Auteur archief Securatis

doorSecuratis

Keybase-directeur verving al zijn computers na inbraak bij Slack

Minstens honderdduizend mensen, en mogelijk veel meer, werden vier jaar geleden het slachtoffer van een inbraak bij zakelijke berichtendienst Slack. Eén van de slachtoffers was de directeur van Keybase, een berichtenplatform dat gebruikers versleutelde berichten op socialmediaplatformen zoals Facebook en Twitter laat versturen.

Slack liet gisteren weten dat aanvallers vier jaar geleden kwaadaardige code op de website hadden geïnjecteerd waardoor ze inloggegevens van gebruikers in plaintext konden onderscheppen. Bij gebruikers die sindsdien niet hun wachtwoord hadden gewijzigd besloot Slack de wachtwoorden te resetten. Het ging om 1 procent van alle Slack-gebruikers, wat neerkomt op zo’n 100.000 gebruikers.

Van hoeveel mensen de aanvallers de inloggegevens destijds wisten te stelen heeft Slack niet bekendgemaakt. Een onbekend aantal slachtoffers heeft in de tussentijd zijn wachtwoord gewijzigd en is daarom niet in het percentage van Slack meegenomen. Eén van de slachtoffers was Max Krohn, de directeur van Keybase. Hij kreeg begin dit jaar een melding dat er op zijn Slack-account was ingelogd vanaf een Nederlands ip-adres.

Krohn gebruikt naar eigen zeggen voor al zijn accounts unieke en sterke wachtwoorden. Dit zou inhouden dat Slack was gecompromitteerd, zijn wachtwoordmanager of zijn computers. De Keybase-directeur mailde het Slack-securityteam maar kreeg een antwoord terug dat het probleem aan zijn kant lag en hij slordig met zijn security was geweest. Krohn was er zo goed als zeker van dat Slack was gecompromitteerd. “Als directeur van een securitybedrijf kon ik geen enkele risico’s nemen”, merkt hij op.

De dagen na de melding dat er op zijn account was ingelogd resette hij al zijn wachtwoorden, gooide hij al zijn computers weg, kocht hij nieuwe computers, voerde een fabrieksreset van zijn telefoon uit en roteerde al zijn Keybase-apparaten. “Het kostte Keybase en mij veel tijd, geld en stress.” Krohn spendeerde 5.000 dollar aan nieuwe hardware en was zo’n 60 uur aan het incident kwijt. Uiteindelijk bleek hij het toch bij het juiste eind te hebben, aangezien Slack wel was gecompromitteerd.

“Wat nog veel erger was geweest, vele malen erger, was als ons team Slack had gebruikt voor iets anders dan het bespreken van storingen in ons eigen product”, laat Krohn weten. Als er bijvoorbeeld bedrijfsgeheimen of andere vertrouwelijke gegevens waren uitgewisseld had de aanvaller hier toegang toe kunnen krijgen en die vervolgens op elk moment kunnen lekken.

https://www.security.nl/posting/617869/Keybase-directeur+verving+al+zijn+computers+na+inbraak+bij+Slack?channel=rss

doorSecuratis

VVD wil opheldering over impact 5G voor opsporingsdiensten

De voorstanders van 5G zullen zeggen dat er niets aan de hand is met hun stellingen
en dat 5G niet schadelijk is voor de gezondheid
en dat opsporings-diensten gewoon hun gang kunnen gaan.

Nieuwe argumenten creeren om beleid door te kunnen drukken,het rollenspel van de zogenaamde
slachtoffer europol en de overheid de creator,het bedrijfsleven hand in hand samen
met de overheid-instanties spelen elkaar de bal toe
de burger die daar dan tussen zit en mag gissen hoe het nu zit ,houd de burger dom en controleerbaar.

5G word gewoon de standaard,en controle beleid word gewoon doorgedrukt,ze deinsen niet terug voor europol.
overheid en europol samen onder een hoed,dacht je dat europol last heeft van 5G ik dacht het niet.

The Matrix

https://www.security.nl/posting/617847/VVD+wil+opheldering+over+impact+5G+voor+opsporingsdiensten?channel=rss

doorSecuratis

Zoom-lek maakte overnemen van miljoenen Macs mogelijk

Het onlangs verholpen beveiligingslek in de videoconferentiesoftware Zoom was veel erger dan eerst werd aangenomen en maakte het mogelijk om miljoenen Macs zonder interactie van gebruikers met malware te infecteren. Alleen het bezoeken van een kwaadaardige website was voldoende.

