Captain Kirk

Het opensource-besturingssysteem Tails, dat volledig op privacy en veiligheid is gericht, heeft in de nieuwste versie verschillende extra beveiligingsfuncties ingeschakeld die gebruikers tegen aanvallen moeten beschermen. Tails staat voor The Amnesic Incognito Live System. Het is een compleet besturingssysteem dat op Debian is gebaseerd en allerlei tools bevat om anoniem te kunnen internetten. Tails is vanaf een dvd of usb-stick te gebruiken. In de nieuwste versie, Tails 2.6, wordt er van verschillende extra beveiligingsfuncties gebruik gemaakt. Zo is address space layout randomization (aslr) in de Linux-kernel ingeschakeld. Deze beveiligingsmaatregel moet gebruikers tegen bufferoverflow-aanvallen beschermen. Daarnaast is rngd ingeschakeld, een programma dat de entropie van willekeurige getallen verbetert die op computers met een hardwarematige 'random number generator' worden gegenereerd. Daarnaast is een aanpassing doorgevoerd die ervoor moet zorgen dat de inhoud van het RAM-geheugen tijdens het afsluiten sneller wordt gewist. Tails is daarnaast naar Linux 4.6 geüpgraded. Dit moet de ondersteuning van nieuwe video- en wifi-kaarten verbeteren. Tails 2.6 is te downloaden via tails.boum.org. Bestaande gebruikers kunnen naar de nieuwe versie upgraden. Versie 2.7 staat gepland voor 8 november van dit jaar. Vorig jaar lieten de Tails-ontwikkelaars weten dat dagelijks 10.000 mensen van het besturingssysteem gebruikmaken. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin 18 beveiligingslekken zijn gedicht, waarvan vier zo ernstig dat een aanvaller kwetsbare systemen in het ergste geval zou kunnen overnamen als gebruikers een kwaadaardige of gehackte website bezochten. Verder is ook een beveiligingslek verholpen waarbij een aanvaller die zich tussen een Firefoxgebruiker en het internet bevond en over een onterecht uitgegeven ssl-certificaat voor addons.mozilla.org beschikte, kwaadaardige updates voor geïnstalleerde extensies kon installeren. Dit beveiligingslek is echter niet als ernstig aangemerkt. Verder is de Login Manager van Firefox bijgewerkt zodat https-pagina's opgeslagen http-logins kunnen gebruiken. Volgens Mozilla is dit één van de voorbeelden waarop Firefox Let's Encrypt ondersteunt. Dit initiatief geeft gratis ssl-certificaten uit en heeft een volledig versleuteld web als doel gesteld. De lancering van Firefox 49 houdt ook in dat Mac OS X 10.6, 10.7 en 10.8 niet meer worden ondersteund. Volgens Net Applications hebben deze drie versies nog een wereldwijd marktaandeel van 0,56%. Ook is de Windows-ondersteuning van sse-processoren gestaakt en is Firefox Hello verwijderd. Updaten naar Firefox 49 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Symantec heeft twee ernstige kwetsbaarheden in de beveiligingssoftware gedicht waardoor gebruikers zonder enige interactie konden worden gehackt. Alleen het ontvangen van een e-mailbijlage met een kwaadaardig rar-bestand was voldoende om een aanvaller volledige controle over het systeem te geven. De kwetsbaarheden werden door Google-onderzoeker Tavis Ormandy ontdekt. Voor het analyseren van rar-bestanden gebruikte de beveiligingssoftware van Symantec een jaren oud uitpakprogramma waarin tientallen bekende kwetsbaarheden in aanwezig zijn. De beveiligingsleverancier stelt dat een aanvaller via de beveiligingslekken alleen een denial of service kan veroorzaken, maar volgens Ormandy is dat niet waar. Hij heeft twee demonstraties online gezet waarbij een aanvaller op afstand met de allerhoogst mogelijke rechten willekeurige code op de computer kan uitvoeren, zoals het installeren van malware. De kwetsbaarheden zijn aanwezig in een groot aantal Symantec- en Norton-producten. In het geval van de Norton-producten zijn die volgens Symantec via de automatische updatefunctie bijgewerkt. Voor de zakelijke beveiligingssoftware zijn in sommige gevallen de updates ook automatisch uitgerold, maar zullen die in andere gevallen handmatig moeten worden geïnstalleerd. bron: security.nl

