Captain Kirk

Het Roemeense anti-virusbedrijf heeft een gratis 'vaccin' tegen verschillende ransomware-families uitgebracht, zoals CTB-Locker, Locky en TeslaCrypt. De Anti Ransomware-tool (exe) zou in ieder geval bekende versies van de ransomware moeten detecteren en mogelijk ook toekomstige varianten. De virusbestrijder had eerder al een tool ontwikkeld die alleen bescherming tegen de Cryptowall-ransomware bood. Dit programma werd echter begin deze maand offline gehaald, omdat die in bepaalde gevallen geen bescherming meer bood. "De nieuwe tool is een soort van voortzetting van het Cryptowall-vaccinatieprogramma", zegt Catalin Cosoi van Bitdefender. "We zochten naar een manier om te voorkomen dat deze ransomware bestanden versleutelt op systemen die niet onze software gebruiken en beseften dat we het idee konden uitbreiden." bron: security.nl

Microsoft gaat de updatescyclus voor alle ondersteunde versies van Office aanpassen, waar vooral bedrijven en andere zakelijke gebruikers rekening mee moeten houden. Voorheen verschenen zowel beveiligingsupdates als de niet-securitygerelateerde updates op de tweede dinsdag van elke maand. Vanaf april gaat Microsoft een andere updatecyclus hanteren, waarbij de niet-securitygerelateerde updates op de eerste dinsdag van de maand zullen verschijnen, waaronder ook updates voor ernstige niet-securitygerelateerde problemen. De beveiligingsupdates blijven gewoon op de tweede dinsdag verschijnen, ook bekend als patchdinsdag. De eerste updates als onderdeel van de nieuwe updatecyclus zullen op dinsdag 5 april uitkomen en zowel via Microsoft Update als de Windows Server Update Service (WSUS) worden aangeboden. bron: security.nl

Om ervoor te zorgen dat nieuwe features en innovaties eerder in Firefox belanden heeft Mozilla besloten om van het standaard updateproces af te wijken. Voorheen verschenen nieuwe features tegelijkertijd met beveiligingsupdates en bugfixes voor de browser. Oorspronkelijk kwam er elke zes weken een nieuwe Firefox-versie uit, maar onlangs kondigde Mozilla aan dat het met een nieuwe updatecyclus komt. In plaats van een update elke zes weken zullen updates nu variabel verschijnen, waarbij een periode van zes tot acht weken wordt aangehouden. In het geval van nieuwe features kunnen die straks tussen de geplande updates worden uitgerold. Daarom zal er een nieuwe mechanisme aan Firefox worden toegevoegd om dit mogelijk te maken. Het gaat dan bijvoorbeeld om features als Firefox Hello, die nu eerder updates kunnen ontvangen. Volgens Nick Nguyen heeft de maatregel geen gevolgen voor de standaard updatecyclus, die nog steeds voor de meeste updates zal worden gebruikt. Het zal er echter wel voor zorgen dat innovaties en verbeteringen eerder in Firefox belanden, zo laat hij weten. bron: security.nl

Een beveiligingslek in de populaire fotodienst Instagram maakte het mogelijk voor een onderzoeker om 1 miljoen tijdelijk inactieve accounts over te nemen. Het gaat om accounts waarvan de eigenaar moet worden geverifieerd, waarvoor Instagram via een aparte pagina verschillende mogelijkheden biedt. Het gaat dan onder andere om verificatie via e-mail of sms. Het is echter ook mogelijk om het e-mailadres of telefoonnummer van het account te updaten en dan de verificatie uit te voeren. Een aanvaller die toegang tot deze pagina heeft kan zijn eigen e-mailadres of telefoonnummer opgeven om hiermee het account te verifiëren en vervolgens een wachtwoordreset uitvoeren en zo het account overnemen. Onderzoeker Arne Swinnen had zijn eigen Instagram-account lange tijd niet meer gebruikt en moest die verifiëren. De pagina-link die Instagram hiervoor gebruikte bevatte echter zijn Instagram-id en vereiste geen verdere authenticatie. Via een script kon Swinnen zo alle Instagram-id's afgaan om te kijken welke accounts inactief waren en waar hij bijvoorbeeld het e-mailadres of telefoonnummer van kon aanpassen. Een test met 1 miljoen id's wees uit dat 4% van de Instagramgebruikers inactief was. Het waren voornamelijk accounts die pas een paar weken op inactief stonden. Instagram heeft naar eigen zeggen 400 miljoen gebruikers. Swinnen stelt dan ook dat hij via de kwetsbaarheid 1 miljoen accounts kon overnemen. Op 14 maart waarschuwde de onderzoeker Facebook, dat eigenaar van Instagram is. Binnen2 4 uur was het probleem opgelost en ontving Swinnen een beloning van 5.000 dollar. bron: security.nl

