Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 29 February 2012

2012.02.29 - Nyhetsbrev

Politi i flere land har arrestert personer de mistenker har tilknytning hackergrupperingen Anonymous. Norsk nettbutikk skal ha eksponert sensitiv kundeinformasjon fritt tilgjengelig på internett.

25 mistenkte medlemmer av Anonymous arrestert

Interpol har koordinert en aksjon med lokalt politi i Argentina, Chile, Colombia og Spania. 40 boliger i 15 byer har blitt ransaket i jakten på hackere fra Anonymous. Dette skal ha kommet som et resultat av tidligere angrep mot blant annet nettsidene til det colombianske forsvarsdepartementet, det chilenske kraftselskapet Endesa og det nasjonale biblioteket i Chile.

Det har blitt rapportert at nettstedet til Interpol (interpol.int) siden har vært utilgjengelig på grunn av et angrep, men sidene fungerer fint nå.
Referanser
http://arstechnica.com/tech-policy/news/2012/02/25-alleged-anonymous-members-nabbed-in-international-arrests-hacker-group-retaliates.ars

Norsk nettbutikk har hatt sensitive opplysninger åpent tilgjengelig på internett

Den norske nettbutikken babyshop.no skal ha lagt all epost-korrespondanse mellom seg og sine kunder fritt tilgjengelig på nettet ved en feil. Opplysningene skal stamme fra helt tilbake til 2009 og var også søkbare på Google. Datatilsynet er nå koblet inn i videre granskning av saken.
Referanser
http://www.digi.no/890709/alle-e-poster-sokbare-paa-google

Tuesday, 28 February 2012

2012.02.28 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 27 February 2012

2012.02.27 - Nyhetsbrev

Wikileaks startet i natt å publisere eposter som i følge dem selv skal stamme fra angrepet mot stratfor.com rett før jul i fjor.

WikiLeaks begynner å publisere 5 millioner eposter fra Stratfor-innbrudd.

Wikileaks.org begynte rett over midnatt natt til i dag å publisere det som omtales som "The Global Intelligence Files", bestående av over fem millioner eposter tilhørende Stratfor (Strategic Forecasting). Epostene stammer fra tidsperioden juli 2004 til desember 2011, og skal iflg. Wikileaks bl.a. inneholde detaljert informasjon om "det interne livet" til Stratfor; Deres nettverk av informanter, utbetalingsstruktur, hvitvaskingsmetoder mm. Stratfor.com ble i slutten av desember 2011 hacket av grupperingen Anonymous, som kort tid etter publiserte brukerinformasjon (epost-adresser, kredittkortinfo mm) til over 10000 abonnenter av Stratfors tjenester. Epostene som nå publiseres skal stamme fra det samme innbruddet. Stratfor har i en pressemelding på morgenen i dag sagt at noen av disse epostene kan inneholde unøyaktig informasjon og har samtidig også sagt at de ikke ønsker å svare på spørsmål relatert til det som måtte bli publisert. Wikileaks skal holde en pressekonferanse i London, kl 12 (GMT) i dag ifbm. publiseringen av "The Global Intelligence Files".
Referanser
http://wikileaks.org/the-gifiles.html
http://www.examiner.com/anonymous-in-national/wikileaks-releases-global-intelligence-files-from-anonymous-stratfor-hack
http://www.prnewswire.com/news-releases/stratfor-statement-on-wikileaks-140524033.html

Cisco retter tre svakheter i Small Business SRP 500 Serien

Cisco har publisert oppdateringer til 9 modeller i Small Business SRP 500 Serien. Oppdateringene retter tre svakheter. Svakhetene kan utnyttes til å gi uvedkommende adgang til rettighetseskalering og ekstern kodeeksekvering. Standardinnstillingene på angjeldende produkter er at fjernadministrasjon er deaktivert. En angriper må derfor være tilkoblet det lokale nettverket. I tilfeller hvor fjernadministrasjon er aktivert, kan svakhetene utnyttes av eksterne angripere.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120223-srp500

Friday, 24 February 2012

2012.02.24 - Nyhetsbrev

Et rolig døgn. Se Intego sin bloggpost om Flashback trojaneren for Mac.

