Captain Kirk

Mozilla wil dat als de FBI over een kwetsbaarheid in Firefox beschikt, het die ook openbaar maakt. De opensource-ontwikkelaar heeft hiervoor een brief naar de rechter gestuurd. Aanleiding is een zaak waarbij de FBI naar verluidt een beveiligingslek in Tor Browser gebruikte om Tor-gebruikers te identificeren. Tor Browser is grotendeels op Mozilla Firefox gebaseerd en laat gebruikers verbinding met het Tor-netwerk maken. Bij een operatie tegen kinderporno zou de FBI een kwetsbaarheid in Tor Browser hebben gebruikt om de identiteit van bepaalde Tor-gebruikers te achterhalen. De kwetsbaarheid zou zich in het gedeelte van de Firefoxcode kunnen bevinden. "Als het inderdaad om een kwetsbaarheid in Firefox gaat, moet de FBI die openbaren, aangezien honderden miljoenen gebruikers hiervan profiteren, stelt Mozilla's Denelle Dixon-Thayer in een blogposting. "Op dit moment weet niemand buiten de overheid, waaronder wij zelf, welk lek er is gebruikt en of het zich in onze code bevindt", gaat Dixon-Thayer verder. Ze merkt op dat de rechter in deze zaak de FBI heeft bevolen om de kwetsbaarheid aan de advocaten van de verdachte te openbaren, maar niet aan de partijen die het kunnen verhelpen. "Dit slaat nergens op, omdat op deze manier het lek niet kan worden opgelost voordat het verder wordt geopenbaard." Mozilla wijst dan ook naar het algemeen gevolgde beleid dat voor het rapporteren van kwetsbaarheden geldt, namelijk dat de kwetsbare eerst partij wordt ingelicht en in staat wordt gesteld een update uit te rollen voordat de details openbaar worden. Iets dat de rechter volgens Mozilla ook in deze zaak zou moeten volgen en waarom het deze brief (pdf) heeft gestuurd. "Overheden en technologiebedrijven hebben beiden een rol te spelen in het beschermen van mensen op internet. Het openbaren van kwetsbaarheden aan technologiebedrijven zorgt ervoor dat wij onze taak kunnen uitvoeren om te voorkomen dat gebruikers worden aangevallen en het web veiliger te maken", besluit Dixon-Thayer. bron: security.nl

Ha, nee je zou de eerste zijn met een koptelefoon op achter een een computer die uit staat. Ik doelde meer op dat sommige de koptelefoon opzetten en direct daarna de pc aanzetten om te gaan werken. Tijdens het opstarten van de pc worden alle drivers voor de diverse onderdelen gestart. Afhankelijk van de volgorde hiervan kun je soms even een ruis horen. Ik ben ook een beetje door mijn ideeën heen wat de oorzaak van je probleem kan zijn. Mocht iemand een idee hebben... Gelukkig is het voor je niet te storend. Succes en wil je toch dat we nog verder gaan graven, horen we het wel.

