Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 15 April 2014

2014.04.15 - Nyhetsbrev

VMWare informerer om oppdateringplan i forbindelse med Heartbleed. Akamai informere om at oppdateringen de gjorde i forbindelse med Heartbleed ikke var tilstrekkelig. Forskere klarte etter oppdateringen å knekke 3 av 6 kritiske verdier som brukes i RSA-algoritmen. Microsoft gjør Update 1 obligatorisk for videre oppdatering av Windows 8.1 og Windows Server 2012 R2 fra og med mai.

VMWare varsler om oppdateringer i forbindelse med heartbleed

VMWare har gitt ut en artikkel hvor de informerer om oppdateringer som de planlegger å slippe i forbindelse med Heartbleed-svakheten i OpenSSL. Per i dag er det kun slupper oppdateringer for VMWare Horizon Workspace Server, men i følge artikkelen så arbeider VMWare med ytterligere 25 oppdatering for forskjellige produkter. Der iblant ESXi og forskjellige vCenter-produkter. For mer informasjon om hvilke produkter og versjoner som vil bli oppdatert, se referanse.
Referanser
http://www.vmware.com/security/advisories/VMSA-2014-0004.html

Akamai Heartbleed patch hadde feil

Akamai, som er en av de største innholdsleverandørene i verden, har nå gått frem å sagt at oppdateringen de hadde på OpenSSL ikke fikset alt.

Det tok en sikkerhetsforsker 15 minutter for å finne flere svakheter i oppdateringen. Disse oppdateringene gjorde slik at kun 3 av de kritiske verdiene ut av 6 kritiske verdier i en RSA-nøkkel var beskyttet. Akamai sier det at sertifikatene til kundene deres vil nå roteres, slik at ting er beskyttet igjen.
Referanser
http://www.cnet.com/news/akamai-heartbleed-patch-not-a-fix-after-all/

Update 1 for Windows 8.1 vil bli påkrevd fra og med mai

Microsoft skriver i en bloggartikkel at de fra og med mai kun kommer til å gi ut nye oppdateringer for siste versjon av Windows 8.1 og Windows Server 2012 R2. Denne versjonen har betegnelsen Windows 8.1 Update 1 og er en gratis oppdatering for alle brukere av Windows 8.1 og Windows Server 2012 R2. Brukere av Windows 8 og Windows Server 2012 er ikke berørt av denne endringer. For mer informasjon om saken, se referanse.
Referanser
http://blogs.technet.com/b/gladiatormsft/archive/2014/04/12/information-regarding-the-latest-update-for-windows-8-1.aspx

Monday, 14 April 2014

2014.04.14 - Nyhetsbrev

Cloudflare har utført en større analyse av Heartbleed, som bekrefter muligheten til å lekke private krypterings nøkkeler med Nginx. Detectify har publisert en artikkel om hvordan de fikk lesetilgang til Google sin produksjonsserver.

Cloudflares analyse av Heartbleed bekrefter muligheten for å lekke private nøkler med Nginx

Cloudflare publiserte 11. april en bloggpost der de gikk igjennom mulighetene for å tilegne seg private SSL nøkler via Heartbleed svakheten på Nginx. De gjorde en grundig analyse ved å blant annet overvåke hvordan Nginx brukte minne, og muligheten for å få privatnøklene innenfor de kritiske 64Kb. De mente at sannsynligheten var lav, og den eventuelt beste muligheten trolig ville være i forbindelse med restart av Nginx.

Cloudflare satt også opp en server som de oppfordret folk til å prøve å stjele de private nøklene fra, noe som flere uavhengige personer gjorde.
Referanser
http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge https://gist.github.com/epixoip/10570627

Detectify har skrevet om hvordan de fikk lesetilgang til Google's produksjonsserver

Detectify har i et blogginnlegg skrevet om hvordan de via en sårbarhet i et gammelt Google produkt fikk tilgang til å lese filer fra Google's server.
Referanser
http://blog.detectify.com/post/82370846588/how-we-got-read-access-on-googles-production-servers

Friday, 11 April 2014

2014.04.11 - Nyhetsbrev

Tips om Heartbleed. Fireeye gir ut årlig Mandiant trusselrapport om avanserte målrettet angrep. De 72 timene som ledet fram til Heartbleed-bug offentliggjøringen. Google legger til kontinuerlig overvåking av Android-applikasjoner. Over en halv million servere har Heartbleed-svakheten. Mannen bak dataskandalen: Det var ikke med vilje.