Microsoft heeft bedrijven en organisaties gewaarschuwd om te stoppen met het bijna 30 jaar oude SMB1-protocol, dat Windows gebruikt voor het het delen van bestanden en printers op een lokaal netwerk. Vorige week publiceerde Microsoft een belangrijke update voor Windows SMB1 Server. De software is onderdeel van alle ondersteunde Windowsversies. Via de kwetsbaarheid in SMB1 (Server Message Block) zou een aanvaller die over inloggegevens beschikt kwetsbare servers kunnen overnemen. "Als je deze beveiligingsupdate nodig hebt, heb je een veel groter probleem. Je maakt namelijk nog steeds gebruik van SMB1", zegt Microsofts Ned Pyle. Hij wijst erop dat het SMB1-protocol bijna 30 jaar oud is. "En net als veel andere software die in de jaren 1980 is gemaakt, was het ontwikkeld voor een wereld die niet langer bestaat. Een wereld zonder aanvallers en zonder grote hoeveelheden belangrijke data", aldus Pyle. De 'naïviteit' van het protocol is volgens hem nauwelijks te bevatten. SMB1 is namelijk onveilig en biedt geen bescherming tegen allerlei soorten aanvallen. Zo is het protocol zeer gevoelig voor man-in-the-middle-aanvallen. Daarnaast laten ook de prestaties en efficiëntie te wensen over. In de meeste gevallen is het protocol volgens Pyle niet nodig. Alleen in bepaalde situaties kan het gebruik te verantwoorden zijn, zoals bij oude multifunctionele printers, systemen die op Windows XP of Server 2003 draaien of oude beheersoftware. Pyle adviseert bedrijven dan ook om SMB1 van clients en servers te verwijderen. Microsoft heeft bedrijven inmiddels om feedback gevraagd over het standaard uitschakelen van SMB1 in Windows 10 Enterprise en Windows 10 Education. bron: security.nl

Er is er een nieuwe versie van de browser Opera gelanceerd die over een nieuwe ingebouwde gratis vpn-dienst beschikt. Opera is daarmee de eerste grote browser die een dergelijke feature aanbiedt. Via een virtual private network (vpn) wordt er een versleutelde verbinding naar een server op een bepaalde locatie opgezet. Het vpn zorgt ervoor dat al het verkeer naar de vpn-server is versleuteld, wat handig is voor gebruikers van openbare wifi-netwerken. Daarnaast kan de vpn-gebruiker hierdoor zijn locatie aanpassen, om bijvoorbeeld van diensten gebruik te maken die alleen in bepaalde landen toegankelijk zijn. In het geval van de Opera vpn-dienst kunnen gebruikers uit vijf locaties kiezen, namelijk Nederland, Verenigde Staten, Canada, Duitsland en Singapore. "We denken dat als meer mensen wisten hoe het internet echt werkt ze een vpn zouden gebruiken, en we hopen door onze browser-vpn gratis en gebruiksvriendelijk te maken, dat het een essentiële tool voor iedereen zal worden", zegt Krystian Kolondra van Opera. Hij stelt dat vpn's tot nu toe voornamelijk werden gebruikt door mensen die wisten hoe het internet werkt. De vpn-optie staat standaard niet ingeschakeld. Eenmaal ingeschakeld verschijnt er een vpn-icoon en kunnen gebruikers de vpn in- of uit te schakelen en een locatie te kiezen. Ook kan Opera zelf de meest optimale vpn-server selecteren, gebaseerd op netwerksnelheid, locatie en capaciteit. Opera 40 is nu te downloaden. bron: security.nl

Facebook heeft een beveiligingslek gedicht waardoor het mogelijk was voor aanvallers om willekeurige Facebookpagina's over te nemen. Waar Facebook voor gebruikers profielen heeft, kunnen merken, bedrijven, organisaties en beroemdheden speciale Facebookpagina's aanmaken. Standaard kunnen de pagina's via een Facebookaccount worden beheerd en toegevoegd. Om bedrijven met het beheren van hun pagina's uitgebreider te helpen ontwikkelde Facebook de Business Manager. Deze tool laat onder andere zien wie er toegang tot de Facebookpagina's heeft en wat hun rol is. Bedrijven kunnen personen ook toegang tot de Facebookpagina geven, zodat ze aan bepaalde onderdelen van de pagina kunnen werken. Onderzoeker Arun Sureshkumar ontdekte dat bij het verzoek vanaf de Business Manager om een gebruiker een rol op de Facebookpagina toe te kennen een gebruikers_id, rol en 'asset_id' worden meegestuurd. Door het asset_id te veranderen in die van een andere Facebookpagina, en het verzoek opnieuw naar Facebook te versturen, krijgt de opgegeven gebruiker de opgegeven rol. Zodoende is het mogelijk voor een aanvaller om zich als beheerder van een willekeurige Facebookpagina aan te melden. Facebook heeft een beloningsprogramma om hackers en onderzoekers voor het melden van kwetsbaarheden te belonen. Sureshkumar informeerde Facebook op 29 augustus van dit jaar. Een week later was het probleem door Facebook verholpen. Tijdens het onderzoek naar de bug werd nog een tweede probleem ontdekt en gepatcht. Daardoor kreeg Sureshkum uiteindelijk een iets hogere beloning, namelijk 16.000 dollar. bron: security.nl

