Deprecated: class-phpmailer.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/PHPMailer.php. The PHPMailer class has been moved to wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Deprecated: class-smtp.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/SMTP.php. The SMTP class has been moved to the wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 News – Securatis

Categorie archief News

doorSecuratis

Belgische politie: gebruik werkcomputer niet voor privézaken

Veel mensen werken nog altijd thuis en voor deze groep is het belangrijk dat ze hun persoonlijke computer en zakelijke computer gescheiden houden, zo stelt de Belgische politie. Zo wijst de Federale Politie naar een onderzoek waaruit blijkt dat thuiswerkers wekelijks tientallen risicovolle en frauduleuze websites bezoeken, die gevolgen kunnen hebben voor de veiligheid van hun bedrijf.

“De frauduleuze sites hadden kunnen worden geblokkeerd als de werknemer vanop zijn computer op het werk werkte. De beveiliging is bij je thuis echter niet dezelfde”, zo stelt de Belgische politie. Thuiswerkers krijgen dan ook het advies geen privézaken op de werkcomputer te doen. “Als je thuiswerkt en gebruikmaakt van een door je werkgever ter beschikking gestelde computer, beperk dan het gebruik ervan tot deze beroepsactiviteit”, zegt commissaris Olivier Bogaert van de Federal Computer Crime Unit.

https://www.security.nl/posting/672352/Belgische+politie%3A+gebruik+werkcomputer+niet+voor+priv%C3%A9zaken?channel=rss

doorSecuratis

NSA geeft advies voor het kiezen van multifactorauthenticatie

Ambtenaren van de federale Amerikaanse overheid zijn wettelijk verplicht om via een “Personal Identity Verification” (PIV) pas op officiële informatiesystemen in te loggen. Door de coronacrisis hebben ambtenaren niet altijd toegang tot overheidssystemen of -apparatuur en kunnen dan ook niet via deze PIV-pas inloggen.

Voor deze gevallen moet er een andere vorm van authenticatie worden gekozen. Aanleiding voor de NSA om een advies te publiceren over het kiezen van multifactorauthenticatie. Daarnaast bevat het document “Selecting Secure Multi-factor Authentication Solutions” ook een assessment van verschillende aanbieders (pdf).

Het document geeft vijf criteria waarmee overheidsinstanties een “beter geïnformeerde keuze” kunnen maken bij het kiezen van een multifactorauthenticatie-oplossing. Daarnaast worden er richtlijnen aangereikt waarmee gebruikers ervoor kunnen zorgen dat ze een lastiger doelwit voor aanvallers worden.

Bij multifactorauthenticatie loggen gebruikers naast een wachtwoord in met een token of extra code. Deze code kan door een authenticator worden gegenereerd. Bij het kiezen van een authenticatie-oplossing is het belangrijk dat organisaties met vijf criteria rekening houden, zoals de beveiliging van de authenticator, de controle door de validator, gebruikte cryptografische standaarden, ondersteuning door de leverancier en de integratie van de authenticatie-oplossing.

De NSA benadrukt dat medewerkers die thuiswerken wanneer mogelijk een door hun werkgever verstrekte computer moeten gebruiken. “Geen enkel authenticatiemechanisme biedt bescherming tegen een gecompromitteerd systeem”, aldus de geheime dienst. Privécomputers zijn volgens de NSA vaak kwetsbaar voor aanvallen, onder andere vanwege het niet tijdig installeren van updates of het installeren van malware door de gebruiker.

Wanneer er bijvoorbeeld geen zakelijke laptop beschikbaar is raadt de NSA gebruikers aan om op het eigen privésysteem geen beheerdersaccount te gebruiken en wanneer mogelijk een apart account met verminderde rechten aan te maken die alleen voor werk wordt gebruikt. Na dit advies volgt een assessment van verschillende authenticatie-aanbieders, zoals Duo, Google, Microsoft en OKTA.

