Categorie: Security

Leer (van de hack) van Fred van Leer

Wat kun je leren van de gelekte seksvideo’s van Fred van Leer (en de hack van de verkiezingssite van Donald Trump)? Op basis van de informatie die inmiddels bekend is geworden kunnen een aantal leerpunten en belangrijke beveiligingsaanbevelingen worden gedaan.

Foto Film Video Mobiele telefoon mage by Gerd Altmann from Pixabay

Fred van Leer is niet de eerste bekende Nederlander die dit overkomt, en daarnaast zijn er nog talloze andere onbekende Nederlanders het slachtoffer van dit soort ellende.

1. Hou privé wat privé is

Een telefoon is geen foto- of videocamera. Dat klinkt gek immers: met een telefoon kun je filmen en foto’s maken? Maar wat ik bedoel is dit: volgens informatie die gisteren bekend werd is de video van van Leer in eerste instantie gelekt via zijn eigen instagram-account. Kennelijk bevond de gewraakte video zich dus op zijn telefoon.

De reden dat zoiets kan gebeuren is deze: wanneer iemand inbreekt op of via je Instagram, iCloud of Google account (en vele andere apps van diensten die je gebruikt op je telefoon) kan die persoon effectief toegang tot je telefoon krijgen. Immers: deze apps hebben om te functioneren toegang tot (de data van) je telefoon! Wie denkt dat ik nu echt onzin verkoop zou eens moeten kijken naar deze berichten op TheHackerNews, Checkpoint en Opgelicht van AvroTros (waarschuwing politie).

In either case, the attack could lead to a massive invasion of users’ privacy and could affect reputations — or lead to security risks that are even more serious (TheHackerNews).

Wat je dus opslaat (foto, film, data) op je telefoon is daarmee potentieel beschikbaar voor een eventuele inbreker. Die kan dat vervolgens simpelweg stelen, je er mee chanteren, de gegevens misbruiken en/of het publiceren. Er zijn ook speciale spionage-programma’s hiervoor in omloop (waar uiteraard geen link naar gemaakt wordt, want: illegaal).

Q – A hacker got into my phone and saw all my info and they found me through Instagram. Is it possible to hack into a phone if all you have is their Instagram?
A – If you have uploaded photos from your phone to your Instagram account, which most people have, then yes. (Quora)

De éérste, belangrijke, les is dan ook: hou privé wat privé is. Sla, als je dingen privé wilt houden, dit niet op op je telefoon. Foto’s, Filmpjes, maar ook andere belangrijjke data, die niet in handen mogen komen van derden horen niet op een dergelijk kwetsbaar, vaak slecht beveiligd, apparaat. En al helemaal niet “in de cloud” (waar het vaak automatisch wordt opgeslagen door Apple en Google). Weet jij waar dergelijke data over tien jaar (nog) rondzweeft?

Let wel: het is dus niet de beveiliging van het apparaat zelf wat hier het issue is maar de toegang die je verleent tot het apparaat middels te zwak beveiligde apps en eigen onvoorzichtigheid!

2. Gebruik goede beveiliging voor je Social Media

Beveilig je social media accounts daarom maximaal. Ja, dat ís soms wat hinderlijk in gebruikt. Maar wat is hinderlijker? Dat je data op straat ligt of af en toe een verificatie-code invoeren of scannen?

Voorbeeld van hoe kwetsbaar sommigen zijn: heel veel mensen gebruiken hun Facebook-login ook voor allerlei andere diensten (media, webwinkels). Achterhaalt iemand je inloggegevens van je facebook-account dan heeft zo’n persoon, daar op ingelogd, ook toegang tot allerlei andere gegevens van je – inclusief eventueel financiële gegevens.

Instagram, Facebook en vele andere diensten bieden allemaal tweestaps-verificatie. Gebruik die!

tweestapsverificatie facebook beveiliging sociale media

Het instellen van deze verificatie op Facebook is eenvoudig. Gebruik deze link: https://www.facebook.com/settings?tab=security

tweestapsverificatie instagramOok in Instagram kun je eenvoudig tweestaps-verificatie aanzetten. Er zijn meer dan voldoende handleidingen online te vinden die uitleggen hoe je dit kunt doen.