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate aangekondigd die meerdere kwetsbaarheden zal verhelpen. De beveiligingslekken bevinden zich in versies 1.1.0, 1.0.2h en 1.0.1t. Eén van de kwetsbaarheden is als "high" geclassificeerd. OpenSSL laat niet weten wat aanvallers in dit geval kunnen doen, maar stelt dat voor kwetsbaarheden met deze classificatie er altijd een nieuwe versie wordt uitgebracht. De overige beveiligingslekken vallen in de categorie "moderate" en "low". De beveiligingsupdates, met versienummers 1.1.0a, 1.0.2i en 1.0.1u, zijn aanstaande donderdag 22 september om 10:00 uur te downloaden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Adobe Flash Player is nog altijd de meest aangevallen software via exploitkits, zo blijkt uit onderzoek van beveiligingsbedrijf Digital Shadows. Exploitkits zijn programma's die kwetsbaarheden in browsers en browserplug-ins gebruiken om automatisch malware bij internetgebruikers te installeren. Het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Vaak gaat het hier om kwetsbaarheden waarvoor beveiligingsupdates beschikbaar zijn, maar die gebruikers niet hebben geïnstalleerd. Digital Shadows onderzocht 22 exploitskits die cybercriminelen de afgelopen jaren hebben gebruikt. Deze exploitkits, met namen als Fiesta, Magnitude, RIG, Nuclear en Neutrino, bleken in totaal 76 verschillende kwetsbaarheden aan te vallen. Deze beveiligingslekken bevinden zich in Adobe Flash Player, Oracle Java, Internet Explorer, Mozilla Firefox, Adobe Reader en Microsoft Silverlight. Flash Player is met 27 van de 76 aangevallen kwetsbaarheden het voornaamste doelwit. Een ander belangrijk doelwit is Internet Explorer. Van de 22 onderzochte exploitkits hadden er 11 een exploit voor een beveiligingslek in Internet Explorer 6 tot en met 10 dat Microsoft in 2013 patchte. Een groot deel van de geanalyseerde exploitkits wordt inmiddels niet meer ondersteund of maakt alleen gebruik van oude kwetsbaarheden en wordt zodoende steeds minder effectief. De onderzoekers keken daarom ook naar beveiligingslekken van 2015 en 2016 waar exploitkits gebruik van maken. Dan blijkt dat de Top 6 van meest aangevallen kwetsbaarheden alleen uit Adobe Flash Player bestaat. Verder zijn ook recente kwetsbaarheden in IE en Silverlight een doelwit. Hoewel Flash Player het favoriete doelwit blijft, zijn er in de toekomst ook andere programma's die cybercriminelen kunnen aanvallen, zo concluderen de onderzoekers. bron: security.nl

Cisco waarschuwt voor een nieuw beveiligingslek dat afkomstig van de Amerikaanse inlichtingendienst NSA is en waarmee aanvallers gevoelige data uit netwerkapparaten kunnen stelen. Het lek werd gevonden via een verzameling tools en exploits van de NSA die onlangs op internet verscheen. Eén van de NSA-exploits in deze dataverzameling was gericht tegen PIX-firewalls die Cisco al sinds 2009 niet meer ondersteunt. Verder onderzoek wees uit dat hetzelfde lek ook in Cisco IOS, Cisco IOS XE en Cisco IOS XR aanwezig is. Het probleem bevindt zich in de code die voor het verwerken van IKEv1-pakketten wordt gebruikt. Door het lek kan een aanvaller zonder inloggegevens de inhoud van het geheugen achterhalen, waardoor gevoelige informatie uit netwerkapparaten kan worden gestolen. Cisco werkt inmiddels aan een beveiligingsupdate. In de tussentijd zijn er geen "workarounds" voor de kwetsbaarheid. Het enige dat systeembeheerders kunnen doen is het gebruik van intrustion pevention of detection systemen (IPS/IDS) om eventuele aanvallen op de kwetsbaarheid te detecteren. Eind augustus kwam de netwerkgigant ook al met een beveiligingsupdate voor een kwetsbaarheid waarmee de NSA allerlei netwerkapparaten van bedrijven en organisaties kon aanvallen. Het ging om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait. Via de kwetsbaarheid kon een aanvaller volledige controle over deze systemen krijgen. bron: security.nl

