Maandelijks archief januari 2019

doorSecuratis

Mozilla klaagt bij Europese Commissie over Facebook

Je hoort er niet zo veel over. Ik bedoel wie met welke agenda ergens gedetacheerd is/zijn?
Het wordt steeds onoverzichtelijker, minder transparant.

Hoe bedoel ik dat? Het duiden van je bewegingen over Internet en hoe dat gevolgd
en eventueel geinterpreteerd wordt of gaat worden en wat er vervolgens qua vertunneling mee gebeurt.
Het woordje TRUST ook qua techniek wordt steeds meer uitgehold.

De goeden niet te na gesproken natuurlijk, maar dat is al een minderheid aan het worden zo langzamerhand.

Voorbeeld van een DNS request, waarbij DNSQuery Sniffer onder mijn browser sessie loopt.

DNS Query sniffer geeft not-solved red: Admin: nstld.verisign-grs.com, Primary Server: a.root-servers.net, Default TTL: 86400, Expire: 604800, Refresh: 1800, Retry: 900, Serial: 2019013101 for no-thanks.invalid omdat ik geen gaia request naar Google wil laten gaan in mijn Brave 1.0 browser – Google Keep App. Configuratie update van device vereist.
Dit vanwege simple.app master code, die ik zelf heb toegevoegd aan mijn browser configuratie.

#sockpuppet

https://www.security.nl/posting/596188/Mozilla+klaagt+bij+Europese+Commissie+over+Facebook?channel=rss

doorSecuratis

Basecamp-accounts gekaapt via hergebruikte wachtwoorden

Aanvallers zijn er afgelopen dinsdag in geslaagd ruim honderd accounts van de populaire projectmanagementtool Basecamp via hergebruikte wachtwoorden te kapen. Dat heeft het bedrijf bekendgemaakt. Basecamp zag in korte tijd meer dan 30.000 inlogpogingen, afkomstig van een grote reeks ip-adressen.

In een reactie op de aanval werd besloten om de ip-adressen van de aanvallers te blokkeren. Uiteindelijk werd ervoor gekozen om een captcha in te schakelen, wat de aanval stopte. Na de aanval bleek dat de aanvallers via de hergebruikte wachtwoorden op 124 accounts waren ingelogd. Van deze accounts werd meteen het wachtwoord gereset en de aanvallers uitgelogd. De getroffen accounthouders werden via e-mail ingelicht.

Uit eerste onderzoek blijkt dat de aanvallers geen acties binnen de accounts hebben uitgevoerd. Waarschijnlijk hebben ze eerst willen kijken welke accounts kwetsbaar waren. Volgens Basecamp zijn de gecompromitteerde wachtwoorden zeer waarschijnlijk afkomstig van grote datalekken of verzamelingen van datalekken. Het bedrijf merkt op dat de aanval duidelijk maakt hoe belangrijk het is om voor elk account een uniek wachtwoord te gebruiken en inloggegevens niet te hergebruiken. Daarnaast wordt het instellen van tweefactorauthenticatie aangeraden.

https://www.security.nl/posting/596179/Basecamp-accounts+gekaapt+via+hergebruikte+wachtwoorden?channel=rss

doorSecuratis

Apple trekt ontwikkelaarscertificaten Facebook in

Door Briolet: Maar waarom gebruikte Facebook een certificaat van Apple. Ze hadden toch ook een eigen rootcertificaat kunnen uitgeven.

Uit het andere topic van vandaag blijkt dat certificaat van Apple ook geen algemeen aanwezig root gebruikte en moesten de gebruikers het certificaat van Apple ook eerst installeren op de toestellen.:

Om de app te installeren moeten gebruikers een Enterprise Developer Certificate en vpn installeren en Facebook met roottoegang vertrouwen tot de data die hun telefoon verstuurt.

Om Applicaties te kunnen publiceren in de Appstore heb je een developer certificaat nodig, als je dan rotzooi in je app propt, trekt Apple je certificaat in en alles werkt niet meer 🙂 stukje beveiliging. Alleen als jouw zelf gemaakte app is voorzien van een Apple developer certificaat kun je die publiceren in de appstore.

Voor het testen van je Applicaties op iPhones en iPads kun je een test certificaat genereren, die dan door beta testers geïmporteerd kunnen worden, waarna ze jouw test app kunnen installeren.

Dit zijn andere certificaten dan de PKI certificaten waar je een root Certificate Authority voor hebt, zoals je ze gebruikt onder windows, en voor SSL etc.

https://www.security.nl/posting/596062/Apple+trekt+ontwikkelaarscertificaten+Facebook+in?channel=rss

doorSecuratis

Gps-horloges lekten privégegevens van 35.000 kinderen

Horloges waarmee ouders hun kinderen kunnen monitoren blijken nog steeds allerlei gevoelige gegevens te lekken, zo hebben onderzoekers ontdekt. Eind 2017 maakte de Noorse Consumentenbond Forbrukerradet bekend dat het ernstige kwetsbaarheden in smartwatches voor kinderen had gevonden.

