Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 31 December 2012

2012.12.31 - Nyhetsbrev

I løpet av siste helga i dette året har Nordea sine nettsider blitt utsatt for DDoS-angrep og en ny svakhet i eldre versjoner av Internet Explorer blitt oppdaga. McAfee spør at angrep fra Anonymous vil minke i omfang. Det har dessuten blitt oppdaga en sårbarhet med webkamerabruk i Facebook.

Vi på Telenor Sikkerhetssenter ønsker alle våre nyhetsbrevabonnennter et godt nytt år!

DDoS-angrep mot Nordea.no

Nordeas nettsteder for alle de nordiske landene ble på fredag utsatt for et DDoS-angrep som førte til at de åpne nettsidene var utilgjengelige for en periode, mens nettbanken derimot fungerte som normalt. Kommunikasjonsdirektør Rune Kibsgaard Sjøhelle i Nordea sier til NA24 at de ennå ikke vet hvem som sto bak angrepet.
Referanser
http://www.na24.no/article3538543.ece

Ny 0-day-exploit oppdaga i Internet Explorer 6-8

I eldre utgaver av Internet Explorer (versjon 6 til 8) skal det være oppdaga en ny exploit. Sikkerhetsleverandøren FireEye melder at nettstedet til den amerikanske organisasjonen Council on Foreign Relations ble kompromittert og rigga til slik at besøkende lasta ned malware. Dette skjedde 21. desember, og infeksjonen ble oppdaga fem dager senere.
Internet Explorer 9 og 10 skal ikke ha denne svakheten.
Referanser
http://krebsonsecurity.com/2012/12/attackers-target-internet-explorer-zero-day-flaw/
http://news.softpedia.com/news/Council-on-Foreign-Relations-Site-Hosted-Malicious-Content-Since-December-21-317851.shtml?utm_source=dlvr.it&utm_medium=twitter

McAfee: Angrep fra Anonymous vil trolig minke i omfang

McAfee kom fredag med en detaljert rapport om trusler i 2013. Der hevder de at angrepene til Anonymous vil minke i omfang. Årsaken skal være tap av sympatisører på grunn av ukoordinerte og uklare operasjoner. Potensielle offer har dessuten begynt å forstå angrepene bedre, slik at de har blitt mindre vellykka. Små ekstremistgrupper vil derimot øke innsatsen med å forsøke å hacke IT-systemer i demokratiske samfunn.
Referanser
http://arstechnica.com/security/2012/12/mcafee-labs-predicts-the-decline-of-anonymous/

Facebook lapper webkamerasårbarhet

To indiske datasikkerhetsforskere har oppdaga inn en svakhet knytta til bruk av webkamera i Facebook. Den har ikke blitt utnytta og blir sett på som teoretisk, siden det skal mye til for å lure potensielle offer. Vedkommende må bli lurt til å besøke en ondsinna nettside for deretter å aktivere webkamera og publisere opptak etter ei tid.
Referanser
http://www.bloomberg.com/news/2012-12-28/facebook-patches-webcam-vulnerability-after-receiving-hacker-tip.html

Ny svakhet oppdaget i Internet Explorer 6, 7 og 8

Det har blitt avdekket en ukjent alvorligsvakhet i Internet Explorer. Den rammer kun versjon 6, 7 og 8. Brukere av versjon 9 og 10 er ikke berørt. Det anbefales at brukere som har mulighet til oppgradere til versjon 9, gjør dette. Microsoft har enda ikke publisert en feilretting, men anbefaler i stedet at brukeren benytter Enhanced Mitigation Experience Toolkit.
Anbefaling
Oppgrader til nyere versjon, hvis mulig. Ellers, følg anvisninger fra produsent.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2794220

Friday, 28 December 2012

2012.12.28 - Nyhetsbrev

NetBSD har kommet ut i versjon 6.0.1, og McAfee har titt i sin spåkule.

McAfee spår om trusler i 2013

McAfee spår ut fra utviklinga i 2012 at det i 2013 vil komme stadig flere angrep mot mobile systemer. Mer spesifikt vil det blir mer og mer vanlig med ransomware, program som krypterer data og krever løsepenger og dekryptering. Ellers vil det bli vanlig med malware som laster ned applikasjoner i smug fra useriøse nettsider og krever penger for dem.

