Auteur archief Securatis

doorSecuratis

Commerciële spyware-app lekt data duizenden slachtoffers

Een commerciële spyware-app gericht op ouders, werkgevers en wantrouwende partners heeft de data van duizenden slachtoffers via een verkeerd geconfigureerde server gelekt. De app in kwestie heet KidsGuard en maakt het mogelijk om de locatie te volgen, telefoongegevens en socialmediagebruik te controleren, berichten van allerlei chat-apps te lezen, screenshots en foto’s te maken, gesprekken op te nemen en de surfgeschiedenis te bekijken.

Ook is het mogelijk om een keyloggerfunctie in te schakelen, alsmede alle bestanden op de telefoon te benaderen, zoals foto’s en video’s die het slachtoffer heeft gemaakt. Om de app op het toestel van een slachtoffer te installeren heeft een KidsGuard-gebruiker wel eerst fysieke toegang nodig. Het is niet nodig om het toestel te jailbreaken of rooten. Eenmaal geïnstalleerd doet de spyware zich op Android voor als een “system update” app en laat geen icoon zien, zodat het slachtoffer niet weet dat de spyware is geïnstalleerd.

Beveiligingsonderzoeker Till Kottmann ontdekte dat de app gegevens in een cloudbucket van internetgigant Alibaba opsloeg. Waarschijnlijk was de bucket, waar bedrijven allerlei data in kunnen opslaan, per ongeluk op openbaar gezet. Daarnaast was die niet met een wachtwoord beveiligd. Iedereen op internet had zo toegang tot de bucket en de bestanden daarin kunnen krijgen. De bucket is inmiddels gesloten, zo meldt TechCrunch. KidsGuard zou volgens de Amerikaanse burgerrechtenbeweging EFF op zo’n 3.000 telefoons zijn geïnstalleerd.

https://www.security.nl/posting/645107/Commerci%C3%ABle+spyware-app+lekt+data+duizenden+slachtoffers?channel=rss

doorSecuratis

Malafide apps in Google Play Store miljoenen keren gedownload

Onderzoekers hebben in de Google Play Store tientallen malafide apps ontdekt die bij elkaar miljoenen keren zijn gedownload. De apps deden zich onder andere voor als een kompas, muziekspeler en spelletjes, en zijn in verschillende categorieën te verdelen, zoals clickers, spyware en dialers.

Clickers zijn malafide apps die zich als de gebruiker voordoen en op advertenties klikken. Ook kan het voorkomen dat de malware probeert om op kosten van de gebruiker, zonder dat die dit doorheeft, allerlei premium online diensten en content aan te schaffen. Onderzoekers van securitybedrijf Checkpoint ontdekten in de Play Store 55 applicaties die van een clicker waren voorzien en bij elkaar meer dan 78 miljoen keer waren gedownload. Sommige van deze apps zijn nog steeds in de Google Play Store te vinden.

Daarnaast werden er vier apps gevonden die met de Joker-malware besmet waren. Deze malware wordt door de onderzoekers als spyware omschreven die sms-berichten, adresboeken en apparaatgegevens steelt. Daarnaast kan Joker slachtoffers op allerlei premium sms-diensten abonneren, waardoor het zich ook als een “dialer” gedraagt. De vier apps waren bij elkaar meer dan 130.000 keer gedownload en zijn inmiddels door Google uit de Play Store verwijderd.

https://www.security.nl/posting/645096/Malafide+apps+in+Google+Play+Store+miljoenen+keren+gedownload?channel=rss

doorSecuratis

EU-toezichthouder: overname Fitbit door Google privacyrisico

De overname van fitnesstrackerfabrikant Fitbit door Google vormt een groot risico voor de privacy en databescherming van Europeanen, zo heeft het Europees Comité voor gegevensbescherming (EDPB) vandaag in een verklaring bekendgemaakt.

Google liet afgelopen november weten dat het de fitnesstrackerfabrikant voor 2,1 miljard dollar wil overnemen. De overname zou dit jaar moeten worden afgerond. “In navolging van de aankondiging van Google om Fitbit te willen overnemen heeft de EDPB een verklaring aangenomen dat het mogelijk verder combineren en verzamelen van gevoelige persoonlijke data van Europeanen door een groot techbedrijf een groot risico voor de privacy en databescherming met zich kan meebrengen”, aldus de toezichthouder.

De EDPB wijst zowel Fitbit als Google op hun verplichtingen onder de AVG en dat ze een volledige assessment over de databeschermingsverplichtingen en privacygevolgen van de overname op een transparante manier uitvoeren. Zo roept de EDPB beide partijen op de mogelijke risico’s voor het recht op privacy en databescherming weg te nemen voordat de overname bij de Europese Commissie wordt gemeld.

