Maandelijks archief oktober 2018

doorSecuratis

Emotet-malware kan e-mails van besmette systemen stelen

woensdag 31 oktober 2018, 10:54 door Redactie, 0 reacties

Laatst bijgewerkt: Vandaag, 11:14

De Emotet-malware, waar de Amerikaanse overheid in juli nog voor waarschuwde, is van een nieuwe feature voorzien waardoor het op besmette systemen alle e-mails van 180 dagen en nieuwer kan stelen. Daardoor krijgen mogelijk tienduizenden systemen de komende dagen met datalekken te maken.

Dat meldt securitybedrijf Kryptos Logic. Volgens het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) is Emotet één van de meest schadelijke malware-exemplaren voor zowel de publieke als private sectoren. Emotet is een Trojan die voornamelijk fungeert als een downloader of dropper van andere malware. Het kan dan bijvoorbeeld gaan om bankmalware of ransomware. Emotet wordt voornamelijk verspreid via e-mailbijlagen.

Eerder deze maand werd nog bekend dat een Amerikaans waterleidingbedrijf door Emotet was getroffen, alsmede 600 systemen van Amerikaanse openbare bibliotheken. Naast het installeren van andere malware was Emotet al in staat om op besmette systemen de adresboeken van Outlook- en Exchange-gebruikers te stelen. Nu is er een nieuwe module aan de malware toegevoegd waardoor ook alle e-mails van 180 dagen en nieuwer worden gestolen.

Daardoor is de malware ook tot cyberspionage in staat, aldus Kryptos Logic. De module om e-mails te stelen kan ook onder bestaande infecties worden uitgerold. “In andere woorden, Emotet zal de komende dagen waarschijnlijk talloze e-mails van tienduizenden besmette systemen stelen”, zo stelt het securitybedrijf. Eerder meldde het US-CERT al dat Emotet lastig is te verwijderen vanwege de wormachtige manier waarop het zich binnen netwerken kan verspreiden.

Update

Naar aanleiding van de nieuwe module om e-mails te stelen heeft de Duitse overheid, via het Computer Emergency Response Team der Bundesverwaltung, op Twitter een waarschuwing gegeven en adviseert organisaties om verkeer naar bekende Emotet-servers te blokkeren.

Image

https://www.security.nl/posting/585118/Emotet-malware+kan+e-mails+van+besmette+systemen+stelen?channel=rss

doorSecuratis

Apple patcht ernstige lekken in FaceTime, iOS en MacOS

Apple heeft belangrijke beveiligingsupdates voor macOS, iOS, Safari, iTunes en iCloud uitgebracht die een groot aantal kwetsbaarheden verhelpen, waaronder ernstige beveiligingslekken in FaceTime. IOS 12.1 verhelpt minimaal 32 kwetsbaarheden waardoor een aanvaller in het ergste geval willekeurige code op iPhones, iPads en iPods had kunnen uitvoeren.

Verschillende van de kwetsbaarheden bevonden zich in FaceTime of waren via de populaire communicatie-app te misbruiken. Het verwerken van een kwaadaardige video via FaceTime maakte het mogelijk om kwaadaardige code op het systeem uit te voeren. Een andere kwetsbaarheid in FaceTime zelf zorgde ervoor dat een aanvaller op afstand op het toestel van een slachtoffer een FaceTime-gesprek had kunnen starten. Verder kon het verbinden met een vpn-server ervoor zorgen dat er dns-verzoeken naar een dns-proxy lekten en had een aanvaller met fysieke toegang tot een vergrendeld scherm bepaalde zaken kunnen delen of video’s kunnen bekijken.

Met de lancering van macOS Mojave 10.14.1, Security Update 2018-001 High Sierra en Security Update 2018-005 Sierra heeft Apple minstens 71 beveiligingslekken opgelost waardoor een aanvaller in het ergste geval willekeurige code met systeem- of kernelrechten had kunnen uitvoeren. Dit was bijvoorbeeld mogelijk door het installeren van een kwaadaardige app of het mounten van een speciaal geprepareerde NFS-netwerkshare.

In Safari 12.0.1 zijn toepasselijk een dozijn beveiligingslekken gepatcht. In het ergste geval had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Alleen het bezoeken van bijvoorbeeld een gehackte website was hierbij voldoende geweest.

