Captain Kirk

Cisco heeft netwerkbeheerders gewaarschuwd voor een zero day-beveiligingslek in de Adaptive Security Appliance (ASA) software dat deze week op internet verscheen en waardoor een aanvaller in het ergste geval de netwerkapparaten kan overnemen. Een beveiligingsupdate is nog niet beschikbaar. De ASA-software bevindt zich in in allerlei netwerkapparaten van Cisco, zoals firewalls, security appliances en routers. Deze week kwam een groep die zichzelf Shadow Brokers noemt met een dump van allerlei tools, bestanden en informatie die van de Equation Groep afkomstig zou zijn. Deze groep zou banden met de Amerikaanse NSA hebben en allerlei zeer geavanceerde malware hebben ontwikkeld. Volgens het Russische anti-virusbedrijf Kaspersky Lab zijn de bestanden in de dump van Shadow Brokers zo goed als zeker van de Equation Group. Shadow Brokers biedt de verkregen bestanden en tools nu tegen een bedrag van 1 miljoen bitcoins aan. Er is echter een dump met enkele bestanden en tools beschikbaar gemaakt. Daarin bevindt zich ook een exploit voor een onbekend beveiligingslek in de ASA-software van Cisco. Het gaat om een kwetsbaarheid in de Simple Network Management Protocol (SNMP) code van de ASA-software waardoor een aanvaller zonder inloggegevens op afstand kwaadaardige code kan uitvoeren. Om de kwetsbaarheid aan te vallen moet een aanvaller speciaal geprepareerde SNMP-pakketten versturen. Vervolgens kan er willekeurige code op het netwerkapparaat worden uitgevoerd en kan de aanvaller het systeem volledig overnemen, aldus Cisco. Systemen zijn alleen kwetsbaar als ze in de "routed and transparent firewall mode" zijn ingesteld. De netwerkgigant werkt aan een beveiligingsupdate, maar adviseert in de tussentijd om alleen betrouwbare gebruikers SNMP-toegang te geven. In de Shadow Brokers-dump bevond zich ook een andere exploit voor Cisco's ASA-software. De kwetsbaarheid waar hierbij gebruik van wordt gemaakt is vijf jaar geleden al gepatcht, aldus Omar Santos van Cisco. Toch heeft de netwerkfabrikant een security advisory naar buiten gebracht met informatie over de recente ontwikkelingen en het advies aan netwerkbeheerders om de betreffende update te installeren. Fortinet Ook netwerkfabrikant Fortinet kwam met een beveiligingsbulletin. Naast de producten van Cisco waren ook producten van deze partij het doelwit van de Equation Group. Het gaat om een kwetsbaarheid in de firmware van netwerkapparaten waardoor een aanvaller de systemen kan overnemen. Het probleem is in augustus 2012 al verholpen en netwerkbeheerders krijgen dan ook het advies de firmware van hun apparatuur te updaten. bron: security.nl

Onderzoekers hebben weer een backdoor ontdekt die het legitieme programma TeamViewer op computers installeert en aanvallers zo volledige controle over het systeem geeft. TeamViewer is software waarmee computers op afstand kunnen worden beheerd. Het wordt bijvoorbeeld binnen bedrijven gebruikt. De aanwezigheid van TeamViewer in het netwerkverkeer zal dan ook niet meteen opvallen. Via TeamViewer kunnen aanvallers aanvullende malware installeren en gegevens stelen. Onderzoekers van het Russische anti-virusbedrijf Doctor Web ontdekten een beheerderspaneel van de backdoor met de ip-adressen van allerlei geïnfecteerde systemen. Die blijken zich vooral in Groot-Brittannië, Spanje, de Verenigde Staten en Rusland te bevinden. Het gebruik van TeamViewer door malware is niet nieuw. Vorige week werd nog een ransomware-exemplaar gevonden dat van het programma gebruikmaakte. bron: security.nl

Ik heb je bericht met je telefoonnummer verwijderd. Geef nooit zomaar je telefoon, adres of wat voor prive-gegevens dan ook op internet. Zeker niet op plaatsen waar iedereen deze kan zien. Zelfs niet op een betrouwbaar forum als dit. Je weet nooit wat mensen hier mee gaan doen. Je kunt ons hier gewoon altijd via dit forum benaderen.

