Captain Kirk

De ontwikkelaar van de populaire browserexensie Adblock Plus gaat in beroep tegen een uitspraak van de Duitse rechter die bepaalde dat het advertenties van de Duitse uitgever Axel Springer gratis moet whitelisten. De uitspraak volgt in een serie van rechtszaken waarbij Duitse uitgevers het gebruik van adblockers wilden verbieden. De Duitse rechters oordeelden steeds dat het gebruik van dergelijke software legaal is. Axel Springer ging daar tegen in beroep. Wederom oordeelde de rechter dat internetgebruikers vrij zijn om adblockers te installeren. De Duitse uitgever had ook een tweede verzoek bij de rechter neergelegd, namelijk het verbieden van adblockers als die adblockers bepaalde advertenties toestaan en vereisen dat uitgevers hiervoor moeten betalen. Volgens de advocaten van Springer is dit oneerlijke concurrentie en de rechter ging hierin mee. Whitelisting Adblock Plus heeft een zogeheten 'Acceptable Ads Initiative' waarbij alleen advertenties worden toegestaan die aan bepaalde eisen voldoen. Grote uitgevers, zoals Springer, moeten betalen om op deze whitelist terecht te komen. Door de uitspraak moet Adblock Plus nu de manier waarop het whitelisting aan Axel Springer aanbiedt veranderen en de uitgever, in het geval de advertenties aan de gestelde eisen voldoet, gratis whitelisten. De ontwikkelaar van Adblock Plus gaat dan ook bij het Duitse hooggerechtshof in beroep en verwacht dat de uitspraak hier ongedaan zal worden gemaakt. bron: security.nl

Onderzoekers hebben malware ontwikkeld die in staat is om via de luchtventilatoren van de computer data te stelen van computers die niet met het internet verbonden zijn. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks. Om vervolgens van een besmette offline computer data te stelen ontwikkelden onderzoekers verschillende methodes, zoals het gebruik van de speakers, zowel intern als extern, om via geluidssignalen de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone terug te sturen. Deze besmette computer of smartphone zou vervolgens de gegevens naar de aanvallers kunnen versturen. Als oplossing kregen beheerders van offline computers het advies om de speakers van het systeem uit te schakelen of te verwijderen, om zo een 'audio-gap' te creëren. Onderzoekers van de Ben-Gurion Universiteit in Israël hebben echter toch een manier gevonden om zelfs van dit soort systemen gegevens te stelen. Namelijk via de ventilatoren in de computer. Via software is het namelijk mogelijk om de snelheid van de ventilatoren te regelen en zo een akoestisch signaal te genereren. De onderzoekers ontwikkelden hiervoor malware genaamd Fansmitter (pdf) dat de ventilatoren als audiokanaal gebruikt en succesvol gegevens naar een smartphone in dezelfde kamer kan versturen. Vanaf een afstand van 8 meter is het bijvoorbeeld mogelijk om met een snelheid van 900 bits per uur encryptiesleutels en wachtwoorden door te sturen. De methode kan ook worden gebruikt om gegevens van andere it-apparatuur, embedded systemen en Internet of Things-apparaten te lekken die niet over audio-hardware beschikken maar wel over ventilatoren. Tegenmaatregelen Om dergelijke aanvallen te voorkomen zijn er volgens de onderzoekers drie soorten tegenmaatregelen, namelijk procedureel, softwarematig en hardwarematig. Zo moeten de offline computers in kamers worden gebruikt waar het niet is toegestaan om een smartphone, microfoon of andere apparatuur mee te nemen. Via de softwarematige aanpak kan het systeem op malware en manipulatie van de ventilatoren worden gecontroleerd. Wat betreft de hardwarematige oplossing kan er met geluidsdetectie naar geluidsgolven op bepaalde frequenties worden gemonitord. Een andere oplossing is het gebruik van een 'noise-blocker' of het overstappen op bijvoorbeeld waterkoeling. bron: security.nl

Microsoft heeft een tool gelanceerd om problemen op te lossen die bij het activeren van Windows 10 kunnen ontstaan, bijvoorbeeld door het vervangen van een harde schijf of moederbord. De Activation Troubleshooter, zoals de tool heet, moet de meestvoorkomende activatieproblemen op legitieme Windows-apparaten gaan verhelpen, waaronder die door hardware-aanpassingen worden veroorzaakt. Dat heeft Microsoft bij de lancering van een nieuwe testversie van Windows 10 bekendgemaakt. Als voorbeeld geeft de softwaregigant een computer met een Windows 10 Pro-licentie waar per ongeluk Windows 10 Home op wordt geïnstalleerd. De tool zal gebruikers dan helpen bij het upgraden naar Windows 10 Pro en deze versie van het besturingssysteem activeren. De Activation Troubleshooter is nu aan de nieuwe testversie van Windows 10 toegevoegd en zal met de lancering van de Windows 10 Anniversary Update voor alle Windows 10-gebruikers beschikbaar worden. bron: security.nl