Som sikkerhetsforsetter for 2013 foreslår McAfee at man installerer sikkerhetsprogramvare på alle enheter (også mobile), bruker sterke passord, sørger for at alle programmer er oppdaterte, og at man kontrollerer pengeoverføringene i banken.
Referanser
http://blogs.mcafee.com/consumer/2013-consumer-threat-predictions?utm_source=twitterfeed&utm_medium=twitter

Sikkerhetsfikser i NetBSD 6.0.1

NetBSD har blitt oppdatert til versjon 6.0.1. Fire sikkerhetsproblem har blitt retta på. Fire av dem er relatert til tjenestenektangrep (DoS). Disse angrepa utnytter minnelekkasje og hash-kollisjon i et XML-parserprogram. Kræsjproblem har også blitt fiksa.
Referanser
http://www.h-online.com/security/news/item/NetBSD-6-0-1-delivers-security-and-stability-fixes-1774562.html

Thursday, 27 December 2012

2012.12.27 - Nyhetsbrev

En rolig periode. Minner om oppdatering til VMWare som ble sluppet i starten av julehøytiden.

VMWare retter svakheter i vCenter Server og ESXi

VMWare har sluppet oppdateringer til vCenter Server Appliance 5.x og ESXi 5.x. I vCenter Server Appliance rettes en feil vedrørende parsing av XML-filer som kan føre til uautorisert tilgang til informasjon på serveren. I ESXi resstes flere svakheter i implementeringen av glibc. Svakhetene eksisterer også i versjon 4.0 og 4.1 av ESXi, men VMWare melder at det ikke en planlagt noen oppdatering for disse versjonene.
Anbefaling
Installer oppdatering fra produsent om mulig
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0018.html

Friday, 21 December 2012

2012.12.21 - Nyhetsbrev

Microsoft slipper revidert versjon av én av sine desember-patcher.

Microsoft har sluppet oppdatert versjon av patch MS12-078

Det er funnet en feil i MS12-089 patchen som kom ut 11. desember i år. Denne er sluppet i oppdatert versjon for å fikse problemet
Anbefaling
Oppdater
Referanser
http://support.microsoft.com/kb/2753842
http://technet.microsoft.com/en-us/security/bulletin/ms12-078

Thursday, 20 December 2012

2012.12.20 - Nyhetsbrev

Gammel svakhet i Adobe Shockwave er fortsatt aktuell: vedlegg til filmer kan bli installert uten brukerinteraksjon. Opera fikser svakhet som muliggjør kjøring av eksternkode. Amerikanske banker ser ut til å klare seg greit gjennom varslet DDos-angrep.

Amerikanske banker klarer seg gjennom DDos angrep

Fem amerikanske banker ser ut til å klare seg greit gjennom det varslede DDos angrepet som vi omtalte i nyhetsbrev på mandag.
Referanser
http://www.eweek.com/security/banks-back-under-attack-by-claimed-hacktivists/

Opera-oppdatering fikser alvorlig sårbarhet

Opera er ute i versjon 12.12 som tetter flere sårbarheter hvorav én alvorlig sårbarhet som gjør det mulig å få kjørt vilkårlig kode fra eksternt hold. For fullstendig liste over rettede sårbarheter, se referanse.
Anbefaling
Oppdater til nyeste versjon
Referanser
http://www.opera.com/docs/changelogs/unified/1212/

Svakheter i Adobe Shockwave

En trippel svakhet i Shockwave fra 2010 gir mulighet for kjøring av kode. Det er en svakhet i Xtras/Extensions som i endel tilfeller kan lastes uten bruker-interaksjon. Dersom Xtras/Extensions finnes i filmfilen, vil disse bli installert automatisk. En talsmann for Adobe sier at de ikke kjenner til utnyttelse av denne feilen og Adobe vil ikke fikse dette i neste Shockwave-utgivelse i Februar 2013.
Anbefaling
Ingen fiks eksisterer. Firefox brukere kan bruke NoScript og dermed "Whiteliste" sider som bruker Shockwave. IE brukere, kan midlertidig disable Shockwave ActiveX control.
Referanser
http://threatpost.com/en_us/blogs/us-cert-warns-adobe-shockwave-xtras-vulnerabilities-121912

Wednesday, 19 December 2012

2012.12.19 - Nyhetsbrev

Oracle sin siste oppdatering til Java har flere interessante nye funksjoner. Regjeringen er ute med ny strategi mot økende utfordringer innen IKT sikkerhet. Eset har gjort en analyse av Apache-modulen Chapro.