Het is een leuk idee maar het gebruik hier. Juist doordat andere dit ook kunnen lezen, kunnen helpers meedenken en hun ideeën voor een oplossing aandragen. Foto's e.d. kun je ook gewoon hier plaatsen

Om wat voor een laptop gaat het? Dus welk typenummer. Zover ik weet hebben laptops van Acer geen aparte geluidskaart maar zit deze geïntegreerd op het toetsenbord. Dus met de juiste info worden we misshcien iets wijzer en kunnen we mogelijk vertellen wat het probleem zou kunnen zijn.

Beste aarock, Wat bedoel je precies met dat je pc juist geformatteerd is? Het klinkt bij mij dat je dus alleen nog maar een lege harde schijf in de pc hebt zitten. In dat geval is het logisch dat hij niet meer start.

Onderzoekers van beveiligingsbedrijf Check Point zijn erin geslaagd de Cerber-ransomware te kraken, zodat slachtoffers kosteloos hun bestanden kunnen ontsleutelen. Cerber is een ransomware-exemplaar dat begin maart van dit jaar voor het eerst werd ontdekt. Net als andere ransomware versleutelt Cerber bestanden voor losgeld. De ransomware had het onder andere op Nederlandse internetgebruikers voorzien. Cerber wordt als een 'Ransomware as a Service' aangeboden. Criminelen kunnen de Cerber-ransomware gebruiken, waarbij er een deel van de inkomsten naar de ontwikkelaars gaat. Volgens Check Point zijn er 161 campagnes actief die van Cerber gebruikmaken. In juli alleen werden hierdoor 150.000 gebruikers in 201 landen getroffen. Zo'n 0,3% van de slachtoffers zou uiteindelijk betalen. Het beveiligingsbedrijf claimt dat de ransomwarecampagnes in juli bij elkaar 195.000 dollar opleverden. De ontwikkelaars ontvingen zo'n 78.000 dollar. Het restant werd met de partners gedeeld. Samen met IntSights onderzocht Check Point de wereldwijde distributie-infrastructuur. De onderzoekers waren in staat slachtoffers te achterhalen en zo betalingen en transacties te analyseren. Vervolgens konden zij zowel de inkomsten die de malware genereert als de geldstroom zelf volgen. Deze informatie diende uiteindelijk als blauwdruk voor een decryptie-tool waarmee slachtoffers zonder te betalen hun bestanden kunnen laten ontsleutelen. De tool is op de website cyberdecrypt.com te vinden. bron: security.nl

Mozilla gaat Firefoxgebruikers voortaan waarschuwen voor add-ons waarbij het nodig is om de browser te herstarten. In het begin moest Firefox voor het installeren van add-ons altijd opnieuw worden gestart. Vervolgens kwamen de extensies waarbij dit niet meer nodig is. Mozilla gebruikte een aparte vermelding voor deze add-ons op addons.mozilla.org. Er werd een "No Restart" badge bij de betreffende extensie getoond. Volgens de opensource-ontwikkelaar hielp dit gebruikers om te zien welke add-ons soepeler te installeren waren, wat ontwikkelaars weer aanmoedigde om dit ook bij hun eigen add-ons te implementeren. Er zijn nu echter meer extensies die geen herstart vereisen dan waar dit wel nodig is. Daarom heeft Mozilla besloten om de add-ons waarbij dit nog wel is vereist van een aparte badge met "Restart Required" te voorzien en de badge voor de andere add-ons te verwijderen. "Add-ons die niet hoeven te worden herstart zijn de norm aan het worden en het is een fantastische mijlpaal en grote verbetering voor de add-on-ervaring", zegt Mozilla's Andy McKay. bron: security.nl

