Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 23 April 2014

2014.04.23 - Nyhetsbrev

Apple har gitt ut oppdatering til iOS og OS X.

Google refunderer penger dersom man har kjøpt falskt Android AV-produkt.

NIST har offisielt fjernet anbefaling om å benytte Dual_EC_DRBG som random-generator i kryptografiske produkter.

Apple har gitt ut oppdatering til iOS og OS X

Apple har nå gitt ut oppdatering til både iOS (7.1.1) og OS X (Security Update 2014-002) som skal fikse en kritisk svakhet som gjorde det mulig for angripere å forbipassere HTTPS krypteringen. Ved å gjøre dette kunne angriperen overvåke all trafikk som gikk til den sårbare enheten.

Det anbefales å oppdatere snarest.
Referanser
http://arstechnica.com/security/2014/04/iphones-and-macs-get-fix-for-extremely-critical-triple-handshake-crypto-bug/ http://support.apple.com/kb/HT6208 http://support.apple.com/kb/HT6207

Google gir pengene tilbake for personer som har kjøpt falsk Android anti-virus program

I nyhetsbrevet vårt den 08.04.2014 meldte vi om at en sikkerhetsapplikasjon ved navn Virus Shield ga seg ut for å være et anti-virus program, men gjorde ikke noe annet enn å bytte mellom to forskjellige ikoner. I følge Android Police, som fant ut at applikasjonen var falsk, gir Google pengene tilbake til personer som har kjøpt Virus Shield på Play Store. I følge artikkelen gir Google 5 amerikanske dollar i Play Store kreditt.
Referanser
http://www.theregister.co.uk/2014/04/22/google_to_refund_buyers_of_fake_antivirus_app/

NIST har offisielt fjernet anbefaling om å benytte Dual_EC_DRBG

NIST (National Institute of Standards and Technology) har nå offisielt fjernet anbefalingen om å bruke Dual_EC_DRGB (Dual Elliptic Curve Deterministic Random Bit Generator) fra deres liste.

I 2013 anbefalte NIST alle som har brukt Dual_EC_DRGB om å bytte den ut etter at det ble oppdaget flere svakheter, men det er først nå at denne offisielt har blitt fjernet fra deres liste. Dette kommer til å ha en stor effekt på mange kryptografiske produkter som blir laget i USA da å følge disse anbefalingene er nødvendig om produktet skal bli godkjent for salg.
Referanser
http://www.nist.gov/itl/csd/sp800-90-042114.cfm http://www.theregister.co.uk/2014/04/23/kill_dodgy_rng_says_nist/

Tuesday, 22 April 2014

2014.04.22 - Nyhetsbrev

Tidligere kjent bakdør i SMB/hjemmerutere ble ikke lukket. WhatsApp sender lokasjonsdata ukryptert. Reddit brukere fant iOS malware. Heartbleed-svakheten er fortsatt ikke oppdatert i produkter fra Oracle og Simens.

Bakdør i flere SMB/hjemmerutere.

Eloi Vanderbeken i Synacktiv Digital Security har publisert informasjon om en bakdør kjent som TCP/32764 ikke er tettet, selv om det har blitt publisert oppdateringer fra produsentene av ruterne. Det dreier seg om rutere fra Netgear, Cisco, Linksys og Diamond og bakdøren ble første gang oppdaget i begynnelsen av januer. Oppdateringene som ble sluppet i forbindelse med dette, lukket ikke bakdøren, men implementerte i stedet "port-knocking" for å aktivere bakdøren. Bakdøren er ment for bruk av oppdateringsverktøy for berøre rutere, men kan gi en potensiell angriper full systemtilgang.
Referanser
http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf

WhatsApp sender lokasjonsdata ukryptert

nakedsecurity melder om at mobilapplikasjonen WhatsApp, som ble kjøpt opp av Facebook, sender lokasjonsdata ukryptert når du deler lokasjonen med venner på applikasjonen. Dette gjør det mulig for angripere, som ikke trenger å bruke WhatsApp, å hente ut hvor du er når du delte dette med vennene dine.

Les mer i referansen under.
Referanser
http://nakedsecurity.sophos.com/2014/04/19/dont-share-your-location-with-your-friends-on-whatsapp

Reddit brukere fant iOS malware

The Register melder om at brukere på et av Reddit's subreddit fant malware som infiserer iPhone. Denne malwaren, som har blitt kalt "Unflod Baby Panda" ser ut til å spre seg gjennom kinesiske applikasjonssider. Malwaren ser kun ut til å gjelde iPhone'er som er "jailbroken", men når mobilen er infisert går malwaren etter apple ID'en og passordet.