Het Tor Project heeft een ernstig beveiligingslek in Tor Browser gedicht waardoor gebruikers van de browser met malware konden worden geïnfecteerd, ongeacht welk platform ze gebruikten. De kwetsbaarheid bevindt zich in het updaten van browser-extensies en werd eerder deze week onthuld. Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller die voor addons.mozilla.org een geldig ssl-certificaat weet te verkrijgen kan vervolgens een kwaadaardige extensie-update aanbieden en zo willekeurige code op het systeem van Tor Browser-gebruikers uitvoeren. De kern van het probleem is volgens onderzoekers dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet goed hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Deze controle is in het geval van Firefox en Tor Browser te omzeilen. Het vereist nog steeds dat de aanvaller over een geldig ssl-certificaat voor addons.mozilla.org moet beschikken, maar volgens het Tor Project is dit haalbaar voor landen en inlichtingendiensten. Partijen die vaak interesse in Tor-gebruikers hebben. Gebruikers krijgen dan ook het dringende advies om zo snel als mogelijk naar Tor Browser 6.0.5 te updaten, die op Firefox 45.4.0esr is gebaseerd. In deze versie is het probleem gepatcht. Mozilla heeft de kwetsbaarheid in de verschillende Firefox-versies verholpen, maar deze versies zijn op het moment van schrijven nog niet uitgekomen. Verder bevat Tor 6.0.5 nieuwe versies van de Tor-software en HTTPS-Everywhere. Updaten kan via de browser of TorProject.org. bron: security.nl

De beheerders van OpenSSL hebben laten weten dat ze binnenkort stoppen met het aanbieden van downloads via de ftp-server ftp.openssl.org. "Over een aantal weken zullen we de ftp-toegang tot tarballs en snapshots uit de lucht halen", meldt Rich Salz van het OpenSSL-team via de OpenSSL-mailinglist. Een reden voor de maatregel wordt niet gegeven. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. OpenSSL-versies die via de website zelf worden aangeboden gaan via https, dat in tegenstelling tot ftp wel is versleuteld. Vanwege de maatregel krijgen beheerders het advies om scripts aan te passen die via de ftp-server nieuwe OpenSSL-versies downloaden, aangezien die straks niet meer zullen werken. bron: security.nl

Beste leerkracht, Het zou best eens kunnen dat de school het draadloze netwerk met een IP-protocol heeft beveiligd. Dus alleen wanneer je IP bekend is, krijg je de volledige verbinding. Ik zou je adviseren contact op te nemen met je ICT-er of systeembeheerder op de school zelf.

Fijn dat je probleem is opgelost en tevreden bent. Indien je geen vragen meer hebt mag je dit topic op slot zetten. Heb je een andere vraag of probleem: je weet ons te vinden

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat de volledige harde schijf versleutelt, alsmede alle bestanden op aangesloten netwerkschijven. Daarnaast overschrijft deze ransomware ook de Master Boot Record (MBR) van de harde schijf, waardoor het systeem niet meer start. HDDCryptor, zoals de ransomware wordt genoemd, kan via kwaadaardige websites of al aanwezige malware op de computer worden verspreid. Eenmaal actief zoekt de ransomware naar aangesloten netwerkschijven en versleutelt alle bestanden op deze schijven. Ook zoekt het naar netwerkschijven waar eerder verbinding mee is gemaakt. Via het programma netpass.exe probeert het de inloggegevens voor deze schijven te stelen, zodat het vervolgens zelf toegang kan krijgen en de aanwezige bestanden kan versleutelen. Netpass is een freeware-programma voor het achterhalen van netwerkwachtwoorden. De versleuteling van de harde schijf vindt plaats via DiskCryptor, een opensourceversleutelingsprogramma. Via deze software wordt ook de MBR van de harde schijf overschreven. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf. Het is essentieel voor de computer om te kunnen starten. Slachtoffers kunnen het systeem dan ook niet meer starten. Om slachtoffers toch instructies te geven hoe ze het losgeld voor het ontsleutelen kunnen betalen voegt de ransomware een aangepaste bootloader toe. Zodra de computer wordt gestart toont deze bootloader de instructies. Volgens het Japanse anti-virusbedrijf Trend Micro maakt de ransomware op alle besmette systemen van hetzelfde malware-id gebruik, wat suggereert dat er één decryptiesleutel is om alle systemen te ontsleutelen. Deze decryptiesleutel is echter nog niet achterhaald. bron: security.nl