Onderzoekers zijn er opnieuw in geslaagd om een beveiligingsfunctie van Windows 7 en Windows 10 te omzeilen die ongewenste aanpassingen aan systeeminstellingen moet voorkomen. Het gaat om Gebruikersaccountbeheer, ook bekend als User Account Control (UAC). UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Onderzoekers Matt Graeber en Matt Nelson lieten eind juli al zien hoe ze UAC via Schijfopruiming konden omzeilen. Nu hebben ze een andere methode ontdekt, namelijk het gebruik van Event Viewer. Via Event Viewer is het mogelijk om logbestanden te bekijken van gebeurtenissen die zich binnen het besturingssysteem hebben voorgedaan. Gebruikten de onderzoekers voor het omzeilen van UAC via Schijfopruiming een kwaadaardig dll-bestand, in het geval van de nu getoonde methode via Event Viewer gebeurt dit zonder aanvullende bestanden. Het lukte de onderzoekers om via Event Viewer een registerproces te kapen, PowerShell te starten en vervolgens met verhoogde rechten commando's op de machine uit te voeren. De onderzoekers hebben de aanval op Windows 7 en Windows 10 gedemonstreerd, maar stellen dat waarschijnlijk ook andere Windowsversies kwetsbaar zijn. Om de aanval uit te voeren moet een aanvaller wel al toegang tot het systeem hebben. Graeber en Nelson laten niet weten of ze het probleem aan Microsoft hebben gemeld. Dat was wel het geval met de methode die van Schijfopruiming gebruikmaakte. De softwaregigant stelde destijds dat het niet om een beveiligingslek ging en was dan ook niet van plan om het op te lossen. bron: security.nl

Wetenschappers van de universiteit van San Diego hebben een nieuwe methode ontwikkeld voor het vinden van Trojaanse paarden in computerchips. Of het nu om smartphones, routers of computers gaat, ze bestaan vaak uit allerlei onderdelen en chips. Het is echter mogelijk om chips zo te programmeren dat ze bepaalde taken uitvoeren, zoals een aanvaller toegang verlenen of gevoelige informatie doorsturen. Dit probleem wordt nog eens door de logistieke keten vergroot, aangezien de chips over de hele wereld worden geproduceerd. "Hardware Trojans", die ook nog eens lastig zijn te detecteren, hebben dan ook allerlei voordelen voor aanvallers. Om dergelijke aangepaste chips toch te vinden hebben wetenschappers een nieuwe techniek bedacht die kijkt hoe de informatie zich door de logische poorten van een chip beweegt, net zoals het verkeer zich op een kruispunt beweegt en waar het zich aan de verkeersregels en -signalen moet houden. Als de informatie opeens naar een deel van de chip gaat waar het niet hoort te zijn, zal de nieuwe methode bepalen of het door een Trojaans paard komt of niet. De onderzoekers noemen deze methode "Gate-Level Information-Flow Tracking" (GLIFT). Hierbij wordt er een label aan belangrijke data in een hardware-ontwerp toegevoegd. Is het doel bijvoorbeeld om te begrijpen waar een encryptiesleutel zich bevindt, dan wordt het label "vertrouwelijk" aan bits van de sleutel toegevoegd. De test-engineer kan dan kijken of de encryptiesleutel in een beveiligd deel van de chip blijft. Komt de encryptiesleutel echter buiten dat gebied, dan is de hardware mogelijk gecompromitteerd. Volgens onderzoeker en hoogleraar Ryan Kastner zijn Trojaanse paarden in chips speciaal ontworpen om geen activiteit tijdens tests te vertonen. "Hardware-ontwerpen zijn complex en bestaan vaak uit miljoenen regels code. De standaardregel is om elke vijf regels een fout te verwachten. Mensen met verkeerde bedoelingen, bijvoorbeeld een boze werknemer, kan deze speciale fouten aan bepaalde patronen toevoegen die waarschijnlijk niet worden getest. Vervolgens wachten ze op bepaalde invoer om actief te worden." Via GLIFT moet dit toch worden opgemerkt. Kastner stelt dat de methode er dan ook voor moet zorgen dat fabrikanten met veel meer vertrouwen chips aan hun producten kunnen toevoegen die door iemand anders zijn ontwikkeld. bron: security.nl

