Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 21 February 2017

2017.02.21 - Nyhetsbrev

Phishing-tema i dagens nyhetsbrev. CyberX forteller om Operation BugDrop, der sentrale organisasjoner i Ukraina ble avlyttet via PC-mikrofoner. Falske Swisscom-fakturaer med banktrojaner fikk god spredning via seriøs e-post-sender. Google forteller hvordan de sikrer Gmail mot phishing og skadevare. NorSIS har publisert en kronikk om phishing og sårbarhet.

Sofistikert aktør avlyttet PC-mikrofoner i Ukraina

CyberX rapporterer om en målrettet avlyttingsoperasjon mot organisasjoner i Ukraina, tilknyttet blant annet presse, forskning, menneskerettigheter og olje/gass. Trusselaktøren har benyttet skadevare levert via Office-makroer i phishingmail, lyttet på samtaler via PC-ens innebygde mikrofon og eksfiltrert dataene via Dropbox. Dette har gitt operasjonen navnet BugDrop.
Referanser
https://arstechnica.com/security/2017/02/hack[...]
https://cyberx-labs.com/en/blog/operation-bug[...]

Falske Swisscom-fakturaer spredde banktrojaner

GovCERT.ch har publisert en rapport om falske Swisscom-fakturaer som i realiteten spredde bantrojaneren Dridex i forrige uke. Kampanjen hadde svært god spredning fordi bakmennene benyttet ESP-en SendGrid til å sende ut phishingmailen. ESP-er spesialiserer seg på å sende ut seriøse nyhetsbrev og lignende på vegne av kunder, og er ofte whitelistet hos antispam-leverandørene. Det er lite som tyder på at kampanjen er relatert til de falske Telenor-fakturaene som har spredd ransomware den siste tiden.
Referanser
https://www.govcert.admin.ch/blog/28/the-rise[...]

Google om sikring av e-post

Google har presentert hvordan de beskytter Gmail-innbokser mot spam, phishing og skadevare. Spamfiltrering via deep learning kombinert med standarder som SPF, DKIM og DMARC trekkes frem som viktig. Samtidig presiseres det at tekniske løsninger alene ikke kan beskytte fullt ut mot phishing.
Referanser
http://www.eweek.com/security/how-google-secu[...]

NorSIS om phishing-sårbarhet

NorSIS har publisert en kronikk som argumenterer for at det ikke er det menneskelige ledd alene som kan lastes etter et vellykket phishingangrep, men at det må sees som en del av et større sårbarhetsbilde. Kronikken tar utgangspunkt i Ira Winklers presentasjon om ”The Human Exploitation Kill-Chain” på RSA nylig.
Referanser
https://norsis.no/alltid-menneskets-feil-nar-[...]

Monday, 20 February 2017

2017.02.20 - Nyhetsbrev

Google har sluppet informasjon om Windows-bug. Målrettet kampanje mot Israelsk forsvar.

Google har sluppet informasjon om Windows-bug

Microsoft skullet egentlig ha patchet en minnehåndterings-bug i GDI denne måneden. Månedens sikkerhetspatcher har imidlertid blitt utsatt til neste måned. Detaljer rundt svakheten har nå blitt sluppet av ingeniøren i Google som oppdaget den, etter at fristen på 90 dager for patching har utløpt.
Referanser
https://www.theregister.co.uk/2017/02/20/goog[...]

Målrettet kampanje mot Israelsk forsvar

Securelist skriver om en målretter kampanje mot det israelske forsvaret. Trusselaktøren skal ha brukt sosial manipulering mot sine mål for lure dem til å installere Android-malware.
Referanser
https://securelist.com/blog/incidents/77562/b[...]

Friday, 17 February 2017

2017.02.17 - Nyhetsbrev

Tjenestenekt-sårbarhet i OpenSSL 1.1.0.

Tjenestenekt-sårbarhet i OpenSSL 1.1.0

En sårbarhet i OpenSSL 1.1.0 kan utnyttes til å kræsje klient og/eller server, og dermed utnyttes i et tjenestenekt-angrep.
Anbefaling
Oppdatèr til 1.1.0e eller 1.0.2
Referanser
https://www.openssl.org/news/secadv/20170216.txt
http://www.securityweek.com/high-severity-fla[...]