Tijdens de patchronde van mei heeft Microsoft miljoenen computers op de aanwezigheid van de Locky-ransomware en Kovter-malware gecontroleerd. Windows beschikt over een ingebouwde virusverwijdertool genaamd MSRT, die veelvoorkomende malwarefamilies kan detecteren en verwijderen. Tijdens de patchdinsdag van elke maand als Microsoft beveiligingsupdates voor Windows uitbrengt, wordt ook de MSRT met nieuwe malwaredefinities bijgewerkt. De update van deze maand zorgt ervoor dat de MSRT in staat is om Locky en Kovter te detecteren. Locky is een ransomware-variant die recentelijk nog door anti-virusbedrijf Kaspersky Lab als één van de grootste plagen van het eerste kwartaal van dit jaar werd bestempeld. De ransomware verspreidt zich via kwaadaardige macro's in Office-bestanden en versleutelt bestanden voor losgeld. Ook in Nederland is Locky actief. Kovter is een malwarefamilie die besmette computers clickfraude laat plegen. Hierbij genereren besmette computers clicks op advertenties, waarvoor de internetcriminelen achter Kovter worden betaald. De adverteerders en advertentienetwerken zijn hiervan de dupe, omdat zij denken dat de clicks van echte mensen afkomstig zijn en hier ook voor betalen. Kovter verspreidt zich via kwaadaardige advertenties die gebruikers laten geloven dat ze Adobe Flash Player moeten updaten. Het aangeboden bestand is echter malware. Volgens Microsoft zijn honderdduizenden Windowscomputers door Kovter op deze manier aangevallen. Het gaat hier echter om aanvallen die Microsoft waarnam en blokkeerde. In tegenstelling tot Locky die wereldwijd werd waargenomen, is Kovter zo goed als alleen in de Verenigde Staten actief. Als Kovter succesvol is, is de malware erg lastig te verwijderen, aldus de softwaregigant. "Door detectie van Kovter en Locky aan de MSRT toe te voegen, hopen we een grotere impact te hebben door meer geïnfecteerde machines te bereiken en te helpen bij het verwijderen van deze dreigingen", zegt Geoff McDonald van Microsoft. Hij benadrukt dat voorkomen nog altijd beter is dan genezen. bron: security.nl

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft een waarschuwing voor een zes jaar oud beveiligingslek in SAP afgegeven waardoor al 36 bedrijven wereldwijd zijn aangevallen. De aanvallers maken gebruik van een functie in SAP Java-platformen. De kwetsbaarheid in deze functie werd in 2010 door SAP gepatcht. Het beveiligingslek blijft echter een probleem voor verouderde en verkeerd geconfigureerde SAP-systemen, aldus US-CERT. Veel zakelijke SAP-applicaties draaien op SAP Java-platformen, waaronder SAP Enterprise Resource Planning, SAP NetWeaver en SAP Supply Chain Management. "De kwetsbaarheid bevindt zich in de SAP-applicatielaag, het staat dus los van het besturingssysteem en de database-applicatie die het SAP-systeem ondersteunt", zo laat de waarschuwing weten. Via de kwetsbaarheid kan een aanvaller op afstand volledige toegang tot het SAP-platform krijgen. Daarmee heeft de aanvaller niet alleen de controle over de zakelijke informatie en processen op deze systemen, maar kan er ook toegang tot andere systemen worden verkregen. Volgens beveiligingsbedrijf Onapsis, dat de aanvallen ontdekte, zijn bedrijven in de Verenigde Staten, Groot-Brittannië, Duitsland, China, India, Japan en Zuid-Korea getroffen. Het gaat om bedrijven in de olie- en gassector, telecomaanbieders, nutsbedrijven, autofabrikanten en staalfabrikanten. US-CERT adviseert organisaties om de SAP-update uit te voeren en de kwetsbare functie uit te schakelen. bron: security.nl

Microsoft gaat deze zomer Wi-Fi Sense, waarmee het mogelijk is om contacten toegang tot het eigen wifi-netwerk te geven, uit Windows 10 verwijderen. Volgens Microsoft wordt er weinig gebruik gemaakt van de feature en is er ook weinig vraag naar. Daarom zou het de investeringen niet meer rechtvaardigen. De softwaregigant heeft de code van Wi-Fi Sense al uit de testversie van Windows 10 verwijderd, zo maakte het bij de lancering van de nieuwste testversie bekend. The Verge meldt dat de functie echter deze zomer, bij de lancering van de Windows 10 Anniversary Update, bij alle Windows 10-gebruikers zal worden verwijderd. Wi-Fi Sense kreeg veel kritiek omdat het een beveiligingsrisico zou zijn. Volgens Windowsexpert Ed Bott was deze kritiek misplaatst, aangezien er geen wifi-wachtwoorden worden gedeeld, maar alleen toegang tot internet. De optie om wifi-toegang te delen staat standaard ingeschakeld. Het geldt echter alleen voor netwerken die de gebruiker gekozen heeft. Gebruikers moeten het wifi-netwerk waarvan ze de toegang willen delen eerst zelf kiezen. Niemand zou dan ook zonder toestemming verbinding met het wifi-netwerk van de gebruiker kunnen maken. bron: security.nl

Het zou niet echt uit mogen maken of de instelling op luidspreker staat. Is de ruis er wanneer je computer aan zet en verdwijnt deze wanneer de computer volledig is doorgestart?

