Deprecated: class-phpmailer.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/PHPMailer.php. The PHPMailer class has been moved to wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Deprecated: class-smtp.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/SMTP.php. The SMTP class has been moved to the wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 News – Pagina 59 – Securatis

Categorie archief News

doorSecuratis

Juridische vraag: Is het toegestaan dat de horeca gezichtsherkenning inzet om toegangsverboden te handhaven?

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Ik werk aan een dienst die toegangsverboden in de horeca helpt handhaven door middel van gezichtsherkenning. Software kan dat beter dan portiers is het idee, en natuurlijk moet er altijd een mens nog beslissen of deze persoon echt diegene van het verbod is. Kan dit onder de AVG?

Antwoord: Het gebruik van biometrie is onder de AVG inderdaad zeg maar een dingetje. In principe mag dat niet, tenzij de wet (de AVG of de Nederlandse Uitvoeringswet) zegt van wel.

In gevallen als deze zou het gaan om de uitzondering uit artikel 29 Uitvoeringswet: identificatie van de betrokkene die noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

De noodzaak zou hem dan zitten in het feit dat menselijke portiers eigenlijk gewoon niet in staat zijn om adequate controle op lokaalverbodbrekers te houden. Dan kun je niet anders, en aangenomen dat er dan altijd nog een menselijke check is van het gezicht versus de vermelding in de lokaalverbodlijst, denk ik dat het dan wel oké is.

Ik denk wel dat je er niet aan ontkomt om echt aan te tonen dát het misgaat bij dat café of die club. Een abstracte “mensen maken fouten om 2 uur ’s nachts” argumentatie gaat hem niet worden, dat toont geen noodzaak in dit geval aan.

Verder vraag ik me af of de dienstverlener hier zich op gaat stellen als verwerker (bij elke klant een aparte database en gescheiden dienstverlening) of als verantwoordelijke (één database en gedeelde dienstverlening, wat je vaak ziet bij samenwerkende horeca waarbij een lokaalverbod voor al die horeca geldt). Dat laatste zou extra spannend zijn omdat je dan ook in het gebied van de zwarte lijsten valt, waarvoor verplicht een DPIA moet worden uitgevoerd én in principe toestemming van de AP gevraagd moet worden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

https://www.security.nl/posting/632148/Juridische+vraag%3A+Is+het+toegestaan+dat+de+horeca+gezichtsherkenning+inzet+om+toegangsverboden+te+handhaven%3F?channel=rss

doorSecuratis

Windows-lek geeft gast via UAC-beveiliging systeemrechten

Een beveiligingslek in Windows User Account Control (UAC) maakt het mogelijk voor gasten of aanvallers die toegang tot een systeem hebben om systeemrechten te krijgen en de kwetsbaarheid is zeer eenvoudig uit te buiten. Microsoft rolde op 12 november een beveiligingsupdate voor het probleem uit, waarvan nu de details openbaar zijn gemaakt.

UAC is een beveiligingsmechanisme dat met Windows Vista werd geïntroduceerd en gebruikers een pop-up toont als er iets in het systeem wordt aangepast. De UAC-pop-up biedt niet veel mogelijkheden, behalve het invoeren van het beheerderswachtwoord of het sluiten van het venster. Daarnaast is het mogelijk om in het geval van een gesigneerd bestand de details te bekijken. Microsoft was vergeten om in de UAC-versie van het certificaatdialoogmenu hyperlinks uit te schakelen.

In het geval van een gesigneerd bestand was het daardoor mogelijk om de link van de certificaatuitgever aan te klikken. De browser werd in dit geval vanuit een proces gestart dat systeemrechten heeft. Vervolgens was het mogelijk om bijvoorbeeld cmd.exe te starten. Op deze manier had de aanvaller eenvoudig zelf systeemrechten kunnen krijgen. Het probleem speelde bij alle ondersteunde Windowsversies.