De online back-updienst Carbonite heeft van alle klanten het wachtwoord gereset nadat aanvallers met hergebruikte wachtwoorden probeerden om accounts over te nemen. De gegevens die de aanvallers gebruikten zouden van andere gehackte websites afkomstig zijn. Namen worden echter niet genoemd. Vervolgens werd er met deze gegevens geprobeerd om op de accounts van Carbonite-klanten in te loggen. Hoeveel klanten via de hergebruikte wachtwoorden zijn gehackt laat het bedrijf niet weten. Uit voorzorg is besloten om van alle klanten het wachtwoord te resetten. Daarnaast is er verscherpte monitoring en twee-factor authenticatie uitgerold. Eerder deze week besloot computerbeheerdienst GoToMyPC hetzelfde te doen nadat het soortgelijke aanvallen had waargenomen. bron: security.nl

Cisco heeft verschillende ernstige beveiligingslekken in libarchive ontdekt, een populaire softwarebibliotheek voor het in- en uitpakken van bestanden. Door gebruikers een kwaadaardig ingepakt bestand te sturen kan een aanvaller willekeurige code op de computer uitvoeren, zoals malware. Libarchive herkent een groot aantal bestandsformaten, zoals tar, zip en rar. Vanwege de veelzijdigheid wordt het volgens Cisco bijna overal gebruikt. Bij het openen van bepaalde bestandsformaten, zoals rar en 7zip, is het mogelijk om een overflow te veroorzaken, waarna het uitvoeren van willekeurige code mogelijk wordt. De oorzaak van het probleem ligt in de manier waarop libarchive de invoerdata van een ingepakt bestand controleert. "Helaas worden dit soort programmeerfouten keer op keer gemaakt. Als er kwetsbaarheden in software zoals libarchive worden ontdekt, heeft dit gevolgen voor veel third-party programma's die er gebruik van maken", zegt onderzoeker Jaeson Schultz. Dit soort beveiligingslekken staan ook bekend als 'common mode failures' en laten aanvallers allerlei verschillende programma's en systemen via één enkel lek compromitteren. De kwetsbaarheden zijn inmiddels in libarchive gepatcht en gebruikers krijgen het advies om de nieuwste versie te installeren. bron: security.nl

De Belgische federale politie waarschuwt internetgebruikers voor e-mails die op dit moment worden rondgestuurd en claimen dat de ontvanger nog een openstaande verkeersboete heeft. Volgens het bericht zou er ook al een betalingsherinnering zijn verstuurd, maar is het bedrag nog niet voldaan. Het openstaande bedrag kan vervolgens via een betaaldienst zoals Mister Cash, 3G Direct Pay of Ukash worden betaald. De e-mails worden steeds "professioneler" opgemaakt, maar het gaat nog steeds om oplichting, zo laat de Belgische politie weten. Die stelt dergelijke berichten niet te versturen en vraagt ook nooit om via internet boetes te voldoen. Ontvangers van de e-mails krijgen dan ook het advies om geen links in de e-mails te openen en niet tot betaling over te gaan. bron: security.nl

GoToMyPC, een dienst waarmee gebruikers computers op afstand kunnen besturen, heeft van alle klanten het wachtwoord gereset nadat het doelwit van een 'geraffineerde wachtwoorden-aanval' werd. Dat meldt het bedrijf via de eigen website. In eerste instantie werd erover een 'probleem' gesproken. Vanwege dit probleem moesten de wachtwoorden worden gereset. Vervolgens werd gesteld dat er een 'zeer geraffineerde wachtwoordaanval' had plaatsgevonden, maar details over de aanval worden niet gegeven. GoToMyPC laat gebruikers een programma op een computer installeren. Vervolgens is het mogelijk om vanaf de hele wereld op deze computer in te loggen door naar de website van GoToMyPC te gaan. Gebruikers die nu op hun computer willen inloggen zullen eerst een nieuw wachtwoord moeten instellen. Daarbij geeft GoToMyPC traditionele adviezen zoals het vervangen van letters door cijfers, zoals een E door het cijfer 3 of een O door het cijfer 0, en een wachtwoord van minimaal 8 karakters te kiezen. Experts pleiten juist voor het gebruik van passphrases, een zin die uit meerdere woorden bestaat. Vanwege de lengte is lastiger om een passphrase te kraken of te raden. Ook krijgen gebruikers het advies om twee-factor authenticatie in te stellen. bron: security.nl

