Deprecated: class-phpmailer.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/PHPMailer.php. The PHPMailer class has been moved to wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Deprecated: class-smtp.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/SMTP.php. The SMTP class has been moved to the wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 juni 2020 – Securatis

Maandelijks archief juni 2020

doorSecuratis

Firefox 78 toont overzicht van datalekken en trackers in Protections Dashboard

Door Advanced Encryption Standard: Vijf jaar geleden waarschuwde EFF voor de mogelijkheid dat de National Security Agency (NSA) in staat was grote hoeveelheden HTTPS, SSH en VPN verbindingen te ontsleutelen, door gebruik te maken van een aanval op de implementaties van Diffie-Hellman Key exchange algorithm met 1024-bit primes.

Het is iets genuanceerder dan dat, het ging namelijk over een (of enkele) specifieke getallen/groepen. Daar komt bij dat voor de meeste verbindingen je waarschijnlijk ECDHE zal gebruiken omdat dit sneller is, waarvoor de genoemde aanval (https://weakdh.org/) in de praktijk lastig te misbruiken zal zijn. Het blijft iets waar aandacht voor nodig is, maar dan vooral op al die ooit ingestelde IPSEC tunnels waar nooit meer naar omgekeken wordt. (En voor de volledigheid: mocht je echt geen ECDHE kunnen gebruiken, gebruik dan een van de groepen uit RFC7919)

Ook vandaag heb ik gemerkt dat de laatste Tor-browser die ik heb (versie 9.5) de oude waarden nog steeds heeft en dan moet de gebruiker erop dubbelklikken om alles op FALSE te zetten.

Dat is sterk af te raden, de lijst met ondersteunde ciphers is namelijk zichtbaar bij het opzetten van de verbinding en daarmee te fingerprinten. Als jij als enige deze aanpassing maakt, is daarmee in een oogopslag te zien (voor inlichtendiensten, ISP’s, exit nodes, etc.) dat het om jou verkeer gaat. Pas in de tor browser dus geen instellingen aan die je fingerprint veranderen.https://www.security.nl/posting/663005/Firefox+78+toont+overzicht+van+datalekken+en+trackers+in+Protections+Dashboard?channel=rss

doorSecuratis

NCSC adviseert organisaties om geen losgeld bij ransomware te betalen

Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.

Om ransomware te voorkomen wordt een combinatie van technische en organisatorische maatregelen aangeraden. Het gaat onder andere om het gebruik van spamfilters, het regelmatig uitvoeren van phishingtests, het trainen van personeel in hoe ze met phishingmails moeten omgaan, het verhogen van de awarenees van het personeel, het tijdig installeren van beveiligingsupdates, het beperken van usb-gebruik, het uitschakelen van macro’s in Microsoft Office en het toepassen van applicatiewhitelisting.

In het geval van een succesvolle aanval zijn de herstelmaatregelen afhankelijk van de omvang van de infectie. In het geval van een beperkte infectie kan worden volstaan om het besmette systeem uit het netwerk te halen en indien nodig opnieuw te installeren. Bij een netwerkbrede infectie wordt aangeraden om het netwerk van de buitenwereld af te sluiten en experts in te schakelen.

Daarnaast wordt geadviseerd om de infectie bij de politie te melden. Ook moeten organisaties nagaan of ze verplicht zijn de besmetting te melden, bijvoorbeeld bij het NCSC, een toezichthouder, een opdrachtgever of bij een andere instantie.

Niet betalen

Bij een succesvolle ransomware-aanval komen organisaties ook voor de vraag te staan of ze het losgeld gaan betalen of niet. Het NCSC raadt dit af, voornamelijk omdat er geen garantie is dat dit het probleem oplost. “De kans is groot dat er bij de ontsleuteling tal van problemen opduiken. De decryptor die door de cybercriminelen wordt geleverd, heeft vaak veel minder aandacht gekregen dan de versleutelingsoftware. Hierdoor zijn de gegevens in het slechtste geval niet meer te herstellen”, aldus de overheidsinstantie.

