Maandelijks archief januari 2020

doorSecuratis

Apple weigert iPhones van verdachte te ontgrendelen

Apple weigert om twee iPhones te ontgrendelen van de man die wordt verdacht van de schietpartij op een Amerikaanse marinebasis, waarbij drie mensen en hij zelf om het leven kwamen. De schietpartij op de basis in Pensacola vond begin december plaats.

Dat hebben de Amerikaanse minister van Justitie William Barr en David Bowdich, adjunct-directeur van de FBI, tijdens een persconferentie laten weten. Eerder stuurde de FBI al een brief naar Apple waarin het techbedrijf werd gevraagd om te helpen bij het ontgrendelen van de toestellen, aangezien het de opsporingsdienst niet lukte om toegang te krijgen. Apple heeft geen gehoor aan het verzoek gegeven, stelde Barr.

“We hebben Apple om hulp gevraagd bij het ontgrendelen van de iPhones van de schutter. Tot nu toe heeft Apple ons niet echt geholpen.” De justitieminister merkte op dat deze situatie duidelijk maakt waarom het belangrijk is dat onderzoekers toegang tot digitaal bewijs kunnen krijgen zodra ze een gerechtelijk bevel hebben gekregen. “We roepen Apple en andere techbedrijven op om een oplossing te vinden zodat we de levens van Amerikanen beter kunnen beschermen en toekomstige aanvallen kunnen voorkomen”, besloot Barr zijn deel van de persconferentie.

“Zelfs met een gerechtelijk bevel hebben we in dit onderzoek de inhoud van de twee telefoons, en talloze toestellen in andere onderzoeken, niet kunnen benaderen”, ging Bowdich verder. Volgens de de adjunct-directeur van de FBI probeert de opsporingsdienst niet om encryptie te verzwakken. “We willen samenwerken met bedrijven, zodat we rechtmatig het bewijs en de informatie kunnen benaderen die we nodig hebben om ons land te beschermen”, aldus Bowdich. Die liet verder weten dat de FBI in het onderzoek inmiddels 42 terabyte aan digitale media heeft verzameld en dat deze gegevens nu worden onderzocht.

https://www.security.nl/posting/639186/Apple+weigert+iPhones+van+verdachte+te+ontgrendelen?channel=rss

doorSecuratis

CISA publiceert tool die scant of Citrix-servers kwetsbaar zijn

Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid, dat eerder nog bekend stond als US-CERT, heeft een tool uitgebracht waarmee organisaties kunnen testen of er binnen hun netwerk kwetsbare Citrix-servers worden gebruikt.

Een kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway, die respectievelijk bekend stonden als de NetScaler ADC en NetScaler Gateway, maakt het mogelijk voor aanvallers om het systeem volledig over te nemen en mogelijk het achterliggende netwerk aan te vallen. De kwetsbaarheid werd vorige maand door Citrix bekendgemaakt, maar een update is nog altijd niet beschikbaar. Wel heeft het bedrijf mitigatiemaatregelen gepubliceerd.

Desondanks vonden onderzoekers wereldwijd meer dan 25.000 kwetsbare Citrix-servers die vanaf het internet toegankelijk zijn, waaronder 713 in Nederland. Inmiddels zijn er exploits online verschenen die misbruik van de kwetsbaarheid maken en wordt er actief door aanvallers naar kwetsbare servers gezocht. Het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid riep organisaties op om maatregelen te nemen.

Via de tool van het CISA kunnen organisaties controleren of ze risico lopen. Een vereiste is wel de aanwezigheid van Python. Naar verwachting zal Citrix volgende week met een beveiligingsupdate komen. Volgens beveiligingsonderzoeker Florian Roth kunnen organisaties die de mitigatiemaatregelen niet voor het uitkomen van de exploit hebben doorgevoerd eigenlijk hun Citrix-systemen niet meer vertrouwen.

Image

https://www.security.nl/posting/639180/CISA+publiceert+tool+die+scant+of+Citrix-servers+kwetsbaar+zijn?channel=rss

doorSecuratis

Ceo-fraude kost Amerikaans schooldistrict 2,3 miljoen dollar

Een variant van ceo-fraude heeft een Amerikaans schooldistrict 2,3 miljoen dollar gekost, zo heeft het Manor Independent School District via Twitter bekendgemaakt. Oplichters verstuurden naar verschillende personen in het schooldistrict een factuur die van een leverancier afkomstig leek.

