Maandelijks archief augustus 2019

doorSecuratis

WordPress-sites aangevallen via lekken in elf plug-ins

WordPress-sites worden op het moment actief aangevallen via bekende kwetsbaarheden in minstens elf plug-ins, zo waarschuwt securitybedrijf Wordfence. Via de kwetsbaarheden wordt kwaadaardige JavaScript-code op de websites geïnjecteerd. Deze code stuurt bezoekers door naar malafide websites.

Daarnaast wordt geprobeerd om een backdoor te installeren om zo toegang tot de kwetsbare websites te krijgen. De kwetsbaarheden zijn aanwezig in Bold Page Builder, Blog Designer, Live Chat with Facebook Messenger, Yuzo Related Posts, Visual CSS Style Editor, WP Live Chat Support, Form Lightbox, Hybrid Composer en alle voormalige Nicdark-plug-ins, waaronder Booking, Travel en Learning.

Het meest recente beveiligingslek bevindt zich in de Bold Page Builder-plug-in en werd vier dagen geleden gepatcht. De kwetsbaarheid zou al voor het uitkomen van de update door criminelen zijn aangevallen. Meer dan 20.000 WordPress-sites maken gebruik van Bold Page Builder. Beheerders van WordPress-sites krijgen dan ook het advies om themes en plug-ins up-to-date te houden.

https://www.security.nl/posting/622695/WordPress-sites+aangevallen+via+lekken+in+elf+plug-ins?channel=rss

doorSecuratis

It’er verdacht van sabotage werkgever wegens naderend ontslag

Een 28-jarige Amerikaanse man is in de Verenigde Staten aangeklaagd voor het saboteren van de systemen van zijn werkgever. De man was de enige it-medewerker van het bedrijf in Avon Lake. Hij wist toegang te krijgen tot e-mails van de financieel directeur en andere medewerkers.

Via de e-mails ontdekte de it’er dat het bedrijf een externe it-leverancier wilde inschakelen om de werkzaamheden van hem over te nemen. De man zou op 25 februari een ontmoeting met deze leverancier hebben over het overdragen van de toegang tot de it-systemen. Op de dag van de afspraak verschafte de it’er zich toegang tot het e-mailaccount van de financieel directeur en ontdekte dat het bedrijf hem van plan was te ontslaan.

Vervolgens zorgde de it’er ervoor dat alle medewerkers van het bedrijf niet meer bij hun e-mail konden, de website offline ging, werknemers geen toegang meer tot het customer relationship management (CRM) systeem hadden en andere ongeautoriseerde acties, aldus het Amerikaanse openbaar ministerie. De man moet nu terechtstaan voor het “beschadigen van een beveiligde computer”. Wanneer de zaak voorkomt is nog niet bekend.

https://www.security.nl/posting/622694/It%27er+verdacht+van+sabotage+werkgever+wegens+naderend+ontslag?channel=rss

doorSecuratis

Microsoft gaat Flash niet standaard uitschakelen in IE en Edge

Door Anoniem: Het is zeker geen privacyvriendelijke versie van Google Chrome.

Is chrome dan wel privacy vriendelijk?

Door Rexodus: Gelukkig hebben de inzichten/policies van Micky$oft altijd prachtige browsers voorgebracht. Net zoals nu weer, zullen we maar zeggen.

Sorry maar hoe je Microsoft schrijft al boekdelen. Daarnaast is legaacy edge zeker geen slechte browser.

Door Rexodus: “… Adobe besloten om de ondersteuning van de browserplug-in in 2020 te beëindigen.”

2000 was beter geweest. Maar beter laat dan niet.

Blijkbaar heb je ook geen idee hoeveel flash eigenlijk nog gebruikt wordt.
Misschien hier in ons ontwikkelde Nederland niet meer zoveel. Maar in de rest van de wereld wordt Flash nog echt wel goed gebruikt Daarnaast 2000….. Was HTML5 doen al flink in gebruik als Flash vervanger?
.
Ofwel…. Beide opmerkingen spreken voor zichzelf en zeggen voldoende.