Microsoft heeft strengere regels aangekondigd voor programma's die de werking van browsers aanpassen, zoals toolbars. Vorig jaar kwam Microsoft al met strengere regels voor agressieve adware en software die advertenties injecteert. Zo is het niet meer voor dit soort software toegestaan om beveiligingsmaatregelen van het systeem te omzeilen of man-in-the-middle-aanvallen uit te voeren. Adware die dit wel doet zou vanaf 31 maart 2016 door de beveiligingssoftware van Microsoft worden verwijderd. Microsoft heeft de regels echter verbreed. Programma's die de browser aanpassen mogen dat voortaan alleen nog doen via het add-on-model van de browser. Alle andere aanpassingen zijn niet meer toegestaan. Het gaat daarbij niet alleen om adware, maar om alle software die de werking van de browser beïnvloedt. Doordat de richtlijn nu voor veel meer programma's gaat gelden heeft Microsoft de deadline verschoven van 31 maart naar 2 mei 2016, zodat ontwikkelaars de tijd krijgen om hun software aan te passen. bron: security.nl

De afgelopen dagen is er een sterke stijging geweest van het e-mails die via besmette zip-bijlagen de Locky-ransomware proberen te verspreiden. De e-mails hebben onder andere als onderwerp "invoice notice", "attached image" en "attached document themes". Volgens het bericht heeft de ontvanger bijvoorbeeld een bestelling geplaatst of een rekening niet betaald. Meer informatie zou in het meegestuurde zip-bestand zijn te vinden. Dit zip-bestand bevat weer een JavaScript-bestand dat de Locky-ransomware op de computer downloadt. De e-mails worden wereldwijd verspreid, waaronder ook in Nederland. Locky is een vrij nieuwe ransomware-variant, die net als andere ransomware bestanden voor losgeld versleutelt. In het begin gebruikte de Locky-ransomware nog kwaadaardige macro's in Excel- en Word-bestanden om systemen te infecteren, maar is nu op JavaScript-bestanden overgestapt. Een mogelijke reden hiervoor is dat het eenvoudig is om het script te obfusceren en nieuwe varianten uit te rollen, en zo traditionele op signatures-gebaseerde virusscanners te omzeilen, aldus beveiligingsbedrijf FireEye. Uit cijfers van VirusTotal blijkt dat de ransomware slecht door anti-virussoftware wordt herkend. Recentelijk werd een Amerikaans ziekenhuis nog door de Locky-ransomware getroffen, waarop het ziekenhuisbestuur intern de noodtoestand afkondigde. bron: security.nl

Onderzoekers hebben een nieuwe ransomware-variant ontdekt die niet bepaalde bestanden versleutelt, zoals de meeste ransomware doet, maar de gehele harde schijf ontoegankelijk maakt. Bedrijven zijn daarbij het doelwit van de ransomware, die de naam Petya heeft gekregen. Om de ransomware te verspreiden wordt er naar de hr-afdeling van bedrijven een e-mail gestuurd met een link naar Dropbox. De link zou volgens het bericht naar een c.v. wijzen, maar dit is een exe-bestand. Zodra het bestand wordt geopend crasht de computer en zal die herstarten. Vervolgens krijgt de gebruiker een melding te zien dat er een schijfcontrole plaatsvindt. In werkelijkheid wordt de harde schijf echter versleuteld, aldus het Duitse anti-virusbedrijf G Data. Het blijkt hier echter niet om versleuteling te gaan, maar het overschrijven van de master boot record (mbr), zo stelt anti-virusbedrijf Trend Micro. Na de schijfcontrole verschijnt er een doodshoofd en de melding dat de harde schijf is versleuteld. Via een website op het Tor-netwerk kunnen gebruikers voor 0,99 bitcoin (370 euro) een decryptiesleutel aanschaffen. De prijs hiervan wordt na een week verdubbeld. Of de harde schijf inderdaad is versleuteld zoals G Data claimt is onduidelijk. De onderzoekers van het anti-virusbedrijf stellen in hun eigen analyse dat waarschijnlijk alleen de bestandstoegang is geblokkeerd, maar de bestanden zelf niet zijn versleuteld. Het onderzoek naar de Petya-ransomware loopt echter nog. UpdateAnti-virusbedrijf Trend Micro laat in een analyse weten dat Petya de master boot record (mbr) van een besmette harde schijf overschrijft. Er wordt echter niet gesproken over het versleutelen van de harde schijf zoals G Data doet. Update 2G Data laat in een reactie aan Security.NL weten dat het onderzoek nog loopt, maar dat uit de voorlopige resultaten blijkt dat alleen de mbr en systeembestanden worden aangepast. Andere bestanden laat de ransomware buiten beschouwing. De onderzoekers van het Duitse anti-virusbedrijf kunnen zich dan ook voorlopig in de conclusie van Trend Micro vinden dat Petya de mbr overschrijft en aanpast, maar de harde schijf zelf niet wordt versleuteld. bron: security.nl

