Captain Kirk

Er is een nieuwe versie van Chrome voor de desktop verschenen waarin Google drie beveiligingslekken heeft verholpen. Via de kwetsbaarheden zou een aanvaller in het ergste geval code binnen de context van de browser kunnen uitvoeren. Een aanvaller of kwaadaardige website kan in dit geval bijvoorbeeld gegevens van andere websites lezen of aanpassen. Eén van de kwetsbaarheden in de V8 JavaScript-engine van Chrome werd door een anonieme externe onderzoeker gerapporteerd, die hiervoor 5.000 dollar ontving. Volgens Google worden veel van de kwetsbaarheden in de browser via de programma's AddressSanitizer, MemorySanitizer, Control Flow Integrity of LibFuzzer ontdekt. De update naar Chrome 53.0.2785.143 zal op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Criminelen proberen internetgebruikers op allerlei manieren via nep-waarschuwingen van Windows op te lichten, maar onderzoekers hebben nu voor het eerst een dergelijke waarschuwing gevonden die van een backdoor is voorzien. Deze vorm van internetoplichting wordt vaak als "tech support scam" aangeduid. De scam kan op meerdere manieren worden uitgevoerd, zoals oplichters die mensen thuis bellen en claimen dat ze van Microsoft zijn, pop-ups die beweren dat er problemen met de computer zijn en het opgegeven telefoonnummer moet worden gemeld, advertenties in zoekmachines die zich voordoen als de helpdesk van een computerfabrikant maar in werkelijkheid mensen via een verkeerd telefoonnummer oplichten en adware die de waarschuwingen op de computer toont. In alle gevallen proberen de oplichters toegang tot de computer te krijgen om slachtoffers voor het oplossen van de niet-bestaanden problemen te laten betalen. Onderzoeker Lawrence Abrams van Bleeping Computer ontdekte onlangs een adwarebundel die een nep-waarschuwing op zijn computer toonde. Net als bij andere scams moest er een telefoonnummer worden gebeld. Verder onderzoek liet echter zien dat de adware niet alleen een waarschuwing toonde, maar ook over een backdoor beschikte waardoor de aanvallers commando's op de computer konden uitvoeren. Zodra de adware wordt geladen maakt die verbinding met een server op internet en wacht vervolgens op commando's om uit te voeren. Zo is het bijvoorbeeld mogelijk om elke vijf minuten een willekeurige website te laten openen. Volgens Abrams bevat de huidige versie van de backdoor verschillende problemen, waardoor het lastig is om meer complexe commando's uit te voeren, maar kan dit eenvoudig worden verholpen. "Dit soort backdoors verwacht je van malware, maar niet van programma's die via adwarebundels worden verspreid. Zoals ik al vaker heb gezegd, adware en potentieel ongewenste programma's worden een serieus probleem", aldus de onderzoeker. bron: security.nl

Dat de beveiliging van routers ernstig te wensen overlaat blijkt uit onderzoek van Pierre Kim, die in de D-Link DWR-932B-router zo'n 20 kwetsbaarheden vond, waaronder een backdoor, backdoor-accounts en andere problemen. Hoewel D-Link al maanden geleden werd gewaarschuwd is er nog altijd geen update. Via de kwetsbaarheden kunnen aanvallers het apparaat volledig overnemen en het verkeer van gebruikers onderscheppen en manipuleren. De eerste problemen die Kim ontdekte betreffen twee backdoor-accounts waarmee er toegang tot de router kan worden verkregen. De accounts maken van standaardwachtwoorden gebruik en één van de accounts staat niet eens vermeld. Verder blijkt de router over een andere backdoor te beschikken. Door het versturen van udp-pakketten wordt er een telnet-server gestart die geen wachtwoord vraagt. Zodra de aanvaller hierop is ingelogd heeft hij rootrechten. Verder blijkt de code voor de Wi-Fi Protected Setup (WPS) een vaste waarde te hebben. Een aanvaller in de buurt kan zo toegang tot het wifi-netwerk krijgen. De router beschikt tevens over een Remote Firmware Over The Air-functie. De inloggegevens om verbinding met de server te maken staan "hardcoded" in de software. Daarnaast worden de updates wel over https opgehaald, maar is het gebruikte ssl-certificaat al 1,5 jaar verlopen. Ook blijkt dat D-Link in het UPnP-gedeelte de beveiliging heeft verwijderd, waardoor er geen beperkingen voor UPnP-regels zijn, zoals alleen het doorsturen van poorten boven poort 1024. Volgens Kim is het daarnaast mogelijk om de firmware door een gebackdoorde firmware te vervangen. De onderzoeker waarschuwde D-Link op 15 juni van dit jaar. Deze maand liet de netwerkfabrikant weten dat het nog geen planning heeft voor het uitbrengen van een update. Kim besloot daarop zijn bevindingen openbaar te maken. bron: security.nl