Door En Rattshaverist:

Microsoft gaat Flash niet standaard uitschakelen in IE en Edge

En zadelt haar gebruikers daarmee met een gigantisch en onnodig beveiligingsprobleem op! Gelukkig kan je overschakelen naar een andere -niet Microsoft – browser.

Valt ook wel mee. Security updates komen tot die tijd gewoon uit en worden dus geïnstalleerd. Gelukkig wordt dit beter gedaan dan flash zijn eigen updater op Windows. Of een nieuw Microsoft browser met flash het nu veiliger maakt, is maar de vraag. De enige grote browser die dit goed onder de knie heeft, is chrome.

Maar Flash wordt gewoon nog veel gebruikt. Daar kun je wat van vinden, maar de wereld is een stuk groter dan de meeste denken.

Of dit nu goed is, is een tweede. Maar veel gebruikers snappen er allemaal niets van, en als het niet werkt… Dan hebben ze geen idee hoe ze dit moeten oplossen. Dat zijn wel de meeste gebruikers die computers gebruiken.

https://www.security.nl/posting/622693/Microsoft+gaat+Flash+niet+standaard+uitschakelen+in+IE+en+Edge?channel=rss

doorSecuratis

Ontwikkelaar Foxit Reader meldt diefstal gebruikersgegevens

Softwarebedrijf Foxit Software, ontwikkelaar van de pdf-lezer Foxit Reader, is getroffen door een datalek. Aanvallers hebben gegevens van gebruikers gestolen die bij het bedrijf een account hadden aangemaakt. Het gaat om e-mailadressen, wachtwoorden, gebruikersnamen, telefoonnummers, bedrijfsnamen en ip-adressen. Betaalgegevens zijn niet buitgemaakt.

Of de gestolen wachtwoorden waren gehasht laat Foxit Software in de aankondiging van het incident niet expliciet weten. Van alle getroffen gebruikers is het wachtwoord gereset. Door het aanmaken van een account bij de softwareontwikkelaar kunnen gebruikers toegang krijgen tot testversies, bestelgeschiedenis, productregistratie en supportinformatie.

Hoe de aanvaller toegang tot het systeem kon krijgen en hoeveel gebruikers zijn getroffen is niet bekendgemaakt. Foxit Software zegt dat alle getroffen gebruikers zijn geïnformeerd en het een securitybedrijf heeft ingehuurd om de beveiliging aan te scherpen en toekomstige beveiligingsincidenten te voorkomen.

https://www.security.nl/posting/622621/Ontwikkelaar+Foxit+Reader+meldt+diefstal+gebruikersgegevens?channel=rss

doorSecuratis

Minister gaat risico’s cryptomunt Facebook onderzoeken

Minister Hoekstra van Financiën heeft een onderzoek aangekondigd naar de mogelijke risico’s van Facebooks cryptomunt Libra. Dat laat de minister in antwoorden op vragen van de PvdA en SP weten. Facebook kondigde Libra afgelopen juni aan.

Libra kan straks via verschillende cryptobeurzen worden gekocht en verkocht. Vervolgens kunnen gebruikers de munt via een speciale app naar andere gebruikers overmaken. SP-Kamerlid Alkaya wilde van Hoekstra weten of Facebook een vergunning nodig heeft om Libra in Nederland aan te bieden en wat de minister van de cryptomunt vindt. Ook vroeg het Kamerlid of kan worden uitgesloten dat Facebook met Libra “too big to fail” wordt.

Hoekstra laat weten dat hij het op voorhand niet onwenselijk vindt dat bedrijven innoveren in het betalingsverkeer. Wel moet er goed gekeken worden naar de risico’s die deze innovaties meebrengen, aldus de minister. De komende tijd zal hij samen met de toezichthouders bekijken of, en zo ja, welke activiteiten van de Libra vergunningplichtig zijn. “Hierbij zal ik tevens de effecten en mogelijke risico’s van de komst van de Libra onderzoeken”, merkt Hoekstra op. Als blijkt dat er grote risico’s kunnen ontstaan zal er naar mogelijke maatregelen worden gekeken, waaronder het aanpassen van wetgeving of vergunningseisen.

