Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Windows update 09-09-15 ,of nieuwe spyware ?

09-09-2015, 08:17 door john west, 20 reacties
De volgende updates of spyware ?

Beveiligingsupdate voor Microsoft .NET Framework 3.5.1 op Windows 7 en Wind...
Beveiligingsupdate voor Microsoft .NET Framework 4.5, 4.5.1 en 4.5.2 op Window...
Beveiligingsupdate voor Microsoft .NET Framework 4.5, 4.5.1 en 4.5.2 op Window...
KB3069114: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3077715: Update voor Windows 7 voor x64-systemen
KB3083324: Update voor Windows 7 voor x64-systemen
KB3083992: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3084135: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3086255: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3087038: Cumulatieve beveiligingsupdate voor Internet Explorer 11 voor Wind...
KB3087039: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3087918: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB890830: Windows-programma voor het verwijderen van schadelijke software v...

Ik weet het niet meer ?
Reacties (20)
09-09-2015, 09:07 door Anoniem
Niet zo paranoia a.u.b. starks draai je de lampen ook nog uit de fittingen .
09-09-2015, 09:37 door Anoniem
de beveiligings updates zijn ... beveiligings updates

KB3077715 --> cummulatieve timezone update
KB3083324 --> Windows Update Client update
09-09-2015, 11:34 door Silence
Kijk je uit, je bent verbonden met het internet de overheid heeft alles al van je.
09-09-2015, 11:52 door john west
Door Anoniem: Niet zo paranoia a.u.b. starks draai je de lampen ook nog uit de fittingen .


Ben je een anonieme psychiater,je zet hier je naam ook niet neer?

Verdiep je eerst in de feiten .

de beveiligings updates zijn ... beveiligings updates staat er bij,maar is het waar,want met diverse spyware KB's was dit precies het zelfde.

Maar als er niet precies staat wat het is,ga ik het niet installeren,beter paranoia dan als een idioot alles installeren ,zonder exact te weten wat het is.

Overheid alles ,dat is nonsens .
09-09-2015, 12:40 door Silence
Door john west:
Door Anoniem: Niet zo paranoia a.u.b. starks draai je de lampen ook nog uit de fittingen .


Ben je een anonieme psychiater,je zet hier je naam ook niet neer?

Verdiep je eerst in de feiten .

de beveiligings updates zijn ... beveiligings updates staat er bij,maar is het waar,want met diverse spyware KB's was dit precies het zelfde.

Maar als er niet precies staat wat het is,ga ik het niet installeren,beter paranoia dan als een idioot alles installeren ,zonder exact te weten wat het is.

Overheid alles ,dat is nonsens .

Zet alluhoedje op, en ga huilen in een hoekje
09-09-2015, 12:45 door Anoniem
Beetje verder kijken dan je neus lang is ;-)

Wanneer er updates gereleased wordt voor je Operating Systeem en je twijfelt, kijk dan op de website van de leverancier of het klopt.
In dit geval Microsoft : https://technet.microsoft.com/library/security/ms15-Sep

Hier staat netjes vermeld welke updates gereleased zijn met een omschrijving.
09-09-2015, 13:12 door Anoniem
Kunnen de moderators topics als dit niet beter verwijderen of op slot zetten?
Dit voegt helemaal niets toe aan het forum.

Mensen die beveiligingsupdates niet vertrouwen en hierover inhoudloze forum posts posten zullen dit bij de release van elke update weer doen.

Deze post heeft geen vraag, geen statement, alleen een soort "verloren ziel" waarvan niemand weet wat hij nou precies bedoeld, wordt er op verder gevraagd dan komen weer de "conspiracy theory" verhalen waar niemand met meer dan 3 hersencellen iets aan heeft.

Ik vind het erg zonde dat het forum aangetast wordt door onzin als dit.
09-09-2015, 13:20 door Anoniem
Door john west:
Door Anoniem: Niet zo paranoia a.u.b. starks draai je de lampen ook nog uit de fittingen .