Om ervoor te zorgen dat opsporingsdiensten zoals de FBI de identiteit van Tor-gebruikers niet kunnen achterhalen hebben verschillende onderzoekers een tool ontwikkeld die Tor Browser tegen exploits moet beschermen. Via Tor Browser kunnen internetgebruikers eenvoudig hun ip-adres en identiteit beschermen. "Niet alleen in repressieve regimes, maar ook in de vrije wereld proberen veel overheidsinstanties Tor te compromitteren, zoals de recente FBI-incidenten hebben aangetoond", aldus de onderzoekers. Die wijzen naar een operatie waarbij de FBI naar verluidt een beveiligingslek in Firefox heeft gebruikt om de identiteit van Tor Browser-gebruikers te achterhalen en dat het een Amerikaanse universiteit een aanval liet ontwikkelen om Tor-gebruikers te ontmaskeren. Tor Browser bestaat uit een aangepaste Firefox-versie en software om verbinding met het Tor-netwerk te maken. Het aanvallen van software- en browserlekken vormt dan ook een risico voor Tor Browser, omdat ze kunnen helpen bij het identificeren van gebruikers. De onderzoekers besloten daarom een systeem genaamd 'selfrando' (pdf) te ontwikkelen dat Tor Browser tegen exploits beschermt, zoals de kwetsbaarheid die de FBI naar verluidt zou hebben gebruikt. Selfrando kan aan Tor Browser worden toegevoegd zonder dat de code moet worden aangepast. Daarnaast beperkt het de impact van kwetsbaarheden waardoor informatie kan lekken. Selfrando is inmiddels aan een extra beveiligde testversie van Tor Browser toegevoegd. Wanneer de maatregel in de uiteindelijke versie verschijnt is nog onbekend. De onderzoekers zullen selfrando volgende maand tijdens het Privacy Enhancing Technologies Symposium (PETS) in het Duitse Darmstadt presenteren. bron: security.nl

Het ernstige beveiligingslek in Flash Player waarvoor deze week een beveiligingsupdate verscheen is gebruikt om tientallen bedrijven en overheidsinstanties aan te vallen. Dat laat het Russische anti-virusbedrijf Kaspersky Lab weten en de virusbestrijder verwacht nog meer zero day-aanvallen. De kwetsbaarheid in Flash Player liet aanvallers malware installeren als gebruikers een kwaadaardige link openden. Slachtoffers ontvingen zeer waarschijnlijk gerichte phishingmails met een link, hoewel de exacte aanvalsvector volgens Kaspersky Lab onbekend is. Minstens "twee dozijn" organisaties zouden via de kwetsbaarheid zijn aangevallen, waaronder een opsporingsdienst in een Aziatisch land, een grote handelsmaatschappij, een Amerikaans advertentiebedrijf, een restaurant in Dubai en personen die een relatie met de internationale atletiekfederatie IAAF hebben. In het geval de aanval succesvol was werd er malware op het systeem gedownload die een bug in Windows gebruikte om niet te worden opgemerkt. "De malware die voor deze aanval werd gebruikt was zeer bijzonder en klaarblijkelijk alleen voor zeer belangrijke doelen gereserveerd", aldus onderzoeker Costin Raiu. Hij stelt dat exploits die van beveiligingslekken in Adobe Flash Player gebruikmaken steeds minder voorkomen, omdat ze in de meeste gevallen ook uit de sandboxbeveiliging moeten breken. Daarnaast heeft Adobe volgens Raiu maatregelen genomen om misbruik van Flash Player lastiger te maken. "Toch blijven vindingrijke aanvallers, zoals de groep achter deze aanval, zero day-lekken tegen hun doelen gebruiken", zo waarschuwt de onderzoeker. bron: security.nl