Daarnaast moedigt het betalen van het losgeld criminelen aan om met hun aanvallen door te gaan. “Met als gevolg meer infecties, meer slachtoffers en meer schade voor de samenleving”, merkt het NCSC op. De organisatie is ook bekend met slachtoffers die het gevraagde losgeld betaalden, waarna er een hoger bedrag van hen werd geëist. Sommige slachtoffers werden na enige tijd opnieuw door dezelfde ransomware getroffen.

https://www.security.nl/posting/662997/NCSC+adviseert+organisaties+om+geen+losgeld+bij+ransomware+te+betalen?channel=rss

doorSecuratis

India verbiedt 59 apps waaronder TikTok en WeChat wegens nationale veiligheid

De Indiase overheid heeft vandaag wegens de nationale veiligheid 59 mobiele apps verboden, waaronder TikTok, WeChat, UC Browser en Clash of Kings. Alle verboden apps zijn afkomstig van Chinese ontwikkelaars. In een verklaring stelt de Indiase overheid dat de apps zich bezighouden met activiteiten die schadelijk zijn voor de soevereiniteit, integriteit, verdediging en veiligheid van India, alsmede de openbare orde.

Het verbod volgt op een confrontatie aan de grens tussen India en China waarbij twee weken geleden twintig Indiase militairen om het leven kwamen. In de verklaring van het Indiase ministerie van IT wordt daar niet over gesproken. Volgens de Indiase overheid heeft het meerdere klachten ontvangen over apps die gegevens van gebruikers zouden stelen en versturen naar servers buiten India.

Het verzamelen en gebruiken van deze gegevens door “vijandige elementen” wordt een bedreiging voor India genoemd en vereist deze noodmaatregel, zo laat de verklaring verder weten. Daarin valt ook te lezen dat er zorgen onder burgers zijn over de privacygevolgen van de apps. “Er is een sterke roep vanuit het publiek om actie te ondernemen tegen apps die de soevereiniteit van India en de privacy van onze burgers schaden”, aldus het ministerie. Hoelang het verbod gaat duren is nog onbekend.

https://www.security.nl/posting/662912/India+verbiedt+59+apps+waaronder+TikTok+en+WeChat+wegens+nationale+veiligheid?channel=rss

doorSecuratis

Singapore voorziet ouderen van bluetooth-token voor contactonderzoek

Singapore is begonnen met het uitdelen van bluetooth-tokens aan ouderen voor contactonderzoek naar corona. Het TraceTogether Token, vernoemd naar de gelijknamige corona-app, is bedoeld voor mensen die niet over een smartphone beschikken of geen corona-app op hun telefoon willen installeren, zo laat de Singaporese overheid weten (pdf).

Elke TraceTogether Token is voorzien van een gepersonaliseerde qr-code. Het apparaatje werkt via bluetooth en registreert de signalen van andere TraceTogether Tokens en mensen die op hun smartphone de TraceTogether-app draaien. Gegevens over tegengekomen personen worden voor een periode van 25 dagen versleuteld op de token opgeslagen.

Het apparaatje is niet in staat om gebruikers te waarschuwen wanneer ze in contact zijn gekomen met een besmet persoon. Dit zal worden gedaan door medewerkers van het Singaporese ministerie van Gezondheid. Gebruikers moeten de opgeslagen contactdata laten uitlezen wanneer een corona-infectie bij hen is vastgesteld. Op deze manier kan de overheid contacten opsporen en hen waarschuwen. De batterij van het apparaat gaat zes tot negen maanden mee en hoeft niet te worden opgeladen. Het token slaat verder geen gps-gegevens op en beschikt ook niet over een dataverbinding.

De TraceTogether-app voor smartphones is inmiddels door zo’n 2,1 miljoen mensen gedownload. Volgens de Singaporese overheid is dit niet voldoende. Zo kunnen kinderen en ouderen die niet over een smartphone beschikken er geen gebruik van maken. Daarnaast werkt de app niet goed op iPhones. Met het TraceTogether Token moet een grotere doelgroep worden bereikt.

Image

https://www.security.nl/posting/662892/Singapore+voorziet+ouderen+van+bluetooth-token+voor+contactonderzoek?channel=rss

doorSecuratis

Thunderbird waarschuwt OpenPGP-gebruikers voor handmatige upgrade naar versie 78.0

E-mailclient Thunderbird heeft gebruikers die van OpenPGP gebruikmaken gewaarschuwd om straks niet handmatig naar versie 78.0 te upgraden, omdat dit voor problemen kan zorgen. Thunderbird ondersteunt al jaren de mogelijkheid om versleutelde e-mails te versturen via de S/MIME (Secure/Multipurpose Internet Mail Extensions) encryptiestandaard en zal dit ook blijven doen.

