Maandelijks archief oktober 2019

doorSecuratis

FBI waarschuwt opnieuw voor Hoplight-malware

De FBI heeft vandaag opnieuw een waarschuwing gegeven voor de Hoplight-malware, een Trojaans paard dat volgens de Amerikaanse opsporingsdienst door de Noord-Koreaanse overheid tegen allerlei doelen is ingezet. In april van dit jaar kwam de FBI ook al met een waarschuwing voor Hoplight.

Destijds had de waarschuwing betrekking op negen uitvoerbare bestanden. De nieuwste waarschuwing biedt een analyse van twintig kwaadaardige bestanden. Zestien van deze bestanden zijn proxy-applicaties die het verkeer tussen de malware en aanvallers maskeren. De proxies kunnen via publieke geldige tls-certificaten valse TLS-handshakesessies genereren. Op deze manier worden de netwerkverbindingen met de aanvallers verborgen. De andere bestanden bevatten onder andere een publiek tls-certificaat.

In de waarschuwing over Hoplight geeft de FBI “indicators of compromise” (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, whois-data, hashes, bestandsnamen, Yara-rules en anti-virusbenamingen.

Verder doet de FBI aanbevelingen om infecties door malware te voorkomen, zoals het updaten van anti-virussoftware en besturingssysteem, het uitschakelen van bestands- en printerdeling, het beperken van de rechten van gebruikers, het afdwingen van veilige wachtwoorden, voorzichtig zijn met e-mailbijlagen, het inschakelen van een personal firewall, het uitschakelen van onnodige diensten, het monitoren van het browsegedrag van gebruikers, het scannen van alle gedownloade bestanden en voorzichtig zijn in het gebruik van verwijderbare media.

https://www.security.nl/posting/629675/FBI+waarschuwt+opnieuw+voor+Hoplight-malware?channel=rss

doorSecuratis

Adware-apps omzeilen controle Google Play Store

Ontwikkelaars van adware-apps voor het Androidplatform gebruiken allerlei trucs om de controle door de Google Play Store te omzeilen en zo hun apps goedgekeurd te krijgen, zo laten onderzoekers van antivirusbedrijf Bitdefender weten.

Vorige week werd nog bekend dat er 42 adware-apps in de Play Store waren gevonden met 8 miljoen downloads. In september werden nog 48 adware-apps in de Play Store gevonden die 300 miljoen keer waren gedownload. De adware laat op agressieve wijze allerlei advertenties zien, waarvoor de ontwikkelaars betaald krijgen. De onderzoekers van Bitdefender analyseerden voor hun onderzoek 25 adware-apps die bij elkaar 700.000 downloads telden.

Ze ontdekten dat de adware-ontwikkelaars allerlei trucs toepassen om detectie te omzeilen. Zo wordt gecontroleerd dat de systeemtijd tenminste 18 uur na een specifieke opgegeven tijd is, waarna de app zich pas verbergt. Daarnaast wordt de tijd tussen advertenties vergroot of wordt de adware pas later via een update toegevoegd.

Ook wordt de code versleuteld en dynamisch geladen. Dit moet het lastiger maken om de werking van de code via automatische statische analyse te achterhalen. Verder maken de ontwikkelaars gebruik van verschillende namen om apps met identieke code naar de Play Store te uploaden.

Androidgebruikers krijgen het advies om voor de installatie van een app uit de Play Store goed naar de reacties en beoordelingen van andere gebruikers te kijken. In dit document worden alle adware-apps bij naam genoemd (pdf).

https://www.security.nl/posting/629673/Adware-apps+omzeilen+controle+Google+Play+Store?channel=rss

doorSecuratis

Facebook betaalt boete voor Cambridge Analytica-schandaal

Facebook zal een boete van 500.000 pond die de Britse privacytoezichthouder ICO eind vorig jaar wegens het Cambridge Analytica-schandaal oplegde betalen, maar erkent geen aansprakelijkheid. Dat zijn beide partijen met elkaar overeengekomen, zo heeft de ICO vandaag bekendgemaakt.

Naar aanleiding van het schandaal met Cambridge Analytica stelde de Britse privacytoezichthouder ICO een onderzoek in. Daaruit bleek dat Facebook tussen 2007 en 2014 de persoonlijke gegevens van gebruikers onterecht verwerkte. Ontwikkelaars die applicaties voor het Facebookplatform ontwikkelden kregen namelijk toegang tot de informatie van gebruikers, zonder dat hier duidelijke toestemming voor hadden gegeven. Ook kregen app-ontwikkelaars toegang tot gegevens van gebruikers die hun app niet hadden gedownload, maar bevriend waren met mensen die dit wel hadden gedaan.

