Captain Kirk

Er is een nieuwe versie van OpenSSL gelanceerd waarin de support voor zwakke encryptie-algoritmes is gestopt en ondersteuning van sterke encryptie-algoritmen is toegevoegd. OpenSSL is populaire software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Om ervoor te zorgen dat het hier om sterke versleutelde verbindingen gaat heeft OpenSSL 1.1.0 de ondersteuning van zwakke algoritmen zoals SSLv2 of RC4 verwijderd. In het geval van SSLv2 is de support helemaal verwijderd, terwijl RC4 niet meer in de standaard encryptiebibliotheek is te vinden. Ook worden 40- en 56-bit encryptie-algoritmes niet meer ondersteund. Wel ondersteunt OpenSSL nu de sterkere encryptie-algoritmen ChaCha20 en Poly1305 en zijn er tal van andere verbeteringen en aanpassingen doorgevoerd. Deze versie bevat geen beveiligingsupdates. bron: security.nl

Dropbox gaat gebruikers die al lange tijd hun wachtwoord niet hebben veranderd dwingen dit alsnog te doen. Volgens de cloudopslagdienst gaat de maatregel gelden voor gebruikers die zich voor halverwege 2012 hebben aangemeld en sindsdien hun wachtwoord niet hebben aangepast. De volgende keer dat deze gebruikers inloggen krijgen ze een melding te zien dat ze een nieuw wachtwoord moeten kiezen. Volgens Dropbox gaat het hier om een voorzorgsmaatregel en zijn er geen aanwijzingen dat accounts gehackt zijn. Om gebruikers te helpen bij het kiezen van een sterk wachtwoord maakt de cloudopslagdienst gebruik van een wachtwoordsterktemeter. Onlangs werd er nog een onderzoek naar wachtwoordsterktemeters gepubliceerd, waarin de meter van Dropbox er goed uitkwam. bron: security.nl

WhatsApp gaat de gegevens van gebruikers met moederbedrijf Facebook delen, zodat gebruikers op het sociale netwerk meer gerichte advertenties krijgen. Dat heeft de populaire chat-app vandaag laten weten. Voor het eerst sinds de overname in 2014 door Facebook wordt het privacybeleid aangepast. Naar eigen zeggen is deze aanpassing nodig om bedrijven met gebruikers te laten communiceren. Daarnaast zullen gegevens ook met Facebook worden gedeeld. Volgens WhatsApp kunnen op deze manier statistieken over het gebruik van WhatsApp worden verzameld. "En door je telefoonnummer met de systemen van Facebook te koppelen kunnen we je betere vriendsuggesties doen en meer relevante advertenties tonen als je een Facebookaccount hebt." Wel stelt WhatsApp dat het telefoonnummers niet met adverteerders zal delen. bron: security.nl

Browserontwikkelaar Opera heeft de gratis VPN-oplossing die het aanbiedt ook voor Android-gebruikers beschikbaar gemaakt. Via een virtual private network (vpn) wordt er een versleutelde verbinding naar een server op een bepaalde locatie opgezet. Het vpn zorgt ervoor dat al het verkeer naar de vpn-server is versleuteld, wat handig is voor gebruikers van openbare wifi-netwerken. Daarnaast kan de vpn-gebruiker hierdoor zijn locatie aanpassen, om bijvoorbeeld van diensten gebruik te maken die alleen in bepaalde landen toegankelijk zijn. In het geval van de Opera VPN-dienst kunnen gebruikers uit vijf locaties kiezen, namelijk Nederland, Verenigde Staten, Canada, Duitsland en Singapore. Om te bepalen of het gebruik van een vpn handig is beschikt Opera VPN voor Android over een tool die de veiligheid van het gebruikte wifi-netwerk test. In het geval de tool kwetsbaarheden tegenkomt krijgen gebruikers het advies om het vpn in te schakelen. De VPN-dienst is gratis, kent geen datalimieten en vereist geen login of abonnement. Opera VPN voor Android is via Google Play te downloaden. bron: security.nl