Opera gaat in de nieuwste versie van de browser langere wachtwoorden voor Sync-gebruikers verplichten. De browserontwikkelaar biedt Opera-gebruikers die een account aanmaken via "Sync" de mogelijkheid om hun gegevens in de browser met andere apparaten te synchroniseren. Het gaat dan om gebruikersnamen, wachtwoorden, bookmarks en surfgeschiedenis. Onlangs werd bekend dat de Sync-server van Opera was gehackt, waarbij aanvallers mogelijk toegang tot gebruikersnamen en wachtwoorden van 1,7 miljoen Sync-gebruikers hadden gekregen. Uit voorzorg besloot Opera van alle gebruikers met een Sync-account het wachtwoord te resetten. In Opera 40 is de karakterlimiet voor wachtwoorden verlengd. Nieuwe Sync-gebruikers zullen straks een wachtwoord van minimaal 12 karakters moeten kiezen, zo blijkt uit een omschrijving van de testversie van Opera 40. De uiteindelijke versie van Opera 40 wordt volgende week verwacht. bron: security.nl

Het zero day-lek in Internet Explorer en Edge dat Microsoft dinsdag patchte blijkt al sinds 2014 te zijn gebruikt bij het infecteren van internetgebruikers via besmette advertenties. De kwetsbaarheid laat een aanvaller informatie over het systeem achterhalen en werd vorig jaar voor het eerst gerapporteerd. Beveiligingsbedrijven Trend Micro en Proofpoint rapporteerden de kwetsbaarheid dit jaar aan Microsoft, waarop het beveiligingslek door de softwaregigant werd opgepakt. Verder onderzoek wees uit dat het beveiligingslek door twee groepen cybercriminelen werd gebruikt. Deze groepen maakten gebruik van besmette advertenties om internetgebruikers met malware te infecteren. Voordat de daadwerkelijke infectie plaatsvond, bijvoorbeeld via een kwetsbaarheid in Adobe Flash Player of Internet Explorer, werd het informatielek in Microsofts browsers gebruikt om informatie over het aangevallen systeem te verzamelen. Zo konden de aanvallers bepalen of het aangevallen systeem van een onderzoeker of een geautomatiseerd systeem van een beveiligingsbedrijf was. Was dit het geval, dan werden deze systemen niet geïnfecteerd. De aanvallers konden op deze manier langere tijd onopgemerkt te werk gaan. "Aanvallers maken steeds vaker gebruik van niet-ernstige kwetsbaarheden die maanden of jaren ongepatcht blijven. In dit geval gebruikten de aanvallers een specifieke kwetsbaarheid om detectie door onderzoekers en geautomatiseerde systemen te voorkomen, ook al waren ze met een grootschalige campagne van besmette advertenties bezig", zegt onderzoeker Kafeine van beveiligingsbedrijf Proofpoint. Hij stelt dat softwareleveranciers, organisaties en gebruikers meer aandacht voor patching moeten hebben en onderzoekers naar nieuwe methodes moeten kijken om kwaadaardige activiteiten op internet te ontdekken. bron: security.nl

Microsoft heeft van 6,8 miljoen Windowscomputers een programma verwijderd dat allerlei aanpassingen aan de browser maakt en advertenties laat zien waardoor websites trager laden. De software wordt "Prifou" genoemd, wat een afkorting is voor PriceFountain, en heeft het tonen van advertenties als doel. Prifou wordt vooral verspreid via softwarebundels. Het gaat dan om een installatieprogramma of bundel die naast het gewenste programma ook allerlei aanvullende software installeert. Eerdere versies van Prifou installeerden zichzelf als browser-extensie, maar de nieuwste versie injecteert zichzelf direct in het browserproces. Het kan dit zowel bij Internet Explorer als Firefox doen. Vervolgens laat Prifou allerlei advertenties zien, gebaseerd op zaken waar de gebruiker naar zoekt of shopt. Iets wat het laden van websites vertraagt, aldus Microsoft. De afgelopen twee maanden werd de browserkaper op 6,8 miljoen computers wereldwijd door de softwaregigant aangetroffen. Als onderdeel van een initiatief tegen ongewenste software, zoals browserkapers en toolbars, worden dit soort programma's nu ook door Microsoft verwijderd. De softwaregigant doet dit via de Malicious Software Removal Tool (MSRT), de in Windows ingebouwde virusverwijdertool. Tijdens het installeren van de maandelijkse Windowsupdates wordt ook de MSRT met nieuwe definities bijgewerkt en scant vervolgens de computer op kwaadaardige en ongewenste software. Gisteren heeft Microsoft een update uitgerold zodat de MSRT ook Prifou kan detecteren en verwijderen. bron: security.nl