Criminelen hebben een botnet gebruikt om profielgegevens van LinkedIn-gebruikers te stelen, zo blijkt uit een rechtszaak die de zakelijke netwerksite tegen de onbekende aanvallers heeft aangespannen. LinkedIn hoopt zo de daders achter de datadiefstal te kunnen achterhalen, zo meldt Silicon Beat. "Sinds december vorig jaar tot nu toe hebben onbekende personen en/of entiteiten verschillende geautomatiseerde softwareprogramma's gebruikt (bots) om data van LinkedIn-pagina's te kopiëren", aldus LinkedIn in de aanklacht. De gekopieerde gegevens zouden vervolgens met andere partijen zijn gedeeld. Volgens LinkedIn zorgen deze acties ervoor dat het vertrouwen van LinkedIn-gebruikers hierdoor wordt geschaad. Om de gegevens te stelen zouden de aanvallers duizenden nepprofielen hebben aangemaakt en daarna de netwerksite zijn afgegaan. "De aanvallers gebruiken een gecoördineerd en geautomatiseerd netwerk van computers, ook bekend als een botnet", laat de aanklacht verder weten. Wie de aanvallers zijn is onbekend. Wel zou LinkedIn maatregelen hebben genomen om het "scrapen" van de website tegen te gaan. De aanvallers wisten deze maatregelen echter te omzeilen door gebruik van partijen te maken die op een whitelist van LinkedIn staan. Zodoende konden ze weer toegang tot servers van de netwerksite krijgen. Door de rechtszaak wil LinkedIn dat de providers en netwerken waar de aanvallers gebruik van maken worden gedwongen om de identiteit van de aanvallers prijs te geven. bron: security.nl

Onderzoekers hebben in een ip-camera van de Zuid-Koreaanse elektronicafabrikant Samsung tal van beveiligingsproblemen gevonden waardoor een aanvaller in het ergste geval op afstand een apparaat volledig kan overnemen. Het gaat om de Samsung SNH-6410BN. Het apparaat wordt als babycamera, binnencamera en beveiligingscamera gebruikt. "De beeldkwaliteit is redelijk, maar zoals de norm is met ip-camera's schiet de netwerkbeveiliging te kort", aldus het Britse beveiligingsbedrijf Pen Test Partners. Onderzoekers ontdekten in totaal 10 beveiligingsproblemen. Zo worden inloggegevens onversleuteld verstuurd, is er een webinterface aanwezig die niet in de documentatie wordt vermeld, moet er via deze webinterface een wachtwoord worden ingesteld en is het mogelijk om het ingestelde camerawachtwoord te resetten. Verder is de firmware niet tegen reverse engineering beschermd, is root de enige gebruiker, heeft Samsung onbedoeld de testfunctionaliteit aan laten staan, wordt alle gebruikersinvoer geaccepteerd en draait het apparaat een onnodige ssh-service. De onderzoekers wisten door al deze problemen uiteindelijk volledige controle over het apparaat te krijgen. Ze waarschuwden Samsung. De fabrikant kwam uiteindelijk met een update die de webinterface en ssh uitschakelt. De overige problemen zijn nog niet verholpen. bron: security.nl

Onderzoekers hebben een firewall voor usb-apparaten ontwikkeld om zo allerlei soorten usb-aanvallen te voorkomen. Door de complexe aard van usb is de echte functionaliteit voor gebruikers verborgen en besturingssystemen vertrouwen blindelings alle aangesloten usb-apparaten. Dit heeft voor verschillende aanvallen gezorgd, bijvoorbeeld usb-sticks die de computer laten geloven dat ze een toetsenbord zijn en vervolgens allerlei commando's uitvoeren waardoor een aanvaller volledige controle krijgt. Als oplossing voor dit probleem bedachten onderzoekers van de Universiteit van Florida en Universiteit van Illinois "USBFILTER". Dit is een firewall die op pakketniveau toegangscontrole over usb-apparaten geeft en kan voorkomen dat ongeautoriseerde apparaten verbinding met de computer maken. Het filter is namelijk in staat om individuele usb-pakketten naar de verantwoordelijke processen te herleiden en ongeautoriseerde toegang te voorkomen. Niet alleen kan USBFILTER bepaalde usb-apparaten blokkeren, het kan ook de toegang tot een bepaalde applicatie beperken. Zo is het mogelijk om in te stellen dat alleen Skype de webcam mag benaderen. De impact van de firewall op de prestaties, bij bijvoorbeeld het kopiëren van bestanden, is volgens de onderzoekers verwaarloosbaar. De code van USBFILTER is via GitHub te downloaden. bron: security.nl

