Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 31 January 2012

2012.01.31 - Nyhetsbrev

Vi har en sak om Counterclank for android mobiler i dagens nyhetsbrev.

Android Counterclank: Malware, Or Smartphone Advertising?

Symantec melder at de har oppdaget malware på 5 millioner Android-telefoner. Andre selskaper, som Lookout og Kaspersky, sier imidlertid at dette ikke dreier seg om malware. Applikasjonen Counterclank blir installert sammen med gratis-apps lastet ned fra Android market. Utgiverne av appene får betalt per enhet de får installert Counterclank på. De som står bak Counterclank tjener igjen penger på å sanke inn informasjon om brukerne og levere målrettet reklame. Counterclank legger også inn nye bokmerker i nettleseren og et nytt søke-ikon på hjemmeskjermen til mobilen.

Denne utviklingen minner mye om all adwaren som finnes til Windows-maskiner. I mange tilfeller er det også der vanskelig å definere om en applikasjon er adware eller malware.

Dersom ikke Google innfører strengere retningslinjer for applikasjoner i Android Market, vil det nok dukke opp flere saker som denne framover.
Referanser
http://www.informationweek.com/news/security/mobile/232500698

Full HTML-versjon av dagens nyhetsbrev.

Monday, 30 January 2012

2012.01.30 - Nyhetsbrev

En svakhet i Microsoft Media Player er meldt aktivt utnyttet. Denne ble fikset med MS12-004 som kom i Januar. Videre har flere store aktører gått sammen for å lage en standard som skal forhindre phishing-epost.

MIDI exploit in the wild

Symantec melder om at én av svakhetene som Microsoft patchet i januar-oppdateringen blir utnyttet. Svakheten blir utbedret av patch MS12-004. Dette utnyttes gjennom såkalte "drive-by-exploits" uten at brukeren trenger å gjøre noe annet enn å besøke en skadelig web-side. Siden får så Windows Media Player til å starte en .mid-fil som så tar kontroll over maskinen og laster ned mer malware.
Referanser
http://www.symantec.com/connect/blogs/midi-exploit-wild

Antiphishing standard in the works from Google, Facebook, others

CNET skriver en liten sak om at Google, Facebook, Microsoft, Yahoo, PayPal, med flere samarbeider om en standard for å verifisering av e-post. Dette for å forhindre phishing. I løpet av dagen vil de annonsere DMARC.org (Domain-based Message Authentication, Reporting, and Conformance)
Referanser
http://news.cnet.com/8301-1009_3-57367842-83/antiphishing-standard-in-the-works-from-google-facebook-others/

Full HTML-versjon av dagens nyhetsbrev.

Friday, 27 January 2012

2012.01.27 - Nyhetsbrev

Over 50 pakistanske nettsider ble i natt hacket av en indisk hackergruppe. Angrepet skjer i forbindelse med den indiske grunnlovsdagen.

Flere Cisco IronPort-produkter har fått påvist en svakhet i Telnet-implementasjonen. Svakheten kan utnyttes av uautoriserte brukere til å få kjørt kode.

Pakistanske nettsider hacket av indiske hackere

Over 50 pakistanske nettsider har i natt blitt hacket av en indisk hackergruppe som kaller seg Indishell. Dette skjer i forbindelse med den indiske grunnlovsdagen.
Referanser
http://www.cyberwarnews.info/2012/01/27/indishell-hackers-defaced-50-pakistan-websites-for-republic-day/

Svakhet i Cisco IronPort Appliances

Det har blitt oppdaget en svakhet i Telnet-implementeringen i flere Cisco IronPort-produkter som kan gi autorisere brukere adgang til å eksekvere kode. Cisco har enda ikke publisert oppdateringer, men sier at det vil komme. De anbefaler derfor at telnet deaktiveres inntil de har en oppdatering klar og i stedet bruke SSH for fjernstyring.
Anbefaling
Følg anbefalinger fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120126-ironport

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 26 January 2012

2012.01.26 - Nyhetsbrev

Symantec anbefaler å deaktivere pcAnywhere i påvente av ny og oppdatert versjon. Dette i forbindelse med at Symantec bekrefter at hackere har fått tak i kildekoden til pcAnywhere remote access tool.

Anonymous påtar seg ansvaret for flere DDOS angrep mot Irske myndigheter, bla. The Department of Justice.

