Captain Kirk

Het Tor Project heeft alarm geslagen wegens nieuw beleid dat binnenkort van kracht wordt en de FBI de bevoegdheid geeft om wereldwijd computers te hacken. Het gaat om aanpassingen aan "Rule 41", die zonder ingrijpen van het congres automatisch op 1 december van kracht worden. De aanpassingen zorgen ervoor dat een rechter straks de FBI een bevel kan geven om elektronische media te verzamelen die zich buiten het district van de rechter bevindt of binnen het gerechtelijk district als de locatie "via technologische middelen" is verborgen. "Bijvoorbeeld als iemand Tor gebruikt", laat 'Ailanthus' van het Tor Project weten. De nieuwe regels zouden ook voor mensen gelden die van het Tor-anonimiseringsnetwerk gebruikmaken, zoals journalisten en mensenrechtenactivisten. Volgens Ailanthus mag de FBI straks op afstand iemands telefoon of computer hacken en doorzoeken, alsmede hun data verwijderen. Ook zal de Amerikaanse opsporingsdienst computers met malware mogen infecteren. "En zal het kwetsbaarheden creëren waardoor gebruikers risico lopen", gaat de Tor Project-medewerker verder. Al deze belangrijke veranderingen worden buiten de controle van het congres om doorgevoerd. De Amerikaanse Senator Ron Wyden heeft zich nu tegen Rule 41 uitgesproken en een voorstel gedaan om de komende aanpassingen terug te draaien. Het Tor Project roept Amerikanen dan ook op om de senator van hun staat te benaderen en te vragen of ze het "Stop Mass Hacking" wetsvoorstel van Wyden willen steunen. Eerder stuurden ook al meer dan 50 Amerikaanse techbedrijven en organisaties een brief naar het congres om de aanpassingen van Rule 41 te stoppen. bron: security.nl

Een beveiligingsonderzoeker heeft besloten een ernstig beveiligingslek in Oracle MySQL-server openbaar te maken, aangezien Oracle pas over een maand met een beveiligingsupdate komt en andere aanbieders van databasemanagementsystemen inmiddels wel beveiligingsupdates hebben uitgebracht. Volgens onderzoeker David Golunski kan een aanvaller via de kwetsbaarheid op afstand kwaadaardige instellingen in de MySQL-configuratiebestanden doorvoeren. Vervolgens zou het mogelijk zijn om willekeurige code met rootrechten uit te voeren en zo de server volledig over te nemen. Zowel op Hacker News als Reddit is er discussie over de impact van de kwetsbaarheid ontstaan. Een aanvaller moet namelijk toegang tot MySQL hebben en queries moeten kunnen uitvoeren. Daarnaast zijn er ook andere voorwaarden. Het lijkt vooral een probleem in shared hosting-omgevingen te zijn. Lucb1e laat op Hacker News weten dat de kwetsbaarheid gebruikers die op een MySQL-server queries kunnen uitvoeren, oftewel door legitieme toegang in het geval van bijvoorbeeld shared hosting, of via een sql-injectie-kwetsbaarheid, willekeurige opdrachten kunnen uitvoeren waardoor de server kan worden overgenomen. Golunski waarschuwde Oracle en de ontwikkelaars van MariaDB en PerconaDB op 29 juli. Eind augustus hadden zowel MariaDB als PerconaDB het beveiligingslek in hun software gepatcht. Aangezien Oracle pas op 18 oktober met een update komt, en de details over de updates voor MariaDB en PerconaDB beschikbaar zijn, besloot Golunski tot publicatie over te gaan zodat beheerders maatregelen kunnen nemen. bron: security.nl