Nye varianter av Flashback Trojaner til Mac.

På Intego sin sikkerhetsblog for mac er det en interessant artikkel om Flashback trojaneren. Her beskrives hvordan trojaneren først prøver å infisere maskinen med 2 Java sårbarheter og så videre ved hjelp av et eget signert sertifikat lure brukere til å installere trojanere. Der beskrives også noen om hva trojaneren gjør for å unngå deteksjon.
Referanser
http://blog.intego.com/flashback-mac-trojan-horse-infections-increasing-with-new-variant/

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 23 February 2012

2012.02.23 - Nyhetsbrev

1,5 millioner brukernavn og passord er lekket fra nettstedet YouPorn sin chatteside. I tillegg har Apache kommet med ny versjon av sin webserver, som bl.a forbedrer SSL-funksjonaliteten.

Ny versjon av Apache

Apache Software Foundation har nå sluppet versjon 2.4 av Apache HTTP Server. Den inneholder mange nye forbedringer og funksjoner. Blandt annet en forbedret SSL-modul og utvidet funksjonalitet for å logge.
Referanser
https://blogs.apache.org/foundation/entry/the_apache_software_foundation_celebrates
http://httpd.apache.org/docs/2.4/new_features_2_4.html

Brukernavn og passord fra YouPorn er lekket

Ei liste på over 1,5 millioner brukernavn/e-poster og passord har blitt lekket på nettet. Listen ser ut til å stamme fra pornonettstedet youporn.com sin chatteside. Pastbin-linken under inneholder noe statistikk rundt passordene som er brukt.
Referanser
http://gizmodo.com/5887503/youporn-gets-caught-with-its-pants-downusers-email-and-passwords-compromised
http://www.theregister.co.uk/2012/02/22/smut_chat_breach/
http://pastebin.com/prUbcTmh

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 22 February 2012

2012.02.22 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 21 February 2012

2012.02.21 - Nyhetsbrev

I går ble det spredt spam-linker gjennom Facebook fra norske brukere.

Spam ble spredt på Facebook i går fra Norske brukere

I går sendte tusenvis av norske Facebook-brukere ut spam-meldinger til sine venner som førte til malware og reklame. Meldingene som ble sendt ut var gjerne av typen "hei! http://bit.ly/xXxXxX". Det spesielle med denne saken var at mange av brukerne ikke hadde trykket på noen spesiell lenke før de begynte å sende ut spammen. Mange sendte også ut meldingene uten å være innlogget.

I flere tilfeller vi har undersøkt, har noen logget inn på kontoen fra "Facebook for iPhone", i henhold til de kompromitterte kontoenes sikkerhets-sider på Facebook. Flere av disse brukerne bruker imidlertid ikke Facebook på iPhone.

Ting tyder på at personene bak spammen i dette tilfellet har fått tak i store mengder brukernavn og passord til norske Facebook-brukere. De har deretter logget inn på hver enkelt konto og sendt ut spam via chat-funksjonen på Facebook. Det er ukjent hvordan de har fått tak i login-detaljene.

Utenlandske medier skriver ikke om tilsvarende angrep i andre land.
Referanser
http://www.vg.no/teknologi/artikkel.php?artid=10078279

Full HTML-versjon av dagens nyhetsbrev.

Monday, 20 February 2012

2012.02.20 - Nyhetsbrev

Flere universiteter i Norge har blitt hacket. Mozilla har oppdatert sine programmer for å utbedre en alvorlig svakhet som lar angripere ta kontroll over maskinen dersom brukeren ser på et spesielt utformet bilde.

