Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 19 December 2014

2014.12.19 - Nyhetsbrev

BSI melder om ødeleggende angrep mot stålverk. Sony trekker film etter hackerangrep. Sony-hack gjør folk skeptiske til e-post. Svakhet i Github kan føre til ondsinnet kodeeksekvering på klienter.

BSI melder om ødeleggende angrep mot stålverk

BSI (Bundesamt für Sicherheit in der Informationstechnik) i Tyskland melder i en rapport om et cyberangrep mot prosesstyringsanlegget i et stålverk. Angrepet førte til at en ovn ble overopphetet og dermed store skader på stålverket.
Referanser
https://www.bsi.bund.de/SharedDocs/Downloads/[...]
http://dragossecurity.com/blog/

Sony trekker film etter hackerangrep

Sony har nå trukket filmen The Interview etter hacker-angrepet. Dette skjer etter at hackerne har truet med fysiske angrep mot kinoer som viser filmen. Mange mener at å trekke filmen bare vil oppmuntre til å lignende angrep i fremtiden.
Referanser
http://www.dagbladet.no/2014/12/18/kultur/son[...]
http://deadline.com/2014/12/george-clooney-so[...]

Sony-hack gjør folk skeptiske til e-post

New York Times skriver om hvordan Sony-hacket kan ha gjort folk mer skeptiske til e-post. All e-post til flere ansatte hos Sony har blitt lekket i løpet av de siste dagene. Forfatteren mener at flere kan gå over til mer flyktige måter å kommunisere på som telefonsamtaler.
Referanser
http://www.nytimes.com/2014/12/18/style/how-t[...]

Svakhet i Github kan føre til ondsinnet kodeeksekvering på klienter

Svakhet i Github rammer alle Windows- og Mac-baserte versjoner av Github (og relatert programvare). Svakheten kan bli misbrukt til å tillate ekstern kodeeksekvering når klientens programvare bruker ondisnnede trær i Git-brønner, som har blitt plantet av angriper.
Anbefaling
Git-brukere bør oppgradere umiddelbart
Referanser
https://github.com/blog/1938-vulnerability-an[...]
http://arstechnica.com/security/2014/12/criti[...]

Thursday, 18 December 2014

2014.12.18 - Nyhetsbrev

Brukerinformasjon til flere registrarer på avveie etter hackerangrep mot ICANN.

Brukerinformasjon til flere registrarer på avveie etter hackerangrep mot ICANN

Tidlig i desember i år ble det oppdaget at bruker og passord til flere ansatte ved ICANN hadde blitt brukt til å skaffe tilgang til flere interne systemer som blant annet Centralized Zone Data System (CZDS), wiki-sidene til Governmental Advisory Committee (GAC), domene registrering Whois portalen og bloggen til organisasjonen. CZDS inneholder blant annet lese tilgang til DNS sone filene til alle top level domener samt brukernavn og passord til flere registrarer.
Referanser
https://www.icann.org/news/announcement-2-201[...]
http://www.theregister.co.uk/2014/12/17/icann[...]

Wednesday, 17 December 2014

2014.12.17 - Nyhetsbrev

NSM gir råd rundt IMSI-catchere. FBI har brukt Metasploit til å avsløre TOR-brukere.

NSM gir råd rundt IMSI-catchere

NSM har skrevet en artikkel om hvordan en kan beskytte seg mot IMSI-catchere. De foreslår blant annet å skru av 2G på mobilen dersom mulig. ComputerWorld har også en artikkel med noen råd og betraktninger rundt saken.
Referanser
https://www.nsm.stat.no/aktuelt/falske-basest[...]
http://www.cw.no/artikkel/telekom/bare-krypte[...]

FBI har brukt Metasploit til å avsløre TOR-brukere

I 2012 startet Federal Bureau of Investigation(FBI) “Operation Torpedo”. Denne operasjonen gikk ut på å ta folk som utvekslet barneporno over systemet. I forbindelse med etterforskningen viser det seg at FBI har benyttet seg av en gammel modul til Metasploit for å identifisere brukerne. Artikkelen tar også for seg nyere teknologier for å identifisere brukerne.
Referanser
http://www.wired.com/2014/12/fbi-metasploit-tor/

Tuesday, 16 December 2014

2014.12.16 - Nyhetsbrev

DSB har utgitt en rapport med oversikt over risikobilde for 2014. Mer om mobil-komponenten i Inception. Mer om IMSI-catchere. Russisk malware ved navn SoakSoak har infisert over 100 000 Wordpress sider.