Is goed. Heb je toch nog een vraag, je weet ons te vinden

Het gebruik van Excel-, Word- en PowerPoint-bestanden om malware te verspreiden is al geruime tijd bekend, maar nu blijken internetcriminelen ook .pub-bestanden in te zetten. Dit zijn bestanden die door Microsoft Publisher worden gebruikt. Publisher is een onderdeel van Microsoft Office. Net als de andere Office-applicaties ondersteunt ook Publisher macro's. De nu waargenomen Publisher-bestanden bevatten een kwaadaardige macro die malware probeert te installeren, zo melden Xavier Mertens, handler bij het Internet Storm Center, en de website My Online Security. De e-mail met het document heeft als onderwerp "ExxonMobile Introduction Letter" en als bijlage "Letter of Invitation.pub". Het bericht zou zogenaamd van de ceo van ExxonMobile afkomstig zijn. In het geval gebruikers de macro's inschakelen kan er malware voor internetbankieren of ransomware worden geïnstalleerd "Door het gebruik van .pub-bestanden hebben aanvallers een voordeel omdat potentiële slachtoffers de extensie .pub niet kennen. Het kan ook als "public" of "publicity" worden geïnterpreteerd, wat het document minder verdacht maakt", aldus Mertens. Hij merkt op dat spamfilters dit soort extensie niet blokkeren en veel beveiligingsonderzoekers in hun testomgevingen voor het analyseren van malware standaard geen Publisher hebben geïnstalleerd. "Daardoor is het onmogelijk om het exemplaar te analyseren", zo laat de onderzoeker weten. Van de 54 virusscanners op VirusTotal wisten 8 het kwaadaardige document te herkennen. bron: security.nl

Onderzoekers hebben een nieuw botnet van 12.000 routers ontdekt dat gebruikt wordt voor het uitvoeren van ddos-aanvallen tegen websites. De helft van de gehackte routers is gemaakt door de Chinese netwerkfabrikant Huawei, gevolgd door 2100 gehackte routers van MikroTik die op RouterOS draaien. Daarnaast werden er tussen de gehackte routers ook modellen van Dell, VodaFone, Netgear, Ubiquiti en Cisco gevonden. Het grootste deel van de gehackte routers bevindt zich in Spanje (45%), gevolgd door Latijns- en Zuid-Amerika (37%). Hoe de routers konden worden gehackt kan beveiligingsbedrijf Sucuri niet precies zeggen. Wel worden er regelmatig kwetsbaarheden in de apparaten ontdekt. Uit verder onderzoek bleek dat veel van de routers niet waren gepatcht. Daarnaast wordt niet uitgesloten dat veel van de routers via zwakke of standaardwachtwoorden zijn overgenomen. bron: security.nl

Ondanks het verschijnen van een beveiligingsupdate van Cisco zijn nog altijd tienduizenden apparaten van de netwerkgigant kwetsbaar voor een onlangs ontdekte aanval van de NSA. Het gaat om netwerkapparatuur zoals firewalls, security appliances en routers waarop de Adaptive Security Appliance (ASA) software draait. Dergelijke apparatuur wordt vooral door bedrijven, overheidsinstellingen en organisaties gebruikt. Een persoon of groep die zichzelf Shadow Brokers noemt publiceerde halverwege augustus een verzameling van tools, exploits en malware van een spionagegroep genaamd de Equation Group. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om malware en tools van de Amerikaanse inlichtingendienst NSA gaat. Eén van de exploits, genaamd EXTRABACON, richt zich op de Cisco ASA-software en maakt gebruik van een kwetsbaarheid waarvoor op het moment van de ontdekking nog geen patch bestond. Via de exploit, die op afstand is uit te voeren, kan een aanvaller door het versturen van een SNMP-pakket volledige controle over het systeem krijgen. Op 24 augustus kwam Cisco met beveiligingsupdates om het probleem te verhelpen. Kwetsbaar Om de kwetsbaarheid aan te vallen moeten ASA-apparaten SNMP hebben ingeschakeld en moet de aanvaller de mogelijkheid hebben om het apparaat via UDP SNMP te bereiken. Ook moet de aanvaller telnet- of ssh-toegang tot het apparaat hebben. Hierdoor is de grootste kans om de aanval uit te voeren vanaf het bedrijfsnetwerk. Bijvoorbeeld van een netwerkgedeelte dat SNMP- en telnet/ssh-toegang tot een kwetsbaar apparaat heeft, zo stelt beveiligingsbedrijf Rapid7. Toch zijn er op internet ook Cisco ASA-apparaten te vinden. Rapid7 besloot dan ook een scan op internet uit te voeren en ontdekte meer dan 50.000 Cisco ASA ssl-vpn-apparaten, waarvan 1310 in Nederland. Vervolgens wilden de onderzoekers kijken hoeveel van deze apparaten niet gepatcht waren. Iets dat kon worden vastgesteld op basis van de uptime. Een apparaat dat sinds het uitkomen van de beveiligingsupdate niet is gereset, is technisch kwetsbaar. Van zo'n 12.000 toestellen bleek het niet mogelijk om de timestamp te achterhalen. Van de ruim 38.000 waarbij dit wel lukte bleek dat slechts 10.000 er sinds het uitkomen van de update opnieuw waren gestart. Dit houdt in dat er ruim 28.000 apparaten technisch kwetsbaar zijn. Daarbij moet worden opgemerkt dat het hier om ASA-apparaten gaat die via internet konden worden gevonden. Het aantal ASA-apparaten dat niet zichtbaar is, is mogelijk nog veel groter, wat mogelijk ook voor het aantal ongepatchte apparaten geldt. bron: security.nl