Onderzoekers hebben het eerste botnet van Android-toestellen ontdekt dat via Twitter wordt bestuurd. Hoe de malware precies wordt verspreid is nog onbekend, maar volgens onderzoekers van het Slowaakse anti-virusbedrijf ESET vindt de verspreiding waarschijnlijk plaats via sms of kwaadaardige linkjes. De malware, genaamd Twitoor, doet zich voor als een mms-applicatie of app voor het afspelen van porno. Eenmaal actief maakt Twitoor verbinding met een Twitter-account om nieuwe opdrachten te ontvangen. Zo kan de malware andere kwaadaardige apps installeren of met andere Twitter-accounts verbinding maken. Twitoor zou tot nu toe op besmette apparaten vooral Trojaanse paarden hebben geïnstalleerd die gegevens voor internetbankieren stelen. bron: security.nl

Heb je op de computer wel aangegeven dat er signaal via de Line-in en/of microfooningang naar binnen komt? Dit kun je regelen met het volumepaneel op je computer. In het geval van de microfoon moet je soms ook aangeven dat het geluid van buiten komt en niet van, mits deze aanwezig is, interne microfoon.

Er is een nieuw ransomware-exemplaar ontdekt dat naast het versleutelen van bestanden voor losgeld ook muziek afspeelt en een screenshot van het actieve venster naar de aanvaller terugstuurt. Het gaat om de DetoxCrypto-ransomware, die als onderdeel van een partnerprogramma aan internetcriminelen lijkt te worden verkocht, zo meldt Bleeping Computer. In dit geval kunnen internetcriminelen de malware afnemen, waarbij ze een deel van de omzet aan de ransomwaremaker moeten afstaan. Er zijn dan ook verschillende varianten van de DetoxCrypto-ransomware ontdekt. Zo probeert één exemplaar mee te liften op de populariteit van Pokemon Go, terwijl een ander een screenshot maakt van het actieve venster op het moment van de infectie en dat naar de aanvaller terugstuurt. De verschillende varianten spelen allebei een muzieknummer af en tonen instructies om weer toegang tot het systeem en de bestanden te krijgen, zoals onderstaande video laat zien. Hoe de malware precies wordt verspreid is op dit moment nog onbekend. bron: security.nl

Een Trojaans paard dat ontwikkeld is om geld van bankrekeningen te stelen blijkt hiervoor de proxy-instellingen van Internet Explorer aan te passen. De malware is alleen in Brazilië actief en wordt verspreid via een e-mailbijlage die zich als een afschrift van een telecomaanbieder voordoet. De bijlage, een pif-bestand, is in werkelijkheid de malware. Eenmaal actief verandert die de proxy-instellingen van Internet Explorer. Deze aanpassing zorgt ervoor dat het verkeer van gebruikers naar de server van de aanvallers wordt doorgestuurd. Deze server stuurt gebruikers weer door naar een phishingpagina als ze in hun browser de website van hun bank opvragen. Hoewel de malware de proxy-instellingen in Internet Explorer aanpast, raakt dit ook andere browsers op het systeem, aangezien die dezelfde proxy-instellingen gebruiken, zo meldt het Russische anti-virusbedrijf Kaspersky Lab. Volgens de virusbestrijder worden slachtoffers van het Trojaanse paard naar een server met een Nederlands ip-adres doorgestuurd die verschillende phishingpagina's voor Braziliaanse banken bevat. Om ervoor te zorgen dat alleen Braziliaanse internetgebruikers besmet raken controleert de malware de taalinstellingen van de computer. In het geval de ingestelde taal geen Braziliaans Portugees is, wordt de infectie afgebroken. Aangezien de malware van PowerShell gebruikmaakt krijgen organisaties het advies om alleen het uitvoeren van gesigneerde scripts op computers toe te staan. bron: security.nl