Les mer om malwaren i referansen under.
Referanser
http://www.theregister.co.uk/2014/04/18/reddit_users_discover_ios_malware_threat/

Simens produkter har forsatt Heartbleed svakheter

Threatpost rapporterer om at en del forskjellige Simens produkter har forsatt Heartbleed svakheter. Disse produktene har heller ikke fått en oppdatering som vil fikse dette.

En liste av hvilke produkter som har svakheten kan finnes i referansen under.
Referanser
http://threatpost.com/ics-cert-warns-of-heartbleed-vulnerabilities-in-siemens-gear/105554

Oracle Multiple Products OpenSSL Heartbeat Two Information Disclosure Vulnerabilities

Oracle har erkjent to sårbarheter i flere Oracle-produkter, som kan utnyttes av ondsinnede til å avsløre potensielt sensitiv informasjon.
Anbefaling
Optatering av programvare.
Referanser
http://www.secunia.com/advisories/57911


Wednesday, 16 April 2014

2014.04.16 - Nyhetsbrev

Oracle har sluppet oppdateringer for April

Oracle har sluppet oppdateringer for April

Oracle har kommet ut med patcher som fikser 104 sikkerhetsfeil i en rekke av produktene dems. Det anbefales å oppdatere ved første anledning.
Referanser
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html

Tuesday, 15 April 2014

2014.04.15 - Nyhetsbrev

VMWare informerer om oppdateringplan i forbindelse med Heartbleed. Akamai informere om at oppdateringen de gjorde i forbindelse med Heartbleed ikke var tilstrekkelig. Forskere klarte etter oppdateringen å knekke 3 av 6 kritiske verdier som brukes i RSA-algoritmen. Microsoft gjør Update 1 obligatorisk for videre oppdatering av Windows 8.1 og Windows Server 2012 R2 fra og med mai.

VMWare varsler om oppdateringer i forbindelse med heartbleed

VMWare har gitt ut en artikkel hvor de informerer om oppdateringer som de planlegger å slippe i forbindelse med Heartbleed-svakheten i OpenSSL. Per i dag er det kun slupper oppdateringer for VMWare Horizon Workspace Server, men i følge artikkelen så arbeider VMWare med ytterligere 25 oppdatering for forskjellige produkter. Der iblant ESXi og forskjellige vCenter-produkter. For mer informasjon om hvilke produkter og versjoner som vil bli oppdatert, se referanse.
Referanser
http://www.vmware.com/security/advisories/VMSA-2014-0004.html

Akamai Heartbleed patch hadde feil

Akamai, som er en av de største innholdsleverandørene i verden, har nå gått frem å sagt at oppdateringen de hadde på OpenSSL ikke fikset alt.

Det tok en sikkerhetsforsker 15 minutter for å finne flere svakheter i oppdateringen. Disse oppdateringene gjorde slik at kun 3 av de kritiske verdiene ut av 6 kritiske verdier i en RSA-nøkkel var beskyttet. Akamai sier det at sertifikatene til kundene deres vil nå roteres, slik at ting er beskyttet igjen.
Referanser
http://www.cnet.com/news/akamai-heartbleed-patch-not-a-fix-after-all/

Update 1 for Windows 8.1 vil bli påkrevd fra og med mai

Microsoft skriver i en bloggartikkel at de fra og med mai kun kommer til å gi ut nye oppdateringer for siste versjon av Windows 8.1 og Windows Server 2012 R2. Denne versjonen har betegnelsen Windows 8.1 Update 1 og er en gratis oppdatering for alle brukere av Windows 8.1 og Windows Server 2012 R2. Brukere av Windows 8 og Windows Server 2012 er ikke berørt av denne endringer. For mer informasjon om saken, se referanse.
Referanser
http://blogs.technet.com/b/gladiatormsft/archive/2014/04/12/information-regarding-the-latest-update-for-windows-8-1.aspx

Monday, 14 April 2014

2014.04.14 - Nyhetsbrev

Cloudflare har utført en større analyse av Heartbleed, som bekrefter muligheten til å lekke private krypterings nøkkeler med Nginx. Detectify har publisert en artikkel om hvordan de fikk lesetilgang til Google sin produksjonsserver.