Mozilla gaat aanpassingen in de manier doorvoeren waarop Firefox met rootcertificaten omgaat, waardoor de browser beter is geschikt voor bedrijven en andere beheerde omgevingen en ouders die het surfgedrag van hun kinderen monitoren. Rootcertificaten spelen een belangrijke rol op internet en zorgen ervoor dat browsers alleen ssl-certificaten accepteren die door vertrouwde certificaatautoriteiten zijn uitgegeven. Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd en browsers maken hier gebruik van. Dat geldt niet voor Firefox, dat over een eigen database met rootcertificaten beschikt. Dit kan een probleem zijn voor bedrijven en organisaties die hun eigen rootcertificaten beheren, bijvoorbeeld om het verkeer van werknemers te kunnen inspecteren of die eigen ssl-certificaten voor interne websites uitgeven. De bedrijven voegen in dit geval hun eigen rootcertificaat toe, zodat de ssl-certificaten die ze zelf uitgeven door de browser worden geaccepteerd. Firefox zal in dit geval een waarschuwing geven, omdat het zoals gezegd over een eigen database met rootcertificaten beschikt en de rootcertificaten van de bedrijven niet herkent. Mozilla heeft nu een feature ontwikkeld waarbij Firefox in de Windows-database kijkt voor certificaatautoriteiten die door de gebruiker of systeembeheerder zijn toegevoegd. Als Firefox een dergelijke certificaatautoriteit tegenkomt zal het voortaan ook van deze partij de ssl-certificaten accepteren als het die op een website tegenkomt. De feature is nu alleen nog aanwezig in een testversie van Firefox 49 en moet handmatig worden ingeschakeld. Door de maatregel moet het volgens Mozilla eenvoudiger worden om Firefox binnen beheerde omgevingen te gebruiken. Ouderlijke toezicht De infrastructuur die Mozilla voor de omgang met certificaatautoriteiten buiten de eigen database ontwikkelde kan ook worden gebruikt voor ouderlijk toezicht, laat Mozilla-engineer David Keeler weten. Via Microsoft Family Safety kunnen ouders het surfgedrag van hun kinderen monitoren, door logs te verzamelen en websites te blokkeren. Onlangs liet Microsoft weten dat deze maatregel alleen met de eigen Edge-browser werkt. Mozilla meldt nu dat de nieuwe functionaliteit in de browser ervoor zorgt dat Microsoft Family Safety straks ook met Firefox werkt. De maatregel zal vanaf Firefox 50 worden ingevoerd. Daardoor krijgen kinderen als ze met Firefox websites bezoeken vanaf een Windows-account dat via Microsoft Family Safety wordt gemonitord geen foutmeldingen meer. bron: security.nl

Excuus pc-vraagje, je vraag is er gewoon bij ingeschoten. Dropbox is een cloudopslag van een bedrijf. Ik ben persoonlijk altijd voorzichtig met het opslaan van gevoelige informatie in dit soort cloud-diensten. Ook al hebben ze allerlei voorwaarden en regels, ik ben wantrouwend en moet er maar van uit gaan dat ze er niet bij kunnen. Daarnaast lees je wel eens dat deze diensten aangevallen worden en gegevens van accounts gestolen zijn. Een van de redenenen dat ik dus niet snel gevoelige documenten daar plaats. Je kunt er in ieder geval voor zorgen dat gevoelige documenten welke je in de cloud op slaat, zelf beveiligd zijn. In Excell en Word is dit eenvoudig te doen. En nogmaals, excuus voor de late reactie.

Indien het probleem zich alleen voor doet wanneer je op de accu zit, zou ik je aanraden even naar je energiebeheer te kijken. Deze kan soms zo ingesteld staan dat de laptop onder accu in een soort van ECO-stand draait. In het energiebeheer is dit aan te passen.