DSB har utgitt en rapport med oversikt over risikobilde for 2014

Direktoratet for samfunnssikkerhet og beredskap (DSB) har publisert "Nasjonalt risikobilde 2014" en oversikt over risiko og sårbarhet i det norske samfunnet. Rapporten tar også for seg det digitale risikoområdet (kapittel 18) og beskriver flere potensielle risikoscenarier, blant annet et angrep mot Telenors transportnett. Sannsynlighetsvurderingen for et slikt scenario blir anslått som lav, men den potensielle konsekvensen for et slikt cyberangrep kan være svært store, med blant annet flere følgehendelser som kan få konsekvenser for liv og helse.
Referanser
http://www.dsb.no/Global/Publikasjoner/2014/T[...]

Mer om mobil-komponenten i Inception

Bluecoat har skrevet mer om mobil-komponenten til Inception-kampanjen. Malwaren er laget for å ta opp samtaler og sende disse videre. Det brukes et avansert system i flere lag for å sende dataene videre til kontrollservere.
Referanser
https://www.bluecoat.com/security-blog/2014-1[...]

Mer om IMSI-catchere

Digi.no har skrevet en artikkel med mer bakgrunnsinfo om IMSI-catchere. Denne typen hardware var for noen år siden fritt i salg i Norge.
Referanser
http://www.digi.no/932013/imsi-catchere-har-b[...]

Russisk malware ved navn SoakSoak har infisert over 100 000 Wordpress sider

Russisk malware ved navn SoakSoak skal ha infisert over 100 000 Wordpress-sider siden søndag. Forskere ved Sucuri sier at det vil bli vanskelig å fjerne den ondsinnede koden, ettersom mange nettsted-eiere ikke vet at den eksisterer.
Referanser
http://gizmodo.com/mysterious-russian-malware[...]

Monday, 15 December 2014

2014.12.15 - Nyhetsbrev

Sony forlanger at nyhetsorganisasjoner sletter data. Firstlook har en artikkel med mer detaljer rundt angrepet mot Belgacom. Aftenposten har en artikkel om falske mobil-basestasjoner som er oppdaget i Oslo. En oljeledning eksploderte i Tyrkia i 2008, hvor Bloomberg skriver at dette skyldes et cyberangrep.

Sony forlanger at nyhetsorganisasjoner sletter data

Etter angrepet mot Sony tidligere denne måneden har det daglig blitt sluppet flere GB med interne data fra angriperne. Dette har ført til at flere medier har laget saker med bakgrunn i intern informasjon fra selskapet. Sony har nå sendt et krast brev til flere firmaer der de ber om at data blir slettet og at ikke flere saker skrives.
Referanser
http://www.nytimes.com/2014/12/15/business/so[...]

Firstlook med flere opplysninger rundt Belgacom-hack

Firstlook har en artikkel med mer detaljer rundt angrepet mot Belgacom. Artikkelen er basert på intervjuer og flere dokumenter fra Snowden.
Referanser
https://firstlook.org/theintercept/2014/12/13[...]

Aftenposten: Stortinget og statsministeren overvåkes med spionutstyr

Aftenposten har en artikkel om falske mobil-basestasjoner som er oppdaget i Oslo. De er blant annet plassert ved statsministerens bolig og stortinget. Aftenposten skriver også at det er mest sannsynlig plassert utstyr på Aker brygge og Tjuvholmen. Utstyret kan brukes til å overvåke hvem som beveger seg i området. Det er ukjent hvem som kontrollerer utstyret. NSM bekrefter at de også har funnet spor etter mistenkelig utstyr.

For å gjøre det mye vanskeligere for angripere å registrere deg ved hjelp av IMSI-catchere, anbefales det å skru av muligheten til å bruke 2G-nettverk på mobilen. Bruk altså 3G eller 4G dersom mulig.
Referanser
http://mm.aftenposten.no/stortinget-og-statsm[...]
http://www.vg.no/nyheter/innenriks/solberg-re[...]
http://mm.aftenposten.no/spionutstyr-plassert[...]