Via de Enigmail-extensie is het mogelijk om Thunderbird met OpenPGP te gebruiken, volgens de ontwikkelaars de meestgebruikte encryptiestandaard ter wereld. Met de lancering van Thunderbird 78 zal er een verandering plaatsvinden in het type add-ons dat de e-mailclient ondersteunt. Thunderbird 68.x zal de laatste versie zijn die in combinatie met de Enigmail-extensie is te gebruiken. Thunderbird 68.x wordt tot de herfst van dit jaar met beveiligingsupdates ondersteund.

In plaats van een losse extensie te gebruiken was het plan om Thunderbird 78 van ingebouwde OpenPGP-support te voorzien. Gebruikers zouden dan zonder de installatie van een extensie hun e-mails via OpenPGP kunnen versleutelen. Daarnaast zou deze nieuwe Thunderbird-versie Enigmail-gebruikers helpen met het migreren van bestaande sleutels en instellingen.

Thunderbird is nu begonnen met het tonen van een waarschuwing waarin OpenPGP-gebruikers wordt aangeraden om niet handmatig naar Thunderbird 78.0 te upgraden als deze versie straks beschikbaar komt. De geplande OpenPGP-support is namelijk nog niet af. Dit staat nu voor de release van Thunderbird 78.2 gepland. In Thunderbird 78.0 is de OpenPGP-ondersteuning experimenteel en staat standaard uitgeschakeld.

Gebruikers voor wie de veiligheid van OpenPGP-berichten belangrijk is wordt dan ook aangeraden om tot de automatische upgrade naar Thunderbird 78.2 te wachten. Wanneer deze versie verschijnt is nog niet bekend. Wel verscheen vorige week de derde testversie van Thunderbird 78.

Image

https://www.security.nl/posting/662795/Thunderbird+waarschuwt+OpenPGP-gebruikers+voor+handmatige+upgrade+naar+versie+78_0?channel=rss

doorSecuratis

Chrome gaat tls-certificaten weigeren die langer dan 398 dagen geldig zijn

Google Chrome gaat later dit jaar tls-certificaten weigeren die langer dan 398 dagen geldig zijn. Dat blijkt uit aanpassingen aan de browsercode. De nieuwe situatie gaat in op 1 september. Alle certificaten die vanaf die datum worden uitgegeven moeten een maximale levensduur van 398 dagen hebben. Wanneer certificaten over een langere levensduur beschikken zal Chrome die weigeren.

Vorig jaar augustus pleitte Google er al voor om de levensduur in te korten naar dertien maanden. Het techbedrijf kreeg steun van Apple en certificaatuitgever Let’s Encrypt. Volgens Google heeft het verkorten van de levensduur allerlei veiligheidsvoordelen. In het geval van problemen met uitgegeven certificaten zullen die namelijk veel sneller verlopen dan nu het geval is. Daarnaast zorgt de huidige lange levensduur van certificaten ervoor dat gebruikers vergeten hoe of wanneer ze die moeten vervangen.

Google stelde vorig jaar voor dat browsers vanaf maart dit jaar de kortere levensduur van certificaten zouden kunnen gaan handhaven. Tijdens een bijeenkomst van het CA/Browser Forum in september werd erover het voorstel gestemd. Het CA/Browser Forum is een consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties dat zich bezighoudt met het opstellen van regels voor certificaten en certificaatautoriteiten.

Apple, Cisco, Google, Microsoft, Mozilla, Opera en internetbedrijf 360 waren voorstander, alsmede verschillende certificaatuitgevers, waaronder Amazon, Let’s Encrypt en de Nederlandse overheidsinstantie Logius, verantwoordelijk voor PKIoverheid. Negentien certificaatuitgevers waren echter tegen en twee onthielden zich van stemming. Daardoor werd het voorstel niet aangenomen. In februari werd bekend dat Apple eenzijdig vanaf 1 september voor nieuw uitgegeven certificaten een maximale levensduur van 398 dagen gaat hanteren.

