Categorie archief News

doorSecuratis

Duitse overheid publiceert nieuwe eisen voor veilige browsers

De Duitse overheid heeft een nieuwe minimale standaard gepubliceerd waar veilige browsers aan moeten voldoen. Twee jaar geleden publiceerde het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, al een eerste versie van de eisen.

De “Browser-Abgleichstabelle zum Mindeststandard des BSI für sichere Web-Browser” beschrijft verschillende eisen waaraan een veilige browser moet voldoen, zoals de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), het versleuteld opslaan van wachtwoorden, ondersteuning van Content Security Policy, sandboxing en certificaatbeheer. Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt.

Tevens heeft het BSI gekeken of Mozilla Firefox 68 Extended Support Release (ESR), Google Chrome 76, Microsoft Internet Explorer 11 en Microsoft Edge 44 aan de eisen voldoen (pdf) en is er een lijst met aanbevelingen opgesteld om browsers veilig te kunnen gebruiken. Zo moet Flash standaard zijn uitgeschakeld, alsmede het synchroniseren van data met de cloud, automatisch aanvullen en de opslag van wachtwoorden door de wachtwoordmanager van de browser.

Image

https://www.security.nl/posting/625720/Duitse+overheid+publiceert+nieuwe+eisen+voor+veilige+browsers?channel=rss

doorSecuratis

Cisco en Microsoft waarschuwen voor NodeJS-gebaseerde malware

Zowel Cisco als Microsoft waarschuwen internetgebruikers voor NodeJS-gebaseerde malware die bij recente campagnes is gebruikt om duizenden computers in Europa en de Verenigde Staten aan te vallen. NodeJS is een platform voor het uitvoeren van JavaScript-code buiten de browser. Het gebruik van NodeJS voor de verspreiding van malware komt volgens Cisco en Microsoft zelden voor.

De aanval begint met de gebruiker die een kwaadaardig HTA-bestand downloadt en uitvoert. HTA is de afkorting voor HTML-applicaties. Eenmaal geopend probeert het HTA-bestand aanvullende JavaScript-code te downloaden, gevolgd door extra modules. Deze modules schakelen Windows Defender en Windows Update uit. Verder wordt van de officiële website NodeJS.org het legitieme bestand node.exe gedownload. Dit bestand wordt gebruikt voor het uitvoeren van de uiteindelijke JavaScript-payload die voor Node.js is geschreven en de computer in een proxy verandert.

Tevens installeert de malware de WinDivert packet capture library waarmee uitgaand netwerkverkeer kan worden aangepast en gefilterd. Het gaat dan specifiek om het blokkeren van updates voor antivirussoftware. Naast het gebruik van de machine als proxy wordt die ook voor clickfraude ingezet. De malware bezoekt websites met advertenties waarvoor de criminelen achter de malware betaald krijgen.

“Dit is niet de eerste dreiging die van Node.js gebruikmaakt. Er zijn verschillende gevallen uit het verleden bekend. Node.js is echter een bijzondere manier om malware te verspreiden. Het is niet alleen legitiem, Node.exe heeft ook een geldige digitale handtekening, waardoor kwaadaardige JavaScript in de context van een vertrouwd proces kan draaien”, zegt Microsofts Andrea Lelli. Ook volgens Edmund Brumaghi van Cisco komt het gebruik van Node.js door malware niet veel voor.

Image

https://www.security.nl/posting/625694/Cisco+en+Microsoft+waarschuwen+voor+NodeJS-gebaseerde+malware?channel=rss

doorSecuratis

Webversie Outlook blokkeert 38 extra bestandsextensies

De webversie van Outlook zal binnenkort 38 extra bestandsextensies blokkeren, waaronder Java-bestanden, bestanden voor digitale certificaten en PowerShell- en Python-bestanden, zo heeft Microsoft via Twitter aangekondigd.