Windows

Voor Windows-gebruikers heeft Apple ook beveiligingsupdates beschikbaar gesteld. Met iTunes 12.9.1 voor Windows 7 en nieuwer behoren minstens 14 kwetsbaarheden tot het verleden en in iCloud voor Windows 7.8 zijn 13 beveiligingslekken gepatcht. In beide programma’s gaat het om lekken waardoor een aanvaller in het ergste geval het onderliggende systeem had kunnen overnemen.

Aantal kwetsbaarheden

Het werkelijke aantal kwetsbaarheden dat Apple tijdens deze patchronde heeft gepatcht is onbekend. Het bedrijf maakt sommige gepatchte lekken namelijk pas op een later moment bekend. Iets dat het gisterenavond heeft gedaan met eerder verschenen updates voor macOS, iTunes, iCloud voor Windows, tvOS, watchOS en iOS. Daar zijn allerlei verholpen kwetsbaarheden aan toegevoegd die in het initiële beveiligingsbulletin niet stonden vermeld. Een werkwijze waar Google-onderzoekers onlangs flinke kritiek op hebben geuit.

De nu verschenen updates zijn verkrijgbaar via de website van Apple, iTunes, de automatische updatefunctie of de stores van Apple. Het volledige overzicht van alle beveiligingsbulletins is op deze pagina te vinden.

https://www.security.nl/posting/585107/Apple+patcht+ernstige+lekken+in+FaceTime%2C+iOS+en+MacOS?channel=rss

doorSecuratis

Mozilla test privacyvriendelijk verzamelen van telemetrie

Mozilla test op dit moment een systeem dat op een privacyvriendelijke wijze telemetriegegevens van Firefox Nightly-gebruikers verzamelt. Om browsers te kunnen verbeteren verzamelen alle browserontwikkelaars statistieken en andere data over gebruikers en analyseren die vervolgens.

In het geval van Firefox moeten gebruikers hier toestemming voor geven. Toch moeten gebruikers in dit geval Mozilla vertrouwen dat hun data niet wordt misbruikt, op straat belandt of met een andere partij wordt gedeeld, zegt Mozillas Robert Helmer. Mozilla wil echter naar een situatie toe waarbij gebruikers de browserontwikkelaar niet meer hoeven te vertrouwen, zeker als het om gevoelige gegevens gaat die nu alleen via een opt-in zijn te verkrijgen.

Een nieuw systeem genaamd Prio dat is ontwikkeld door wetenschappers van Stanford University moet hierbij helpen. Het idee achter Prio is dat voor de meeste gevallen het niet nodig is om individuele data van gebruikers te verzamelen, maar alleen geaggregeerde gegevens. Prio, dat zich in het publieke domein bevindt, laat Mozilla geaggregeerde gegevens verzamelen, zonder dat de individuele data van gebruikers wordt verzameld.

Het doet dit door de browser de gegevens van gebruikers in twee delen op te laten splitsen. Deze gegevens worden vervolgens elk naar een verschillende server gestuurd. Individueel vertellen de gegevens niets over de gerapporteerde data, maar wel wanneer ze worden samengevoegd. Elke server verzamelt de datadelen van gebruikers en voegt deze delen samen. Vervolgens nemen de servers hun totaalwaarde en voegen die samen. Het resultaat is de totale waarde van alle gebruikers. Zolang één server eerlijk is, is er geen mogelijkheid om de individuele waarden van gebruikers te herleiden, zegt Helmer.

Mozilla heeft Prio gedurende een periode van zes weken onder Firefox Nightly-gebruikers getest. “Zodra we hebben gevalideerd dat het naar behoren werkt en het de privacygaranties biedt die we vereisen, kunnen we het toepassen waar het nodig is”, aldus Helmer. Mozilla zal in de toekomst meer details over het systeem geven.

Image

https://www.security.nl/posting/584907/Mozilla+test+privacyvriendelijk+verzamelen+van+telemetrie?channel=rss

doorSecuratis

Google lanceert nieuwe reCAPTCHA om mens van bot te onderscheiden

Google heeft een nieuwe versie van reCAPTCHA gelanceerd, een oplossing om mensen van bots te onderscheiden. De eerste versie van ReCAPTCHA verscheen in 2007 en werd in 2009 door Google overgenomen. Gebruikers moesten bij deze versie woorden uit oude boeken overtikken om aan te tonen dat ze een mens en geen robot waren.

