Tagarchief: Veiligheidslek

Spectre en Meltdown

Begin vorig jaar waren ze wereldnieuws: Spectre en Meltdown. Ernstige bugs in processoren van de afgelopen generaties tot de meest recente. En toen werd het vrij stil…

Om maar meteen met de deur in huis te vallen: de Spectre en Meltdown veiligheidslekken zijn nog altijd niet opgelost. Beide bugs op hardwareniveau maken het mogelijk voor hackers om vervelende dingen uit te voeren. De eerste generatie pleisters zorgde voor meer ellende dan soelaas. Hoewel er feitelijk maar een echte manier is om het probleem de kop in te drukken (een compleet nieuw ontwerp van processoren) is het ook mogelijk om er – deels – via updates wat aan te doen. Een moderne processor maakt namelijk gebruik van microcodes. Dat zijn instructies die onder de voor de gebruikers beschikbare instructies liggen. Die microcode is aanpasbaar, door bij het inschakelen van de pc een bestand met nieuwe instructie naar de processor te uploaden. Het best gaat dat via een aanpassing in de BIOS. Door precies daar die codes te plaatsen ontstaat een besturingssysteem-onafhankelijke patch die altijd direct beschikbaar is na aanzetten van een computer. Alleen: de meeste fabrikanten leveren niet tot nauwelijks bios-updates en zeker niet voor systemen van jaren oud. Een andere mogelijkheid is om de microcode aan te passen tijdens het booten van het besturingssysteem. Lees verder Spectre en Meltdown

Urgente noodpatch voor Windows

Microsoft heeft vlak voor de kerstperiode een zeer urgente noodpatch uitgebracht voor alle versies van Windows. Zelfs XP komt aan bod! De reden: een serieus veiligheidslek in – of all – Internet Explorer.

Hoewel het overgrote deel van de Windowsgebruikers allang geen Internet Explorer meer gebruikt, is dit helaas nog altijd een vast in het besturingssysteem gebakken browser. Ook in Windows 10 zit het stukje retro-software nog altijd ingebouwd. Er is een ernstig veiligheidslek in de antieke browser aangetroffen die ervoor zorgt dat als je een kwaadwillende site bezoekt, je computer overgenomen kan worden. Heel vervelend allemaal en dus reden voor Microsoft om afgelopen woensdagavond/nacht een noodpatch uit te brengen voor alle Windowsversies vanaf XP. Windows 10-gebruikers worden daarbij op een vervelende manier voor het blok gezet. Als je namelijk in het zogeheten Semi Annual Kanaal zit qua updates (ofwel de zakelijke, stabiele updates ontvangt) én je hebt uitstel voor het installeren van zogeheten feature updates ingesteld, dan verschijnt de update niet als je ernaar zoekt. Daarmee ontstaat een heel vervelend dilemma. Want zet je het aantal dagen uitstel op 0 én je draait bijvoorbeeld Windows 1709 (wat veel zakelijke gebruikers nog altijd doen) dan krijg je niet alleen de broodnodige veiligheidsupdate aangeboden, maar start ook de upgrade naar 1803. En dat is wel heel vervelend zo vlak voor een vakantieperiode!

Lees verder Urgente noodpatch voor Windows

Nieuwe ernstige lekken in Intel-processoren

Opnieuw zijn in vrijwel alle processoren van Intel ernstige lekken aangetroffen. Die komen bovenop Spectre en Meltdown, erg vervelend dus allemaal.

De patches voor Spectre en Meltdown zijn nog niet uitgerold, of er is alweer een drietal nieuwe hardware-veiligheidslekken ontdekt. Wederom zijn het Intel-processoren die er last van hebben. Het lek is te vinden in vrijwel elke ooit door Intel uitgebrachte processor met zogeheten SGX-optie. Dat zijn onder meer alle Core-processors, zoals de bekende i3, i5 en i7 van diverse generaties. Foute boel dus, en het is dan ook zaak om je computer direct van een systeemupdate te voorzien zodra deze beschikbaar komt. In geval van Windows 10 is deze gisteravond (Nederlandse tijd) in de maandelijkse patchronde meegenomen. Draai je virtuele machines, dan is het extra opletten geblazen. Datacenters en bedrijven moeten mogelijk extra maatregelen nemen om ellende te voorkomen.

