Tagarchief: Veiligheidslek

Spectre en Meltdown patches vertragen pc

Het zat er al een beetje aan te komen, maar nu geven zowel Intel als Microsoft toe dat het repareren van de Spectre en Meltdown hardwarelekken vertragend gaan werken.

Spectre en Meltdown zijn twee hardwarelekken (bugs zo je wilt) die voor flink wat opschudding in de IT-wereld hebben gezorgd. De ontdekte veiligheidsproblemen maken het namelijk mogelijk om privacygevoelige gegevens als wachtwoorden en meer mee te lezen. We zullen je de technische details besparen. Onder de streep gaat het mogelijk om het ernstigste hardwarelek van tenminste de afgelopen 20 jaar. Groot probleem is natuurlijk dat een hardwarelek niet is op te lossen met een reguliere update van een besturingssysteem. Omzeilen kan – deels – wel. Alleen: dat kost rekenkracht. Dat zorgt voor een tragere computer. In eerste instantie deden zowel Intel als Microsoft – het belangrijkste duo in de pc-markt – vaag over de uiteindelijke impact. ‘Hooguit een paar procent’, zo werd tussen de regels door gemeld. Inmiddels is duidelijk dat het bij ‘oudere’  processors vanaf 2015 en eerder wel eens flink vervelender uit kan pakken. Een 30% tragere pc is zomaar mogelijk.

Lees verder Spectre en Meltdown patches vertragen pc

Urgente Windows 10 verrassingsupdate

Windows 10-gebruikers werden vorige week totaal onverwacht getrakteerd op een grote update met belangrijke veiligheidsupdates. Tamelijk urgent zelfs deze keer.

Microsoft heeft een urgente update voor Windows 10 uitgerold. Elke nog ondersteunde variant kreeg er eentje voorgeschoteld. Meest belangrijke patch betreft het recent openbaar gemaakte hardware-lek in zo ongeveer elke gangbare processor van Intel en AMD. Deze fouten maken het voor kwaadwillenden mogelijk om vrij eenvoudig wachtwoorden en meer te achterhalen. Dat kan in theorie zelfs door het simpelweg bezoeken van een website met kwaadaardige code. Deze wordt netjes en ongemerkt door een browser uitgevoerd en ‘lekt’ vervolgens privacygevoelige gegevens – zoals bijvoorbeeld een net ingetikt wachtwoord van uw bank of andere website – naar een hacker. Wetenschappers hebben gisteren laten weten dat het ze ook daadwerkelijk gelukt is code in Javascript – een standaard webtaal – te schrijven die dit doet. Foute boel dus.

Lees verder Urgente Windows 10 verrassingsupdate

Oeps, een lekke Mac

Mac OS X – High Sierra om precies te zijn – heeft een vervelend lek. Iedereen kan zonder wachtwoord als root inloggen.

Inmiddels is er een veiligheidsupdate – security update 2017-001 – uitgekomen om dit probleem op te lossen. Installeer hem via de Apple Store. (H.F.)

Om maar met de deur in huis te vallen: de fout die nu in Mac OS X High Sierra zit had er nóóit in mogen zitten. Normaal gesproken werkt een Mac-gebruiker via een gebruikersaccount en is hij of zij niet ingelogd als root. Als root kan je namelijk álles uitspoken wat je wilt. En nu blijkt dat er geen wachtwoord op dat root-account is ingesteld. Kortom: iedereen met fysieke toegang tot je Mac kan inloggen als root, zonder zelfs het gewone gebruikerswachtwoord te kennen. Toch is de ramp gelukkig te overzien, want de oplossing is wel heel simpel: alsnog snel een rootwachtwoord instellen. Bovendien heeft Apple al een patch uitgebracht, te installeren via de App Store. Direct doen dus! Een onoverkomelijk drama is het dan ook allemaal weer niet. Wel blijkt dat geen enkel besturingssysteem waterdicht is. Het is en blijft – vooralsnog – mensenwerk. Lees verder Oeps, een lekke Mac

Bluetooth ook zo lek als een mandje

Na een lek Wifi is het nu de beurt aan Bluetooth. Ook dat draadloze protocol blijkt makkelijk te kraken.

Eerder deze week werd bekend dat Wifi in potentie relatief eenvoudig te kraken is. Zelfs bij de tot dan toe veronderstelde ‘onkraakbare’ WPA2-beveiligingsmethode. Een knullig foutje bleek de oorzaak. Nu blijkt Bluetooth ook zo lek als een mandje. De mogelijke gevolgen van het lek zijn zó ernstig dat geadviseerd wordt om Bluetooth op apparaten uit te schakelen totdat een en ander gerepareerd is middels de uitrol van een patch. In het geval van Windows 10 is dat gelukkig al gebeurd en ook iOS is veilig vanaf versies hoger dan 10.0. Als het gaat om Android zijn de problemen een stuk groter. De oorzaak van het lek ligt namelijk in Linux en Android is precies daarop gebaseerd. En juist voor dat besturingssysteem is nog geen patch uitgebracht.