Misschien wil Spotify je muzieksmaak uitbreiden? Even serieus: erg vervelend. Op internet kom je deze melding vaker tegen. Zie bijvoorbeeld hier: https://forum.kpn.com/overige-kpn-diensten-28/spotify-speelt-andere-nummers-af-368086 Maar een echte oplossing zie je niet. Ik zou even kijken wat er in de link beschreven wordt. Tackelt dit niet je probleem, neem dan even contact op met Spotifi-community

Beveiligingsbedrijf Malwarebytes waarschuwt internetgebruikers voor het risico van torrentprogramma's, nadat er voor de tweede keer in korte tijd malware in de torrentsoftware Transmission is aangetroffen. Aanvallers wisten beide keren via de officiële site een besmette versie van Transmission te verspreiden. Hoe de aanvallers toegang wisten te krijgen is nog onbekend. Na het eerste incident in maart zouden de Transmission-ontwikkelaars met uitleg komen, maar die werd nooit gegeven. Ook nu is er een onderzoek aangekondigd en zal er "relevante informatie" worden gedeeld. Volgens Thomas Reed is er gegronde reden om aan de veiligheid van Transmission te twijfelen, aangezien het erop lijkt dat de ontwikkelaars niets van het eerste incident hebben geleerd. Reed richt zich echter niet alleen op Transmission, aangezien alle torrent-applicaties volgens hem een risico vormen. "Elke keer dat je een torrentprogramma start geef je dat programma veel vetrouwen. Een torrentprogramma is niet alleen een downloader, maar ook een server, ontworpen om vreemden van jouw computer te laten downloaden." Reed stelt dat torrent-applicaties dan ook een groot gat in de veiligheid van een computer kunnen zijn als ze verkeerd zijn ingesteld of kwetsbaarheden bevatten die op afstand zijn aan te vallen. Veel hangt af van de kwaliteit van de code. Iets waar Reed in het geval van Transmission weinig vertrouwen meer in heeft. Ook andere torrent-apps zijn niet zonder problemen, aangezien die in sommige gevallen adware op het systeem installeren. Als het om Mac-apps gaat adviseert Reed om altijd de digitale handtekening van de app te controleren. Zo was de besmette versie van Transmission door "Digital Ignition LLC" gesigneerd. Een naam die nergens op de website van Transmission wordt vermeld. In het geval er niet met zekerheid kan worden vastgesteld of een digitale handtekening van de oorspronkelijke ontwikkelaar afkomstig is, doen gebruikers er verstandig aan de app niet te openen en vervolgens het bedrijf te benaderen om bevestiging te vragen, besluit Reed. bron: security.nl

Met de lancering van Chrome 53 blokkeert de browser nu standaard Flash-trackers op websites. De maatregel is onderdeel van een plan om steeds meer Flash-content te blokkeren om gebruikers zo tegen aanvallen te beschermen en websites sneller te laten laden. Volgens Google wordt inmiddels meer dan 90% van alle Flash-content op internet voor het volgen van internetgebruikers en analytics gebruikt. Het blokkeren van deze Flash-content zullen gebruikers dan ook niet direct merken, zo liet de internetgigant vorige maand al weten. De volgende stap in het proces om Flash-content op het web uit te faseren zal in december plaatsvinden. Met Chrome 55 zal voor alle websites standaard html5 worden gebruikt, behalve voor websites die alleen Flash ondersteunen. Voor deze websites krijgen gebruikers een melding te zien of ze Flash willen inschakelen. Updaten naar Chrome 53 zal bij de meeste gebruikers automatisch gebeuren. bron: security.nl

Bij een hack van de populaire muziekdienst Last.fm in 2012 zijn de gegevens van 43 miljoen gebruikers buitgemaakt. Het gaat om gebruikersnamen, e-mailadressen, versleutelde wachtwoorden, registratiedata en wat andere interne gegevens, zo meldt de website LeakedSource. De wachtwoorden waren met het zwakke md5-algoritme gehasht. Er was daarnaast geen salting gebruikt om het kraken van de hashes lastiger te maken. Hierdoor wist LeakedSource 96% van de wachtwoordhashes in 2 uur te kraken. Het wachtwoord 123456 is met 255.000 vermeldingen het populairste wachtwoord, gevolgd door password dat bijna 93.000 keer voorkwam. Het wachtwoord lastfm was door bijna 67.000 mensen ingesteld. Verder bevat de gestolen database 9,3 miljoen Hotmail-adressen, 8,3 miljoen Gmail-adressen en 6,5 miljoen Yahoo-adressen. Uit de registratiedata blijkt dat de website in 2009 en 2010 de meeste nieuwe gebruikers kreeg. In 2012 verscheen al een bestand met 2,5 miljoen wachtwoodhashes online. Uit voorzorg vroeg de website toen aan gebruikers of ze hun wachtwoord wilden wijzigen, maar de hack werd destijds niet door de muziekdienst bevestigd. Eerder deze week werd bekend dat bij een hack van Dropbox in 2012 de gegevens van bijna 69 miljoen gebruikers waren gestolen. bron: security.nl