Door verschillende kwetsbaarheden aan elkaar te koppelen is het mogelijk om gebruikers van Tor Browser met malware te infecteren, ongeacht welk platform ze gebruiken, zo claimt een beveiligingsonderzoeker genaamd "movrcx". De aanval zou zowel door een staat als de beheerder van een Tor-exitserver zijn uit te voeren, maar is niet eenvoudig, aangezien er een geldig of gespooft certificaat voor addons.mozilla.org is vereist. Daarnaast moet de aanvaller voldoende Tor-exitservers beheren. Ook dit is volgens de onderzoeker niet ondenkbaar. Het privacynetwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor Browser-gebruikers verwerken. Dit verkeer loopt via meerdere servers om de identiteit van de gebruiker te maskeren. Zo is de eerste server de "entry guard", die het verzoek van de Tor-gebruiker naar de "relay node" doorstuurt. Vervolgens gaat het van deze server naar de "exit-node", die het verzoek naar het internet stuurt. Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller kan met het eerder verkregen certificaat het updateverkeer van de NoScript-extensie in Tor Browser naar addons.mozilla.org onderscheppen. Vervolgens stuurt de aanvaller een kwaadaardige extensie terug die vervolgens zonder interactie van gebruikers wordt geïnstalleerd. De kern van het probleem is volgens de onderzoeker dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Als het certificaat door een certificaatautoriteit is uitgegeven die niet op de whitelist staat geeft de browser een waarschuwing. Google Chrome ondersteunde deze maatregel als eerste en zorgde er zo voor dat de aanval op DigiNotar in de openbaarheid kwam. Volgens de onderzoeker kan een aanvaller die over voldoende middelen beschikt via de door hem geschetste methode alle Tor Browser-gebruikers infecteren. Naar eigen zeggen is het onderzoek naar de aanvalsmethode nog in volle gang, maar heeft hij besloten nu al in de openbaarheid te treden zodat er snel een oplossing kan worden uitgerold. bron: security.nl

Microsoft gaat vanaf volgende maand onveilige versies van Adobe Flash Player in Internet Explorer 11 blokkeren, net zoals Apple met Safari doet. De maatregel gaat gelden voor gebruikers van Windows 7 SP1 en Windows Server 2008 R2, aangezien deze gebruikers Flash-updates zelf moeten installeren. Op Windows 8.1 en Windows 10 wordt de embedded Flash Player in Internet Explorer 11 namelijk automatisch door Microsoft bijgewerkt. IE11-gebruikers die vanaf 11 oktober een website bezoeken die een oudere versie van Flash Player op de computer aanroept krijgen een waarschuwing te zien dat Flash Player is geblokkeerd en moet worden bijgewerkt, zo laat Microsoft weten. De implementatie van de softwaregigant is echter zeer beperkt. IE zal namelijk één keer per tab-proces voor de verouderde Flash Player-versies waarschuwen. Alle volgende aanroepen worden toegestaan. Tevens krijgen gebruikers die geen lid van de Local Administrators-groep op de computer zijn de waarschuwingen niet te zien. Een ander zeer belangrijk punt is dat de blokkade alleen voor Flash Player-versies ouder dan versie 21.0.0.198 gaat gelden. Inmiddels is Flash Player versie 23.0.0.162 de meest recente versie en zijn in de versies hiervoor allerlei kwetsbaarheden aangetroffen. De blokkade stopt daarnaast op 10 november van dit jaar. bron: security.nl

De Belgische politie heeft op de eigen website gewaarschuwd voor de manier waarop Google allerlei gegevens over gebruikers verzamelt, aangezien de internetgigant dit op "verdoken wijze" doet. Volgens de waarschuwing komt Google via Androidtelefoons en -tablets veel over mensen te weten. Om de verzameldrift te beteugelen wijst de Belgische politie daarom naar een nieuwe optie van Google-accounts genaamd "mijn activiteit". Hiermee krijgen gebruikers inzicht in welke gegevens Google over hen heeft verzameld en kunnen privacyinstellingen worden aangepast. "En u zou wel eens zeer verrast kunnen zijn over de hoeveelheid verzamelde informatie", aldus de Belgische politie. Die wijst erop dat gebruikers hun gegevens kunnen wissen en de registratie van activiteiten kunnen blokkeren. bron: security.nl