Google heeft vandaag een aantal nieuwe maatregelen aangekondigd die Gmail-gebruikers tegen verschillende dreigingen moeten beschermen. Zo zullen gebruikers voortaan een waarschuwing te zien krijgen als ze op een link in een e-mailbericht klikken waarvan Google weet dat die gevaarlijk is. Hiervoor maakt Google gebruik van Safe Browsing, de technologie die het zelf ontwikkelde om kwaadaardige en schadelijke websites op te sporen en ook binnen Google Chrome, Mozilla Firefox en Safari wordt gebruikt. Een andere aanpassing die Google gaat doorvoeren heeft betrekking op het waarschuwen van gebruikers voor aanvallen door overheden. Sinds 2012 krijgen Gmail-gebruikers een aparte waarschuwing te zien als ze volgens Google mogelijk het doelwit van een overheid zijn. Het gaat dan om een kleine roze balk bovenaan de pagina. Deze waarschuwingen zijn volgens Google zeer bijzonder, aangezien minder dan 0,1% van de Gmail-gebruikers die ooit te zien krijgt. Om deze gebruikers nu beter te informeren wordt er voortaan een complete pagina met beveiligingsadvies getoond. EncryptiewaarschuwingenSinds begin februari toont Google ook waarschuwingen aan Gmail-gebruikers als ze e-mailen met iemand waarvan de e-mailaanbieder geen tls-encryptie ondersteunt. "Dit had een direct en positief effect op de veiligheid van Gmail", zegt Nicolas Lidzborski van het Gmail Security-team. Sinds de maatregel werd geïntroduceerd is het aantal e-mails dat over een versleutelde verbinding werd verstuurd met 25% toegenomen. "We zijn zeer te spreken over deze ontwikkeling! Gegeven de eenvoud waarmee encryptie is te implementeren en het grote voordeel voor gebruikers verwachten we dat deze ontwikkeling zich zal voortzetten." bron: security.nl

In de surveillancecamera's van meer dan 70 fabrikanten is een ernstig beveiligingslek aangetroffen waardoor een aanvaller op afstand code op de apparaten kan uitvoeren, zo ontdekte onderzoeker Rotem Kerner. Het gaat om systemen die uit een surveillancecamera en digitale videorecorder (dvr) bestaan. Kerner kreeg inspiratie voor zijn onderzoek nadat eind 2014 bleek dat internetcriminelen winkels via hun dvr-systemen hackten en zo toegang tot de kassasystemen en creditcardgegevens van klanten kregen. "Surveillancecamera's zijn de eerste verdedigingslinie in de fysieke wereld, maar de zwakste schakel in de digitale wereld", aldus de onderzoeker. Hij besloot dan ook onderzoek te doen naar surveillancecamera's die via internet toegankelijk zijn. Een zoekopdracht via de Shodan-zoekmachine, waarmee op internet aangesloten apparaten kunnen worden gevonden, leverde meer dan 30.000 camera's op. Volgens de onderzoeker een topje van de ijsberg. De volgende stap in het onderzoek bestond uit het achterhalen van de fabrikant. Het bleek om een Israëlisch bedrijf te gaan. In de firmware van het systeem vond Kerner een ernstige kwetsbaarheid waardoor hij op afstand code op het systeem kon uitvoeren. Verdere analyse liet zien dat het systeem en gebruikte firmware eigenlijk in China waren ontwikkeld. Meer dan 70 fabrikanten wereldwijd bleken het systeem onder hun eigen naam te verkopen. De oorspronkelijke fabrikant is het Chinese TVT. De onderzoeker besloot dan ook om TVT voor de kwetsbaarheid te waarschuwen, maar zonder succes. Daarom heeft hij zijn bevindingen nu gepubliceerd, alsmede een lijst van alle kwetsbare fabrikanten. Doordat zoveel bedrijven dezelfde producten verkopen is het volgens Kerner lastig om het probleem te verhelpen. Ook is de kans klein dat ze allemaal met updates zullen komen, waardoor tal van gebruikers kwetsbaar achterblijven. Gebruikers krijgen dan ook het advies om de camera's alleen toegankelijk voor vertrouwde ip-adressen te maken. bron: security.nl

De Locky-ransomware was de afgelopen weken regelmatig in het nieuws omdat het allerlei organisaties en gebruikers infecteerde, waarop de de Duitse overheid en Microsoft met waarschuwingen kwamen, maar volgens onderzoeker Sylvain Sarméjeanne is de ransomware eenvoudig te neutraliseren. Sarméjeanne onderzocht de ransomware, die allerlei bestanden op computers voor losgeld versleutelt. Zo blijkt Locky computers met een Russische taalinstelling niet te infecteren. Het aanpassen van de taalinstelling kan een infectie dan ook voorkomen, maar is volgens de onderzoeker voor de meeste mensen niet werkzaam. Het aanpassen van het Windowsregister is dat mogelijk wel. Voordat Locky bestanden gaat versleutelen worden er namelijk eerst bepaalde waardes in het Windowsregister gecontroleerd. Na het controleren van de taalinstelling probeert Locky een registersleutel in het Windowsregister aan te maken. Als die sleutel echter al aanwezig is, stopt Locky met werken. Is de sleutel niet aanwezig, dan wordt die door Locky aangemaakt en controleert de ransomware vervolgens andere waardes in het Windowsregister. Het aanmaken van deze waardes zorgt er wederom voor dat Locky stopt en geen bestanden versleutelt. Een andere oplossing die het versleutelen voorkomt is het toevoegen van informatie in het Windowsregister die Locky voor de encryptiesleutel gebruikt. "De afgelopen weken heeft Locky voor veel problemen gezorgd, maar er zijn eenvoudige maatregelen die wanneer ingeschakeld voorkomen dat bestanden worden versleuteld, zonder dat hier anti-virussoftware of securitytools aan te pas komen", aldus Sarméjeanne. Eerder stelde ook de Oostenrijkse beveiligingsexpert Robert Penz dat infecties via Locky door het volgen van verschillende algemene beveiligingsprocedures eenvoudig zijn te voorkomen. bron: security.nl