Via de beveiligingslekken had een aanvaller de locatie van kinderen kunnen achterhalen en met hen kunnen communiceren. Verschillende fabrikanten beloofden beterschap. Zo stelde Techsixtyfour, aanbieder van de My Gator Watch, dat het na ontdekking van de kwetsbaarheden allemaal maatregelen had getroffen. Het Britse cybersecuritybedrijf Pen Test Partners besloot daarom een jaar later opnieuw naar de gps-horloges te kijken en stelt dat er sprake van een “treinwrak” was.

“Iedereen kon de gehele database benaderen, waaronder de real-time locatie van kinderen, namen, details van ouders”, zegt onderzoeker Vangelis Stykas. Het probleem speelde niet alleen bij Gator. Dezelfde back-end bleek door verschillende merken en tienduizenden horloges te worden gebruikt. Door het aanpassen van het verzoek dat naar de back-end werd gestuurd was het mogelijk om als beheerder in te loggen.

De onderzoekers waarschuwden TechSixtyFour op 11 januari en gaven het bedrijf vier weken de tijd om het probleem te verhelpen. “Dit lijkt misschien kort, maar gevoelige data van 35.000 kinderen was blootgesteld”, aldus Stykas. TechSixtyFour vroeg vervolgens vanwege het Chinese nieuwjaar om uitstel naar 11 maart, maar daar gingen de onderzoekers niet in mee. Vervolgens kwam het bedrijf met een oplossing, waarbij het de accounts van de onderzoekers blokkeerde. Die vroegen TechSixtyFour om een echte oplossing, die op 16 januari werd uitgerold.

https://www.security.nl/posting/596053/Gps-horloges+lekten+priv%C3%A9gegevens+van+35_000+kinderen?channel=rss

doorSecuratis

Rechter verwerpt Yahoos datalekschikking van 50 miljoen dollar

Een Amerikaanse rechter heeft de voorgestelde schikking van Yahoo met slachtoffers van het grootste datalek in de geschiedenis verworpen. Bij een aanval in 2013 werden de gegevens van 3 miljard accounts gestolen. De schikking die Yahoo aan de rechter voorlegde heeft betrekking op 1 miljard accounts die eigendom van zo’n 200 miljoen mensen in de Verenigde Staten en Israël waren. Yahoo wil het datalek voor 50 miljoen dollar schikken.

Getroffen gebruikers komen in aanmerking voor een schadevergoeding van 25 dollar per uur voor de tijd die ze kwijt waren aan problemen als gevolg van het datalek. Slachtoffers die hun schade kunnen aantonen komen in aanmerking voor een maximale vergoeding van 375 dollar. Mensen die de schade niet hebben gedocumenteerd kunnen maximaal 125 dollar vragen. Daarnaast zal Yahoo alle 200 miljoen getroffen gebruikers twee jaar lang gratis kredietmonitoring aanbieden.

De rechter hekelde het feit dat de omvang van het schikkingsfonds niet in het voorstel werd genoemd, alsmede de kosten van de kredietmonitoring. Ook vond de rechter de kosten voor de advocaten van de getroffen gebruikers “onredelijk hoog” en hekelde het gebrek aan transparantie van Yahoo. “Yahoos verleden van stilzwijgen en een gebrek aan transparantie over de datalekken zijn buitensporig. Helaas laat het schikkingsvoorstel en voorlopige goedkeuring dit zelfde gebrek aan transparantie zien.”

De rechter verklaarde in haar conclusie dat ze aan de hand van het voorstel en ingediende stukken niet kan bepalen of de schikking “fundamenteel eerlijk, adequaat en redelijk” is (pdf).

https://www.security.nl/posting/595904/Rechter+verwerpt+Yahoos+datalekschikking+van+50+miljoen+dollar?channel=rss

doorSecuratis

Mozilla lanceert Firefox met verbeterde trackingbescherming

Mozilla heeft vandaag een nieuwe versie van Firefox gelanceerd die over een verbeterde trackingbescherming beschikt. Gebruikers hebben nu keuze uit verschillende opties, afhankelijk van de gewenste privacybescherming. Zo is er de optie om alleen bekende trackers in privévensters te blokkeren.

De strengere optie blokkeert alle bekende trackers en third-party trackingcookies in zowel de normale als privévensters. Dit kan er echter voor zorgen dat bepaalde websites niet meer werken, zo waarschuwt Mozilla. Als laatste is er de optie waarbij gebruikers zelf kunnen bepalen in welke vensters ze trackers willen blokkeren en wat voor soort cookies er moeten worden geblokkeerd.