Je mag het topic zelf sluiten. Heb je toch binnenkort weer problemen met de ruis, neem dan gerust weer contact met ons op.

Die lichte ruis is volgens mij vrij normaal. Ik hoor door de koptelefoon in mijn geluidsstudio ook wel eens een lichte ruis. Je zou nog kunnen kijken of toevallig in je volumebeheer nog andere "kanalen" open staan.

Het Belgische Openbaar Ministerie is een onderzoek naar Microsoft gestart omdat de softwaregigant weigert gegevens van bepaalde gebruikers te overhandigen. Het gaat om gegevens, waaronder ip-adressen, van gebruikers die in een cybercrimezaak worden verdacht. Volgens het Belgische OM is Microsoft onder de Belgische wetgeving verplicht om mee te werken. Microsoft België laat tegenover De Standaard weten dat de Belgische afdeling niet bij het verzoek van het OM is betrokken en alle dataverzoeken door het hoofdkantoor in de Verenigde Staten worden behandeld. Het Openbaar Ministerie hoopt door het onderzoek Microsoft toch te dwingen de gevraagde gegevens te overhandigen. Ook de Belgische minister van Justitie Koen Geens vindt dat Amerikaanse technologiebedrijven onvoldoende meewerken als het gaat om het delen van informatie. "De medewerking verschilt van provider tot provider. Maar in het algemeen is die ruim onvoldoende, wat de onderzoeken in gevaar brengt. Bijgevolg brengt dat ook de veiligheid van de bevolking in gevaar", stelt Geens aan De Standaard. De minister merkt op dat onderzoeken steeds meer afhankelijk zijn van de medewerking van bedrijven als Facebook, Google en Twitter. bron: security.nl

Aanvallen op internetgebruikers via beveiligingslekken in ongepatchte software vinden meestal plaats via gehackte websites en besmette advertenties, maar nu wordt ook e-mail ingezet, zo meldt netwerkgigant Cisco. Om de kwetsbaarheden uit te buiten maken internetcriminelen vaak gebruik van exploitkits. Zodra een internetgebruiker op een gehackte website terechtkomt of een besmette advertentie te zien krijgt, wordt hij onopgemerkt naar de exploitkit doorgestuurd. De exploitkit probeert vervolgens bekende kwetsbaarheden in bijvoorbeeld Adobe Flash Player, Internet Explorer of Silverlight te gebruiken om malware op de computer te plaatsen. Hierbij is geen enkele interactie van de gebruiker vereist. Het Finse anti-virusbedrijf F-Secure liet onlangs nog aan Security.NL weten dat 70% van alle infecties op deze manier plaatsvindt. Cisco meldt nu dat het een nieuwe variant van deze aanvalsmethode heeft ontdekt. Om gebruikers naar de exploitkit te lokken worden nu e-mails ingezet. Het gaat om een e-mail die stelt dat de ontvanger een bestelling heeft gedaan en via de meegestuurde link meer informatie kan opvragen. Daarbij worden zo'n 900 verschillende bedrijfsnamen gebruikt waar de ontvanger zogenaamd een bestelling heeft geplaatst. De link in de e-mail wijst vervolgens naar een gehackte WordPress-pagina met de Angler-exploitkit. In het geval gebruikers hun software niet up-to-date hebben en op de link klikken kunnen ze met malware besmet raken. "Exploitkits weten gebruikers in groten getale te infecteren en hun bereik blijft groeien. Eerst waren het gehackte websites en besmette advertenties. Nu is het een combinatie van spamberichten met gehackte WordPress-sites die als springplank voor de aanval worden gebruikt", zegt Nick Biasini van Cisco. Hij waarschuwt dat zowel de gebruikers als ontwikkelaars van exploitkits naar nieuwe manieren blijven zoeken om zoveel mogelijk internetgebruikers als mogelijk te infecteren. Daarbij zorgt het verdienmodel van ransomware ervoor dat er een grotere competitie tussen internetcriminelen ontstaat om kwetsbare gebruikers aan te vallen. bron: security.nl

