Chinese wifi-router vol ernstige kwetsbaarheden

Een wifi-router die in China wordt verkocht blijkt vol ernstige kwetsbaarheden te zitten waardoor een aanvaller zonder inloggegevens het apparaat volledig kan overnemen. Ook voert het apparaat DDoS-aanvallen tegen GitHub uit. Het gaat om de uRouter van fabrikant BHU WiFi.

Onderzoeker Tao Sauvage van beveiligingsbedrijf IOActive was onlangs in China en besloot als souvenir een aantal apparaten als souvenir mee te nemen, waaronder de uRouter. Aangezien de handleiding en webinterface in het Chinees waren besloot Sauvage de firmware te analyseren. Daarbij liep hij tegen enkele ernstige kwetsbaarheden aan. Zo bleek dat de authenticatie eenvoudig te omzeilen is, kan er toegang tot de beheerdersfuncties en vertrouwelijke informatie in logbestanden worden verkregen en is het mogelijk om zonder inloggegevens opdrachten voor het besturingssysteem te injecteren die vervolgens met rootrechten worden uitgevoerd.

Verder blijkt de router een JavaScript-bestand van een derde partij aan het http-verkeer van gebruikers toe te voegen voor het uitvoeren van een DDoS-aanval tegen GitHub.com. Verder wordt het apparaat met verborgen gebruikersaccounts, een ingeschakelde ssh-server en een vast rootwachtwoord geleverd. IOActive probeerde de fabrikant in mei over de gevonden beveiligingslekken te informeren, maar dit had geen succes, zo blijkt uit de nu gepubliceerde advisory (pdf).

Mensen negeren beveiligingsmelding op ongeschikte momenten

“We ontdekten dat het brein niet goed met multitasking kan omgaan”, zegt hoogleraar Anthony Vance die aan het onderzoek meewerkte.

Nee, dat heb je niet ontdekt. Sinds alweer heel wat jaren geleden mensen die er vermoedelijk commercieel belang bij hadden het idee begonnen te pushen dat jong mensen door hoe ze met allerlei interactieve gadgets zijn opgegroeid beter zouden zijn in multitasken dan ouderen heeft werkelijk elk onderzoek door wetenschappers die eens gingen kijken hoe het nou echt zit uitgewezen dat het klinkklare onzin is. Dit is geen ontdekking, dit is het zoveelste aanvullende bewijs. Waardevol, maar geen nieuwe ontdekking.

Dit lijkt op het tonen van een overlay advertentie of een uitnodiging tot deelname aan een gebruikersonderzoek als je
net een webpagina opent. Klik weg ermee. Verloren moeite van de sitebouwer, irritatie++.Maar misschien zou er eens onderzocht moeten worden hoe het kan dat mensen zo iets ontwerpen zonder zelf in de
gaten te hebben dat het niet werkt.

Door redactie:…Beveiligingsmeldingen krijgen de meeste aandacht als ze op moment verschijnen dat de gebruiker minder aan het doen is, bijvoorbeeld na het kijken van een video, het wachten op een website die aan het laden is of na het gebruik van een website…

Zodoende het volgende scenario:

We’ve detected unusual behavior during playtime of this Video. Most probably your computer is infected with Malware and/ or Virusses. We strongly recommend a No-delay scan of your workstation(s) and – if applicable – inform your IT service(s) about this situation.

Inderdaad! zo’n melding dan bij voorkeur ook nog in het Engels (doet gewichtiger aan)

Brigham Young University en Google Chrome developpers: Ik klap bijna dubbel van het lachen!

We ontdekten dat het brein niet goed met multitasking kan omgaan”, zegt hoogleraar Anthony Vance

Is er wel een mens die uberhoud kan multitasking, ja velen denken dat ze dat kunnen maar is dat zo, nee mooi niet.

@17:31 door AnoniemHet is de interpretatie van het woord discover. Je kunt voor jezelf iets ontdekken terwijl anderen het al weten. Symantec was daar vroeger goed in hun persberichten.

@ 20:13 door Aha

Heb je die zinnen zelf bedacht? De spelfouten en steenkolenengels zijn niet erg overtuigend.

@07:07 door Anoniem

“Ueberhaupt kan multitasken”

Ziekenhuizen doelwit van nieuwe ransomware-campagne

Ziekenhuizen en andere zorgverleners zijn het voornaamste doelwit geworden van een nieuwe campagne van de Locky-ransomware, zo claimt het Amerikaanse beveiligingsbedrijf FireEye. Via e-mails met als bijlage docm-bestanden werd de ransomware verspreid.