Tips om Heartbleed

Både KrebsOnSecurity og Mashable har publisert artikler om hva du kan gjøre for å beskytte deg mot OpenSSL-buggen.

KrebsOnSecurity går i sin artikkel inn på hvordan denne kan ha blitt utnyttet og hva man bør gjøre. I artikkelen linkes det til en del nyttige sider som kan fortelle deg om en nettside er sårbar. KrebsOnSecurity anbefaler alle å skifte passord på de sidene som brukeren har logget inn på siden svakheten ble publisert (Mandag).

Mashable har i sin artikkel en liste med de mest popluære nettstedene og en forklaring på om man trenger å bytte passord eller ikke.
Referanser
http://krebsonsecurity.com/2014/04/heartbleed-bug-what-can-you-do/ http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Fireeye gir ut årlig Mandiant trusselrapport om avanserte målrettet angrep

Fireeye har nå gitt ut en ny årlig rapport om avanserte målrettet angrep. Denne rapporten inneholder en del informasjon som Fireye har plukket opp under undersøkelser. I følge rapporten tar det i gjennomsnitt 229 dager før avanserte angripere blir oppdaget, og kun en tredjedel av organisasjoner oppdager innbrudd selv.

Rapporten forteller også om mye positive utvikling. Tiden det tar å oppdage innbrudd forsetter å bli kortere. I 2012 var tiden i gjennomsnitt 243 dager, og i 2012 var denne 416 dager.

Les mer om utviklingene som har skjedd det siste året i linken under.
Referanser
http://www.fireeye.com/news-events/press-releases/read/fireeye-releases-annual-mandiant-threat-report-on-advanced-targeted-attacks

De 72 timene som ledet opp til Heartbleed-bug offentliggjøringen

Vocativ går inn i detaljer om de 72 timene som ledet fram til offentliggjøringen av Heartbleed-buggen. Artikkelen forteller om hvordan et lite team fra Finland oppdaget denne store feilen.

Les historien i linken under.
Referanser
http://www.vocativ.com/tech/hacking/behind-scenes-crazy-72-hours-leading-heartbleed-discovery/

Google legger til kontinuerlig overvåking av Android-applikasjoner

Threatpost melder at Google skal legge til en ny sikkerhetsfunksjon i Android som kontinuerlig skanner applikasjoner som er installert på Android-enheten for å passe på at applikasjonen ikke gjør noe som kan oppfattes som ondsinnet.

Les mer om denne sikkerhetsfunksjonen i linken under.
Referanser
http://threatpost.com/google-adds-continuous-monitoring-of-android-apps/105391

Over en halv million servere har Heartbleed-svakheten

Robert Graham, som er CEO i sikkerhetsselskapet Errata Security, har skannet gjennom mye av Internett for å lete etter servere som bruker versjoner av OpenSSL som har heartbleed-svakheten. Han rapporterer i følge Dark Reading at han har oppdaget at rundt 600 000 servere av totalt 28 millioner SSL-servere bruker versjoner av OpenSSL som har denne svakheten.

Arstechnica rapporterer i en av deres artikler at et team med forskere fra Universitetet i Michigan har gjort en undersøkelse av de 1 million mest populære nettstedene tatt fra Alexa.com. Av disse var det 34% som støttet TLS. 11% av disse var sårbare, 27% hadde oppdaterte versjoner av OpenSSL og hadde ikke denne svakheten, mens 61% støttet ikke SSL og var derfor ikke sårbare.
Referanser
http://www.darkreading.com/informationweek-home/more-than-a-half-million-servers-exposed-to-heartbleed-flaw/d/d-id/1204318 http://arstechnica.com/security/2014/04/researchers-find-thousands-of-potential-targets-for-heartbleed-openssl-bug/

Mannen bak dataskandalen: Det var ikke med vilje

VG har en artikkel om mannen som la inn svakheten i OpenSSL som førte til at Hearbleed-svakheten oppstod. Han sier at det hele var en feil og at det ikke var med vilje.
Referanser
http://www.vg.no/forbruker/teknologi/data-og-nett/mannen-bak-dataskandalen-det-var-ikke-med-vilje/a/10130553/

Thursday, 10 April 2014

2014.04.10 - Nyhetsbrev

ISC har begynt å lage oversikt over utstyr sårbart for Heartbleed. Avlyttingssvakhet i Google Chrome. Heartbleed-svakheten kan ha blitt utnyttet i flere måneder. Telenor har patchet Heartbleed-svakheten i sine systemer. Amerikanske banker pålegges å ha systemer og rutiner for håndtering av DDoS.