Flere norske universiteter hacket

Universitetet i Tromsø sier at de og flere andre universiteter har blitt hacket. Hos UiT skal hackerne ha fått tilgang til en maskin som så ble brukt til å angripe andre maskiner i Tsjekkia. Ingen sensitive skal ha blitt tatt.
Referanser
http://www.digi.no/889989/flere-norske-universiteter-hacket
http://www.itromso.no/nyheter/article524339.ece

Mozilla releases to address CVE-2011-3026 : libpng 'png_decompress_chunk()' Remote Integer Overflow Vulnerability

Mozilla har sluppet oppdateringer til Firefox, Thunderbird og SeaMonkey. Oppdateringene tetter en alvolig svakhet i et underliggende grafikk-bibliotek, libpng, og kan utnyttes til å få kjørt vilkårlig kode på et sårbart system, og således kompromittere klienten. Alt som kreves for vellykket kompromittering er at angriper viser en spesielt utformet bildefil i nettleser- eller mailklienten.
Anbefaling
Oppgradèr til:
Firefox 10.0.2
Thunderbird 10.0.2
SeaMonkey 2.7.2
Referanser
http://blog.mozilla.com/security/2012/02/17/mozilla-releases-to-address-cve-2011-3026/
http://www.zdnet.com/blog/security/mozilla-firefox-can-be-hacked-via-booby-trapped-images/10406
http://www.securityfocus.com/bid/52049/discuss

Full HTML-versjon av dagens nyhetsbrev.

Friday, 17 February 2012

2012.02.17 - Nyhetsbrev

12 svakheter med varierende alvorlighetsgrad er oppdaget i Google Chrome. Anonymous utfører nye aksjoner i protest mot ACTA.

Anonymous angriper igjen

Anonymous har denne gangen tatt for seg flere ulike .gov websider som business.ftc.gov, ncpw.gov og consumer.gov. Sidene har fått endret innhold eller er blitt slettet. Budskapet som leveres er rettet mot den omstridte ACTA-lovgivningen og personvern. Ved tidspunktet for publiseringen av nyhetsbrevet er fortsatt to av websidene slettet og budskap fra Anonymous vises på den siste.
Referanser
http://www.betabeat.com/2012/02/17/anonymous-hacks-u-s-govt-consumer-websites-as-revenge-for-a-c-t-a/

Google Chrome Multiple Vulnerabilities

Det har blitt oppdaget 12 svakheter med varierende alvorlighetsgrad i Google Chrome. De mest alvorlige kan utnyttes til å kompromittere et sårbart system fra eksternt hold.
Anbefaling
Update to version 17.0.963.56.
Referanser
http://www.secunia.com/advisories/48016
http://googlechromereleases.blogspot.com/2012/02/chrome-stable-update.html

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 16 February 2012

2012.02.16 - Nyhetsbrev

Det er kommet viktig oppdateringer fra Adobe og Cicso.
Lurer du på hva mobil appene lagrer av personlige data om deg? Sjekk Wall Street Journals interaktiv webside.
Kaspersky har skrevet en interessant bloggpost om HLUX botnettet.
Etter 3 års forskning har man funnet svake RSA kryptonøkler generert på systemer med dårlig generator av vilkårlige tall. Dette gjør RSA nøklene svake da de lettere kan forutsees og kryptert informasjon enklere dekrypteres.

Hva vet mobilappene dine om deg?

Wall Street Journal har laget en interaktiv webside som viser hvilke
personlige data forskjellige apper til iPhone og Android samler inn om deg.
Referanser
http://blogs.wsj.com/wtk-mobile/

Interessant analyse av svakhet i RSA kryptonøkler.

Det har blitt oppdaget at noen RSA kryptonøkler som er i bruk er generert ved hjelp av de samme faktorene (primtall). Ved generering av RSA kryptonøkler benyttes 2 (fortrinnsvis unike) store primtall. Så mange som 4 av 1000 nøkler som ble undersøkt hadde denne svakheten. Dette skyldes hardware med dårlig generator av vilkårlige tall, som vil produsere RSA nøkler innenfor et smalere område. Derfor vil det være lettere å knekke krypteringen.
Referanser
http://arstechnica.com/business/news/2012/02/crypto-shocker-four-of-every-1000-public-keys-provide-no-security.ars
http://m.networkworld.com/news/2012/021412-rsa-cryptoflaw-research-256136.html?mm_ref=http%3A%2F%2Ft.co%2FXl9pSV7Z

En interessant gjennomgang av HLUX botnettet.