Maar als er niet precies staat wat het is,ga ik het niet installeren,beter paranoia dan als een idioot alles installeren ,zonder exact te weten wat het is.

Mooi dat jij het niet doet. Maar laat de rest van de gebruikers alsjeblief niet zo stom zijn. Anders kunnen krijgen we straks weer topics dat men spyware of cryptolockers geïnstalleerd heeft staan, en alle foto's "weg" zijn.

99% van de gebruikers wil gewoon beveiligd zijn, en zonder zorgen kunnen surfen
09-09-2015, 13:21 door ben987
Door Silence

Zet alluhoedje op, en ga huilen in een hoekje
wat is er nou in godsnaam mis om een beetje kritisch te zijn ? met w10 is ms niet zo heel betrouwbaar gebleken wat betreft privacy e.d.
.
iemand direct betichten van alu hoedje, ja, dat is lekker constructief...
09-09-2015, 13:36 door Anoniem
Alles van Microsoft .NET Framework kan je wel vertrouwen en ik raad het je zeker niet aan om ze te verwijderen, want dan kan je ze weer opnieuw installeren. Ik heb dit ooit van mijn pc verwijderd en ik kreeg vaak errors bij open source sofware, dus niet verwijderen aub!

Verder kan je gewoon de KBxxxxx codes op google terug vinden. Als ze afkomstig zijn van MS is het zeker geen spyware, want daar doet MS niet aan mee.
09-09-2015, 15:18 door Anoniem
Als ze afkomstig zijn van MS is het zeker geen spyware, want daar doet MS niet aan mee.

Heh, en dit dan?
https://www.security.nl/posting/441806/Update+Windows+7+en+8_1+laat+Microsoft+extra+data+verzamelen
Dat is toch overduidelijk wat we als 'Spyware' beschouwen.
Of je bent een troll!
09-09-2015, 16:30 door Anoniem
Door Anoniem:
Als ze afkomstig zijn van MS is het zeker geen spyware, want daar doet MS niet aan mee.

Heh, en dit dan?
https://www.security.nl/posting/441806/Update+Windows+7+en+8_1+laat+Microsoft+extra+data+verzamelen
Dat is toch overduidelijk wat we als 'Spyware' beschouwen.
Of je bent een troll!
En wie ben jij dat te beslissen dat het spyware is? Dat is namelijk geen spyware en het kan (nog) niet als spyware beschouwdd worden. Volgens MS gebruiken ze die gegevens om het OS beter te kunnen beveiligen en er is geen bewijs dat ze er misbruik van maken.

Google is veel slechter in dat geval. Google doet dit al jaren en ze maken daarnaast ook misbruik van je gegevens door ze te verkopen aan adverteerders. Overigens hetzelfde met facebook en whatsapp. Heb nooit gehoord dat die programma's spyware waren en dat is wel jammer, want dan zouden alle spyware programma's de software volledig kunnen wissen.
09-09-2015, 17:16 door Anoniem
Door john west: De volgende updates of spyware ?

Beveiligingsupdate voor Microsoft .NET Framework 3.5.1 op Windows 7 en Wind...
Beveiligingsupdate voor Microsoft .NET Framework 4.5, 4.5.1 en 4.5.2 op Window...
Beveiligingsupdate voor Microsoft .NET Framework 4.5, 4.5.1 en 4.5.2 op Window...
KB3069114: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3077715: Update voor Windows 7 voor x64-systemen
KB3083324: Update voor Windows 7 voor x64-systemen
KB3083992: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3084135: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3086255: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3087038: Cumulatieve beveiligingsupdate voor Internet Explorer 11 voor Wind...
KB3087039: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB3087918: Beveiligingsupdate voor Windows 7 voor x64-systemen
KB890830: Windows-programma voor het verwijderen van schadelijke software v...

Ik weet het niet meer ?