Er is een nieuwe ransomware-variant actief die belooft het geld van slachtoffers aan een goed doel voor kinderen te doneren. De nog naamloze ransomware verspreidt zich via e-mailbijlagen en ongepatchte software. Eenmaal actief versleutelt het allerlei bestanden, net als andere ransomware. Na de versleuteling van de bestanden krijgen slachtoffers een melding met instructies te zien. Daarin staat dat er speciale software moet worden aangeschaft om de bestanden te kunnen ontsleutelen. Deze software zou daarnaast de computer beschermen en gebruikers zouden tevens 3 jaar technische ondersteuning krijgen. Als laatste stellen de ransomware-makers, die zich het Charity Team noemen, dat het geld van slachtoffers naar goede doelen voor kinderen wordt overgemaakt. De ransomware vraagt 5 bitcoins (1950 euro) voor het ontsleutelen van de bestanden, wat veel hoger is dan veel andere varianten vragen. Wordt er niet binnen 24 uur betaald, dan zal het bedrag worden verdubbeld, zo meldt beveiligingsbedrijf Heimdal Security. bron: security.nl

Mozilla heeft een update voor Firefox uitgebracht omdat anti-virussoftware weer voor problemen zorgde. Vorige week verscheen Firefox 46, waarin meerdere beveiligingsproblemen werden opgelost. Kort na het uitkomen van deze versie klaagden Firefoxgebruikers dat ze geen websites meer konden laden. Gebruikers kregen alleen lege pagina's te zien. Daarop besloot Mozilla de update naar Firefox 46 te staken. Er werd een onderzoek ingesteld, waaruit naar voren kwam dat anti-virussoftware de boosdoener was. De problemen ontstonden door het scannen van een bepaalde directory. Het is niet voor het eerst dat Firefox en virusscanners botsen. Begin dit jaar bleek Firefox te crashen door de anti-virussoftware van G Data en zorgden virusscanners ervoor dat sommige gebruikers geen ssl-sites konden bezoeken. Updaten naar Firefox 46.0.1 zal op de meeste systemen automatisch gebeuren. bron: security.nl

De makers van Opera hebben vandaag een nieuwe versie van de browser gelanceerd die over een ingebouwde adblocker beschikt. Volgens de ontwikkelaars is het blokkeren van advertenties een belangrijke maatregel om websites sneller te laten laden en geheugenverbruik te verminderen. Sommige populaire websites zouden zonder advertenties 90% sneller laden. Browserontwikkelaars hebben echter niets aan dit vraagstuk gedaan, aldus Krystian Kolondra van Opera. De browserontwikkelaar wilde hier naar eigen zeggen verandering in brengen door Opera van een ingebouwde adblocker te voorzien. Daardoor vindt het blokkeren van advertenties op het niveau van de web-engine plaats, waardoor pagina's veel sneller kunnen laden en er minder geheugen wordt gebruikt dan bij adblocker-extensies het geval is. Volgens eigen cijfers zou surfen met Opera's adblocker 62% sneller zijn dan zonder adblocker. Ook verbruikt de browser minder geheugen als er een adblocker is ingeschakeld. Opera-gebruikers moeten de adblocker in Opera 37 wel zelf inschakelen. Iets dat ook per website kan worden geregeld. Opera is in vergelijking met Chrome of Internet Explorer een kleine browser. Het aandeel van Opera kende in april echter een opleving en beleefde met 1,9% het hoogste niveau in meer dan een jaar tijd. Onlangs liet Opera weten dat het ook een vpn aan de browser gaat toevoegen. bron: security.nl