Image

https://www.security.nl/posting/672351/NSA+geeft+advies+voor+het+kiezen+van+multifactorauthenticatie?channel=rss

doorSecuratis

Onderzoekers infecteren smart koffiezetapparaat met ransomware

Een koffiezetapparaat dat niet meer werkt omdat het met ransomware is geïnfecteerd, onderzoekers van antivirusbedrijf Avast hebben laten zien dat dit geen sciencefiction is. De aanval is mogelijk door de onveilige updateprocedure van het koffiezetapparaat van fabrikant Smarter.

Het koffiezetapparaat is naast de normale manier ook via een app te bedienen. Wanneer de machine voor het eerst wordt aangezet creëert het een eigen wifi-netwerk waar de gebruiker via de bijbehorende app verbinding mee kan maken. Vervolgens kan de gebruiker het koffiezetapparaat zo instellen dat het verbinding maakt met zijn wifi-netwerk.

Onderzoekers van Avast ontdekten dat de firmware van het koffiezetapparaat in de app zelf aanwezig is. Wanneer de gebruiker een nieuwe versie van de app installeert kan zo ook de firmware van de machine worden geüpdatet. Door het reverse engineeren van de firmware ontdekten de onderzoekers dat de veiligheid van de updateprocedure ernstig te wensen overlaat.

Die maakt namelijk geen gebruik van encryptie of digitale handtekeningen. Daarnaast schakelt het koffiezetapparaat het eigen onbeveiligde wifi-netwerk voor de updateprocedure in. “Alles wordt in plaintext over een onbeveiligde wifi-verbinding verstuurd. De enige controle is de cyclic redundancy check (CRC) aan het einde”, aldus de onderzoekers.

Een aanvaller zou zo een kwaadaardige firmware-versie kunnen maken om die vervolgens naar het koffiezetapparaat te sturen. Daarbij zijn er verschillende aanvalsvectoren, bijvoorbeeld wanneer de machine nog niet is ingesteld en zijn eigen wifi-netwerk open heeft staan. Een andere aanvalsvector is via het wifi-netwerk, bijvoorbeeld via een op afstand gecompromitteerde router. Een derde optie is het gebruik van een malafide app die zich als de machine-app voordoet.

Om te demonstreren dat een aanval mogelijk is ontwikkelden de onderzoekers een malafide firmware-versie die de machine onbruikbaar maakt door continu heet water en de koffiemolen te laten lopen. Daarnaast wordt de warmhouder ingeschakeld en verschijnt er een melding op de display die om losgeld vraagt. Het enige dat de gebruiker op dat moment kan doen is het uitschakelen van de machine, zo merken de onderzoekers op.

De fabrikant laat op de eigen website weten dat deze versie van het koffiezetapparaat niet meer wordt ondersteund. Gebruikers moeten dan ook geen beveiligingsupdate verwachten, stelt Avast. Via Wigle vonden de onderzoekers 570 koffiezetapparaten van Smarter die nog niet zijn ingesteld, wat inhoudt dat iedereen in de buurt van deze machines die via het open wifi-netwerk van het apparaat zouden kunnen aanvallen.

https://www.security.nl/posting/672233/Onderzoekers+infecteren+smart+koffiezetapparaat+met+ransomware?channel=rss

doorSecuratis

Opnieuw Kamervragen over surveillancesoftware voor online tentamens

Het gebruik van surveillancesoftware door universiteiten voor online tentamens blijkt zowel studenten als politici bezighouden. Voor de derde keer zijn er namelijk in de Tweede Kamer vragen gesteld aan minister van Engelshoven van Onderwijs over het gebruik van dergelijke software.

Bij verschillende universiteiten moeten studenten die vanuit huis tentamen doen software installeren die onder andere toegang tot webcam, microfoon en browser heeft. De aanleiding voor PvdD-Kamerleden Van Raan en Van Esch om vragen te stellen is een uitzending van EenVandaag waarin een student van de Radboud Universiteit laat weten de surveillancesoftware niet te willen installeren.