Dit moest voorkomen dat bijvoorbeeld spammers op geautomatiseerde wijze allerlei accounts konden aanmaken of reacties konden plaatsen. De tweede versie van reCAPTCHA keek naar allerlei andere signalen om te bepalen of een verzoek van een mens of bot afkomstig was. Dit zorgde ervoor dat de helft van alle gebruikers die met deze reCAPTCHA-versie werden geconfronteerd met één muisklik konden doorgaan, zonder dat ze eerst een puzzel moesten oplossen of woorden moesten overtikken, aldus Google.

Nu kondigt Google reCAPTCHA versie 3 aan. Deze versie geeft een score aan de website terug die aangeeft hoe verdacht de interactie is. Afhankelijk van de grens die een website heeft ingesteld worden legitieme gebruikers helemaal niet meer met reCAPTCHA geconfronteerd. “ReCAPTCHA versie 3 draait in de achtergrond een risicoanalyse om je voor verdacht verkeer te waarschuwen, terwijl je menselijke gebruikers gewoon van je website gebruik kunnen maken”, zegt Wei Lu van Google.

Doordat reCAPTCHA gebruikers nu niet meer stoort geeft Google websites het advies om de oplossing aan meerdere pagina’s toe te voegen. Op deze manier moet de risicoanalyse-engine van reCAPTCHA het patroon van aanvallers nauwkeuriger herkennen. Ook kunnen webmasters op deze manier zien op welke pagina’s bots het hebben voorzien. Google benadrukt dat reCAPTCHA van echt verkeer op de website leert en dat resultaten in een testomgeving van de productieomgeving kunnen verschillen.

https://www.security.nl/posting/584899/Google+lanceert+nieuwe+reCAPTCHA+om+mens+van+bot+te+onderscheiden?channel=rss

doorSecuratis

Datalek door arts die patiënten aan WhatsApp-groep toevoegt

Een voormalig KNO-arts van ziekenhuis Amstelland heeft voor een datalek gezorgd door meer dan honderd voormalige en huidige patiënten ongevraagd aan een WhatsApp-groepschat toe te voegen, waardoor hun telefoonnummers op straat zijn beland. Dat laat AT5 weten.

De arts meldt via de groepschat dat hij een nieuwe werkgever heeft waar de wachttijden “aanzienlijk korter” zijn. Volgens de nieuwe werkgever gaat het om een ‘solo-actie’ van de KNO-arts die niet binnen de richtlijnen past en was het hier niet van op de hoogte. Het ziekenhuis Amstelland zegt verbijsterd te zijn over de actie. “Er is een grens overschreden en wij zullen juridische stappen ondernemen. Er zijn door de betreffende arts gegevens van onze patiënten meegenomen die binnen onze muren hadden moeten blijven.”

https://www.security.nl/posting/584677/Datalek+door+arts+die+pati%C3%ABnten+aan+WhatsApp-groep+toevoegt?channel=rss

doorSecuratis

Ontwikkelaar Mirai-botnet veroordeeld tot betalen 8,6 miljoen dollar

Eén van de ontwikkelaars van het Mirai-botnet is in de Verenigde Staten veroordeeld tot het betalen van 8,6 miljoen dollar en zes maanden huisarrest wegens het uitvoeren van ddos-aanvallen op het netwerk van de Rutgers University, zo laat het Amerikaanse openbaar ministerie weten.

De 22-jarige man werd in september samen met twee andere mannen veroordeeld voor het ontwikkelen en opzetten van het beruchte Mirai-botnet en een clickfraude-botnet. Ze werden elk veroordeeld tot een proeftijd van 5 jaar, een taakstraf van 2500 uur, het betalen van een schadevergoeding van 127.000 dollar en het afstaan van alle cryptovaluta die tijdens het onderzoek in beslag is genomen. Ook moesten ze als onderdeel van hun veroordeling blijven samenwerken met de FBI op het gebied van cybercrime en cybersecurity.