Beveiligingsonderzoeker Jonathan Leitschuh ontdekte dat het mogelijk was om gebruikers zonder enige interactie aan een Zoom-gesprek te laten deelnemen, waarbij hun webcam werd ingeschakeld. Daarnaast bleek dat Zoom bij macOS-gebruikers een webserver installeert. Bij het verwijderen van Zoom bleef deze webserver gewoon geïnstalleerd en actief. Via deze achtergebleven webserver was het mogelijk voor websites om zonder interactie van gebruikers de Zoom-software opnieuw te installeren en zou een mogelijkheid kunnen bieden om op afstand willekeurige code uit te voeren.

Die mogelijkheid is bevestigd door onderzoekers van securitybedrijf Assetnote. Via de webserver is het mogelijk om willekeurige code op het systeem uit te voeren. Om te voorkomen dat gebruikers een installatiescherm voor de kwaadaardige applicatie te zien kregen maakten de onderzoekers gebruik van een terminal-profiel waarmee startup-commando’s kunnen worden opgegeven.

Via deze techniek is het mogelijk om commando’s uit te voeren en permissies en gesigneerde code beperkingen te omzeilen. Het probleem is inmiddels verholpen. Zowel Zoom als Apple hebben updates uitgerold die de webserver verwijderen. In onderstaande video wordt de aanval gedemonstreerd.

Image

https://www.security.nl/posting/617724/Zoom-lek+maakte+overnemen+van+miljoenen+Macs+mogelijk?channel=rss

doorSecuratis

Slack reset 100.000 wachtwoorden wegens datalek in 2015

Zakelijke berichtendienst Slack heeft de wachtwoorden van zo’n 100.000 gebruikers gereset. Het gaat om inloggegevens die bij een inbraak in op het Slack-netwerk in 2015 werden gestolen. Bij die aanval kreeg een aanvaller toegang tot gebruikersgegevens, waaronder gebruikersnamen en gehashte wachtwoorden. De aanvaller injecteerde ook code waarmee die plaintext wachtwoorden kon onderscheppen op het moment gebruikers die invoerden, aldus de berichtendienst in een blogpost.

Na het incident besloot Slack van een klein aantal Slack-gebruikers het wachtwoord te resetten waarvan was bevestigd dat ze waren getroffen. Onlangs werd Slack geïnformeerd over gecompromitteerde Slack-wachtwoorden. In eerste instantie dacht de berichtendienst dat die wachtwoorden via malware op de systemen van gebruikers waren gestolen of dat het om hergebruikte wachtwoorden ging die via andere datalekken waren buitgemaakt. Slack resette de wachtwoorden en informeerde gebruikers. Die hadden echter vragen over de verklaring van Slack en stelden dat hun wachtwoord nooit gecompromitteerd kon zijn, zo blijkt uit reacties op Reddit.

Slack deed verder onderzoek en ontdekte dat het grootste deel van de gecompromitteerde wachtwoorden afkomstig was van gebruikers die tijdens het incident in 2015 hadden ingelogd, waardoor de aanvaller hun wachtwoord in plaintext ontving. Daarop besloot de berichtendienst van alle accounts die tijdens het incident actief waren het wachtwoord te resetten, met uitzondering van accounts die SSO gebruikten of sindsdien het wachtwoord hebben gewijzigd. Het gaat om 1 procent van de Slack-gebruikers. Slack meldde in april dat het meer dan 10 miljoen dagelijkse actieve gebruikers heeft. Dat houdt in dat de wachtwoorden van 100.000 accounts zijn gereset.

https://www.security.nl/posting/617716/Slack+reset+100_000+wachtwoorden+wegens+datalek+in+2015?channel=rss

doorSecuratis

Brit die celstraf kreeg voor datadiefstal moet 28.000 euro betalen

Een Britse man die eind vorig jaar tot een gevangenisstraf van 6 maanden werd veroordeeld voor het opvragen van duizenden klantgegevens met de inloggegevens van collega’s moet ook 28.000 euro betalen die hij met zijn misdrijf zou hebben verkregen.

Tevens draait de man op voor de proceskosten van 8900 euro. Dat meldt de Britse privacytoezichthouder ICO. Het was voor het eerst dat de Britse privacytoezichthouder iemand onder de Wet op computermisbruik liet vervolgen. De verdachte was werkzaam voor het autoherstelbedrijf Nationwide Accident Repair Services (NARS). Hij gebruikte inloggegevens van collega’s om zonder toestemming in te loggen op een systeem dat de reparatiekosten van auto’s berekent.

De verdachte bleef dit toen, ook al was hij bij een ander autoherstelbedrijf aan de slag gegaan. Op deze manier heeft de man zonder toestemming toegang tot gegevens van duizenden NARS-klanten gekregen, zoals naam, telefoonnummers, soort voertuig en informatie over het ongeluk. NARS benaderde de ICO nadat het een toename zag van klanten die telefonisch waren lastiggevallen.