In tegenstelling tot andere providers vindt er bij Yahoo geen automatische wachtwoordreset plaats als een account is gehackt of het wachtwoord van een gebruiker is gestolen, zo laat de internetgigant tegenover de New York Times weten. Naar aanleiding van het datalek bij de internetgigant, waar de gegevens van minimaal 500 miljoen gebruikers werden gestolen, sprak de krant met personeel over het beveiligingsbeleid. Uit de gesprekken komt naar voren dat gebruiksgemak vaak belangrijker dan veiligheid werd gevonden. Yahoo liep ten opzichte van concurrenten zoals Google en Microsoft dan ook achter met de invoering van allerlei beveiligingsmaatregelen. Het ging onder andere om het invoeren van een beloningsprogramma voor hackers, de uitrol van end-to-end-encryptie en het aanstellen van een chief security officer. De Yahoo-top weigerde ook om in het geval van een datalek automatisch alle gebruikerswachtwoorden te resetten. De bestuurders waren bang dat zelfs zoiets als een eenvoudige wachtwoordreset Yahoo-gebruikers op de diensten van concurrenten zou laten overstappen. "Bij Yahoo vinden we dat als het wachtwoord van een gebruiker is gecompromitteerd, we het account vergrendelen totdat de gebruiker het wachtwoord reset", aldus een woordvoerster. Ook bij het recente datalek van 500 miljoen accounts besloot de internetgigant wachtwoorden niet proactief te resetten, maar adviseerde gebruikers dit zelf te doen. bron: security.nl

Servers die IPv4 ondersteunen lopen veel sneller risico te worden gehackt dan servers die alleen IPv6 ondersteunen, zo stelt beveiligingsbedrijf Sucuri aan de hand van eigen onderzoek. Voor het onderzoek waren opzettelijk servers neergezet met de bedoeling om te zien hoe snel ze werden gehackt. Om de aanvallers een handje te helpen was het rootwachtwoord in "password" veranderd. De IPv4-servers deden het niet zo goed tijdens het experiment, aangezien de eerste IPv4-server al na 12 minuten werd gehackt. De overige servers volgden niet veel later. De servers die alleen via IPv6 toegankelijk waren deden het veel beter, aangezien die geen enkele aanval te verduren kregen en dus ook niet werden gehackt. Volgens de onderzoekers laat het experiment zien dat de obscuriteit van IPv6 helpt om aanvallen te voorkomen. Zo is het veel lastiger om alle IPv6-adressen in kaart te brengen en langs te gaan dan bij IPv4-adressen het geval is. In totaal zijn er 2^32 IPv4-adressen, terwijl het aantal IPv6-adressen 2^128 bedraagt. bron: security.nl

Cisco heeft de halfjaarlijkse beveiligingsupdates voor IOS en IOS XE uitgebracht die meerdere lekken verhelpen waardoor aanvallers in het ergste geval routers en switches kunnen overnemen. Een aan de NSA-gelinkte kwetsbaarheid in IOS en IOS XE wordt niet door de updates verholpen. IOS is het besturingssysteem van Cisco voor routers en switches. De halfjaarlijkse update verhelpt in totaal 11 kwetsbaarheden die allemaal als "high" zijn beoordeeld. Dit is een niveau lager dan "critical", maar volgens het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) maakt één van de beveiligingslekken het voor een aanvaller mogelijk om op afstand kwetsbare apparaten over te nemen. Zoals aangegeven bevatten de updates geen oplossing voor een aan de NSA-gelinkt beveiligingslek. Het gaat om een kwetsbaarheid in Cisco IOS, IOS XE en IOS XR waardoor een aanvaller vertrouwelijke informatie uit het geheugen van routers en switches kan stelen, zoals RSA-privésleutels en andere gevoelige configuratiegegevens, zoals vpn-instellingen. In totaal zijn op internet 848.000 Cisco-apparaten gevonden die deze kwetsbaarheid bevatten, waarvan ruim 18.000 in Nederland. Wanneer Cisco voor dit probleem met een update komt is nog onbekend. bron: security.nl