De betaalgegevens waren echter aangepast. Eén van de medewerkers reageerde op de e-mail en maakte via drie verschillende transacties zo’n 2,3 miljoen dollar naar de oplichters over. Volgens onderzoekers had de persoon in kwestie niet door dat de rekeninggegevens waren gewijzigd, zo meldt de Amerikaanse televisiezender KSAT. Vorig jaar werd een ander Amerikaans schooldistrict nog via deze vorm van ceo-fraude voor 600.000 dollar opgelicht. Oplichters deden zich toen voor als de aannemer die een sportveld aanlegde en verstuurden ook een valse factuur.

Image

https://www.security.nl/posting/639045/Ceo-fraude+kost+Amerikaans+schooldistrict+2%2C3+miljoen+dollar?channel=rss

doorSecuratis

Sim-swappers krijgen via RDP toegang tot systemen providers

Criminelen die zich met sim-swapping bezighouden weten via RDP-software toegang tot de systemen van Amerikaanse telecomproviders te krijgen, zo melden beveiligingsonderzoeker Nicholas Ceraolo en Vice Magazine op basis van bronnen. Telecomproviders bevestigen de gebruikte methode.

Traditioneel belden oplichters bij sim-swapping de provider van het slachtoffer op en overtuigden een medewerker om het mobiele nummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichters. Zodoende kan de oplichter toegang tot allerlei accounts van het slachtoffer krijgen. Bijvoorbeeld door het aanvragen van wachtwoordresets of het opvragen van authenticatiecodes.

Het komt ook voor dat het personeel van de telecomprovider in opdracht van criminelen het sim-swappen faciliteert. Sim-swappers hebben nu echter een nieuwe manier gevonden waarbij ze direct toegang weten te krijgen tot de systemen van de telecombedrijven waarmee de telefoonnummers zijn over te zetten.

Medewerkers van de telecombedrijven worden door sim-swappers misleid om RDP-tools op hun systemen te installeren of die te activeren wanneer het systeem hier al over beschikt. Via RDP kunnen de sim-swappers vervolgens van afstand op de systemen van de provider inloggen en daar de gewenste nummers naar een andere simkaart overzetten. In sommige gevallen weten de criminelen de RDP-inloggegevens van de medewerkers te ontfutselen.

“We zijn bekend met deze specifieke tactiek in de industrie en hebben stappen genomen om het te voorkomen”, laat AT&T in een reactie weten. Ook telecomprovider Sprint zegt met de tactiek bekend te zijn, maar wil niet vertellen wat het doet om dergelijk misbruik te voorkomen. De Amerikaanse senator Ron Wyden heeft de toezichthouder FCC vorige week opgeroepen dat het providers moet dwingen om klanten tegen sim-swapping te beschermen (pdf).

https://www.security.nl/posting/639037/Sim-swappers+krijgen+via+RDP+toegang+tot+systemen+providers?channel=rss

doorSecuratis

Facebook Messenger krijgt pas over jaren end-to-endencryptie

Ik gebruik geen van beide, of geen van 3 van facebooks multimedia-communicatie-platforms (qua instagram, messenger, whatsapp), maaaaaar,

Bij whatsapp was het er ineens , zomaar , zonder zo’n voor-aankondiging, en d’r hebben volgens mij geen jaren tussen gezeten sinds dat mark whatsapp van de originele makers had overgenomen en er e2ee aan had toegevoegd.

Dan mijn vraag ( Ohh?-momentje) , Waarom is de toevoeging van e2ee in whatsapp sneller en zonder deze poeha-gehalte toegevoegd en lijkt het alsof ze nu het(/dit) wiel weer opnieuw moeten uitvinden voor de messenger-app?

Als ik mark zie , denk ik vaak dat hij in een verkeerd leven is beland. De onzekerheid die op z’n gezicht staat, of mss is het geen onzekerheid, maar onderdrukking die op z’ n gezicht staat af te lezen…., iets klopt er niet in z’n doen en laten; kan ook zijn dat ie geen mediatraining heeft genoten en dat de natuurlijke meme is tov politici die allemaal wel zo’n mediatraining ondergaan om te trainen op pokerfaces om het publiek blind te maken hoe je dr werkelijk over denkt.
‘ Dat gezicht ‘ van mark toont geen ballen, alsof hij een marionet is, gestuurd om het gezicht te zijn voor fb.
Doordat hij voor mij zo on-echt overkomt, heb ik totaal geen vertrouwen in wat hij uitbraakt. Niet alleen vanwege de onechtheid, maar ook hoe hij zich voordoet tijdens/na het CA gebeuren waar dat hij doet voorkomen dat hij niet geheel op de hoogte was…. wat volgens mij BS is.