Om het voor gebruikers van Windows 10 eenvoudiger te maken een schone installatie van het besturingssysteem uit te voeren heeft Microsoft een nieuwe tool ontwikkeld. Dat heeft de softwaregigant bij de lancering van een nieuwe testversie van Windows 10 bekendgemaakt. De 'Refresh Windows Tool' werd eerder deze week al door een oplettende Twitteraar ontdekt. Volgens Microsofts Dona Sarkar vinden veel mensen het lastig om Windows opnieuw te installeren. "Om daarmee te helpen bieden we een nieuwe tool die het eenvoudig maakt om een schone Windows-installatie uit te voeren." De tool, die vorige maand al was aangekondigd, is via de Settings-app van Windows 10 toegankelijk en via de website van Microsoft te downloaden. De tool zorgt ervoor dat andere geïnstalleerde software op de computer wordt verwijderd, waaronder die door de fabrikant zijn geïnstalleerd. Met de komst van Windows 10 heeft Microsoft het al voor Windowsgebruikers eenvoudiger gemaakt om systemen opnieuw te installeren. Veel computers worden tegenwoordig zonder installatie-dvd geleverd, of het gaat om installatie-media waarbij de leverancier allerlei extra software installeert. Via de "Media creation tool" van Microsoft kunnen gebruikers nu gratis een schoon iso-bestand van hun Windowsversie downloaden, om die vervolgens vanaf dvd of usb-stick te starten en zo een geheel schone installatie uit te voeren. bron: security.nl

Een webwinkel van computerfabrikant Acer is gehackt geweest, waardoor de gegevens van klanten mogelijk in verkeerde handen terecht zijn gekomen. Dat blijkt uit een brief die het bedrijf naar klanten heeft gestuurd. Volgens Acer heeft het onlangs bij één van de webwinkels een beveiligingsincident ontdekt. Daarbij heeft een ongeautoriseerde partij toegang tot het systeem gekregen en mogelijk ook tot klantgegevens. Om welke webwinkel van Acer het gaat is niet bekendgemaakt, behalve dat klanten die er tussen 12 mei 2015 en 28 april 2016 gebruik van hebben gemaakt mogelijk risico lopen. Acer stelt dat er "ongeautoriseerde toegang" heeft plaatsgevonden, maar laat niet duidelijk weten of er ook daadwerkelijk klantgegevens zijn gestolen. Volgens de computerfabrikant is dit echter wel een mogelijkheid. Het gaat dan om naam, adresgegevens, creditcardnummer, verloopdatum en driecijferige ccv-beveiligingscode. Het incident had in ieder geval betrekking op Amerikaanse Acer-klanten, aangezien de Taiwanese computerfabrikant naar hen de waarschuwing (pdf) heeft gestuurd. bron: security.nl

Mozilla werkt aan een nieuwe feature binnen Firefox zodat gebruikers aparte tabs voor werk, privé, internetbankieren en online shopping kunnen starten. De 'Containers Feature' maakt het mogelijk om meerdere tabs in verschillende contexten te openen. Elke context heeft zijn eigen 'cookie jar', cache en lokale opslag. Zo is het bijvoorbeeld mogelijk om in de werk-tab op een zakelijk Twitter- of e-mailaccount in te loggen, terwijl er gelijktijdig via de privé-tab op de eigen Twitter- en e-mailaccounts kan worden ingelogd. Naast werk en privé noemt Mozilla ook internetbankieren en online shopping als context. Op deze manier hoeven gebruikers geen verschillende browsers te gebruiken of steeds op hetzelfde domein in en uit te loggen. Containers zijn nu via een vroege testversie van Firefox 50 te testen. Of en wanneer deze feature in de uiteindelijke versie van Firefox terechtkomt is nog onbekend. Mozilla laat weten dat het vooralsnog om een experimentele feature gaat en het vooral benieuwd is naar de feedback van testers. bron: security.nl

Anti-virusbedrijf Avast heeft een schoonmaaktool voor Windowscomputers gelanceerd, vergelijkbaar met het populaire CCleaner. Avast Cleanup, zoals het programma heet, kan cookies verwijderen, de browsercache legen en surf- en downloadgeschiedenis wissen. Ook kan het bepaalde applicaties, geplande taken en services tijdens het opstarten van Windows uitschakelen of vertragen, zodat de computer sneller opstart. Als laatste kan het programma ongebruikte applicaties verwijderen en het Windows Register opschonen. Avast Cleanup bevindt zich nog in de testfase en kan onafhankelijk van de beveiligingsproducten van het anti-virusbedrijf worden gebruikt. Steeds meer anti-virusbedrijven bieden naast beveiligingssoftware ook programma's aan om de prestaties van computers te verbeteren. Zo heeft bijvoorbeeld anti-virusbedrijf AVG een hele reeks apps en programma's die niet direct iets met de detectie van malware te maken hebben, maar computergebruikers met allerlei taken moeten helpen, zoals een 'driver updater' en een applicatie voor betere computerprestaties. bron: security.nl