De docm-bestanden waren van macro’s voorzien. Wanneer ingeschakeld werd door de macro’s de Locky-ransomware op de computer gedownload. Deze ransomware versleutelt vervolgens allerlei bestanden voor losgeld. Volgens FireEye zijn zorgverleners het hardst door de nieuwste campagne getroffen, gevolgd door telecom- en transportbedrijven. Het gaat dan met name om organisaties die zich in de Verenigde Staten, Japan en Zuid-Korea bevinden. Nederland komt niet terug in de statistieken van FireEye.

In mei van dit jaar liet minister Schippers van Volksgezondheid nog weten dat Nederlandse ziekenhuizen zelf verantwoordelijk zijn voor de aanpak van ransomware en niet de overheid. Op Kamervragen over de veiligheid van ziekenhuissystemen liet Schippers vorige maand nog weten dat het afgelopen jaar twee ziekenhuizen bij het Nationaal Cyber Security Center (NCSC) van de overheid een malwarebesmetting hadden gemeld.

Image

Malware infecteert kassa’s kledingketen Eddie Bauer

Malware die ontwikkeld is om creditcardgegevens te stelen is maandenlang op de kassa’s van de Amerikaanse kledingketen Eddie Bauer actief geweest, waardoor criminelen mogelijk toegang tot de creditcardgegevens van klanten hebben gekregen. Dat heeft de kledingketen zelf bekendgemaakt.

De malware blijkt van 2 januari dit jaar tot 17 juli actief te zijn geweest. In een verklaring stelt de kledingketen dat het doelwit is geworden van een “geraffineerde aanval” gericht tegen meerdere restaurants, hotels en winkelketens. Hoe de kassa’s geïnfecteerd konden worden is niet bekendgemaakt. Wel zegt Eddie Bauer maatregelen te hebben genomen om de veiligheid van de kassasystemen te verbeteren en zo herhaling te voorkomen. Eddie Bauer heeft meer dan 400 winkels in de Verenigde Staten, Canada, Duitsland, Japan en andere landen.

Slim stopcontact kan e-mailwachtwoord gebruiker lekken

Een slim stopcontact dat via een smartphone-app is te bedienen blijkt allerlei kwetsbaarheden te bevatten waardoor het op afstand kan worden aangevallen. Een aanvaller zou zo inloggegevens van het e-mailadres van de gebruiker kunnen achterhalen of het stopcontact kunnen bedienen.

In het ergste geval kan er zelfs kwaadaardige firmware worden geïnstalleerd. Het Roemeense anti-virusbedrijf Bitdefender ontdekte de problemen, maar wil de naam van fabrikant niet bekendmaken aangezien de kwetsbaarheden nog niet zijn opgelost. Het slimme stopcontact beschikt over een eigen wifi-netwerk dat via de smartphone-app is te benaderen. Zodra de app verbinding heeft met het stopcontact moet de gebruiker de inloggevens van zijn eigen wifi-netwerk invoeren, zodat het stopcontact hierop wordt aangesloten.

Het eerste probleem waar de onderzoekers tegenaan liepen is dat het wifi-netwerk van het slimme stopcontact standaard een zwakke gebruikersnaam en wachtwoord gebruikt. Ook wordt gebruikers niet aangeraden het standaardwachtwoord van het stopcontact te veranderen. Verder blijkt dat de mobiele app om het stopcontact te bedienen gegevens zoals wifi-gebruikersnaam en -wachtwoord niet versleutelt. De gegevens die via de server van de fabrikant met de app en het apparaat worden uitgewisseld blijken ook niet te zijn versleuteld, maar alleen gecodeerd. Deze codering is weer te kraken. Verder beschikt het slimme stopcontact over de mogelijkheid om gebruikers een e-mail te sturen als het een apparaat aan- of uitzet. Hiervoor moet de gebruiker wel de inloggegevens van zijn e-mailaccount invoeren.

Aanvallen

Door de slechte beveiliging kan een aanvaller die het mac-adres en het standaardwachtwoord weet op afstand toegang tot het stopcontact krijgen om vervolgens instellingen aan te passen of de inloggegevens van het ingestelde e-mailaccount te achterhalen. Verder blijkt dat via het instellen van een nieuw wachtwoord er command-injectie mogelijk is. Op deze manier kan een aanvaller in het nieuwe wachtwoord allerlei opdrachten meegeven die het stopcontact vervolgens uitvoert. Zodoende is het mogelijk om het rootwachtwoord te overschrijven en de Telnet-dienst van het stopcontact te starten. Via Telnet kan de aanvaller ongeacht zijn locatie allerlei opdrachten uitvoeren en zelfs kwaadaardige firmware installeren. Hiermee kan bijvoorbeeld weer worden geprobeerd om andere apparaten in het netwerk aan te vallen.