Symantec pcAnywhere kildekode på avveie

Symantec har bekreftet at hackergruppen Anonymous har fått tak i kildekoden til 2006 versjonen av en rekke Norton sikkerhetsprodukter og pcAnywhere remote access tool. Symantec opplyser om at brukere av Norton produktene ikke har økt sjanse for angrep, grunnet alderen på kildekoden og oppdateringer de siste årene. Når det gjelder pcAnywhere anbefaler Symantec å deaktivere denne til det er kommet en ny og oppdatert versjon.
Referanser
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf
http://arstechnica.com/business/news/2012/01/symantec-says-anonymous-stole-source-code-tells-customers-to-disable-security-product.ars

Hackere angriper statlige sider i Irland.

Anonymous har tatt på seg ansvaret for å ha utført DDOS-angrep mot flere nettsider tilhørende Irske myndigheter tirsdag kveld. Blant nettstedene som ble angrepet var siden til The Department of Justice, "justice.ie".
Angrepene er gjort som en protest mot foreslåtte endringer i irsk opphavsrett-lovgivning.

Referanser
http://www.joe.ie/news-politics/current-affairs/hacktivists-from-anonymous-take-down-irish-government-websites-0019974-1

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 25 January 2012

2012.01.25 - Nyhetsbrev

Google Chrome og Opera er ute i nye versjoner, som begge fikser flere sikkerhetshull. Symantec oppdaterer PCAnywhere for å tette flere ukjente svakheter.

Google Releases Chrome 16.0.912.77

Google har sluppet ny versjon av Google Chrome (16.0.912.77). For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html

Opera ute i ny versjon

En ny versjon av Opera (11.61) har blitt publisert. Den tetter 2 sikkerhetshull og fikser diverse ikke sikkerhetsrelaterte problemer. For fullstendig liste over rettede problemer og sårbarheter, se referanse.
Referanser
http://www.opera.com/docs/changelogs/windows/1161/
http://www.opera.com/support/kb/view/1007/
http://www.opera.com/support/kb/view/1008/

Symantec pcAnywhere Hotfix

Symantec har lansert oppdateringer til PCAnywhere (Windows) for å fikse flere svakheter. Den alvorligste kan gi mulighet til å kjøre kode på et sårbart system uten å logge inn først.
Anbefaling
Laste ned hot fix, og installer nødvendige oppdateringer.
Referanser
http://www.us-cert.gov/current/index.html#symantec_pcanywhere_hotfix
http://clientui-kb.symantec.com/kb/index?page=content&pmv=print&impressions=&viewlocale=&id=TECH179526

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 24 January 2012

2012.01.24 - Nyhetsbrev

Mange videokonferansesystemer er satt opp på en usikker måte. Europakommisjonen har lagt fram forslag til ny lov om meldeplikt ved tap av data. Microsoft navngir hovedmannen bak Kelihos-botnettet og Anonymous angriper FTC og statlige sider i Polen.

Videokonferanseutstyr kan utnyttes

The New York Times skriver at mye videokonferanseutstyr er satt opp med svært lav sikkerhet og på utsiden av bedrifters brannmur. Mye utstyr er også satt opp til å automatisk akseptere nye forbindelser. Se artikkelen for mer informasjon.
Referanser
http://www.nytimes.com/2012/01/23/technology/flaws-in-videoconferencing-systems-put-boardrooms-at-risk.html

Europakomisjonen foreslår nye lover for beskyttelse av data og personvern

Europakomisjonen la i går frem forslag om nye lover for å bedre beskytte data og personvern. Man ønsker med dette å tette gap som finnes på tvers av de 27 landene i EU. Blant annet vil dette kunne medføre at selskaper som opplever tap av data skal melde fra til myndigheter og de involverte parter så fort som mulig og fortrinnsvis innen 24 timer. Det er også snakk om strengere sanksjoner ved brudd på denne meldeplikten.
Referanser
http://www.securityweek.com/european-commission-propose-changes-data-protection-laws
http://blog.eset.com/2012/01/23/eu-data-breaches-to-be-reported-within-24-hours

Microsoft navngir mannen bak Kelihos/Waledac-botnettet

For et par måneder siden ble botnettet Kelihos tatt ned i en koordinert aksjon. Microsoft har fortsatt å undersøke hvem som står bak botnettet. De har nå navngitt mannen de mener står bak. Han har tidligere jobbet i et anti-virus-firma i Russland. Facebook navnga også personene de mener står bak Koobface-ormen sist uke. Det kan virke som om begge firmaene nå går hardere til verks mot cyberkriminelle.
Referanser
http://krebsonsecurity.com/2012/01/microsoft-worm-author-worked-at-antivirus-firm/
http://blogs.technet.com/b/microsoft_blog/archive/2012/01/23/microsoft-names-new-defendant-in-kelihos-case.aspx

Hackere angriper statlige sider i Polen.