De opties staan nog niet standaard ingeschakeld. Dat zal later dit jaar gebeuren. Voordat Mozilla dit doet is de browserontwikkelaar van plan om eerst meer experimenten uit te voeren. Daarnaast is er voor de Android-, Mac- en Linux-versies betere bescherming tegen “stack smashing” toegevoegd. Deze aanvallen kunnen voor een overflow zorgen waardoor een aanvaller zijn code kan uitvoeren.

Tevens is de pop-upblocker verbeterd en zal nu voorkomen dat websites meerdere pop-upvensters tegelijkertijd kunnen openen. Mozilla 65 is te downloaden via de automatische updatefunctie van de browser en Mozilla.org.

Image

https://www.security.nl/posting/595894/Mozilla+lanceert+Firefox+met+verbeterde+trackingbescherming?channel=rss

doorSecuratis

Politie bezoekt komende tijd afnemers van ddos-diensten

Vorig jaar haalde de politie een website uit de lucht die ddos-aanvallen tegen betaling uitvoerde en de komende tijd zullen agenten afnemers van deze ddos-dienst bezoeken. Dat heeft de politie bekendgemaakt. Het gaat om de website Webstresser.org, een zogenaamde ‘booter’ of ‘stresser’ dienst.

Het onderzoek naar Webstresser.org leverde informatie op over 151.000 gebruikers. Naar aanleiding van dit onderzoek zijn Europol, J-Cat (Joint Cybercrime Action Taskforce), de Nederlandse politie en het Britse National Crime Agency momenteel bezig om gebruikers van de ddos-dienst op te sporen. Verschillende personen zijn inmiddels in Europa aangehouden.

De Nederlandse politie zal de komende tijd gebruikers van Webstresser.org opzoeken van wie de identiteit is achterhaald. De politie zal met deze personen in gesprek gaan. “Doel hiervan is dat deze mensen zich realiseren dat zij niet zo anoniem zijn als ze mogelijk dachten”, aldus de politie. Afhankelijk van de aard van het vergrijp van de desbetreffende persoon, wordt de afdoening door het Openbaar Ministerie bepaald.

Politie laat weten dat er geen onderscheid wordt gemaakt in kleine of grote gebruikers. “Of het nou gaat om een gamer die zijn concurrent uitschakelt of een ervaren hacker die een ddos-aanval uitvoert voor financieel gewin. In Nederland ligt de focus op dit moment op de gebruikers van Webstresser.org.”

In Nederland hebben politie en het OM in samenwerking met de Reclassering, HALT en de Raad voor Kinderbescherming ‘Hack_Right’ ontwikkeld, een alternatief straftraject voor jonge cybercriminelen. Het is een alternatief voor en onderdeel van of aanvulling op een strafrechtelijk traject. Een Nederlandse afnemer van Webstresser.org heeft inmiddels een dergelijke alternatieve straf ontvangen, zo laat Europol weten.

https://www.security.nl/posting/595716/Politie+bezoekt+komende+tijd+afnemers+van+ddos-diensten?channel=rss

doorSecuratis

Japan gaat IoT-gebruikers met zwakke wachtwoorden waarschuwen

De Japanse overheid gaat vanaf volgende maand gebruikers van Internet of Things-apparaten met zwakke wachtwoorden waarschuwen, om zo in aanloop naar de Olympische Spelen in het land de cybersecurity te verbeteren. Dat meldt de Japan Broadcasting Corporation.

Het National Institute of Information and Communications Technology heeft van de Japanse overheid de bevoegdheid gekregen om aan de hand van een lijst met standaard en zwakke wachtwoorden op de IoT-apparaten van burgers en bedrijven in te loggen (pdf). Wanneer de inlogpoging succesvol is zal de eigenaar of de provider van het betreffende apparaat worden gewaarschuwd. IoT-apparaten worden steeds vaker door cybercriminelen voor allerlei aanvallen ingezet. Het gaat dan vaak om apparaten die via zwakke of standaardwachtwoorden zijn overgenomen.

Het risico bestaat dat medewerkers van het agentschap op deze manier toegang tot webcams en opgeslagen beeldmateriaal krijgen, waardoor het recht op privacy van burgers wordt geschonden, aldus een Japanse hoogleraar. Eén van de onderzoekers laat weten dat alle tijdens het onderzoek verkregen gegevens vertrouwelijk worden behandeld en het instituut ervoor zal zorgen dat er geen gegevens zullen lekken.

Image

https://www.security.nl/posting/595713/Japan+gaat+IoT-gebruikers+met+zwakke+wachtwoorden+waarschuwen?channel=rss

doorSecuratis

Bijna 10.000 Cisco-routers kwetsbaar voor aanvallen

Bijna 10.000 routers van Cisco die via internet toegankelijk zijn, zijn kwetsbaar voor aanvallen omdat ze beveiligingsupdates missen die afgelopen woensdag werden uitgebracht. Aanvallers zijn inmiddels actief op zoek naar deze kwetsbare apparaten. Beheerders krijgen dan ook het advies om de updates zo snel als mogelijk te installeren.