En vergeet uiteraard niet het ook in te stellen voor uw Google account (want: Playstore, Youtube, Gmail, Google Drive etc hangen allemaal achter dat éne wachtwoordje!). Google heeft onder andere hier een handleiding geplaatst.

Dit is, nogmaals, absoluut noodzakelijk om je privé data (dus niet alleen dat filmpje of die foto die je in een dolle bui een keer hebt gemaakt) te beschermen. Helaas is deze beveiliging binnen apps als Instagram en sites als Facebook nog steeds optioneel en vinden veel mensen het “teveel gedoe”. Maar nogmaals, bedenk hoeveel “gedoe” je kunt krijgen als je vertrouwelijke snapshots, videos of andere data op straat ligt?

3. Ik heb niks te verbergen?

Het aloude “ik heb niets te verbergen” gaat niet op. Mobiele apparaten, met name telefoons (die je nog nauwelijks een ‘telefoon’ kunt noemen) en alle koppelingen die daarmee gelegd kunnen worden, zijn een enorm risico. Ook als je “niets te verbergen” hebt. Denk immers maar aan je app voor bankieren, de inloggevens voor je website of online shops etc.

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

Privacy voert terug naar wat ons mens maakt en gaat daardoor vooraf aan het belang dat we al dan niet aan privacy hechten. (De Correspondent)

Zeker 15% van de Nederlanders heeft wel eens te maken gehad met inbreuk op de privacy. Inbreuk op privacy is een inbreuk op je ‘eigen ik’. Denk bijvoorbeeld aan ‘sexting’ wat veel jongeren overkomt.

Fred van Leer, Patricia Paay en vele andere bekende, maar ook talloze onbekende, mensen hebben dat op een verschrikkelijke manier moeten ervaren. Laat het u niet overkomen!

wordpress gratis

Zeer dringende ‘noodupdate’ WordPress 5.5.2

wordpress logoHet team van WordPress heeft een dringende ’emergency update’ (‘noodupdate’) uitgebracht voor WordPress versie 5.5.2. Het bijwerken van uw WordPress installatie, wanneer dit niet automatisch gedaan wordt, wordt dringend aanbevolen.

Het team van Wordfence laat weten dat WordPress met de (automatische) uitrol van WordPress versie 5.5.2. een fout heeft gemaakt.

Deze noodrelease is gedaan om een probleem op te lossen dat is geïntroduceerd in WordPress 5.5.2, waardoor het onmogelijk is om WordPress op een geheel nieuwe website te installeren zonder een geconfigureerde databaseverbinding. Bij de voorbereiding op deze noodrelease zorgde een tweede probleem ervoor dat een aantal sites ten onrechte werd bijgewerkt naar versie 5.5.3-alpha. Een alpha-versie is een ‘testversie’ die niet publiek moet worden gebruikt.

Volgens de release-notes heeft het automatische updatesysteem van WordPress tussen ongeveer 15.30 en 16.00 uur UTC op 30 oktober sommige sites bijgewerkt van versie 5.5.2 naar 5.5.3-alpha. Meer informatie op de website van Wordfence.

Wat moet U doen?

Wanneer wij uw WordPress website beheren

Wij updaten ‘op afstand’ uw website regelmatig wanneer u gebruik maakt van het ‘managed wordpress‘ pakket. Alle websites onder ons beheer welke gebruik maakten van WordPress 5.5.2. zijn door ons gepatched.

Wanneer u zelf uw WordPress website beheert

Log in op uw WordPress dashboard en controleer welke versie u in gebruik hebt. Is het een versie kleiner dan 5.5.2. dan is er in dit opzicht geen probleem. U kunt uiteraard, wanneer gewenst, uw WordPress installatie bijwerken. Vergeet niet om éérst een backup te maken uiteraard. U kunt ook uw website toevoegen in het Installatron panel.