Facebook ging volgens de ICO ook de fout in met het beveiligen van persoonlijke informatie omdat het apps en ontwikkelaars op het eigen platform niet voldoende controleerde. Zodoende kon onderzoeksbedrijf GSR de gegevens van 87 miljoen Facebookgebruikers downloaden en vervolgens met Cambridge Analytica delen. Zelfs nadat in december 2015 het misbruik van de data was ontdekt deed Facebook niet genoeg om ervoor te zorgen dat de partijen die deze gegevens in handen hadden die ook verwijderden, aldus de Britse toezichthouder.

Aangezien de overtredingen voor de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) plaatsvonden kon de ICO zich alleen op de Britse privacywetgeving van 1998 beroepen. Deze wetgeving maakt het mogelijk om een maximale boete van maximaal 500.000 pond op te leggen, wat de toezichthouder ook deed. Facebook ging vervolgens tegen de boete in beroep.

Het tribunaal dat het beroep behandelde stelde dat de ICO de documenten waarop het de boete had gebaseerd openbaar moest maken. De toezichthouder ging weer tegen die beslissing in beroep. Facebook en de ICO zijn nu overeengekomen dat ze beiden hun beroep intrekken. Facebook betaalt de opgelegde boete, maar bekent geen aansprakelijkheid in relatie tot de boete. De boete gaat daarnaast niet naar de ICO, maar naar de Britse schatkist. Beide partijen zijn naar eigen zeggen positief over de schikking.

https://www.security.nl/posting/629514/Facebook+betaalt+boete+voor+Cambridge+Analytica-schandaal?channel=rss

doorSecuratis

Nederlanders laten honderden Bing-zoekresultaten offline halen

Nederlanders die gebruik maakten van het recht om vergeten te worden hebben in de eerste zes maanden van dit jaar honderden zoekresultaten van Microsofts zoekmachine Bing offline laten halen. Dat staat in de nieuwste editie van Microsofts Content Removal Requests Report.

Sinds 2014 hebben EU-burgers het recht om een zoekmachine te vragen bepaalde resultaten uit een zoekopdracht op hun naam te verwijderen, ook wel het recht om vergeten te worden genoemd. In de eerste zes maanden van dit jaar ontving en verwerkte Microsoft van Nederlandse burgers in totaal 120 verwijderverzoeken. In deze verzoeken werd gevraagd om 789 links in de zoekresultaten van Bing te verwijderen, wat in 475 gevallen ook gebeurde (60 procent).

Ten opzichte van dezelfde periode vorig jaar en de tweede helft van 2018 verwijderde Microsoft veel meer links uit de zoekresultaten. Tijdens de eerste helft van 2018 ontving Microsoft 162 verzoeken om 651 links te verwijderen. 187 links werden ook daadwerkelijk verwijderd (29 procent). In de tweede helft van vorig jaar vroegen Nederlanders 110 keer om in totaal 469 zoekresultaten te verwijderen. Vervolgens werden 167 links uit de zoekmachineresultaten verwijderd (36 procent).

Sinds Microsoft in mei 2014 begon met het verwerken van verwijderverzoeken zijn er uit de gehele EU in totaal 33.000 verzoeken binnengekomen. Daarin werd gevraagd om ruim 101.000 links te verwijderen. Het grootste deel werd echter geweigerd (57.000 links).

Volgens marktvorser StatCounter heeft Bing op de markt van zoekmachines, die door Google wordt gedomineerd, een aandeel van 2,3 procent. Onder desktopgebruikers is dit met 5,1 procent iets groter. Het is dan ook niet verwonderlijk dat Google veel meer verwijderverzoeken te verwerken krijgt. Sinds mei 2014 ontving het bedrijf bijna 859.000 verzoeken uit de EU om 3,4 miljoen links uit de zoekresultaten te verwijderen. In 45 procent van de url’s werd dit ook gedaan.

https://www.security.nl/posting/629509/Nederlanders+laten+honderden+Bing-zoekresultaten+offline+halen?channel=rss

doorSecuratis

Politie meldt datalek na diefstal van fotocamera op plaats delict

De politie heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat fotoapparatuur met een sd-kaart vanaf een plaats delict is gestolen. De afdeling forensische opsporing was gisteren bezig met een onderzoek in Zwolle waarbij wapens werden veiliggesteld en gefotografeerd.

De rechercheur die het onderzoek op de plaats delict uitvoerde ontdekte bij terugkomst op het politiebureau dat de camera en koffer met verpakkingsmateriaal ontbraken. Daarop ging de rechercheur terug naar de plaats delict, maar daar bleek de apparatuur niet meer aanwezig te zijn. Het is onbekend of de spullen tijdens het onderzoek zijn gestolen of dat ze zijn meegenomen nadat de rechercheur ze had laten liggen.