Kaspersky Lab Expert, Sergey Golovanov, har skrevet en blogg om HLUX botnettet hvor han tar for seg "The where and why of HLUX".
Referanser
http://www.securelist.com/en/blog/663/The_where_and_why_of_HLUX

Adobe Flash Player CVE-2012-0756 Remote Security Bypass Vulnerability

Adobe har kommet med oppdateringer til Flash Player som retter minst 7 ulike svakheter.
Anbefaling
For Windows, Mac, Linux og Solaris oppdater til versjon 11.1.102.62
For Android 4.x oppdater til versjon 11.1.115.6
For Android 3.x og 2.x oppdater til versjon 11.1.111.6
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-03.html

Svakhet i Cisco NX-OS

Cisco har publisert oppdateringer for Nexus 1000v, 5000 og 7000 Serie Svitsjer som kjører NX-OS. De tetter en svakhet som kan utnyttes til å utføre et tjenestenektangrep.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120215-nxos

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 15 February 2012

2012.02.15 - Nyhetsbrev

Både Microsoft, Adobe og Oracle har gitt ut flere patcher det siste døgnet. Det har også vært en sak om teleselskapet Nortel som skal ha vært under kontroll av hackere siden årtusenskiftet.

Oracle gir ut nye oppdateringer for Java SE

Oracle har sluppet sin kvartalsvise oppdateringspakke for Java SE. Oppdateringen dekker 14 sårbarheter i flere Java SE produkter. For fullstendig liste over sårbarheter, se referanse.
Referanser
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

Adobe ute med nye oppdateringer for Adobe Shockwave Player og RoboHelp

Adobe har sluppet ut oppdateringer for Adobe Shockwave Player og RoboHelp. Oppdateringene gjelder for både Windows og Mac OS X og dekker flere kritiske svakheter som kan gi en angriper muligheten til å få kjørt vilkårlige kommandoer fra eksternt hold.
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-02.html

Hackere hadde adgang til Nortels nettverk i over 10 år

The Wall Street Journal rapporterer at tele-kom selskapet Nortel har vært hacket siden år 2000. Hackerne, som i følge artikkelen ser ut til å ha kinesisk opphav, skal ha fått tak i 7 brukernavn og passord tilhørende toppledelsen i firmaet. De skal ha brukt dette til å hente ut flere interne dokumenter og eposter med sensitiv informasjon.
Referanser
http://online.wsj.com/article/SB10001424052970203363504577187502201577054.html

Vulnerabilities in .NET Framework and Microsoft Silverlight Could Allow Remote Code Execution (2651026) (MS12-016)

Oppdateringen dekker 2 svakheter i Microsoft .NET Framework og Microsoft Silverlight som kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside med en nettleser som kan kjøre "XAML"- eller "Silverlight"-applikasjoner.
Anbefaling
Oppdater Microsoft .NET Framework
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-016

Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2660465) (MS12-008)

Oppdateringen dekker to svakheter i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside eller lokalt kjører en spesialdesignet applikasjon. En normal angrepsvektor vil være e-post eller en annen melding med link til nettsiden.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-008

Cumulative Security Update for Internet Explorer (2647516) (MS12-010)

Oppdateringen dekker 4 svakheter i Internet Explorer. Den mest alvorlige svakheten kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter denne svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Internet Explorer
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-010

Vulnerability in C Run-Time Library Could Allow Remote Code Execution (2654428) (MS12-013)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "media"-fil. En angriper som vellykket utnytter denne svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-013

Vulnerability in Indeo Codec Could Allow Remote Code Execution (2661637) (MS12-014)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner en normal fil lokalisert i samme nettverkskatalog som en spesialdesignet bibliotek-fil (DLL). En angriper som vellykket utnytter denne svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-014

Vulnerability in Color Control Panel Could Allow Remote Code Execution (2643719) (MS12-012)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner en normal fil lokalisert i samme nettverkskatalog som en spesialdesignet bibliotek-fil (DLL). En angriper som vellykket utnytter denne svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-012

Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (2663841) (MS12-011)

Oppdateringen dekker 3 svakheter i Microsoft SharePoint og Microsoft SharePoint Foundation som kan føre til lokal rettighetseskalering dersom en bruker åpner en spesialdesignet link.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-011

Vulnerabilities in Ancillary Function Driver Could Allow Elevation of Privilege (2645640) (MS12-009)