Google heeft besloten om het verkeer naar alle blogs op de eigen blogdienst Blogspot te versleutelen. Vorig jaar september introduceerde de internetgigant al de optie voor bloggers om dit zelf in te schakelen. Deze optie is nu verwijderd en het verkeer naar alle blogs wordt nu versleuteld. Er is daarnaast een nieuwe optie voor bloggers beschikbaar genaamd "HTTPS Redirect", waarmee het mogelijk is om in te schakelen dat alle bezoekers die de http-versie van het blog bezoeken automatisch naar de https-versie worden doorgestuurd. In het geval de optie staat uitgeschakeld is het mogelijk om het blog zowel via http als https te bezoeken. Google waarschuwt wel voor mixed content waardoor de https-versie van de blogs niet naar behoren kunnen werken. Het gaat in dit geval om content zoals afbeeldingen, gadgets, advertenties of templates die via http worden aangeroepen. In het geval van een https-site kan dit een mixed content-waarschuwing veroorzaken. Google stelt dat het veel van deze problemen kan verhelpen, maar een deel moet door de bloggers zelf worden opgelost. Om bloggers en beheerders hiermee te helpen is er nu een speciale tool gelanceerd om mixed content in blogs en berichten te vinden. bron: security.nl

Een ernstig beveiligingslek in ImageMagick, een populaire softwarebibliotheek om afbeeldingen mee te verwerken, zorgt ervoor dat een groot aantal websites kwetsbaar is en risico loopt om te worden gehackt. In het geval een website toestaat dat gebruikers een afbeelding kunnen uploaden en er van ImageMagick gebruik wordt gemaakt, kan een aanvaller in het ergste geval willekeurige code op de webserver uitvoeren. Verschillende plug-ins voor het verwerken van afbeeldingen zijn afhankelijk van de ImageMagick-bibliotheek, zoals PHP's imagick, Ruby's rmagick en paperclip en NodeJS's imagemagick. De kwetsbaarheid heeft de naam "ImageTragick" gekregen en is ontdekt door beveiligingsonderzoeker Nikolay Ermishkin. Volgens onderzoeker Ryan Huber is het eenvoudig om er misbruik van te maken en zullen erop korte termijn exploits voor verschijnen. De voorspelling die Huber gisterenavond deed bleek te kloppen, want inmiddels zijn dergelijke exploits namelijk verschenen. De ontwikkelaars van ImageMagick hebben een oplossing beschikbaar gesteld die de aanval voorkomt. Beheerders moeten in dit geval een aantal regels code toevoegen aan een bestand dat door ImageMagick wordt gebruikt. Een beveiligingsupdate zal dit weekend uitkomen.

De ontwikkelaars van OpenSSL hebben vandaag verschillende beveiligingsupdates uitgerold die meerdere kwetsbaarheden verhelpen waardoor in het ergste geval een aanvaller die zich tussen een doelwit en het internet bevindt versleuteld verkeer kan ontsleutelen. Het gaat in dit geval om geheugencorruptieproblemen in de ASN.1-encoder en AES-NI CBC MAC check. De problemen werden in 2013 geïntroduceerd als oplossing voor een andere aanval. Het probleem in de ASN.1-encoder is aanwezig in alle OpenSSL-versies van voor april 2015. De kwetsbaarheid werd op 18 april 2015 gepatcht en de update in kwestie verscheen al op 11 juni 2015. De impact van de kwetsbaarheid was destijds nog niet bekend. Het probleem in de AES-NI CBC MAC check werd op 13 april van dit jaar ontdekt. Om beide beveiligingslekken te kunnen misbruiken moet een aanvaller zich tussen het doelwit en het internet bevinden. Daarnaast moet de verbinding AES CBC-encryptie gebruiken en de server AES-NI ondersteunen. De vier overige problemen die vandaag zijn gepatcht zijn als "low" aangemerkt. Beheerders krijgen het advies om naar OpenSSL 1.0.2h of OpenSSL 1.0.1t te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. bron: security.nl