Selecteer een update, en klik in in het rechter venster op "Meer informatie" (of "More info"), en je krijgt in je browser te zien wat een update inhoudt. Wil je hem niet of vertrouw je hem niet, installeer hem dan niet en verberg de update.
09-09-2015, 17:16 door Erik van Straten
Door john west: De volgende updates of spyware ?

Het lastige is dat KB nummers getoond worden specifiek voor jouw OS versie, zonder vermelding van de generieke MS15-xxx nummers. Maar vanmorgen heb ik het uitgezocht voor mezelf.

Beveiligingsupdate voor Microsoft .NET Framework 3.5.1 op Windows 7 en Wind...
Beveiligingsupdate voor Microsoft .NET Framework 4.5, 4.5.1 en 4.5.2 op Window...
Beveiligingsupdate voor Microsoft .NET Framework 4.5, 4.5.1 en 4.5.2 op Window...
Bijbehorende drie KB nummers zijn allen te vinden in https://technet.microsoft.com/en-us/library/security/ms15-101.aspx met titel "Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3089662)"

KB3069114: Beveiligingsupdate voor Windows 7 voor x64-systemen
Vulnerabilities in Windows Journal Could Allow Remote Code Execution (3089669)
https://technet.microsoft.com/en-us/library/security/ms15-098.aspx

KB3083992: Beveiligingsupdate voor Windows 7 voor x64-systemen
Microsoft security advisory: Update to improve AppLocker certificate handling: September 8, 2015
Geen MS15-xxx nummer, zie https://support.microsoft.com/en-us/kb/3083992

KB3084135: Beveiligingsupdate voor Windows 7 voor x64-systemen
Vulnerabilities in Windows Task Management Could Allow Elevation of Privilege (3089657)
https://technet.microsoft.com/en-us/library/security/ms15-102.aspx

KB3086255: Beveiligingsupdate voor Windows 7 voor x64-systemen
Microsoft Security Bulletin MS15-097 - Critical
https://technet.microsoft.com/en-us/library/security/ms15-097.aspx

KB3087038: Cumulatieve beveiligingsupdate voor Internet Explorer 11 voor Wind...
Cumulative Security Update for Internet Explorer (3089548)
http://technet.microsoft.com/en-us/security/bulletin/ms15-094

KB3087039: Beveiligingsupdate voor Windows 7 voor x64-systemen
Vulnerabilities in Microsoft Graphics Component Could Allow Remote Code Execution (3089656)
https://technet.microsoft.com/en-us/library/security/ms15-097.aspx

KB3087918: Beveiligingsupdate voor Windows 7 voor x64-systemen
Vulnerability in Windows Media Center Could Allow Remote Code Execution (3087918)
https://technet.microsoft.com/en-us/library/security/ms15-100.aspx

KB890830: Windows-programma voor het verwijderen van schadelijke software v...
Dit is de maandelijkse "Windows Malicious Software Removal Tool x64 - September 2015 (KB890830)"

De volgende update is van vorige maand:
KB3077715: Update voor Windows 7 voor x64-systemen
August 2015 cumulative time zone update for Windows operating systems
https://support.microsoft.com/en-us/kb/3077715

De updates hierboven bevatten (waarschijnlijk) geen spyware, maar de volgende update hoogstwaarschijnlijk wel (deze werd mij vorige week al aangeboden):
KB3083324: Update voor Windows 7 voor x64-systemen
Windows Update Client for Windows 7 and Windows Server 2008 R2: September 2015
This article describes an update that contains some improvements to Windows Update Client in Windows 7 Service Pack 1 (SP1) and Windows Server 2008 R2 SP1.
https://support.microsoft.com/en-us/kb/3083324

Hoewel ik expliciet CEIP heb uitgezet, en een heel stel diensten in Task Scheduler heb disabled, worden er nog steeds TLS verbindingen vanaf mijn PC met vortex.data.microsoft.com vanaf mijn PC opgebouwd waarbij (te zien aan de hoeveelheid bytes) meer dan alleen maar een paar geanonymiseerde ID's worden verzonden (in https://www.microsoft.com/products/ceip/en-us/default.mspx en https://www.microsoft.com/products/ceip/en-us/privacypolicy.mspx staat toch echt dat er geen data verzonden wordt als je niet participeert, en in https://support.microsoft.com/en-us/kb/3068708 staat dat CEIP communiceert met vortex-win.data.microsoft.com en settings-win.data.microsoft.com).