Enige voorwaarde is wel dat de aanvaller toegang tot het systeem heeft. Er zijn echter organisaties die systemen aanbieden waarop bijvoorbeeld gasten kunnen inloggen. Via deze truc zou een gast eenvoudig zijn rechten kunnen verhogen en controle over het systeem krijgen. Beveiligingsonderzoeker Simon Zuckerbraun van het Zero Day Initiative omschrijft het beveiligingslek als een “klassieker”.

Zuckerbraun heeft daarnaast kritiek op de beoordeling van Microsoft. Volgens de softwaregigant is misbruik van de kwetsbaarheid “onwaarschijnlijk”, maar daar is de onderzoeker het niet mee eens, aangezien het beveiligingslek zeer eenvoudig is uit te buiten. In onderstaande YouTube-video wordt het lek gedemonstreerd.

Image

https://www.security.nl/posting/632124/Windows-lek+geeft+gast+via+UAC-beveiliging+systeemrechten?channel=rss

doorSecuratis

Android-lek kon apps zonder permissie toegang tot camera geven

Een beveiligingslek in de camera-app van Google en Samsung maakte het mogelijk voor malafide Android-apps om toegang tot de camera en microfoon te krijgen en gebruikers te filmen, ook al hadden de apps hiervoor niet de vereiste permissies en zelfs als het toestel was vergrendeld of het scherm uitgeschakeld.

Google en Samsung hebben inmiddels een update uitgebracht, maar het probleem speelt waarschijnlijk ook bij de camera-apps van andere Androidfabrikanten. Normaliter kan een app alleen toegang tot de camera krijgen als de gebruiker hiervoor permissie geeft. Een beveiligingslek in de camera-apps van Google en Samsung maakte het mogelijk om deze controle te omzeilen, zo ontdekten onderzoekers van securitybedrijf Checkmarx.

Zodra een gebruiker een malafide app had geïnstalleerd kon die via de kwetsbare camera-app foto’s maken, video’s opnemen en eerder gemaakte foto’s en video’s benaderen, alsmede de gps-metadata in de foto’s zelf. De onderzoekers ontwikkelden zelfs een aanval waarbij de malafide app telefoongesprekken opslaat. Google werd op 4 juli van dit jaar door Checkmarx over de kwetsbaarheid ingelicht.

Het techbedrijf stelde begin augustus dat het probleem mogelijk ook bij andere fabrikanten aanwezig is, maar noemde geen namen. Checkmarx meldt dat het op 18 augustus meerdere Androidfabrikanten over het probleem heeft benaderd. Op 29 augustus maakte Samsung bekend dat het kwetsbaar was. Zowel Google als Samsung hebben inmiddels een update voor het lek (CVE-2019-2234) uitgebracht. In het geval van Google is dit via een Play Store-update voor de camera-app gedaan.

https://www.security.nl/posting/632054/Android-lek+kon+apps+zonder+permissie+toegang+tot+camera+geven?channel=rss

doorSecuratis

“Besmette e-mailbijlage voornamelijk rar- of zip-bestand”

E-mail is veruit de favoriete aanvalsvector van criminelen, die met name van rar- en zip-bestanden gebruikmaken om internetgebruikers met malware te infecteren, zo claimt securitybedrijf Group-IB aan de hand van gegevens die uit meer dan zestig landen afkomstig zijn.

Nagenoeg alle malware die het securitybedrijf in de eerste helft van dit jaar waarnam kwam binnen via e-mail. 71 procent van de kwaadaardige e-mails bevat een besmette bijlage, terwijl de resterende 29 procent een link naar de malware bevat. Wanneer cybercriminelen een besmette e-mailbijlage versturen is het meestal een archiefbestand. Meer dan tachtig procent van alle besmette bijlages valt in deze bestandscategorie. Een stijging van zo’n zeven procent ten opzichte van 2018.