ISC har begynt å lage oversikt over utstyr sårbart for Heartbleed

Internet Storm Center hos SANS har begynt å lage en oversikt over systemer som er sårbare for Heartbleed-svakheten. Listen inneholder også en lenke til informasjon fra leverandøren. Blant leverandører som har sårbart utstyr er Cisco, Fortinet, Juniper, F5, Novell, Aruba, Checkpoint og WatchGuard. Nye systemer legges til etter hvert som de blir kjent.
Referanser
https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929

Avlyttingssvakhet i Google Chrome

En sikkerhetsblogger har funnet en svakhet i Google Chrome som kan brukes til å avlytte en bruker. Svakheten kan brukes mot alle maskiner som har en mikrofon tilkoblet eller innebygget. Dette er den andre svakheten som er oppdaget av denne typen i Google Chrome.
Referanser
http://www.theinquirer.net/inquirer/news/2339043/second-eavesdropping-bug-is-found-in-google-chrome

Heartbleed-svakheten kan ha blitt utnyttet i flere måneder

Ars Technica viser til indikasjoner på at Heartbleed-svakheten kan ha blitt utnyttet i flere måneder allerede. Artikkelen har også eksempler på at brukernavn, passord og private nøkler faktisk kan hentes ut fra såbare servere.
Referanser
http://arstechnica.com/security/2014/04/heartbleed-vulnerability-may-have-been-exploited-months-before-patch/

Telenor har patchet Heartbleed-svakheten i sine systemer

Telenor har nå patchet svakheten i OpenSSL i alle sine systemer. Vi oppfordrer brukerne om å bytte passord på våre tjenester, i henhold til råd fra norske myndigheter. "Vi anser risikoen som lav for at noen har utnyttet sårbarheten hos oss før vi iverksatte tiltak, sier sikkerhetsdirektør Hanne Tangen Nilsen.
Referanser
http://www.mynewsdesk.com/no/telenor/pressreleases/telenor-har-lukket-internett-feilen-983316

Amerikanske banker pålegges å ha systemer for håndtering av DDoS

Det amerikanske banktilsynet, Federal Financial Institutions Examination Council, pålegger nå banker og andre finansinstitusjoner som opererer i USA om å implementere rutiner for overvåking og håndtering av DDoS-angrep. Hovedårsaken er at de har sett en stor økning i antall DDoS-angrep siden 2012. De har ikke gitt noen konkret frist for når tiltak må være satt i verk eller føringer for hva slags systemer som må brukes.
Referanser
http://www.networkworld.com/news/2014/040414-banks-ddos-280425.html https://www.ffiec.gov/press/PDF/FFIEC%20DDoS%20Joint%20Statement.pdf

Wednesday, 9 April 2014

2014.04.09 - Nyhetsbrev

Microsoft har sluppet oppdateringer for april. Adobe oppdaterer Flash Player. Google oppdaterer Chrome. Symantec har sluppet Internet Security Threat Report 2014. Bloggpost om hvordan en kan ta over krypterte sesjoner med heartbleed-svakheten. LastPass oppdaterer OpenSSL på sine servere.

Microsoft har sluppet oppdateringer for april, den siste for Windows XP!

Microsoft slapp i går kveld fire oppdateringer som retter 11 svakheter. To av oppdateringene er rangert som kritiske. Den første (MS14-17) retter en 0-dags svakhet oppdaget for en måned siden RTF-håndtering i MS Word, den andre kritiske (MS14-18) retter en svakhet som rammet de fleste versjoner av Internet Explorer.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms14-apr http://blogs.technet.com/b/msrc/archive/2014/04/08/the-april-2014-security-updates.aspx

Adobe oppdaterer Flash Player

Adobe har sluppet en oppdatering for Flash Player. Oppdateringen omfatter alle plattformer og retter fire svakheter. Svakhetene er alle rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flash-player/apsb14-09.html

