat voor Enhanced Mitigation Experience Toolkit (EMET) en voegt een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toe. Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Ook kan EMET systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. De beveiligingstool wordt dan ook door menig expert en organisatie aangeraden. Toch gaat Microsoft met het programma stoppen. De reden hiervoor is dat Windows niet meer wordt aangeboden op de manier zoals dat vroeger gebeurde. In het verleden verscheen er elke 3 a 4 jaar een nieuwe Windowsversie die vaak allerlei nieuwe beveiligingsmaatregelen bevatte. EMET fungeerde dan ook als een soort noodoplossing om Windowscomputers in de tussentijd tegen bepaalde zero day-lekken te beschermen. Windows 10 ontvangt continu nieuwe updates en zou standaard over allerlei beveiligingsfuncties beschikken die gelijk of beter dan die van EMET zijn, aldus Microsoft. Dormann is het daar niet mee eens. Om dat aan te tonen maakte hij een overzicht van de verschillende beveiligingsfuncties verdeeld over Windows 7 en Windows 10, zowel met als zonder EMET. Daaruit blijkt dat Windows 10 met EMET beter is beschermd ten opzichte van het standaard besturingssysteem. Volgens Dormann biedt Windows 10 niet alle beveiligingsmaatregelen waar gebruikers van EMET op vertrouwen en is het dan ook een goed idee om de tool voorlopig te blijven gebruiken. Microsoft zal de ondersteuning van EMET vanaf 31 juli 2018 stoppen. bron: security.nl

Microsoft is begin deze maand een nieuwe promotiecampagne voor Edge begonnen waarbij het gebruikers van Google Chrome en Mozilla Firefox op Windows 10 notificaties toont dat de eigen browser veiliger is. Chrome- en Firefox-gebruikers krijgen soms bij het starten van de browser een pop-up te zien. In de melding staat dat Edge veiliger is en meer social engineering-malware blokkeert, zo meldde een gebruiker op Reddit. Het gaat dan om malware die zich als een videocodec of plug-in voordoet, of met andere software is gebundeld. Moderne browsers beschikken over verschillende detectiemethodes om dit soort downloads te identificeren en te stoppen. Begin november verscheen er onderzoek van onderzoeksbureau NSS Labs waaruit blijkt dat Edge meer social engineering-malware stopt dan Chrome en Firefox. Edge blokkeerde 99% van de malware-exemplaren uit de test, gevolgd door door Chrome (85,8%) en Firefox (78,3%). Via het menu Meldingen en Acties en dan "Tips en suggesties over Windows weergeven" kan de melding worden uitgeschakeld. bron: security.nl

Beveiligingsbedrijf Symantec heeft identiteitsbeschermer LifeLock voor een bedrag van 2,3 miljard dollar overgenomen. LifeLock zegt klanten te beschermen tegen identiteitsdiefstal en claimt gestolen identiteiten ook te kunnen herstellen, bijvoorbeeld in het geval van creditcardfraude. Hiervoor zegt LifeLock een biljoen "datapunten" per dag op dreigingen te scannen. Het bedrijf heeft 4,4 miljoen klanten. Symantec meldt dat het product een aanvulling op de bestaande beveiligingssoftware is, om zo een bredere cyberbescherming te kunnen bieden. "Deze overname laat de transformatie van de beveiligingsindustrie voor consumenten zien van malwarebescherming naar de bredere categorie van digitale veiligheid voor consumenten", zegt Symantec-ceo Greg Clark. bron: security.nl