Oppdateringen dekker to svakheter i Microsoft Windows Ancillary Function Driver som kan føre til lokal rettighetseskalering dersom en angriper logger på lokalt og kjører en spesialdesignet applikasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-009

Vulnerabilities in Microsoft Visio Viewer 2010 Could Allow Remote Code Execution (2663510) (MS12-015)

Oppdateringen dekker 4 svakheter i Microsoft Office som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "Visio"-fil. En angriper som vellykket utnytter denne svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Visio Viewer
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-015

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 14 February 2012

2012.02.14 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Friday, 10 February 2012

2012.02.10 - Nyhetsbrev

Microsoft har publisert listen over oppdateringer for februar. NorCERT har sluppet sin kvartalsrapport for fjerde kvartal i fjor. Det har blitt funnet en svakhet i Google Wallet.

Microsoft Releases Advance Notification for February Security Bulletin

Microsoft har publisert listen over oppdateringer for februar. Den inneholder 9 sikkerhetsoppdateringer, hvorav 4 er angitt som kritiske. Alle versjoner av Windows er omfattet. I tillegg er også Office og SharePoint Server rammet.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-feb

Svakhet i Google Wallet

Joshua Rubin i Zevelo har publisert en artikkel som beskriver hvordan et effektivt bruteforce angrep mot Google Wallet på Android enheter kan utføres. Dette gjelder bare enheter som har blitt rootet og som en har fysisk tilgang til.
Referanser
https://zvelo.com/blog/entry/google-wallet-security-pin-exposure-vulnerability

Ny kvartalsrapport fra NorCERT

NorCERT har sluppet sin kvartalsrapport for fjerde kvartal i fjor. Dette har vært det mest hektiske kvartalet for NorCERT til nå.
Referanser
https://www.nsm.stat.no/Aktuelt/Nytt-fra-NSM/Ny-kvartalsrapport-fra-NorCERT2/

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 9 February 2012

2012.02.09 - Nyhetsbrev

Oracle patcher Flash-svakheter i Solaris. Du kan nå kjøpe reklameplass i admin-verktøyet til Blackhole exploit-kit. Trustwave har utstedet seritifkat til kunde som kan brukes til avlytting av kryptert kommunikasjon. Google slipper ny versjon av Chrome. Det er oppdaget svakheter i krypteringen i satellitt-telefoni. Det er sluppet en remote zero-day exploit for MySQL.

Oracle Solaris Adobe Flash Player Multiple Vulnerabilities

Oracle har gitt ut oppdateringer som fikser en rekke svakheter i Adobe Flash player i Solaris. Svakhetene er klassifisert som kritisk og kan føre til at uvedkommende kan eksekvere kode.
Referanser
http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_adobe_flashplayer4

Crimevertising: Selling Into the Malware Channel

Blackhole er et "exploit kit" som brukes for å infisere datamaskiner gjennom å lure brukere til å besøke en side. Ofte gjøres dette ved å infisere vanlige web-sider, eller ved å servere infiserte reklame-bannere.

Utgiveren av Blackhole har nå begynt å selge reklameplass til verktøyet som brukes for å administrere en Blackhole installasjon. Dette tyder på at ganske mange etter hvert bruker dette.

Våre observasjoner på SOC underbygger også dette. Vi ser stadig kunder som blir videresendt til Blackhole-sider. Ofte blir de også videresendt fra vanlige norske web-sider som har blitt kompromittert på forskjellige måter.
Referanser
https://krebsonsecurity.com/2012/02/crimevertising-selling-into-the-malware-channel/

Trustwave issued a man-in-the-middle certificate

Firmaet Trustwave har laget et sertifikat til en kunde som igjen brukte dette til automatisk å utstede sertifikater til alle typer servere. Dette gjorde at firmaet kunne avlytte all kommunikasjon mellom ansatte og f.eks. Gmail eller Hotmail, selv om denne var SSL-kryptert.

Sertifikatet ble brukt i forbindelse med et DLP (Data Loss Prevention)-system og har siden blitt trukket tilbake. Trustwave opplyser at de ikke har tenkt å utstede slike sertifikater i framtiden. Trustwave opplyser imidlertid at slike sertifkater fortsatt blir laget av andre sertifikatutstedere.