Cloudflares analyse av Heartbleed bekrefter muligheten for å lekke private nøkler med Nginx

Cloudflare publiserte 11. april en bloggpost der de gikk igjennom mulighetene for å tilegne seg private SSL nøkler via Heartbleed svakheten på Nginx. De gjorde en grundig analyse ved å blant annet overvåke hvordan Nginx brukte minne, og muligheten for å få privatnøklene innenfor de kritiske 64Kb. De mente at sannsynligheten var lav, og den eventuelt beste muligheten trolig ville være i forbindelse med restart av Nginx.

Cloudflare satt også opp en server som de oppfordret folk til å prøve å stjele de private nøklene fra, noe som flere uavhengige personer gjorde.
Referanser
http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge https://gist.github.com/epixoip/10570627

Detectify har skrevet om hvordan de fikk lesetilgang til Google's produksjonsserver

Detectify har i et blogginnlegg skrevet om hvordan de via en sårbarhet i et gammelt Google produkt fikk tilgang til å lese filer fra Google's server.
Referanser
http://blog.detectify.com/post/82370846588/how-we-got-read-access-on-googles-production-servers

Friday, 11 April 2014

2014.04.11 - Nyhetsbrev

Tips om Heartbleed. Fireeye gir ut årlig Mandiant trusselrapport om avanserte målrettet angrep. De 72 timene som ledet fram til Heartbleed-bug offentliggjøringen. Google legger til kontinuerlig overvåking av Android-applikasjoner. Over en halv million servere har Heartbleed-svakheten. Mannen bak dataskandalen: Det var ikke med vilje.

Tips om Heartbleed

Både KrebsOnSecurity og Mashable har publisert artikler om hva du kan gjøre for å beskytte deg mot OpenSSL-buggen.

KrebsOnSecurity går i sin artikkel inn på hvordan denne kan ha blitt utnyttet og hva man bør gjøre. I artikkelen linkes det til en del nyttige sider som kan fortelle deg om en nettside er sårbar. KrebsOnSecurity anbefaler alle å skifte passord på de sidene som brukeren har logget inn på siden svakheten ble publisert (Mandag).

Mashable har i sin artikkel en liste med de mest popluære nettstedene og en forklaring på om man trenger å bytte passord eller ikke.
Referanser
http://krebsonsecurity.com/2014/04/heartbleed-bug-what-can-you-do/ http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Fireeye gir ut årlig Mandiant trusselrapport om avanserte målrettet angrep

Fireeye har nå gitt ut en ny årlig rapport om avanserte målrettet angrep. Denne rapporten inneholder en del informasjon som Fireye har plukket opp under undersøkelser. I følge rapporten tar det i gjennomsnitt 229 dager før avanserte angripere blir oppdaget, og kun en tredjedel av organisasjoner oppdager innbrudd selv.

Rapporten forteller også om mye positive utvikling. Tiden det tar å oppdage innbrudd forsetter å bli kortere. I 2012 var tiden i gjennomsnitt 243 dager, og i 2012 var denne 416 dager.

Les mer om utviklingene som har skjedd det siste året i linken under.
Referanser
http://www.fireeye.com/news-events/press-releases/read/fireeye-releases-annual-mandiant-threat-report-on-advanced-targeted-attacks

De 72 timene som ledet opp til Heartbleed-bug offentliggjøringen

Vocativ går inn i detaljer om de 72 timene som ledet fram til offentliggjøringen av Heartbleed-buggen. Artikkelen forteller om hvordan et lite team fra Finland oppdaget denne store feilen.

Les historien i linken under.
Referanser
http://www.vocativ.com/tech/hacking/behind-scenes-crazy-72-hours-leading-heartbleed-discovery/

Google legger til kontinuerlig overvåking av Android-applikasjoner

Threatpost melder at Google skal legge til en ny sikkerhetsfunksjon i Android som kontinuerlig skanner applikasjoner som er installert på Android-enheten for å passe på at applikasjonen ikke gjør noe som kan oppfattes som ondsinnet.

Les mer om denne sikkerhetsfunksjonen i linken under.
Referanser
http://threatpost.com/google-adds-continuous-monitoring-of-android-apps/105391

Over en halv million servere har Heartbleed-svakheten

Robert Graham, som er CEO i sikkerhetsselskapet Errata Security, har skannet gjennom mye av Internett for å lete etter servere som bruker versjoner av OpenSSL som har heartbleed-svakheten. Han rapporterer i følge Dark Reading at han har oppdaget at rundt 600 000 servere av totalt 28 millioner SSL-servere bruker versjoner av OpenSSL som har denne svakheten.