In navolging van Opera krijgt mogelijk ook Firefox een adblocker die gebruikers in de standaardmodus kunnen inschakelen. De opensourcebrowser beschikt via de "Tracking Protection" al over een adblocker die advertenties en trackers blokkeert, maar die werd alleen in de Private Browsing-mode ingeschakeld. Mozilla heeft nu een testversie gelanceerd die over drie nieuwe experimentele features beschikt, waaronder Tracking Protection in de standaardmodus. Net als bij Opera moeten Firefoxgebruikers de optie nog wel zelf ingeschakelen, maar vervolgens zal Firefox advertenties en trackers blokkeren. Via de testversie wil Mozilla achterhalen waar Tracking Protection ervoor zorgt dat websites niet meer werken, zodat dit voor alle Firefoxgebruikers verbeterd kan worden. De testversie is via testpilot.firefox.com te downloaden. bron: security.nl

Onderzoekers van Cisco hebben een botnet offline gehaald dat uit 23.000 computers bestond. De computers waren met de GozNym Trojan besmet, een Trojaans paard speciaal ontwikkeld om geld via internetbankieren te stelen. Eerder dit jaar liet IBM weten dat de malware miljoenen dollars had gestolen. De malware maakt gebruik van een Domain Generation Algorithm (DGA) dat elke dag nieuwe domeinnamen genereert. Een aantal van deze domeinen wordt vervolgens voor de communicatie met de besmette computers gebruikt. Doordat onderzoekers van Cisco het algoritme wisten te kraken konden ze zien welke domeinnamen er in de toekomst werden gegenereerd. Deze domeinnamen registreerden de onderzoekers en lieten vervolgens naar een server van Cisco wijzen. Zodoende maakten de besmette computers geen verbinding met de botnetserver, maar die van Cisco. In de eerste 24 uur ontving de server van Cisco 23.000 "beacons". Dit is een signaal dat een besmette computer naar de command & control-server van het botnet stuurt. Elke besmette machine stuurt slechts één beacon, waardoor de onderzoekers stellen dat het aantal slachtoffers van het botnet uit zo'n 23.000 machines bestaat. Bijna de helft van de besmette computers bevindt zich in Duitsland, gevolgd door de Verenigde Staten met 37%. bron: security.nl

De lancering van Opera 40 met ingebouwde vpn-functionaliteit heeft de browser geen windeieren gelegd, want het aantal nieuwe gebruikers is in een week tijd met meer dan 2 miljoen gestegen. Een nieuw record voor Opera. De browser is de eerste grote browser die een ingebouwde vpn-functie heeft toegevoegd. Via een virtual private network (vpn) wordt er een versleutelde verbinding naar een server op een bepaalde locatie opgezet. Het vpn zorgt ervoor dat al het verkeer naar de vpn-server is versleuteld, wat handig is voor gebruikers van openbare wifi-netwerken. Daarnaast kan de vpn-gebruiker hierdoor zijn locatie aanpassen, om bijvoorbeeld van diensten gebruik te maken die alleen in bepaalde landen toegankelijk zijn. In het geval van de Opera vpn-dienst kunnen gebruikers uit vijf locaties kiezen, namelijk Nederland, Verenigde Staten, Canada, Duitsland en Singapore. De ontwikkelaars van Opera willen naar eigen zeggen een complete browser aanbieden, waar gebruikers geen aparte plug-ins of extensies meer voor hoeven te installeren. Zo beschikt de browser ook over een ingebouwde adblocker. Daarnaast speelt ook de privacy van internetgebruikers een rol. "Privacy is belangrijk. Daarom hebben we onze gratis vpn die niets logt direct aan de browser toegevoegd. We wilden complexiteit en kosten verwijderen, zodat elk type browsergebruiker, van expert tot beginner, het web met meer privacy en controle over hun gegevens kan gebruiken", zegt Krystian Kolondra van Opera. bron: security.nl