Israëlische onderzoekers hebben malware ontwikkeld die het geluid van de harde schijf gebruikt om gegevens op computers die niet met internet verbonden zijn naar apparaten te versturen die wel internettoegang hebben. De onderzoekers noemen hun aanval "DiskFiltration". Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks. Om vervolgens van een besmette offline computer data te stelen ontwikkelden onderzoekers verschillende methodes, zoals het gebruik van de speakers, zowel intern als extern, om via geluidssignalen de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone terug te sturen. Als oplossing kregen beheerders van offline computers het advies om de speakers van het systeem uit te schakelen of te verwijderen, om zo een 'audio-gap' te creëren. Onderzoekers van de Ben-Gurion Universiteit in Israël hebben echter verschillende manieren gevonden om zelfs van dit soort systemen gegevens te stelen. In juni kwamen ze met Fansmitter, kwaadaardige code om via de ventilatoren van de computer gegevens door te sturen. Nu presenteren ze "DiskFiltration". Deze malware gebruikt de leesarm van de harde schijf om lees- en schijfoperaties uit te voeren. Dit veroorzaakt een akoestisch signaal dat kan worden gebruikt om informatie naar een apparaat in de buurt te versturen. Het gaat dan bijvoorbeeld om een besmette laptop, smartwatch of smartphone die over een microfoon beschikt en mogelijk met internet verbonden is. Op deze manier is het mogelijk om over een afstand van maximaal 2 meter 180 bits per minuut te versturen. Volgens de onderzoekers is deze malware vooral interessant voor het aanvallen van systemen die niet met internet verbonden zijn of van computers die wel internettoegang hebben, maar waarvan de internetverbinding door ids- en ips-systemen wordt gemonitord. Om de aanvallen te voorkomen adviseren de onderzoekers om de harde schijven door stillere modellen of ssd's te vervangen, speciale kastjes te gebruiken of een zone in te stellen waarbij het bijvoorbeeld niet is toegestaan om in een ruimte met gevoelige systemen een smartphone mee te nemen. bron: security.nl

Netwerkfabrikant D-Link heeft in verschillende routers een beveiligingslek gedicht waardoor een aanvaller via het internet in het ergste geval willekeurige code op het apparaat kon uitvoeren, zoals het installeren van malware of aanpassen van instellingen. Een onderdeel dat sessiecookies controleert was kwetsbaar voor een bufferoverflow. Een dienst die hiervan gebruikmaakt is via het WAN-netwerk op poort 8181 toegankelijk. De problemen zijn aanwezig in 11 modellen, waaronder de DIR-850L B1, DIR-885L A1 en DIR-818L(W). Updates zijn via de website van D-Link te downloaden, zoals in het beveiligingsbulletin wordt uitgelegd. bron: security.nl

Computers met een Skylake-processor waar Windows 7 en 8.1 op draait zullen langer door Microsoft met beveiligingsupdates worden ondersteund, zo heeft de softwaregigant gisterenavond bekendgemaakt. In maart van dit jaar werd de ondersteuning al tot 17 juli 2018 verlengd. Nu laat Microsoft weten dat deze systemen tot het einde van de supportperiode van Windows 7 en 8.1 op beveiligingsupdates kunnen blijven rekenen. In het geval van Windows 7 is dat tot 14 januari 2020, terwijl de support voor Windows 8.1 op 10 januari 2023 afloopt. Volgens Microsoft is deze aanpassing mogelijk door een goede samenwerking met fabrikanten en Intel, die de werking van de beveiligingsupdates zullen testen. De nieuwe generatie Intel-processoren met de naam Kaby Lake en de zevende generatie AMD-processoren zullen alleen op Windows 10 worden ondersteund. Ondanks de verlengde supportperiode adviseert Microsoft eigenaren van een Skylake-systeem om naar Windows 10 te upgraden. bron: security.nl

Browserontwikkelaar Opera is met een beveiligingsupdate gekomen voor gebruikers van Windows XP en Windows Vista. Opera is naar eigen zeggen de enige grote browserontwikkelaar die beveiligingsupdates voor de XP- en Vista-versies blijft uitrollen. Dat is niet helemaal waar, aangezien Firefox ook nog op Windows XP en Vista wordt ondersteund. Eerder liet Google echter weten dat Chrome Windows XP en Vista niet meer ondersteunt. De laatste Opera-versie die voor Windows XP en Vista verscheen was Opera 36 en is gebaseerd op Chrome 49. Nu heeft Opera de updates die in Opera 37 zijn verwerkt, de versie die op Chrome 50 is gebaseerd, ook voor Opera 36 op Windows XP en Vista beschikbaar gemaakt. De beveiligingsupdate zal automatisch onder gebruikers worden uitgerold, maar kan ook via Opera.com worden gedownload. bron: security.nl