Volgens hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit grijpt dergelijke surveillance in op het leven van studenten en andere mensen en zou hij de software nooit installeren. “Vanuit mijn vakgebied computerbeveiliging noem je zoiets spyware, een vorm van malware, kwaadaardige software. Geen enkel bedrijf of organisatie zal zijn medewerkers toestaan om dit soort software te installeren, omdat hier in feit mee gespioneerd wordt.”

Van Raan en Van Esch willen opheldering van Van Engelshoven. “Deelt u de mening dat het onacceptabel is dat studenten worden gedwongen om spionagesoftware of andere meekijksoftware te installeren? Zo nee, waarom niet?”, vragen die PvdD-Kamerleden. Die willen ook weten of de minister de stelling van Jacobs, dat dit heel diep ingrijpt in het leven van studenten, onderschrijft. “Als dergelijke spionagesoftware voldoet aan het wettelijk kader, terwijl experts met klem afraden om deze software te installeren, wat zegt u dat dan over het wettelijk kader?”, vragen de Kamerleden verder.

Die willen ook dat de minister duidelijk maakt wat zij gaat doen om onderwijsinstellingen te helpen om zo snel mogelijk op veilige wijze tentamens te organiseren, zonder dat daar surveillancesoftware bij komt kijken. Als laatste vragen Van Raan en Van Esch of de minister andere studenten gaat aanmoedigen om ook te stoppen met het maken van tentamens zolang ze daar surveillancesoftware voor moeten installeren. Van Engelshoven heeft drie weken de tijd om de vragen te beantwoorden.

Twee weken geleden werd bekend dat zeker vijftien rechtenstudenten van de Erasmus Universiteit in Rotterdam door een probleem met de surveillancesoftware die bij hun tentamen werd gebruikt hun diploma zijn kwijtgeraakt. Eerder dit jaar in april vroegen D66 en de SP ook om opheldering over het gebruik van dergelijke software.

Image

https://www.security.nl/posting/672212/Opnieuw+Kamervragen+over+surveillancesoftware+voor+online+tentamens?channel=rss

doorSecuratis

Standaardconfiguratie Fortigate VPN kwetsbaar voor MITM-aanvallen

Onderzoekers van het beveiligingsbedrijf Sam Seamless Network hebben de
Fortigate VPN-client van Fortinet onder de loep genomen. Daarbij ontdekten ze dat Fortigate, in de
standaardconfiguratie, kwetsbaar is voor MITM-aanvallen. Een zoektocht van de onderzoekers op shodan.io leverde zeker 200.000 apparaten op met een standaardconfiguratie.

Het beveiligingsprobleem zit in de SSL-verificatie. De Fortigate router wordt geleverd met een
standaard SSL-certificaat dat is ondertekend door Fortinet (self-signed). Elke Fortigate-server
heeft een eigen certificaat dat het serienummer van de router gebruikt als servernaam voor het
certificaat. Hierdoor heeft Fortinet voldoende informatie om te controleren of het certificaat is
uitgegeven aan dezelfde server waar de client verbinding mee probeert te maken.

Alleen verifieert de client van Fortinet de servernaam helemaal niet. Het apparaat accepteer elk
certificaat zolang het maar geldig is en het is uitgegeven door Fortinet of een andere vertrouwde CA.
Een aanvaller kan het verkeer eenvoudig omleiden naar zijn server, zijn eigen certificaat gebruiken en
vervolgens het dataverkeer onderscheppen.

Uiteraard heeft het bedrijf Fortinet geconfronteerd met deze bevindingen. Fortinet zegt hiervan al op
de hoogte te zijn geweest. Volgens het technologiebedrijf is het de verantwoordelijkheid van de
gebruiker om zelf handmatig het certificaat te wijzigen. De onderzoekers vrezen echter dat kleinere bedrijven mogelijk niet de kennis of tijd hebben om dit zelf te doen.

https://www.security.nl/posting/672076/Standaardconfiguratie+Fortigate+VPN+kwetsbaar+voor+MITM-aanvallen?channel=rss

doorSecuratis

Datalek bij Gemeente Roosendaal

De gemeente Roosendaal heeft vorige week een mail verstuurd waarbij per abuis alle vierhonderd
geadresseerden zichtbaar waren. De griffie van de gemeente Roosendaal verstuurt dagelijks een Dagmail met daarin de laatste nieuwtjes van de gemeenteraad. Vorige week vrijdag 18 september ging daarbij iets mis, zo meldt BN DeStem.