Eerder deze week kwam forensisch softwarebedrijf Elcomsoft nog met een overzicht van welke forensische gegevens er uit een Fitbit-fitnesstracker zijn te verkrijgen en hoe dit opsporingsdiensten kan helpen bij het onderzoeken van een misdrijf.

https://www.security.nl/posting/644923/EU-toezichthouder%3A+overname+Fitbit+door+Google+privacyrisico?channel=rss

doorSecuratis

Securitybedrijf: stop met versleutelde e-mail, gebruik Signal

Wie veilig wil communiceren moet stoppen met het gebruik van versleutelde e-mail en gebruikmaken van de versleutelde chat-app Signal, zo stelt securitybedrijf Latacora. De oproep van het bedrijf zorgde voor een levendige discussie op onder andere Hacker News.

Het uitgangspunt van het betoog van Latacora is dat e-mail onveilig is en niet veilig gemaakt kan worden. Daarnaast zitten de tools om e-mail te versleutelen vol met fouten. “Zelfs als die fouten worden verholpen, blijft e-mail onveilig. De problemen zijn niet op te lossen. Vermijd versleutelde e-mail”, aldus het securitybedrijf, dat verschillende argumenten gebruikt om het pleidooi te onderbouwen.

Het eerste probleem is dat e-mail standaard end-to-end onversleuteld is. Zelfs wanneer mensen versleuteld met elkaar e-mailen bestaat het risico dat iemand een onversleuteld antwoord stuurt, waardoor de inhoud van de eerdere versleutelde mails zichtbaar is. Daarnaast lekt e-mail op allerlei manieren metadata, zoals onderwerp, afzender, ontvanger en tijd.

Verder lopen e-mailgebruikers het risico dat zowel gearchiveerde als vertrouwelijke berichten zullen lekken. Versleutelde e-mails die nu worden onderschept zijn in de toekomst te kraken. Daarnaast staan e-mailarchieven haaks op de uit zichzelf verdwijnende berichten van chat-apps. Deze apps gaan ervan uit dat de gebruiker vroeger of later de controle over zijn apparaat verliest. Bij e-mail is dit niet het geval. Verstuurde berichten worden waarschijnlijk voor altijd bewaard, stelt Latacora. En hoe goed mensen ook hun eigen data beveiligen, hun e-mails zijn altijd overgeleverd aan de minst veilige persoon waar ze die naar toe stuurden.

In plaats van versleutelde e-mail te gebruiken raadt Latacora “echt veilige communicatiesoftware” aan, waarbij chat-app Signal als enige en “beste” voorbeeld wordt genoemd. “E-mail kan geen security beloven en moet ook niet doen alsof het dit kan bieden. We hebben duidelijkheid nodig over wat voor soort systemen onze geheimen waard zijn en welke niet”, besluit het securitybedrijf.

Image

https://www.security.nl/posting/644897/Securitybedrijf%3A+stop+met+versleutelde+e-mail%2C+gebruik+Signal?channel=rss

doorSecuratis

Juridische vraag: Mag ik de computer van een wanbetaler blokkeren?

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Als zelfstandige verkoop ik hardware, software en diensten. Een nieuwe klant bestelt bij mij de nodige hardware en laat zijn harddisk in zijn laptop vervangen door een SSD, daarnaast besteld hij antivirus voor deze laptop en voor een cruciale computer die een productiemachine aanstuurt. Ook sluit hij een abonnement af voor Exchange op een van mijn servers. Alles is geleverd en geïnstalleerd naar zijn tevredenheid, echter blijkt het zeer moeilijk om de rekeningen betaald te krijgen. Mag ik nu die laptop blokkeren of diensten afsluiten om hem zo tot betaling te dwingen?

Antwoord: Wanbetaling komt helaas nog vaak voor bij ondernemers, en je vooraf laten betalen is lang niet altijd een oplossing. De wet kent natuurlijk diverse mechanismen om wanbetaling te bestrijden. Je kunt gaan aanmanen, wettelijke rente eisen en daarna dagvaarden in de hoop dat de (kanton-)rechter hem tot betaling dwingt. Je mag ook in gevallen als deze weigeren de laptop terug te geven tot er betaald is (retentierecht).