Onderzoekers hebben een onbekende malware-familie ontdekt die zich via social engineering verspreidt en al sinds 2007 bij aanvallen wordt ingezet. Dat meldt het Amerikaanse beveiligingsbedrijf Palo Alto Networks. Om de malware te verspreiden worden er PowerPoint- en Word-documenten gebruikt. De documenten, die onder andere via een gehackt Gmail-account werden verstuurd, bevatten weer een zichzelf uitpakkend archiefbestand (SFX) dat de malware bevat. Om de infectie te laten slagen moet de gebruiker dit kwaadaardige bestand zelf uitvoeren. Eenmaal actief kan de malware, die Infy wordt genoemd, toetsaanslagen opslaan en cookies en wachtwoorden in verschillende browsers stelen. Onder andere een Israëlische industriële organisatie was het doelwit van de aanvallers, die volgens het beveiligingsbedrijf nog steeds actief zijn. bron: security.nl

Verschillende overheidsinstanties in Nederland en de Verenigde Staten alsmede een aantal beveiligingsbedrijven adviseerden recentelijk om Apple QuickTime van Windowscomputers te verwijderen omdat de mediaspeler niet meer wordt ondersteund en er bekende kwetsbaarheden in aanwezig zijn. Nu sluit ook IBM zich hierbij aan. "Hoewel we nog geen aanvallen hebben gezien die van deze kwetsbaarheden gebruikmaken, is het tijd om QuickTime van alle Windowsmachines te verwijderen", zegt Patrick Vowles van IBM. Hij wijst naar de BigFix-oplossing van IBM, een patchmanagementsysteem. Een gebruiker van deze oplossing heeft nu een script ontwikkeld waarmee organisaties QuickTime binnen hun omgeving kunnen verwijderen. Vereiste is wel dat BigFix wordt gebruikt. Daarnaast kan het gebruik van het script ervoor zorgen dat Internet Explorer crasht als de QuickTime-plug-in tijdens het verwijderen in gebruik is. bron: security.nl

Er is een nieuwe ransomware-variant ontdekt die in tegenstelling tot veel andere varianten het losgeld niet in bitcoin vraagt, maar in iTunes-cadeaubonnen. Door een fout in de ransomware hoeven slachtoffers het losgeld echter niet te betalen om hun gegevens terug te krijgen. Het gaat om de Alpha-ransomware die AES-256-encryptie gebruikt om de bestanden te versleutelen. Opmerkelijk aan de ransomware is dat het losgeld niet in bitcoin wordt vraagd maar in iTunes-cadeaubonnen. Een betalingsmiddel dat veel eenvoudiger te traceren is, aldus Lawrence Abrams van Bleeping Computer. Onlangs verscheen er een andere ransomware-variant genaamd TrueCrypter die losgeld in Amazon-cadeaubonnen wilde zien en was er een variant voor Android die ook in iTunes-cadeaubonnen betaald wilde worden. In het geval van de Alpha-ransomware heeft de ontwikkelaar een fout gemaakt, waardoor onderzoeker Michael Gillespie een tool kon maken die bestanden kosteloos ontsleutelt. De ransomware vraagt een losgeldbedrag van 400 dollar. bron: security.nl

Ik weet niet of het toetsenbord en muis compatibel is met een andere receiver dan Microsoft. Misschien kun je het beste de vraag aan Microsoft zelf vragen. Wie weet kunnen zij je melden waar je een vervangend exemplaar kunt vinden en wat de kosten zijn. Dan kun je zelf bepalen of het zin heeft deze kosten te maken of een nieuwe set aan te schaffen. Er is ook een site van Microsoft zelf waarin ze aangeven dat je contact met ze kan opnemen wanneer je hardware wilt vervangen. Maar hiervoor moet je een nummer in de Verenigde Staten bellen. Ik zou het even middels mijn linkje proberen. Laat ons even weten of je probleem zo op te lossen is.