Gebruikers van de webversie kunnen deze bestanden straks niet meer downloaden als ze als bijlage bij e-mailberichten zijn toegevoegd. Volgens Microsoft worden de nieuw te blokkeren bestandsextensies zelden gebruikt en zullen organisaties dus weinig hiervan melden. Organisaties die toch willen dat hun gebruikers dergelijke bestanden kunnen downloaden krijgen het advies om al hun software up-to-date te houden en ervoor zorgen dat gebruikers met de risico’s bekend zijn. Via een policy is het vervolgens mogelijk om het downloaden van de bestanden toe te staan.

Het gaat om de volgende extensies: “.py”, “.pyc”, “.pyo”, “.pyw”, “.pyz” en “.pyzw” (Python), “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.psd1”, “.psdm1”, “.psd1” en “.psdm1” (PowerShell), “.cer”, “.crt” en “.der” (certificaten), “.jar” en “.jnlp” (Java) en extensies waar verschillende applicaties gebruik van maken: “.appcontent-ms”, “.settingcontent-ms”, “.cnt”, “.hpj”, “.website”, “.webpnp”, “.mcf”, “.printerexport”, “.pl”, “.theme”, “.vbp”, “.xbap”, “.xll”, “.xnk”, “.msu”, “.diagcab” en “.grp”. Aanvallers zouden via bestanden met deze extensies malware op systemen kunnen installeren.

“De veiligheid van de gegevens van onze klanten is van het grootste belang, en we hopen dat onze klanten deze verandering begrijpen en waarderen. Verandering kan verstorend zijn, dus we hopen dat deze informatie helpt te begrijpen waarom we dit doen”, aldus het Microsoft Exchange Team.

Image

https://www.security.nl/posting/625612/Webversie+Outlook+blokkeert+38+extra+bestandsextensies?channel=rss

doorSecuratis

Politie start nieuw experiment met virtuele chatbot Wout

Wout……….De Nederlandse politie wordt met de dag ongeloofwaardiger.

Ze huilen bij een rechtszitting, lopen er tegenwoordig bij als op een catwalk voor gele accentueerstiften en denken dat ze populair worden bij het door de bank genomen van minachting bolstaande publiek door een scheldnaam uit het verleden: “wouten” af te korten tot “Wout” en dat binnen een functioneel kader. Om je te bescheuren. Een klucht gebracht door John Lanting zou het als script kunnen gebruiken.

De politie moet zich niet willen populariseren. Nooit. Ver van dat! Het is een afschuwelijke denkfout.

Ik ben van de generatie die respect had voor de politie toen zij nog gekleed waren in zwart met blauwe pofbroek. Waarom? Omdat zij er de wind onder hielden bij het publiek.
Mijn opa, geboren rond 1890 (geen lieverdje, hij liep altijd met een opinel mes op zak) was ook vanwege zijn voor die tijd lengte van bijna 2 meter een reus van een kerel; type dokwerker met handen als kolenschoppen, maar had er schrik voor als hij weer eens werd opgebracht wegens openbare dronkenschap. Onderweg naar het bureau draaiden ze (politie) hem bijna de arm uit de kom en als hij ook maar een spier verzette – wat hij dus deed – kreeg hij een pak rammel van jewelste eenmaal uit het zicht van het openbare leven.

Waar is het misgegaan dat de politie er nu bijloopt als aangeklede fluoriserende Homo Erectus vol met (niet) ontzag inboezemend instrumentarium en it will not do?

Het antwoord is in drie woorden samengevat: Gebrek aan handhaving. Slechts die drie woorden zijn voldoende om historische verantwoording af te leggen voor zoals sommigen zeggen: Het falen van de Nederlandse rechtstaat.