Volgens de ICO heeft de man duizenden euro’s met zijn activiteiten verdiend. Daarop spande de toezichthouder een nieuwe zaak aan om dit bedrag te ontnemen. De rechter heeft de verdachte een zogeheten “confiscation order” opgelegd. De Brit heeft drie maanden de tijd gekregen om een bedrag van omgerekend 28.000 euro te betalen, anders hangt hem een gevangenisstraf van 12 maanden boven het hoofd.

“Persoonlijke data die op deze manier is verkregen kan een waardevol product zijn en het verkopen ervan lijkt een eenvoudige manier om geld te verdienen, maar de straffen kunnen hoog zijn. De uitkomst van deze zaak zou als afschrikking voor anderen moeten dienen”, aldus Mike Shaw van de ICO.

https://www.security.nl/posting/617576/Brit+die+celstraf+kreeg+voor+datadiefstal+moet+28_000+euro+betalen?channel=rss

doorSecuratis

Microsoft prijst security Mozillas programmeertaal Rust

De door Mozilla ontwikkelde programmeertaal Rust bevat allerlei kenmerken die voor veiligere software kunnen zorgen, zo heeft Microsoft laten weten. Uit onderzoek van Microsoft blijkt dat de meeste lekken in de eigen software werden veroorzaakt door “memory corruption bugs” in de C en C++-code.

“Nu Microsoft de codebase vergroot en meer opensourcesoftware in de eigen code gebruikt, wordt dit probleem alleen maar groter. En Microsoft is niet de enige die met memory corruption bugs te maken heeft”, zegt Gavin Thomas van het Microsoft Security Response Center. Thomas merkt op dat Microsoft-ontwikkelaars over allerlei tools en processen beschikken om kwetsbaarheden te vinden.

Het is efficiënter als programmeurs minder tijd kwijt zijn aan het leren van tools en processen om code zonder kwetsbaarheden te maken. Een programmeertaal die het niet mogelijk maakt om geheugenproblemen in code te introduceren zou zowel programmeurs als security-engineers helpen. Thomas zou dan ook graag een programmeertaal zien die de memory security-garanties van een taal zoals .NET en C sharp combineert met de efficiëntie van C++. Een programmeertaal die hier volgens Thomas aan voldoet is het door Mozilla Research ontwikkelde Rust, dat geheugenbeveiliging biedt.

“We kunnen leren van de manier waarop de auto-industrie hun technologie ontwikkelt om bestuurders en weggebruikers te beschermen. De softwaresecurity-industrie heeft het voorrecht om de programmeur op een zelfde manier te beschermen. Misschien is het tijd om onveilige legacy programmeertalen te schrappen en op modernere veiligere programmeertalen over te stappen?”, stelt Thomas de vraag. Microsoft komt binnenkort met een aantal blogs waarin het deze programmeertalen verkent en als eerste zal het naar Rust kijken.

Image

https://www.security.nl/posting/617570/Microsoft+prijst+security+Mozillas+programmeertaal+Rust?channel=rss

doorSecuratis

Spamhaus hekelt Cloudflare over het hosten van botnet-servers

Spambestrijder Spamhaus heeft uitgehaald naar internetbedrijf Cloudflare omdat het onder criminelen een populaire partij zou zijn voor het hosten van botnet-servers en hier niets aan zou doen. Elke kwartaal komt Spamhaus met een overzicht van het aantal nieuwe command & control-servers die voor het aansturen van botnets worden gebruikt. Ook de locatie, registrars en hostingbedrijven waar de servers staan worden vermeld.

In het tweede kwartaal werden zo’n 3100 nieuwe botnet-servers geteld. Ruim 800 van de botnet-controllers bevonden zich in de Verenigde Staten, wat daarmee op de eerste plek staat. Nederland staat met 66 botnet-controllers op de negende plek in het overzicht. Verder blijkt dat 483 botnet-servers bij internetbedrijf Cloudflare waren ondergebracht, wat daarmee ruimschoots op de eerste plek staat. Iets wat niet voor het eerst is.

“We blijven cloudflare.com als de aanbevolen optie zien om botnet-servers te hosten. Deze trend is al sinds 2018 gaande. Helaas hebben we geen pogingen van Cloudflare gezien om het aanhoudende misbruik van hun netwerk voor botnet-hosting te bestrijden”, aldus Spamhaus. De domeinnamen waar botnet-servers gebruik van maken werden in het tweede kwartaal vooral bij Namecheap geregistreerd. Het ging in totaal 1500 domeinnamen die cybercriminelen bij deze partij vastlegden.

Verder meldt Spamhaus dat de nieuw ontdekte botnet-servers in het tweede kwartaal vooral door de Lokibot en AZORult-malware werden gebruikt. Deze twee malware-exemplaren worden vooral ingezet voor het stelen van inloggegevens. Tevens was er een toename van het aantal servers voor de Emotet-malware. Deze malware kan gegevens voor internetbankieren stelen en aanvullende malware installeren.