Een website die 8 maanden door een Britse beveiligingsonderzoeker werd gelanceerd herkent inmiddels meer dan 240 verschillende ransomware-exemplaren. Het gaat om ID Ransomware, die is ontwikkeld door onderzoeker Michael Gillespie. De website helpt slachtoffers van ransomware met het identificeren van de variant die op hun computer bestanden heeft versleuteld, zodat er mogelijk een oplossing kan worden gevonden. Voor verschillende varianten zijn gratis tools beschikbaar die bestanden kunnen ontsleutelen zonder dat slachtoffers hiervoor het gevraagde losgeld hoeven te betalen. Sinds de lancering zijn er ruim 158.000 bestanden door ransomware-slachtoffers geupload om zo te achterhalen welke ransomware hun bestanden had versleuteld. De bestanden waren van bijna 82.000 unieke ip-adressen afkomstig, waaronder ook Nederland. De geuploade bestanden zijn voornamelijk door de Locky-, Crypt0L0cker-, CryptXXX- en Cerber-ransomware versleuteld, zo laat Gillespie aan de website Bleeping Computer weten. ID Ransomware lijkt op de portaal NoMoreRansom.org, die eind juli door de Nederlandse politie, Europol en beveiligingsbedrijven Intel Security en Kaspersky Lab werd gelanceerd en inmiddels meer dan 2500 ransomware-slachtoffers heeft geholpen met het kosteloos terugkrijgen van hun versleutelde bestanden. Hoewel ID Ransomware en NoMoreRansom op elkaar lijken beschouwt Gillespie het niet als concurrentie. Er wordt zelfs tussen beide partijen samengewerkt, zo laat hij weten. In de toekomst wil de onderzoeker een "lite" versie van de website lanceren waarbij slachtoffers ook een e-mailadres of bitcoinadres kunnen opgeven. bron: security.nl

De Mirai-worm die Internet of Things-apparaten infecteert is nog altijd zeer actief, zo ontdekte beveiligingsonderzoeker Rob Graham. Graham kocht een nieuwe ip-camera en besloot die op het internet aansluiten. Daarbij gebruikte hij een Raspberry Pi als router/firewall om de camera van het thuisnetwerk te isoleren en het verkeer naar buiten te beperken. Nog geen 5 minuten dat Graham de ip-camera had ingeschakeld werd het apparaat gevonden en geïnfecteerd door de Mirai-worm, zo laat de onderzoeker op Twitter weten. De worm infecteert IoT-apparaten waarvan het standaardwachtwoord niet door de eigenaar is veranderd. De eerste infectie vond echter al na 98 seconden plaats, aldus de onderzoeker. Het ging hier echter om een andere worm. Wel moet worden opgemerkt dat Graham port forwarding voor telnet-poort 23 inschakelde. De camera in kwestie was van het merk JideTech en gebruikt een chip van HikVision. Vorige week kwam de Amerikaanse overheid nog met een veiligheidsplan voor Internet of Things-apparaten. Een dag later was er een hoorzitting voor het Amerikaanse congres over de ddos-aanvallen die met Mirai besmette IoT-apparaten op dns-aanbieder Dyn uitvoerden. Beveiligingsexpert Bruce Schneier pleitte er toen voor dat de overheid moet ingrijpen om de problematiek van onveilige IoT-apparaten op te lossen, aangezien fabrikanten en gebruikers dit weinig kan schelen. bron: security.nl

Internetcriminelen hebben malware verspreid via de Ask.com Toolbar, een browseruitbreiding die onder andere via Oracle's Java werd geïnstalleerd. De Ask Toolbar is zelf omstreden software en wordt door sommige expert als adware of potentieel ongewenste software bestempeld. De toolbar laat gebruikers zoeken via de zoekmachine van Ask.com. Naast Java werd en wordt de browseruitbreiding ook via andere software aangeboden. Vorig jaar bleek uit onderzoek dat de Ask Toolbar tot de meest verwijderde toolbars op internet behoort. Toch staat de browseruitbreiding op miljoenen computers geïnstalleerd. Volgens IAC, het moederbedrijf van Ask, heeft de zoekmachine meer dan 200 miljoen gebruikers per maand. Internetcriminelen zijn er onlangs in geslaagd om het updatemechanisme van de Ask Toolbar te kapen en te gebruiken voor de verspreiding van malware, zo meldt beveiligingsbedrijf Red Canary. In plaats van een update werd er zo een Trojan-downloader op de computer geïnstalleerd, die weer aanvullende malware installeerde. Het ging onder andere om malware die gegevens voor internetbankieren steelt. De aanvallers experimenteerden met verschillende soorten malware, waardoor onderzoekers denken dat het waarschijnlijk om een testrun ging om te kijken welke malware het meest effectief was, maar het zou ook om een configuratieprobleem kunnen gaan, zo merken ze op. Wat verder opvalt is dat de Ask Toolbar alleen gesigneerde software-updates accepteert. In dit geval wisten de aanvallers hun malware door Ask.com gesigneerd te krijgen zodat ze die via de updatefunctie konden verspreiden. Na te zijn ingelicht heeft Ask de aanval gestopt. Ask heeft echter niet laten weten hoe de aanvallers konden toeslaan en wat er wordt gedaan om herhaling te voorkomen. bron: security.nl