Lees verder Bluetooth ook zo lek als een mandje

Zet MAC adresfiltering aan in je router

Nu een groot veiligheidslek in Wifi is ontdekt, betekent het dat je je draadloze netwerk nog eens aan een inspectie moet onderwerpen.

Collega Hans schreef er al eerder over vandaag: Wifi is zo lek als een mandje. Het ontdekte lek heeft als naam Krack meegekregen en kan alleen effectief worden opgelost door het patchen van je router. Of elk apparaat dat verbinding maakt met die router; beide zijden patchen is nog beter. Punt is alleen dat voor het overgrote deel van de ‘oudere’ routers zonder meer geen patch meer zal uitkomen. Aan de apparatenkant is het minstens zo beroerd gesteld. Populaire apparatuur als iPhones, iPad’s en dergelijke zitten weliswaar veelal in de pijplijn voor een patch. Bij Android-toestellen is de kans echter nihil dat er ooit een patch zal verschijnen. De versiefragmentatie is veel te groot wat betekent dat alleen de meest recente toestellen een pleister gaan krijgen. En zelfs dat zal zonder twijfel nog wel een tijd gaan duren. Wat kan je intussen zelf doen?

Lees verder Zet MAC adresfiltering aan in je router

Android bevat gevaarlijk lek

Android bevat al vele jaren een zeer ernstig lek, zo blijkt. In ieder geval versies tot en met 5.1.1 zijn getroffen en mogelijk ook latere uitgaven.

Het Android lek is ‘Dirty Cow’ gedoopt en inmiddels zijn de eerste malafide apps die er misbruik van maken opgedoken. Het vervelende is dat het kwetsbare deel zich diep in de Linux-kernel bevindt. Ofwel: er kunnen vervelende dingen mee uitgehaald worden. Nu geldt normaliter dat een fabrikant van een besturingssysteem razendsnel met een oplossing komt om zo’n ernstige achterdeur dicht te timmeren. In het geval van Android is dat nagenoeg onmogelijk. Er zijn simpelweg te veel versies die beheerd worden door een scala aan – deels al niet eens meer bestaande – fabrikanten. Er is geen universele Android-versie die je op elke willekeurige Android-telefoon kan installeren. Hetgeen betekent dat het lek de komende jaren ongetwijfeld nog veelvuldig misbruikt zal gaan worden. Veel fabrikanten ondersteunen oudere modellen al heel lang niet meer en je zult dan ook vergeefs wachten op updates.
Lees verder Android bevat gevaarlijk lek

Angst voor Stagefright…

Misschien heb je als Android-gebruiker inmiddels wel gehoord over het veiligheidslek dat middels een MMS je telefoon in handen kan laten vallen van kwaadwillenden. Dit veiligheidslek staat bekend als het Stagefright-lek. Iemand hoeft alleen maar je telefoonnummer te kennen en een geïnfecteerde MMS naar je te sturen en op die manier in je telefoon in te breken. Je hoeft de MMS niet eens aan te klikken, de app van Google Hangouts opent bijvoorbeeld standaard je MMS-berichten.

Nu wordt er op dit moment nog – voor zo ver bekend – geen gebruik gemaakt van dit veiligheidslek, maar je kunt er op wachten dat er gebruik van gemaakt gaat worden.
Google heeft inmiddels het lek gedicht en de Nexus-mobieltjes krijgen hem binnenkort of hebben hem reeds. Dat wil echter nog niet zeggen dat jij die fix op je telefoon krijgt. De bekende fabrikanten van Android-telefoons, zoals Samsung,HTC en Sony komen deze maand met een fix voor dit lek. Dat gaat dan veelal om telefoons van de laatste paar jaar, zodat een hele reeks telefoons nog kwetsbaar blijven voor Stagefright.
Je kunt overigens zelf al een heleboel doen om te voorkomen dat je telefoon een zombie wordt in handen van anderen. Op Androidworld staan wat tips om te voorkomen dat je last krijgt van Stagefright. Bij de Google Playstore kun je een app downloaden waarmee je kunt kijken of je mobieltje kwetsbaar is voor Stagefright. Wat je er verder mee aan moet, als dat het geval is, is verder niet duidelijk. Lijdzaam afwachten op je fix van je fabrikant of je provider.

Armageddon

‘Het wachten is op Android’s onvermijdelijke veiligheids-armageddon’ zo luidt de titel van een lange post van Ron Amadeo op de site Arstechnica.
Lees verder Angst voor Stagefright…