Door een menselijke fout bij het versturen van de dagelijkse Dagmail waren de e-mailadressen
van alle vierhonderd abonnees zichtbaar omdat alle geadresseerden in het CC (Carbon Copy) veld
stonden in plaats van het BCC (Blind Carbon Copy) veld. Enkele uren nadat de e-mail was verzonden, heeft de gemeente alle geadresseerden excuses aangeboden. “Het is de eerste keer in vijftien jaar dat dit gebeurt. Het is gelukkig niks structu­reels”, aldus de griffie van de gemeente Roosendaal.

https://www.security.nl/posting/672058/Datalek+bij+Gemeente+Roosendaal?channel=rss

doorSecuratis

Cisco brengt kritieke patches uit voor Cisco IOS-software

Cisco heeft een reeks kritieke patches uitgebracht voor Cisco
IOS en IOS XE, de besturingssystemen waarop veel hardware van het bedrijf draait.
Het gaat om een bundeling van 25 beveiligingsadviezen die gezamenlijk 34 kwetsbaarheden
oplossen. Alle 25 beveiligingsadviezen hebben het label “hoog risico” gekregen.

Uit de toelichting van Cisco blijkt dat kwaadwillenden dankzij meerdere fouten in het web management
framework van IOS en IOS XE in staat zijn om beheerdersrechten op
Cisco-apparatuur te verkrijgen.Verder blijken de industriële Cisco 800 Serie routers en de Cisco 1000 Connected Grid routers-serie overgenomen te kunnen worden door softwarefouten. Ook zijn er patches uitgebracht voor de Catalyst switches uit
de 9000-serie. Bovendien wordt er nog een aantal DoS-kwetsbaarheden in de besturingssystemen
opgelost.

Organisaties die willen weten of hun Cisco-apparatuur kwetsbaar is voor een van de fouten, wordt
aangeraden om de Cisco Software Checker te gebruiken. Cisco brengt naar eigen zeggen op verzoek van klanten twee keer per jaar een beveiligingsupdate voor IOS en IOS XE uit. Dit gebeurt elk jaar in maart en september.

https://www.security.nl/posting/672048/Cisco+brengt+kritieke+patches+uit+voor+Cisco+IOS-software?channel=rss

doorSecuratis

Medewerker is grootste cyberrisico voor gemeenten

Medewerker is grootste cyberrisico voor gemeenten

De kop van dit artikel moet zijn “Concern-hoofden van afdelingen en inkoop-afdeling zijn verantwoordelijk voor uitrusten van organisaties met onverantwoorde middelen”!

Want first things first.
Je je kan keihard je punt willen maken over wellicht aantoonbaar domme, nalatige tot verwijtbare fouten dat overal in gemeente organisaties worden gemaakt in het gebruik van die applicaties.
Maar mag het misschien iets specifieker?

Gemeente organisaties zitten met een heel cluster aan applicaties op je IT park.
Op deze website hier is al bericht over het feit dat het onmetelijk en misschien wel onmogelijk veel applicaties betreft.
Het aantal is wel de afgelopen teruggebracht.
Maar menig applicatie heeft nog steeds een beperkte update-cyclus ondanks ondanks de gebreken die de onderliggende software heeft.
En vervolgens ga je met rapporten in de hand beweren dat het aan gebruikers overal in de gemeente organisaties ligt?
Hoe duidelijk en eerlijk is dat?
Al was het maar door de bibliotheken waar de applicaties onderliggend in gevallen uit opgebouwd zijn dan zou je weten dat het in teveel gevallen een gaten kaas is die je nergens mee kan dichten zo lang je nalaat figuurlijk gesproken hele nieuwe kazen te gebruiken. Het dichten van gaten in die kaas is een ondoenlijke zaak.