En polsk undergruppe av Anonymous har tatt på seg ansvaret for å ha hacket flere websider tilhørende blandt annet den polske statsministeren og presidenten. Angrepene er gjort for å protestere mot ACTA-lovgivningen.
Referanser
http://blogs.wsj.com/emergingeurope/2012/01/23/hackers-hit-polish-government-websites/

Anonymous angriper FTC (Federal Trade Commission)

Anonymous har i natt lagt til http://onguardonline.gov/ i listen sin over sider de har angrepet i den senere tid i protest mot SOPA/PIPA/ACTA. Siden er laget for å hjelpe forbrukere med å forbedre datasikkerheten sin. I angrepet har de fått tilgang til databasen og konfigurasjonfiler som så har blitt lagt ut tilgjengelig for alle. Nettsiden er for tiden ikke tilgjengelig etter at angriperne slettet hele nettstedet.
Referanser
http://onguardonline.gov/
http://pastebin.com/mJWUDtGD

Full HTML-versjon av dagens nyhetsbrev.

Monday, 23 January 2012

2012.01.23 - Nyhetsbrev

Anonymous hevdes å ha tatt ned omkring 100 nettsider tilhørende brasilianske myndigheter. Det er publisert exploit-kode som utnytter en svahet i Linux-kjernen til å få root-rettigheter.

Brasilianske *.gov.br nettsider tatt ned av Anonymous

Rundt 100 nettsider tilhørende Brasilianske myndigheter (*.gov.br) skal har blitt gjort utilgjengelig vha. DDOS-angrep søndag kveld (norsk tid). Anonymous hevdes å stå bak.
Referanser
http://pastebin.com/H4NpqCDC

Local root Linux >=2.6.39 exploit

Det har blitt publisert exploit-kode for en svakhet i Linux-kjernen som kan utnyttes lokalt til å tilegne seg root-rettigheter på et sårbart system. Svakheten ble patchet for noen dager siden, så oppgradering av kjernen anbefales.
Anbefaling
Svakheten ble patchet for seks dager siden (http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=e268337dfe26dfc7efd422a804dbb27977a3cccc).
Oppgradèr kjernen vha. apt-get dist-upgrade (eller tilsvarende).
Referanser
http://blog.zx2c4.com/749
http://git.zx2c4.com/CVE-2012-0056/tree/mempodipper.c

Full HTML-versjon av dagens nyhetsbrev.

Friday, 20 January 2012

2012.01.20 - Nyhetsbrev

Anonymous har tatt på seg ansvaret etter DDoS mot flere nettsteder i løpet av natten.

Børsen i Ghana hacket og publisering av klientinformasjon

Børsen i Ghana har blitt hacket og informasjon om over 500 klienter ble i går kveld publisert. Det ser ikke ut til at norske kunder har blitt rammet.
Referanser
http://www.cyberwarnews.info/2012/01/20/ghana-stock-exchange-hacked-and-data-leaked-by-anon_4freedom/

DDoS-angrep mot flere kjente nettsteder etter stenging av Megaupload.com

Flere nettsteder, blant annet riaa.org, mpaa.org, universalmusic.com, fbi.gov og www.justice.gov, ble i natt utsatt for DDOS-angrep. Angrepet startet kl 22:14 og varte i flere timer. Anonymous har tatt på seg ansvaret for angrepene og sier at dette er et svar på at fildelingstjenesten megaupload.com ble stengt av FBI.
Referanser
http://anonops.blogspot.com/2012/01/internet-strikes-back-opmegaupload.html
https://twitter.com/#!/anonops/status/160123035247054848
https://twitter.com/#!/anonops/status/160123544687230976
https://twitter.com/#!/anonops/status/160125510150664193

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 19 January 2012

2012.01.19 - Nyhetsbrev

I Sør Afrika har hackere stjålet 6.7 millioner dollar fra en bank. AV-Test.org har testet flere anti-virus løsninger. Cisco melder om svakheter i to av sine produkter.