Onderzoekers waarschuwen voor een nieuwe campagne met besmette advertenties waarbij gebruikers van Internet Explorer en systemen waarop Flash Player geïnstalleerd staat het doelwit zijn. Daarbij lijken de aanvallers te testen onder welke groep de meeste infecties plaatsvinden. De besmette advertenties sturen internetgebruikers namelijk ongemerkt door naar twee verschillende exploitkits. De ene exploitkit genaamd Sundown valt IE-gebruikers aan via een kwetsbaarheid die in mei van dit jaar door Microsoft werd gepatcht. De tweede exploitkit die RIG wordt genoemd probeert internetgebruikers via een beveiligingslek in Adobe Flash Player te infecteren waar sinds 23 juni van dit jaar een update voor beschikbaar is. In het geval Internet Explorer of Flash Player niet up-to-date zijn is het te zien krijgen van de besmette advertenties voldoende om door malware geïnfecteerd te raken. Om wat voor malware het precies gaat laat anti-malwarebedrijf Malwarebytes, dat de aanvalscampagne ontdekte, niet weten. In het verleden werd via beide exploitkits onder andere ransomware verspreid. Opvallend aan deze campagne is dat gebruikers naar twee exploitkits worden doorgestuurd. "Dit is waarschijnlijk een bewuste actie voor testdoeleinden of om het aantal infecties te vergroten", zegt analist Jerome Segura. bron: security.nl

Onderzoekers hebben een ernstige kwetsbaarheid in een internetprotocol ontdekt waar Linux gebruik van maakt en waardoor het voor aanvallers mogelijk is om in het verkeer tussen websites en hun bezoekers malware te injecteren of de verbinding van bezoekers te verbreken. Het probleem (pdf) bevindt zich in de implementatie van de RFC 5961-standaard, bedoeld om verschillende soorten aanvallen te voorkomen. De standaard blijkt internetgebruikers echter aan aanvallen bloot te stellen. Aanvallers, ongeacht waar ze zich bevinden, kunnen via de kwetsbaarheid namelijk detecteren wanneer twee partijen met elkaar op het internet communiceren. Vervolgens is het mogelijk om de verbinding te verbreken en in het geval het om een onversleutelde verbinding gaat kan er zelfs kwaadaardige code in het verkeer worden geïnjecteerd. De onderzoekers van de Universiteit van Californië en het Onderzoekslaboratorium van het Amerikaanse leger hebben gisteren tijdens een beveiligingsconferentie in de Verenigde Staten een demonstratie gegeven, waarbij ze malware op de inlogpagina van USA Today injecteerden. USA Today maakt geen gebruik van encryptie, waardoor de onderzoekers kwaadaardige JavaScript-code aan bezoekers van de inlogpagina konden voorschotelen. RFC 5961 is nog niet volledig op Windows en Mac OS X geïmplementeerd. De meeste Linux-distributies ondersteunen het wel. Inmiddels is er een update voor Linux uitgekomen om het probleem te verhelpen, maar die is onder de meeste grote distributies nog niet uitgerold. Om de aanval te laten slagen moet één van de twee partijen kwetsbaar zijn, wat inhoudt dat veel grote websites die op Linux draaien kunnen worden aangevallen, zo meldt Ars Technica. bron: security.nl

De meeste ransomware versleutelt bestanden zodra het op een computer actief is, maar een recent ontdekt exemplaar blijkt zich anders te gedragen als het om de computer van een boekhouder of boekhoudafdeling van een bedrijf gaat. Dat laat het Russische anti-virusbedrijf Kaspersky Lab weten. De ransomware in kwestie wordt Shade genoemd en is vooral in Rusland actief. Zodra Shade een computer heeft besmet controleert de ransomware eerst of de computer voor de boekhouding wordt gebruikt. Is dit niet het geval, dan worden de bestanden versleuteld. Gaat het echter om een boekhoudcomputer, dan zal Shade geen bestanden versleutelen maar een aangepaste versie van programma TeamViewer installeren. Daarmee hebben de aanvallers volledige controle over de computer. Volgens Kaspersky Lab gebruiken de aanvallers deze toegang om het vermogen van het slachtoffer in kaart te brengen. Dit kan bijvoorbeeld worden gebruikt voor het bepalen van het losgeldbedrag als er alsnog wordt besloten om bestanden te versleutelen of laat de aanvallers op een andere manier geld aan het slachtoffer verdienen. bron: security.nl