Bij malafide archiefbestanden gaat het in de meeste gevallen om zip- en rar-bestanden, met een aandeel van respectievelijk 32 en 25 procent. Volgens Group-IB proberen aanvallers op deze manier de beveiligingssystemen van organisaties te omzeilen. Na het gebruik van archiefbestanden volgen Microsoft Office-bestanden met een kleine twintig procent.

Verder laten de cijfers van Group-IB zien dat ransomware weer met een opmars bezig is. 54 procent van alle malware die in de eerste helft van 2019 via e-mail werd verspreid was ransomware. Een jaar geleden was dat nog 14 procent, aldus het securitybedrijf.

Image

https://www.security.nl/posting/632040/%22Besmette+e-mailbijlage+voornamelijk+rar-+of+zip-bestand%22?channel=rss

doorSecuratis

Banken zullen gegevens oplichters niet delen met slachtoffers

Banken zullen naam en adresgegevens van vermeende internetoplichters niet met hun slachtoffers delen, tenzij dit door een civiele rechter wordt opgedragen. Dat meldt minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer over de aanpak van internetoplichting.

Vorig jaar vond er een Algemeen Overleg plaats over financieel-economische criminaliteit. Tijdens het debat vroeg CDA-Kamerlid Van Dam of de minister met banken wilde overleggen of burgers veel eerder civiel in de gelegenheid kunnen worden gesteld om hun schade te verhalen. De banken lieten Grapperhaus weten dat ze vanwege de privacywetgeving de NAW-gegevens van (vermeende) internetoplichters niet mogen delen. Dat maakte de minister in een brief op 5 april aan de Tweede Kamer bekend.

Tijdens een overleg met de Tweede Kamer op 17 april vertelde de minister dat hij nog steeds gesprekken voerde met de banken over het delen van gegevens. Het gaat dan om het verstrekken van gegevens over naam, adres en woonplaats van een (vermeende) fraudeur door banken aan een slachtoffer zodat het slachtoffer civielrechtelijke actie in geval van (vermeende) fraude kan nemen.

“Ik heb ook bij die gesprekken aangegeven dat ik van banken verwacht dat ze zich verantwoordelijk tonen voor het voorkomen van fraude en dat ze zich inspannen voor slachtoffers hiervan”, zo stelt de minister nu. De banken lieten de bewindsman opnieuw weten dat ze vanwege de privacywetgeving de gegevens niet mogen verstrekken. Daarnaast kan een tegenrekening ook van een katvanger zijn en bestaat het risico op eigenrichting als slachtoffers de gegevens van de mogelijke dader ontvangen.

Slachtoffers die willen dat de bank de gegevens van de vermeende dader toch verstrekt kunnen hiervoor naar een civiele rechter. “Ik begrijp de positie van banken als het gaat om het verstrekken van NAW-gegevens van (vermeende) fraudeurs aan (vermeende) slachtoffers. Van banken kan niet verwacht worden dat zij gegevens van betrokkenen delen met (vermeende) slachtoffers, wanneer dit strijdig is met de geldende privacywetgeving”, schrijft de minister.

Grapperhaus zegt ook de andere risico’s te begrijpen die zich bij het delen van de gegevens kunnen voordoen en wijst daarbij naar de opvatting van de politie. “Al eerder heb ik uw Kamer bericht dat ook de politie heeft aangegeven dat het verstrekken van NAW-gegevens van vermeende fraudeurs onaanvaardbare risico’s voor de persoonlijke levenssfeer van betrokkenen met zich mee kan brengen.”