6.7 Millioner dollar stjålet etter data-innbrudd

Kriminelle har stjålet 6.7 millioner dollar fra en bank i Sør Afrika etter et datainnbrudd. Tyveriet ble utført ved å bruke stjålne innloggingsdetaljer fra en kasserer og en person på kundesenteret. De hevet også beløpsgrensen på flere kontoer slik at de kunne ta ut store mengder kontanter via minibanker.
Referanser
http://www.pcadvisor.co.uk/news/security/3331050/hackers-steal-67-million-in-cyber-bank-robbery/

AV-Test releases latest results

Av-test.org, en uavhengig test-lab, har sluppet en rapport der de tester 23 ulike AV-løsninger for privatmarkedet, samt åtte løsninger for bedriftsmarkedet. Anbefalt lesning hvis man er opptatt av hvordan de ulike produsentene klarer seg i forhold til hverandre.
Referanser
http://www.av-test.org/en/tests/test-reports/novdec-2011/
http://www.virusbtn.com/news/2012/01_18.xml

Svakhet i Cisco IP Video Phone

Cisco har publisert oppdateringer til Cisco IP Video Phone. Den retter en svakhet som kan gi en angriper full tilgang til systemet.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120118-te

Svakhet i Cisco Digital Media Manager

Cisco har publisert oppdateringer til Cisco Digital Media Manager. Den retter en svakhet som kan gi en angriper full tilgang til systemet.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120118-dmm

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 18 January 2012

2012.01.18 - Nyhetsbrev

Det har vært flere større sikkerhetsrelaterte nyheter det siste døgnet. Det meldes blant annet om en ny zero day svakhet i Microsoft Windows 7 og Server 2008. Vi har også fått rapporter om at en bølge av telefonsvindel nå også rammer Norge.

Det meldes i flere medier om at hackere nå truer med å gi ut kildekoden til Norton Antivirus og at en feil i McAfee SaaS Endpoint Protection gjør klientene om til proxyer for utsending av spam. Til slutt må det også nevnes at Oracle har gitt ut sin kvartalsvise oppdateringspakke og at denne retter en rekke svakheter i flere av deres produkter.

Hackere sier de vil utgi kildekoden til Norton Antivirus

Symantec sier i en uttalelse til Reuters at kildekoden som ble stjålet i 2006 var fra deres eget nettverk. De har tidligere holdt fast ved at kildekoden deres ble stjålet fra en tredjepart, men har nå bekreftet at de selv ble hacket. Hackerene fikk takk i kildekoden til 2006-versjonen av Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack og PCAnywhere.

Symantec forteller at risikoen for de aller fleste kunder er minimal ettersom kildekoden er relativt gammel. Hacker-gruppen "Yama Tough" skrev i en tweet på lørdag at de ville gi ut 1.7GB av kildekoden til Norton Antivirus på tirsdag. I en ny uttalelse fra gruppen skriver de at de har valgt å utsette utgivelsen av kildekoden ettersom de ønsker å utnytte eksisterende svakheter før de blir fikset.
Referanser
http://news.cnet.com/8301-1009_3-57360662-83/symantec-says-source-code-stolen-in-2006-hack/?part=rss&tag=feed&subj=News-Security
http://m.computerworld.com/s/article/9223495/Symantec_backtracks_admits_own_network_hacked?mm_ref=http%3A%2F%2Ft.co%2FeL9IwVJX
http://www.reuters.com/article/2012/01/17/us-symantec-hackers-idUSTRE80G1DX20120117

Eventviewer scam til Norge

Vi har fått rapporter om at denne typen svindel nå pågår mot Norge. En telefonselger, gjerne med indisk aksent, ringer deg opp og påstår han er ansatt hos Microsoft Security Center eller lignende. Han opplyser om at PCen din sprer virus ut på nettet ber deg deretter om å starte Windows Event Viewer (EVENTVWR). Her er det gjerne en del feilmeldinger, og offeret blir lurt til å tro at dette skyldes viruset. Svindleren sier han kan hjelpe deg å fikse dette ved å selge deg et dyrt sikkerhetsprogram.

Dersom du blir oppringt og personen vil ha informasjon fra deg som kredittkortdetaljer, brukernavn/passord til systemer osv. er det lureste å legge på røret.
Referanser
http://uk.answers.yahoo.com/question/index?qid=20110615064515AAP8CK2
http://www.computerworld.com.au/article/383261/microsoft_loss_over_event_viewer_scam/

McAfee SaaS Endpoint Protection gjør klientene sine om til spam proxyer

Dette ble oppdaget etter rapporter om at pcer bak denne løsningen hadde blitt svartelistet hos flere epostservere. McAfee SaaS Endpoint Protection har en tjeneste kalt RumorServer som kjører en åpen proxy på port 6515. Denne blir brukt til å sende ut oppdateringer til klienter som ikke har direkte internett tilgang. Problemet er at kriminelle har funnet ut at de kan bruke denne proxyløsningen for utsending av spam der klientene fremstår som avsender. McAfee er i ferd med å utvikle en patch som skal sette RumorServer til å ikke svare på innkommende forespørsler på port 6515 og denne skal gis ut om en ukes tid.
Referanser
http://kaamar.com/blog/rumor-turns-rogue-mcafee-software-hacked
http://social.technet.microsoft.com/Forums/en-US/smallbusinessserver/thread/e0694c2f-2de9-4eca-907f-3a5df3351f2f