We kunnen ons punt wel maken over de consequenties die uit de missers van mensen kunnen ontstaan.
Maar daarbij kunnen niet doen alsof de missers door de applicaties en onderliggende bibliotheken die bij de gemeenten aan de man en vrouw worden gebracht voor toepassingen waar ze überhaupt niet kunnen functioneren de oorsprong zijn van de ellende.
En dan ook nog eens moeten functioneren binnen het eisenpakket dat gemeenten logischerwijs moeten (kunnen) stellen aan die applicaties terwijl dat regelmatig een onoverbrugbare mis-match is die kundig wordt verbloemd met service-en-support contracten.

Ben je dan als schrijver van deze rapporten net als destijds Deloitte richting de provincies deed met haar accountant verantwoording bezig de eindgebruikers van je klanten erin te luizen tegen een koninklijke contractvoorwaarden?
Of probeer je professioneel te doen maar heb je eigenlijk niet in je omdat je misschien te weinig van het spelersveld van toeleveranciers en het personeel-dynamiek DAARVAN durft te benoemen en durft te verbeteren?
In plaats daarvan tik je “braaf” je euro’s binnen zoals een uurtje factuurtje fabriek ook financieel probeert te overleven.
Dankbaar voor hoe de klant-opdrachtegever ook is, blijf je heimelijk als rapporteren fabriceur hopen op kleine verbeteringen.
Dankbaar voor hoe je als rapporteren fabriceur deze fantastische opdrachten in de schoot geworpen zijn vermijd je dat het onbegonnen werk is wat je rapport propageert.
Niet omdat de gemeente organisatie niet wil, maar omdat je niet durft op te schrijven dat niet de hele wereld van de IT de kop boven water kan houden zo lang het niet langer aan elkaar hangt van gebreken.

Zo lang niet heel Nederland doorheeft dat er in Silicon bedrijven zijn die dagelijks honderd duizenden hacks plegen en mensen in geheime diensten daar nauwe banden mee hebben blijven dit soort rapporten een kwestie van honden die gezamenlijk in hun eigen staart bijten.
En dan moet je niet alleen denken aan degenen die er bij gemeenten een potje van maken en door hun managers gevrijwaard worden tegen disciplinaire maatregelen.
Eventuele disciplinaire maatregelen om nalatigheid in gebruik van IT zijn in deze verhouding naar menselijke maat beschouwd ook nauwelijks meer als hysterisch.
Hoe functioneel, logisch en constructief bedoeld het corrigerende effect van de maatregelen tegen de mensen ook kan zijn om structurele missers voortaan uit je organisatie te halen.
Als organisaties wil je immers ook niet met de kraan open blijven dweilen.
Maar zeker zo lang je zonder gevoel voor materie als organisatie hoofden zelf je op de mouw laat spelden wat het besparing potentie en scala van mogelijkheden van applicatie x, y, z is, blijven die maatregelen in verhouding verregaand unfair.
Want ga je als eind-baas in die organisatie wel die mensen bestraffen die uit de bocht vliegen terwijl je ze zelf laat uitrusten en instrueert met inherent gebrekkige middelen om hun taken voor jou, de gemeentesecretaris, de gemeenteraad en de burger uit te voeren?
De consequenties ben je dan toch echt als eind-baas in eerste aanleg zelf verantwoordelijk voor.
En in tweede aanleg zijn eind-bazen zelf debet aan de gevolgen van die keuzes.