De oorzaak dat er nog data wordt verzonden vanaf mijn PC zit mogelijk in RAC ("RacTask", location \Microsoft\Windows\RAC, "Microsoft Reliability Analysis task to process system reliability data") - die heb ik nog niet uitgezet. In de bijbehorende c:\windows\system32\diagtrack.dll zijn de (unicode) strings "https://settings-win.data.microsoft.com/settings/v2.0/" en "https://vortex-win.data.microsoft.com" terug te vinden.

Kortom, totdat Microsoft verklaart waarom mijn PC nog versleutelde data naar vortex.data.microsoft.com stuurt, ga ik uit van ordinaire spyware.
09-09-2015, 20:07 door Anoniem
Door Erik van Straten:
Door john west: De volgende updates of spyware ?
Kortom, totdat Microsoft verklaart waarom mijn PC nog versleutelde data naar vortex.data.microsoft.com stuurt, ga ik uit van ordinaire spyware.
Gelukkig is het normaal altijd "innocent until proven guilty". Immers daar schreeuwt men op Internet altijd over. Zo te zien geld dat niet voor iedereen.....
10-09-2015, 10:58 door Anoniem
Door Anoniem:
Door Anoniem:
Als ze afkomstig zijn van MS is het zeker geen spyware, want daar doet MS niet aan mee.

Heh, en dit dan?
https://www.security.nl/posting/441806/Update+Windows+7+en+8_1+laat+Microsoft+extra+data+verzamelen
Dat is toch overduidelijk wat we als 'Spyware' beschouwen.
Of je bent een troll!
En wie ben jij dat te beslissen dat het spyware is? Dat is namelijk geen spyware en het kan (nog) niet als spyware beschouwdd worden. Volgens MS gebruiken ze die gegevens om het OS beter te kunnen beveiligen en er is geen bewijs dat ze er misbruik van maken.

Google is veel slechter in dat geval. Google doet dit al jaren en ze maken daarnaast ook misbruik van je gegevens door ze te verkopen aan adverteerders. Overigens hetzelfde met facebook en whatsapp. Heb nooit gehoord dat die programma's spyware waren en dat is wel jammer, want dan zouden alle spyware programma's de software volledig kunnen wissen.

Toetsaanslagen, afluisteren en doorsturen van geluidsopnames en browsergeschiedenis voor het verbeteren van de beveiliging van Windows 10? Ja, wel, nee. Dat geloof ik niet.
Misschien dat Microsoft nu nog geen kwade plannen heeft, maar we bouwen wel allen een mooie fundering op. Microsoft kan zomaar de volgende Google/Facebook worden. Bovendien wordt alles doorgegeven aan onze Amerikaanse NSA-vrienden.
10-09-2015, 11:42 door Anoniem
Erik

RAC is m.i. de veroorzaker, gezien de 2 triggers die daar staan.
De strings "https://settings-win.data.microsoft.com/settings/v2.0/" en "https://vortex-win.data.microsoft.com" zijn terug te vinden, schrijf je.
Staan daar dan ook de bijbehorende hardcoded IP adressen in?
Anders isde de hosts file nog een uitkomst.
Ik heb RAC in iedergeval gedisabled.
10-09-2015, 19:44 door Erik van Straten
09-09-2015, 17:16 door Erik van Straten:
[...] en in https://support.microsoft.com/en-us/kb/3068708 staat dat CEIP communiceert met vortex-win.data.microsoft.com en settings-win.data.microsoft.com).
[...]
Die laatste URL heb ik gisteren verkeerd gekopieerd en geplakt, dat moet zijn https://support.microsoft.com/en-us/kb/3068708, wat een update is van https://support.microsoft.com/en-us/kb/3022345. In beide pagina's staat:
The diagnostics tracking service collects diagnostics about functional issues on Windows systems that participate in the Customer Experience Improvement Program (CEIP). CEIP reports do not contain contact information, such as your name, address, or telephone number. This means CEIP will not ask you to participate in surveys or to read junk email, and you will not be contacted in any other way.