Zero day svakhet Windows 7 og Windows Server 2008 gir mulighet for rettighetseskalering

Det meldes om en ny sårbarhet i Windows 7 og 2008 som gjør det mulig for en lokal bruker å eskalere sine rettigheter til system administrator. Det har blitt gitt ut en beskrivelse av hvordan svakheten utnyttes samt videoer som dokumenterer dette. Microsoft har i skrivende stund ikke kommet med noen offisiell uttalelse angående dette enda.
Anbefaling
Microsoft har ikke adressert denne svakheten enda.
Referanser
http://blog.ioactive.com/2012/01/free-windows-vulnerability-for-nsa.html

Oracle ute med nye oppdateringer

Oracle har sluppet sin kvartalsvise oppdateringspakke som dekker hele 78 sårbarheter i produkter som Oracle Database, Fusion osv. For fullstendig liste over sårbarheter, se referanse.
Anbefaling
Oppdater produktene så fort som mulig
Referanser
http://blogs.oracle.com/security/entry/january_2012_critical_patch_update
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 17 January 2012

2012.01.17 - Nyhetsbrev

T-Mobile og Zappos.com har blitt hacket. Israelske nettsider blir tatt ned ved hjelp av DoS-angrep. Personene bak Koobface-ormen har blitt identifisert.

Børsen i Tel Aviv nede etter hacker-angrep

På mandag ble nettsidene til børsen i Tel Aviv og flyselskapet El Al rammet av hacker-angrep og begge nettsidene gikk ned som følge av angrepene. I følge den israelske avisen Haaretz.com var det hacker-nettverket "nightmare group" som stod bak angrepet. Flere israelske banker blokkerte umiddelbart IP-adresser fra Saudi Arabia, Iran og Algerie i frykt for nye angrep.

Dette kommer i kjølvannet av flere hacker-angrep over de siste 2 ukene. En talsmann for Hamas, Sami Abu Zuhri, fortalte på en pressekonferanse på søndag at dette åpner en ny front i krigen mot den israelske okkupasjonen. En talsperson for børsen i Tel Aviv sier til Haaretz.com at nettsidene og handelssystemet ikke har noen forbindelse og han understreker at handelssystemet ikke ble påvirket av angrepet.

Israel har tidligere sagt at de vurderer hacker-angrep som terrorisme og vil slå hardt tilbake.
Referanser
http://www.haaretz.com/news/diplomacy-defense/hackers-shut-down-tel-aviv-stock-exchange-el-al-websites-1.407587
http://www.reuters.com/article/2012/01/16/us-israel-hackers-idUSTRE80F0V220120116?type=companyNews

T-Mobile hacket av "TeamMp0isoN"

I følge softpedia.com har T-Mobile, en av verdens største leverandører av trådløs kommunikasjon, blitt hacket. Det kjente hacker-kollektivet "TeaMp0isoN" sier at de står bak angrepet. Hackerne skal ha fått tak i navn, epost addresser og passord til interne brukere av "newsroom.t-mobile.com" ved å benytte "SQL injection"-svakheter i t-mobile.com og newsroom.t-mobile.com.
Referanser
http://news.softpedia.com/news/T-Mobile-Hacked-by-TeaMp0isoN-Administrators-and-Staff-Exposed-Exclusive-246643.shtml
http://www.infosecisland.com/blogview/19423-T-Mobile-Hacktivism-Strikes-Again.html

Personene bak Koobface-malwaren er identifisert

Mange husker kanskje Koobface-ormen som begynte å spre seg i 2008 via Facebook og andre sosiale nettverk. Sophos har publisert en lengre artikkel om hvordan personene bak Koobface har blitt sporet opp og identifisert. New York Times har også en artikkel om saken. Ingen av medlemmene er enda straffet eller arrestert.
Referanser
http://www.nytimes.com/2012/01/17/technology/koobface-gang-uses-facebook-to-spread-powerful-worm.html
http://nakedsecurity.sophos.com/2012/01/17/how-koobface-malware-gang-unmasked/

24 millioner brukere berørt av innbrudd hos Zappos

Hackere har brutt seg inn hos nettbutikken Zappos.com i USA. Selskapet er eid av Amazon. Angriperne har stjålet navn, e-post-adresser, adresser og hashede passord. Kredittkortinformasjonen til brukerne er trygge. Zappos sperrer foreløpig ute all trafikk som ikke kommer fra USA.
Referanser
http://www.theregister.co.uk/2012/01/16/zappo_breach/
http://bits.blogs.nytimes.com/2012/01/16/zappos-says-hackers-may-have-accessed-customer-account-details/

Full HTML-versjon av dagens nyhetsbrev.