Telefoonoplichters proberen allerlei manieren om mensen op te lichten en hebben hiervoor nu ook een nep-virusscanner van stal gehaald. Enkele jaren geleden waren nep-virusscanners, die internetgebruikers lieten geloven dat hun computer met malware was besmet, een groot probleem. Het ging om pop-ups en frauduleuze software die gebruikers via de waarschuwingen bang probeerden te maken. Voor het verwijderen van de zogenaamde malware op de computer moest worden betaald. Op deze manier zijn internetgebruikers voor tientallen miljoenen euro's opgelicht. Sinds de opkomst van cypto-ransomware, waarbij bestanden voor losgeld worden versleuteld, zijn nep-virusscanners zo goed als verdwenen. Telefoonoplichters maken er nu weer gebruik van. Op websites laten ze een screenshot van een nep-virusscanner uit 2011 zien, gevolgd door een pop-up dat de browser met malware is geïnfecteerd en er een telefoonnummer moet worden gebeld om het probleem te verhelpen. Vervolgens vindt de bekende telefoonscam plaats, waarbij de oplichters toegang tot de computer proberen te krijgen en het niet bestaande probleem tegen betaling oplossen. "Hoewel we grinnikten toen we dit zagen, is het belangrijk om te onthouden dat het een scam is en mensen erin zullen trappen", zegt Jerome Segura van anti-malwarebedrijf Malwarebytes. De meeste van deze pop-ups zijn volgens hem onschuldig en kunnen door het sluiten van de browser worden gesloten. bron: security.nl

Macro’s in Microsoft Office-documenten die malware op computers installeren worden een grotere dreiging dan Adobe Flash Player, zo stelt Mikko Hypponen, Chief Research Officer van het Finse anti-virusbedrijf F-Secure, in een interview met Security.NL. Macro’s laten Office-gebruikers allerlei taken automatiseren. Via macro's in een document is het echter ook mogelijk om ongezien malware te downloaden en op de computer te installeren. In de vorige eeuw waren er al virussen die zich via macro’s in Office-documenten konden verspreiden. Vanwege het beveiligingsrisico besloot Microsoft om macro’s in documenten niet standaard uit te voeren. In het geval een document een macro bevat krijgt de gebruiker tegenwoordig een melding te zien of hij de macro wil inschakelen. Internetcriminelen ontdekten dat dit niet altijd een obstakel hoeft te zijn, aangezien er ook gebruikers zijn die hier gehoor aan geven. Het gebruik van macro-malware kwam begin dit decennium nog op beperkte schaal voor, zoals een Excel Sudoku uit 2012 met een kwaadaardige macro. Begin januari 2014 besloot het Nationaal Cyber Security Center (NCSC) van de overheid een waarschuwing voor macro-malware af te geven, omdat de tactiek weer op grotere schaal werd toegepast. Inmiddels zijn we goed twee jaar verder en worden kwaadaardige macro’s zowel voor cyberspionage, cybersabotage als ransomware gebruikt. Drive-by downloadsHet gebruik van macro’s is niet de enige manier waardoor computers geïnfecteerd raken. Drive by-downloads, waarbij een computer via een beveiligingslek in bijvoorbeeld de browser of browserplug-in besmet raakt, is ook nog steeds een beproefde methode, aldus Hypponen. Hij stelt dat 70% van alle Windowsinfecties op deze manier plaatsvindt. Het gaat dan vooral om exploitkits die misbruik van kwetsbaarheden in Adobe Flash Player, Internet Explorer of Silverlight maken. Zodra een gebruiker met een verouderde Flash Player-versie op een gehackte website terechtkomt of een besmette advertentie te zien krijgt, kan er automatisch malware worden geïnstalleerd. Hypponen verwacht echter dat dit beeld de komende twee jaar gaat veranderen. "Onze systemen worden steeds lastiger aan te vallen via exploitkits. Browsers worden beter beveiligd. Niemand maakt meer gebruik van QuickTime of Microsoft Silverlight. Java is inmiddels gestorven en Flash is aan het sterven. Aanvallers zoeken dan ook naar nieuwe manieren. En hoewel niet eenvoudig, zijn macro’s de makkelijkste manier die overblijft." Windows XPWindows XP heeft echter laten zien dat veel gebruikers met verouderde software blijven werken. Hypponen denkt dat een zelfde soort scenario niet voor Flash Player opgaat. “Flash is aan het sterven en hopelijk zal het binnen twee jaar dood zijn. Natuurlijk zal er een verloop zijn, maar voor doorsnee internetgebruik zou het snel moeten verdwijnen." Hij verwacht ook niet dat aanvallers op HTML5 zullen overstappen. De technologie moet browserplug-ins zoals Flash Player vervangen. Het staat daarnaast standaard in alle moderne browsers ingeschakeld. Volgens de Finse beveiligingsexpert is het echter zeer lastig om HTML5 aan te vallen en zo malware op computers te installeren. "Internetcriminelen zullen het misschien proberen, maar het zal niet eenvoudig zijn." Op de vraag of Microsoft, nu kwaadaardige macro’s vaker zullen worden ingezet, niet meer zou moeten doen om gebruikers te beschermen stelt Hypponen dat de softwaregigant zich van het probleem bewust is. Zo heeft Microsoft herhaaldelijk voor macro-malware gewaarschuwd en adviseert om macro’s uit te schakelen. Hypponen wijst verder naar Office 2016, dat over betere manieren beschikt om met macro’s om te gaan. "Er zijn echter nog weinig mensen die Office 2016 gebruiken", zo merkt hij op. GebruikersEen ander veel gegeven advies is dat gebruikers geen macro’s moeten openen. Hypponen is echter somber gesteld dat dit het probleem zal oplossen. "Gebruikers leren het nooit. Het trainen van gebruikers is tijdverspilling. Mensen zullen altijd op elke knop klikken, elke link openen en elk programma uitvoeren." Hypponen adviseert organisaties dan ook om Office-documenten met macro’s op de gateway te filteren. Voor eindgebruikers heeft hij ook nog een boodschap: "Stop eens met het klikken op de "Inhoud inschakelen" knop, verdorie!” bron: security.nl