Wanneer u installatron gebruikt

Als u gebruik maakt van Installatron dan wordt uw website, mits u dit zo hebt ingesteld, automatisch bijgewerkt. Controleer eventueel uw instellingen via DirectAdmin / Installatron. Weet u niet zeker of dit het geval is en komt u er niet helemaal uit? Stuur dan even een ticket naar ons, klik hier om een supportverzoek aan te maken.

Donald Trump Image by Gerd Altmann from Pixabay

You’re Fired! Campagnewebsite Donald Trump gehackt

Campagnewebsite Donald Trump gehackt en gegijzeld afgelopen dinsdag. Hoe kon deze hack gebeuren? Hoe had deze hack voorkomen kunnen worden?

Na de hack van het Twitter-account van President Donald Trump was het afgelopen dinsdag de beurt aan de campagnewebsite van de President Donald Trump. De website was door hackers ‘gedefaced’ en achter een ‘betaalmuur’ gezet. De hackers wilden losgeld voor het ongedaan maken van de gijzeling. Hoe kon deze hack gebeuren?

website donald trump gehackt
(screenshot gehackte website DonaldJTrump.com)

“Deze website is in beslag genomen”, kregen mensen die op de categorie events klikten korte tijd te lezen. “De wereld heeft genoeg van het nepnieuws dat dagelijks door president Donald J. Trump wordt verspreid.” (Leeuwarder Courant).

Makkelijke wachtwoorden

Het Twitter-account van Trump was inmiddels al twee keer gehackt. Beide keren bleek dat Donald Trump (te) makkelijke wachtwoorden had gebruikt. De eerste keer was zijn wachtwoord ‘yourefired’ en bij de laatste, meest recente, hack (door een Nederlandse ethische hacker uitgevoerd) bleek zijn wachtwoord (maga2020!) wederom erg eenvoudig te achterhalen.

Hack campagnewebsite

Donald Trump Image by Gerd Altmann from Pixabay
Donald Trump Image by Gerd Altmann from Pixabay

De hack van de campagnewebsite moet volgens de onderzoekers van beveiligingsplugin Wordfence ook in dat licht worden gezien.

Ondanks gebruik van een hoog aangeschreven commercieel CMS systeem waarvan bekend is dat er niet of nauwelijks kwetsbaarheden in zitten en CloudFlare als CDN werd de website gehackt. Volgens WordFence kan uit hun onderzoek er maar één reden zijn waarom de campagnewebsite is gehackt: onvoldoende beveiligd. Er kan volgens hen alleen ingebroken zijn doordat er geen 2-factor authenticatie is gebruikt.

Een website van dergelijke importantie hoort eenvoudigweg 2-factor authenticatie te gebruiken. Dit is relatief eenvoudig te regelen. Gebruik je voor je website WordPress dan kun je zelfs met de gratis versie met Wordfence via de optie “Login Security” en een app als “Google Authenticator” er voor zorgen dat je website “dubbel beveiligd” is en niemand op die relatief eenvoudige manier kan inbreken.

Beveiliging installeren

Een dergelijke hack had dus voorkomen kunnen worden. Ook uw website is relatief eenvoudig te beveiligen voor dit soort inbraak, infecties met malware en andere hacks. Wij raden dan ook aan om een dergelijke beveiliging te gebruiken bij onze hostingproducten. Hebt u een WordPress website en ondersteuning nodig voor het installeren van de beveiliging, neem dan contact op met ons.

Voor een snel herstel van een website, na een inbraak, is tevens een actuele backup noodzakelijk. Lees hier hoe je in WordPress gratis een dagelijkse backup kunt instellen. Duidelijk is dat het campagneteam van Trump dit wel goed geregeld had: de website was vrij snel weer hersteld.

 

wordpress gratis

Cross-Site Scripting kwetsbaarheid All in One SEO Pack

Ruim 2 miljoen websites getroffen: Cross-Site Scripting kwetsbaarheid All in One SEO Pack

De plugin All in One SEO heeft een update beschikbaar gesteld doordat er een kwetsbaarheid in de software ontdekt was waarmee het mogelijk is onder bepaalde omstandigheden kwaadaardige code uit te laten voeren.