Met de lancering van de Windows 10 Anniversary Update heeft Microsoft nieuwe features uitgerold waardoor ouders kunnen voorkomen dat hun kinderen Google Chrome of Mozilla Firefox installeren. De features zijn onderdeel van Microsoft family, een tool voor ouderlijk toezicht. Via het programma kan bijvoorbeeld worden ingesteld hoe lang er van een apparaat gebruik mag worden gemaakt, is in het geval van een Windows phone de locatie van het kind te achterhalen, worden er rapporten over de online activiteiten van de kinderen opgesteld en is het mogelijk om bepaalde apps, games of websites te blokkeren. Volgens Microsoft beschikken de populairste browsers echter niet over een dergelijk webfilter. "Om je kinderen te beschermen zullen we deze browsers automatisch op hun apparaten blokkeren", zo legt de softwaregigant uit. Ouders kunnen het gebruik van andere browsers wel toestaan. bron: security.nl

Google gaat de komende jaren de ondersteuning van Chrome-apps op Linux, Mac en Windows volledig stoppen, zo heeft de internetgigant bekendgemaakt. Alleen gebruikers van Chrome OS kunnen in de nabije toekomst nog van Chrome-apps gebruik blijven maken. Op deze manier wil Google de overstap naar volledige web-apps realiseren. Op dit moment zijn er twee soorten Chrome-apps. De "packaged" apps, apps in een zip-bestand die alleen in Google Chrome werken, en gehoste apps, die in alle browsers kunnen werken. Zo'n 1% van de Chrome-gebruikers op Linux, Mac en Windows maakt gebruik van packaged apps. De gehoste apps zijn in de meeste gevallen al als normale web-app geïmplementeerd. Zowel de support van de packaged als gehoste apps wordt stopgezet, zodat alleen volledige web-apps overblijven. Eind 2016 zullen nieuwe Chrome-apps alleen nog zichtbaar voor gebruikers op Chrome OS zijn. Bestaande Chrome-apps blijven echter toegankelijk op alle platformen en ontwikkelaars kunnen ze blijven updaten. In de tweede helft van 2017 zal de Chrome Web Store geen Chrome-apps meer voor Linux, Mac en Windows tonen, maar nog wel extensies en themes laten zien. Begin 2018 zal het op deze platformen helemaal niet meer mogelijk zijn om Chrome-apps te laden. Google raadt ontwikkelaars dan ook aan om hun Chrome-apps naar een web-app om te zetten. bron: security.nl

Er is een nieuwe versie van de encryptiesoftware VeraCrypt verschenen waarin een TrueCrypt-lek is verholpen en UEFI-systeemversleuteling voor Windows eindelijk wordt ondersteund, waardoor ook eigenaren van nieuwe systemen hun computer volledig kunnen versleutelen. VeraCrypt is een op TrueCrypt-gebaseerd encryptieprogramma. De software maakt het mogelijk om bestanden, usb-sticks, externe harde schijven en zelfs het volledige systeem te versleutelen. De volledige schijfversleuteling van TrueCrypt werkte alleen op computers met een BIOS (Basic Input/Output System). Dit is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Moderne computers beschikken over een Unified Extensible Firmware Interface (UEFI) dat de opvolger van het BIOS is. Op deze systemen was het niet mogelijk om het systeem volledig te versleutelen, tenzij UEFI werd uitgeschakeld. Zowel TrueCrypt als VeraCrypt ondersteunden UEFI namelijk niet. Daar is met VeraCrypt versie 1.18 verandering in gekomen. De ondersteuning is nog wel beperkt. Zo is het niet mogelijk om een verborgen volume aan te maken of de opstartmelding aan te passen. TrueCrypt-kwetsbaarheid Verder verhelpt deze versie een kwetsbaarheid die in TrueCrypt aanwezig is en waardoor een aanvaller de aanwezigheid van een verborgen volume kan detecteren. TrueCrypt en VeraCrypt bieden gebruikers de mogelijkheid om verborgen volumes aan te maken die over een eigen wachtwoord beschikken. Als een gebruiker gedwongen wordt om op het systeem in te loggen kan hij het wachtwoord van het standaard volume invoeren, waarna het systeem wordt ontsleuteld. Op deze manier blijft het verborgen volume verborgen. "Het zou onmogelijk moeten zijn om te bewijzen dat er een verborgen volume aanwezig is", aldus VeraCrypt in de uitleg over deze functionaliteit. Een Russische onderzoeker ontdekte echter toch een manier om de aanwezigheid van dergelijke verborgen volumes te bewijzen. VeraCrypt heeft het probleem nu verholpen, maar de kwetsbaarheid is nog steeds in TrueCrypt aanwezig, aangezien deze software niet meer wordt ondersteund. Na het uitkomen van VeraCrypt 1.18 verscheen een dag later versie 1.18a. Het Window-installatieprogramma beschikt nu over drivers die door Microsoft zijn gesigneerd, waardoor VeraCrypt ook werkt op systemen met de Windows 10 Anniversary Edition. Een overzicht van alle aanpassingen in de nieuwe versie is op deze pagina te vinden. Deze week kwam VeraCrypt ook al in het nieuws vanwege een audit die op dit moment wordt uitgevoerd. Eén van de partijen die bij de audit is betrokken meldde dat e-mails over de audit waren onderschept, maar dat bleek later niet te kloppen. bron: security.nl