Oracle heeft buiten de vaste patchcyclus om een noodpatch voor een ernstig beveiligingslek in Java uitgebracht waardoor aanvallers computers in het ergste geval volledig kunnen overnemen. Het bezoeken van een gehackte of kwaadaardige website zou in dit geval voldoende zijn. Het beveiligingslek is aanwezig in Oracle Java SE 7 Update 97 en Java 8 Update 73 en 74 voor Windows, Solaris, Linux en Mac OS X en oudere versies. Vanwege de ernst van de kwetsbaarheid adviseert Oracle de update zo snel als mogelijk te installeren, wat kan via Java.com. Verder krijgen Java-gebruikers het advies om oudere Java-versies van de computer te verwijderen en Java alleen via Java.com en geen andere websites te downloaden, omdat het dan mogelijk om malware kan gaan. Voor zover bekend zijn er nog geen aanvallen waargenomen die van de kwetsbaarheid gebruikmaken. bron: security.nl

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben naar eigen zeggen unieke en gevaarlijke usb-malware ontdekt die in staat is om offline computers te infecteren en ontwikkeld is om allerlei gegevens van besmette systemen te stelen. De malware wordt USB Thief genoemd. Om computers te infecteren maakt USB Thief gebruik van plug-ins of dll-bestanden. Volgens de onderzoekers spelen de malwaremakers hierbij in op de trend dat usb-sticks vaak "draagbare" applicaties bevatten die zonder installatie werken, zoals Firefox, Notepad++ en TrueCrypt. Zodra gebruikers een dergelijke applicatie starten wordt ook de malware in de achtergrond geladen. Het is echter onbekend hoe een besmette usb-stick bij het beoogde doelwit terechtkomt. HardwareUSB Thief is ook opvallend omdat het alleen op een enkele usb-stick werkt. De malware is zo ontwikkeld dat die niet op andere usb-apparaten dan het originele apparaat kan werken. Voor elk exemplaar is er dan ook een andere usb-stick. Hiervoor maakt USB Thief gebruik van encryptie. De encryptiesleutel is afgeleid van het hardware-id van de usb-stick en bepaalde schijfeigenschappen. Daardoor kan de malware alleen vanaf de betreffende usb-stick worden geladen. Dit maakt het lastiger voor onderzoekers om de malware te analyseren. Het belemmert echter ook de verspreiding van USB Thief. Aan de andere kant voorkomt het wel dat de malware buiten de aangevallen omgeving terechtkomt, aldus de onderzoekers. Dit was bijvoorbeeld het geval met de Stuxnetworm, die systemen ook via usb-sticks infecteerde. Stuxnet infecteerde echter ook usb-sticks die op de besmette computer werden aangesloten, waardoor de malware zich uiteindelijk buiten de aangevallen omgeving verspreidde. OnderzoekOmdat de onderzoekers niet over de besmette usb-sticks beschikten maar alleen de malware-bestanden, besloten ze het hardware-id van het oorspronkelijke usb-apparaat via brute force te achterhalen en gebruikten daarbij veelvoorkomende schijfeigenschappen. Hierdoor kon uiteindelijk de werking van de malware worden achterhaald. USB Thief blijkt alle databestanden op besmette computers te stelen, zoals afbeeldingen en documenten. Ook verzamelt USB Thief informatie uit het Windowsregister, bestandslijsten van alle harde schijven en informatie die via het programma WinAudit wordt verzameld. Hierbij laat de malware geen enkel spoor achter. "Nadat de usb-stick is verwijderd kan niemand meer zien dat er gegevens zijn gestolen", zegt onderzoeker Tomas Gardon. Usb-poorten uitschakelenOm infecties door USB Thief te voorkomen adviseert ESET om usb-poorten uit te schakelen. In het geval dit niet mogelijk is wordt aangeraden om beleid op te stellen voor het gebruik van usb-apparaten en is het raadzaam om het personeel te trainen. "Mensen moeten de risico's kennen van usb-apparaten die van onbetrouwbare bronnen afkomstig zijn. Uit verschillende onderzoeken blijkt dat er een grote kans is dat mensen gevonden usb-sticks in hun computer steken", stelt onderzoeker Peter Stancik. bron: security.nl