Op internet zijn nog altijd miljoenen apparaten en diensten te vinden die onbeveiligd worden aangeboden, maar als er één land is waar dit verhoudingsgewijs veel voorkomt, dan is het België. Dat stelt beveiligingsbedrijf Rapid7 aan de hand van eigen onderzoek. Het gaat dan om machines die via Telnet en andere diensten toegankelijk zijn. Dat blijkt uit cijfers van beveiligingsbedrijf. Zo werden er wereldwijd 15 miljoenen Telnet-systemen ontdekt, 11,2 miljoen systemen die directe toegang tot relationele databases aanbieden en 4,5 miljoen printerdiensten. Verder werden er 4,7 miljoen systemen gevonden die poort 445/tcp aanbieden, één van de meest aangevallen poorten op internet. Op nationaal niveau werden er ook opvallende zaken ontdekt. Zo bleek dat 75% van de servers die smb/cifs-diensten aanbiedt, meestal een Microsoft-dienst voor bestandsdeling en remote beheer voor Windowsmachines, in slechts zes landen werden aangetroffen, namelijk Australië, België, China, Hong Kong, Polen en de VS. België komt ook terug in de landen met veel onbeveiligde smb/netbios-diensten en Microsoft SQL-serversystemen. Verder blijkt dat bij 31% van de in België gevonden systemen 30 populaire poorten toegankelijk zijn, zoals poort 22 (ssh) of 23 (Telnet). Op basis van de poortscans en de aanwezigheid van onbeveiligde diensten werd vervolgens een Top 50 samengesteld, de 'National Exposure Index'. Het gaat om een overzicht van landen met de meeste onbeveiligde diensten. De lijst wordt door België aangevoerd, gevolgd door Tajikistan en Samoa. Nederland werd ook in het onderzoek meegenomen, maar wordt niet zo uitgebreid als België genoemd en komt ook niet in de Top 50 voor. Nederland scoort goed in het gebruik van ssh ten opzichte van Telnet. In Nederland werden ruim 3 miljoen systemen gevonden die op alle 30 poorten luisteren. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht waarin 14 beveiligingslekken zijn verholpen. Via drie kwetsbaarheden zou een aanvaller in het ergste geval volledige controle over de computer kunnen krijgen als een bezoeker een kwaadaardige of gehackte website zou bezoeken. Ook zijn er kwetsbaarheden verholpen die het voor een aanvaller mogelijk maakten om de adresbalk te spoofen en te achterhalen welke plug-ins een gebruiker allemaal had geïnstalleerd. Verder behoren verschillende bugs in de encryptiebibliotheek die Firefox gebruikt tot het verleden. In de Androidversie heeft Mozilla besloten om icoontjes in de adresbalk te verwijderen. Dit moet voorkomen dat onbeveiligde websites de afbeeldingen van legitieme websites kopiëren en gebruikers daardoor denken dat het veilig is om vertrouwelijke informatie in te voeren. Gebruikers krijgen dan ook het advies om naar Firefox 47 te upgraden die ook verschillende niet-security gerelateerde verbeteringen bevat. Dit kan via Mozilla.org en de automatische updatefunctie. bron: security.nl

Op 2 augustus zal Mozilla voor het eerst een Firefox-versie voor eindgebruikers met een sandbox uitrollen. Firefox is nog de enige van de grote browsers die niet over een sandbox beschikt. Microsoft kwam begin 2008 met meerdere processen voor IE, gevolgd door Chrome zes maanden later. Safari volgde in de zomer van 2011, maar Firefox moest het zonder doen. Een sandbox wordt als een zeer belangrijke beveiligingsmaatregel gezien, omdat het kan voorkomen dat via een kwetsbaarheid in de browser er meteen toegang tot het systeem kan worden verkregen. De sandbox van Firefox wordt "Electrolysis" genoemd en was sinds december vorig jaar al in de testversie aanwezig. Inmiddels is de de sandbox zo ver ontwikkeld dat die op 2 augustus voor het eerst in de versie voor eindgebruikers zal verschijnen. Het gaat om Firefox 48. Niet alle gebruikers van deze versie zullen meteen over de sandbox beschikken. Zo zal die bijvoorbeeld later in de versie voor Windows XP verschijnen, bij gebruikers met schermlezers en gebruikers die een extensie hebben geïnstalleerd, wat meteen de grootste groep Firefoxgebruikers is. Het plan van Mozilla is om de sandbox bij de lancering van Firefox 48 onder 1% van de gebruikers uit te rollen. In de weken daarna zullen de overige Firefoxgebruikers volgen. In het geval de sandbox voor problemen zorgt kan de uitrol worden vertraagd of gestopt. Mozilla kan de sandbox zelfs uitschakelen bij gebruikers die hem al hebben. "Dit is een grote verandering voor Firefox, de grootste die we ooit hebben doorgevoerd", aldus Asa Dotzler van Mozilla. bron: security.nl