Google oppdaterer Chrome

Google har sluppet ny versjon av nettleseren Google Chrome. Ny versjon retter 31 svakheter hvor ni er rangert som "høy".
Referanser
http://googlechromereleases.blogspot.no/2014/04/stable-channel-update.html

Symantec har sluppet Internet Security Threat Report 2014

Symantec skriver at noen av de viktigste sakene i fjor var store tjenester som ble hacket, mange målrettede angrep, vannhulsangrep med zero-day svakheter, ransomware, svindel på sosiale nettsteder og mer malware for mobiltelefoner.
Referanser
http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-us.pdf

Bloggpost om hvordan en kan ta over krypterte sesjoner med heartbleed-svakheten

Matthew Sullivan har skrevet en bloggpost der han beskriver hvordan en angriper kan ta over sesjoner tilhørende andre innloggede brukere på en tjeneste ved å lese ut sesjons-coockies fra minnet til serveren.
Referanser
https://www.mattslifebytes.com/?p=533

LastPass oppdaterer OpenSSL på sine servere og lanserer sjekk-tjeneste

Det populære passord-verktøyet LastPass informerer om at de har oppdatert sine servere i lyset av den nylig oppdagede svakheten i OpenSSL kjent som Heartbleed. LastPass forsikrer også at sine brukere, selv om de var sårbare for Heartbleed, ikke trenger være bekymret takket være en dobbel kryptering av all data på disse serverene med en krypteringsnøkkel som er utilgjengelig for disse serverene.

LastPass har også lansert en tjeneste for å sjekke om andre sider har vært sårbare for svakheten. Brukere bør skifte passord på tjenester som har hatt sårbarheten, som f.eks. Yahoo.com.
Referanser
http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html

Tuesday, 8 April 2014

2014.04.08 - Nyhetsbrev

NB! Kritisk svakhet i OpenSSL. Windows XP og Microsoft Office 2003 er fra i dag foreldet. Falsk Android anti-virus program i Google Play Store.

Falsk Android anti-virus program i Google Play Store

Sikkerhetsapplikasjonen Virus Shield hadde en 4.7 av 5 stjerners rating og over 10.000 nedlastinger i Play Store og påstår den beskytter telefonen fra farlige applikasjoner og filer. Men alt applikasjonen gjør er å vise et av to forskjellige ikoner som indikerer om den er aktiv eller ikke. Applikasjonen gjør altså ikke noe nyttig, men kostet $3.99. Applikasjonen er nå slettet fra butikken.
Referanser
http://www.androidpolice.com/2014/04/06/the-1-new-paid-app-in-the-play-store-costs-4-has-over-10000-downloads-a-4-7-star-rating-and-its-a-total-scam/

Kritisk svakhet i OpenSSL

En ny svakhet i OpenSSL har blitt funnet. Denne svakheten gjør det mulig for angripere å få tak i 64kB av minnet. Selv om det er snakk om lite data per spørring, kan dette føre til at f.eks. den private krypteringsnøkkelen blir kjent for angriperen. Angriperen kan da bruke denne til å dekryptere all trafikk mellom klient og server. Også andre typer kritisk informasjon kan bli hentet ut av servere som brukernavn/passord, innhold i tilfeldige filer osv. SSL-biblioteket benyttes i mange forskjellige tjenester som HTTPS, kryptert SMTP, kryptert IMAP osv.

Denne svakheten kan bli mye utnyttet da store deler av internettjenester bruker sårbare versjoner av OpenSSL. Denne har blitt fikset i den nyeste patchen, 1.0.1g, men finnes i 1.0.1, 1.0.1a til 1.0.1f. Svakheten har vært i OpenSSL siden 2012.

Etter at servere har blitt patchet bør en vurdere om en kan ha mistet sensitiv informasjon som private SSL-nøkler, brukernavn/passord mm.

Eksempler på sårbare OSer er: Debian Wheezy (stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 ig OpenSUSE 12.2.

Svakheten kan også benyttes andre veien slik at en ondsinnet server kan lese ut minne fra en sårbar klient.
Referanser
http://www.openssl.org/news/vulnerabilities.html#2014-0160 http://heartbleed.com/ http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/ http://threatpost.com/openssl-fixes-tls-vulnerability/105300 http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

Siste runde med oppdateringer for Windows XP, Office 2003 og Exchange 2003

Microsoft gir i dag ut de siste oppdateringene for Windows XP, Office 2003 og Exchange 2003. Fra og med i dag regner Microsoft disse produktene som utgått og det vil ikke bli utgitt ny oppdateringer i fremtiden.