De meeste kwaadaardige e-mails die in het tweede kwartaal van dit jaar internetgebruikers met malware probeerden te infecteren maakten hiervoor gebruik van zip-bestanden. Dat blijkt uit kwartaalcijfers van het Russische anti-virusbedrijf Kaspersky Lab. Van april tot en met juni ging het om miljoenen zip-bijlagen waarin malware zat verstopt, voornamelijk downloaders die ransomware op computers installeren. In de eerste weken van juni was er echter een daling van het aantal e-mails met besmette zip-bestanden. De oorzaak bleek te liggen in de inactiviteit van een botnet dat veel voor dergelijke spam wordt gebruikt. Eind juni werd het botnet weer operationeel wat te zien is in een stijging van het aantal besmette e-mailbijlagen. Naast de tijdelijke inactiviteit noemt Kaspersky het opvallend dat kwaadaardige zip-bijlagen niet in het weekend worden verstuurd. Vanwege het risico op ransomware gaf beveiligingsbedrijf Dell SecureWorks vorig jaar het advies aan organisaties om archiefbestanden zoals zip te blokkeren. Wolfgang Kandek, CTO bij beveiligingsbedrijf Qualys, liet eerder nog aan Security.NL weten dat e-mailproviders standaard zip-bijlagen zouden moeten blokkeren om zo gebruikers tegen malware te beschermen. bron: security.nl

De website Bitcoin.org heeft een waarschuwing afgegeven voor een mogelijke aanval op de aankomende versie van Bitcoin Core, een opensource-bitcoinclient. Bitcoin.org stelt dat het reden heeft om aan te nemen dat versie 0.13.0 het doelwit van door een staat gesponsorde aanvallers zal worden. De Bitcoin-gemeenschap, en dan met name Chinese gebruikers, worden opgeroepen extra waakzaam te zijn bij het downloaden van bestanden via bitcoin.org. "Als je niet voorzichtig bent voor het downloaden van de bestanden kun je al je bitcoins verliezen. De malware kan je computer ook gebruiken om aanvallen tegen het Bitcoin-netwerk uit te voeren", zo laat de waarschuwing weten. Met name Chinese diensten zoals bitcoin-beurzen zouden vanwege de herkomst van de aanvallers het grootste risico lopen. Gebruikers krijgen dan ook het advies om de sleutel waarmee het bestand is gesigneerd te downloaden en vervolgens de digitale handtekening en hashes te controleren voordat de bestanden worden uitgevoerd. "Dat is de veiligste manier om er zeker van te zijn dat je de bestanden hebt die door de Core-ontwikkelaars zijn gemaakt." Eric Lombrozo, een ontwikkelaar van Bitcoin Core, laat tegenover The Register weten dat de beheerder van bitcoin.org, een website die losstaat van het Bitcoin Core-project, de waarschuwing zonder te overleggen online heeft geplaatst. Hij zegt verder dat de bestanden van Bitcoin Core voor zover bekend niet het doelwit van door een staat gesponsorde aanvallers zijn. "Mogelijk dat bepaalde websites kunnen worden gehackt waar mensen de bestanden downloaden, maar laten we geen onnodige paranoia over de Bitcoin Core-bestanden zelf verspreiden." bron: security.nl