Arstechnica rapporterer i en av deres artikler at et team med forskere fra Universitetet i Michigan har gjort en undersøkelse av de 1 million mest populære nettstedene tatt fra Alexa.com. Av disse var det 34% som støttet TLS. 11% av disse var sårbare, 27% hadde oppdaterte versjoner av OpenSSL og hadde ikke denne svakheten, mens 61% støttet ikke SSL og var derfor ikke sårbare.
Referanser
http://www.darkreading.com/informationweek-home/more-than-a-half-million-servers-exposed-to-heartbleed-flaw/d/d-id/1204318 http://arstechnica.com/security/2014/04/researchers-find-thousands-of-potential-targets-for-heartbleed-openssl-bug/

Mannen bak dataskandalen: Det var ikke med vilje

VG har en artikkel om mannen som la inn svakheten i OpenSSL som førte til at Hearbleed-svakheten oppstod. Han sier at det hele var en feil og at det ikke var med vilje.
Referanser
http://www.vg.no/forbruker/teknologi/data-og-nett/mannen-bak-dataskandalen-det-var-ikke-med-vilje/a/10130553/

Thursday, 10 April 2014

2014.04.10 - Nyhetsbrev

ISC har begynt å lage oversikt over utstyr sårbart for Heartbleed. Avlyttingssvakhet i Google Chrome. Heartbleed-svakheten kan ha blitt utnyttet i flere måneder. Telenor har patchet Heartbleed-svakheten i sine systemer. Amerikanske banker pålegges å ha systemer og rutiner for håndtering av DDoS.

ISC har begynt å lage oversikt over utstyr sårbart for Heartbleed

Internet Storm Center hos SANS har begynt å lage en oversikt over systemer som er sårbare for Heartbleed-svakheten. Listen inneholder også en lenke til informasjon fra leverandøren. Blant leverandører som har sårbart utstyr er Cisco, Fortinet, Juniper, F5, Novell, Aruba, Checkpoint og WatchGuard. Nye systemer legges til etter hvert som de blir kjent.
Referanser
https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929

Avlyttingssvakhet i Google Chrome

En sikkerhetsblogger har funnet en svakhet i Google Chrome som kan brukes til å avlytte en bruker. Svakheten kan brukes mot alle maskiner som har en mikrofon tilkoblet eller innebygget. Dette er den andre svakheten som er oppdaget av denne typen i Google Chrome.
Referanser
http://www.theinquirer.net/inquirer/news/2339043/second-eavesdropping-bug-is-found-in-google-chrome

Heartbleed-svakheten kan ha blitt utnyttet i flere måneder

Ars Technica viser til indikasjoner på at Heartbleed-svakheten kan ha blitt utnyttet i flere måneder allerede. Artikkelen har også eksempler på at brukernavn, passord og private nøkler faktisk kan hentes ut fra såbare servere.
Referanser
http://arstechnica.com/security/2014/04/heartbleed-vulnerability-may-have-been-exploited-months-before-patch/

Telenor har patchet Heartbleed-svakheten i sine systemer

Telenor har nå patchet svakheten i OpenSSL i alle sine systemer. Vi oppfordrer brukerne om å bytte passord på våre tjenester, i henhold til råd fra norske myndigheter. "Vi anser risikoen som lav for at noen har utnyttet sårbarheten hos oss før vi iverksatte tiltak, sier sikkerhetsdirektør Hanne Tangen Nilsen.
Referanser
http://www.mynewsdesk.com/no/telenor/pressreleases/telenor-har-lukket-internett-feilen-983316

Amerikanske banker pålegges å ha systemer for håndtering av DDoS

Det amerikanske banktilsynet, Federal Financial Institutions Examination Council, pålegger nå banker og andre finansinstitusjoner som opererer i USA om å implementere rutiner for overvåking og håndtering av DDoS-angrep. Hovedårsaken er at de har sett en stor økning i antall DDoS-angrep siden 2012. De har ikke gitt noen konkret frist for når tiltak må være satt i verk eller føringer for hva slags systemer som må brukes.
Referanser
http://www.networkworld.com/news/2014/040414-banks-ddos-280425.html https://www.ffiec.gov/press/PDF/FFIEC%20DDoS%20Joint%20Statement.pdf