Gmail zal vanaf deze week twee nieuwe beveiligingswaarschuwingen laten zien die moeten voorkomen dat gebruikers het slachtoffer van phishing of andere vormen van fraude worden. In het geval de afzender van een bericht niet via het Sender Policy Framework (SPF) of DKIM kan worden bevestigd zal er een vraagteken in plaats van een profielfoto, logo of avatar van de afzender worden getoond. Deze maatregel geldt voor de webversie en Gmail-app op Android. De tweede waarschuwing verschijnt alleen in de webversie en betreft e-mails die een gevaarlijke link bevatten. Het gaat dan om phishingsites of websites met malware of ongewenste software. Zodra een gebruiker op de link klikt verschijnt de waarschuwing. Hiervoor maakt Gmail gebruik van Google's eigen Safe Browsing-technologie die ook in browsers zoals Chrome, Safari en Firefox aanwezig is. bron: security.nl

Er is een nieuw filter voor adblockers zoals Adblock Plus uitgekomen dat de adblocker-oplossing van Facebook omzeilt. Deze week maakte Facebook bekend dat het adblockers gaat omzeilen door de code van advertenties aan die van organische Facebookcontent gelijk te maken. Zodoende krijgen Facebookgebruikers met een adblocker toch advertenties te zien. Ben Williams van Eyeo, het bedrijf achter Adblock Plus, noemde het een spijtige ontwikkeling, omdat Facebook op deze manier tegen de wens van gebruikers ingaat. Ook zal er nu een wapenwedloop ontstaan waarbij adblockers weer zullen proberen om de advertenties op Facebook toch te blokkeren, net zoals spammers continu spamfilters proberen te omzeilen, zo waarschuwde hij gisteren. En zoals voorspeld heeft Williams gelijk gekregen, want het nu verschenen filter zorgt ervoor dat ook de nieuwe manier van advertenties tonen op Facebook wordt geblokkeerd. Adblockers werken met filters waarin regels staan om advertenties te blokkeren, bijvoorbeeld gebaseerd op afmeting of advertentienetwerk. Gebruikers van adblockers kunnen hun filterlijst updaten om het nieuwste "EasyList-filter" binnen te halen en zo advertenties op Facebook te blokkeren, maar het betreffende filter kan ook handmatig worden toegevoegd. Williams waarschuwt dat Facebook mogelijk weer gaat proberen om ook dit adblockfilter te omzeilen, waardoor er een kat-en-muisspel ontstaat. Vervolgens zal de adblockgemeenschap weer met een tegenoplossing komen, zo voorspelt hij. "Voor deze ronde van het kat-en-muisspel lijkt het erop dat de muis gewonnen heeft", aldus Williams. bron: security.nl