En de kern daarvan is weer dat de burger/mens in de maatschappij gelijk is aan een kleuter die je met regelmaat streng bij de les moet houden, moet corrigeren. (handhaving) Laat het los en de maatschappij verloedert.

https://www.security.nl/posting/625588/Politie+start+nieuw+experiment+met+virtuele+chatbot+Wout?channel=rss

doorSecuratis

Test: 21 virusscanners voor Windows 10 vergeleken

Het Duitse testlab AV-Test heeft 21 virusscanners voor Windows 10 vergeleken en maar liefst elf pakketten werden tot “Top Product” uitgeroepen, waaronder de gratis oplossingen van Avast en Microsoft. De test richtte zich op beveiligingssoftware voor eindgebruikers.

De antiviruspakketten werden beoordeeld op de detectie van malware, prestaties en bruikbaarheid. Voor de drie onderdelen konden de pakketten bij elkaar 18 punten verdienen. Bij de detectie van malware werd gekeken naar 368 “zero-day” malware-exemplaren en 13.500 malware-exemplaren die in de laatste vier weken voor de test werden ontdekt.

Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 98,9 procent gehaald. De test met de 13.500 malware-exemplaren leverde een gemiddelde detectiescore van 100 procent op. Slechts vijf scanners, Comodo, Kaspersky, Microsoft Windows Defender, Symantec en Trend Micro, scoren op beide onderdelen 100 procent. Malwarebytes en Protected.net zetten op dit onderdeel de laagste score neer.

Bij het tweede onderdeel, de prestaties, werd naar zaken als het bezoeken van websites, downloaden van bestanden, installeren en draaien van software en het kopiëren van bestanden gekeken en welke invloed de pakketten hierop hadden. Negen van de twintig pakketten scoren de maximale 6 punten. Protected.net eindigt met 4 punten onderaan.

Tijdens het laatste onderdeel van de test, de bruikbaarheid, kwamen de ‘false positives’ aan bod. In deze gevallen beschouwt de virusscanner schone software als malware of schone websites als besmet. Iets wat als het bijvoorbeeld om systeembestanden gaat vervelende gevolgen kan hebben. Tien van de twintig pakketten halen op dit onderdeel de maximale 6 punten. PC Matic is met 3 punten hekkensluiter.

Uiteindelijk weten Kaspersky, McAfee en Symantec de maximale 18 punten te scoren, gevolgd door acht producten met 17,5 punten. Virusscanners met 17,5 of 18 punten worden door AV-Test als Top Product bestempeld. Het gaat onder andere om de gratis oplossingen van Avast en Microsoft. Microsofts Windows Defender zit daarbij standaard ingebouwd in Windows 10. Malwarebytes en Protected.net eindigen met elk 14 punten onderaan.

Image

https://www.security.nl/posting/625520/Test%3A+21+virusscanners+voor+Windows+10+vergeleken?channel=rss

doorSecuratis

OM verdenkt Eindhovenaar van grootschalige wachtwoorddiefstal

Het Openbaar Ministerie verdenkt een 38-jarige man uit Eindhoven van grootschalige wachtwoorddiefstal via webshops die van een backdoor waren voorzien. De man werd vorig jaar veroordeeld tot een gevangenisstraf van vier jaar, waarvan een jaar voorwaardelijk. In de zaak is hoger beroep aangetekend en het Openbaar Ministerie eist opnieuw een zelfde straf.

De verdachte bood zichzelf bij bedrijven aan als websitebouwer. Voor diverse bedrijven ontwikkelde hij een webshop waar een script aan was toegevoegd waardoor hij alle gebruikersnamen en wachtwoorden van klanten van deze shops ontving. “Omdat veel mensen één inlognaam en wachtwoord gebruiken, kon hij binnendringen in de klantenaccounts van die klanten bij andere webshops. Deze accounts heeft hij gebruikt om frauduleuze bestellingen te plaatsen”, aldus het OM.

Volgens het Openbaar Ministerie heeft de man met de onderschepte wachtwoorden ook op honderden Facebookaccounts kunnen inloggen om die vervolgens voor fraude te gebruiken. Hij deed zich daarbij voor als zijn slachtoffers. Zo las hij de privéberichten van de eigenaar van het gecompromitteerde account en zocht uit met wie het slachtoffer goed contact had.