Google heeft een nieuwe versie van Google Chrome uitgebracht waarin 33 beveiligingslekken zijn gedicht. Via de kwetsbaarheden kon een aanvaller in het ergste geval code in de context van een website uitvoeren, bijvoorbeeld om vertrouwelijke data van andere websites te lezen of aan te passen. Zo was het mogelijk om de adresbalk van de browser te spoofen en zijn er meerdere beveiligingslekken in de ingebouwde pdf-lezer verholpen. Twintig van de kwetsbaarheden werden door externe onderzoekers gemeld, waarvoor Google in totaal 56.500 dollar betaalde. Updaten naar Chrome 53.0.2785.89 zal op de meeste systemen automatisch gebeuren. bron: security.nl

Onderzoekers hebben malware ontdekt die meer dan 1 miljoen Internet of Things-apparaten heeft besmet, zoals digitale videorecorders en ip-camera's, en gebruikt voor het uitvoeren van ddos-aanvallen tegen websites. De malware heeft verschillende namen, zoals Lizkebab, BASHLITE, Torlus en gafgyt. Om kwetsbare apparaten te vinden worden er vanaf geïnfecteerde apparaten poortscans uitgevoerd. Zo wordt er naar Telnet-servers gezocht die op de apparaten actief zijn, om vervolgens via een brute force-aanval hier op in te loggen. De groep achter de malware maakt ook van externe scanners gebruik om kwetsbare apparaten te vinden. Bij deze methode proberen de aanvallers ook via kwetsbaarheden in de apparatuur en ssh op de toestellen in te loggen. Onderzoekers van internetprovider Level 3 ontdekten meer dan 1 miljoen besmette apparaten, voornamelijk in Taiwan, Brazilië en Columbia. Een groot deel van deze apparaten zijn digitale videorecorders van fabrikant Dahua Technology. Van alle apparaten in de ddos-botnets was bijna 96% een Internet of Things-apparaat, waarvan waarvan 95% een ip-camera of digitale videorecorder. Zo'n 4% was een router en minder dan 1% een gehackte Linux-server. "De veiligheid van Internet of Things-apparaten vormt een grote dreiging. Fabrikanten van deze apparaten moeten de veiligheid verbeteren om deze dreiging tegen te gaan", aldus de onderzoekers. Toch kunnen gebruikers maatregelen nemen, zoals het aanpassen van wachtwoorden en gebruik van veiligere protocollen. "Veel Internet of Things-apparaten laten je echter niet instellen welke diensten zijn blootgesteld en sommige gebruiken vaste wachtwoorden die niet zijn te veranderen, waardoor gebruikers weinig opties hebben", merken de onderzoekers verder op. Gezien de problemen verwachten de onderzoekers in de toekomst dan ook meer botnets die uit Internet of Things-apparaten bestaan. bron: security.nl

Adobe heeft een ernstig beveiligingslek in ColdFusion gedicht waardoor aanvallers gevoelige informatie van een webserver kunnen stelen. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn vaker websites en webapplicaties via kwetsbaarheden in ColdFusion gehackt. Hoewel Adobe van een kritieke kwetsbaarheid spreekt heeft de update een "prioriteit 2" gekregen. Het gaat in dit geval om kwetsbaarheden in producten die een verhoogd risico lopen om te worden aangevallen. Op dit moment zijn er volgens Adobe nog geen exploits bekend die van de kwetsbaarheid misbruik maken en worden die ook niet op korte termijn verwacht. Het softwarebedrijf adviseert beheerders en webmasters dan ook om de update voor ColdFusion 10 en ColdFusion 11 binnen 30 dagen te installeren. bron: security.nl

