Maandelijks archief maart 2019

doorSecuratis

Zakelijke appjes op privételefoon ambtenaar vallen onder Wob

Zakelijke sms’jes en WhatsApp-berichten van ambtenaren en bestuurders, zowel op zakelijke als privételefoons, vallen onder de Wet openbaarheid van bestuur (Wob). Dat staat in een uitspraak van de Afdeling bestuursrechtspraak van de Raad van State in een zaak tussen een branchevereniging voor zorgaanbieders en het ministerie van Volksgezondheid.

De uitspraak houdt in dat zakelijke sms’jes en WhatsApp-berichten op die telefoons kunnen worden opgevraagd door bijvoorbeeld journalisten. Volgens de Raad van State doet het er niet toe op welke gegevensdrager de informatie is opgeslagen. Het adviesorgaan van de regering vergelijkt het gebruik van een privételefoon met de situatie dat een bestuurder of ambtenaar een dossier van zijn werk mee naar huis zou nemen. In zo’n geval kon dat dossier al met de Wob worden opgevraagd.

“Anders zouden bestuursorganen de wet kunnen ontlopen door berichten bewust niet met een zakelijke telefoon te versturen”, zo laat de Raad van State weten. Het gaat hier alleen om zakelijke en niet om privéberichten. Daarnaast kan een bestuursorgaan openbaarmaking op grond van de Wob in sommige gevallen weigeren, bijvoorbeeld wanneer het openbaar maken van berichten de privacy van betrokken personen of de belangen van de overheid schendt.

Ook mag het openbaar maken worden geweigerd als berichten ‘persoonlijke beleidsopvattingen’ bevatten. Iets dat volgens de Afdeling bestuursrechtspraak bij sms’jes en WhatsApp-berichten vaker het geval zal zijn dan bij andere soorten documenten. Wanneer ambtenaren vanaf hun privételefoon werkgerelateerde berichten hebben verstuurd of ontvangen moeten zij die aan het betreffende bestuursorgaan overhandigen wanneer hierom wordt gevraagd.

https://www.security.nl/posting/602364/Zakelijke+appjes+op+priv%C3%A9telefoon+ambtenaar+vallen+onder+Wob?channel=rss

doorSecuratis

Taakstraf voor politieagent die vertrouwelijke informatie deelde

Een politieagent die honderden keren onterecht informatie in politiesystemen opzocht en die met derden deelde is veroordeeld tot een taakstraf van 120 uur, waarvan 40 uur voorwaardelijk. Dat heeft de rechtbank Midden-Nederland vandaag bekendgemaakt.

Het misbruik van de politiesystemen vond plaats van halverwege 2014 tot augustus 2017. De verdachte zocht in deze periode 6.000 keer iets in de politiesystemen op. 2500 van deze bevragingen vonden plaats buiten diensttijd. Van 466 zoekopdrachten staat vast dat die 100 procent niets met zijn werkzaamheden te maken hadden. Zo zocht de verdachte naar informatie over familieleden, buurtbewoners, maar ook naar een voertuig, dat hij vervolgens heeft gekocht.

“Door zijn inloggegevens te gebruiken voor doeleinden die ver buiten de grenzen van zijn autorisatie vallen, heeft verdachte onbevoegd gebruik gemaakt van de servers van de politie. Naar het oordeel van de rechtbank is verdachte daarmee opzettelijk en wederrechtelijk binnengedrongen in een geautomatiseerd werk”, aldus de rechter. Die stelde dat de man zich dan ook had schuldig gemaakt aan computervredebreuk.