Nu is de 22-jarige man veroordeeld voor het uitvoeren van ddos-aanvallen op het het netwerk van de Rutgers University. De aanvallen vonden plaats tussen november 2014 en september 2016. Daardoor raakte de centrale authenticatieserver van de universiteit onbereikbaar, die onder andere wordt gebruikt voor een portaal waarmee docenten en studenten opdrachten uitwisselen.

De Amerikaan slaagde erin om de server meerdere opeenvolgende perioden uit de lucht te halen, waardoor er schade aan de universiteit, de faculteit en studenten werd aangericht, aldus het Amerikaanse openbaar ministerie. De andere twee ontwikkelaars van het Mirai-botnet waren niet bij deze aanvallen betrokken. Ook vonden de ddos-aanvallen grotendeels plaats voordat het Mirai-botnet was opgezet.

https://www.security.nl/posting/584669/Ontwikkelaar+Mirai-botnet+veroordeeld+tot+betalen+8%2C6+miljoen+dollar?channel=rss

doorSecuratis

Netwerk Amerikaanse overheid besmet door surfgedrag medewerker

Geschiedenis herhaalt zich.

Rob Oudkerk, wethouder Amsterdam. Had via de inbelverbinding met het gemeentehuis terloops ook wat naar plaatjes gekeken en zo.

De siesteejmbeheerder van het siesteem van de internets van de gemeente was er achter gekomen. Hij hattut geonden in de logfails. En hup alles de publiciteit in. Want het was wel natuurlijk op kosten van de gemeente. Van de burger. (Kost natuurlijk niks extra, die paar bytes, maar principes, weet je.) In alle kranten en smullen maar. Hij kon het thuis aan zijn vrouw uit gaan leggen. Want daar hadden toen siesteejmbeheerders niks mee te maken.

Nog steeds een van de meest flagrante privacyschendingen uit mijn geheugen.

Dat zelfde geldt natuurlijk voor de Amerikaanse overheid. Dat een ambtenaar, die even niks te doen heeft (schijnt vaak te gebeuren), even wat recreatief surft, daar lijkt mij helemaal niks mis mee. Wees blij dat er nog gezonde kerels werken!

En dan klagen dat de hele kliklijn vol met malware zit. Alsof je enkel malware kunt binnenhalen als je naar peerno zoekt…

Schandalige privacyschending van de ambtenaar in kwestie en triest dat de Amerikaanse overheid niet in staat is om malware buiten te houden, blijkbaar. Vooral de privacyschending en het openaar aan de paal nagelen (net als wat toen met Rob Oudkerk gebeurde) gaat echt tegen elke vezel van mijn rechtsgevoel in. Er staat nog net niet in het persbericht wat de ambtenaar in kwestie als voorkeuren had en wat hij als meest opwindend had ervaren. Dat is wel heel erg privé. Dat als de rest van de afdeling dan wel gewoon even naar de voetbaluitslagen of het weerbreicht mag kijken, onder werktijd, onderstreept dat enkel. Want ook die activiteiten zijn privé. En daar kan net zo goed malware mee binnen komen. Sinds wanneer verlies je al je grondrechten als je een keertje naar porno kijkt?

https://www.security.nl/posting/584371/Netwerk+Amerikaanse+overheid+besmet+door+surfgedrag+medewerker?channel=rss

doorSecuratis

Cel voor stelen salaris universiteitsmedewerkers via phishing

Door Anoniem: Nou blijkbaar zijn de medewerkers van de universiteiten daar niet zo slim en klikken ze toch op dingen. Zouden medewerkers van Nederlandse universiteiten ook klikken op links?
Dat zou ze toch iets minder slim maken.

Nerd met een beetje minderwaardigheidscomplex ?

1 – er werken _veel_ mensen op een universiteit – niet alleen maar researchers. De mensen die daar de boekhouding, secretariaat e.d. doen hebben dezelfde kwalificaties als boekhouders bij een andere organisatie, of administratief personeel.
Het is niet zo dat de boekhouding van de universiteit door een hoogleraar economie gedaan wordt .