Dit werkt niet altijd, en specifiek in de ICT worden dan ook middelen als bovenstaand aangewend. Ik ken reparateurs die dan het wachtwoord op de laptop wijzigen en alleen een heel beperkt gastenaccount aan laten staan, om eens wat te noemen. Dan heb je wel je laptop maar kun je zo weinig dat je toch maar gaat betalen. (En een reparateur die elk uur een popup mét geluid liet verschijnen met de tekst “Je moet nog betalen!!1!” maar daar zullen we het verder niet over hebben.)

Het afsluiten van diensten (zoals toegang tot Exchange via jouw servers) is zeker ook mogelijk. Wel is dit iets dat je in je algemene voorwaarden geregeld moet hebben, al is het maar om discussie te voorkomen over hoe snel je welk middel in mocht zetten. Het is verstandig om daarbij een getrapt mechanisme te hanteren, dus niet meteen het account en alle data wissen maar misschien eerst de dienst readonly (wel nog mails ontvangen maar niet meer sturen), daarna beperkte toegang (ook geen nieuwe mails meer lezen) en daarna geheel afgesloten.

Je kunt dit dan snel inzetten, bijvoorbeeld die eerste stap direct op de dag dat de betalingstermijn verstreken is. Een aanmaning of zelfs maar herinnering is juridisch niet nodig, dus het middel heeft sneller effect dan de formeel-juridische weg van aanmanen, redelijke termijn afwachten en dan opschorten (lees: na 14 dagen de gehele dienstverlening staken).

Heb je dit niet in je AV, dan kan het denk ik nog steeds maar moet je het minst ingrijpende middel kiezen en heel actief informeren en bovenop de klant zitten. Dus dan begin je met die dienst op readonly zetten, de klant daarover informeren en reactie afwachten enzovoorts. Dit omdat je juridische basis dan de redelijkheid is (art. 6:248 lid 1 BW), en dan moet je gewoon voorzichtig handelen.

Ik zou niet -zoals de vraagsteller op het forum zegt- dingen op de laptop gaan veranderen, zoals internet beperken tot de site van de dienstverlener en van de bank (om de factuur te betalen) of internet en usb-sticks blokkeren om de laptop zo irritant mogelijk in het gebruik te maken. Als de wanbetaling gaat over die laptop, dan is echt het onder je houden van de laptop de beste manier.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

https://www.security.nl/posting/644754/Juridische+vraag%3A+Mag+ik+de+computer+van+een+wanbetaler+blokkeren%3F?channel=rss

doorSecuratis

Weer Amerikaans ziekenhuis aangeklaagd wegens ransomware

Opnieuw is er een Amerikaanse ziekenhuisketen die met ransomware besmet raakte aangeklaagd. Het gaat om Hackensack Meridian Health (HMH), de grootste ziekenhuisketen van de Amerikaanse staat New Jersey. Door de ransomware-infectie, die begin december bij HMH plaatsvond, werden systemen van klinieken en zeventien ziekenhuizen van de keten getroffen en moesten zo’n honderd operaties worden afgezegd.

Door de besmetting was het netwerk van de ziekenhuizen twee dagen niet beschikbaar en hadden artsen en verplegers geen toegang tot de elektronische medische dossiers van patiënten. Na betaling van een niet nader genoemd losgeldbedrag kon de ziekenhuisketen beginnen met het ontsleutelen van de versleutelde data. “Het is onze verplichting om de toegang tot gezondheidszorg voor onze gemeenschappen te beschermen”, zo stelde de ziekenhuisketen in een verklaring.

“Als gevolg dat de ransomware medische dossiers versleutelde, moesten klagers onder andere medische zorg en behandelingen overslaan of alternatieve zorg en behandelingen zoeken”, aldus de aanklacht waar ISMG over bericht. “Naast dat hun levens verstoord raakten lopen de identiteiten van klagers risico door nalatig handelen van HMH, waardoor de privégegevens die HMH verzamelde en beheerde nu in handen van datadieven terecht zijn gekomen, waardoor klagers een vergroot risico op fraude en identiteitsdiefstal lopen”, zo valt verder in de aanklacht te lezen.