Het Openbaar Ministerie had een taakstraf van 120 uur en een voorwaardelijke gevangenisstraf van 2 maanden geëist, met een proeftijd van twee jaar. De maximale strafmaat voor computervredebreuk is in 2015 verhoogd van één naar twee jaar. De rechter hield bij het bepalen van de strafmaat rekening met het oude strafmaximum. Daarnaast waren er volgens de rechter straf-verminderende omstandigheden, waardoor uiteindelijk een taakstraf van 120 uur werd opgelegd, waarvan 40 voorwaardelijk.

https://www.security.nl/posting/602351/Taakstraf+voor+politieagent+die+vertrouwelijke+informatie+deelde?channel=rss

doorSecuratis

Nederland uitzondering met overheidssite zonder adtrackers

Nederland doet het geniepiger en niet rechtstreeks,
maar via www.webonderzoek-rijksoverheid.nl 3rd party tracking *.
Geen HSTS preloading, geen CSP header, geen refere-policy-header.
Kwetsbaar voor Secure-Client-Initiated-Renegotiation bug.

* Hier vinden de volgende headers niet ingesteld:
CSP, XFO, X-CSS-protectie, X-Content-Type-Options & geen referer-policy header.
Dus laten we niet ineens hoera roepen.

41 verbeter voorstellen daar: https://webhint.io/scanner/fa6fd70e-83f0-410c-9301-1cba333ba173
inclusief 7 security issues.

In Brave krijg ik een browser waarschuwing: https://www.ergo-webreporting.com/Browserwarning.html
Advies, gebruik IE browser, want website is draait op ASP MS.

Overweeg tevens: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fwww.ergo-webreporting.com%2FBrowserwarning.html

Site van BIT B.V. schijnt veilig: https://www.virustotal.com/#/ip-address/78.31.116.148
Name server staat in USA: whois.psi-usa.info

No response received
Certificate transparency
Signed Certificate Timestamps (SCTs)
Source Log Timestamp Signature Verification
Certificate Google Pilot
pLkJkLQYWBSHuxOizGdwCjw1mAT5G9+443fNDsgN3BA= 2018-01-04 12:52:33 Success
Certificate DigiCert 2
h3W/51l8+IxDmV+9827/Vo1HVjb/SrVgwbTq/16ggw8= 2018-01-04 12:52:33 Success
Certificate Google Skydiver
u9nfvB+KcbWTlCOXqpJ7RzhXlQqrUugakJZkNo4e0YU= 2018-01-04 12:52:33 Success

Minder ad-tracking-narigheid dan op de Franse tegenhanger, maar toch, Big Brother kijkt wel degelijk mee.
EU is de trackers beter gezind, dan de eigen burgers voor privacy-bescherming,
Edoch is EU er eigenlijk wel voor haaar ingezetenen, that’s the question?

luntrus

https://www.security.nl/posting/602197/Nederland+uitzondering+met+overheidssite+zonder+adtrackers?channel=rss

doorSecuratis

Cloudflare: 10 procent https-verkeer wordt onderschept

Meer dan tien procent van al het https-verkeer op internet wordt onderschept, zo stelt internetbedrijf Cloudflare aan de hand van eigen onderzoek. Https staat voor een beveiligde verbinding tussen website en bezoeker. In de praktijk zijn er echter tal van partijen die oplossingen bieden om dit verkeer te onderscheppen en vervolgens te inspecteren.

Bedrijven gebruiken deze oplossingen om bijvoorbeeld het https-verkeer op het eigen netwerk te controleren. Het gaat dan bijvoorbeeld om proxies tegen datalekkages of antivirusoplossingen die een “man-in-the-middle” uitvoeren om inkomend verkeer op malware te inspecteren. De diensten van Cloudflare zitten tussen een website of webapplicatie en de bezoeker hiervan. Het bedrijf biedt onder andere load balancing en oplossingen tegen ddos-aanvallen. Hierdoor ziet Cloudflare grote hoeveelheden verkeer voorbijkomen.