Monday, 16 January 2012

2012.01.16 - Nyhetsbrev

Det er nå mulig å skaffe seg topp-domener i andre tegnsett enn latin, som noen mener vil skape flere phishing-angrep.

Generiske toppdomer kan skape hodebry

Det er nå mulig å kjøpe topp-domener (.com, .org, osv) med et annet tegnsett enn latin, noen mener dette vil øke sjansen for phishing. Vi har tidligere sett forsøk der man har byttet ut bokstaver som ligner på hverandre (I og l) for å lure brukere. Nye topp-domener kan gjøre dette mer utbredt fremover.
Referanser
http://isc.sans.edu/diary.html?storyid=12388
http://www.icann.org/en/announcements/announcement-11jan12-en.htm
http://www.ftc.gov/os/closings/publicltrs/111216letter-to-icann.pdf
http://newgtlds.icann.org/en/

Full HTML-versjon av dagens nyhetsbrev.

Friday, 13 January 2012

2012.01.13 - Nyhetsbrev

Det er oppdaget malware som stjeler login-detaljer fra smartkort. Oracle skal patche 78 svakheter førstkommende tirsdag.

Sykipot Malware Now Steals Smart-Card Credentials

Sykipot er en familie med malware som har blitt brukt i flere målrettede angrep mot myndigheter og firmaer. Det har nå blitt oppdaget flere varianter som kan stjele login-informasjonen som ligger på smartkort, samt PIN-koden som brukeren taster inn. Sykipot kan blant annet lese ut denne informasjonen fra smartkortlesere brukt av forsvarsdepartementet i USA.
Referanser
http://www.darkreading.com/authentication/167901072/security/attacks-breaches/232400288/sykipot-malware-now-steals-smart-card-credentials.html

http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html

Oracle melder at de vil slippe patcher for 78 svakheter tirsdag 17. januar. Blant de mange produktene som vil bli oppdatert er Oracle Database, Oracle Application Server, PeopleSoft og MySQL. Det opplyses at flere av svakhetene er kritiske og kan føre til at ikke-autoriserte brukere kan ta over kontroll over systemer over nettet.
Anbefaling
Vent på patcher og oppdater relevante systemer så fort som mulig.
Referanser
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 12 January 2012

2012.01.12 - Nyhetsbrev

Ny versjon av både Wireshark og PHP er tilgjengelig. PHP fikser alvorlige sikkerhetshull. Wireshark fikser fire svakheter og endel bugs samt opdatering av protokoll- og filstøtte.

PHP 5.3.9 er ute

Ny versjon av PHP (5.3.9) har blitt publisert. Den tetter en del alvorlige sikkerhetshull og fikser diverse ikke sikkerhetsrelaterte problemer.
Referanser
http://www.php.net/archive/2012.php#id2012-01-11-1

Wireshark er ute i ny versjon

Oppdateringen fikser fire mindre svakheter og en del bugs. I tillegg har protokoll og filstøtte blitt oppdatert.
Referanser
http://www.wireshark.org/lists/wireshark-announce/201201/msg00001.html
http://www.wireshark.org/lists/wireshark-announce/201201/msg00000.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 11 January 2012

2012.01.11 - Nyhetsbrev

Både Microsoft og Adobe har sluppet oppdateringer som retter relativt alvorlige svakheter. Felles for de fleste av oppdateringene fra Microsoft er at de retter feil som ville gitt angriperen tilgang på lik linje med innlogget bruker. Ikke administrator rettigheter. Dette er en påminnelse om at man bør bruke egne brukere med mindre rettigheter og ikke administratorrettigheter til vanlig bruk.

Adobe ute med nye oppdateringer for Adobe Reader og Adobe Acrobat

Adobe har sluppet ut oppdateringer for Adobe Reader og Adobe Acrobat. Oppdateringene gjelder for både Windows og Mac OS X. Oppdateringene dekker flere kritiske svakheter som kan gjøre det mulig for en angriper å ta kontroll over et system.
Anbefaling
Oppdater Adobe Reader og Adobe Acrobat
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-01.html

Vulnerabilities in Windows Media Could Allow Remote Code Execution (2636391) (MS12-004)

Oppdateringen dekker to svakheter i Windows Media Player som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet media-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Windows Media Player
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-004

Vulnerability in AntiXSS Library Could Allow Information Disclosure (2607664) (MS12-007)

