Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 January 2015

2015.01.30 - Nyhetsbrev

Kripos og Arbor Networks er ute med rapporter som sier noe om trusselbildet på nett. Zeus-trojaneren og ZeroAccess-botnettet er stadig trusler for PC-er verden over. Kina iverksetter strengere regler for vestlige selskaper som skal levere programvare og IT-utstyr i landet. Amerikanske forskere jobber med kognitive fingeravtrykk.

Kvartalsrapport fra Arbor Networks: 400 Gbps DDoS-angrep

Arbor Networks er ute med ny kvartalsrapport om DDoS-angrep, basert på informasjon samlet inn fra hele verden. Rapporten inneholder blant annet en undersøkelse blant 300 kunder, hvor 38% svarer at de nå ser mer enn 21 DDoS-angrep i måneden.

Det rapporteres også om et angrep rapportert fra en tredjepart på rundt 400 Gbps. Dette skal være det største DDoS-angrepet som er observert til nå.
Referanser
http://www.arbornetworks.com/resources/infras[...]
http://krebsonsecurity.com/2015/01/the-intern[...]
http://www.techworld.com/news/security/worlds[...]

Trendrapport fra Kripos: Hovedutfordringer innen digital kriminalitet

Kripos' trendrapport for 2015 er ute, med antatte hovedutfordringer for 2015. Blant disse nevnes dataspionasje mot både nasjonale interesser, bedrifter og privatpersoner. Det blir også mer svindel og ID-tyverier over nettet. Politiet tror antall tradisjonelle lovbrudd vil synke.
Referanser
http://www.vg.no/nyheter/innenriks/politi-hve[...]
https://www.politi.no/vedlegg/lokale_vedlegg/[...]

Ny avansert variant av Zeus-trojaneren

Security Affairs har en artikkel om en ny variant av bank-trojaneren Zeus. Trojaneren har nye måter å skjule seg på, samt et avansert kontrollpanel.
Referanser
http://securityaffairs.co/wordpress/32875/cyb[...]

ZeroAccess-botnettet gjenoppstår

Botnettet ZeroAccess ble hovedsaklig benyttet til click-fraud frem til det ble tatt ned av Microsoft i 2013. Det rapporteres nå at botnettet er tilbake i gammel form.
Referanser
http://www.zdnet.com/article/click-fraud-zero[...]

Autentisering via gjenkjennelse av bruksmønster

Forskere tilknyttet det amerikanske forsvaret jobber med å utvikle et rammeverk for såkalte biometriske fingeravtrykk, basert på unike bruksmønster av en enhet. Måten musepekeren beveges, bruk av tastatur og touch-skjerm er med på å differensiere en bruker fra en annen. Tanken er at dette kan bli en erstatter eller supplement til passord, men kan også misbrukes til overvåking av aktivitet på nettet.
Referanser
https://uk.finance.yahoo.com/news/military-si[...]

Nye IT-sikkerhetsregler i Kina

Utenlandske selskaper som selger programvare og IT-utstyr til kinesiske banker må nå overlevere kildekode for gjennomgang. Det må også bygges inn bakdører i programvare slik at myndighetene kan overvåke kommunikasjon.

Det spekuleres i at de nye reglene kan skyldes frykt for spionasje fra vestlige land og kan ha til hensikt å gjøre det vanskeligere for vestlige aktører å konkurrere med kinesiske selskaper.
Referanser
http://www.nytimes.com/2015/01/29/technology/[...]

Thursday, 29 January 2015

2015.01.29 - Nyhetsbrev

Bloggen Insinuator beskriver hvordan IPv6 extension headers og fragmenter kan misbrukes for å omgå Cisco IPv6 aksesslister.

En ny angrepsmetode rettet mot bedrifter krypterer filer på web-servere, og krever deretter løsepenger. Angrepet har fått navnet "RansomWeb"

Omgåelse av IPv6 aksesslister på Cisco routere.

Bloggen Insinuator beskriver hvordan IPv6 extension headers og fragmenter kan misbrukes av angripere for å omgå IPv6 aksesslister (ACLs) på Cisco routere.
Referanser
http://www.insinuator.net/2015/01/evasion-of-[...]

RansomWeb: Ny utpressingsmedtode rettet mot bedrifter

forbes.com bringer nyheten om en ny trend innen datakriminalitet. Angrepet har fått navnet "RansomWeb", og går ut på å kompromittere web servere til bedrifter, kryptere web-sidene og deretter kreve løsepenger av de berørte selskapene for å frigi dekrypteringsnøkler.
Referanser
http://www.forbes.com/sites/thomasbrewster/20[...]