“Tot nu toe waren de meeste Internet of Things-kwetsbaarheden alleen in de buurt van het huis aan te vallen waar ze werden gebruikt. Deze kwetsbaarheid geeft hackers de mogelijkheid om via het internet apparaten te besturen en de beperkingen van network address translation (NAT) te omzeilen. Dit is een ernstige kwetsbaarheid. We zouden een botnet van deze stopcontacten kunnen tegenkomen”, zegt onderzoeker Alexandru Balan. De fabrikant van het stopcontact heeft aangegeven in het derde kwartaal van dit jaar met een oplossing te komen.

Zoals aangegeven wil Bitdefender de naam van de fabrikant niet bekendmaken. De virusbestrijder heeft echter een screenshot van het kwetsbare stopcontact in de analyse geplaatst. In het screenshot is de naam van de fabrikant onherkenbaar gemaakt. De naam van de afbeelding bevat echter nog steeds de naam van de fabrikant, namelijk Edimax.

Synology voegt optie voor Amazone Cloud Drive toe aan Hyper Backup

Synology heeft een optie toegevoegd om data te synchroniseren met Amazon Drive, een dienst die ongelimiteerde opslag van bestanden voor 60 dollar per jaar. De nieuwe optie zit in Hyper Backup, de backupdienst van de fabrikant.

Volgens tweaker Microkid is het wel nodig om de Hyper Backup-package in DSM te updaten om de optie voor Amazon Drive te kunnen zien en gebruiken. Synology bood al backup-opties aan door synchronisatie met onder meer Dropbox, Google Drive en Microsoft Onedrive.

Synology stelt gebruikers op de hoogte van de nieuwe optie via e-mail, terwijl het Amazon Drive inmiddels ook noemt op de eigen site. Via Hyper Backup kunnen gebruikers van een nas van de fabrikant bestanden via meerdere pc’s benaderen en via een internetverbinding backuppen naar een andere Synology-nas of een webdienst.

Amazon biedt sinds vorig jaar een optie om ongelimiteerd bestanden te synchroniseren met Amazon Drive voor 59,99 dollar per jaar. Veel andere aanbieders hebben ook betaalde opties, maar kennen daarbij wel limieten.

Synology cloud backup

Beveiligingsbedrijf stelt decryptietool voor Cerber-ransomware beschikbaar

Beveiligingsbedrijf Check Point heeft een decryptietool voor de Cerber-ransomware beschikbaar gesteld. Hiermee kunnen slachtoffers van versie 1 en 2 van de malware gratis de versleuteling van hun bestanden ongedaan maken.

Check Point laat weten dat het een uitgebreid onderzoek heeft uitgevoerd naar de Cerber-ransomware en dat het naar aanleiding daarvan in staat was om een decryptietool te ontwikkelen. Deze is beschikbaar op een speciale site en vereist dat slachtoffers een door Cerber versleuteld bestand uploaden. Daarna wordt een decryptiesleutel aangemaakt, die samen met de tool in dezelfde folder moet worden opgeslagen. Vervolgens kan de tool met beheerdersrechten uitgevoerd worden om de getroffen bestanden weer beschikbaar te maken.

Cerber-bestanden zijn te herkennen aan de bestandsextensies ‘cerber’ en ‘cerber2’, aldus Check Point. Het bedrijf legt uit dat Cerber beschikbaar is als RaaS, oftewel ransomware as a service. Hiermee zouden ook gebruikers zonder veel verstand van computers in staat zijn om geld te verdienen met de malware. Cerber maakt voor elk geïnfecteerd slachtoffer een unieke bitcoinwallet aan, waar het losgeld naartoe gestuurd moet worden. Op die manier zijn de criminelen achter Cerber in staat om in totaal bijna een miljoen dollar in een jaar te verdienen, zo schat het beveiligingsbedrijf.

Cerber is wijd verspreid doordat de malware deel uitmaakt van grote exploitkits, waaronder Magnitude, Rig en Neutrino. Door command and control-servers in de gaten te houden was Check Point in staat om het aantal actieve Cerber-campagnes in kaart te brengen. In totaal kon het bedrijf 161 actieve campagnes onderscheiden, waar dagelijks acht nieuwe campagnes bijkomen. Hierdoor heeft Cerber in de afgelopen maanden wereldwijd ongeveer 150.000 slachtoffers weten te maken in ongeveer 200 landen.

Onderzoek: Amerikaan kiest wachtwoord boven biometrie

Multi-Factor en SmartCard tokens wordt dus niet eens voorgelegd? Skip onderzoek…

Ook omdat in de VS biometrie zonder toestemming in een politieonderzoek mag worden afgenomen (zoals vingerafdruk), en een wachtwoord niet (5th amendment). Biometrie is dus gezien de niet echt waterdichte werkwijze van de politie daar, een slechte beveiliging van je data.Alhoewel ik twijfel of de ondervraagden zover nadenken…

biometrie is authenticatie, wachtwoord is toegangsbeveiliging. Appels en peren onderzoek dus.Wel de ideale manier om mensen te laten geloven dat het een vervanger zou zijn.