For any released product with an option to participate in CEIP, you can select to start or stop participating at any time. Most programs make CEIP options available on the Help menu, although for some products, you might have to check settings, options, or preferences menus. Some pre-released products that are under development might require participation in CEIP to help ensure that the final release of the product improves frequently used features and solves common problems that exist in the pre-released software.

Kennelijk is de algemene CEIP instelling (start control panel, zoek naar CEIP, klik op "Change Customer Experience Improvement Program settings": "(o) No, I don't want to participate in the program") irrelevant en moet je daarnaast alle programma's op je PC doorzoeken.

Gisteren maakte mijn PC ca. elke 3 kwartier verbinding met vortex.data.microsoft.com (191.232.139.254). Vreemd want die domainname (vortex.data.microsoft.com) staat niet in diagtrack.dll (wel vortex-win.data.microsoft.com, en hoewel dat ook resolvt in 191.232.139.254, is er kennelijk toch iets anders dat de DNS request doet en de verbinding opzet).

Vanochtend heb ik eerst de hosts file op mijn PC uitgebreid met:
# 20150910 Tegen MS CEIP telemetry/diagnostics tracking/diagtrack.dll
127.0.0.1 settings-win.data.microsoft.com
127.0.0.1 settings.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
127.0.0.1 vortex.data.microsoft.com
Sindsdien heb ik geen verbindingen meer met 191.232.139.254 en 191.232.139.253 (dat laatste IP adres hoort bij beide settings* domainnames) gezien.

In tegenstelling tot wat ik in https://www.security.nl/posting/441806/Update+Windows+7+en+8_1+laat+Microsoft+extra+data+verzamelen#posting441855 quotte van TheRegister lijkt, van wat er nu nog aan CEIP draait op mijn PC, geen hard-coded IP-adressen te gebruiken. Maar of deze entries in de hosts files alle mogelijke CEIP communicatie blokkeren, weet ik niet.

Overigens kun je in het register onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Diagnostics\DiagTrack\ o.a. de values SettingsHttpAttempts en VortexHttpAttempts terugvinden. Onder de subkeys "SettingsRequests\telemetry.ASM-WindowsDefault\" en "SettingsRequests\utc.app\" kun je, in "ETagQueryParameters", een uniek ID voor jouw computer vinden (een GUID) dat ongetwijfeld steeds naar Microsoft gestuurd wordt en op basis waarvan -vermoedelijk- een profiel, van wat en wanneer er moet jouw PC gebeurt, wordt opgebouwd. Het is maar helemaal de vraag of dat uiteindelijk niet zoveel informatie bevat dat het tot een persoon en locatie herleidbaar wordt.
10-09-2015, 20:25 door Rarsus - Bijgewerkt: 10-09-2015, 20:26
@Erik van straaten:
De algemene setting heeft betrekking op het windows OS + core componenten en uitzetten werkt naar behoren.

Extra (MS) applicaties hebben eigen CEIP instellingen die uitgezet kunnen worden. (Dit geef je zelf ook al aan). Naar goed gebruik is het verstandig om voordat je iets gast gebruiken, dit eerst te testen (!). Loop in ieder geval de opties eens na. Dan weet je al snel hoe en wat aan en of uit kan zetten.
10-09-2015, 21:05 door Anoniem
Ik heb er te weinig verstand om er zelf wat zinnigs over te zeggen, maar zou iemand kunnen zeggen of het veilig is om dit script te draaien? https://voat.co/v/technology/comments/459263

Daarmee zouden alle telemetry updates uit Win 7 en 8 verwijderd worden. Ik ben alleen altijd een beetje huiverig voor het draaien van scripts.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.