Een beveiligingslek in een wifi-camera van D-Link waardoor aanvallers op afstand het toestel kunnen overnemen blijkt ook in meer dan 120 andere apparaten van de fabrikant aanwezig te zijn, waardoor routers, modems, opslagapparaten en andere camera's risico lopen om te worden aangevallen. De kwetsbaarheid in de D-Link DCS-930L Network Cloud Camera werd ontdekt door beveiligingsbedrijf Senrio en vorige maand al openbaar gemaakt. Destijds lieten de onderzoekers al weten dat hetzelfde probleem in vijf andere camera's van D-Link was aangetroffen. "Deze kwetsbaarheid wijst op een groter probleem van slecht geschreven firmware-onderdelen die in goedkope Systems on Chips (SoCs) worden gebruikt." Na verder onderzoek is de kwetsbaarheid in meer dan 120 producten van D-Link aangetroffen. Het probleem bevindt zich in een service van de firmware genaamd dcp, die naar commando's op poort 5978 luistert. Een aanvaller kan via een speciaal commando willekeurige code op het kwetsbare systeem uitvoeren. Zo is het bijvoorbeeld mogelijk om het beheerderswachtwoord van de web-gebaseerde beheerdersinterface aan te passen. Ook het installeren van malware op het apparaat behoort tot de mogelijkheden. De dcp-service wordt gebruikt om het apparaat verbinding met MyD-Link te laten maken. Dit is een clouddienst waarmee gebruikers via een smartphone-app hun apparaten buiten hun eigen netwerk om kunnen bedienen. Het wordt voor allerlei D-Link-apparaten gebruikt en de kwetsbare code is dan ook in allerlei apparaten hergebruikt. Via een zoekopdracht bij de zoekmachine Shodan werden meer dan 400.000 D-Link-apparaten aangetroffen die via internet toegankelijk waren. Hoeveel er hiervan kwetsbaar zijn is echter onbekend. In het geval van de D-Link DCS-930L liet de fabrikant vorige maand weten dat het aan een update werkte. De status van eventuele updates voor de overige kwetsbare apparaten is onbekend. Wel heeft D-Link op MyD-Link een waarschuwing geplaatst waarin klanten worden opgeroepen om hun camera's up-to-date te houden en het wachtwoord regelmatig te wijzigen. bron: security.nl

Het beveiligingslek in de bios van Lenovo ThinkPad-laptops blijkt ook in de systemen van HP, Gigabyte en andere fabrikanten aanwezig te zijn. Vorige week waarschuwde Lenovo voor de kwetsbaarheid, waarvoor nog altijd geen beveiligingsupdate beschikbaar is. Het Nationaal Cyber Security Center (NCSC) volgde maandag met een waarschuwing. Via de kwetsbaarheid kan een aanvaller met fysieke toegang of beheerderstoegang het bios manipuleren om bijvoorbeeld de opstartprocedure van een computer te beïnvloeden. Lenovo liet weten dat het de kwetsbare bios-code niet zelf had ontwikkeld, maar die van een andere partij afkomstig was die nog niet is geïdentificeerd. Zoals al werd aangenomen blijkt dat ook andere fabrikanten de kwetsbare bios-code gebruiken. Het gaat in ieder geval om de Pavilion-laptop van HP en moederborden van Gigabyte, zo meldt beveiligingsonderzoeker Alex James via Twitter. Hij stelt dat ook veel andere partijen kwetsbaar zijn, maar geeft verder geen namen. In het geval van Gigabyte gaat het om de volgende moederborden: Z68-UD3H, Z77X-UD5H, Z87MX-D3H en Z97-D3H. De kwetsbaarheid werd door een onderzoeker ontdekt die zijn bevindingen openbaarde zonder eerst Lenovo te informeren. Geen enkele getroffen partij heeft dan ook een update beschikbaar. Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Een beveiligingslek in het bios kan dan ook vergaande gevolgen hebben. bron: security.nl

Mozilla heeft aan een vroege testversie van Firefox verschillende privacyinstellingen van Tor Browser toegevoegd. Tor Browser is de browser die gebruikers verbinding met het Tor-netwerk laat maken. Het bestaat uit een aangepaste Firefox-versie en software die verbinding met het Tor-netwerk maakt. De verbeteringen die het Tor Project aan Tor Browser toevoegt wil Mozilla nu ook aan Firefox toevoegen, zo ontdekte blogger Soeren Hentzschel. Aan de vroege testversie van Firefox 50 zijn nu drie Tor Browser-patches toegevoegd die gebruikers meer privacyinstellingen bieden. De eerste patch moet voorkomen dat websites kunnen achterhalen welke browserplug-ins er zijn geïnstalleerd, om zo de gebruiker te 'fingerprinten'. De tweede patch werkt op een soortgelijke manier en moet identificatie aan de hand van de stand van het beeldscherm voorkomen. De derde en laatste patch verwijdert de "openen met" optie in het downloadvenster. Om problemen met opties tijdens het internetgebruik te voorkomen staan ze standaard uitgeschakeld en gebruikers moeten ze dan ook handmatig instellen. Dit kan via about:config, waarbij de opties "privacy.resistFingerprinting" en "browser.download.forbid_open_with" moeten worden ingeschakeld. Wanneer deze opties in de uiteindelijke versie van Firefox verschijnen is nog onbekend. bron: security.nl