“Vervolgens vroeg hij met diverse verhalen om geld, waarbij hij zich voordeed als de echte eigenaar van het account. Daarmee heeft hij zijn slachtoffers misleid en hun privacy op ernstige wijze geschonden”, stelt de advocaat-generaal. Op de laptop van de verdachte zijn meer dan 22.000 gebruikersnamen met bijbehorende wachtwoorden aangetroffen. Het gerechtshof Arnhem-Leeuwarden doet over twee weken uitspraak in de zaak.

Image

https://www.security.nl/posting/625519/OM+verdenkt+Eindhovenaar+van+grootschalige+wachtwoorddiefstal?channel=rss

doorSecuratis

Malafide vacaturesite richt zich op Amerikaanse ex-militairen

Onderzoekers van Cisco hebben een malafide vacaturesite ontdekt die het op Amerikaanse ex-militairen heeft voorzien. De naam van de website, die op het moment van schrijven nog online staat, lijkt op die van een officiële overheidssite die Amerikaanse veteranen aan een nieuwe baan probeert te helpen.

De malafide vacturesite bestaat uit drie links die naar een gratis desktopapplicatie wijzen. Deze applicatie doet zich voor als een programma voor het werven van voormalige militairen. Tijdens de installatie laat de app een foutmelding zien dat de beveiligingssoftware van de gebruiker de toegang tot de servers heeft geblokkeerd. In werkelijkheid wordt er malware geïnstalleerd die allerlei informatie over het systeem verzamelt, alsmede een remote acces tool (RAT) installeert waarmee aanvallers volledige controle over het systeem krijgen.

“Deze specifieke aanvalsvector heeft de potentie om een groot aantal slachtoffers te maken”, aldus de onderzoekers van Cisco. Die stellen dat de aanval afkomstig is van een groep genaamd “Tortoiseshell“, die ook wordt verdacht van aanvallen op it-leveranciers.

Image

https://www.security.nl/posting/625424/Malafide+vacaturesite+richt+zich+op+Amerikaanse+ex-militairen?channel=rss

doorSecuratis

Google mag recht om vergeten te worden tot EU beperken

De macht van Google Corp en de krachten erachter is inmiddels al angstaanjagend.

Je ziet hier maar weer eens voorgeschoteld, wat voor afwegingen EU instituties maken in deze,
wanneer het gaat om deze globale spelers, zoals Google en de imperiale krachten,
die sturend hierachter zitten uit het overigens op de laatste benen lopend New Babylon
aan de andere kant van de grote visvijver.

Per EU-land valt er gelukkig ook nog een ander media geluid te horen.

Wat de mensen in Nederland door de media voorgeschoteld krijgen,
is anders dan wat TV1 in Polen laat horen bijvoorbeeld.

Dit zeer tot ergernis van de zelfverkozen EU bobo’s overigens.
One stream EU Federal State, dat is waar ze naar streven
met geen afwijkende geluiden en meningen als het enigszins kan.

Het juiste verhaal over bijvoorbeeld Biden & Zn. en de Oekraine horen de meeste Amerikanen in de USA media niet.
De media kanalen verdraaien de feiten liever en leggen de schuld bij de nieuwe Oekrainse regering en Trump,
die weer meer toenadering zoeken tot de Russische Federatie.
Zo werkt Divide et Impera (verdeel en heers) overal.

Slik je alles voor zoete koek, en denk je niet zelf na, wordt je wel grandioos op het verkeerde been gezet
en zien ze de linkjes die jij liever vergeten had gehad, toch elders, waar je dat niet wil.