Tijdens de patchronde van september heeft Microsoft bijna 50 beveiligingslekken in Internet Explorer, Edge, Windows, Silverlight, Office en Exchange verholpen waardoor een aanvaller in het ergste geval kwetsbare systemen volledig kon overnemen. Interactie van gebruikers was hierbij nauwelijks vereist. In totaal verschenen er 13 updates waarvan er 6 als ernstig zijn aangemerkt. De overige 7 patches zijn met de beoordeling "belangrijk" lager ingeschaald. Twee van de kwetsbaarheden zijn zogeheten "zero days", beveiligingslekken die al voor het verschijnen van de beveiligingsupdate bekend waren of werden aangevallen. Een beveiligingslek in zowel Internet Explorer als Microsoft Edge werd actief aangevallen en liet aanvallers informatie uit de browser stelen. Om wat voor gegevens het precies gaat laat Microsoft niet weten. Daarnaast was er een andere kwetsbaarheid in Windows waardoor een aanvaller ook informatie kon achterhalen. Dit beveiligingslek was al voor het verschijnen van de update openbaar gemaakt, maar is volgens Microsoft niet aangevallen. De meeste kwetsbaarheden werden deze maand in Microsoft Office gedicht, het ging in totaal om 13 kwetsbaarheden. Edge en Internet Explorer volgende met respectievelijk 12 en 10 beveiligingslekken, hoewel beide browsers verschillende kwetsbaarheden gemeen hebben. Verder is er ook een rechtenlek in Windows verholpen waardoor een aanvaller met fysieke toegang tot een computer via het vergrendelscherm zijn rechten kon verhogen. Om dit beveiligingslek te misbruiken moest een aanvaller de computer met een kwaadaardige wifi-hotspot laten verbinden of een mobiele breedband-adapter aansluiten. Vervolgens was het mogelijk om code op de vergrendelde computer uit te voeren. De beveiligingsupdates zullen op de meeste computers automatisch worden geïnstalleerd. bron: security.nl

Mozilla heeft bij Firefoxgebruikers oudere versies van de adblocker Stop Ads geblokkeerd, aangezien de browseruitbreiding de volledige surfgeschiedenis naar een derde partij doorstuurde. Stop Ads blokkeert net als andere adblockers advertenties, pop-ups en trackers. Versie 0.0.4 en eerder stuurden echter ook alle bezochte url's naar een derde partij door, terwijl dit helemaal niet nodig was voor de werking van de browseruitbreiding. Aanleiding voor Mozilla om in te grijpen. De opensourceontwikkelaar beschikt over de mogelijkheid om add-ons die voor problemen zorgen op afstand te blokkeren. Firefoxgebruikers hebben echter wel de keuze om de add-on weer in te schakelen. Inmiddels is er een nieuwe versie van de adblocker uitgekomen die niet wordt geblokkeerd. Stop Ads heeft ruim 56.000 gebruikers. bron: security.nl

Op internet zijn verschillende websites te vinden die documenten naar een ander formaat omzetten, zoals pdf naar doc, maar dit is niet zonder risico. Daarvoor waarschuwt Rob VandenBrink, handler bij het Internet Storm Center. VandenBrink kreeg het verzoek van zijn vrouw om een pdf-document naar een docx-bestand om te zetten. Op internet kwam hij meerdere gratis "converters" tegen die dit konden doen. Drie van de vijf converters die werden getest bleken kwaadaardige code aan het document toe te voegen, namelijk een exploit van de Angler-exploitkit. Angler is een exploitkit die de afgelopen jaren zeer populair was. In juni werden de ontwikkelaars echter opgepakt. Welke exploit aan het document werd toegevoegd laat VandenBrink niet weten. Angler maakte misbruik van kwetsbaarheden in Adobe Flash Player, Internet Explorer en Microsoft Silverlight. Hoewel gebruikers vooral werden aangevallen via gehackte websites en besmette advertenties, is het ook mogelijk om een kwaadaardig Flash-object aan een Office-document toe te voegen. Het openen van dit document op een computer met een kwetsbare Flash Player-versie zorgt er voor dat er stilletjes malware wordt geïnstalleerd. Welke websites de exploitcode toevoegen laat VandenBrink ook niet weten. Wel waarschuwt hij voor gratis diensten op het web. "Als het gratis is, ben jij het product". bron: security.nl