Mozilla vurderer nå om de skal fjerne Trustwaves sertifikater fra Firefox osv. etter hendelsen, siden dette er et brudd på deres policy.
Referanser
http://www.h-online.com/security/news/item/Trustwave-issued-a-man-in-the-middle-certificate-1429982.html
https://bugzilla.mozilla.org/show_bug.cgi?id=724929

Google Releases Chrome 17.0.963.46

Google har sluppet ny versjon av Google Chrome (17.0.963.46). For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.com/2012/02/stable-channel-update.html

Svakheter i to krypteringsalgoritmer brukt i satellittelefoni

Forskere ved Ruhr-universitetet i Bochum, Tyskland har publisert en rapport som beskriver svakheter i to proprietære krypteringsalgoritmer (GMR-1 og GMR-2) brukt i forskjellige typer satellittelefoni, blant annet Inmarsat.

Krypteringen i disse protokollene er implementert på en mangelfull måte. Dette gjør at kommunikasjon fra slike enheter kan la seg dekryptere i løpet av noen få timer ved hjelp av én PC.

For mer informasjon, se referanser.
Referanser
http://arstechnica.com/business/news/2012/02/crypto-crack-makes-satellite-phones-vulnerable-to-eavesdropping.ars
http://gmr.crypto.rub.de/

Ny zero day expoit i MySQL

Produsentene av VulnDisco Pack Professional, som er et verktøy for sikkerhetstesting brukt sammen med Canvas, har uttalt at den siste versjonen av verktøyet deres inneholder en 0-day svakhet for MySQL som kan utnyttes over nettet (remote). Mer informasjon er for øyeblikket ikke tilgjengelig.
Anbefaling
.
Referanser
https://lists.immunityinc.com/pipermail/canvas/2012-February/000011.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 8 February 2012

2012.02.08 - Nyhetsbrev

Hackere har brutt seg inn i et av departementene i Syria og hos hardware-produsenten Foxconn.

Massive data leak from Foxconn.com by SwaggSec

En gruppe kalt @SwaggSec (Swagg Security) har angivelig hacket Foxconn.com og publisert en større mengde informasjon fra innbruddet, deriblant brukernavn og passord. Foxconn er kjent for å produsere utstyr for store aktører som bl.a. Apple og Intel. Det lekkede materialet er gjort tilgjengelig via en Torrent-side.
Referanser
http://www.cyberwarnews.info/2012/02/08/massive-data-leak-from-foxconn-com-by-swaggsec/

Anonymous lekker e-poster fra rådgiverne til Syrias president

Anonymous har brutt seg inn i en e-post-server i Syria tilhørende et av departementene. Herfra har de offentliggjort brukernavn og passord samt diverse e-poster.
Referanser
http://arstechnica.com/tech-policy/news/2012/02/anonymous-hackers-expose-emails-of-syrian-presidential-aides.ars
http://blog.foreignpolicy.com/posts/2012/02/06/syrians_troll_through_hacked_emails_of_bashars_presidential_aides

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 7 February 2012

2012.02.07 - Nyhetsbrev

Hackere krever Symantec $50.000 for ikke å frigjøre kildekoden til PCAnywhere og Norton Antivirus.
Google Chrome endrer hvordan de verifiserer gyldighet til SSL sertifikater.
Tjenestenekt svakhet oppdaget i IBM AIX.

Hackere krevde $50.000 fra Symantec for ikke å frigjøre kildekode.

I følge nettstedet cnet.com har hackere krevd Symantec $50.000 for ikke å frigjøre kildekoden til PCAnywhere og Norton Antivirus. I perioden 18.januar til 6.februar har det foregått "forhandlinger" via mail. Tidlig 7. februar ble kildekoden til PCAnywhere gjort tilgjengelig.
Referanser
http://news.cnet.com/8301-1009_3-57372308-83/hackers-wanted-$50000-to-keep-symantec-source-code-private/

Google Chrome tar bort SSL verifisering sjekk.