Biometrie is niet geschikt voor authenticatie. Je kan dat soort gegevens niet wijzigen, je gebruikt op alle systemen dezelfde gegevens en ze zijn makkelijk te achterhalen. Het is echter wel geschikt voor identificatie. Met andere woorden: een vingerafdruk is ongeschikt als vervanger voor het wachtwoord, maar wel geschikt als vervanger voor de gebruikersnaam.

Organisatie achter VeraCrypt-audit vermoedt dat e-mails worden onderschept

Ostif, de organisatie die de audit van de VeraCrypt-encryptiesoftware organiseert, vermoedt dat e-mails over de audit worden onderschept. De berichten komen niet aan en zijn niet terug te vinden in de de ‘verzonden berichten’-folder.

VeraCrypt fpaOstif schrijft dat het met QuarksLab, de partij die de audit gaat uitvoeren, en de hoofdontwikkelaar van VeraCrypt een e-mailuitwisseling op basis van pgp heeft opgezet. In de over en weer verstuurde e-mails zouden de partijen details van de audit hebben besproken, waaronder kwetsbaarheden, processen en procedures voor het melden van bevindingen. Tot nu toe zouden vier berichten volledig zijn verdwenen die afkomstig waren van verschillende verzenders. Ostif meldt dat het gebruikmaakt van de Google Apps-versie van Gmail voor bedrijven.

De partijen gaan ervan uit dat dit het gevolg is van inmenging door derden. Daarom zouden zij nu overgaan naar een andere manier voor het uitwisselen van versleutelde berichten. Ostif gaat niet in op de manier waarop het bij de conclusie is uitgekomen dat de verdwenen berichten het gevolg zijn van onderschepping.

Op 1 augustus maakte Ostif bekend dat er een audit van de broncode van VeraCrypt zou plaatsvinden. De nodige financiële middelen zijn beschikbaar gesteld door zoekmachine DuckDuckGo en vpn-dienstverlener VikingVPN. Het is de bedoeling dat de resultaten van het onderzoek halverwege september gepresenteerd worden door QuarksLab. Het bedrijf heeft afgesproken om gevonden lekken eerst met de ontwikkelaars van VeraCrypt te delen, zodat deze met een oplossing kunnen komen.

VeraCrypt is software waarmee gebruikers hun harde schijf volledig of gedeeltelijk kunnen versleutelen. Ook biedt de software de mogelijkheid om versleutelde containers aan te maken, die alleen met een wachtwoord toegankelijk zijn en verborgen kunnen worden. VeraCrypt is een fork van TrueCrypt, dat niet meer wordt ontwikkeld. Tweakers besteedde uitgebreid aandacht aan VeraCrypt in de achtergrond over privacytools.

Botnet steelt profielgegevens LinkedIn-gebruikers

Criminelen hebben een botnet gebruikt om profielgegevens van LinkedIn-gebruikers te stelen, zo blijkt uit een rechtszaak die de zakelijke netwerksite tegen de onbekende aanvallers heeft aangespannen. LinkedIn hoopt zo de daders achter de datadiefstal te kunnen achterhalen, zo meldt Silicon Beat.

“Sinds december vorig jaar tot nu toe hebben onbekende personen en/of entiteiten verschillende geautomatiseerde softwareprogramma’s gebruikt (bots) om data van LinkedIn-pagina’s te kopiëren”, aldus LinkedIn in de aanklacht. De gekopieerde gegevens zouden vervolgens met andere partijen zijn gedeeld. Volgens LinkedIn zorgen deze acties ervoor dat het vertrouwen van LinkedIn-gebruikers hierdoor wordt geschaad.

Om de gegevens te stelen zouden de aanvallers duizenden nepprofielen hebben aangemaakt en daarna de netwerksite zijn afgegaan. “De aanvallers gebruiken een gecoördineerd en geautomatiseerd netwerk van computers, ook bekend als een botnet”, laat de aanklacht verder weten. Wie de aanvallers zijn is onbekend. Wel zou LinkedIn maatregelen hebben genomen om het “scrapen” van de website tegen te gaan.

De aanvallers wisten deze maatregelen echter te omzeilen door gebruik van partijen te maken die op een whitelist van LinkedIn staan. Zodoende konden ze weer toegang tot servers van de netwerksite krijgen. Door de rechtszaak wil LinkedIn dat de providers en netwerken waar de aanvallers gebruik van maken worden gedwongen om de identiteit van de aanvallers prijs te geven.

« Older Entries