De Linux Foundation publiceert aanbevelingen om Linux-werkstations te beveiligen. En een nieuwe beveiligingsscanner ontdekt 30.000 kwaadaardige apps op Google Play. Deze en andere beveiligingsnieuwtjes lees je in Focus op veiligheid.

 

 Linux Foundation publiceert Linux workstation security checklist

 De Linux Foundation heeft op GitHub in zijn repository van nuttige IT-policy’s een “Linux workstation security checklist” gepubliceerd. Het document met aanbevelingen wordt intern door alle systeembeheerders van de Linux Foundation gebruikt als basis om de Linux-werkstations onder hun beheer te beveiligen.


De aanbevelingen beginnen bij de keuze van de juiste hardware. De checklist beschouwt SecureBoot als een essentiële technologie ter preventie van rootkits en Evil Maid aanvallen. Voorts heeft de computer liever geen FireWire, Thunderbolt of ExpressCard, omdat die technologieën elk aangesloten apparaat rechtstreekse toegang tot het geheugen van de computer geven. In plaats van het klassieke BIOS raadt de Linux Foundation sterk het gebruik van UEFI aan, met een wachtwoord op de UEFI-configuratie en SecureBoot ingeschakeld.

De Linux Foundation doet in het document ook aanbevelingen over distributies. Een veilige Linux-distributie moet over een robuuste MAC/RBAC-implementatie, zoals SELinux, AppArmor of GrSecurity, beschikken. Ook moet het security bulletins publiceren, tijdig patches uitbrengen en pakketten cryptografisch verifiëren. Daar bovenop moet de distributie UEFI en SecureBoot ondersteunen en een robuuste implementatie van versleuteling van de volledige schijf hebben.

 

Verder geeft het document nog richtlijnen die je het beste kan volgen tijdens de installatie van je distributie en geeft het tips om je distributie na de installatie dicht te timmeren. Daarna komen enkele ‘best practices’ aan bod, zoals het gebruik van een afzonderlijke webbrowser voor risicovolle activiteiten, het gebruik van een wachtwoordbeheerder, het beveiligen van je geheime sleutels voor SSH en PGP en de configuratie van SELinux.

 Link

https://github.com/lfit/itpol/blob/master/linux-workstation-security.md


 Tor Browser 5.0

Het Tor-project heeft versie 5.0 van zijn Tor Browser uitgebracht, een voorgeconfigureerde webbrowser die via het anonimiseringsnetwerk Tor surft. De browser is gebaseerd op Firefox 38-ESR, waardoor HTML5-video op YouTube terugwerkt. DRM-beveiligde content is echter niet ondersteund, omdat volgens de ontwikkelaars de binaire componenten te complex zijn om te auditen. Voorts zijn heel wat bugs opgelost en heeft allerlei software uiteraard een update gekregen: OpenSSL 1.0.1p, HTTPS Everywhere 5.0.7, Noscript 2.6.9.34, meek 0.20, Tor 0.2.6.10, Torbutton 1.9.3.2 en Tor Launcher 0.2.7.7. Vanaf deze release zal Tor Browser bovendien automatisch op de achtergrond upgrades downloaden en uitvoeren. Dit gedrag is uit te schakelen in de optie app.update.auto in about:config.

 

 Link

https://www.torproject.org/

 Beveiligingsexperts loven e-mailclient Mutt

In het online magazine Vice wordt de commandline e-mailclient Mutt vol lof besproken, omdat hij veiliger zou zijn dan de moderne grafische e-mailclients, zoals Thunderbird. Het interview laat onder andere Christopher Soghoian aan het woord, een principal technologist bij ACLU’s Speech, Privacy and Technology Project. Hij omschrijft zichzelf als een “ongelukkige gebruiker van Mutt”. “Ik haat het. Ik wilde dat er iets beters was, maar ik heb het nog niet gevonden.”

Ook Marek Tuszynski van het Tactical Technology Collective, een NGO die activisten en journalisten onderricht in het gebruik van digitale tools voor privacy en beveiliging, is een voorstander van Mutt en meer in het algemeen commandline tools. Die hebben volgens hem doorgaans een eenvoudiger ontwerp, minder regels code en geen toegang tot gemakkelijk uit te buiten code, zoals Flash en Java. Het resultaat? Commandline tools zijn stabieler, hebben minder bugs en zijn dus veiliger. Zo heeft Mutt geen webbrowser rendering engine of JavaScript-interpreter ingebouwd. De code is 100.000 regels groot, terwijl die van Thunderbird meer dan tien keer zo lang is…

 

 Links

http://motherboard.vice.com/read/why-security-experts-are-using-an-ancient-email-format-in-2015

 http://www.mutt.org/

 Google Play bevat 30.000 kwaadaardige apps

Onderzoekers van de Universiteit van Indiana hebben een beveiligingsscanner voor Android ontwikkeld die in enkele seconden bepaalt of een app kwaadaardig is. Het unieke aan MassVet, zoals de scanner heet, is dat ze niet de app zelf analyseert, maar dat ze detecteert of de app een herverpakte versie is van een andere app uit de applicatiewinkel. De meeste Android-malware is immers gewoon gebaseerd op een bestaande app met daaraan kwaadaardige code toegevoegd.