SP-Kamerlid Alkaya wilde ook weten of onder de Algemene verordening gegevensbescherming (AVG) het mogelijk is om de persoonlijke gegevens van Facebookgebruikers te koppelen aan financiële gegevens en welke gevolgen dit voor de privacy zal hebben. “Libra heeft een statement over privacy gepubliceerd. Hieruit is echter niet op te maken welke data wel en niet gedeeld worden met externe partijen”, antwoordt de minister (pdf).

Aangezien Libra een andere entiteit is dan Facebook mogen gegevens tussen beide partijen alleen worden uitgewisseld als er wordt voldaan aan rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking en de juistheid, beperking van opslag en integriteit en vertrouwelijkheid van persoonsgegevens, gaat de minister verder.

PvdA-Kamerlid Nijboer vroeg Hoekstra in hoeverre hij Facebook een digitale munt als Libra toevertrouwt, aangezien het bedrijf in het verleden allerlei privacybeloftes voor commercieel gewin heeft gebroken. “Ongeacht welk bedrijf het initiatief neemt moet er goed gekeken worden naar de risico’s die deze innovaties meebrengen, antwoordt de minister. “Het is uiteindelijk aan gebruikers zelf om te besluiten of zij een aanbieder van dergelijke diensten vertrouwen.” (pdf)

https://www.security.nl/posting/622616/Minister+gaat+risico%27s+cryptomunt+Facebook+onderzoeken?channel=rss

doorSecuratis

Bulgaarse bank krijgt boete van 500.000 euro voor datalek

Door karma4: Dat ken ik van het AP, daarvan heb ik zelf kunnen vaststellen dat die ontzettend falen en flaters begaan op het vlak van informatiebeveiliging.

Al aangenomen dat ik dat oordeel met je zou delen, waarom zeggen fouten die het AP maakt iets over hoe de Bulgaarse DPA werkt? Ga je ervan uit dat wat op één lid van een categorie geldt voor alle leden moet gelden? Volgens die logica moet je als je in één restaurant slecht hebt gegeten concluderen dat alle restaurants slecht zijn.

Ofwel: geen erkenning dat de dpia gelijk heeft, ze kiezen de makkelijkste goedkoopste weg.

Je vult heel erg veel conclusies in waar informatie voor nodig is die helemaal niet bekend is gemaakt. Je baseert je op aannames dus. Wat jij schetst is een mogelijkheid, maar het is slechts een mogelijkheid tussen vele, vele andere varianten.

Ik baseer me liever op informatie die wel naar buiten is gebracht, en die geeft een ander beeld dan jij schetst. Als er concreet nieuws volgt dat een ander beeld geeft dan sluit ik me daar echt niet voor af. Maar ik ga niet mijn beeld van de situatie baseren op speculaties van iemand die anderen om onderbouwing vraagt maar zijn eigen aannames op drijfzand baseert, mogelijk zonder dat zelf in te zien.

https://www.security.nl/posting/622609/Bulgaarse+bank+krijgt+boete+van+500_000+euro+voor+datalek?channel=rss

doorSecuratis

FBI beveelt Google vaker om “locatiesleepnet” uit te werpen

Omgekeerde bewijslast. Steeds meer wordt het principe losgelaten,dat je als verdachte onschuldig bent tot het tegendeel is bewezen,Dit staat namelijk op gespannen voet met de “surveillance op iedereen loslaten” usance. Daar is ieder schuldig tot zijn of haar onschuld bewezen is en soms kan dat helemaal niet.

Hoe meer data een sleepnet methode gaat opleveren, hoe meer vervuiling van data en hoe meer aanleiding voor rechterlijke missers er komt. Maar dat maakt niet uit, het gaat om kosten besparen, het tonen hoe druk men met een en ander wel niet is en het niet meenemen van noodzakelijke ethische en andere bespiegelingen bij dit soort acties stoort de uitvoerenden nauwelijks. Ze vinden het zelfs wel mooi.