TeamViewer neemt maatregelen tegen Surprise-ransomware De ontwikkelaars van TeamViewer hebben maatregelen genomen tegen internetcriminelen die de software gebruiken om computers en servers met ransomware te infecteren. TeamViewer is een programma om op afstand computers te beheren. Gisteren werd bekend dat criminelen via TeamViewer toegang tot computers weten te krijgen en daar vervolgens de Surprise-ransomware installeren. Deze ransomware versleutelt vervolgens allerlei bestanden voor losgeld en geeft ze de bestandsextensie .surprise. De aanvallers gebruikten twee TeamViewer-accounts om toegang tot de computers van slachtoffers te krijgen. Daarop heeft TeamViewer besloten deze accounts uit te schakelen, zodat ze niet langer meer met de software zijn te gebruiken. Het is nog altijd onduidelijk hoe de aanvallers via TeamViewer toegang wisten te krijgen, maar mogelijk gaat het om gebruikers die hun TeamViewer-wachtwoord ook op andere websites gebruikten die werden gehackt. Volgens Lawrence Abrams van Bleeping Computer heeft meer dan de helft van de slachtoffers een account op één van de gehackte websites die via Haveibeenpwned.com worden bijgehouden. Uit analyse van de Surprise-ransomware blijkt dat het ransomware-bestand zelf geen encryptiefuncties bevat. In plaats daarvan wordt erin het geheugen van de computer een ander bestand geladen dat uiteindelijk de bestanden versleutelt. Op deze manier probeert de ransomware detectie door virusscanners te omzeilen. Zodra bestanden eenmaal zijn versleuteld is er geen manier om die kosteloos te ontsleutelen. bron: security.nl

Comodo heeft meerdere ernstige lekken in de eigen virusscanner gedicht waardoor een aanvaller zonder interactie van gebruikers systemen kon aanvallen en wachtwoorden, toetsaanslagen, encryptiesleutels en bijvoorbeeld informatie van smartcards kon stelen. De problemen werden door Google-onderzoeker Tavis Ormandy ontdekt en bevonden zich in de emulator van Comodo Antivirus. De emulator wordt gebruikt om geobfusceerde uitvoerbare bestanden uit te pakken en binnen de emulator uit te voeren. Op deze manier kan worden gekeken of een binnengekomen bestand kwaadaardig is. De emulator maakt het echter mogelijk voor een aanvaller om de Win32-programmeerinterface van Windows te benaderen. Vervolgens zijn er allerlei aanvallen mogelijk, aldus Ormandy. Zo kunnen toetsaanslagen worden gemonitord en teruggestuurd. Ook is een aanval op afstand mogelijk die tot een buffer overflow leidt, waardoor een aanvaller willekeurige code kan uitvoeren, zonder dat hiervoor enige interactie van een gebruiker is vereist. De emulator wordt namelijk geactiveerd als er bijvoorbeeld e-mails worden ontvangen of websites worden bezocht. Door bijvoorbeeld een zip-bstand te versturen zal de virusscanner die scannen, waardoor de aanval kan worden uitgevoerd. Ormandy had eerder ook al beveiligingsproblemen in de Chromodo-browser van Comodo gevonden, alsmede in de producten van AVG, Sophos, ESET, Kaspersky Lab, Avast, Malwarebytes en Trend Micro. bron: security.nl

Microsoft heeft een nieuwe feature voor Office 2016 uitgebracht die bescherming tegen macro-malware moet bieden. Macro's staan standaard in Office uitgeschakeld, maar via social engineering weten criminelen gebruikers zover te krijgen dat ze die inschakelen en waardoor de computer besmet raakt. Volgens Microsoft maakt inmiddels 98% van de dreigingen die zich op Office richten gebruik van macro's. Het gaat dan vaak om ransomware, maar ook bij de aanval op Oekraïense energiebedrijven werden Office-documenten met kwaadaardige macro's ingezet. Vanwege de groeiende dreiging door macro-malware is Office 2016 van een nieuwe feature voorzien waarmee netwerkbeheerders het risico van macro's in bepaalde scenario's kunnen voorkomen. Het gaat dan bijvoorbeeld om documenten die via websites of clouddiensten worden gedownload, via e-mail zijn ontvangen of via internet zijn geopend. De feature is via Group Policy in te stellen en maakt het mogelijk om macro's geheel te blokkeren, in bepaalde gevallen wel toe te staan en gebruikers andere meldingen te laten zien als ze wordt gevraagd een macro in te schakelen. Voor eindgebruikers adviseert Microsoft om macro's in documenten van onbekende of onbetrouwbare bronnen nooit in te schakelen, en ook voorzichtig te zijn met macro's van bekenden, bijvoorbeeld in het geval ze gehackt zijn. bron: security.nl

Net als verschillende ontwikkelaars van Apple hebben ook ontwikkelaars van het Tor Project aangegeven dat ze ontslag zullen nemen als ze door een rechter worden gedwongen om backdoors of kwetsbaarheden in de software van de organisatie te introduceren waardoor gebruikers risico lopen. Dat laat het Tor Project in een reactie op de zaak tussen Apple en de FBI weten, die inmiddels is geschorst. Vorige week verklaarden sommige Apple-ontwikkelaars aan de New York Times dat ze zouden opstappen in het geval de FBI de zaak zou winnen en Apple een aangepaste versie van iOS zou moeten ontwikkelen waarmee er toegang tot een vergrendelde iPhone kan worden verkregen. Het Tor Project is verantwoordelijk voor de ontwikkeling van het Tor-netwerk en software zoals Tor Browser, waarmee er toegang tot het Tor-netwerk kan worden verkregen. Volgens het Tor Project heeft het nog nooit een juridisch bevel ontvangen om een backdoor aan de software of broncode toe te voegen. Ook zijn er geen verzoeken binnengekomen om bijvoorbeeld encryptiesleutels voor het signeren van software te overhandigen. De manier waarop de software wordt ontwikkeld en gecontroleerd, alsmede het opensourceontwikkelproces, zouden er daarnaast voor zorgen dat een aangebrachte backdoor snel wordt ontdekt. Inmiddels is het Tor Project ook een beloningsprogramma voor het melden van kwetsbaarheden gestart. Verder verkent het Tor Project manieren om de 'single points of failure' te verhelpen. Zelfs in het geval een overheid of crimineel de encryptiesleutels weten te bemachtigen, zouden gebruikers en het Tor-netwerk dit dan nog steeds weten te detecteren. Tor wordt onder andere door mensen, activisten en journalisten in totalitaire regimes gebruikt om hun identiteit te beschermen. bron: security.nl