Lees verder Nieuwe ernstige lekken in Intel-processoren

Tijd om je Twitter-wachtwoord te veranderen

Twitter heeft – natuurlijk via een tweet – laten weten dat intern een database met wachtwoorden ‘open’ heeft gestaan. Advies is nu om je wachtwoord te wijzigen.

Wachtwoordenbeheer blijkt voor veel bedrijven toch steeds weer een heikel punt. Deze keer ging Twitter de mist in (als je dat zo mag noemen). Het bedrijf ontdekte dat in interne logs onversleutelde wachtwoorden zichtbaar waren. Niet handig, maar voor zover bekend zijn deze wachtwoorden niet buiten het bedrijf beland. Desondanks geeft Twitter het advies om je wachtwoord te wijzigen, of dat in ieder geval te overwegen om te doen.

Lees verder Tijd om je Twitter-wachtwoord te veranderen

Spectre en Meltdown patches vertragen pc

Het zat er al een beetje aan te komen, maar nu geven zowel Intel als Microsoft toe dat het repareren van de Spectre en Meltdown hardwarelekken vertragend gaan werken.

Spectre en Meltdown zijn twee hardwarelekken (bugs zo je wilt) die voor flink wat opschudding in de IT-wereld hebben gezorgd. De ontdekte veiligheidsproblemen maken het namelijk mogelijk om privacygevoelige gegevens als wachtwoorden en meer mee te lezen. We zullen je de technische details besparen. Onder de streep gaat het mogelijk om het ernstigste hardwarelek van tenminste de afgelopen 20 jaar. Groot probleem is natuurlijk dat een hardwarelek niet is op te lossen met een reguliere update van een besturingssysteem. Omzeilen kan – deels – wel. Alleen: dat kost rekenkracht. Dat zorgt voor een tragere computer. In eerste instantie deden zowel Intel als Microsoft – het belangrijkste duo in de pc-markt – vaag over de uiteindelijke impact. ‘Hooguit een paar procent’, zo werd tussen de regels door gemeld. Inmiddels is duidelijk dat het bij ‘oudere’  processors vanaf 2015 en eerder wel eens flink vervelender uit kan pakken. Een 30% tragere pc is zomaar mogelijk.

Lees verder Spectre en Meltdown patches vertragen pc

Urgente Windows 10 verrassingsupdate

Windows 10-gebruikers werden vorige week totaal onverwacht getrakteerd op een grote update met belangrijke veiligheidsupdates. Tamelijk urgent zelfs deze keer.

Microsoft heeft een urgente update voor Windows 10 uitgerold. Elke nog ondersteunde variant kreeg er eentje voorgeschoteld. Meest belangrijke patch betreft het recent openbaar gemaakte hardware-lek in zo ongeveer elke gangbare processor van Intel en AMD. Deze fouten maken het voor kwaadwillenden mogelijk om vrij eenvoudig wachtwoorden en meer te achterhalen. Dat kan in theorie zelfs door het simpelweg bezoeken van een website met kwaadaardige code. Deze wordt netjes en ongemerkt door een browser uitgevoerd en ‘lekt’ vervolgens privacygevoelige gegevens – zoals bijvoorbeeld een net ingetikt wachtwoord van uw bank of andere website – naar een hacker. Wetenschappers hebben gisteren laten weten dat het ze ook daadwerkelijk gelukt is code in Javascript – een standaard webtaal – te schrijven die dit doet. Foute boel dus.

Lees verder Urgente Windows 10 verrassingsupdate

Oeps, een lekke Mac

Mac OS X – High Sierra om precies te zijn – heeft een vervelend lek. Iedereen kan zonder wachtwoord als root inloggen.

Inmiddels is er een veiligheidsupdate – security update 2017-001 – uitgekomen om dit probleem op te lossen. Installeer hem via de Apple Store. (H.F.)