Slecht nieuws voor mensen en organisaties van wie de bestanden door de Cerber-ransomware zijn versleuteld, de versleutelde bestanden zijn namelijk niet meer kosteloos te ontsleutelen. Deze week kwam beveiligingsbedrijf Check Point met een gratis decryptietool om slachtoffers te helpen. Het ging om een website waar slachtoffers een versleuteld bestand konden uploaden. Vervolgens gaf de website de decryptiesleutel terug om alle versleutelde bestanden op de computer te ontsleutelen. De ontwikkelaars van de Cerber-ransomware hebben als reactie de fout in het encryptieproces verholpen. Daardoor is het niet meer mogelijk om de bestanden via de website cerberdecrypt.com te ontsleutelen, aldus Check Point. Het beveiligingsbedrijf stelt dat de afgelopen dagen toch nog honderden slachtoffers via de website hun bestanden hebben teruggekregen. Bleeping Computer meldt dat de makers van de Cerber-ransomware op hun betaalpagina nu een captcha-systeem hebben toegevoegd. Mogelijk is dit gedaan om de geautomatiseerde dienst van Check Point tegen te gaan, maar zeker is dit niet. bron: security.nl

Cisco heeft netwerkbeheerders gewaarschuwd voor een zero day-beveiligingslek in de Adaptive Security Appliance (ASA) software dat deze week op internet verscheen en waardoor een aanvaller in het ergste geval de netwerkapparaten kan overnemen. Een beveiligingsupdate is nog niet beschikbaar. De ASA-software bevindt zich in in allerlei netwerkapparaten van Cisco, zoals firewalls, security appliances en routers. Deze week kwam een groep die zichzelf Shadow Brokers noemt met een dump van allerlei tools, bestanden en informatie die van de Equation Groep afkomstig zou zijn. Deze groep zou banden met de Amerikaanse NSA hebben en allerlei zeer geavanceerde malware hebben ontwikkeld. Volgens het Russische anti-virusbedrijf Kaspersky Lab zijn de bestanden in de dump van Shadow Brokers zo goed als zeker van de Equation Group. Shadow Brokers biedt de verkregen bestanden en tools nu tegen een bedrag van 1 miljoen bitcoins aan. Er is echter een dump met enkele bestanden en tools beschikbaar gemaakt. Daarin bevindt zich ook een exploit voor een onbekend beveiligingslek in de ASA-software van Cisco. Het gaat om een kwetsbaarheid in de Simple Network Management Protocol (SNMP) code van de ASA-software waardoor een aanvaller zonder inloggegevens op afstand kwaadaardige code kan uitvoeren. Om de kwetsbaarheid aan te vallen moet een aanvaller speciaal geprepareerde SNMP-pakketten versturen. Vervolgens kan er willekeurige code op het netwerkapparaat worden uitgevoerd en kan de aanvaller het systeem volledig overnemen, aldus Cisco. Systemen zijn alleen kwetsbaar als ze in de "routed and transparent firewall mode" zijn ingesteld. De netwerkgigant werkt aan een beveiligingsupdate, maar adviseert in de tussentijd om alleen betrouwbare gebruikers SNMP-toegang te geven. In de Shadow Brokers-dump bevond zich ook een andere exploit voor Cisco's ASA-software. De kwetsbaarheid waar hierbij gebruik van wordt gemaakt is vijf jaar geleden al gepatcht, aldus Omar Santos van Cisco. Toch heeft de netwerkfabrikant een security advisory naar buiten gebracht met informatie over de recente ontwikkelingen en het advies aan netwerkbeheerders om de betreffende update te installeren. Fortinet Ook netwerkfabrikant Fortinet kwam met een beveiligingsbulletin. Naast de producten van Cisco waren ook producten van deze partij het doelwit van de Equation Group. Het gaat om een kwetsbaarheid in de firmware van netwerkapparaten waardoor een aanvaller de systemen kan overnemen. Het probleem is in augustus 2012 al verholpen en netwerkbeheerders krijgen dan ook het advies de firmware van hun apparatuur te updaten. bron: security.nl