De meeste ransomware maakt voor het versleutelen van bestanden gebruik van niet te kraken encryptiealgoritmes, maar de maker van de Nemucod-ransomware heeft een andere oplossing gekozen. Voor het gijzelen van bestanden maakt hij namelijk gebruik van het gratis archiveringsprogramma 7-Zip. De Nemucod-ransomware verspreidt zich via JScript-bestanden die via e-mail worden verstuurd. Zodra een gebruiker het JScript-bestand opent wordt de ransomware actief en zal via 7-Zip bestanden op de computer versleutelen. Oplettende gebruikers kunnen het versleutelproces via Windows Taakbeheer echter stoppen. In het geval dit niet lukt en de bestanden toch worden versleuteld moet er zo'n 200 euro voor het ontsleutelen worden betaald. Op dit moment wordt er echter aan een tool gewerkt zodat slachtoffers de bestanden gratis kunnen ontsleutelen, zo meldt onderzoeker Bart Blaze. bron: security.nl

De keuze van Microsoft om een qr-code aan het gevreesde Blue Screen of Death (BSOD) van Windows 10 toe te voegen kan internetcriminelen helpen bij het infecteren van smartphones, zo waarschuwt het Russische anti-virusbedrijf Kaspersky Lab. Onlangs werd bekend dat een nieuwe testversie van Windows 10 in het geval van een BSOD ook een qr-code toont. Het lijkt erop dat Microsoft via de qr-code gebruikers makkelijker informatie over crashes wil geven. De code wijst namelijk naar de website www.windows.com/stopcode, die uitkomt op een pagina over het verhelpen van BSOD-crashes. David Buxton van Kaspersky Lab is echter bang dat dit internetcriminelen een nieuwe aanvalsvector biedt. Door een gebruiker een bestand te sturen dat een BSOD simuleert kan de gebruiker bijvoorbeeld worden verleid om een kwaadaardige app te installeren. Hiermee kunnen vervolgens gegevens van de telefoon worden gestolen. Buxton erkent dat het om een theoretische aanval gaat, maar dat niets internetcriminelen in de weg staat om een dergelijke aanval uit te voeren. bron: security.nl

Soms kun je in de BIOS een instelling geven dat de fan's altijd op vol vermogen moeten draaien. Omdat je pc lawaai blijft maken, moest ik hier aan denken. In de handleiding van je moederbord zou moeten staan hoe je in de BIOS kunt geraken om dit te controleren. Maar nogmaals, ik zou even terug gaan naar degene die de voeding vervangen hebben. Dat scheelt jou zelf veel gepuzzel.