Cisco kwam afgelopen woensdag met beveiligingsupdates voor de Small Business RV320 en RV325 Dual Gigabit WAN VPN Routers. Via één van de verholpen kwetsbaarheden kan een aanvaller op afstand de configuratie-instellingen uitlezen, waaronder het gehashte wachtwoord van de beheerder. De inloggegevens in combinatie met een andere kwetsbaarheid maken het vervolgens mogelijk om willekeurige commando’s met rootrechten uit te voeren.

Een aantal dagen na het uitkomen van de updates zag onderzoeker Troy Mursch van Bad Packets Report dat aanvallers naar kwetsbare RV320- en RV325-routers aan het zoeken zijn en er publieke exploitcode beschikbaar is. Iets wat ook door Cisco is bevestigd. De onderzoeker besloot daarop zelf een scan uit te voeren en ontdekte 9700 van deze routers die via internet toegankelijk zijn en waar de beveiligingsupdates nog niet zijn geïnstalleerd. Naast het installeren van de updates krijgen beheerders het advies om het beheerderswachtwoord te wijzigen, aangezien dat mogelijk al gecompromitteerd is.

https://www.security.nl/posting/595610/Bijna+10_000+Cisco-routers+kwetsbaar+voor+aanvallen?channel=rss

doorSecuratis

Onderzoekers overheidsspyware doelwit undercoveroperatie

Twee onderzoekers die zich bezighouden met onderzoek naar overheidsspyware en door staten uitgevoerde aanvallen tegen dissidenten, activisten en journalisten zijn het doelwit van een undercoveroperatie geworden. Het gaat om onderzoekers van Citizen Lab, onderdeel van de universiteit van Toronto, dat onderzoek doet naar het gebruik van politieke macht in cyberspace.

Citizen Lab publiceerde de afgelopen jaren verschillende onderzoeken over digitale aanvallen op Tibetaanse monniken, Syrische activisten, Egyptische burgerbewegingen en de NSO Group, een Israëlisch bedrijf dat software aanbiedt waarmee overheidsinstanties en opsporingsdiensten op afstand toegang tot smartphones kunnen krijgen.

In het verleden gebruikte het bedrijf zeroday-lekken in Apples iOS om toestellen met de Pegasus-spyware te infecteren. Alleen het bezoeken van een kwaadaardige link was voldoende om een volledig gepatchte iPhone met spyware te infecteren. De spyware en infrastructuur van de NSO Group is onder andere aangetroffen bij aanvallen tegen Mexicaanse journalisten en advocaten en voorstanders van een suikerbelasting in het land.

Onlangs werden twee onderzoekers van Citizen Lab via LinkedIn benaderd door twee personen die claimden te willen praten over de niet-werk gerelateerde projecten en interesses van de onderzoekers. Deze personen deden voorkomen alsof ze voor een bedrijf werkten. Voor deze niet bestaande bedrijven waren socialmediaprofielen, vacatures en bedrijfsregistraties aangemaakt. Ook de twee personen bleken van niet bestaande identiteiten gebruik te maken.

De eerste onderzoeker van Citizen Lab vond de uitnodiging vreemd, maar besloot de man te ontmoeten. Het gesprek ging echter niet over de interesses van de onderzoeker, maar over zijn onderzoek naar de NSO Group. De onderzoeker waarschuwde de andere onderzoekers bij Citizen Lab, dat contact opnam met de Associated Press. Het persbureau had een artikel over het voorval klaarstaan, toen een tweede onderzoeker door een niet bestaande identiteit werkend voor een niet bestaand bedrijf werd uitgenodigd voor een gesprek.

Dit keer was Citizen Lab voorbereid. De onderzoeker nam verschillende verborgen microfoons en een camera mee. Ook journalisten van de Associated Press waren aanwezig in het restaurant waar het gesprek plaatsvond. Wederom ging het gesprek over de NSO Group. De journalisten van de Associated Press vroegen de man voor wie hij werkte en waarom zijn bedrijf niet leek te bestaan. De man gaf geen verklaring en vertrok. Volgens Citizen Lab is dit een nieuw dieptepunt. “Een dergelijke achterbakse aanval op een academische groep zoals Citizen Lab is een aanval op academische vrijheid overal”, aldus de organisatie. Wie erachter de undercoveroperatie zit is onbekend. De NSO Group ontkent betrokkenheid. Een transcriptie van het gesprek is online te vinden.

https://www.security.nl/posting/595607/Onderzoekers+overheidsspyware+doelwit+undercoveroperatie?channel=rss