De gratis beveiligingstool Microsoft EMET is voor het eerst door cybercriminelen omzeild, zo meldt het Amerikaanse beveiligingsbedrijf FireEye. EMET staat voor Enhanced Mitigation Experience Toolkit en is een programma van Microsoft dat Windows en applicaties van een extra beschermingslaag voorziet. Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. EMET kan daarnaast systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. In het verleden hebben onderzoekers verschillende keren aangetoond dat EMET is te omzeilen. Cybercriminelen probeerden EMET juist op systemen te detecteren voordat ze een aanval uitvoerden. Zo zijn er aanvallen bekend waarbij computers met EMET met rust werden gelaten, om te voorkomen dat het programma de aanval zou detecteren en alarm zou slaan. FireEye heeft nu echter een nieuwe versie van de Angler-exploitkit ontdekt die in staat is om Microsoft EMET te omzeilen. De Angler-exploitkit is een zeer populaire toolkit die internetcriminelen gebruiken om computers automatisch met malware te infecteren. Hiervoor worden bekende kwetsbaarheden in Adobe Flash Player, Microsoft Silverlight en Internet Explorer gebruikt. Zodra internetgebruikers op een website met de Angler-exploitkit komen of een advertentie te zien krijgen die hiernaar wijst en de eerder genoemde software is niet up-to-date, dan kan er zonder enige verdere interactie malware worden geïnstalleerd. In het geval Microsoft EMET was geïnstalleerd zou de aanval kunnen worden gestopt. De nu ontdekte Angler-exploitkit is echter in staat om EMET in het geval van aanvallen op Adobe Flash Player en Microsoft Silverlight te omzeilen en zo toch malware te installeren. Volgens FireEye is dit vrij geraffineerd en laat het zien dat exploitkits zich steeds verder ontwikkelen. Windowsgebruikers kunnen dergelijke aanvallen echter voorkomen door hun software up-to-date te houden. bron: security.nl

De wachtwoordmanager KeepPass gaat voortaan update-informatie over de software van een digitale handtekening voorzien, om zo man-in-the-middle-aanvallen te voorkomen. Via KeePass kunnen gebruikers allerlei wachtwoorden voor online diensten en websites opslaan. De software beschikt niet over een automatische updatefunctie, maar controleert wel automatisch of er updates beschikbaar zijn. Een aanvaller die zich tussen het internet en de gebruiker bevindt kan deze controle onderscheppen en de gebruiker naar een kwaadaardige update of downloadpagina wijzen. De gebruiker moet deze update nog wel zelf downloaden en installeren. Beveiligingsonderzoeker Florian Bogner ontdekte het probleem en waarschuwde KeePass-ontwikkelaar Dominik Reichl. Die liet in eerste instantie weten dat het probleem niet zou worden opgelost. De indirecte kosten van het overstappen op https, zoals het mislopen van advertentie-inkomsten, zouden het een onwerkbare oplossing maken. Reichl stelt verder dat niet alleen de update-informatie via http wordt aangeboden, ook de website is alleen via http te bereiken. Het overstappen op https voor alleen de update-informatie zou dan ook zinloos zijn, aldus de ontwikkelaar. Een veiligere oplossing is volgens hem dan ook het gebruik van een digitale handtekening voor de update-informatie. Zelfs als een aanvaller de webserver zou hacken kunnen gebruikers nog steeds controleren of aangeboden bestanden over de juiste digitale handtekening beschikken. Vanaf KeePass 2.34 is dan ook alle update-informatie digitaal ondertekend. Het is wel aan gebruikers om deze handtekening voor het downloaden en installeren te controleren. bron: security.nl

De afgelopen dagen is van een groot aantal TeamViewer-gebruikers het account gehackt, zo heeft het softwarebedrijf laten weten. Concrete aantallen worden echter niet genoemd. Al zo'n twee weken lang klagen tal van TeamViewer-gebruikers over gehackte accounts. Daarbij wordt als oorzaak een hack van TeamViewer genoemd, maar het softwarebedrijf ontkent dit. Volgens TeamViewer ligt de oorzaak juist bij gebruikers die wachtwoorden hergebruiken. "Deze sterke toename [van gehackte accounts] ontstond nadat de laatste datalekken een aantal weken geleden in het nieuws verschenen. Alles hangt daarmee samen", zegt TeamViewer-woordvoerder Axel Schmidt in een interview met Ars Technica. Bij bijna alle gehackte accounts bleek dat de inloggegevens ook ergens anders werden gebruikt, aldus Schmidt. Een andere reden dat accounts worden gehackt is dat gebruikers zwakke wachtwoorden gebruiken, zoals de naam van hun partner, kind of huisdier. Er gingen ook geruchten dat de twee-factor authenticatie van TeamViewer gecompromitteerd zou zijn, maar ook daarvoor is geen bewijs, laat Schmidt weten. Gebruikers die klagen zouden hun logbestanden niet opsturen, waardoor er volgens de woordvoerder geen onderzoek kan worden uitgevoerd. Vorige week kondigde TeamViewer twee nieuwe beveiligingsfuncties aan om accounts beter te beschermen. bron: security.nl