Wednesday, 28 January 2015

2015.01.28 - Nyhetsbrev

Siste døgns svakheter omtalt i dagens nyhetsbrev omhandler en kritisk svakhet i biblioteket glibc og telefonen BlackPhone. Apple er også ute med oppdatering til OS X Yosemite. Kaspersky har gjort undersøkelser som viser at NSA sin QWERTY-malware trolig er en komponent til trojaneren Regin. Det er også verdt å nevne at Arbor er ute med sin årlige rapport om sikkerhetstrusler og at bloggeren Haroon Meer (thinkst) har skrevet et interessant blogginnlegg om NSA og hvorfor ingen oppdaget noe før Snowden kom med sine avsløringer. Til slutt tar vi med at videotjenesten Youtube nå har gått over til å bruke HTML5 som standard i stedet for Flash.

Kritisk svakhet i glibc kalt Ghost

En kritisk svakhet i GNU C Library (glibc), som berører de fleste Linux distribusjoner, gjør det mulig for en angriper å kjøre ondsinnet kode på et sårbart system. Sårbarheten "Ghost" ble forøvrig patchet for to år siden, men de fleste produksjonssystemer fremdeles sårbare, siden patchen ikke ble regnet som en sikkerhetspatch. Svakheten ligger i gethostbyname*()-funksjonen som brukes ved DNS-oppslag. Firmaet Qualys har laget en demonstrasjon av svakheten som fungerer mot e-post-serveren Exim på Linux der de også omgår flere andre sikkerhetsmekanismer i systemet.
Referanser
http://arstechnica.com/security/2015/01/highl[...]
https://community.qualys.com/blogs/laws-of-vu[...]

Europeisk rapport om masseovervåkingen

Europarådets parlamentariske forsamling har gitt ut en rapport hvor de beskriver masseovervåkingen som utføres av USA og UK som en trussel mot menneskerettighetene.
Referanser
http://www.theguardian.com/world/2015/jan/26/[...]

YouTube går over til å bruke HTML5-video som standard

Google, som lenge har jobbet med å kvitte seg med Adobe Flash, mener nå at HTML5 video er klar for jobben og setter det nå som standard. Flash har i det siste vært plaget med mange sikkerhetsproblemer.
Referanser
http://arstechnica.com/gadgets/2015/01/youtub[...]

Apple har sluppet oppdatering for OS X Yosemite

Apple har sluppet den andre, store oppdateringen av OS X Yosemite, OS X 10.10.2, siden lanseringen. Oppdateringen adresserer flere problemer for WiFi, sikkerhet og personvern.
Referanser
http://arstechnica.com/apple/2015/01/apple-re[...]

Thinkst tenker rundt NSA-hackingen

I et nytt blogginnlegg prøver thinkst å finne svaret på hvorfor NSA i liten grad ble avslørt før Snowden-lekkasjene. Blant annet kommer det fram at de kan gjemme data for eksfiltrering i vanlig brukte protokoller. Dataene kan så bli hentet ut fra et av de mange passive sniffe-punktene som NSA har tilgang til over hele verden.
Referanser
http://blog.thinkst.com/p/if-nsa-has-been-hac[...]

Arbor har utgitt sin årlige rapport om DDoS-angrep

Arbor har gitt ut sin årlige Worldwide Infrastructure Security Report. Her tar de for seg utviklingen innen DDoS-angrep det siste året. Angrepene øker både i frekvens, størrelse og kompleksitet. Nesten halvparten av større bedrifter ble utsatt for DDoS-angrep i fjor.
Referanser
http://www.arbornetworks.com/resources/infras[...]

Snowden-dokumenter viser angivelig at Regin er skrevet av NSA

Tidligere i år publiserte Spiegel.de en stor artikkel basert på Edward Snowdens avsløringer der fokuset var på NSA sin satsing på og bruk av cybervåpen. Artikkelen var basert på flere dokumenter og kildekode til malware som den gang ble døpt QWERTY. Det russiske sikkerhetsselskapet Kaspersky har sammenlignet QWERTY med annen kjent malware og funnet ut at denne antakeligvis er en keylogger-komponent til Regin. Regin har vært kjent i ti år og skal ha blitt brukt angrep mot en rekke land, blant annet Tyskland, Belgia, Brazil og India. Den er kjent for å inneholde funksjonalitet spesielt rettet mot å hente ut informasjon.
Referanser
http://www.spiegel.de/media/media-35668.pdf
http://www.spiegel.de/international/world/reg[...]
http://securelist.com/blog/research/68525/com[...]