Volgend jaar februari stopt Microsoft in Edge en Internet Explorer 11 de ondersteuning van sha-1-certificaten, waardoor het kan voorkomen dat sommige websites niet meer worden geladen. Het secure hash algorithm (sha) is een hashfunctie die van data een unieke hashcode maakt. Het wordt onder andere voor ssl-certificaten gebruikt waarmee websites een versleutelde verbinding aanbieden. "Het sha-1-hashingalgoritme is niet langer veilig", aldus Microsoft. Kwetsbaarheden in sha-1 kunnen een aanvaller content laten spoofen of phishing- aanvallen en man-in-the-middle-aanvallen laten uitvoeren op internetgebruikers. Daarom hebben allerlei partijen, waaronder ook Google en Mozilla, besloten om sha-1 uit te faseren. Vanaf 14 februari 2017 zullen Microsoft Edge en Internet Explorer 11 daarom geen websites meer laden die van een sha-1-certificaat gebruikmaken. Gebruikers krijgen dan een waarschuwing te zien dat er een probleem met het certificaat van de website is. De waarschuwing kan nog worden genegeerd, maar Microsoft raadt dit ten zeerste af. De maatregel heeft geen gevolgen voor sha-1-certificaten die bedrijven zelf op de computers van hun werknemers hebben geïnstalleerd, hoewel Microsoft adviseert dat ook in die gevallen er naar een sha-256-certificaat wordt gemigreerd. bron: security.nl

Het Pentagon gaat binnenkort een nieuw beloningsprogramma lanceren genaamd Hack the U.S. Army waarbij hackers en beveiligingsonderzoekers voor het melden van kwetsbaarheden worden betaald. Het programma volgt op een eerdere proef met een ander beloningsprogramma genaamd Hack the Pentagon. Dat programma leverde 138 onbekende kwetsbaarheden in websites van het Pentagon op. Net als dit programma zal ook Hack the U.S. Army via het platform van HackerOne worden georganiseerd. HackerOne vervult een coördinerende rol tussen bedrijven en de hackers die kwetsbaarheden ontdekken en rapporteren. Om aan het programma deel te nemen moeten hackers en onderzoekers zich eerst laten screenen. Verdere details over de inhoud en beloningen worden de komende weken bekendgemaakt. bron: security.nl

De populaire torrentsite The Pirate Bay heeft geen zicht op besmette advertenties die kwaadwillenden op de website plaatsen, zo heeft een van de beheerders laten weten. Daardoor loopt de website risico om op de recidivistenlijst van Google te belanden. Vorige week kondigde Google aan dat het internetgebruikers langer gaat waarschuwen voor websites die herhaaldelijk kwaadaardige content tonen. De afgelopen maanden verschenen er geregeld besmette advertenties op The Pirate Bay waar Google vervolgens voor waarschuwde. Bezoekers kregen bij het bezoeken van de website een grote waarschuwing te zien dat het onveilig was om door te gaan. Zodra de besmette advertenties waren verwijderd verdwenen ook de waarschuwingen. Google wil bij websites die herhaaldelijk kwaadaardige content tonen nu langer deze waarschuwing tonen, namelijk voor een periode van 30 dagen. Iets wat een probleem voor The Pirate Bay kan zijn. "Er zijn niet veel advertentiebedrijven die met torrentsites willen werken", zegt een van de beheerders tegenover TorrentFreak. "De partijen waar wij toegang toe hebben maken zich niet veel zorgen om wat voor advertenties ze tonen en laten ons ook niet van tevoren zien wat hun klanten opsturen voordat het wordt getoond." Volgens de beheerder zullen de advertentiebedrijven en netwerken er echter zelf ook last van hebben als The Pirate Bay op de recidivistenlijst van Google belandt. "Misschien zullen de advertentiebedrijven die een neiging hebben om kwaadaardige advertenties te tonen hun klanten beter gaan screenen", aldus de beheerder. bron: security.nl