“This flaw allowed authenticated users with contributor level access or above the ability to inject malicious scripts that would be executed if a victim accessed the wp-admin panel’s ‘all posts’ page” (Wordfence).

Wij hebben de websites die gebruik maken van ons Managed WordPress pakket direct van een update voorzien. Voor wat betreft Websites die hier niet onder vallen dienen de eigenaren zelf de plugin bij te werken.

Google Chrome (pixabay)

Google Chrome verbergt deel url in adresbalk. Waarom?

Google Chrome (pixabay)Google Chrome verbergt in nieuwe beta-features (wederom) een deel van de links in de adresbalk. Waardoor je niet weet waar je op een site zit. Of zelfs niet weet of je wel op de site zit waar je heen wilde. Waarom doen ze dat en willen ze dat eigenlijk?

De Chrome-browser is nog steeds veruit de populairste browser. Dit zal ook nog wel even zo blijven, ook al weten mensen wel dat het qua privacy niet de meest verstandige keuze is.

Top 3 Browsers

Browser StatCounter
April 2020
NetMarketShare
April 2020
Wikimedia
November 2019
Chrome 62.48% 65.96% 48.7%
Safari 19.94% 17.26% 22.0%
Firefox 4.21% 3.19% 4.9%

(Bron: Wikipedia)

Verbergen URL in adresbalk

De site Android Police ontdekte dat Google wederom een deel van de url, de locatie van de website welke u bezoekt, verbergt, dat wil zeggen er is een beta-feature aanwezig welke dit kan doen. Het is niet de eerste keer dat Google experimenteert met deze opties.

Google Zoekmachine SEOVolgens de ontwikkelaars is dit omdat mensen bij een lange url niet zouden weten waar ze op moeten letten en veiligheidsrisico’s lopen op omleiding naar malafide websites. Anderen stellen echter dat Google zelf iets te verbergen heeft en wil voorkomen dat mensen zien dat ze terecht zijn gekomen bij content gehost door Google. Met, uiteraard, alle privacy- en eventuele veiligheids-consequenties van dien.

Het is belangrijk dat je altijd kunt zien waar je je bevindt op het internet. De URL van een site moet je in één oogopslag kunnen inspecteren. Google begon een paar jaar geleden al met het verbergen van de “www”-aanduiding en ook het “http”-voorvoegsel. Het is belangrijk dat gebruikers letten op de URL van een site. Door dit steeds meer te verbergen verdwijnt de kritische gebruikershouding omdat gebruikers er op gaan vertrouwen “dat het wel klopt” wat Google doet. Totdat het uiteraard een keer goed mis gaat.

Veilig op internet

Eén van de éérste controlepunten die wordt genoemd als we het hebben over veilig bankieren is immers: de adresbalk:

Controleer toch altijd voordat u daadwerkelijk uw gegevens intoetst of u op de echte beveiligde website van uw bank zit. Tover het volledige webadres tevoorschijn en let op “https://”, het hangslotje in of naast de adresbalk en de rest van het webadres.

Het moet niet nodig zijn, ons inziens, dat een gebruiker zélf deze stappen moet gaan nemen, laat staan dat die stappen alleen maar méér moeite gaan kosten. Internet moet transparant blijven want dat is veiliger!

gemankeerde adresbalk google chrome

(de adresbalk mist tegenwoordig http(s) en www in Chrome)

De reden die Google-ontwikkelaars aanvoeren voor het maskeren van het adres van een website is ons inziens daarom niet houdbaar. Ook technische ondersteuning voor gebruikers wordt lastiger wanneer Google Chrome gebruikers het adres van een pagina niet meer kunnen zien. Want, wat wordt het antwoord op de vraag: “Met welke pagina hebt u dan een probleem, waar ziet u de foutmelding?” als mensen een gemankeerd webadres zien of helemáál geen webadres meer?