Thursday, 16 February 2017

2017.02.16 - Nyhetsbrev

F-Secure har sluppet State of Cyber Security report. Ny malware for MacOS knyttes til APT28.

F-Secure har sluppet State of Cyber Security report

F-Secure har sluppet en omfattende rapport om sikkerhet på nettet. Rapporten ser på hva som skjedde i 2016, hva som er tilstanden nå og hva som kan gjøres for å bedre sikkerhets-situasjonen på nettet.
Referanser
https://www.f-secure.com/documents/996508/103[...]

Ny malware for MacOS knyttes til APT28

Bitdefender har sett på en versjon av malwaren Xagent skrevet for MacOS. Xagent kan blant annet hente ut hardware-info, stjele passord og ta screenshots. Den kan også laste ned iOS-backups som er lagret på Macen, noe som vil kunne gi bakmennene tilgang til mye ekstra informasjon.
Referanser
https://labs.bitdefender.com/2017/02/new-xage[...]
https://arstechnica.com/security/2017/02/new-[...]

Wednesday, 15 February 2017

2017.02.15 - Nyhetsbrev

Ciscos SMI-protokoll kan misbrukes. Adobe gir ut oppdateringer. Microsoft utsetter patche-tirsdag. ASLR kan bli forbigått ved hjelp av JavaScript. Myndighetene brukte falske basestasjoner 71 ganger i fjor.

Ciscos SMI-protokoll kan misbrukes

Ciscos Smart Install (SMI)-protokoll brukes til å auto-konfiguere switcher. Dette kan misbrukes ved å endre startup-config-filen til å kjøre priviligerte kommandoer uten å være autentisert. Cisco selv sier at dette er en feature, ikke en bug. Denne protokollen bør skrus av, spesielt dersom det ikke benyttes et separat management-nettverk.
Referanser
https://tools.cisco.com/security/center/conte[...]
http://www.securityfocus.com/archive/1/540130
https://www.theregister.co.uk/2017/02/15/cisc[...]

Adobe gir ut oppdateringer

Adobe har gitt ut oppdateringer til Adobe Flash Player, Digital Editions og Campaign som skal fikse flere svakheter. Utnyttelse av noen av disse svakhetene kunne gjøre det mulig for en angriper å ta over systemet.

For Adobe Flash player er det publisert 13 svakheter. Alle disse har fått høyeste alvorlighetsgrad. Det er ikke meldt om at noen av svakhetene har blitt utnyttet i angrep enda.
Referanser
https://helpx.adobe.com/security/products/fla[...]
https://helpx.adobe.com/security/products/Dig[...]
https://helpx.adobe.com/security/products/cam[...]
https://threatpost.com/adobe-patches-13-code-[...]

Microsoft utsetter patche-tirsdag

Microsoft har uttalt at de oppdaget en feil i siste minutter som kunne ha effekt på deres kunder og valgte derfor å utsette denne månedens oppdatering.

Microsoft har, i skrivende stund, ikke gitt noen estimat på når oppdateringene for denne måneden vil bli gitt ut.
Referanser
https://blogs.technet.microsoft.com/msrc/2017[...]
https://arstechnica.com/information-technolog[...]

ASLR kan bli forbigått ved hjelp av JavaScript

Address space layout randomization, eller ASLR, er en teknikk som flytter om på minnelokasjonene til koden som operativsystemet og applikasjoner kjører og er kjent for å beskytte mot malware-angrep. Forskere har funnet en måte å finne disse minneadressene ved hjelp av JavaScript og et "side channel"-angrep mot hurtigminnet til moderne CPUer. De har hittil identifisert 22 forskjellige sårbare CPUer.

Teknikken vil kunne føre til at svakheter i operativystemer og tredjepartsprogrammer lettere vil kunne utnyttes fra en nettleser. Apple har allerede lagt inn kode i Safari for å prøve å beskytte mot denne typen angrep.
Referanser
https://blogs.technet.microsoft.com/msrc/2017[...]
https://www.vusec.net/projects/anc/
http://www.cs.vu.nl//~herbertb/download/paper[...]