Eind vorig jaar werd ook een andere Amerikaanse ziekenhuisketen die met ransomware besmet raakte aangeklaagd. Het ging om DCH Health System, dat drie ziekenhuizen beheert. Vanwege de ransomware namen de ziekenhuizen geen nieuwe patiënten meer aan en kregen ambulances de instructie om wanneer mogelijk patiënten naar andere ziekenhuizen te brengen. Eén van de patiënten in deze zaak stelt dat ze door de ransomware-aanval haar medicijnen niet heeft gekregen en al haar medische bestanden tijdens haar ziekenhuisverblijf niet beschikbaar of ontoegankelijk waren.

https://www.security.nl/posting/644748/Weer+Amerikaans+ziekenhuis+aangeklaagd+wegens+ransomware?channel=rss

doorSecuratis

Laptops Dell, HP en Lenovo accepteren ongesigneerde firmware

Laptops van Dell, HP en Lenovo accepteren ongesigneerde firmware voor onderdelen zoals de wifi-adapter, camera en touchpad. Een aanvaller kan hierdoor verdere aanvallen uitvoeren en kwaadaardige code verbergen, zo stelt securitybedrijf Eclypsium in een vandaag verschenen rapport (pdf).

Firmware is noodzakelijk voor het functioneren van de hardwareonderdelen in de laptop. Aanvallers hebben in het verleden firmware van harde schijven geherprogrammeerd. Op deze manier konden de aanvallers het opnieuw installeren en formatteren van de harde schijf overleven. Daarnaast kon er een onzichtbare opslag op de harde schijf worden aangemaakt. Dergelijke aanvallen zijn vandaag de nog steeds mogelijk, waarschuwt Eclypsium.

Voor hun onderzoek keken de onderzoekers naar de firmware van de camera in de HP Spectre x360-laptop, de touchpad in de Lenovo ThinkPad X1 Carbon-laptop, de wifi-adapter in de Dell XPS 15 9560-laptop en de firmware van een usb-hub. Het is mogelijk om de firmware van deze apparaten met ongesigneerde, kwaadaardige firmware te vervangen. Een aanvaller zou hiervoor eerst toegang tot een systeem moeten zien te krijgen, bijvoorbeeld via malware. Vervolgens is het mogelijk om de kwaadaardige firmware te installeren.

“Een aanvaller kan dan de unieke functionaliteit en rechten van dat onderdeel voor verdere aanvallen gebruiken”, zo stellen de onderzoekers. Het gaat dan bijvoorbeeld om het inspecteren en manipuleren van netwerkverkeer, het verbergen van code of het bespioneren van de gebruiker via zijn camera. “Het probleem blijft hetzelfde. Als een onderdeel geen gesigneerde firmware vereist, kan een aanvaller eenvoudig controle over het onderdeel krijgen, vaak zonder speciale privileges”, aldus de onderzoekers.

Ze waarschuwen dat de problemen door ongesigneerde firmware niet eenvoudig zijn te verhelpen. Als het onderdeel niet is ontworpen om op gesigneerde firmware te controleren, is het niet met een firmware-update te repareren. In veel gevallen is het onderliggende probleem in een apparaat of productlijn zelfs helemaal niet op te lossen, wat inhoudt dat de apparaten altijd kwetsbaar zullen blijven. Verder stellen de onderzoekers dat andere modellen van de fabrikanten in kwestie, alsmede andere fabrikanten, dezelfde problemen hebben.

https://www.security.nl/posting/644537/Laptops+Dell%2C+HP+en+Lenovo+accepteren+ongesigneerde+firmware?channel=rss

doorSecuratis

“Dell gaat RSA Security voor 2 miljard dollar aan STG verkopen”

Dell is van plan om securitybedrijf RSA Security voor meer dan 2 miljard dollar aan private-equitybedrijf STG Partners te verkopen, zo laten bronnen aan de Wall Street Journal weten. Als alles goed gaat zou de deal vandaag al kunnen worden aangekondigd.

RSA Security biedt verschillende producten en diensten voor threat detection en response, identity en access management, riskmanagement, technische ondersteuning en trainingen. Dell werd eigenaar van RSA Security nadat het in 2015 voor 67 miljard dollar dataopslagbedrijf EMC overnam. EMC had op haar beurt in 2006 nog 2,1 miljard dollar voor RSA Security neergelegd.

Vorig jaar liet Bloomberg al weten dat Dell een verkoop van het securitybedrijf aan het onderzoeken was. Symphony Technology Group (STG) is een op technologie gericht private-equitybedrijf dat eerder in verschillende software-, data- en analyticsbedrijven investeerde. Het nieuws over de mogelijke overname komt een week voordat de jaarlijks RSA Conferentie in San Francisco plaatsvindt.

https://www.security.nl/posting/644531/%22Dell+gaat+RSA+Security+voor+2+miljard+dollar+aan+STG+verkopen%22?channel=rss

doorSecuratis

Trouw: publiceren uit onbeveiligde KPN-laptop dient publiek belang

De afgelopen weken heeft dagblad Trouw informatie gepubliceerd afkomstig van een onbeveiligde KPN-laptop en dat is vanwege het publiek belang toegestaan, zo laat de krant zelf weten. Een door KPN ingehuurde monteur liet een onbeveiligde laptop met gevoelige informatie achter bij een klant. De machine werd vervolgens niet opgehaald, omdat de monteur niet meer wist waar hij die had achtergelaten. De klant bracht de laptop naar Trouw.