Veilige browsers

Naast FireFox, een veiliger browser, zijn er ook andere, alternatieve, browsers. Het marktaandeel er van is zeer klein en daarnaast constateren sommigen ook daar regelmatig dubieuze zaken. Zo betrapte men recent de Brave-browser die is gebaseerd op dezelfde broncode als Chrome, namelijk de (Open Source) Chromium-browser, op het oneigenlijk “aanpassen” van de adresbalk. Mensen werden er door omgeleid waardoor ze via een zogenaamde “affiliate-link” op de doelsite terecht kwamen. Waardoor de makers van Brave geld verdienden aan deze bezoeken.

Google is your friend

Het is een gevleugelde kreet als je iets wilt weten: “Google is your friend”. Maar helaas niet altijd. Google is een héél groot bedrijf met enorme commerciële belangen. Die zeker niet altijd het beste met de gebruikers maar vooral met zichzelf voor heeft. Want uiteindelijk hebben zij één hoofddoel: een onderneming runnen, geld verdienen. Véél geld. Dat dit ten koste gaat van onze privacy mag ondertussen geen geheim meer worden genoemd.

De meest veilige browsers, met het meeste respect voor uw privacy, zijn Firefox en Opera. Beide zijn “oudgedienden” en hebben een reputatie hoog te houden. De nieuwe, experimentele, browsers als eerdergenoemde Brave zijn vooralsnog geen alternatief. Vooral omdat zij zoekende zijn naar ‘verdienmodellen’. En dat leidt er helaas toe dat ze soms dingen doen die echt niet door de beugel kunnen!

Wijziging geldigheidsduur SSL Certificaten

De levensduur (=geldigheid) van commerciële SSL certificaten is maximaal 2 jaar. Dit wordt gewijzigd; de duur wordt ingekort tot maximaal één jaar. De gratis ssl-certificaten van Let’s Encrypt, geldig voor een periode van 90 dagen, worden automatisch vernieuwd en niet gewijzigd.

De “commerciële” certificaten, dat zijn certificaten met een hogere dekking en veiligheidsgraad dan de gratis SSL’s van Let’s Encrypt, worden niet automatisch verlengd en ook handmatig door ons, of door cliënten zelf, geïnstalleerd. Van één van onze leveranciers kregen wij het volgende bericht over de SSL-certificaten:

Per 1 september 2020 wordt de levensduur van SSL-certificaten wereldwijd ingekort naar maximaal 398 dagen. U kunt vanaf deze datum enkel nog 1 jarige SSL-certificaten bestellen. [..] SSL-certificaat aanvragen tot 1 september 2020 kunnen nog voor 2 jaar worden uitgegeven.

Bestaande en vóór 1 september aangevraagde certificaten die een levensduur van 2 jaar hebben worden dus niet ingetrokken maar kunnen na verval niet weer voor een periode van twee jaar worden verlengd.

Ernstig WordPress beveilingslek contact-form-7-datepicker plugin.

wordpress logoDe plugin “contact-form-7-datepicker”, een toevoeging voor de populaire plugin ContactForm7, bevat een ernstig beveiliginslek. Met contact-form-7-datepicker is het mogelijk een datumveld-kiezer toe te voegen aan ContactForm7 formulieren.

De fout is dusdanig ernstig dat contact-form-7-datepicker inmiddels uit de WordPress bibliotheek is verwijderd.

Het betreft hier een XSS (Cross-site scrpting) probleem.

Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd. (Wikipedia)

De makers van de plugin zijn niet van zins het probleem op te lossen(!) en dus blijft de kwetsbaarheid bestaan. Op dit moment is de plugin actief op ca. 100.000 websites. Ons zéér dringende advies is om, wanneer u de plugin gebruikt, deze per direct te verwijderen.

Geen zorgen over WordPress onderhoud, software en beveiligingsupdates of geen tijd om uw website up to date te houden? Maak gebruik van onze Managed WordPress oplossing. Kijk hier voor meer informatie.

Meer informatie/bron: Wordfence.