Microsoft wil van Edge de veiligste browser maken en zegt dat het hier de afgelopen jaren grote stappen in heeft gezet, aangezien de browser minder kwetsbaarheden dan Chrome en Firefox heeft en van een nieuwe beveiligingsmaatregel wordt voorzien die "ongekende bescherming" moet bieden. Ook zijn er volgens Microsoft geen aanwijzingen dat beveiligingslekken in Edge het doelwit van zero day-aanvallen waren. Iets waar Internet Explorer nog regelmatig mee te maken kreeg. Het gaat in dit geval om aanvallen waarvoor nog geen beveiligingsupdates beschikbaar zijn. Microsoft stelt dat steeds meer organisaties echter het doelwit van gerichte aanvallen worden, waarbij aanvallers hun aanval op de aan te vallen organisatie afstemmen. Om ook tegen deze aanvallen te beschermen introduceerde Microsoft eerder deze week Windows Defender Application Guard voor Windows 10 Enterprise. In een nieuwe blogposting gaat Microsoft verder op de technologie in, die volgens de softwaregigant "ongekende bescherming" moet bieden. De maatregel zorgt ervoor dat als Edge-gebruikers een onbekende of onbetrouwbare website bezoeken er op de hardwarelaag een virtuele versie van Windows wordt geladen, met een aparte kopie van de kernel en minimale Windows-services om Edge te kunnen draaien. De onderliggende hardware zorgt ervoor dat deze aparte kopie van Windows geen toegang tot de normale omgeving van de gebruiker heeft. Zo blokkeert Application Guard toegang tot het geheugen, lokale opslag, andere geïnstalleerde applicaties en netwerkbronnen. Ook heeft de aparte versie van Windows geen toegang tot inloggegevens. Zodra de gebruiker Edge afsluit wordt de virtuele versie van Windows verwijderd. Zelfs als een aanvaller een aanval weet uit te voeren, is hij volgens Microsoft niet in staat uit deze container te breken, die bij het afsluiten ook nog eens wordt verwijderd. Een aanvaller kan zodoende geen permanente toegang tot een systeem houden. De komende maanden wordt Application Guard voor Windows Insiders beschikbaar gemaakt en zal volgend jaar op grotere schaal worden uitgerold. bron: security.nl

Firefoxgebruikers op Windows XP en Vista zullen vanaf maart 2017 geen nieuwe browserfeatures meer ontvangen, wat de eerste stap is om de ondersteuning van beide besturingssystemen helemaal af te bouwen, zo heeft Mozilla op de eigen bugtracker aangekondigd. De eerste stap in dit proces is het laten overstappen van Firefoxgebruikers op Windows XP en Vista naar Firefox ESR 52. De ESR-versie van Firefox ontvangt alleen maar beveiligingsupdates en is vooral voor bedrijven bedoeld. Verder wil Mozilla ook het losse installatieprogramma aanpassen, zodat XP- en Vista-gebruikers de browser niet meer kunnen installeren. Later zal het ook niet meer mogelijk zijn om Firefox op Windows XP en Vista te starten. Windows XP wordt sinds april 2014 niet meer door Microsoft ondersteund. De ondersteuning van Windows Vista zal volgend jaar april stoppen. In de planning noemt Mozilla Firefox ESR 52 als mijlpaal. Deze versie staat gepland voor 7 maart 2017 en zal in ieder geval nog tot 21 januari 2018 beveiligingsupdates ontvangen. Met Firefox 53 wil Mozilla de ondersteuning helemaal stoppen. Wanneer deze versie zal verschijnen is nog niet in de planning opgenomen. Google heeft de ondersteuning van Windows XP en Vista eerder dit jaar al gestopt. Opera liet eerder weten dat het deze platformen zal blijven ondersteunen. bron: security.nl

Technologiebedrijf HP heeft door een beveiligingsupdate voor printers uit te brengen die heimelijk inktcartridges van andere leveranciers blokkeert het vertrouwen van mensen in beveiligingsupdates ondermijnd, zo stelt de Amerikaanse burgerrechtenbeweging EFF. Onlangs klaagden allerlei gebruikers dat hun printer alleen nog met de originele cartridges van HP werkt. Het bedrijf had de ondersteuning van andere cartridges via een firmware-update, die al maanden geleden was uitgerold, uitgeschakeld. "Door het gebruik van het updatemechanisme om een anti-feature te verspreiden, iets dat tegen de belangen van je klanten is, heb je twijfel in het patchproces geïntroduceerd", aldus de EFF in een open brief aan de directeur van HP. Het bedrijf heeft miljoenen klanten nu een reden gegeven om beveiligingsupdates van HP te wantrouwen, waardoor ze het risico lopen om te worden aangevallen, gaat de burgerrechtenbeweging verder. Daarnaast zou HP via een sectie van de omstreden Digital Millennium Copyright Act (DMCA) maatregelen hebben getroffen om beveiligingsonderzoekers de producten niet te laten onderzoeken, aangezien dit in veel gevallen strafbaar is. Criminelen kunnen daardoor ongestoord HP-klanten aanvallen, terwijl beveiligingsonderzoekers niet in staat zijn om gebruikers te waarschuwen, stelt de brief verder. De EFF wil daarom dat HP vijf stappen neemt. Zo moet het excuses maken en de originele firmware herstellen, aankondigen dat het updateproces nooit meer zal worden gebruikt om anti-features te verspreiden, de werking van software-updates volledig beschrijven, aankondigen wanneer features worden verwijderd en de DMCA niet inzetten tegen onderzoekers en concurrenten die cartridges maken. bron: security.nl