Cloudflare ontwikkelde een opensourcetool genaamd MITMEngine waarmee het kan zien of het verkeer tussen een gebruiker en website wordt onderschept. Het kijkt hiervoor naar verschillende onderdelen, zoals de gebruikte TLS-versie, gebruikte encryptie en andere eigenschappen van de versleutelde verbinding. Aan de hand hiervan stelt Cloudflare dat meer dan 10 procent van al het https-verkeer op internet wordt onderschept, met uitschieters naar 19 procent. Het meeste https-verkeer wordt onderschept via proxies. Het gaat dan met name om “https interceptors” van Blue Coat, een bedrijf dat een aantal jaren geleden door Symantec werd overgenomen.

Volgens Cloudflare is het belangrijk om de status van https-interceptors te volgen, om zo inzicht te krijgen wanneer er nieuwe beveiligingsmaatregelen worden uitgerold en het detecteren van problemen met veiligheidsprotocollen. Ook helpt het onderzoek bij het vinden van software die beveiligde verbindingen verzwakt. De cijfers die Cloudflare via de MITMEngine verzamelt zijn via deze pagina beschikbaar.

Image

https://www.security.nl/posting/602184/Cloudflare%3A+10+procent+https-verkeer+wordt+onderschept?channel=rss

doorSecuratis

Nieuwe Mirai-variant infecteert LG SuperSign-televisies

Onderzoekers hebben een nieuwe variant van de Mirai-malware ontdekt die zakelijke presentatie- en beeldschermen infecteert, waaronder LG SuperSign-televisies en WePresent WiPG-1000 draadloze presentatiesystemen waar bedrijven gebruik van maken.

De beeldschermen worden voor verschillende doeleinden gebruikt, waaronder voor presentaties, als reclameschermen en informatieborden. Om de LG-televisies te infecteren maakt Mirai misbruik van een kwetsbaarheid in de SuperSign CMS-software die is ingebouwd. Via het beveiligingslek is het mogelijk voor een aanvaller om op afstand code uit te voeren. Het systeem moet in dit geval wel via het internet toegankelijk zijn of een aanvaller moet toegang hebben tot het netwerk waarop de tv is aangesloten.

De nieuwe Mirai-variant die onderzoekers van securitybedrijf Palo Alto Networks ontdekten bevatte in totaal 27 exploits, waarvan er 11 niet eerder in een Mirai-exemplaar waren gezien. Ook verschillende routers van Netgear, Zyxel en D-Link zijn een nieuw doelwit van de malware. Door Mirai geïnfecteerde systemen worden ingezet voor het uitvoeren van ddos-aanvallen.

De Mirai-malware heeft het voorzien op Internet of Things-apparaten. De eerste Mirai-botnets werden eind 2016 ingezet voor het uitvoeren van omvangrijke ddos-aanvallen waardoor populaire websites als Twitter, Netflix, GitHub en Spotify tijdelijk slecht of helemaal niet bereikbaar waren. Sinds de broncode van Mirai op internet verscheen worden er geregeld nieuwe varianten ontdekt.

https://www.security.nl/posting/602080/Nieuwe+Mirai-variant+infecteert+LG+SuperSign-televisies?channel=rss

doorSecuratis

Data 17,2 miljoen gebruikers reiswebsite Ixigo gestolen

Begin dit jaar is een aanvaller erin geslaagd om bij de reis- en boekingssite Ixigo in te breken en daar de gegevens van meer dan 17,2 miljoen gebruikers te stelen. Het datalek werd vorige maand al bekend en vervolgens door de directeur van het bedrijf ontkend.

Nu is duidelijk geworden om hoeveel gebruikers het precies gaat en welke data er is gestolen. Het gaat om authenticatietokens, apparaatgegevens, e-mailadressen, geslacht, namen, met MD5 gehashte wachtwoorden, telefoonnummers, socialmediaprofielen en gebruikersnamen. MD5 is een zwak algoritme voor het hashen van wachtwoorden, waardoor aanvallers de wachtwoorden van gebruikers kunnen achterhalen. De buitgemaakte gegevens werden op internet te koop aangeboden.