Valse emails met facebook herstelcodes

Vijf tips en trucs voor Facebook MarketingEr gaan op dit moment emails rond die lijken van Facebook afkomstig te zijn. Ga hier niet op in tenzij u zeker weet zelf uw wachtwoord reset te hebben aangevraagd. On het artikel “Ik heb een e-mail ontvangen waarin staat dat ik een nieuw Facebook-wachtwoord heb aangevraagd, maar dat heb ik helemaal niet gedaan” legt Facebook de juiste werkwijze uit.

De emails sturen een verificatiecode naar je, en vragen je in te loggen op facebook met deze code en een nieuw wachtwoord in te stellen. Zodra je dat doet onderscheppen ze je gebruikersnaam en wachtwoord en hebben daarmee toegang tot je privé of zakelijke facebook-profiel.

De emails lijken bedriegelijk echt en zijn in goed Nederlands opgesteld. Verwijder dergelijke email direct en klik niet op de links.

UPDATE
Er komen ook veel ‘reset’ verzoeken zogenaamd afkomstig van Twitter en WordPress.com binnen.

Bug in SSL certificaten Let’s Encrypt

Uitgever van gratis SSL certificaten Let’s Encrypt heeft op 29 februari jl. een bug ontdekt waardoor iets meer dan 2,5% van de door hen uitgegeven certificaten morgen ingetrokken moeten worden. Let’s Encrypt heeft de bug gefixt. Gebruikt u een Let’s Encrypt certificaat en krijgt u een foutmelding, maak dan via de DirectAdmin interface een nieuw certificaat aan.

Websites die bij ons in beheer zijn en getroffen werden door de bug (voorzover bekend een viertal) zijn door ons van een update voorzien. Lukt het u niet het certificaat te updaten, probeer dan even later nog eens. Weet u niet hoe het moet, maak dan een ticket aan voor ondersteuning onzerzijds.

Op dit moment zijn er 116 miljoen certificaten van Let’s Encryt in omloop. Hiervan zijn er dus ca. 3 miljoen (2,6%) getroffen door de bug die al in juli vorig jaar ontstaan is. Het opgeven van een e-mailadres is optioneel bij het aanvragen van een Let’s Encrypt-certificaat. Daarom zult u mogelijk géén email hebben ontvangen hierover en heeft de organisatie een tool online gezet waarmee u kunt controleren of certificaten zijn getroffen door de bug.

 

Domeinnaamfraude: spookfacturen DNS Service NL

DNS Service NL, eerder bekend onder DNS Registraties NL, is wederom aktief met het verzenden van spookfacturen. Betaal ze niet!

spookfacturen dns service nl

Afbeelding: screenshot van een spookfactuur van DNS Service NL

DNS Service NL en andere bedrijven sturen regelmatig eigenaren van websites en domeinnamen nepfacturen in de hoop hen (veel) geld afhandig te maken voor hun “dienstverlening”. De facturen zijn herkenbaar aan standaard kreten, geen adres, (vals) email contact van de afzender(s) en, meestal, buitenlandse bankrekeningnummers. DNS Service NL gebruikt bijvoorbeeld een Spaans bankrekeningnummer. In dit geval was men zelfs zo dom een email adres te gebruiken met een domeinnaam die niet eens geregistreerd was. Inmiddels wel: een oplettend communicatiebureau heeft het vastgelegd en nu een waarschuwing tegen de fraudeurs er op geplaatst.

Op de factuur, ons doorgezonden door een oplettende cliënt, is verder helemaal niets gespecificeerd: géén domeinnaam, géén specifieke periode of dienst. Ook ontbreekt uiteraard een KvK en BTW-nummer van DNS Service NL. Het bedrijf bestaat dan ook simpelweg niet.

Controleer dus altijd: BTW-nummer, KvK-nummer, Adresgegevens, de specificatie van de dienst waarvoor u gefactureerd wordt en het bankrekeningnummmer. En, uiteraard, of de factuur afkomstig is van een voor u onbekend bedrijf.

Ontvangt U een factuur van een bedrijf of organisatie voor diensten die u van ons afneemt en waarover U twijfels hebt? Neem even contact met ons op. Wij informeren u graag over het eventueel legitiem zijn van de factuur. Zie voor meer informatie ook AVROTROS’s Opgelicht.