De onderzoekers lieten MassVet 400.000 apps op Google Play analyseren. Uit die analyse kwamen meer dan 30.000 kwaadaardige apps naar voren, oftewel 7,6% van de applicatiewinkel van Google. Dezelfde analyse werd op andere applicatiewinkels losgelaten. Op de Opera Mobile Store was 7,8% van de apps kwaadaardig. De gevaarlijkste plekken om Androids-app te downloaden, waren niet echt verrassend. Dit betroffen voornamelijk Chinese applicatiewinkels: in Anzhi, Yidong, yy138 en Anfen waren respectievelijk 39%, 36%, 28% en 23% van alle aangeboden apps malware.

 Link

http://www.informatics.indiana.edu/xw7/papers/vetfast.pdf

 Onderzoekers identificeren verborgen diensten op Tor
Onderzoekers van het MIT en het Qatar Computing Research Institute (QCRI) ontdekten twee zwakheden in het ontwerp van verborgen diensten in Tor. Zulke verborgen diensten (zoals webservers of instant messaging servers) zijn enkel bereikbaar voor wie gebruik maakt van het anonimiseringsnetwerk Tor en dat terwijl de aanbieder van zo’n dienst anoniem blijft. De onderzoekers vonden echter een methode om de aanbieders van verborgen diensten toch te kunnen identificeren.

 

Tor-ontwikkelaar Roger Dingledine noemt het een interessant onderzoek, maar vindt dat de impact al met al nog meevalt. Zo veronderstellen de onderzoekers in hun analyse dat slechts een duizendtal webpagina’s bestaan waaruit de aanvaller moet kiezen, terwijl er volgens Tor-crawlers in realiteit miljoenen zijn. De methode van de paper schaalt niet naar zulke grote aantallen, waardoor het aantal ‘false positives’ vrij hoog ligt en de identiteit van de verborgen diensten in de meeste gevallen niet te vinden is. De Tor-ontwikkelaars werden door het onderzoek wel geïnspireerd om na te denken over maatregelen om dit soort aanvallen nog moeilijker te maken.

 Link
https://blog.torproject.org/blog/technical-summary-usenix-fingerprinting-paper

 
WordPress 4.3 genereert sterke wachtwoorden
In vorige versies van het blogplatform WordPress kregen nieuwe gebruikers, wanneer ze een wachtwoord moesten kiezen, enkel een leeg tekstveld te zien waardoor ze vaak een zwak wachtwoord kozen. WordPress 4.3 wil het gebruik van sterke wachtwoorden stimuleren: met één muisklik genereert WordPress een willekeurig wachtwoord. Dit kun je dan door je webbrowser of wachtwoordbeheerder laten onthouden of zelf opschrijven.

Gebruikers kunnen nog altijd zelf een wachtwoord kiezen, waarna WordPress de sterkte ervan toont. Blijkt het om een zwak wachtwoord te gaan, dan wordt het enkel aanvaard als de gebruiker expliciet aanvinkt dat hij een zwak wachtwoord wil gebruiken. WordPress e-mailt ook geen wachtwoorden meer naar gebruikers. En wanneer je je wachtwoord of e-mailadres verandert, krijg je (op je oude e-mailadres) een melding daarvan. Zo kom je te weten als iemand achter je rug in je account heeft ingebroken en die gegevens heeft veranderd.
 
Link

 https://wordpress.org/

 

En verder

De nieuwe certificaat-autoriteit Let’s Encrypt heeft haar eerste gratis SSL-certificaat uitgebracht. Het initiatief van de Internet Security Research Group (ISRG) en de Linux Foundation hoopt dat het een plaatsje onder de rootcertificaten krijgt bij de webbrowsers van Mozilla, Google, Apple en Microsoft. Een onbevoegd persoon had sinds september 2014 toegang tot de Bugzilla-database van Mozilla en wist daardoor van het bestaan af van talloze beveiligingslekken nog voordat ze waren opgelost. Mozilla heeft de beveiliging opgeschroefd door het gebruik van tweefactor-authenticatie voor de toegang tot Bugzilla te verplichten.

De Noorse computerwetenschapster Marte Loge presenteerde op de BSides 2015 conferentie de resultaten van haar onderzoek naar vergrendelpatronen op Android. Gemiddeld werden maar vijf stippen gebruikt, wat het aantal mogelijke vergrendelpatronen beperkte tot slechts 9.000. De meeste mensen beginnen links bovenaan en 77% begint in een hoek. De patronen lopen meestal van links naar rechts en van boven naar onder. En Dropbox ondersteunt nu ook tweefactor-authenticatie met U2F-sleutels van de FIDO Alliance.