2 – De researchers zijn (hopelijk) slim in hun vakgebied, maar dat vakgebied hoeft helemaal niets met IT security te maken te hebben. Je kunt bijzonder veel verstand hebben van Lineair-A of spijkerschrift zonder dat je goed mailheaders kunt lezen.
De karikatuur van de ‘verstrooide en onhandige professor’ is natuurlijk niet voor niks ontstaan .

https://www.security.nl/posting/584357/Cel+voor+stelen+salaris+universiteitsmedewerkers+via+phishing?channel=rss

doorSecuratis

CTIVD doet onderzoek naar gegevensuitwisseling AIVD

Door Anoniem: Waarom zou je “Ongeëvalueerde gegevens zijn gegevens waarvan de inhoud nog niet door de AIVD is vastgesteld. ” uberhaut delen met anderen als je niet eens weet waar de gegevens overgaan en waarvoor ze ge/misbruikt kunnen worden.

Dat komt doordat de overeenkomsten tussen inlichtingendiensten gebaseerd zijn op de hoeveelheid data en niet op de relevantie. Cynisch, maar door en door menselijk helaas.

Door karma4:Neem aan dat Beide buurlanden te vertrouwen zijn als rechtsorganisatie en dat hun onderzoeken gerespecteerd worden.

Van al te ongecontroleerd toevertrouwen van data aan willekeurig welke overheidsdienst krijg je een verhoogd risico op ‘Computer zegt Nee’ syndroom, min of meer zoals je van onbeschermde seks een verhoogd risico op SOA krijgt. De vraag is dus niet of je de mogelijkheid moet hebben de veroorzakende dienst ter verantwoording te roepen en te verplichten het Computer zegt Nee syndroom stante pede en geheel gerepliceerd door alle diensten te genezen (iets wat technisch volstrekt mogelijk is gezien we al meer dan 20 jaar weten hoe mutaties door te repliceren maar men botweg vertikt), maar welke middelen we daarvoor in het leven roepen.

In geval van Europa moeten we dan maar een stap verder gaan. Uitwisseling van ongestructureerde data? Best, maar dan komt ook het EU Commissaris voor de Mensenrechten in het spel met voldoende toegang en bevoegdheden om klachten te kunnen onderzoeken en genezing van genoemde syndroom af te dwingen. Want het bestaan van dat syndroom is ontoelaatbaar.

https://www.security.nl/posting/584328/CTIVD+doet+onderzoek+naar+gegevensuitwisseling+AIVD?channel=rss

doorSecuratis

Vermeende Uber-hackers aangeklaagd voor Lynda.com-hack

Twee mannen die worden verdacht van het hacken en afpersen van taxidienst Uber in 2016 zijn in de Verenigde Staten aangeklaagd voor het hacken van LinkedIns Lynda.com in hetzelfde jaar. Het gaat om een Amerikaanse en een Canadese man, zo meldt TechCrunch dat over de aanklacht bericht.

Bij de hack van Lynda.com kregen aanvallers toegang de gesalte en gehashte wachtwoorden van 55.000 gebruikers, zo liet de online trainingswebsite destijds weten. Volgens de aanklacht wisten de twee mannen de gegevens via een Amazon-webserver te bemachtigen en wilden ze LinkedIn hiermee afpersen. In hun communicatie met LinkedIn wees het duo naar een ander bedrijf waar ze een beveiligingslek hadden gevonden en dat hiervoor een groot bedrag had betaald.

Mogelijk dat het hier gaat om Uber. Hackers wisten in 2016 op een Amazon-cloudserver van het taxibedrijf onversleutelde bestanden te downloaden met de e-mailadressen, namen en telefoonnummers van tientallen miljoenen klanten en honderdduizenden chauffeurs. Dit was mogelijk door een toegangssleutel die een Uber-engineer op GitHub had geplaatst. In plaats van het datalek te melden verzweeg Uber dit en betaalde de twee aanvallers 100.000 dollar.

De Canadese verdachte werd op 16 oktober door de FBI aangehouden toen hij vanuit Canada naar Miami vloog. Hij zal op 8 november voor de rechter verschijnen. Eind september trof Uber in de Verenigde Staten nog een schikking van 148 miljoen dollar wegens het verzwegen datalek.

Image

https://www.security.nl/posting/584321/Vermeende+Uber-hackers+aangeklaagd+voor+Lynda_com-hack?channel=rss