Toch nemen deze bezwaren volgens de minister niet weg dat alle mogelijkheden ingezet moeten worden om internetoplichting te voorkomen en, als het zich toch heeft voorgedaan, slachtoffers te ondersteunen, ook als het gaat om gegevensverstrekking aan slachtoffers.

https://www.security.nl/posting/631861/Banken+zullen+gegevens+oplichters+niet+delen+met+slachtoffers?channel=rss

doorSecuratis

“Helft ceo-fraudemails verstuurd op maandag of dinsdag”

De helft van alle e-mails waarmee oplichters ceo-fraude proberen te plegen wordt verstuurd op maandag of dinsdag, zo stelt de Anti-Phishing Working Group (APWG) in een rapport over het derde kwartaal (pdf). Bij ceo-fraude doet een oplichter zich voor als een directeur of andere vertrouwde partij, zoals een leverancier, en probeert een medewerker van de aangevallen organisatie geld naar een opgegeven rekening over te laten maken.

De FBI meldde in september nog dat ceo-fraude de afgelopen jaren wereldwijd voor 26 miljard dollar schade heeft gezorgd, waarmee het de schadelijkste vorm van cybercrime is. Om de fraudemails te versturen kunnen oplichters het e-mailadres spoofen, registreren ze domeinnamen die op de domeinnaam van de aangevallen organisatie lijken of worden gecompromitteerde e-mailaccounts gebruikt.

Volgens de APWG werd in het derde kwartaal 54 procent van alle ceo-fraudemails via gratis webmaildiensten verstuurd. Een daling ten opzichte van de 62 procent in het tweede kwartaal. Het gebruik van domeinnamen die lijken op de naam van de aangevallen organisatie, ook wel typosquatting genoemd, kwam uit op 40 procent, een stijging van zeven procent in vergelijking met het voorgaande kwartaal.

Bijna de helft van alle ceo-fraudemails werd op maandag en dinsdag verstuurd, waarbij de oplichters een voorkeur voor dinsdag hebben. Slechts drie procent van de fraudemails werd op een zaterdag of zondag afgeleverd. De APWG is een not-for-profit vereniging die zich inzet voor de bestrijding van e-mailfraude en gebruikt data die afkomstig van allerlei securitybedrijven is.

https://www.security.nl/posting/631848/%22Helft+ceo-fraudemails+verstuurd+op+maandag+of+dinsdag%22?channel=rss

doorSecuratis

Onderzoekers tonen zerodaylekken in Chrome, Safari en Edge

Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen.

De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Gisteren was de eerste dag van het evenement, vandaag vindt dag twee plaats. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar voor het demonstreren van onbekende kwetsbaarheden.

De wedstrijd begon met verschillende aanvallen tegen Edge, gevolgd door Chrome en Safari. Alle drie de browsers sneuvelden. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website met een volledig gepatchte versie van Chrome, Edge of Safari is voldoende om een aanvaller toegang tot het systeem te geven. Er is geen verdere interactie van gebruikers vereist en er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar gemaakt. Mozilla Firefox maakte geen deel uit van de wedstrijd.

Drie verschillende onderzoeksteams wisten Microsoft Edge te compromitteren. Team “ddd”, dat eerder Edge compromitteerde, demonstreerde ook een succesvolle zerodayaanval tegen Google Chrome. Ook een ander team kreeg Googles browser op de knieën. Vier teams probeerden vervolgens een aanval tegen Apple Safari te laten zien, maar drie daarvan gaven op. Team “StackLeader” slaagde er wel in om Apples browser succesvol aan te vallen.

Bij de demonstratie van een zerodayaanval tegen Adobe Reader was StackLeader wederom succesvol, alsmede een ander team. Uiteindelijk moest ook Microsoft Office 365 ProPlus eraan geloven. Via een kwaadaardig rtf-document blijkt het mogelijk om willekeurige code uit te voeren en de ProtectionView-maatregel van de software deels te omzeilen. Verder toonden drie verschillende teams zerodaylekken in de D-Link DIR-878. Alle betrokken leveranciers en partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.

Image

https://www.security.nl/posting/631761/Onderzoekers+tonen+zerodaylekken+in+Chrome%2C+Safari+en+Edge?channel=rss

doorSecuratis

Facebook dicht ernstig beveiligingslek in WhatsApp

Ik heb nergens last van want ik gebruik een nokia
sms en telefoon,hij werkt prima.