Dus heeft het uitbrengen van een rapport als dit meer weg van een landelijke poging van “wegmasseren” van gebreken die je niet oplost met wegmasseren en disciplineren.
Die los je in de eerste plaats op met toepassing van veel meer realisme en gevoel voor materie.
Dat voorkomt een hoop mogelijke naïviteit over welke verwachtingen je kan hebben over nog weer een advies rapport.
Door meer realisme en gevoel voor materie ga je vervolgens aan de slag met meer gevoel waar het mensen-werk en juiste middelen het meeste effect kan sorteren.
Dan snap je ook dat je met top-down opdrachten of strenge verwachtingen laag in de organisatie leggen niet oplost wat in cluster verbanden finaal fout blijft gaat.

https://www.security.nl/posting/672004/Medewerker+is+grootste+cyberrisico+voor+gemeenten?channel=rss

doorSecuratis

Instagram-app kwetsbaar door JPEG-decoder Mozjpeg

Security-experts van Facebook en Check Point hebben een kwetsbaarheid in Instagram verholpen die hackers in staat stelden om met een gemanipuleerde afbeelding een smartphone af te luisteren of zelfs geheel over te nemen.

De kwetsbaarheid (CVE-2020-1895) zat in de open-source JPEG-decoder Mozjpeg. Mozjpeg wordt door de Instagram-app gebruikt om foto’s naar Instagram te uploaden. De kwetsbaarheid is al zes maanden geleden gepatcht, maar nu pas naar buiten gebracht in de hoop dat de meeste gebruikers hun app inmiddels hebben geüpdatet, schrijft ComputerWeekly .

Indien een Instagram-gebruiker een kwaadaardige afbeelding had opgeslagen die via e-mail, WhatsApp of sms was verzonden en vervolgens de Instagram-app had geopend, zou de aanvaller volledige toegang krijgen tot de berichten en afbeeldingen van het slachtoffer. Hierdoor kon de aanvaller afbeeldingen op Instagram plaatsen of verwijderen. Ook kon de aanvaller toegang krijgen tot andere functies van de telefoon waaronder locatiegegevens, telefooncontacten en opgeslagen media.

Volgens Yaniv Balmas, hoofd cyberresearch bij Check Point, kleeft er een groot risico aan het gebruik van programmacode van derden, zoals Mozjpeg, zonder de code vooraf grondig te controleren.

Een woordvoerder van Facebook verklaart dat het probleem met de code is opgelost en dat er geen bewijs is dat er misbruik van is gemaakt.

https://www.security.nl/posting/671996/Instagram-app+kwetsbaar+door+JPEG-decoder+Mozjpeg?channel=rss

doorSecuratis

Mobiele Bing-zoekopdrachten dagenlang open en bloot

Door een misconfiguratie is een server van Microsoft waarop 6,5 TB aan data stond opgeslagen van de mobiele Bing app tijdelijk toegankelijk geweest.

Op de server werden zoekopdrachten opgeslagen die met de mobiele Bing app zijn uitgevoerd. Behalve de zoekopdrachten van gebruikers uit ongeveer 70 landen, werden ook apparaatgegevens en gps-coördinaten opgeslagen. De server was beveiligd met een wachtwoord maar vanaf de eerste week van september was die beveiliging eraf, aldus Wizcase. Op 12 september ontdekte Wizcase de server waarna op 13 september Microsoft werd ingelicht over de server. Enkele dagen later nam Microsoft maatregelen.

Volgens de onderzoekers werd tussen 10 en 12 september een ‘Meow’-aanval uitgevoerd waarbij bijna de hele database werd verwijderd en alleen het woord ‘meow’ achterblijft. Op 14 september werd een tweede Meow-aanval uitgevoerd. Wizcase verzamelde uiteindelijk ongeveer 100 miljoen datarecords en analyseerde de zoekopdrachten, waaronder ook zoekopdrachten naar schietpartijen en kinderporno.

Een woordvoerder van Microsoft bevestigt tegenover The Register dat de misconfiguratie is hersteld en dat ‘een kleine hoeveelheid zoekopdrachten is uitgelekt’. “Na analyse hebben we vastgesteld dat de uitgelekte gegevens beperkt waren en niet tot personen herleidbaar.”

https://www.security.nl/posting/671931/Mobiele+Bing-zoekopdrachten+dagenlang+open+en+bloot?channel=rss