Bloomberg skriver om cyberangrep mot oljeledning i 2008

En oljeledning eksploderte i Tyrkia i 2008. Bloomberg skriver at dette skyldes et cyberangrep. Angriperne kom seg inn via en svakhet i overvåkningskameraene. Det mistenkes at Russland står bak angrepet.
Referanser
http://www.bloomberg.com/news/2014-12-10/myst[...]

Friday, 12 December 2014

2014.12.12 - Nyhetsbrev

Svenske ISPer sliter med store mengder utgående DDoS-trafikk fra nettene sine.

Svenske og Finske ISPer sliter med utgående DDoS-trafikk

Flere svenske og finske medier melder at flere av landets ISPer har hatt nedetid som følge av utgående DDoS-trafikk fra nettene deres. Dette har antakeligvis forbindelser til saken vi omtalte om utgående DDoS-trafikk fra Get i går fra utdaterte rotuere. Kompromitterte kunder av ISPene generer utgående DDoS-trafikk mot eksterne mål. Infrastrukturen til ISPene klarer ikke å håndtere trafikkmengden, og det blir problemer med nettet. Også denne gangen mistenkes det at Lizardsquad står bak. Denne grupperingen har i flere måneder angrepet "gaming-relaterte" mål som Sony, Microsoft Live, Electronic Arts, World of Warcraft osv.
Referanser
http://www.aftonbladet.se/nyheter/article2000[...]

Thursday, 11 December 2014

2014.12.11 - Nyhetsbrev

Sony-sertifikater lekket og brukt til signering av malware. Get sperret routere ute fra nettet etter DDoS. Ny versjon av "RedOctober" angriper russiske selskap.

Sony-sertifikater lekket og brukt til signering av malware

Det lekker stadig mer data etter det store innbruddet hos Sony. Nå har det også lekket private sertifikater for å signere kode. En sikkerhetsforsker har signert gammel malware med et av sertifikatene for å gjøre folk oppmerksomme på problemet. Interne e-poster fra sjefer i firmaet har også blitt sluppet det siste døgnet.
Referanser
https://isc.sans.edu/diary/Malware+Signed+Wit[...]

Get sperret routere ute fra nettet etter DDoS

Get har sperret ute flere kunder fra Internet etter at kundenes routere ble brukt til å utføre DDoS-angrep. Dette dreier seg hovedsaklig om gamle routere fra Netgear som har svakheter som gjør de egnet til å bruke til DDoS. Det ble generert så mye trafikk at interne systemer hos Get gikk ned, selv om målet var eksternt. I de siste dagene har både Sonys PSN og Microsofts X-Box Live-tjenester blitt angrepet ved hjelp av DDoS. Eierne av de berørte routerne vil få hjelp til å oppgradere programvaren. Routerne er ikke levert av Get.
Referanser
http://www.digi.no/931941/get-maa-blokkere-pr[...]

Ny versjon av "RedOctober" angriper russiske selskap

"Inception", et navn gitt av sikkerhetsselskapet BlueCoat på en gruppe av internasjonale kriminelle, går nå etter høyprofilerte mål som enten ligger i Russland eller har noe med Russland å gjøre.

Gruppen bruker mye av de samme taktikkene som "RedOctober", som ble avdekket av Kaspersky Labs i Oktober 2012. Kaspersky Labs har kalt denne gruppen for CloudAtlas og sier at denne gruppen er den nye versjonen av RedOctober.

Gruppen brukere flere forskjellige taktikker for å få tak i informasjon de vil ha. Et eksempel på dette er at gruppen bruker gamle svakheter i filformatet RTF (Rich Text Format). Om en slik fil blir åpnet av en bruker, gjerne etter at brukeren har mottatt dette på mail, så vil det bli eksekvert kode som så vil rapportere til en kontroll-server og gi informasjon om maskinen. Malwaren prøver også å gjemme seg ved å droppe andre varianter av kjent malware til disken, for å gjøre analyse vanskeligere. Det brukes også en rekke språk i malwaren, muligens for å skjule de egentlige bakmennene. Gratis-kontoer hos den svenske skyleverandøren CloudMe brukes som kommando og kontroll-system.

Gruppen utnytter også svakheter på smarttelefoner via SMS og MMS for å ta over både Android-, iOS- og BlackBerry-telefoner.

Rapporten til BlueCoat om "Inception" kan finnes nederst i referansene under.
Referanser
http://www.darkreading.com/perimeter/inceptio[...]
http://securelist.com/blog/research/68083/clo[...]
https://www.bluecoat.com/documents/download/6[...]