Vervolgens liet Google in maart weten dat de levensduur van certificaten in de “nabije toekomst” naar één jaar zou worden teruggebracht. In het geval Chrome- of Safari-gebruikers straks een website bezoeken die een versleutelde verbinding aanbiedt via een tls-certificaat dat op of na 1 september is uitgegeven, en langer dan 398 dagen geldig is, zullen de browsers een certificaatwaarschuwing laten zien. Of Microsoft en Mozilla nu ook deze termijn gaan hanteren is nog onbekend.

https://www.security.nl/posting/662787/Chrome+gaat+tls-certificaten+weigeren+die+langer+dan+398+dagen+geldig+zijn?channel=rss

doorSecuratis

Kopstuk Nederlandse phishingbende veroordeeld tot drie jaar cel

Het kopstuk van een Nederlandse phishingbende, die bij één van de grootste banken in Nederland werkte, is gisteren veroordeeld tot een gevangenisstraf van drie jaar, waarvan een jaar voorwaardelijk. Het Openbaar Ministerie had vier jaar cel geëist, waarvan één voorwaardelijk. De bende waar de man deel uitmaakte wist via phishingaanvallen meer dan één miljoen euro te stelen. Eén van de slachtoffers was een Zeeuws bedrijf dat voor 215.000 euro werd bestolen.

De bende verstuurde phishingmails waarin werd gesteld dat de ontvanger een nieuwe pinpas moest aanvragen. Dit kon via een website waar de e-mail naar linkte. In werkelijkheid ging het om een phishingsite. Met de gegevens die slachtoffers op de phishingpagina invoerden werden nieuwe pinpassen aangevraagd. Bendeleden wisten de nieuwe pinpassen vervolgens uit de brievenbussen van hun slachtoffers te hengelen.

Met de gestolen pinpassen werden allerlei goederen besteld en geld naar katvangers overgemaakt. De twee hoofdverdachten werden eind 2017 aangehouden en vorig jaar veroordeeld tot gevangenisstraffen van vijf jaar. Volgens het Openbaar Ministerie speelde de 30-jarige Amsterdammer ook een belangrijke rol in deze zaak. Op camerabeelden is te zien hoe hij met gestolen pinpassen allerlei goederen aanschaft.

“Zoals alle hoofdverdachten uit deze bende hield deze man er ook een luxe levensstijl op na. Horloges, tassen, broeken, schoenen, zonnebrillen en andere items van luxe merken, die eerder bij de Zuid-Europese jetset horen, dan bij een ‘gewone’ jongen uit een volkswijk in Amsterdam”, zo laat de politie weten. “Het kan blijkbaar allemaal in de wereld van phishingbendes.”

De politie laat weten dat de verdachte zijn positie binnen één van de grootste banken van Nederland gebruikte als bron en tevens afscherming voor zijn criminele activiteiten. Tijdens het politieonderzoek, waarbij er werd samengewerkt met de betreffende bank, liep het contract van de verdachte af. De verdachte werd vervolgens door een ‘insider’ op listige wijze door de sollicitatieprocedure geloosd en binnengehaald op de fraudeafdeling van een internationaal zeer bekende kledingfabrikant, zo stelt de politie. Ook met dit bedrijf werkte de politie samen in het onderzoek naar de verdachte.

De rechter liet weten dat de mate van organisatie en coördinatie waarmee de fraude werd gepleegd “gewone” fraudezaken overschrijdt. Daarbij hekelde de rechter ook dat de verdachte het achterste van zijn tong niet heeft laten zien. “De BlackBerry, van waaruit de server met malware werd aangestuurd, is immers op slot gebleven. Het vermoeden is dan ook dat ook hier de werkelijke schade (vele malen) groter is dan dat naar voren is gekomen in het dossier”, zo staat in het vonnis vermeld.

https://www.security.nl/posting/662657/Kopstuk+Nederlandse+phishingbende+veroordeeld+tot+drie+jaar+cel?channel=rss

doorSecuratis

Kabinet wil updateplicht voor verkopers van “slimme apparaten”

Ik weet niet, hoor, maar leest iedereen nu echt over deze zinsnede heen?

Het kabinet wil dat verkopers van “slimme apparaten”, zoals camera’s, babyfoons en digitale horloges, worden verplicht om de apparatuur die ze verkopen enige tijd van software- en beveiligingsupdates te voorzien.

Het lijkt mij dan toch echt dat de verantwoordelijkheid (voor de zoveelste keer) op een verkeerd niveau wordt gelegd. Het is imho toch echt de fabrikant die daarin moet voorzien. En daar schort het vaak aan, net zoals bij ondersteuning van zulke apparaten of diensten.