Maar het systeem dwingt mij om een smartphone aan te schaffen,
want we willen jou kunnen zien,en kunnen volgen,algoritmes,wie ben jij nu eigenlijk snotneus.
Het is straks jou identificatie,en de enige manier om te communiceren,verplicht app-gebruik,
met overheids-instanties,je werkgever en noem het maar op,straks niet meer kunnen betalen in de winkels.

Nu word ik ook blootgesteld aan lekken,hackers,volg-systemen noem het maar op,
elk jaar een nieuwe smartphone,omdat hij niet meer ondersteund word door updates etc.

Bah,heb ik dit nodig laat mij met rust.

No mainstream burger

https://www.security.nl/posting/631757/Facebook+dicht+ernstig+beveiligingslek+in+WhatsApp?channel=rss

doorSecuratis

Wit-Rusland blokkeert toegang tot servers ProtonMail

De autoriteiten in Wit-Rusland blokkeren de toegang tot servers van ProtonMail en ProtonVPN, waardoor internetgebruikers in het land geen gebruik van de diensten kunnen maken. Dat heeft ProtonMail bekendgemaakt. Wit-Russische internetproviders blijken ip-adressen van Proton-servers te blokkeren.

Mogelijke aanleiding voor de blokkade is een bomdreiging die van een ProtonMail-adres afkomstig zou zijn. De Wit-Russische autoriteiten hebben echter nog geen verklaring gegeven. “Het blokkeren van een complete e-maildienst is een ineffectieve en misplaatste methode om op criminele acties van een enkele gebruiker te reageren, met name als miljoenen mensen ProtonMail gebruiken om te communiceren en hun privacy te beschermen”, zegt Ben Wolford van ProtonMail.

De vpn- en e-mailaanbieder probeert contact met de Wit-Russische autoriteiten te krijgen om de blokkade op te heffen. In de tussentijd worden gebruikers in het land aangeraden om van Tor Browser gebruik te maken en een klacht bij hun internetprovider in te dienen. Eerder dit jaar besloot ook de Russische overheid om enige tijd de toegang tot ProtonMail te blokkeren.

https://www.security.nl/posting/631668/Wit-Rusland+blokkeert+toegang+tot+servers+ProtonMail?channel=rss

doorSecuratis

Aanbieder ddos-diensten veroordeeld tot 13 maanden cel

Een 21-jarige Amerikaan die twee jaar lang verschillende ddos-diensten op internet aanbood is in de Verenigde Staten veroordeeld tot een gevangenisstraf van 13 maanden. Ook moet de man 543.000 dollar die hij met de diensten verdiende en tientallen servers die hij hiervoor gebruikte afstaan.

De man was verantwoordelijk voor ExoStresser, QuezStresser, Betabooter, Databooter, Instabooter, Polystress en Zstress. Via de diensten konden gebruikers tegen betaling allerlei ddos-aanvallen tegen websites laten uitvoeren. De aanvallen hadden niet alleen invloed op de aangevallen organisaties, maar ook op andere partijen die geen doelwit waren, zo stelt het Amerikaanse openbaar ministerie.

Een ddos-aanval die eind 2016 op een schooldistrict in Pittsburgh werd uitgevoerd verstoorde niet alleen de computersystemen van het schooldistrict, maar raakte ook de systemen van zeventien andere organisaties die van dezelfde infrastructuur gebruikmaakten, waaronder andere schooldistricten en lokale overheid.

De ddos-diensten van de man werden van augustus 2015 tot en met november 2017 aangeboden. Eén van de diensten claimde meer dan 1,3 miljoen ddos-aanvallen te hebben uitgevoerd en voor meer dan 109.000 uur aan downtime bij slachtoffers verantwoordelijk te zijn geweest.

https://www.security.nl/posting/631663/Aanbieder+ddos-diensten+veroordeeld+tot+13+maanden+cel?channel=rss