Google har bestemt seg for å ta bort en sjekk i Chrome som skal verifisere gyldigheten av SSL sertifikater. Det har lenge vært ment at denne sjekken gir falsk trygghet, da den kun virker når du ikke har bruk for den. Google forsker Adam Langlet omtalte dette i sin bloggpost på søndag.
Referanser
http://arstechnica.com/business/guides/2012/02/google-strips-chrome-of-ssl-revocation-checking.ars
http://www.imperialviolet.org/2012/02/05/crlsets.html

Svakhet i IBM AIX tcp stack.

Det er oppdaget en svakhet i IBM AIX sin TCP stack. Denne kan brukes til et tjenestenekt angrep. Oppdatering er tilgjengelig.
Anbefaling
Om mulig installer tilgjengelig oppdatering.
Referanser
http://aix.software.ibm.com/aix/efixes/security/large_send_advisory.asc

Full HTML-versjon av dagens nyhetsbrev.

Monday, 6 February 2012

2012.02.06 - Nyhetsbrev

Gruppen Anonymous har offentliggjort et 15 minutter langt opptak av en telefonkonferanse mellom FBI og Scotland Yard, som omhandlet Anonymous. Det amerikanske forsvaret er i ferd med å utvikle en egen versjon av Android-operativsystemet som skal klareres til å lagre gradert informasjon. Det skal kjøres på kommersielt tilgjengelige håndsett.

Intern FBI-telefonkonferanse tatt opp av Anonymous

Anonymous har offentliggjort et 15 minutter langt opptak av en telefonkonferanse mellom FBI og Scotland Yard. I opptaket diskuterer ansatte i FBI og Scotland Yard blant annet hvordan de skal få stoppet Anonymous og deres angrep mot diverse websider. Det er usikkert hvordan Anonymous har fått tak i opptaket. FBI forteller at ingen av deres systemer har blitt kompromittert, mens Scotland Yard verken kan avkrefte eller bekrefte om deres systemer har blitt kompromittert.
Referanser
http://www.washingtonpost.com/world/europe/hackers-claim-to-have-intercepted-leaked-sensitive-conference-call-between-fbi-scotland-yard/2012/02/03/gIQAyg8jmQ_story.html
http://www.youtube.com/watch?v=pl3spwzUZfQ

U.S. government, military to get secure Android phones

Det amerikanske forsvaret er i ferd med å utvikle en egen versjon av Android-operativsystemet som skal klareres til å lagre gradert informasjon. Den nye versjonen skal kjøres på kommersielt tilgjengelig håndsett.
Referanser
http://edition.cnn.com/2012/02/03/tech/mobile/government-android-phones/index.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 3 February 2012

2012.02.03 - Nyhetsbrev

Ny versjon av PHP retter kritisk svakhet. Apple oppdaterer OS X. Verisign ble utsatt for datainnbrudd flere ganger i 2010. Halvparten av Fortune 500-selskapene er infisert av trojaner oppdaget i fjor. Google har begynt å scanne applikasjoner i Android Market for malware.

PHP 5.3.10 har blitt publisert

PHP versjon 5.3.10 har blitt sluppet. Den retter et sikkerhetshull som tidligere har blitt offentliggjort og som kan utnyttes til ekstern kodeeksekvering. Svakheten muliggjør kjøring av kode på sårbare web-tjenere. PHP-prosjektet anbefaler sterkt å oppgradere.
Referanser
http://www.php.net/archive/2012.php#id2012-02-02-1

VeriSign ble hacket flere ganger i 2010

Verisign er firmaet som blant annet kontrollerer .com .net og .org-domenene. De innrømmer nå at de ble hacket flere ganger i 2010. De er ikke sikre på hva angriperne fikk med seg. Firmaet hevder at toppledelsen ikke ble informert av sikkerhetsavdelingen om innbruddene før sent i 2011.
Referanser
http://www.reuters.com/article/2012/02/02/us-hacking-verisign-idUSTRE8110Z820120202

Halvparten av Fortune 500-selskapene i USA er fortsatt infisert av DNSChanger Trojaneren

En undersøkelse viser at halvparten av Fortune 500-selskapene og mange offentlige etater i USA fortsatt har maskiner som er infisert av "DNS-Changer"-trojaneren. Denne trojaneren tar over DNS-håndteringen på infiserte maskiner og forhindrer blant annet brukere fra å besøke sikkerhetsrelaterte nettsteder. Amerikanske myndigheter slo til mot det kriminelle nettverket i november og tok over infrastrukturen deres.