We gaan een bedenkelijk pad op. Waar zagen we dat nog meer ten uitvoer gelegd in de recente geschiedenis.
Het wordt wel een item met de voorstellen om een groot aantal politiemensen exclusief te gebruiken als een soort Nederlandse pendant van de Amerikaanse FBI, voor het zuivere inlichtingenwerk voor de bijkans niet meer te bevechten grote (drugs)criminaliteit.

Nog een leuk artikeltje gelezen van de scheidende ProRail aanvoerder. Hij moest een standbeeld krijgen. Moest er aan denken toen ik op baanvak Eindhoven-Spijknaar Eindhoven Station 50 minuten vertraging opliep met binnenkomen op het station door een stilgevallen goederentrein, die niet meer te re-setten was (stroomgebrek van de netbeheerder wellicht?).

We moesten terugkeren naar een eerdere wissel en toen via een andere baan het station benaderen. Als Nederland al zo houwtje touwtje aan elkaar komt te hangen, is dan de digitale bezuinigingsweg de juiste route om in te slaan? Het gaat niet goed zo, mensen, maar ben ik dat nou alleen, die dat zo ervaar?

Jodocus Oyevaer

https://www.security.nl/posting/622474/FBI+beveelt+Google+vaker+om+%22locatiesleepnet%22+uit+te+werpen?channel=rss

doorSecuratis

Mozilla-directeur Chris Beard kondigt afscheid aan

Mozillas directeur Chris Beard heeft zijn afscheid aangekondigd, wat inhoudt dat de opensourcesoftwareontwikkelaar een nieuwe ceo moet zoeken. Beard leidde Mozilla de afgelopen 5,5 jaar, maar laat weten dat hij na dit jaar een stap terugdoet om meer tijd met zijn gezin door te brengen.

Volgens de directeur die in april 2014 aantrad staat Mozilla er beter voor dan ooit en zijn alle voorwaarden aanwezig om het momentum voort te zetten. Mozilla is nu opzoek naar een nieuwe directeur. In het geval deze zoektocht langer duurt dan gepland zal Mitchell Baker de rol van interim-directeur vervullen. Mozilla heeft zich de afgelopen sterk gemaakt voor privacy op het web en verschillende aanpassingen aan de eigen browser Firefox toegevoegd om online tracking te blokkeren.

“De komende maanden zal ik de nieuwste producten, technologie en beleidswerk met jullie delen die nu in ontwikkeling zijn. Ik ben vol vertrouwen dat de beste dagen voor Mozilla nog moeten komen”, aldus Beard, die in een adviserend rol bij Mozilla betrokken blijft.

https://www.security.nl/posting/622469/Mozilla-directeur+Chris+Beard+kondigt+afscheid+aan?channel=rss

doorSecuratis

Deurbelcamera Ring werkt samen met 400 politiekorpsen in VS

Fabrikant van deurbelcamera’s Ring heeft met meer dan vierhonderd Amerikaanse politiekorpsen een overeenkomst gesloten zodat die op geautomatiseerde wijze beelden van miljoenen camera’s kunnen opvragen. Dat laat de Washington Post vandaag weten.

De deurbelcamera beschikt over een sensor die bij beweging beelden opneemt en biedt de mogelijkheid om beelden via een app op afstand te bekijken. In het geval van een misdrijf kan de politie bij Ring een verzoek tot de beelden indienen. Ring, dat eigendom van Amazon is, stuurt vervolgens een e-mail aan de betreffende eigenaar. Die kan het verzoek vervolgens toestaan of weigeren.

Ring biedt daarnaast een app genaamd Neighbors waarmee bewoners en buurten onderling beelden en waarschuwingen kunnen uitwisselen. Politiekorpsen en agenten kunnen aan de groepen van deze app worden toegevoegd. In het geval videobeelden nog niet zijn gedeeld, kunnen agenten die via een apart portaal en kaart opvragen. Agenten kunnen een bepaalde tijd en gebied opgeven. Vervolgens stuurt Ring naar iedereen binnen het gebied een e-mail met een bericht van de politie.