Het Duitse testlab AV-Test heeft sinds 1984 in totaal voor alle besturingssystemen 572 miljoen malware-exemplaren geregistreerd, zoals virussen, wormen en Trojaanse paarden, zo laat de organisatie vandaag weten. In zowel 2014 als 2015 ging het om ongeveer 143 miljoen malware-exemplaren. Dit jaar blijft het aantal met 100 miljoen exemplaren tot 22 september iets achter, zo laat Andreas Marx van AV-Test aan Security.NL weten. Dit komt nog steeds neer op 385.000 kwaadaardige programma's per dag, of vier nieuwe malware-exemplaren per seconde. Hoewel de totale hoeveelheid malware ten opzichte van voorgaande jaren iets achterblijft, is het aantal kwaadaardige Android-apps wel aan het stijgen. Inmiddels zijn er 16,5 miljoen malware-apps geregistreerd. Verreweg het grootste deel van de Android-malware wordt buiten Google Play om verspreid. bron: security.nl

Het aantal aanvallen dat gebruik maakt van beveiligingslekken in Java is de afgelopen jaren sterk afgenomen, toch is het gevaar nog niet helemaal geweken, zo waarschuwt Microsoft. Was Java ooit nog het favoriete doelwit van internetcriminelen, inmiddels is die rol door Adobe Flash Player overgenomen. Dit komt mede door browserleveranciers die standaard geen Java-programma's meer uitvoeren of de plug-in helemaal niet meer ondersteunen. De aanvallen die nog wel plaatsvinden maken gebruik van kwetsbaarheden die al jaren geleden zijn gepatcht. "Ondanks deze positieve ontwikkeling houdt dit niet in dat organisaties de dreiging van Java-aanvallen geheel kunnen negeren", aldus Microsoft. Uit cijfers van de softwaregigant blijkt dat Java-aanvallen nog steeds voorkomen. Het gaat dan bijvoorbeeld om exploits die van kwetsbaarheden uit 2010, 2012 en 2013 gebruikmaken. Volgens de softwaregigant laat dit zien dat organisaties nog steeds op hun hoede moeten zijn, zeker in omgevingen waar nog verouderde Java-installaties actief zijn. bron: security.nl

Wireshark is inderdaad een behoorlijk professioneel en lastig programma om te leren kennen. Er zijn diverse tutorials beschikbaar. Maar als je vraag alleen maar voort komt uit nieuwsgierigheid om het een keer te zien, weet ik niet of je al die uren studie erin wilt steken om het programma een beetje te kunnen begrijpen. Om deze reden ben ik bijvoorbeeld gestopt met mij in het programma te verdiepen. Dus wat wil je eigenlijk met het programma gaan doen?

De ontwikkelaars van OpenSSL hebben een noodpatch voor een ernstig beveiligingslek uitgebracht waardoor een aanvaller op afstand mogelijk willekeurige code op servers kan uitvoeren. De kwetsbaarheid werd veroorzaakt door een geplande beveiligingsupdate die afgelopen donderdag verscheen. Het beveiligingslek is alleen aanwezig in OpenSSL 1.1.0a. Door pakketjes van meer dan 16k naar een server of systeem te sturen kan een aanvaller een crash veroorzaken. In potentie zou het echter ook mogelijk zijn om willekeurige code uit te voeren, waardoor aanvallers bijvoorbeeld een server of systeem kunnen overnemen. OpenSSL geeft alleen de grootste kwetsbaarheden de beoordeling "ernstig". Ook voor OpenSSL 1.0.2 is een update verschenen, alleen is de kwetsbaarheid in dit geval veel minder ernstig. Beheerders krijgen het advies om zo snel als mogelijk naar versies 1.1.0b of 1.0.2j te updaten. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. De software is op veel systemen geïnstalleerd en ernstige kwetsbaarheden kunnen dan ook grote gevolgen hebben. Twee jaar geleden werd het Heartbleed-lek in OpenSSL ontdekt, een ander ernstig lek dat uiteindelijk actief werd gebruikt om servers en systemen aan te vallen. bron: security.nl