Inloggegevens van allerlei bedrijfswebsites waren in de browser van de laptop bewaard. Via deze gegevens was het mogelijk om toegang tot het intranet TeamKPN te krijgen. Het gebruik van tweefactorauthenticatie bleek niet nodig. Via het intranet kon Trouw allerlei vertrouwelijke documenten inzien, zoals organisatieschema’s met verwijzingen naar de AIVD, het ministerie van Defensie en het Koninklijk Huis.

Met de informatie die Trouw via de laptop verkreeg werden in totaal drie verhalen gepubliceerd. Eén over de vergeten laptop, een tweede verhaal over een door KPN ontwikkelde app voor Chinese toeristen die daarmee zijn te volgen en een derde verhaal over hoe KPN de aanleg van glasvezelkabel door concurrenten frustreerde. De laptop is inmiddels aan KPN teruggegeven. Daarnaast hebben de krant en telecomprovider morgen overleg over de situatie.

Ict-advocaat Noud van Gemert laat aan het AD weten dat de kans groot is dat Trouw computervredebreuk heeft gepleegd. “Je krijgt een laptop waar je niet in hoort, er is enige mate van beveiliging en het betreft overduidelijk geen openbare info.” De twee uitzonderingen op deze regel gaan volgens Van Gemert niet op. “De ene is noodtoestand of psychische overmacht. Journalistieke nieuwsgierigheid valt hier niet onder.” De advocaat stelt dat KPN een sterke zaak heeft. “Als ze aangifte zouden doen en de journalist bij mij aanklopt, zou ik vertellen dat dit een lastige zaak om te verdedigen is.”

Voor de publicaties had Trouw overleg met juristen en advocaten. In een brief van de hoofdredactie laat de krant weten dat de berichtgeving zeker wel valt te verdedigen. Er is namelijk sprake van een “zwaarwegend publiek belang”, schrijft hoofdredacteur Cees van der Laan in de brief. “Een onbeveiligde laptop met onbeveiligde toegang tot het KPN-intranet vol met gevoelige informatie en de samenwerking met een groot Chinees bedrijf, waardoor Chinese veiligheidsdiensten potentieel landgenoten in de gaten kunnen houden, zijn zaken van groot publiek belang.” Ook over de andere kwesties is maatschappelijk debat geweest en de verhalen van Trouw leveren daar een bijdrage aan, stelt Van der Laan verder.

https://www.security.nl/posting/644360/Trouw%3A+publiceren+uit+onbeveiligde+KPN-laptop+dient+publiek+belang?channel=rss

doorSecuratis

Almelo breidt cameratoezicht bij afvalcontainers verder uit

De gemeente Almelo gaat het cameratoezicht bij afvalcontainers verder uitbreiden om het dumpen van afval tegen te gaan. Sinds juni vorig jaar worden Almeloërs bij drie zogeheten milieueilanden via camera’s in de gaten gehouden. Van juni tot en met december werden 72 bekeuringen uitgedeeld wegens het bijplaatsen en dumpen van afval voor een bedrag van in totaal meer dan 10.000 euro.

Volgens verantwoordelijk wethouder Eugene van Mierlo werkt de maatregel en is dat de reden om door te pakken, zo laat hij tegenover Tubantia weten. Wordt er op de drie milieueilanden met vaste camera’s gewerkt, voor de nieuwe “hot spots” wordt een mobiele camera gebruikt. De wethouder wil niet laten weten waar de camera staat. Wel is de gemeente verplicht om met bordjes aan te geven dat er in gebieden camerabewaking kan zijn. “Dat heeft met privacy te maken Een voordeel is dat daarvan vaak al een preventieve werking uitgaat”, stelt Van Mierlo.

De camera’s mogen ook alleen een afgebakend gebied in beeld brengen, zoals de afvalcontainers en een deel van de weg om autokentekens in beeld te krijgen. “Toch verkiezen veel inwoners een nette woonomgeving boven privacy, als we de reacties zo horen. De meeste mensen zijn blij met de resultaten”, besluit de wethouder.

https://www.security.nl/posting/644348/Almelo+breidt+cameratoezicht+bij+afvalcontainers+verder+uit?channel=rss

Secured By miniOrange