#sockpuppet

https://www.security.nl/posting/625401/Google+mag+recht+om+vergeten+te+worden+tot+EU+beperken?channel=rss

doorSecuratis

HagaZiekenhuis ontslaat medewerker wegens datalek

Het Haagse HagaZiekenhuis heeft een medewerker ontslagen wegens een datalek waarbij formulieren met patiëntgegevens in een winkelwagentje werden achtergelaten. Dat heeft het ziekenhuis via de eigen website bekendgemaakt. De formulieren maakten deel uit van een dienstoverdracht.

Er stonden gegevens van negentien patiënten op, waaronder naam, geslacht, geboortedatum, opnamereden, behandelend arts, behandelbeleid en verpleegkundige aandachtspunten. De formulieren hadden na afloop van de dienst in een afgesloten papierbak of papierversnipperaar moeten worden gedaan. Naar aanleiding van het datalek werd een onderzoek ingesteld. “Uit het onderzoek is gebleken dat een van de medewerkers van Haga bij dit datalek betrokken is geweest. Het dienstverband van de desbetreffende medewerker is beëindigd”, aldus de verklaring van het ziekenhuis.

Het HagaZiekenhuis stelde eerder dat medewerkers die onzorgvuldig met patiëntgegevens omgaan in principe eerst een officiële waarschuwing van de directie krijgen. Bij herhaling volgt ontslag op staande voet. Dat wil niet zeggen dat de nu ontslagen medewerker eerder al een privacyovertreding had begaan. “Nee, zo moet je dat niet zien. Op basis van het onderzoek hebben we echter deze keuze moeten maken”, aldus een woordvoerder tegenover het AD.

https://www.security.nl/posting/625288/HagaZiekenhuis+ontslaat+medewerker+wegens+datalek?channel=rss

doorSecuratis

Duitse overheid meldt aanzienlijke schade door Emotet-malware

“Veel van de schade kan worden voorkomen als it-beveiligingsmaatregelen rigoureus worden geïmplementeerd. Het gaat dan om het trainen van het personeel alsmede het geregeld maken van back-ups en het uitrollen van beveiligingsupdates”, aldus BSI-directeur Arne Schönbohm.

Ervan uitgaande dat je met training niet in alle gevallen voorkomt dat medewerkers in nepmails trappen, zijn die maatregelen onvoldoende. Emotet, en aanvullende malware die door Emotet wordt gedownload, verspreiden zich in de meeste AD domeinen razendsnel (lateral movement) en probeert daarbij accounts met zo hoog mogelijke privileges over te nemen.

Je moet dus zoveel mogelijk voorkomen dat malware, zodra deze een account heeft gecompromiteerd, met dat account via het netwerk kan inloggen op systemen om daar verder schade te veroorzaken. Ook als het account op geen enkele PC adminrechten heeft, moet je ervan uitgaan dat er wel ergens een privilege escalation mogelijk is, waarna het uitlezen van cached passwords en password-hashes mogelijk is (UAC is natuurlijk sowieso geen security boundary). Tools van penetratietesters zoals Bloodhound, Responder en Mimikatz worden ook door deze malware ingezet. Alleen patchen is niet genoeg; je zult actief legacy protocollen en verouderde configuraties -waaronder identieke admin passwords op meerdere systemen- moeten opsporen en zoveel mogelijk elimineren!

Terugzetten van back-ups lijkt mij een laatste redmiddel, want vaak weet je niet wanneer de eerste compromittering plaatsvond, en dus hoever je in de tijd terug moet (hoe ouder de back-up, hoe veiliger, maar hoe meer werk verloren gaat).

Door verspreidingsmogelijkheden zoveel mogelijk te beperken en/of te vertragen, en compromittering bijtijds te detecteren en snel en verstandig in te grijpen (een op de plank liggend plan kan onnodige ellende door ondoordachte acties helpen voorkomen), kun je de totale schade beperken. Nb. Ik vrees dat deze golf, vroeger of later, ook naar Nederland komt; we zijn immers een rijk land…

https://www.security.nl/posting/625267/Duitse+overheid+meldt+aanzienlijke+schade+door+Emotet-malware?channel=rss