Microsoft heeft een onderdeel van Windows verwijderd omdat het allerlei beveiligingslekken bleek te bevatten. Het gaat om het notitieprogramma Windows Journal dat sinds november 2002 met het verschijnen van Windows XP Tablet PC Edition onderdeel van Windows uitmaakt. Het bestandsformaat dat Windows Journal gebruikt, Journal Note File (JNT), blijkt voor een "groot aantal aanvallen" kwetsbaar te zijn. Het openen van een kwaadaardig JNT-bestand zou een aanvaller willekeurige code op de computer kunnen laten uitvoeren, zoals het installeren van malware, zo waarschuwt beveiligingsbedrijf Fortinet. Daarom besloot Microsoft Windows Journal permanent uit Windows te verwijderen. Hiervoor bracht de softwaregigant vorige maand beveiligingsupdate KB3161102 uit. Gebruikers die de update nog niet hebben geïnstalleerd krijgen het advies dit alsnog te doen. In Windows 10 is het onderdeel via de "Anniversary Update" verwijderd. bron: security.nl

Een functie in Firefox en Google Chrome die gebruikers in het geval van crashes moet helpen kan er juist voor zorgen dat ssd-schijven minder lang meegaan, zo heeft een onderzoeker ontdekt en is inmiddels door Mozilla bevestigd. Firefox maakt continu een back-up van de huidige sessie op de harde schijf. De browser doet dit zodat in het geval van een crash alle geopend tabs en websites bij een herstart kunnen worden hersteld. De manier waarop Firefox dit doet genereert echter zeer veel data die continu naar de harde schijf worden geschreven. Het kan om meer dan 10GB aan data per dag gaan, zo ontdekte Sergei Bobik. De hoeveelheid data die naar een ssd kan worden geschreven is echter beperkt. Firefoxgebruikers kunnen de interval waarop de back-ups worden gemaakt in de browser aanpassen door eerst "about:config" in de adresbalk in te voeren en vervolgens naar de optie "browser.sessionstore.interval" te zoeken. Standaard staat het op 15 seconden ingesteld. Bobik veranderde dit naar 30 minuten en zag de hoeveelheid data naar 2GB per dag afnemen. De onderzoeker adviseert eigenaren van goedkopere ssd-schijven om hun Firefox-instellingen aan te passen, aangezien deze harde schijven zijn beoordeeld om 20GB aan data per dag weg te schrijven en Firefox in dit geval al voor meer dan de helft verantwoordelijk is. Firefox-ontwikkelaar David Rajchenbach-Teller laat op het blog van Bobik weten dat hij één van de verantwoordelijken voor deze functie en de belasting van ssd-schijven is. "We zijn bekend met het probleem, maar het verhelpen vereist een compleet nieuwe architectuur van de sessieherstelfunctie. Dit is iets dat we nog niet hebben gedaan, aangezien sessieherstel erg belangrijk voor gebruikers is, dus dit moet zeer zorgvuldig met voldoende mankracht worden uitgevoerd." Nadat Bobik het probleem in Firefox had aangetroffen besloot hij ook Google Chrome te testen. Deze browser bleek 24GB per dag aan data weg te schrijven. bron: security.nl

Internetgigant Yahoo is getroffen door het grootste datalek in de geschiedenis, zo heeft de internetgigant bekendgemaakt. Aanvallers wisten eind 2014 van tenminste 500 miljoen gebruikers de gegevens te stelen. Het gaat om namen, e-mailadressen, telefoonnummers, geboortedata, gehashte wachtwoorden en in sommige gevallen versleutelde en onversleutelde veiligheidsvragen en antwoorden. Een groot deel van de wachtwoorden is met het bcrypt-algoritme gehasht, wat het moeilijker voor een aanvaller maakt om de wachtwoorden te achterhalen dan bij bijvoorbeeld het md5-algoritme het geval is. Yahoo vermoedt dat de aanval door een staat gesponsorde aanvaller is uitgevoerd, maar verdere details hierover worden niet gegeven. De internetgigant gaat alle getroffen gebruikers waarschuwen en vragen om hun wachtwoorden te wijzigen en alternatieve accountverificatie te gebruiken. Verder zijn alle onversleutelde veiligheidsvragen en antwoorden ongeldig gemaakt, zodat die niet meer te gebruiken zijn om een wachtwoord te resetten en zo een account te benaderen. Ook adviseert Yahoo gebruikers die hun wachtwoord sinds 2014 niet hebben gewijzigd om dit alsnog te doen. Wanneer Yahoo het beveiligingslek precies ontdekte en waarom het nu pas gebruikers heeft gewaarschuwd is onbekend. In augustus bood een hacker op internet de gegevens van 200 miljoen Yahoo-gebruikers aan die een paar jaar geleden bij de internetgigant zouden zijn gestolen. Volgens beveiligingsexpert Bruce Schneier is dit het grootste datalek in de geschiedenis. bron: security.nl