Een nieuwe variant van de CryptXXX-ransomware versleutelt niet alleen bestanden voor losgeld, maar steelt ook een groot aantal wachtwoorden. Beveiligingsbedrijf Proofpoint analyseerde de nieuwe versie. Die blijkt naast lokale bestanden ook netwerkschijven en -mappen te zoeken om te versleutelen. Daarnaast downloadt CryptXXX ook een dll-bestand speciaal voor het stelen van allerlei wachtwoorden. Het gaat dan om browsergegevens, zoals cookies en opgeslagen wachtwoorden, en inloggegevens voor e-mail, ftp, instant messaging, pokersoftware, vpn (virtual private network) en remote beheer. Eerdere versies van CryptXXX konden nog gratis worden ontsleuteld, maar dat zou met de laatste versie niet meer mogelijk zijn. Door het ontbreken hiervan en het feit dat er steeds sneller nieuwe versies verschijnen krijgen gebruikers en organisaties het advies om zich vooral op preventie en detectie te richten. bron: security.nl

De makers van de populaire mediaspeler VLC hebben een nieuwe versie uitgebracht waarin een beveiligingslek is gedicht. Via de kwetsbaarheid zou een aanvaller in het ergste geval kwetsbare systemen kunnen overnemen als een gebruiker een kwaadaardig QuickTime-bestand (.ima) opende. De kwetsbaarheid is aanwezig in VLC versie 2.2.3 en ouder. Gebruikers krijgen dan ook het advies om naar VLC versie 2.2.4 te upgraden. Dit kan via de ingebouwde software-updater en videolan.org. bron: security.nl

Computers van Asus zijn kwetsbaar voor aanvallers omdat de updatesoftware via een onbeveiligde verbinding bios-updates en software-updates via internet downloadt. Dat laat beveiligingsonderzoeker Morgan Gangwere weten. Op computers van Asus is standaard de LiveUpdate-software geïnstalleerd. Via de software is het mogelijk om de bios/uefi-firmware te updaten en de andere geïnstalleerde Asus-software bij te werken. De updates worden echter via een onversleutelde http-verbinding als zip-bestand aangeleverd en met beheerdersrechten op computers uitgevoerd. Volgens de onderzoeker wordt de inhoud op geen enkel moment geverifieerd. Daardoor kan een aanvaller die zich tussen de gebruiker en het internet bevindt kwaadaardige updates aanbieden en zo het systeem overnemen. Eind april stuurde Gangwere een e-mail met zijn ontdekking naar security@asus.com, maar die e-mail kon niet worden afgeleverd. Vervolgens besloot hij Asus begin mei via de telefoon te benaderen, maar dat lukte naar eigen zeggen ook niet. Daarop stapte de onderzoeker naar het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het CERT/CC probeerde Asus te bereiken, maar ook dat bleek onsuccesvol. De organisatie, die vaker een coördinerende rol tussen onderzoekers en bedrijven vervult, adviseerde toen om de ontdekking openbaar te maken, wat Gangwere nu heeft gedaan. bron: security.nl

Het Internet Storm Center (ISC) waarschuwt voor een sterke toename van scans op poort 23 (Telnet). Mogelijk is dit het gevolg van een worm die systemen via Telnet infecteert en vervolgens gebruikt voor het scannen naar andere kwetsbare systemen. Via Telnet is het mogelijk om op afstand toegang tot een systeem te krijgen. Het protocol bestaat al sinds 1969 en wordt onder andere in embedded devices gebruikt, zoals routers, VoIP-telefoons, digitale videorecorders, televisies en industriële controlesystemen. Telnetscans richten zich volgens Johannes Ullrich van het ISC dan ook voornamelijk op dit soort apparaten. Is er een apparaat gevonden, dan wordt geprobeerd via een bruteforceaanval in te loggen. Eenmaal ingelogd wordt er aanvullende malware geïnstalleerd. De malware zoekt naar andere kwetsbare machines of laat de besmette machine ddos-aanvallen uitvoeren. Of en wat soort malware voor de recente piek verantwoordelijk is, is onbekend. Ullrich adviseert in ieder geval om voorzichtig te zijn met het gebruik van Telnet-servers en al helemaal geen standaardwachtwoorden te gebruiken. bron: security.nl