Oppdateringen dekker en svakhet i Microsoft Anti-Cross Site Scripting (AntiXSS) Library. En angriper kan utnytte svakheten til å tilegne seg informasjon om et system ved å sende et ondsinnet skript til en nettside ved hjelp av en funksjon i AntiXSS-biblioteket.
Anbefaling
Oppdater produktet
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-007

Vulnerability in SSL/TLS Could Allow Information Disclosure (2643584) (MS12-006)

Oppdateringen dekker en svakhet i SSL 3.0 og TSL 1.0. En angriper kan utnytte svakheten til å tilegne seg informasjon om et system ved å fange opp kryptert web-trafikk fra systemet.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-006

Vulnerability in Microsoft Windows Could Allow Remote Code Execution (2584146) (MS12-005)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "Microsoft Office"-fil som inneholder en ondsinnet "ClickOnce"-applikasjon. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-005

Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (2646524) (MS12-003)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til lokal rettighetseskalering dersom en angriper logger seg på en klient og kjører en spesialdesignet applikasjon. Svakheten kan kun bli utnyttet på systemer som er konfigurert med Kinesisk, Japansk eller Koreansk oppsett.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-003

Vulnerability in Windows Object Packager Could Allow Remote Code Execution (2603381) (MS12-002)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner en fil lokalisert på samme nettverkkatalog som en spesialdesignet "exe"-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-002

Vulnerability in Windows Kernel Could Allow Security Feature Bypass (2644615) (MS12-001)

Oppdateringen dekker en svakhet i Microsoft Windows som kan gjøre det mulig for en angriper å omgå "SafeSEH" i applikasjoner som er kompilert med Microsoft Visual C++ .NET 2003. En angriper vil deretter kunne utnytte andre svakheter til å kjøre vilkårlig kode.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-001

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 10 January 2012

2012.01.10 - Nyhetsbrev

Det har blitt sluppet et verktøy for å utnytte en DoS-svakhet i Microsoft IIS web-tjenere.

Verktøy for å utnytte DoS-svakhet i MS11-100 er sluppet

Det har nå blitt sluppet et verktøy for å utnytte én av svakhetene i MS11-100. Svakheten gjør det mulig å kjøre DoS-angrep (Denial of Service) mot Microsoft IIS-tjenere. Et angrep utført fra kun én klient-maskin skal kunne ta ned en web-tjener. IIS-tjenere bør patches så fort som mulig.
Referanser
http://isc.sans.org/diary/MS11-100+DoS+PoC+exploit+published/12355
http://seclists.org/fulldisclosure/2012/Jan/93

Full HTML-versjon av dagens nyhetsbrev.

Monday, 9 January 2012

2012.01.09 - Nyhetsbrev

Adobe vil i morgen slipper patcher til Adobe Reader og Acrobat. Google har patchet kritiske svakheter i nettleseren Chrome. FBI melder om nettbanksvidlere som bruker en ny variant av Zeus og DDoS til å bortlede oppmerksomheten fra svindelen.

Adobe slipper patcher i morgen

Adobe kommer til å slippe patcher for Adobe Reader og Acrobat i morgen. Patchene slipper for både Windows og Mac OS X. Oppdateringen regnes som kritisk.
Referanser
https://www.adobe.com/support/security/bulletins/apsb12-01.html

Google Releases Chrome 16.0.912.75

Google har sluppet ny versjon av Google Chrome (16.0.912.75). For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://www.googlechromereleases.blogspot.com/2012/01/stable-channel-update.html

FBI advarer mot ny variant av Zeus

Norske medier skriver i dag om en ny variant av Zeus-trojaneren kalt Game Over. Det er FBI som melder om nye tyverier gjennomført ved hjelp av denne varianten i USA. Svindlerne sender først ut phishing e-poster som gir seg ut for å være fra kjente finansinstitusjoner i USA. Dersom en trykker på linker i e-posten, risikerer en at Zeus blir installert på PCen. Svindlerne overfører så penger ut fra kontoene til ofrene. Like etter angrepet ble det også gjennomført et DDoS-angrep mot bankene som ble angrepet, for å lede oppmerksomheten bort fra selve svindelen.

Zeus er en trojaner som har blitt brukt i svindler mot norske bank-kunder flere ganger de siste årene. Kildekoden til Zeus ble offentlig tilgjengelig i mai 2011, så det er enkelt for svindlere å lage nye varianter.