Mocht er wel een backdoor in worden gebouwd, of er dus al inzitten, by WA, zal dat dan naar buiten komen?
Nee, natuurlijk niet want afgezwakte/zwakke encryptie of encryptie met een backdoor, is geen encryptie, maar een wassen neus.

https://www.security.nl/posting/638893/Facebook+Messenger+krijgt+pas+over+jaren+end-to-endencryptie?channel=rss

doorSecuratis

VS waarschuwt voor aanvallen op Pulse Secure vpn-servers

De Amerikaanse overheid heeft een waarschuwing afgegeven voor aanvallen op ongepatchte Pulse Secure vpn-servers. Aanvallers maken gebruik van een beveiligingslek waar vorig jaar april een beveiligingsupdate voor verscheen. Ondanks de beschikbaarheid van een update blijft het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid grootschalig misbruik van de kwetsbaarheid zien.

Geldwisselaar GWK Travelex is mogelijk door ongepatchte Pulse Secure vpn-servers met ransomware besmet geraakt. Het bedrijf werd op 31 december door ransomware getroffen. Onderzoekers ontdekten dat de geldwisselaar meerdere ongepatchte Pulse Secure vpn-servers in het netwerk had staan en hierover was gewaarschuwd, maar geen actie had ondernomen. Het CISA verwacht dat aanvallers ongepatchte vpn-servers zullen blijven aanvallen en roept systeembeheerders dan ook op om de kwetsbaarheid te patchen.

https://www.security.nl/posting/638890/VS+waarschuwt+voor+aanvallen+op+Pulse+Secure+vpn-servers?channel=rss

doorSecuratis

Cel voor inloggen op loterij-accounts met hergebruikte wachtwoorden

Een 29-jarige Britse man is veroordeeld tot een gevangenisstraf van negen maanden wegens het inloggen op spelersaccounts van de Britse National Lottery. Via een verzameling van wachtwoorden die bij andere websites waren gelekt wist de man toegang tot accounts te krijgen. In november 2016 maakte de National Lottery zelf bekend dat ruim 26.000 accounts via hergebruikte wachtwoorden waren benaderd.

Bij minder dan vijftig accounts werden persoonlijke gegevens gewijzigd, aldus de loterij. Het Britse National Crime Agency meldt dat de man inloggegevens van één gebruiker deelde met een andere persoon, die vervolgens 13 pond van het betreffende pond stal en 5 pond naar de Brit overmaakte. De man werd in mei 2017 aangehouden. Hij ontkende achter de aanvallen te zitten en stelde dat zijn computer was gekloond of gehackt. Op zijn computer vonden agenten informatie over de aanval en een gesprek over het stelen van 13 pond.

https://www.security.nl/posting/638828/Cel+voor+inloggen+op+loterij-accounts+met+hergebruikte+wachtwoorden?channel=rss

doorSecuratis

Onderzoekers vinden lek in kabelmodems met Broadcom-chip

Onderzoekers hebben in kabelmodems met een Broadcom-chip een kwetsbaarheid ontdekt waardoor de apparaten op afstand over zijn te nemen als gebruikers een kwaadaardige website bezoeken of besmette advertentie te zien krijgen. De onderzoekers van het Deense securitybedrijf Lyrebirds schatten dat alleen in Europa tweehonderd miljoen kabelmodems kwetsbaar zijn of waren. Het gaat onder andere om apparaten van Netgear, Sagemcom, Technicolor en Compal.

Het werkelijke aantal is volgens de onderzoekers lastig vast te stellen. Dit komt doordat de kwetsbaarheid in de referentiesoftware aanwezig is, die weer door verschillende kabelmodemfabrikanten is gekopieerd bij het ontwikkelen van hun kabelmodemfirmware. De aanval is mogelijk door een combinatie van factoren. Zo zijn de modems niet beschermd tegen dns rebinding-aanvallen, maken ze gebruik van standaard inloggegevens en is er een kwetsbaarheid in de spectrum analyzer aanwezig. Dit is software waarmee de kabelmodem verbindingsproblemen kan vaststellen.