Onderzoekers hebben weer een backdoor ontdekt die het legitieme programma TeamViewer op computers installeert en aanvallers zo volledige controle over het systeem geeft. TeamViewer is software waarmee computers op afstand kunnen worden beheerd. Het wordt bijvoorbeeld binnen bedrijven gebruikt. De aanwezigheid van TeamViewer in het netwerkverkeer zal dan ook niet meteen opvallen. Via TeamViewer kunnen aanvallers aanvullende malware installeren en gegevens stelen. Onderzoekers van het Russische anti-virusbedrijf Doctor Web ontdekten een beheerderspaneel van de backdoor met de ip-adressen van allerlei geïnfecteerde systemen. Die blijken zich vooral in Groot-Brittannië, Spanje, de Verenigde Staten en Rusland te bevinden. Het gebruik van TeamViewer door malware is niet nieuw. Vorige week werd nog een ransomware-exemplaar gevonden dat van het programma gebruikmaakte. bron: security.nl

Ik heb je bericht met je telefoonnummer verwijderd. Geef nooit zomaar je telefoon, adres of wat voor prive-gegevens dan ook op internet. Zeker niet op plaatsen waar iedereen deze kan zien. Zelfs niet op een betrouwbaar forum als dit. Je weet nooit wat mensen hier mee gaan doen. Je kunt ons hier gewoon altijd via dit forum benaderen.

Het is een leuk idee maar het gebruik hier. Juist doordat andere dit ook kunnen lezen, kunnen helpers meedenken en hun ideeën voor een oplossing aandragen. Foto's e.d. kun je ook gewoon hier plaatsen

Om wat voor een laptop gaat het? Dus welk typenummer. Zover ik weet hebben laptops van Acer geen aparte geluidskaart maar zit deze geïntegreerd op het toetsenbord. Dus met de juiste info worden we misshcien iets wijzer en kunnen we mogelijk vertellen wat het probleem zou kunnen zijn.

Beste aarock, Wat bedoel je precies met dat je pc juist geformatteerd is? Het klinkt bij mij dat je dus alleen nog maar een lege harde schijf in de pc hebt zitten. In dat geval is het logisch dat hij niet meer start.

Onderzoekers van beveiligingsbedrijf Check Point zijn erin geslaagd de Cerber-ransomware te kraken, zodat slachtoffers kosteloos hun bestanden kunnen ontsleutelen. Cerber is een ransomware-exemplaar dat begin maart van dit jaar voor het eerst werd ontdekt. Net als andere ransomware versleutelt Cerber bestanden voor losgeld. De ransomware had het onder andere op Nederlandse internetgebruikers voorzien. Cerber wordt als een 'Ransomware as a Service' aangeboden. Criminelen kunnen de Cerber-ransomware gebruiken, waarbij er een deel van de inkomsten naar de ontwikkelaars gaat. Volgens Check Point zijn er 161 campagnes actief die van Cerber gebruikmaken. In juli alleen werden hierdoor 150.000 gebruikers in 201 landen getroffen. Zo'n 0,3% van de slachtoffers zou uiteindelijk betalen. Het beveiligingsbedrijf claimt dat de ransomwarecampagnes in juli bij elkaar 195.000 dollar opleverden. De ontwikkelaars ontvingen zo'n 78.000 dollar. Het restant werd met de partners gedeeld. Samen met IntSights onderzocht Check Point de wereldwijde distributie-infrastructuur. De onderzoekers waren in staat slachtoffers te achterhalen en zo betalingen en transacties te analyseren. Vervolgens konden zij zowel de inkomsten die de malware genereert als de geldstroom zelf volgen. Deze informatie diende uiteindelijk als blauwdruk voor een decryptie-tool waarmee slachtoffers zonder te betalen hun bestanden kunnen laten ontsleutelen. De tool is op de website cyberdecrypt.com te vinden. bron: security.nl