Een beveiligingsbedrijf heeft de versleutelingssoftware VeraCrypt geaudit en zal de resultaten binnenkort openbaar maken, als de ontwikkelaars van de encryptiesoftware de tijd hebben gehad om alle gevonden problemen te verhelpen. Dat laat het Open Source Technology Improvement Fund (OSTIF) weten. VeraCrypt is een opensourceprogramma waar gebruikers bestanden, usb-sticks, externe harde schijven en zelfs complete systemen mee kunnen versleutelen. Het is gebaseerd op het bekende versleutelingsprogramma TrueCrypt, waarvan de ondersteuning in 2014 werd gestopt. TrueCrypt is echter op de aanwezigheid van backdoors geaudit, wat niet geldt voor VeraCrypt. Door het laten uitvoeren van een professionele audit wil het OSTIF hier verandering in brengen. Het OSTIF is een nonprofit-organisatie die op verschillende manieren helpt bij het veiliger maken van opensourceprojecten. Het gaat bijvoorbeeld om beloningsprogramma's voor het melden van kwetsbaarheden, het financieren van codeverbeteringen en het laten uitvoeren van audits. De audit van VeraCrypt werd door beveiligingsbedrijf QuarksLab uitgevoerd en heeft ruim drie weken in beslag genomen. De ontwikkelaars van VeraCrypt hebben de voorlopige bevindingen inmiddels ontvangen, terwijl het auditrapport nu verder wordt afgerond. "Om ervoor te zorgen dat het publiek zo veilig als mogelijk is, zal het auditrapport pas verschijnen als alle bugs zijn verholpen. Deze vertraging moet ervoor zorgen dat een nieuwe versie van de software gelijktijdig met de publicatie van de auditresultaten beschikbaar is", zo laat het OSTIF weten. De resultaten zullen tegelijkertijd op de website van VeraCrypt, het OSTIF en QuarksLab worden gepubliceerd. bron: security.nl

Een backdoor in kabelmodems van fabrikant Arris wordt gebruikt door een worm, die besmette toestellen vervolgens inzet voor het uitvoeren van ddos-aanvallen tegen websites en webdiensten. Al verschillende jaren waarschuwen onderzoekers voor backdoor-accounts in Arris-kabelmodems. Eén van deze onderzoekers is Bernardo Rodrigues die eind vorig jaar een backdoor in 600.000 via internet toegankelijke Arris-kabelmodems aantoonde. Destijds besloot Rodrigues geen "proof-of-concept" vrij te geven, uit angst dat een worm hier mogelijk misbruik van zou maken. Die angst was gerechtvaardigd, want sinds mei van dit jaar is er een worm actief die kwetsbare Arris-kabelmodems in verschillende fases infecteert. Tijdens de eerste fase wordt de remote toegang tot de kabelmodem beperkt. "Dit is een zeer interessante aanpak, omdat ze snel het internet kunnen scannen en externe toegang tot deze toestellen kunnen blokkeren om ze vervolgens met de uiteindelijke malware te infecteren", zegt Rodriques. Deze uiteindelijke malware maakt de modem onderdeel van een ddos-botnet. Tijdens zijn presentatie vorig jaar waren er meer dan 600.000 kwetsbare Arris-kabelmodems op internet te vinden, waarvan er bij 490.000 telnet was ingeschakeld. Inmiddels is dat aantal naar 35.000 gedaald. De onderzoeker vraagt zich af hoeveel van de niet meer zichtbare apparaten door de malware zijn besmet, waarna de externe toegang is beperkt. "Het grote aantal Linux-apparaten met een beheerdersinterface die via internet toegankelijk is, het gebruik van zelfgemaakte backdoors, het gebrek aan firmware-updates en het gemak waarmee Internet of Things-exploits zijn te maken maakt deze apparaten een eenvoudig doelwit voor internetcriminelen", stelt Rodriques. Hij waarschuwt dat Internet of Things-botnets dan ook een probleem aan het worden zijn en fabrikanten veiligere producten moeten ontwikkelen, internetproviders updates moeten uitrollen en eindgebruikers hun eigen apparatuur moeten patchen. In het geval van de Arris-worm kan die worden verwijderd door de kabelmodem te resetten, aangezien de worm een reboot niet overleeft. bron: security.nl