Den 8. mars vil FBIs midlertidige DNS-tjenere bli tatt ned og millioner av infiserte brukere vil kunne oppleve at PCen deres ikke kan kommunisere med Internett som den skal.
Referanser
http://krebsonsecurity.com/2012/02/half-of-fortune-500s-us-govt-still-infected-with-dnschanger-trojan/

Apple gir ut sikkerhetsoppdatering

Apple har gitt ut en sikkerhetsoppdatering til OS X Lion. Denne inneholder 52 sårbarhetsfikser og 39 andre fikser, hvorav 19 av fiksene har å gjøre med sårbarheter som lar folk kjøre vilkårlig kode i drive-by angrep.
Referanser
http://support.apple.com/kb/HT5130
http://nakedsecurity.sophos.com/2012/02/02/apple-os-x-users-its-security-update-time-again/

Google skanner Android Market for skadelig programvare

Google har begynt å sikkerhets-skanne programvare som tilbys gjennom Android Market. Dette for å forhindre at skadelig programvare blir tilbudt sluttbrukere og kommer som et svar på den siste tids rapporter om skadelig programvare i Android Market.

Applikasjonene blir scannet for kjente trojanere og spionvare. De blir også kjørt i en virtuell maskin for å se etter mistenkelig oppførsel.
Referanser
http://googlemobile.blogspot.com/2012/02/android-and-security.html

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 2 February 2012

2012.02.02 - Nyhetsbrev

Hackere bak banktrojanere endrer kontaktinfo slik at banken kontakter hackere for å få bekreftet gyldigheten av transaksjoner i den tro at de snakker med kunden.

Nye svakheter oppdaget i Oracle som kan forårsake tjenestenekt.

Vupen Security tweeter om en ny kritisk svakthet i PHP v.5.3.9.

Banktrojanere endrer bankinfo før banken kontakter deg ved missbruk

Gruppen bak ZeuS trojaneren samler info fra infiserte maskiner for å endre kontaktinfo på brukeren. Når banken kontakter brukeren for sjekk av mistenkelige transaksjoner, ringes hackerene isteden for brukere.
Referanser
http://www.theregister.co.uk/2012/02/02/ice_ix_trojan_social_engineering_trickery/

Oracle Multiple Products Web Form Hash Collision Denial of Service Vulnerability

Det har blitt påvist en svakhet i flere Oracle produkter. Svakheten kan utnyttes til å forårsake en tjenestenekt-tilstand fra eksternt hold, og skyldes en feil som kan oppstå i en hash-genereringsfunksjon ved hash'ing av POST-requester og oppdatering av en tilhørende hash tabell.
Anbefaling
Installèr patch
Referanser
http://www.secunia.com/advisories/47819
http://www.oracle.com/technetwork/topics/security/alert-cve-2011-5035-1506603.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 1 February 2012

2012.02.01 - Nyhetsbrev

Mozilla har gitt ut nye versjoner av Firefox, Thunderbird og Seamonkey.

Mozilla Firefox og Thunderbird ute i versjon 10

Mozilla har gitt ut nye versjoner av Firefox, Thunderbird og Seamonkey. Oppdateringene skal fikse flere svakheter, der noen av dem kan føre til eksekvering av kode. Det anbefales derfor å oppdatere til siste versjon.
Anbefaling
Oppdater til nyeste versjon.
Referanser
http://www.mozilla.org/en-US/thunderbird/10.0/releasenotes/
http://www.seamonkey-project.org/releases/seamonkey2.7/#new
http://www.mozilla.org/en-US/thunderbird/10.0/releasenotes/
http://www.mozilla.org/security/announce/2012/mfsa2012-08.html
http://www.mozilla.org/security/announce/2012/mfsa2012-07.html
http://www.mozilla.org/security/announce/2012/mfsa2012-01.html
http://www.mozilla.org/security/announce/2012/mfsa2012-04.html

Full HTML-versjon av dagens nyhetsbrev.