Image

https://www.security.nl/posting/617413/Spamhaus+hekelt+Cloudflare+over+het+hosten+van+botnet-servers?channel=rss

doorSecuratis

Opnieuw Amerikaanse hogeschool getroffen door ransomware

Opnieuw is er een Amerikaanse hogeschool getroffen door ransomware waardoor allerlei bestanden zijn versleuteld en verschillende lessen uitvielen. Het Northwest Indian College is naar eigen zeggen door de Ryuk-ransomware besmet geraakt die veel bestanden versleutelde, waaronder back-ups en legacy data.

De school is nog wel gewoon open, maar de dienstverlening is beperkt. Zo gaan de “face-to-face” lessen door, maar zijn alle videoconferentieklassen tijdelijk geannuleerd. Het schoolpersoneel is inmiddels bezig om het netwerk te beveiligen. Tevens krijgen andere scholen het advies om hun netwerk te beveiligen en data te back-uppen, waarbij er extra aandacht wordt gevraagd voor het maken van offsite of cloudback-ups.

Vorige week werd bekend dat verschillende vestigingen van het Monroe College in New York City met ransomware besmet waren geraakt. De aanvallers achter deze aanval eisten 2 miljoen dollar voor het ontsleutelen van de versleutelde bestanden.

https://www.security.nl/posting/617408/Opnieuw+Amerikaanse+hogeschool+getroffen+door+ransomware?channel=rss

doorSecuratis

Duitse overheid adviseert om te stoppen met Windows 7 in 2020

Nog zo’n zes maanden en dan stopt Microsoft de ondersteuning van Windows 7, waardoor er geen beveiligingsupdates meer zullen verschijnen. Zodra de ondersteuning is gestopt moeten thuisgebruikers en bedrijven geen gebruik meer van Windows 7 maken, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

In plaats daarvan moet er worden overgestapt op een besturingssysteem dat nog wel updates ontvangt. “Mogelijke opties zijn het upgraden naar een nieuwere, ondersteunde versie van Windows, of het overstappen op een alternatief besturingssysteem zoals macOS of Linux”, zo stelt het BSI. De overheidsorganisatie waarschuwt dat het migreren van een besturingssysteem met name in grotere organisaties een omvangrijke operatie is en er daarom tijdig mee moet worden gestart.

Naast de ondersteuning van Windows 7 zal Microsoft in december van dit jaar de support van Windows 10 Mobile staken. Voor Windows 10-smartphones is het niet mogelijk om te upgraden of op een ander besturingssysteem over te stappen. Gebruikers die beschermd willen zijn zullen dan ook een nieuw toestel moeten aanschaffen, zo laat het BSI weten. De organisatie adviseert om voor de aanschaf te kijken hoe lang een fabrikant het toestel met updates ondersteunt, aangezien sommige toestellen op het moment van aankoop al geen ondersteuning meer krijgen.

https://www.security.nl/posting/617234/Duitse+overheid+adviseert+om+te+stoppen+met+Windows+7+in+2020?channel=rss

doorSecuratis

Onderzoeker kon elk Instagram-account door lek overnemen

Een beveiligingslek in Instagram maakte het voor aanvallers mogelijk om elk willekeurig account over te nemen. Facebook heeft de kwetsbaarheid inmiddels verholpen en onderzoeker Laxman Muthiyah die het probleem ontdekte en rapporteerde met 30.000 dollar beloond.

Instagram-gebruikers die hun wachtwoord zijn vergeten kunnen hun mobiele telefoonnummer invoeren. Vervolgens wordt er een zescijferige code naar de telefoon gestuurd. De gebruiker moet deze code bij Instagram invoeren en kan daarna een nieuw wachtwoord instellen. Dat houdt in dat er maximaal 1 miljoen mogelijkheden zijn. Muthiyah ontdekte dat de bescherming van Instagram tegen bruteforce-aanvallen onvoldoende is, waardoor een aanvaller alle mogelijke combinaties kon proberen.

Een aanvaller die over voldoende ip-adressen beschikte kon zo de resetcode achterhalen en invoeren, om vervolgens een wachtwoord voor het account van zijn slachtoffer op te geven. Het was mogelijk om vanaf één ip-adres 200 verzoeken te versturen. Een aanvaller met 5000 ip-adressen zou zo elk account kunnen kapen. Via clouddiensten van Amazon of Google zou een dergelijke aanval voor een bedrag van 150 dollar mogelijk zijn, aldus Muthiyah. Hij waarschuwde Facebook dat het probleem verhielp en een beloning van 30.000 dollar uitkeerde.

https://www.security.nl/posting/617222/Onderzoeker+kon+elk+Instagram-account+door+lek+overnemen?channel=rss