De kwetsbaarheid in de software is normaliter alleen toegankelijk vanaf het lokale netwerk. Via dns rebinding is het echter mogelijk voor een remote aanvaller om via de browser van de gebruiker bij lokale ip-adressen te komen en zo misbruik van het beveiligingslek in de software te maken. Sommige van de kwetsbare modems vereisen autorisatie voordat een aanvaller toegang kan krijgen. Alle geteste modems blijken standaard inloggegevens te accepteren.

Zodoende kan een aanvaller alsnog op het kabelmodem inloggen en de instellingen aanpassen en andere aanvallen uitvoeren. Het gaat dan bijvoorbeeld om het wijzigen van de standaard dns-server, het uitvoeren van man-in-the-middle-aanvallen, het aanpassen van de firmware en wijzigen van andere instellingen.

Een voorwaarde voor het uitvoeren van de aanval is wel dat de aanvaller erin slaagt om zijn kwaadaardige JavaScriptcode in de browser van het doelwit uit te voeren. Dit kan wanneer het doelwit een kwaadaardige website bezoekt of besmette advertentie te zien krijgt. Via de website Cablehaunt.com, zoals de kwetsbaarheid wordt genoemd, geven de onderzoekers meer details over het beveiligingslek.

Image

https://www.security.nl/posting/638817/Onderzoekers+vinden+lek+in+kabelmodems+met+Broadcom-chip?channel=rss

doorSecuratis

Firefox wil CRLite inzetten voor controle ingetrokken certificaten

Sinds december maakt een vroege testversie van Firefox gebruik van CRLite waarmee ingetrokken tls-certificaten zijn te controleren. CRLite is een technologie die informatie over ingetrokken certificaten zo effectief weet te comprimeren dat 300 megabytes aan zogeheten “revocation data” 1 megabyte wordt.

Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om de website te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser worden gecommuniceerd.

Dit kan via Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP). Het probleem met CRLs is dat ze vrij snel heel groot werden en vooral irrelevante data bevatten, waardoor browser besloten om ze niet te downloaden. Daarnaast was het OCSP volgens Mozilla onbetrouwbaar. Wanneer het niet werkte gingen browsers ervan uit dat het certificaat nog steeds geldig was. Een aanvaller tussen de gebruiker en het internet kan bijvoorbeeld het OCSP-verzoek van Firefox blokkeren.

Mozilla zoekt dan ook naar een alternatief voor OCSP en CRLite kan dat mogelijk gaan bieden. Het kan namelijk alle informatie over ingetrokken certificaten op een snelle, compacte en effectieve manier naar gebruikers sturen. Op dit moment gebruikt Firefox Nightly, een vroege testversie van de browser, CRLite alleen voor telemetriedoeleinden. Gebruikers kunnen de technologie echter instellen zodat voor bepaalde websites de certificaatcontrole via CRLite plaatsvindt. Het is op dit moment nog niet mogelijk om OCSP uit te schakelen, maar daar zal Mozilla later meer informatie over geven.

https://www.security.nl/posting/638743/Firefox+wil+CRLite+inzetten+voor+controle+ingetrokken+certificaten?channel=rss

doorSecuratis

Gegevens 8000 Amerikanen uit Obamacare-database gestolen

Een Amerikaanse man heeft bekend dat hij de gegevens van 8000 Amerikanen uit de database van HealthCare.gov heeft gestolen. Dit is de website van de Affordable Care Act, beter bekend als Obama’s zorgwet Obamacare. De man werkte voor een it-bedrijf dat centra ondersteunt waar mensen zich voor de zorgverzekering kunnen aanmelden.

Verschillende keren zocht de man gegevens in de database op en kopieerde die. Het ging om de persoonlijke gegevens van meer dan achtduizend individuen. De Amerikaan maakte gebruik van “bulkzoekopdrachten”, zo meldt het Amerikaanse ministerie van Justitie. De gekopieerde data stuurde hij vervolgens naar zijn werkmail. Na werktijd logde de man op afstand in op het bedrijfsnetwerk om de e-mail met gegevens op te halen. Van tenminste vijf personen werden de gegevens gebruikt voor het frauduleus aanvragen van creditcards, leningen en kredieten.

De Amerikaan bekende schuldig te zijn aan het opzettelijk benaderen van een beveiligde computer. Daarop staat een maximale gevangenisstraf van vijf jaar en een boete van 250.000 dollar. De rechter zal op 7 april vonnis wijzen.

https://www.security.nl/posting/638737/Gegevens+8000+Amerikanen+uit+Obamacare-database+gestolen?channel=rss