Wie van plan is een slimme koelkast, ip-camera of router aan te schaffen moet eerst de veiligheid van het apparaat controleren en kan beter geen wifi gebruiken, zo stelt Symantec. Volgens het bedrijf worden steeds meer Internet of Things-apparaten gehackt en gebruikt voor het uitvoeren van ddos-aanvallen. De afgelopen maanden zijn meerdere botnets bestaande uit gehackte routers en dvr-systemen ontdekt. Symantec stelt dat niet erg lastig is om dit soort "embedded devices" aan te vallen. Veel malware maakt bijvoorbeeld gebruik van standaardwachtwoorden die niet zijn gewijzigd om in te loggen. Om een eventuele infectie te voorkomen geeft het beveiligingsbedrijf daarom een elftal tips. Als eerste wordt aangeraden om de veiligheid van een apparaat uit te zoeken voordat er tot aanschaf wordt overgegaan. Verder krijgen gebruikers het advies een audit van de IoT-apparaten op hun netwerk uit te voeren. Een andere tip is het aanpassen van het standaardwachtwoord, gevolgd door onnodige diensten, alsmede ssh en telnet, uit te schakelen. Een ander advies richt zich op de aansluiting van de apparatuur. Volgens Symantec is het beter om waar mogelijk kabels in plaats van wifi te gebruiken. Wordt er toch met wifi gewerkt, dan moet er wpa-encryptie worden toegepast. Daarnaast horen IoT-apparaten, wanneer het niet is vereist, niet op afstand benaderbaar te zijn en moeten gebruikers regelmatig de website van de leverancier controleren of er geen nieuwe updates beschikbaar zijn. Als laatste moet er worden gecontroleerd dat het apparaat na een stroomstoring niet in een onveilige staat achterblijft. bron: security.nl

Internetcriminelen kunnen al voor een paar dollar per maand over een volledig functionele keylogger beschikken die wachtwoorden en inloggegevens van allerlei programma's en websites kan stelen en slachtoffers via hun eigen webcam kan bespioneren. Ook kan de keylogger virusscanners uitschakelen. De keylogger wordt iSpy genoemd, zo meldt beveiligingsbedrijf Zscaler en kan voor minder dan 4 dollar per maand worden gebruikt. Om de keylogger te verspreiden wordt er van kwaadaardige JavaScript of documenten gebruik gemaakt die via e-mail worden verstuurd. Eenmaal actief verzamelt de keylogger allerlei informatie over de besmette machine. Vervolgens worden toetsaanslagen opgeslagen en kan de keylogger licenties voor programma's zoals Adobe Photoshop en Microsoft Office stelen. Ook steelt iSpy opgeslagen wachtwoorden in de browser, e-mailprogramma's, ftp-clients en spelletjes zoals Minecraft. Daarnaast kan de keylogger slachtoffers via hun eigen webcam monitoren en hiervan foto's maken. Om detectie te voorkomen schakelt het virusscanners en andere beveiligingssoftware uit en kan het toegang tot bepaalde websites blokkeren. "Er zijn veel commerciële keyloggers voor criminelen beschikbaar en helaas zijn ze vrij gemakkelijk en zonder technische kennis te gebruiken. Ondanks het toegenomen gebruik van gespecialiseerde tools blijft de keylogger een populaire en schadelijke tool", zegt onderzoeker Nirmal Singh. bron: security.nl

Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt dat het gevraagde losgeld aan slachtoffers baseert op de eigen bestandsnaam. De meeste ransomware-exemplaren maken gebruik van een vast bedrag dat gebruikers moeten betalen om hun versleutelde gegevens te ontsleutelen. In het geval van de nu ontdekte variant van de Fantom-ransomware wordt er een apart proces gebruikt om het losgeldbedrag te bepalen. Dit laat de ontwikkelaar met hetzelfde exemplaar verschillende campagnes uitvoeren, maar afhankelijk van de bestandsnaam verschillende bedragen vragen. Als de ransomware-ontwikkelaar thuisgebruikers als doelwit heeft geeft hij de ransomware een bestandsnaam die om een lager bedrag vraagt dan wanneer bedrijven of organisaties het doelwit zijn. Het aanpassen van de bestandsnaam is hiervoor voldoende, zo laat de website Bleeping Computer weten. Zodra de Fantom-ransomware op een systeem wordt uitgevoerd controleert die de eigen procesnaam, die hetzelfde als de bestandsnaam is. Op basis hiervan wordt het losgeldbedrag bepaald. Ook wordt de procesnaam gebruikt voor vermelden van een specifiek e-mailadres om te betalen. De nieuwste versie van de Fantom-ransomware is daarnaast ook in staat om bestanden op systemen die het heeft geïnfecteerd, maar niet over een internetverbinding beschikken, te versleutelen en kan het netwerkmappen versleutelen. bron: security.nl