Mozilla gaat Firefoxgebruikers voortaan waarschuwen voor add-ons waarbij het nodig is om de browser te herstarten. In het begin moest Firefox voor het installeren van add-ons altijd opnieuw worden gestart. Vervolgens kwamen de extensies waarbij dit niet meer nodig is. Mozilla gebruikte een aparte vermelding voor deze add-ons op addons.mozilla.org. Er werd een "No Restart" badge bij de betreffende extensie getoond. Volgens de opensource-ontwikkelaar hielp dit gebruikers om te zien welke add-ons soepeler te installeren waren, wat ontwikkelaars weer aanmoedigde om dit ook bij hun eigen add-ons te implementeren. Er zijn nu echter meer extensies die geen herstart vereisen dan waar dit wel nodig is. Daarom heeft Mozilla besloten om de add-ons waarbij dit nog wel is vereist van een aparte badge met "Restart Required" te voorzien en de badge voor de andere add-ons te verwijderen. "Add-ons die niet hoeven te worden herstart zijn de norm aan het worden en het is een fantastische mijlpaal en grote verbetering voor de add-on-ervaring", zegt Mozilla's Andy McKay. bron: security.nl

Onderzoekers zijn er opnieuw in geslaagd om een beveiligingsfunctie van Windows 7 en Windows 10 te omzeilen die ongewenste aanpassingen aan systeeminstellingen moet voorkomen. Het gaat om Gebruikersaccountbeheer, ook bekend als User Account Control (UAC). UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Onderzoekers Matt Graeber en Matt Nelson lieten eind juli al zien hoe ze UAC via Schijfopruiming konden omzeilen. Nu hebben ze een andere methode ontdekt, namelijk het gebruik van Event Viewer. Via Event Viewer is het mogelijk om logbestanden te bekijken van gebeurtenissen die zich binnen het besturingssysteem hebben voorgedaan. Gebruikten de onderzoekers voor het omzeilen van UAC via Schijfopruiming een kwaadaardig dll-bestand, in het geval van de nu getoonde methode via Event Viewer gebeurt dit zonder aanvullende bestanden. Het lukte de onderzoekers om via Event Viewer een registerproces te kapen, PowerShell te starten en vervolgens met verhoogde rechten commando's op de machine uit te voeren. De onderzoekers hebben de aanval op Windows 7 en Windows 10 gedemonstreerd, maar stellen dat waarschijnlijk ook andere Windowsversies kwetsbaar zijn. Om de aanval uit te voeren moet een aanvaller wel al toegang tot het systeem hebben. Graeber en Nelson laten niet weten of ze het probleem aan Microsoft hebben gemeld. Dat was wel het geval met de methode die van Schijfopruiming gebruikmaakte. De softwaregigant stelde destijds dat het niet om een beveiligingslek ging en was dan ook niet van plan om het op te lossen. bron: security.nl