Gebruikers kunnen er vervolgens voor kiezen om de beelden te delen of niet en zich voor toekomstige e-mails afmelden. Ring stelt dat politie geen toegang tot live beelden heeft en ook niet te horen krijgt welke Ring-gebruikers wel en niet op de verzoeken hebben gereageerd. Sommige agenten zouden bij het onderzoeken van misdrijven bewust naar Ring-deurbellen zoeken en Ring biedt op haar beurt kortingen aan steden en gemeenschappen die de camera’s met belastinggeld aanschaffen. Het bedrijf heeft ook gratis camera’s aan politiekorpsen gegeven zodat die de apparaten weer onder huiseigenaren konden uitdelen.

Juridische experts en privacygroepen stellen dat het programma burgerrechten kan bedreigen en bewoners in informanten verandert. Ook zou het onschuldige mensen, waaronder die door Ring-gebruikers als “verdacht” zijn aangemerkt, aan meer surveillance en potentiële risico’s kunnen blootstellen. “Als de politie eist dat elke burger een camera op zijn deur aanbrengt en agenten toegang geeft zouden we terugschrikken”, zegt rechtenhoogleraar Andrew Guthrie Ferguson, auteur van The Rise of Big Data Policing.

Door in te spelen op een vermeende noodzaak voor meer zelfsurveillance en de angst van mensen over misdaad en veiligheid, heeft Ring een manier gevonden voor de ontwikkeling van een geheel nieuw surveillancenetwerk, zonder het toezicht dat zou plaatsvinden als een dergelijk netwerk door politie of overheid zou worden ontwikkeld, aldus Ferguson.

“Het is een businessmodel gebaseerd op paranoia. Ze doen wat Uber deed voor taxi’s, maar dan voor surveillancecamera’s, door ze gebruiksvriendelijker te maken. Het is een particulier surveillancesleepnet dat buiten het democratische proces is gemaakt, maar ze verkopen het als gewoon een product, als slechts een app”, zegt Evan Greer van digitale rechtenbeweging Fight for the Future.

Image

https://www.security.nl/posting/622356/Deurbelcamera+Ring+werkt+samen+met+400+politiekorpsen+in+VS?channel=rss

doorSecuratis

Tor Project zoekt nieuwe servers om censuur te omzeilen

woensdag 28 augustus 2019, 15:36 door Redactie, 6 reacties

Laatst bijgewerkt: Gisteren, 16:06

Het Tor Project is op zoek naar nieuwe servers om overheidscensuur te omzeilen, aangezien de huidige servers vroeger of later op een blocklist kunnen belanden. Dagelijks maken zo’n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen, maar ook om websites te bezoeken die in het land van herkomst worden geblokkeerd.

De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er “Tor-bridges“. Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt.

Op dit moment zijn er zo’n duizend Tor-bridges, waarvan er zeshonderd het obfs4-obfuscatieprotocol ondersteunen om het netwerkverkeer aan te passen. “Helaas zijn deze aantallen al enige tijd onveranderd. Het is niet voldoende om veel bridges te hebben. Uiteindelijk kunnen ze allemaal op blocklists belanden. Daarom hebben we een continue stroom van nieuwe bridges nodig die nog nergens worden geblokkeerd”, zegt Philipp Winter van het Tor Project.

Winter stelt dat het vrij eenvoudig is om een Tor-bridge op te zetten en dat dit weinig risico’s met zich meebrengt en weinig bandbreedte gebruikt. “Maar ze hebben een grote impact op mensen waar internet wordt gecensureerd”, aldus de Tor Project-medewerker. Doordat de bridges niet openbaar zijn zullen ze waarschijnlijk niet voor veel abusemeldingen zorgen of door populaire diensten worden geblokkeerd.

Het is al mogelijk om een Tor-bridge vanaf een thuisnetwerk met een statisch ip-adres te draaien, aldus Winter. Het Tor Project roept internetgebruikers op om een Tor-bridge te gaan draaien. Onder beheerders van deze nieuwe servers zal het Tor Project tien T-shirts verloten als ze de fingerprint van hun Tor-bridge doorsturen.

Image

https://www.security.nl/posting/622344/Tor+Project+zoekt+nieuwe+servers+om+censuur+te+omzeilen?channel=rss