Myndighetene brukte falske basestasjoner 71 ganger i fjor

Politiet og PST har rapportert til NKom at de benyttet seg av falske basestasjoner, eller mobilregulerte soner, 71 ganger i fjor. Dette er en oppgang fra 35 tilfeller i 2015.
Referanser
http://www.aftenposten.no/norge/I-flere-ar-ho[...]

Tuesday, 14 February 2017

2017.02.14 - Nyhetsbrev

Trusselaktøren Lazarus knyttes til vannhullsangrep mot flere titalls banker. Forskere har utarbeidet en metode for å fingerprinte og tracke ulike nettlesere på samme maskin.

Sporing av webbrukere på tvers av nettlesere

Forskere har funnet en måte å fingerprinte og korrelere ulike nettlesere på samme maskin med over 99% sikkerhet. Det vil si at brukere av samme maskin vil kunne trackes på nett til tross for at nettlesere byttes, reinstalleres eller lignende.
Referanser
https://arstechnica.com/security/2017/02/now-[...]
http://yinzhicao.org/TrackingFree/crossbrowse[...]

Mange titalls banker rammet av vannhull-angrep

En ny bølge av skadevare skal være rettet spesifikt mot bank- og telecomsektoren i 31 land iflg Symantec. Skadevaren knyttes til grupperingen Lazarus, som tidligere har vært knyttet til angrep mot finans og myndigheter i Asia. I Polen ble flere banker infisert av skadevare etter å ha besøkt nettsidene til det polske finanstilsyet, som angriperne hadde klart å kompromittere.
Referanser
https://www.digi.no/artikler/mange-titalls-ba[...]
https://www.symantec.com/connect/blogs/attack[...]

Monday, 13 February 2017

2017.02.13 - Nyhetsbrev

Bruce Schneier demonstrerer hvordan knytte anonymiserte data opp mot enkeltbrukere. Amerikanske sikkerhetsmyndigheter med rapport om Grizzly Steppe aktører. VG har sjekket politikeres adresser opp mot lekkasjer.

Rapport viser hvordan en kan knytte surfehistorikk opp mot enkeltindivider ved hjelp av sosiale medier

En akademisk publikasjon viser hvordan en kan knytte anonym surfehistorikk mot ekte personer ved hjelp av sosiale-medier. Dette gjøres ved å matche surfevanene med hvem du følger på sosiale medier. Ved å se hvilke linker du besøker, kan en f.eks. finne en matchene Twitter-profil. Av 400 stykker som donerte sin surfe-historikk, klarte forskerne å finne identiteten på 70%.
Referanser
https://www.schneier.com/blog/archives/2017/0[...]
http://randomwalker.info/publications/browsin[...]

Amerikanske sikkerhetsmyndigheter med forbedret rapport rundt GRIZZLY STEPPE-aktører

Department of Homeland Security og andre amerikanske aktører lanserte fredag 10. februar en utvidet analyse av GRIZZLY STEPPE-relaterte hendelser. Rapporten inneholder spesifikke signaturer og anbefalinger for deteksjon og mitigering av trusler fra aktørene. Den oppdaterte rapporten kommer etter mye kritikk av den første versjonen.
Referanser
https://www.us-cert.gov/sites/default/files/p[...]

VG har sjekket politikeres adresser opp mot lekkasjer

VG har sjekket 1500 e-postadresser tilhørende politikere, regjeringsmedlemmer og departementer opp mot større passord-lekkasjer fra de siste årene. De har blant annet brukt tjenester som "Have i been pwned?" og rådata fra lekkasjene. De lekkede dataene er i flere tilfeller flere år gamle og stammer fra store tjenester som LinkedIn, Dropbox, Yahoo osv.

Det viser seg at det er ofte lite sentral varsling fra arbeidsgiver i forbindelse med disse sakene. Artikkelen viser at det er smart å ha forskjellig e-post-adresse for privat- og jobb-bruk, spesielt dersom du har en jobb der du håndterer sensitiv informasjon.

Vi vil anbefale å registrere e-post-adresser hos haveibeenpwned.com for å bli varslet dersom din informasjon blir lekket. Organisasjoner kan også registrere seg for å få varsel dersom informasjon tilhørende organisasjonen blir lekket.
Referanser
http://www.vg.no/nyheter/innenriks/erna-solbe[...]
https://haveibeenpwned.com/