De geheugenkaart in de camera bevatte foto’s van een voertuig in een ander onderzoek en foto’s van de aangetroffen wapens in het onderzoek in Zwolle. De politie heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Ook is er melding gedaan bij de afdeling Veiligheid Integriteit en Klachten van de politie. Onlangs vergat een rechercheur in Deventer ook een koffer met verpakkingsmateriaal voor sporenonderzoek. Deze werd door een omstander teruggebracht.

https://www.security.nl/posting/629421/Politie+meldt+datalek+na+diefstal+van+fotocamera+op+plaats+delict?channel=rss

doorSecuratis

Malafide websites persen gebruikers af door pc te “blokkeren”

Onderzoekers hebben verschillende malafide websites ontdekt die gebruikers proberen af te persen door hun computer zogenaamd te “blokkeren”. De scamsites doen zich voor als de website van de Franse politie en claimen dat de bezoeker illegaal materiaal heeft gedownload.

Vanwege deze overtreding is de computer “geblokkeerd” en moet de gebruiker een boete van 50 euro betalen, aldus de uitleg op de pagina. In werkelijkheid gebruikt de scamsite JavaScript om bepaalde browserfuncties uit te schakelen. Bij het bezoek van de malafide site schakelt die de fullscreenmode van de browser in. Vervolgens worden bepaalde functies uitgeschakeld, zoals de mogelijkheid om met de rechtermuisknop op de pagina te klikken.

Doordat de pagina in de fullscreenmode wordt weergegeven kan de gebruiker de Windows-taakbalk of X-knop voor het sluiten niet zien. Naast de melding dat de computer is geblokkeerd verschijnt er een scherm waar de gebruiker zijn creditcardgegevens kan invoeren. Deze gegevens worden niet gebruikt voor het voldoen van de vermeende boete, maar worden naar de aanvaller gemaild, zo meldt securitybedrijf Sucuri.

Image

https://www.security.nl/posting/629416/Malafide+websites+persen+gebruikers+af+door+pc+te+%22blokkeren%22?channel=rss

doorSecuratis

Malware op website First Aid Beauty stal creditcarddata klanten

Op de webwinkel van huidverzorgingsproducent First Aid Beauty heeft maandenlang kwaadaardige code gedraaid die creditcardgegevens van klanten onderschepte en naar criminelen doorstuurde, zo ontdekte de Nederlandse beveiligingsonderzoeker Willem de Groot.

First Aid Beauty werd vorig jaar voor een bedrag van 250 miljoen dollar door levensmiddelengigant Procter & Gamble overgenomen. De kwaadaardige code op de webwinkel werd niet geactiveerd in het geval de website door niet-Amerikaanse gebruikers en mensen met Linux werd bezocht. Dit laatste werd gedaan om detectie door beveiligingsonderzoekers te voorkomen, aldus De Groot. De onderzoeker waarschuwde de huidverzorgingsproducent, waarna de kwaadaardige code werd verwijderd. De pagina van First Aid Beauty is op het moment van schrijven echter offline.

Hoe de aanvallers toegang tot de website konden krijgen om de kwaadaardige code toe te voegen is onbekend. Het toevoegen van malware aan websites die creditcardgegevens en persoonlijke informatie van klanten steelt wordt formjacking genoemd. Begin dit jaar meldde antivirusbedrijf Symantec dat in 2018 gemiddeld 4800 websites per maand slachtoffer van formjacking waren en vorige week waarschuwde de FBI mkb-bedrijven nog voor deze vorm van cybercrime.

Image

https://www.security.nl/posting/629306/Malware+op+website+First+Aid+Beauty+stal+creditcarddata+klanten?channel=rss

doorSecuratis

Mozilla verdubbelt donaties aan Tor Project tijdens campagne

Het Tor Project is vandaag weer de jaarlijkse donatiecampagne gestart en wederom zal Mozilla alle donaties die de komende weken worden gedaan verdubbelen. De campagne heeft als onderwerp “Take Back the Internet with Tor” en kunnen donateurs allerlei prijzen winnen, zoals exclusieve ‘Tor swag’.

Dagelijks maken zo’n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor Project dat de software voor het Tor-netwerk ontwikkelt is een non-profitorganisatie en daardoor afhankelijk van giften. Met de nieuwe campagne wil het Tor Project zich richten op wat het internet had moeten zijn, “een vrije en open plek om informatie te delen, waar je persoonlijke informatie geen handelswaar was”, aldus de organisatie. Via de mensen en tools van het Tor Project kan het internet “één gebruiker per keer” worden teruggewonnen, aldus de uitleg van de campagne.