Bij de hack van cloudopslagdienst Dropbox in 2012 zijn de gegevens van zo'n 69 miljoen gebruikers gestolen, zo blijkt uit bestanden die op internet zijn verschenen. Het gaat om wachtwoordhashes en e-mailadressen. Dropbox bevestigde het beveiligingsincident al in 2012. Destijds werd echter niet bekendgemaakt om hoeveel accounts het ging. Via de website Leakbase ontving Vice Magazine een bestand met de gegevens van bijna 69 miljoen accounts. Zo'n 32 miljoen daarvan zijn met het sterke algoritme bcrypt gehasht. De overige wachtwoordhashes maken gebruik van het sha-1-algoritme. Alle wachtwoorden werden eerst gesalt voordat ze werden gehasht. In dit geval wordt er een reeks karakters aan het wachtwoord van de gebruiker toegevoegd, wat het lastiger moet maken om de hash te kraken. Vorige week besloot Dropbox dat gebruikers die voor halverwege 2012 hun Dropbox-account hadden aangemaakt hun wachtwoord moesten resetten. Daarbij werd ook naar de hack van 2012 verwezen. Dropbox kon in 2012 worden gehackt doordat een werknemer het wachtwoord van zijn werkaccount op een andere website gebruikte die werd gehackt. Update "Dit is geen nieuw beveiligingsincident, en er zijn geen aanwijzingen dat accounts van Dropboxgebruikers met deze gegevens zijn benaderd", zegt Patrick Heim van Dropbox in een reactie tegenover Security.NL. Heim meldt dat de wachtwoordreset die vorige week werd uitgevoerd alle getroffen gebruikers omvat. Hierdoor lopen Dropbox-accounts geen risico meer. Wel adviseert Heim aan gebruikers die hetzelfde wachtwoord ergens anders gebruikten daar een nieuw en uniek wachtwoord in te stellen. Inmiddels heeft ook beveiligingsonderzoeker Troy Hunt de omvang van de datadiefstal bevestigd. bron: security.nl

Onderzoekers hebben een Trojaans paard ontdekt dat op besmette systemen een nepversie van Google Chrome installeert die advertenties op bezochte sites vervangt. Om gebruikers niets te laten vermoeden worden snelkoppelingen aangepast en het gebruikersprofiel naar de nieuwe browser gekopieerd. Dat laat het Russische anti-virusbedrijf Doctor Web weten. Het gaat om de Mutabaha Trojan, die volgens de onderzoekers opvalt omdat die de UAC-beveiligingsfunctie van Windows omzeilt. UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Het is echter mogelijk UAC te omzeilen. Hiervoor gebruikt de malware een recent gepubliceerde methode waarbij het Windows Register wordt aangepast. Eenmaal actief downloadt het Trojaanse paard de nepversie van Chrome genaamd Outfire. Vervolgens wordt het gebruikersprofiel uit Chrome gekopieerd en aanwezige snelkoppelingen aangepast. Als laatste controleert de malware of er geen andere nepbrowsers op het systeem actief zijn. Is dit het geval, dan worden die verwijderd. De malafide browser laat een startpagina zien die niet door gebruiker is aan te passen. Tevens bevat het een extensie die advertenties op bezochte websites vervangt en gebruikt het een eigen zoekmachine. bron: security.nl

Onderzoekers van de Ben-Gurion Universiteit in Israël hebben een manier gedemonstreerd waardoor malware gevoelige gegevens van een niet met internet verbonden computer via de elektromagnetische straling van een usb-stick of ander usb-apparaat kan stelen. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, harde schijf, ventilatoren, afgegeven warmte en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. Dit keer lieten de onderzoekers zich door de Amerikaanse geheime dienst NSA inspireren. Uit gelekte documenten blijkt dat de NSA speciaal geprepareerde usb-connectoren met een radiozender in apparaten implementeerde, om zo gegevens van offline computers te achterhalen. De Israëlische onderzoekers ontwikkelden een oplossing genaamd USBee (pdf) die standaard usb-apparaten als zender kan gebruiken, zonder dat de hardware van tevoren moet worden aangepast. De USBee-software kan elektromagnetische straling via de databus van de usb-connector genereren om zo binaire data uit te zenden. Een aanvaller of een besmette smartphone op een paar meter afstand kan deze gemoduleerde datastroom opvangen. Het kan dan bijvoorbeeld om wachtwoorden of encryptiesleutels gaan. Volgens de onderzoekers is het mogelijk om op deze manier 20 tot 80 bytes per seconde te versturen. Voor het uitvoeren van de aanval moet de offline computer wel eerst zijn geïnfecteerd. Om dergelijke aanvallen te detecteren of te voorkomen suggereren de onderzoekers het gebruik van speciale zones voor gevoelige systemen waar andere elektronische apparatuur niet is toegestaan. Een andere mogelijkheid is een software-gebaseerde aanpak waarbij de i/o-operatie van een proces op specifieke patronen wordt gemonitord, of het afschermen van usb-apparaten zodat elektromagnetische straling wordt opgevangen. bron: security.nl