De gestolen e-mailadressen zijn nu aan Have I Been Pwned toegevoegd, een zoekmachine waarmee gebruikers in meer dan 7,7 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de 17,2 miljoen gestolen e-mailadressen was 23 procent al via een ander datalek bij Have I Been Pwned bekend.

https://www.security.nl/posting/602078/Data+17%2C2+miljoen+gebruikers+reiswebsite+Ixigo+gestolen?channel=rss

doorSecuratis

Microsoft ontwikkelt Application Guard-extensie voor Chrome en Firefox

Door Anoniem: Ah, een poging om mensen aan EDGE te krijgen.

Inderdaad, het eerste waaraan ik ook dacht. En zo kennen we Microsoft weer. Ze hebben van oudscher altijd trucjes moeten uithalen om gebruikers aan hun zooi te binden. Vendor lock-in, de browseroorlog, TCO, de Windows 10 “nag-screen” en ga zo maar door. Het is ze nog nooit gelukt om mensen voor Microsoft te laten kiezen vanwege de kwaliteit van hun producten. Het is ALTIJD via vieze trucjes gegaan. En ze blijven het doen, zo te zien….

Iedereen is zo lovend over de manier waarop Microsoft de laatste jaren handelt en zogenaamd Linux omarmen, maar een vos verliest wel zijn haren, nooit zijn streken. Microsoft doet ALTIJD alleen dingen die hen ten goede komen. En elke manier is blijkbaar geoorloofd.

Quote uit het artikel:

Zodra de gebruiker weer naar een betrouwbare website gaat wordt de standaardbrowser geladen.

Zullen we wedden dat daar een melding komt met de vraag om de standaard browser … En natuurlijk op zo’n cryptische manier dat men op het verkeerde been gezet wordt. Je weet wel, zo’n melding met de woorden “bedreiging”, en “mogelijk” (de standaard woorden die Microsoft altijd gebruikt om mensen te laten twijfelen, om vervolgens het systeem voor jou de keuze te laten bepalen.

Wat haat ik dat kutbedrijf toch. Er is uiteindelijk niks veranderd. Toon mij maar aan dat ik ongelijk heb….

https://www.security.nl/posting/601885/Microsoft+ontwikkelt+Application+Guard-extensie+voor+Chrome+en+Firefox?channel=rss

doorSecuratis

E-mail over crash van Boeing 737 Max verspreidt malware

Cybercriminelen hebben de recente crashes met een Boeing 737 Max in Ethiopië en Indonesië aangegrepen om malware te verspreiden. Er worden op dit moment e-mails verstuurd die over de twee vliegrampen gaan waar in totaal 346 inzittenden bij om het leven kwamen.

Volgens het bericht is er informatie op het “Darkweb” gevonden waaruit blijkt dat ook andere luchtvaartmaatschappijen binnenkort met crashes te maken zullen krijgen. De ontvanger wordt vervolgens opgeroepen om de meegestuurde bijlage te openen. De bijlage is een Jar-bestand die een remote administration tool (RAT) installeert waarmee de aanvallers volledige controle over het systeem krijgen, zo waarschuwt het 360 Threat Intelligence Center. Het Jar-bestand kan alleen worden geopend als Java op het systeem is geïnstalleerd.

Image

https://www.security.nl/posting/601882/E-mail+over+crash+van+Boeing+737+Max+verspreidt+malware?channel=rss

doorSecuratis

Draadloos Fujitsu-toetsenbord kwetsbaar voor injectieaanval

Een beveiligingslek in een draadloos toetsenbord van Fujitsu maakt het mogelijk voor een aanvaller om op een afstand van 45 meter willekeurige toetsaanslagen op de computer van het slachtoffer uit te voeren en zo het systeem over te nemen. De kwetsbaarheid is aanwezig in de Fujitsu LX901.