Computercriminelen maken gebruik van TeamViewer om een ransomware-variant genaamd 'Surprise' op computers en servers te installeren. Verschillende slachtoffers maken daar melding van op de website Bleeping Computer. TeamViewer is een programma om op afstand computers te beheren. De aanvallers weten via TeamViewer op de systemen in te loggen. Daar wordt vervolgens de ransomware uitgevoerd. Het gaat om een bestand genaamd surprise.exe, dat alle versleutelde bestanden van de bestandsextensie .surprise voorziet. De ransomware is gebaseerd op de open source EDA2-ransomware. De EDA2-ransomware werd vorig jaar door een Turkse onderzoeker ontwikkeld. Naar eigen zeggen voor educatieve doeleinden. Verschillende internetcriminelen gebruiken de code echter om eigen varianten te maken. Sommige van de slachtoffers waren vergeten dat TeamViewer nog op de aangevallen systemen stond. Het is echter onduidelijk hoe de aanvallers de inloggegevens wisten te bemachtigen. Een mogelijkheid is dat de aanvallers toegang tot de e-mailaccounts van hun slachtoffers hadden en zo het wachtwoord voor TeamViewer konden resetten. De exacte oorzaak is nog onbekend. bron: security.nl

Internetgigant Yahoo is op een missie om het wachtwoord te elimineren en om dit te bereiken heeft het een nieuwe inlogmethode onthuld. Gebruikers kunnen voortaan via hun smartphone op hun account inloggen in plaats van een wachtwoord te gebruiken. De oplossing heet Yahoo Account Key en werd vorig jaar al aan de Mail-app toegevoegd. Nu kan er ook via allerlei andere apps middels Account Key op het Yahoo-account worden ingelogd. Zodra gebruikers willen inloggen ontvangen ze op hun smartphone een pushbericht. Zodra de gebruiker dit bericht goedkeurt is hij ingelogd. "Het is veilig en het is niet meer nodig om een lastig wachtwoord te onthouden", zegt productmanager Lovlesh Chhabra. bron: security.nl

Het Russische softwarebedrijf Elcomsoft heeft een update voor het programma System Recovery uitgebracht waarmee Windows 8- en 8.1- en Windows 10-accounts waarvoor een Microsoft-account wordt gebruikt direct kunnen worden ontgrendeld door de inloggegevens te resetten. Daarnaast is het mogelijk om de wachtwoordhash te exporteren en die vervolgens te kraken. (pdf). "In veel gevallen kan zo het originele plain-text wachtwoord worden achterhaald", zegt Oleg Afonin. Op deze manier kan er toegang tot alle gebruikersgegevens worden verkregen die op basis van het accountwachtwoord waren versleuteld. Afonin erkent dat dit niet nieuw is, aangezien hetzelfde al tien jaar geleden met lokale Windowsaccounts kon. "Wat wel is veranderd is het soort informatie dat via het Microsoft-accountwachtwoord dat we hebben achterhaald kan worden benaderd. Dit is zo'n geval waarbij een kleine verandering allerlei nieuwe mogelijkheden voor digitaal forensisch onderzoek introduceert." Microsoft AccountHet Microsoft-account, voorheen bekend als Windows Live ID, is een single sign-on-oplossing waarmee op allerlei Microsoftdiensten kan worden ingelogd. Als gebruikers een Microsoft-account gebruiken om op hun computer met Windows 8, 8.1 of 10 in te loggen krijgen ze bijvoorbeeld toegang tot Microsoft OneDrive. Ook zorgt het inloggen met een Microsoft-account ervoor dat de computer wordt versleuteld middels BitLocker. De herstelsleutel wordt standaard in de cloud van Microsoft bewaard, in het geval de gebruiker zijn wachtwoord vergeet. Een onderzoeker die toegang tot het Microsoft-account heeft kan zodoende ook de BitLocker-herstelsleutels van dat account benaderen. "In tegenstelling tot lokale Windows-accounts worden inloggegevens van Microsoft-accounts op de servers van Microsoft opgeslagen en online geauthenticeerd", merkt Afonin op. "Het uitvoeren van een grootschalige online aanval op een Microsoft-account is onmogelijk, maar omdat er een lokale kopie van de wachtwoordhash wordt opgeslagen om offline authenticatie te bieden, kunnen wij hier gebruik van maken om de hash te achterhalen en die te kraken, wat het originele wachtwoord oplevert. Met dit wachtwoord kunnen experts allerlei soorten data van het online account benaderen." Elcomsoft omschrijft System Recovery als een tool voor forensische onderzoekers en it-beveiligingsspecialisten. bron: security.nl