Microsoft har publisert en artikkel om risikoen ved å bruke programvare som ikke lengre mottar oppdateringer og annen støtte fra Microsoft. Artikkelen fokuserer i hovedsak på Windows XP.
Referanser
http://blogs.technet.com/b/security/archive/2014/03/24/cyber-threats-to-windows-xp-and-guidance-for-small-businesses-and-individual-consumers.aspx

Anonymous angriper hundrevis av Israelske nettsteder

Hundrevis av Israelske nettsteder kom under angrep tidlig mandag av hakker gruppen Anonymous, som en del av deres nye ant-Isreal operasjon.
Referanser
http://rt.com/news/anonymous-israel-cyber-attack-737/

Monday, 7 April 2014

2014.04.07 - Nyhetsbrev

En 5-åring oppdaget alvorlig sårbarhet i Xbox Live. Zeus-trojaner presenterer seg selv med gyldig digitalt sertifikat. Tyske myndigheter har oppdaget 18 millioner kompromitterte e-postkontoer. Amerikanske teknologiselskaper forsøkes utpresset til å betale for å unngå DDoS-angrep. 24 millioner hjemmerutere anslås å være sårbare for misbruk i forbindelse med UDP-baserte DDoS-angrep.

Svakhet i Microsoft's Xbox Live system funnet av 5-åring.

BBC forteller om 5 år gamle Kristoffer som avdekket en svakhet i Microsofts Xbox Live-system, brukt på Xbox One. Svakheten gjorde det mulig å logge inn på en konto uten passord. Kristoffer logget inn ved å skrive feil passord, hvilket ledet til et nytt innloggingsbilde. Her var det bare å fylle passordfeltet med mellomrom, og gutten var inne. Microsoft har nå fikset svakheten og har lagt til 5-åringens navn på listen over sikkerhetsforskere som har funnet svakheter.
Referanser
http://www.bbc.com/news/technology-26879185

Amerikanske tech-selskaper forteller om DDoS-utpressing

New York Times' IT-blogg har en sak om DDoS-utpressing av internettbaserte selskaper. Representanter fra tjenesten Meetup forteller om hvordan de får e-post med trusler om nedetid dersom de ikke betaler noen hundre dollar i bitcoin innen en viss tid. Sannsynligvis er den lave prisen en metode for å få selskapet "på kroken". Dersom man betaler risikerer man å havne på en liste over betalingsvillige selskaper, og påfølgende henvendelser vil gjerne inneholde et høyere beløp.
Referanser
http://bits.blogs.nytimes.com/2014/04/03/tech-start-ups-are-targets-of-ransom-cyberattacks/

24 millioner hjemmerutere sårbare for DDoS-misbruk

En undersøkelse utført av Nominum anslår at 24 millioner hjemmerutere verden over står med DNS-resolvere eksponert mot internett. Disse kan benyttes til å generere massiv trafikk i DNS-baserte DDoS-angrep.
Referanser
http://nominum.com/news-post/24m-home-routers-expose-ddos/

Zeus-trojaner benytter gyldig digitalt sertifikat

Comodo AV Labs har oppdaget en variant av Zeus-trojaneren som presenterer seg med et legitimt sertifikat ved installasjon. Det ser ut til at bakmennene har fått tilgang til en signeringsnøkkel tilhørende et programvareselskap i Sveits og benytter denne til å signere malware.
Referanser
http://www.theregister.co.uk/2014/04/05/digitally_signed_zeus/

18 millioner e-postpassord på avveie.

Iflg Der Spiegel har tyske myndigheter oppdaget en liste med 18 millioner brukernavn og passord til e-postkontoer. Iflg artikkelen inneholder listen 3 millioner adresser under ".de", hvilket kan tilsi at også e-postbrukere utenfor Tyskland kan være rammet. Artikkelen sier ingenting om opphavet til listen, men spekulerer i at det kan være en baltisk hackergruppe som står bak.
Referanser
http://thehackernews.com/2014/04/worst-data-breach-in-german-history-18.html