Het probleem wordt veroorzaakt door de draadloze ontvanger van het toetsenbord. Die accepteert niet alleen de versleutelde datapakketten die het toetsenbord verstuurt, maar ook onversleutelde pakketten die aan een bepaald dataformaat doen. Zodoende kan een aanvaller op afstand met het systeem communiceren. “In combinatie met de eerder ontdekte replay-aanval is het via een injectieaanval mogelijk om systemen met een actieve schermvergrendeling aan te vallen, bijvoorbeeld om malware te installeren wanneer het systeem onbeheerd wordt achtergelaten”, zegt onderzoeker Matthias Deeg van securitybedrijf Syss.

In 2016 ontdekten Deeg en onderzoeker Gerhard Klostermeier dat het mogelijk is om het verkeer tussen het LX901-toetsenbord en de computer op te vangen en opnieuw af te spelen. Zo kan een aanvaller bijvoorbeeld het opgenomen verkeer waarbij de gebruiker inlogt opnemen en vervolgens, als het systeem onbeheerd is achtergelaten, opnieuw afspelen en zo het systeem ontgrendelen. Destijds liet Fujitsu weten dat het deze kwetsbaarheid niet zou verhelpen.

Ook in het geval van de nieuwe aanval is er geen oplossing van de fabrikant voorhanden. Deeg en Klostermeier zullen in juni tijdens een securityconferentie in Polen een presentatie over de aanval geven. De onderzoekers maakten een video waarin ze de aanval demonstreren.

Image

https://www.security.nl/posting/601785/Draadloos+Fujitsu-toetsenbord+kwetsbaar+voor+injectieaanval?channel=rss

doorSecuratis

Amnesty: mensenrechtenactivisten doelwit OAuth-phishing

Sinds het begin van dit jaar zijn Egyptische mensenrechtenactivisten en burgerrechtenbewegingen het doelwit van OAuth-phishing geworden, zo stelt Amnesty International aan de hand van onderzoek. Bij OAuth-phishing proberen aanvallers via legitiem lijkende applicaties toegang tot het e-mailaccount van het doelwit te krijgen.

Via OAuth kunnen applicaties van derde partijen toegang tot een account krijgen, zonder dat accounthouder zijn inloggegevens met deze partij hoeft te delen. De applicatie vraagt in plaats daarvan om bepaalde permissies. Bij de waargenomen aanvallen ontvingen slachtoffers een e-mail die zogenaamd van Google afkomstig was. Volgens het bericht moest de ontvanger een update voor zijn Gmail-account uitvoeren.

De link die naar de zogenaamde update wees, wees in werkelijkheid naar een Gmail-applicatie. Deze applicatie vroeg het slachtoffer permissie om de inbox te benaderen. Als het verzoek werd goedgekeurd kregen de aanvallers toegang tot het e-mailaccount van het slachtoffer en konden e-mails lezen, versturen en ontvangen.

De aanvallen namen in hevigheid toen rond politiek gevoelige momenten als de verjaardag van de Egyptische Revolutie van 2011, op 25 januari. “Deze digitale aanvallen zijn onderdeel van een doorlopende campagne om critici van het Egyptische bewind te intimideren en de mond te snoeren,” zegt Ramy Raoof van Amnesty International.

Volgens de mensenrechtenorganisatie kan het lastig zijn om OAuth-phishing te identificeren. Vaak wordt bij trainingen over phishing deze techniek niet genoemd. “Mensen wordt vaak gezegd om bij phishing naar verdachte domeinen in de adresbalk te kijken en tweefactorauthenticatie in te schakelen. Hoewel dit handig en belangrijke beveiligingsmaatregelen zijn, helpen ze niet tegen OAuth-phishing, omdat slachtoffers zich direct via de legitieme site authenticeren”, aldus Amnesty.

Image

https://www.security.nl/posting/601778/Amnesty%3A+mensenrechtenactivisten+doelwit+OAuth-phishing?channel=rss