Een Britse onderzoeker heeft een manier ontdekt om via de inlogpagina van Google gebruikers willekeurige bestanden, zoals malware te laten downloaden, of ze naar willekeurige websites zoals een phishingpagina door te sturen. Google is echter niet van plan om het probleem op te lossen. Volgens onderzoeker Aidan Woods accepteert de inlogpagina van Google een kwetsbare GET-parameter genaamd "continue=[link]". De enige vereiste die aan deze parameter wordt gesteld is dat de opgegeven link naar een subdomein op Google.com wijst. Het soort opgegeven Google-dienst wordt echter niet gecontroleerd. Zo is het bijvoorbeeld mogelijk om een bestand op Google Drive in de parameter te specificeren die de gebruiker automatisch downloadt. De gebruiker moet in dit geval nog wel zelf het bestand uitvoeren. Een andere mogelijkheid is het gebruik van een 'open redirect', waarbij een gebruiker na het inloggen naar een andere website wordt doorgestuurd, bijvoorbeeld een phishingpagina die stelt dat de vorige inlogpoging niet succesvol was. Om de aanval te misbruiken zou een aanvaller naar een doelwit een link naar de echte Google-inlogpagina moeten sturen, voorzien van een kwaadaardige parameter. De gebruiker zit in dit geval op de echte Google-pagina, maar zal na het inloggen worden doorgestuurd of bij het openen van de inloglink een bestand downloaden. In het geval van de download blijft de gebruiker op de Google-inlogpagina, aldus Woods. De gebruiker zou zo kunnen denken dat het om een bestand van Google zelf gaat. In een reactie stelt Google dat het hier een phishingaanval betreft en het maatregelen heeft om dit soort aanvallen te detecteren en het gebruikers hier ook voor waarschuwt. Volgens Google is er dan ook geen sprake van een beveiligingslek dat moet worden opgelost. bron: security.nl

Microsoft waarschuwt Office-gebruikers voor een nieuwe aanval waarbij aanvallers de proxy-instellingen via een kwaadaardig docx-bestand proberen aan te passen. Door de proxy-instellingen te veranderen kunnen de aanvallers het verkeer van de gebruiker monitoren en manipuleren. Zo is het bijvoorbeeld mogelijk om wachtwoorden of andere vertrouwelijke gegevens te onderscheppen. De aanval begint met een bevestigingsmail van een bestelling. Als bijlage is er een docx-bestand meegestuurd. Het document bevat een embedded OLE-object. Een OLE-object kan bijvoorbeeld een script zijn dat aan de tekst wordt toegevoegd. Zodra gebruikers op het object klikken wordt gevraagd of ze het script willen uitvoeren. Het script kan vervolgens malware op de computer installeren of andere acties uitvoeren. In het geval van de nu waargenomen aanval worden via het script de proxy-instellingen in het Windows Register aangepast en een eigen certificaat geïnstalleerd. Dit certificaat laat de aanvallers ook via https versleuteld verkeer inspecteren. Verder wordt er voor Firefox een apart certificaat geïnstalleerd, aangezien Firefox niet de certificaatdatabase van Windows gebruikt, maar een eigen systeem. Om gebruikers te beschermen adviseert Microsoft om alleen berichten van vertrouwde afzenders en websites te openen. Daarnaast kan het Windows Register worden aangepast om te voorkomen dat OLE-objecten in documenten worden uitgevoerd. bron: security.nl

Browserontwikkelaar Opera heeft 1,7 miljoen gebruikers gewaarschuwd dat hun gegevens, zoals gebruikersnamen en wachtwoorden, mogelijk zijn gestolen bij een hack van een server. Begin deze week ontdekte Opera een aanval waarbij aanvallers toegang tot het Opera-syncsysteem wisten te krijgen. Opera biedt gebruikers die een account aanmaken de mogelijkheid om hun gegevens in de browser met andere apparaten te synchroniseren. Het gaat dan om gebruikersnamen, wachtwoorden, bookmarks en surfgeschiedenis. De aanval werd volgens Opera snel geblokkeerd, maar verder onderzoek wijst uit dat sommige gegevens van sync-gebruikers mogelijk zijn gestolen. Het gaat dan om gebruikersnamen en wachtwoorden. De wachtwoorden zijn gesalt en gehasht opgeslagen. Uit voorzorg heeft Opera van alle gebruikers met een sync-account het wachtwoord gereset. Ook zijn deze gebruikers per e-mail over het incident ingelicht en krijgen het advies om hun wachtwoord, als ze dat voor andere websites gebruiken, daar ook te veranderen. Volgens Opera zijn er 1,7 miljoen mensen die actief van sync gebruikmaken. bron: security.nl