Wetenschappers van de universiteit van San Diego hebben een nieuwe methode ontwikkeld voor het vinden van Trojaanse paarden in computerchips. Of het nu om smartphones, routers of computers gaat, ze bestaan vaak uit allerlei onderdelen en chips. Het is echter mogelijk om chips zo te programmeren dat ze bepaalde taken uitvoeren, zoals een aanvaller toegang verlenen of gevoelige informatie doorsturen. Dit probleem wordt nog eens door de logistieke keten vergroot, aangezien de chips over de hele wereld worden geproduceerd. "Hardware Trojans", die ook nog eens lastig zijn te detecteren, hebben dan ook allerlei voordelen voor aanvallers. Om dergelijke aangepaste chips toch te vinden hebben wetenschappers een nieuwe techniek bedacht die kijkt hoe de informatie zich door de logische poorten van een chip beweegt, net zoals het verkeer zich op een kruispunt beweegt en waar het zich aan de verkeersregels en -signalen moet houden. Als de informatie opeens naar een deel van de chip gaat waar het niet hoort te zijn, zal de nieuwe methode bepalen of het door een Trojaans paard komt of niet. De onderzoekers noemen deze methode "Gate-Level Information-Flow Tracking" (GLIFT). Hierbij wordt er een label aan belangrijke data in een hardware-ontwerp toegevoegd. Is het doel bijvoorbeeld om te begrijpen waar een encryptiesleutel zich bevindt, dan wordt het label "vertrouwelijk" aan bits van de sleutel toegevoegd. De test-engineer kan dan kijken of de encryptiesleutel in een beveiligd deel van de chip blijft. Komt de encryptiesleutel echter buiten dat gebied, dan is de hardware mogelijk gecompromitteerd. Volgens onderzoeker en hoogleraar Ryan Kastner zijn Trojaanse paarden in chips speciaal ontworpen om geen activiteit tijdens tests te vertonen. "Hardware-ontwerpen zijn complex en bestaan vaak uit miljoenen regels code. De standaardregel is om elke vijf regels een fout te verwachten. Mensen met verkeerde bedoelingen, bijvoorbeeld een boze werknemer, kan deze speciale fouten aan bepaalde patronen toevoegen die waarschijnlijk niet worden getest. Vervolgens wachten ze op bepaalde invoer om actief te worden." Via GLIFT moet dit toch worden opgemerkt. Kastner stelt dat de methode er dan ook voor moet zorgen dat fabrikanten met veel meer vertrouwen chips aan hun producten kunnen toevoegen die door iemand anders zijn ontwikkeld. bron: security.nl

Criminelen hebben een botnet gebruikt om profielgegevens van LinkedIn-gebruikers te stelen, zo blijkt uit een rechtszaak die de zakelijke netwerksite tegen de onbekende aanvallers heeft aangespannen. LinkedIn hoopt zo de daders achter de datadiefstal te kunnen achterhalen, zo meldt Silicon Beat. "Sinds december vorig jaar tot nu toe hebben onbekende personen en/of entiteiten verschillende geautomatiseerde softwareprogramma's gebruikt (bots) om data van LinkedIn-pagina's te kopiëren", aldus LinkedIn in de aanklacht. De gekopieerde gegevens zouden vervolgens met andere partijen zijn gedeeld. Volgens LinkedIn zorgen deze acties ervoor dat het vertrouwen van LinkedIn-gebruikers hierdoor wordt geschaad. Om de gegevens te stelen zouden de aanvallers duizenden nepprofielen hebben aangemaakt en daarna de netwerksite zijn afgegaan. "De aanvallers gebruiken een gecoördineerd en geautomatiseerd netwerk van computers, ook bekend als een botnet", laat de aanklacht verder weten. Wie de aanvallers zijn is onbekend. Wel zou LinkedIn maatregelen hebben genomen om het "scrapen" van de website tegen te gaan. De aanvallers wisten deze maatregelen echter te omzeilen door gebruik van partijen te maken die op een whitelist van LinkedIn staan. Zodoende konden ze weer toegang tot servers van de netwerksite krijgen. Door de rechtszaak wil LinkedIn dat de providers en netwerken waar de aanvallers gebruik van maken worden gedwongen om de identiteit van de aanvallers prijs te geven. bron: security.nl