Kritisk svakhet i BlackPhone

BlackPhone er en Android-basert telefon med høyt fokus på sikkerhet. Den skal blant annet ta i bruk ende til ende kryptering for SMS og for telefonsamtaler. En minnekorrupsjonssvakhet i BlackPhone sin meldings-applikasjon kan gjøre det mulig for en angriper å få tilgang til dekryptering av meldinger, lokasjonsinformasjon osv. Angrepet krever ikke at brukeren gjør noe aktivt og kan enkelt utføres ved å sende en spesielt utformet melding til den sårbare telefonen. Alt en trenger for å utnytte svakheten er telefonnummeret eller SilentCircle-brukernavnet til offeret. Svakheten er nå patchet.
Anbefaling
Oppdater til siste versjon av SilentCircle. Prosjektet ligger på github: https://github.com/SilentCircle
Referanser
http://blog.azimuthsecurity.com/2015/01/black[...]

Tuesday, 27 January 2015

2015.01.27 - Nyhetsbrev

Nedetid i diverse sosiale medier etter interne endringer hos Facebook. Kinesisk nettsensur fører antakeligvis til DoS-angrep.

Nedetid i diverse sosiale medier etter interne endringer hos Facebook

Tirsdag morgen var det nedetid hos flere sosiale medier, blant annet Facebook og Instagram. Lizard Squad var raske til å ta på seg skylden for nedetiden, men dette er nå dementert av Facebook. De sier nedetiden skyldtes en feil hos dem som skjedde under konfigurasjonendringer.
Referanser
http://www.bbc.com/news/technology-30996928
http://www.theverge.com/2015/1/27/7920161/fac[...]

Kinesisk nettsensur fører antakeligvis til DoS-angrep.

The Pirate Bays torrent-tracker, som ble lagt ned i 2009, har gjenoppstått i en slags zombie-tilstand. Den gamle DNS-adressen til trackeren blir fortsatt inkludert i mange gamle og nye torrents. Adressen til trackeren er blant nettstedene som blir sensurert av Kinas Internett-brannmur. Denne brannmuren returnerer mer eller mindre tilfeldige IP-adresser ved oppslag mot sensurerte domener. I henhold til kommentarer til artikkelen blir dette gjort for å unngå automatiske systemer som skal omgå sensuren.

Trafikken mot The Pirate Bay sin torrent-tracker og andre sensurerte sider, generer store mengder trafikk mot tilfeldige adresser og kan noen ganger se ut som et DDoS-angrep. Flere nettsider har nå begynt å stenge trafikk fra Kina som en konsekvens av dette.
Referanser
http://torrentfreak.com/zombie-pirate-bay-tra[...]
http://furbo.org/2015/01/22/fear-china/

Monday, 26 January 2015

2015.01.26 - Nyhetsbrev

Adobe har sluppet oppdatering som fikser kritisk Flash-svakhet som blir aktivt utnyttet. Datatilsynet kritisk til mobilregulerte soner. Malaysia Airlines hacket av Lizard Squad. Symantec skriver om gruppen Scarab som i hovedsak angriper russisk-talende.

Malaysia Airlines sin nettside har blitt hacket av Lizard Squad

Hovedsiden til Malaysia Airlines har blitt hacket av Lizard Squad. Malaysia Airlines hevder at web-serverne i seg selv ikke har blitt kompromittert. Hackerne har mest sannsynlig fått endret DNS-innslaget til web-siden til å peke på sin egen server. Lizard Squad står fra før av bak tallrike innbrudd og DDoS-angrep, spesielt mot spillsider.
Referanser
http://www.theguardian.com/world/2015/jan/26/[...]
http://www.cnn.com/2015/01/25/asia/malaysia-a[...]

Gruppe som Symantec kaller Scarab angriper russisk-talende

Symantec skriver på sin blogg om en gruppe de kaller Scarab. Gruppen ser ut til å i hovedsak angripe russisk-talende personer, i og utenfor Russland. Angrepene ser ut til å være veldig rettet, og angriper ifølge Symantec gjerne bare en håndfull personer av gangen.
Referanser
http://www.symantec.com/connect/blogs/scarab-[...]

Datatilsynet kritisk til mobilregulerte soner

Datatilsynet skriver kritisk om et nytt lovforslag som kan gi politiet utvidede muligheter til å sette opp falske basestasjoner.
Referanser
http://www.datatilsynet.no/Nyheter/2015/Svart[...]

Adobe har fikset 0-dags svakheten i Flash Player

Adobe har rettet 0-dags-svakheten som ble oppdaget forrige uke, som kunne brukes til å kjøre vilkårlig kode på en sårbar klient. I første omgang rulles denne ut via Adobes automatiske oppdateringssystem, og vil i løpet av uken bli tilgjengelig som manuell nedlastning.
Anbefaling
Slå på "autoamtisk oppdatering" i Flash Player.
Referanser
http://blogs.adobe.com/psirt/?p=1160
https://isc.sans.edu/forums/diary/Stealth+Upd[...]