De updatesoftware die computerfabrikanten standaard op hun computers installeren bevat allerlei kwetsbaarheden waardoor het mogelijk is om systemen met malware te infecteren en over te nemen, zo blijkt uit onderzoek (pdf) van Duo Security. Het gaat om software van Asus, Acer, Lenovo, Dell en Hewlett Packard. De updatesoftware wordt door de fabrikanten geïnstalleerd om meegeleverde programma's, zoals bijvoorbeeld een programma dat de status van het systeem monitort, up-to-date te houden. Door verschillende beveiligings- en configuratiefouten kan een aanvaller de updatesoftware gebruiken om kwaadaardige updates aan te bieden die vervolgens door de updatesoftware worden geïnstalleerd. Op deze manier kan een aanvaller zonder interactie van een gebruiker malware op het systeem krijgen. Zo blijkt de updatesoftware vaak geen versleutelde verbinding te gebruiken en wordt de digitale handtekening van de update niet altijd gecontroleerd. Een aanvaller die zich tussen de gebruiker en het internet bevindt kan zo een kwaadaardige update aanbieden die de updatesoftware zal accepteren. In sommige gevallen wordt het installeren van de updates ook niet aan gebruikers gemeld. De onderzoekers van Duo Security ontdekten in totaal 12 unieke beveiligingslekken, waarvan er 7 nog altijd niet zijn gepatcht door de fabrikant. "Bloatware slaat weer toe! Over het algemeen is de software van fabrikanten een risico voor gebruikers, wat algemeen bekend is. Door fabrikanten ontwikkelde updatesoftware is geen uitzondering op deze regel", aldus de onderzoekers. Ze stellen dat de updatesoftware van nature met zeer hoge rechten draait, eenvoudig is aan te vallen en zonder al teveel problemen te reverse engineeren is. Daarnaast wordt de veiligheid van dergelijke software weinig gecontroleerd, wat de "perfecte storm" creëert voor een aanvaller die op het netwerk zit, zo merken ze op. Schone installatieNaast het verwijderen of uitschakelen van de updatesoftware en andere door de fabrikant geïnstalleerde programma's is er volgens de onderzoekers weinig wat gebruikers kunnen doen om zich te beschermen. Toch geven de onderzoekers verschillende adviezen. Als eerste wordt aangeraden om alle computers die over vooraf geïnstalleerde software beschikken voor het gebruik te wissen en een volledig schone versie van Windows te installeren. Een andere oplossing is het verwijderen van de ongewenste software of om die uit te schakelen. "Meer complexiteit brengt meestal meer beveiligingslekken met zich mee", aldus de onderzoekers. Die stellen verder dat Dell, HP en Lenovo in bepaalde gevallen meer aandacht aan security besteden in vergelijking met Acer en Asus. bron: security.nl

Een nieuw ransomware-exemplaar die zich onder andere via usb-sticks verspreidt en waarvoor Microsoft onlangs nog een waarschuwing afgaf blijkt niet op Windows XP en Vista te werken. Dat laat het Japanse anti-virusbedrijf Trend Micro weten. De ransomware wordt ZCryptor of ZCrypt genoemd en versleutelt net als allerlei andere ransomware bestanden voor losgeld. In dit geval een bedrag van 500 euro. Om een computer in eerste instantie te kunnen infecteren maakt ZCryptor gebruik van e-mail. Ook wordt de ransomware door malware geïnstalleerd die al op het systeem actief is en doet het zich voor als een installatieprogramma van Adobe Flash Player. Eenmaal actief op een computer versleutelt de ransomware niet alleen bestanden, maar plaatst ook een autorun.inf en een .lnk bestand op aangesloten usb-sticks. In het geval de usb-sticks vervolgens op een andere computer worden aangesloten en de gebruiker voor automatisch afspelen kiest, wordt ook die machine besmet. De malware blijkt echter niet op Windows XP en Vista te werken. ZCrypt roept namelijk een functie aan die op oudere Windowsversies niet bestaat. Hierdoor stopt de ransomware met werken en versleutelt geen bestanden. Volgens Trend Micro kan het een bewuste keuze van de ransomwaremakers zijn om Windows XP en Vista niet meer te ondersteunen, maar ook slordig programmeerwerk wordt niet uitgesloten. bron: security.nl