Een beruchte malwarefamilie die zich de afgelopen maanden vooral via Word-, Excel- en JavaScriptbestanden verspreidde maakt nu van rtf-bestanden gebruik, in de hoop om zo virusscanners te misleiden. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye in een analyse. Het gaat om Dridex, een Trojaans paard dat speciaal ontwikkeld is om geld via internetbankieren te stelen. Bij nieuwe campagnes maakt Dridex geen gebruik meer van de eerder genoemde bestandsformaten, maar gebruikt WordprocessingML dat als een rtf-bestand is opgeslagen. WordprocessingML is een xml-formaat dat een Worddocument beschrijft. Volgens FireEye probeert de malware op deze manier bepaalde signatures van virusscanners te omzeilen. Net als de eerder gebruikte Word- en Excelbestanden wordt er een macro gebruikt om de malware op de computer te krijgen. Om detectie door virusscanners te voorkomen bevat de kwaadaardige macro zelf geen kwaadaardige code. Die wordt in een textbox-object van een formulier opgeslagen. FireEye stelt dat de meeste exemplaren die nu worden verspreid niet door virusscanners worden opgemerkt. Zo zou slechts 1 van de 56 anti-virusbedrijven waarmee op VirusTotal wordt gescand de malware detecteren. "Cybercriminelen blijven innoveren, waarbij ze dit keer een creatieve manier laten zien om de detectie van dreigingen via statische signatures te bemoeilijken. Om veilig te blijven is het belangrijk om op drie gebieden waakzaam en proactief te zijn, namelijk bewustzijn bij gebruikers, beleid en technologie", zegt analist Robert Venal. bron: security.nl

Technologiebedrijven Microsoft, Google, Yahoo, Comcast en LinkedIn, alsmede verschillende experts, werken aan een mechanisme dat man-in-the-middle-aanvallen op e-mail moet voorkomen en ervoor moet zorgen dat zo goed als alle e-mail via een met tls beveiligde verbinding wordt verstuurd. Het mechanisme heet SMTP Strict Transport Security (STS) en zorgt ervoor dat mailproviders laten weten dat ze met tls-beveiligde verbindingen kunnen accepteren en hoe ze certificaten valideren. Op dit moment wordt e-mail via smtp onversleuteld verstuurd. Als oplossing werd er een uitbreiding voor smtp bedacht, genaamd starttls. Hiermee kan er een smtp-sessie over tls worden opgezet. Volgens de technologiebedrijven en experts biedt starttls in de huidige vorm geen vertrouwelijkheid, omdat het kwetsbaar is voor downgrade-aanvallen op de versleutelde verbinding en de authenticiteit van de server niet goed gecontroleerd wordt. Een aanvaller zou zodoende berichten kunnen onderscheppen. Het nu gepresenteerde voorstel zorgt ervoor dat voor het versturen van een e-mail naar een domein dat SMTP STS ondersteunt er eerst wordt gekeken of de ontvangende e-mailserver tls-encryptie ondersteunt en wordt de geldigheid van het certificaat van de server gecontroleerd. Pas daarna vindt het verzenden plaats. Op het voorstel, dat bij de Internet Engineering Task Force (IETF) is ingediend, kan de komende maanden worden gereageerd. Of het ook een standaard zal worden en zo ja wanneer, is onduidelijk. bron: security.nl

Google-onderzoeker Tavis Ormandy heeft een beveiligingslek in de beveiligingssoftware van Trend Micro gevonden waardoor een aanvaller op afstand code op de computer kan uitvoeren. In een tweet spreekt Ormandy over "weer een eenvoudig lek om willekeurige code uit te voeren" in de standaardinstallatie. Details over de kwetsbaarheid zijn nog niet bekendgemaakt. Dat gebeurt pas als Trend Micro het probleem heeft verholpen. Ormandy wist de afgelopen maanden in de producten van allerlei bekende anti-virusbedrijven ernstige kwetsbaarheden, ontwerpfouten en logische fouten te vinden. Het ging om AVG, Sophos, ESET, Kaspersky Lab, Avast, Malwarebytes, Comodo en ook weer Trend Micro. Vorige week schreef de onderzoeker nog een opinie op zijn eigen blog waarin hij uithaalde naar de veiligheid die beveiligingsoplossingen bieden, aangezien de software vol kwetsbaarheden zitten. Doordat een virusscanner vaak diep in het systeem genesteld zit kunnen deze kwetsbaarheden vaak grote impact hebben. Door de automatische scanfunctie van veel virusscanners, die continu allerlei bestanden, e-mails en andere zaken controleren, is het aanvalsoppervlak ook veel groter. bron: security.nl