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat slachtoffers laat geloven dat er updates voor Windows worden geïnstalleerd, maar in werkelijkheid in de achtergrond bezig is om allerlei bestanden te versleutelen. De ransomware wordt Fantom genoemd. Hoe de ransomware zich precies verspreidt is onbekend, maar eenmaal actief start Fantom een bestand genaamd WindowsUpdate.exe. Dit bestand laat een vals Windows Update-scherm zien met de melding dat er updates voor het besturingssysteem worden geconfigureerd. In werkelijkheid is het een afleidingsmanoeuvre en worden bestanden op de computer versleuteld. Hierna verschijnt op het het bureaublad de boodschap "All files encripted!!!" en krijgen slachtoffers het advies om een e-mail naar een bepaald e-mailadres voor verdere instructies te sturen, zo meldt Jakub Kroustek, onderzoeker van anti-virusbedrijf AVG. Bleeping Computer laat weten dat er nog geen manier is om versleutelde bestanden zonder te betalen te ontsleutelen. 9 van de 55 virusscanners op VirusTotal herkenden de ransomware. bron: security.nl

Mozilla gaat Firefox beschermen tegen aanvallen waarbij bestanden worden gebruikt die in werkelijkheid een ander soort bestand zijn dan ze claimen te zijn. Door de inhoud van een bestand te scannen kunnen browsers het bestandsformaat vaststellen, ongeacht welk contenttype de webserver meegeeft. Als Firefox een script van een webserver opvraagt en de server vervolgens een script terugstuurt maar stelt dat het om een afbeelding gaat, kan Firefox toch het oorspronkelijke formaat detecteren en het script uitvoeren. Deze techniek wordt MIME-sniffing genoemd. MIME staat voor Multipurpose Internet Mail Extensions en is een standaard voor het definiëren van contenttypes. Hoewel deze functionaliteit handig is maakt het ook een aanval genaamd "MIME confusion" mogelijk. Neem als voorbeeld een webapplicatie waar gebruikers afbeeldingen kunnen uploaden, maar er niet wordt gecontroleerd of de gebruiker ook daadwerkelijk een echte afbeelding heeft geupload. Zodoende kan een aanvaller een afbeelding met kwaadaardige scriptcode uploaden. Zodra de browser het bestand tegenkomt zal die de code uitvoeren, waardoor het risico op bijvoorbeeld cross-site scripting en andere aanvallen bestaat. Vanaf Firefox 50 gaat Mozilla daarom stylesheets, afbeeldingen en scripts weigeren als hun MIME-type niet overeenkomt met de context waarin het bestand is geladen. Hiervoor moet de server wel een aparte header meesturen, zo laat Mozilla's Christoph Kerschbaumer weten. Firefox 50 staat gepland voor 8 november van dit jaar. bron: security.nl

Opensource-ontwikkelaar Mozilla heeft een gratis tool ontwikkeld waarmee kan worden gecontroleerd hoe websites ssl/tls hebben geïmplementeerd. Observatory, zoals Mozilla de tool noemt, is vergelijkbaar met SSL Labs, de scandienst van beveiligingsbedrijf Qualys. De tool van Mozilla richt zich echter meer op doorsnee gebruikers, zegt Mozilla-ontwikkelaar April King. Zodra gebruikers een website op observatory.mozilla.org hebben ingevoerd wordt de opgegeven website gescand en verschijnt er vervolgens een rapport met een cijfer. Het rapport laat onder andere zien op welke onderdelen de website een voldoende of onvoldoende scoort. Volges King kunnen webmasters op deze manier eventuele configuratiefouten snel verhelpen. Een scan met de tool van 1,3 miljoen websites laat zien dat slechts 122.000 websites een voldoende scoorden. "Als negen van de tien websites een onvoldoende scoren is het duidelijk dat dit een probleem voor iedereen is", stelt King. Mozilla zou de tool zelf ook hebben gebruikt om de eigen websites te verbeteren. De broncode van Observatory is te vinden op GitHub. bron: security.nl