Friday, 23 January 2015

2015.01.23 - Nyhetsbrev

Adobe har sluppet en sikkerhetsoppdatering for Flash Player. Oppdateringen fikser imidlertid ikke gårsdagens omtalte 0-day svakhet i nevnte produkt.

Snowden-dokumenter avslører at Kina skal ha stjålet omlag 50 terabytes med data relatert til jagerfly-teknologi fra det amerikanske forvaret og deres underleverandører.

Det spekuleres i om FBI i første halvdel av 2014 benyttet en ukjent svakhet i TOR-nettverket til å få identifisert bakmennene bak nettsteder for omsetning av narkotiske stoffer.

Fujitsu Laboratories utvikler verktøy for å identifisere brukere som er sårbare for cyberangrep.

Adobe har sluppet sikkerhetsoppdatering for Flash Player

Adobe slapp i går en sikkerhetsoppdatering for en sårbarhet i Flash Player. Oppdateringen fikser et en feil som lot en angriper unngå minne-randomisering. Merk at denne oppdateringen ikke fikser gårsdagens omtalte 0-dags sårbarhet. En oppdatering som tetter denne svakheten er planlagt utgitt i løpet av neste uke.
Referanser
http://helpx.adobe.com/security/products/flas[...]
https://www.us-cert.gov/ncas/current-activity[...]
http://blogs.adobe.com/psirt/?p=1160

Kina skal ha stjålet 50TB med data fra forsvaret i USA

I følge lekkede Snowden-dokumenter skal Kina, iflg. NSA, ha klart å stjele rundt 50 Terabytes med data fra det amerikanske forsvaret og deres underleverandører, inkl. detaljert informasjon om flytypene f-35, B-2 og F-22.
Referanser
http://worldtribune.com/life/nsa-china-ripped[...]
http://freebeacon.com/national-security/nsa-d[...]

FBI bak angrep mot TOR-nettverket?

nrk.no publiserte i går en artikkel der det spekuleres i om FBI i perioden januar - juli 2014 hadde tilgang til, og benyttet, en ukjent svakhet i anonymiseringsnettverket TOR til å avsløre bakmennene bak bl.a. omsetningssentraler for narkotika som befant seg i TOR-nettverket.
Referanser
http://www.nrk.no/verden/fbi-kan-sta-bak-angr[...]
http://arstechnica.com/tech-policy/2015/01/di[...]

Fujitsu Laboratories utvikler verktøy for å identifisere brukere som er sårbare for cyberangrep

Fujitsu Laboratories utvikler et verktøy som skal identifisere og rådgi personer som er sårbare for cyberangrep, basert på hvordan de bruker epost, nettlesere og hvordan de bruker tastatur og mus. Programmet er utviklet med tanke på at de fleste cyberangrepene utnytter feil som brukere gjør, f.eks. ved å klikke på ondsinnede linker.
Referanser
http://www.itworld.com/article/2873875/fujits[...]

Thursday, 22 January 2015

2015.01.22 - Nyhetsbrev

Ny Zero-Day svakhet i Adobe Flash. MS SQL server kan brukes til å forsterke trafikk fra DDoS-angrep.

Zero-day svakhet funnet i Adobe Flash

Sikkerhetsforsker Kafeine har oppdaget en ny zero-day svakhet i Adobe Flash Player som utnyttes gjennom Angler Exploit Kit. Svakheten blir med andre ord allerede utnyttet aktivt til å spre malware. Det finnes foreløpig ikke noe patch for systemer som er sårbare.

Berørte systemer:
- Windows XP (IE6-IE8, Flash 16.0.0.257)
- Windows 7 (IE8, Flash 16.0.0.257)
- Windows 8 (IE10 med Windows8-RT-KB3008925-x86, Flash 16.0.0.235)

Ikke berørte:
- Win 8.1 fullt oppdatert
- Chrome
Anbefaling
Oppdatere Internet Explorer og Flash til siste versjon.
Referanser
http://malware.dontneedcoffee.com/2015/01/unp[...]
https://blog.malwarebytes.org/exploits-2/2015[...]

MS-SQL server benyttes i DDoS-angrep

Ved å spørre en MS SQL server om status-informasjon over UDP på port 1434, har man opplevd å få opp til 440 ganger så mye informasjon i retur. Dette benyttes til å forsterke DDOS-angrep. Denne svakheten ble første gang sett utnyttet i desember 2014.
Anbefaling
For å unngå at din MS SQL server blir benyttet som forsterker i et DDOS angrep kan disse portene sperres i brannmur.
Referanser
http://kurtaubuchon.blogspot.no/2015/01/mc-sq[...]