Vi tar også med en link til en artikkel fra Abuse.ch som omtaler en av de siste utgavene av Zeus.
Anbefaling
Hold operativsystem, antivirus og tredjepartsprogrammer oppdatert. Vær skeptisk til å følge linker i e-poster.
Referanser
http://www.fbi.gov/news/stories/2012/january/malware_010612
http://www.vg.no/nyheter/utenriks/artikkel.php?artid=10074862
http://norsis.no/nyheter/2012-01-09-Gameover-banktrojaner.html
http://www.abuse.ch/?p=3499

Full HTML-versjon av dagens nyhetsbrev.

Friday, 6 January 2012

2012.01.06 - Nyhetsbrev

Symantec har bekreftet at hackere har fått tak i kildekode til Symantec Endpoint Protection 11.0 og Symantec Antivirus 10.2. I tillegg har Microsoft gitt ut litt info om patchene som kommer neste uke.

Hackere har stjålet kildekoden til Norton Antivirus og Symantec Endpoint Protection

I går kom det rykter om at kildekoden til Norton Antivirus var stjålet av hackere. Nå har Symantec bekreftet at kildekoden det er snakk om er reell. Kildekoden er til Symantec Endpoint Protection 11.0 og Symantec Antivirus 10.2, ikke et Norton-produkt som først antatt.
Referanser
http://www.securityweek.com/symantec-confirms-hackers-accessed-source-code-two-enterprise-security-products

Microsoft Security Bulletin Advance Notification for January 2012

Om en uke kommer Microsoft med sine patcher, og det er sju svakheter som skal rettes for alle versjoner av Windows.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-jan

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 5 January 2012

2012.01.05 - Nyhetsbrev

#OpEurope/Anonymous truer med å angripe mål i Europa. AntiSec startet nyåret med å dumpe data og angripe servere knyttet til politi-instanser. Seks sikkerhetshull fikset i OpenSSL.

#OpEurope/Anonymous truer med å angripe mål i Europa

Anonymous truer med å publisere epost og data de neste månedene for å bevise at det finnes korrupsjon i Europa. "Our next targets are schools,
universities, and government institutions throughout Europe.
We will publish e-mails and data to prove that there is corruption in Europe."

Hovedmålene skal være Hellas, Sveits, Tyskland,Danmark,Nederland og Italia.
Referanser
http://pastebin.com/aUuuhLyD
http://www.youtube.com/watch?v=hcAAqxvpPXA

AntiSec dumper data fra politi-etater i New York og California

AntiSec startet nyåret med å dumpe data fra politi-instanser i New York og California. De tok også ned cslea.com (California Law Enforcement Association) som i skrivende stund fortsatt er nede.
Referanser
http://blogs.computerworld.com/19507/double_wham_bam_antisec_hacks_dumps_ca_ny_law_enforcement_emails#disqus_thread

OpenSSL er utgitt i ny versjon, fikser seks sikkerhetshull.

Seks sikkerhetshull er fikset i OpenSSL 1.0.0f og 0.9.8s. Se referanse for detaljer omkring hver enkelt.
Referanser
http://openssl.org/news/secadv_20120104.txt

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 4 January 2012

2012.01.04 - Nyhetsbrev

Det har blitt publisert verktøy som gjør det mulig å utføre en såkalt "untethered" jailbreak (dvs. jailbreak som overlever reboot) av Apple iOS 5.0.1.

Apple iOS 5.0.1 hacked, untethered via two security holes

Det har nå blitt sluppet verktøy som gjør det mulig å utføre en såkalt "untethered" jailbreak (dvs. jailbreak som overlever reboot) av Apple iOS 5.0.1. Dette er mulig ved å utnytte to sikkerhetshull i iOS; Først utnyttes en svakhet i racoon (som er IPsec IKE daemon til iOS), for å bryte ut av user-land og deretter trigge en kernel exploit (i HFS btree parser).
Anbefaling
Pass godt på iOS-enheten din!
Referanser
http://www.zdnet.com/blog/security/apple-ios-501-hacked-untethered-via-two-security-holes/9895
http://pod2g-ios.blogspot.com/2012/01/details-on-corona.html
http://greenpois0n.com/?p=150
http://osxdaily.com/2011/12/27/how-to-jailbreak-ios-5-0-1-untethered-with-redsn0w/

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 3 January 2012

2012.01.03 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 2 January 2012

2012.01.02 - Nyhetsbrev

Kaspersky Lab har skrevet en blogpost om falsk antivirus for Android-platformen. Ellers en rolig helg.

Falsk antivirus på Android

Det har blitt oppdaget falsk antivirus på Android-telefoner. Programmet er ikke ulikt de man finner til Windows/Mac og brukes for å laste ned annen malware til enheten.
Referanser
http://www.securelist.com/en/blog/208193306/Android_malware_new_traps_for_users

Full HTML-versjon av dagens nyhetsbrev.