Nog eentje:

Hetzelfde geldt voor de aanschaf van bijvoorbeeld games of applicaties, maar ook voor streamingdiensten.

. Ik krijg hierbij het idee dat bestuurders nul bekendheid hebben met hoe vandaag de dag productie, verkoop en ondersteuning van producten precies werkt.

Net zoals deze:

Wetsvoorstel verzekert consument van juiste ondersteuning

Ik kan me niet voorstellen dat bedrijven zoals Mediamarkt, Bol.com, Coolblue, BCC hier blij van worden. Die gaan al heel vlug zulke dingen uit hun schappen donderen want teveel gevaren om de vingers te branden…

Leuke wet, goed bedoeld ook maar of het uitvoerbaar en controleerbaar is betwijfel ik…

https://www.security.nl/posting/662656/Kabinet+wil+updateplicht+voor+verkopers+van+%22slimme+apparaten%22?channel=rss

doorSecuratis

Sterke stijging van aantal phishingwebsites in .nl-zone

Er zijn ook nog wat andere factoren debet aan deze toename.

1. Er is er de gigantisch doorgeschoten volledige commercialisering door Big Tech, gedoogd door ermee “hand in glove” opererende Big Surveillance Imperia (USA, Europa, Mainland China en overige BRICS landen)

2. Dan heeft zeker het verschijnen van gratis certificering een grote blokkering voor cybercriminelen en malcreanten weggenomen.

3. Daarna is het ook nog zo: “It takes two to tango”. Dus onvoldoende beveiligde websites gaan hand in hand met onvoldoende beveiligde en laks opererende hosters en diensten (bijv. cloudddiensten).

4. Verder is er de verwerpelijke invloed van doorgezette uitbating via sedo-parking voor websites, die door de eigenaar zijn opgeheven. Websites die nog geld moeten opleveren na hun “normale overlijden”.

5. Dan is er nog het gedogen van schimmige partijtjes op bijvoorbeeld de Virgin Islands, die hosting door scammers, phishers e.d. faciliteren via een anonimiseringsdienst. Kijk op reputatie-scan-sites.

6. Ten slotte het slechte en onvoldoende handhavingsbeleid (neerhalen, sinkholen). Er worden geen minimumeisen aan veiligheid gesteld voor websites, eigenaren van websites, website admins en hosters e.d. met eventueel bij potentieel en werkelijk gevaar voor de eindgebruikers of bezoekers van die sites echt hoge boetes. Als men echt cybercrime wil verdrijven moet dat lukken. Ze kunnen immer ook bij al de data van de ter goeder trouw opererenden, dus warrom ook niet andersom?

Conclusie
Mijn insteek is dat de Big Data Waterhandel partijen geen echte ingrepen en beveiligingsinhaalslag op de infrastuctuur willen en daardoor is er inmiddels erg weinig fundamenteel veranderd.
De eindgebruiker wordt gepaaid met gratis diensten voor zijn of haar data en die speelt onbewust het spel als product mee.

Jammer. Het is niet anders.

luntrus

https://www.security.nl/posting/662567/Sterke+stijging+van+aantal+phishingwebsites+in+_nl-zone?channel=rss

doorSecuratis

Britten sturen in twee maanden tijd 1 miljoen verdachte e-mails door naar overheid

Britse internetgebruikers hebben in twee maanden tijd 1 miljoen verdachte e-mails doorgestuurd naar de overheid. Eind april lanceerde het National Cyber Security Centre (NCSC) van de Britse overheid de Suspicious Email Reporting Service (SERS). Wie een verdachte e-mail ontvangt kan het bericht naar deze dienst doorsturen. Iets wat Britten massaal deden.

Sinds 21 april ontving de dienst 1 miljoen verdachte e-mails, wat neerkomt op ruim 16.000 berichten per dag. Dankzij de doorgestuurde e-mails kon het NCSC meer dan tienduizend malafide links laten blokkeren. Die linkten naar zo’n 3500 websites. Het grootste deel van de doorgestuurde scams gaat over zogenaamde crypto-investeringen. Volgens de autoriteiten zijn via de dienst veel gevallen van fraude voorkomen.

https://www.security.nl/posting/662565/Britten+sturen+in+twee+maanden+tijd+1+miljoen+verdachte+e-mails+door+naar+overheid?channel=rss