Om maar met de deur in huis te vallen: de fout die nu in Mac OS X High Sierra zit had er nóóit in mogen zitten. Normaal gesproken werkt een Mac-gebruiker via een gebruikersaccount en is hij of zij niet ingelogd als root. Als root kan je namelijk álles uitspoken wat je wilt. En nu blijkt dat er geen wachtwoord op dat root-account is ingesteld. Kortom: iedereen met fysieke toegang tot je Mac kan inloggen als root, zonder zelfs het gewone gebruikerswachtwoord te kennen. Toch is de ramp gelukkig te overzien, want de oplossing is wel heel simpel: alsnog snel een rootwachtwoord instellen. Bovendien heeft Apple al een patch uitgebracht, te installeren via de App Store. Direct doen dus! Een onoverkomelijk drama is het dan ook allemaal weer niet. Wel blijkt dat geen enkel besturingssysteem waterdicht is. Het is en blijft – vooralsnog – mensenwerk. Lees verder Oeps, een lekke Mac

Bluetooth ook zo lek als een mandje

Na een lek Wifi is het nu de beurt aan Bluetooth. Ook dat draadloze protocol blijkt makkelijk te kraken.

Eerder deze week werd bekend dat Wifi in potentie relatief eenvoudig te kraken is. Zelfs bij de tot dan toe veronderstelde ‘onkraakbare’ WPA2-beveiligingsmethode. Een knullig foutje bleek de oorzaak. Nu blijkt Bluetooth ook zo lek als een mandje. De mogelijke gevolgen van het lek zijn zó ernstig dat geadviseerd wordt om Bluetooth op apparaten uit te schakelen totdat een en ander gerepareerd is middels de uitrol van een patch. In het geval van Windows 10 is dat gelukkig al gebeurd en ook iOS is veilig vanaf versies hoger dan 10.0. Als het gaat om Android zijn de problemen een stuk groter. De oorzaak van het lek ligt namelijk in Linux en Android is precies daarop gebaseerd. En juist voor dat besturingssysteem is nog geen patch uitgebracht.

Lees verder Bluetooth ook zo lek als een mandje

Zet MAC adresfiltering aan in je router

Nu een groot veiligheidslek in Wifi is ontdekt, betekent het dat je je draadloze netwerk nog eens aan een inspectie moet onderwerpen.

Collega Hans schreef er al eerder over vandaag: Wifi is zo lek als een mandje. Het ontdekte lek heeft als naam Krack meegekregen en kan alleen effectief worden opgelost door het patchen van je router. Of elk apparaat dat verbinding maakt met die router; beide zijden patchen is nog beter. Punt is alleen dat voor het overgrote deel van de ‘oudere’ routers zonder meer geen patch meer zal uitkomen. Aan de apparatenkant is het minstens zo beroerd gesteld. Populaire apparatuur als iPhones, iPad’s en dergelijke zitten weliswaar veelal in de pijplijn voor een patch. Bij Android-toestellen is de kans echter nihil dat er ooit een patch zal verschijnen. De versiefragmentatie is veel te groot wat betekent dat alleen de meest recente toestellen een pleister gaan krijgen. En zelfs dat zal zonder twijfel nog wel een tijd gaan duren. Wat kan je intussen zelf doen?

Lees verder Zet MAC adresfiltering aan in je router

Android bevat gevaarlijk lek

Android bevat al vele jaren een zeer ernstig lek, zo blijkt. In ieder geval versies tot en met 5.1.1 zijn getroffen en mogelijk ook latere uitgaven.

Het Android lek is ‘Dirty Cow’ gedoopt en inmiddels zijn de eerste malafide apps die er misbruik van maken opgedoken. Het vervelende is dat het kwetsbare deel zich diep in de Linux-kernel bevindt. Ofwel: er kunnen vervelende dingen mee uitgehaald worden. Nu geldt normaliter dat een fabrikant van een besturingssysteem razendsnel met een oplossing komt om zo’n ernstige achterdeur dicht te timmeren. In het geval van Android is dat nagenoeg onmogelijk. Er zijn simpelweg te veel versies die beheerd worden door een scala aan – deels al niet eens meer bestaande – fabrikanten. Er is geen universele Android-versie die je op elke willekeurige Android-telefoon kan installeren. Hetgeen betekent dat het lek de komende jaren ongetwijfeld nog veelvuldig misbruikt zal gaan worden. Veel fabrikanten ondersteunen oudere modellen al heel lang niet meer en je zult dan ook vergeefs wachten op updates.
Lees verder Android bevat gevaarlijk lek