Een beveiligingslek in de encryptie van iMessage maakt het mogelijk om video's en foto's die als versleuteld bericht worden verstuurd te ontsleutelen. Het probleem werd ontdekt door onderzoekers van de Johns Hopkins University, zo meldt de Washington Post. "Zelfs Apple met al hun kennis, en ze hebben fantastische cryptografen, zijn erin dit geval niet in geslaagd om het goed te doen", aldus informaticaprofessor Matthew Green die het onderzoeksteam leidde. "Ik vind het dan ook beangstigend dat we deze discussie over het toevoegen van backdoors aan encryptie hebben, als we de standaardencryptie niet eens voor elkaar krijgen." Green vermoedde vorig jaar dat er een kwetsbaarheid in iMessage zat nadat hij een document van Apple over het encryptieproces had gelezen. Hij waarschuwde Apple, maar toen er geen update volgde besloot hij samen met zijn studenten een aanval te ontwikkelen, zodat ze via iMessage verstuurde foto's en video's konden ontsleutelen. Na een paar maanden slaagden ze hier uiteindelijk in. Voor het onderzoek gebruikten de onderzoekers een server die zich voordeed als de server van Apple. Het versleutelde bericht dat ze probeerden te onderscheppen bevatte een link naar een foto op een iCloudserver van Apple, alsmede de 64-bit sleutel om de foto te ontsleutelen. Hoewel ze de sleutel voor het ontsleutelen van de foto niet konden zien, werd er steeds een cijfer of letter in de encryptiesleutel aangepast en terug naar de aangevallen iPhone gestuurd. Elke keer dat dit correct was werd het door de iPhone geaccepteerd. De onderzoekers bleven dit duizenden keren doen totdat ze de sleutel hadden. Met de sleutel in handen wisten ze de foto van Apple's echte server te halen. BeveiligingsupdateHet onderzoeksrapport met details over de kwetsbaarheid wordt pas gegeven als Apple het probleem heeft gepatcht, zo laat één van de onderzoekers via Twitter weten. Apple zou het probleem gedeeltelijk hebben oplost met iOS 9, maar een volledige oplossing wordt in iOS 9.3 uitgerold, die vandaag zal verschijnen. Gebruikers krijgen dan ook het advies deze update meteen te installeren zodra die beschikbaar is. bron: security.nl

Na de FBI waarschuwt nu ook Microsoft voor ransomware die bij gerichte aanvallen op bedrijfsnetwerken wordt ingezet en waarbij back-ups worden gewist. Het gaat om de Samas-ransomware, die voor het eerst in januari van dit jaar werd ontdekt en volledige netwerken kan versleutelen. De manier waarop Samas computers weet te infecteren verschilt met de methode die de meeste ransomware-exemplaren gebruiken. Er wordt een veel gerichtere aanpak gebruikt, zo stelt Microsoft. De aanvallers voeren als eerste een scan uit via een "penetratietest/aanvalsserver", aldus Microsoft, hoewel er geen naam wordt genoemd om wat voor soort server het precies gaat. Via deze server wordt naar mogelijke kwetsbare netwerken gezocht. Ook maken de aanvallers gebruik van verouderde JBOSS-serverapplicaties om toegang te krijgen, alsmede de Bladabinidi-malware om inloggegevens te stelen. Zodra er toegang is verkregen wordt het programma PSEXEC gebruikt om de ransomware op computers te installeren. Verder worden schaduwbestanden van de besmette computers verwijderd en zoeken de aanvallers naar back-upgerelateerde bestanden om die vervolgens te verwijderen. De meeste infecties door de Samas-ransomware zijn in de Verenigde Staten waargenomen, hoewel er ook infecties in Europa en China zijn gemeld. Na de eerste variant is er ook een tweede variant ontdekt. Deze variant gebruikt geen WordPress-website meer voor het ontsleutelen van bestanden, maar een website op het Tor-netwerk. Voor het ontsleutelen van bestanden op een computer vragen de aanvallers 1 bitcoin, wat met zo'n 360 euro overeenkomt. bron: security.nl

Microsoft heeft besloten de ondersteuning van Skylake-processoren op computers met Windows 7 en 8.1 met een jaar te verlengen. Daarnaast blijven deze systemen alle belangrijke beveiligingsupdates ontvangen totdat de algehele ondersteuning van beide besturingssystemen wordt stopgezet. Begin januari liet Microsoft weten dat computers die een nieuwe processor gebruiken, waaronder de recent verschenen Skylake-processor van Intel, alleen nog ondersteuning van Microsoft zullen ontvangen als Windows 10 is geïnstalleerd. Oorspronkelijk was het plan van Microsoft om tot en met 17 juli 2017 bepaalde computers met de Skylake-processor van Intel ook op Windows 7 en Windows 8.1 te ondersteunen. Daarna moest erop Windows 10 zijn overgestapt. Ook het ontvangen van beveiligingsupdates voor deze systemen was onzeker, aangezien dit alleen zou gebeuren als de update geen risico vormde voor de betrouwbaarheid of compatibiliteit van het systeem. Op die beslissingen is Microsoft nu teruggekomen, zo heeft het bekendgemaakt. De ondersteuning van Windows 7 en 8.1 op computers met een Skylake-processor zal met een jaar worden verlengd tot 17 juli 2018. Na deze datum zullen Skylake-systemen alle belangrijke beveiligingsupdates voor Windows 7 en 8.1 blijven ontvangen, totdat de algehele ondersteuning wordt gestopt. In het geval van Windows 7 is dit 14 januari 2020, terwijl de ondersteuning van Windows 8.1 op 10 januari 2023 eindigt. bron: security.nl