Om de donatiecampagne leuk en interessant te maken geeft het Tor Project ook allerlei prijzen weg, zoals exclusieve Tor-kleding, een picknickdeken en boeken. Iedereen die in de eerste week doneert komt ongeacht de omvang van de donatie in aanmerking voor een prijs. Alle donaties worden daarnaast door Mozilla verdubbeld. Inmiddels zijn er op het moment van schrijven 170 donaties binnengekomen voor een bedrag van 4850 euro, wat met de verdubbeling van Mozilla een bedrag van 9700 dollar is geworden. Vorig jaar ontving het Tor Project 460.000 dollar aan donaties.

De organisatie wil minder afhankelijk worden van de donaties van de Amerikaanse overheid. In 2017 ontving het Tor Project 4,1 miljoen dollar. Daarvan was 2,1 miljoen dollar afkomstig van Amerikaanse overheidsinstellingen, zoals de National Science Foundation, het Stanford Research Institute en een afdeling van het Amerikaanse ministerie van Buitenlandse Zaken. In 2015 waren donaties van de Amerikaanse overheid nog goed voor 85 procent van de inkomsten.

https://www.security.nl/posting/629296/Mozilla+verdubbelt+donaties+aan+Tor+Project+tijdens+campagne?channel=rss

doorSecuratis

Schiphol meldt datalek bij Autoriteit Persoonsgegevens

Schiphol heeft een datalek in de website van het Bewoners Aanspreekpunt Schiphol gemeld bij de Autoriteit Persoonsgegevens, zo laat de luchthaven via de eigen website weten. Bij het Aanspreekpunt kunnen omwonenden terecht met vragen en klachten over het vliegverkeer van, naar en op Schiphol.

Een kwetsbaarheid in de website zorgde ervoor dat gegevens van bijna 60.000 mensen die via de website een klacht of vraag hadden ingediend inzichtelijk waren, zo laat een woordvoerder van Schiphol tegenover Nu.nl weten. Het kan dan gaan om namen, adressen, e-mailadressen, telefoonnummers, gehashte wachtwoorden en de inhoud van achtergelaten klachten.

Volgens Schiphol zijn er geen aanwijzingen dat er persoonsgegevens zijn gestolen. “Ondanks dat er geen aanwijzingen voor zijn, kan niet volledig worden uitgesloten dat gegevens onttrokken zijn. Iedereen krijgt het advies om het wachtwoord bij andere online diensten aan te passen als dezelfde combinatie van e-mailadres en wachtwoord wordt gebruikt als bij het BAS-account.”

Onderzoeker Wouter van Dongen die het lek ontdekte en meldde stelt dat de website een zwak algoritme voor het hashen van wachtwoorden gebruikte dat eenvoudig te kraken is. Schiphol heeft de website inmiddels “vanwege technische reden” offline gehaald en maakt excuses aan getroffen gebruikers.

https://www.security.nl/posting/629153/Schiphol+meldt+datalek+bij+Autoriteit+Persoonsgegevens?channel=rss

doorSecuratis

Nginx-webservers door ernstig PHP7-lek over te nemen

Webservers die op Nginx draaien kunnen door een ernstig beveiligingslek in PHP7 dat afgelopen donderdag werd gepatcht op afstand worden overgenomen en inmiddels zou de kwetsbaarheid actief worden aangevallen. Het lek bevindt zich in PHP-FPM, de FastCGI Process Manager (FPM) voor PHP.

Via FastCGI kan de browser gegevens van de webserver opvragen. De kwetsbaarheid (CVE-2019-11043) die afgelopen donderdag werd gepatcht maakt het in bepaalde gevallen voor een remote aanvaller mogelijk om willekeurige code op de webserver uit te voeren. De aanval is alleen mogelijk als er aan vier voorwaarden wordt voldaan, zo meldt securitybedrijf Tenable. Het gaat dan om gebruikte parameters en configuratieopties.

Nextcloud, opensourcesoftware voor online bestandsopslag, blijkt deze configuratie standaard te gebruiken. Next-cloudgebruikers krijgen dan ook het advies om hun PHP-versie te updaten en Nginx-configuratie aan te passen. De kwetsbaarheid is verholpen in PHP 7.3.11 en 7.2.24. Een proof-of-concept-exploit is inmiddels online verschenen en volgens securitybedrijf Bad Packets wordt de kwetsbaarheid actief aangevallen, zo laat het tegenover ZDnet weten.

https://www.security.nl/posting/629148/Nginx-webservers+door+ernstig+PHP7-lek+over+te+nemen?channel=rss