In het tweede kwartaal van dit jaar zijn er bijna 7.000 WordPress-sites gehackt, vaak omdat beheerders updates voor zowel WordPress als geïnstalleerde plug-ins niet hadden geïnstalleerd, zo meldt beveiligingsbedrijf Sucuri op basis van eigen gegevens dat het verzamelde (pdf). In totaal registreerde het bedrijf meer dan 9.000 gehackte sites. 6869 van deze websites draaiden op WordPress. De overige gehackte websites die werden geregistreerd draaiden voornamelijk op Drupal, Magento en Joomla. Hoewel het aantal gehackte WordPress-sites groter is dan dat van de andere systemen, wat mede is te verklaren door de populariteit van het contentmanagementsysteem, slagen WordPress-beheerders er wel beter in om hun websites up-to-date te houden. 55% van de gehackte WordPress-sites had op het moment dat ze werden gehackt niet de laatste WordPress-updates geïnstalleerd. Bij Drupal (84%), Joomla (86%) en Magento (96%) was het aantal ongepatchte websites veel groter. Een andere reden dat WordPress-sites worden gehackt is via de plug-ins die beheerders installeren en niet updaten. Oude kwetsbaarheden in drie populaire plug-ins zijn bij elkaar verantwoordelijk voor 22% van de gehackte WordPress-sites. Het gaat om de RevSlider- en GravityForms-plug-ins, gevolgd door het TimThumb-script. Voor alle drie de plug-ins is een update al meer dan een jaar beschikbaar. De patch voor TimThumb is al sinds 2011 verkrijgbaar, terwijl RevSlider sinds 2014 is gepatcht. Volgen Sucuri laat dit zien hoe lastig het is om webmasters op dit soort problemen te wijzen en ervoor te zorgen dat ze actie ondernemen. In het geval aanvallers toegang tot een website weten te krijgen installeren ze meestal een backdoor, gevolgd door kwaadaardige code die bezoekers van de website met malware probeert te infecteren. bron: security.nl

De makers van het contentmanagementsysteem (cms) Drupal hebben een nieuwe versie van Drupal 8 uitgebracht die meerdere kwetsbaarheden verhelpt, waardoor een aanvaller in het ergste geval het systeem op afstand kan overnemen, zo meldt het CERT van de Amerikaanse overheid. De update is door het Drupal-ontwikkelteam als ernstig bestempeld. Zo zou een aanvaller via een speciaal geprepareerde url willekeurige code in de url van een gebruiker kunnen uitvoeren. Daarnaast was het mogelijk om zonder beheerdersrechten de configuratiegegevens uit te lezen. Gebruikers krijgen dan ook het advies naar Drupal 8.1.10 te upgraden. bron: security.nl

Gebruikers van de populaire digitale valuta Monero zijn gewaarschuwd voor een kwetsbaarheid in de portemonnee die wordt gebruikt om het geld te beheren. Via het beveiligingslek kan een aanvaller op afstand namelijk Monero van gebruikers stelen. Het bezoeken van een website is hiervoor voldoende. Monero is een digitale valuta die zich richt op privacy, decentralisatie en schaalbaarheid. Het was deze maand na bitcoin de meest verhandelde digitale valuta. Onderzoekers van MWR Labs ontdekten in de Monero Simplewallet een cross site request forgery (csrf) kwetsbaarheid. Via csrf kan een aanvaller de browser van het slachtoffer ongewenste acties laten uitvoeren op de webapplicatie of website waar hij of zij is ingelogd. In het geval van de Monero SimpleWallet blijkt die een rpc-webdienst te hosten die geen enkele authenticatie vereist voor het uitvoeren van betalingen. Door een gebruiker naar een kwaadaardige pagina te lokken kan de aanvaller, via de browser van de gebruiker, betalingen via zijn of haar wallet uitvoeren. Zo is het mogelijk om de digitale valuta naar zijn eigen wallet over te maken. Op 6 september waarschuwde MWR Labs de ontwikkelaar voor de kwetsbaarheid. Die gaf aan met een hotfix te komen, die op 19 september verscheen. Deze patch bleek echter standaard niet te zijn ingeschakeld, waardoor gebruikers nog steeds kwetsbaar zijn. De ontwikkelaar stelt dat dit "by design" is om zo de productondersteuning niet te breken. Gebruikers moeten de patch dan ook handmatig inschakelen. Volgens de onderzoekers is een groot aantal wallets voor Monero kwetsbaar, aangezien ze allemaal Simplewallet in rpc-mode gebruiken. bron: security.nl