Analyse av Apache-modulen Chapro

Eset har en bloggpost med analyse av Apache-modulen Chapro. Denne modulen blir lagt inn på kompromitterte Linux-maskiner av kriminelle. Den serverer så en skjult iframe til besøkende brukere som igjen sender dem videre til et exploit-kit. Modulen bruker forskjellige teknikker for å hindre oppdagelse og analyse av den.
Referanser
http://blog.eset.com/2012/12/18/malicious-apache-module-used-for-content-injection-linuxchapro-a

Oracle oppdaterer sikkerhetsfunksjoner i Java Development Kit

Oracle gav ut en oppdatering til Java i forrige uke som inneholder flere interessante nye sikkerhetsfunksjoner. Nå gir de brukeren mulighet til å skru av Java plugin i nettleseren enkelt ved fjerne merkingen i en sjekkboks under opsjonene. Java vil nå til enhver tid sjekke at den kjører på siste versjon og vise en advarsel til brukeren hvis ikke.
Referanser
http://nakedsecurity.sophos.com/2012/12/19/java-7-update-10-introduces-important-new-security-controls/

Regjeringen med ny strategi mot IKT sikkerhetsutfordringer

Regjeringen skal nå samle ansvaret for IKT sikkerhet i Justis- og beredskapsdepartementet. De skal også få på plass en ny strategi med handlingsplan for dagens voksende sikkerhetsutfordringer innen IKT.
Referanser
http://www.regjeringen.no/nb/dep/jd/aktuelt/nyheter/2012/strategi-mot-voksende-sikkerhetsutfordri.html

Tuesday, 18 December 2012

2012.12.18 - Nyhetsbrev

Oracle begynner snarlig med auto-oppdatering av brukere fra Java 6 til Java 7. Norsis har publisert resultatene fra en passordundersøkelse de har gjort i norske bedrifter.

Java 6 auto-oppdateres snart til Java 7

I løpet av desember vil Oracle begynne med auto-oppdatering av enkelte Windows-brukere fra Java 6 til Java 7. Alle brukere vil bli oppdatert i løpet av februar 2013. Support og patcher for Java 6 vil også opphøre i februar.
Referanser
http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html

Norsis har gjort passordundersøkelse i norske bedrifter

Norsis har publisert resultatene fra en passordundersøkelse de har gjort i norske bedrifter. Der kommer det blant annet som vanlig fram at mange gjenbruker samme passord på flere tjenester og at en vanlig person må forholde seg til 25 forskjellige passord. Følg lenken for flere resultater.
Referanser
https://www.norsis.no/nyheter/2012-12-8-NorSIS-passordundersoekelse.html

Monday, 17 December 2012

2012.12.17 - Nyhetsbrev

Alvorlig sikkerhetshull i Exynos-baserte enheter fra Samsung. DDoS-angrepene mot amerikanske banker har startet opp igjen. The Register har detaljer fra etterforskning mot Anonymous-medlemer i UK.

Alvorlig sikkerhetshull i Exynos-baserte enheter fra Samsung

Exynos er en SOC (System on a Chip) fra Samsung som brukes i mobiltelefoner som Galaxy SII, SIII og diverse nettbrett. I Android-enheter med denne SOCen finnes det en fil kalt "/dev/exynos-mem" som gir direkte tilgang til minnet i enheten. Her kan enhver prosess både lese og skrive til minnet uten noen spesielle rettigheter. Dette er både en alvorlig og flau svakhet.

Svakheten kan f.eks. utnyttes ved å laste opp en app til Google Play og lure brukere til å laste ned denne. Uten spesielle tilganger kan da appen få full tilgang til telefonen.

Samsung har fått beskjed om problemet, men har ikke kommet med noen uttalelse enda.
Referanser
http://forum.xda-developers.com/showthread.php?p=35469999
http://www.theregister.co.uk/2012/12/17/samsung_exynos_flaw/

Nye DDOS angrep mot Amerikanske banker

Tidligere i år ble flere amerikanske banker utsatt for DDoS-angrep fra hacktivist-gruppen Izz ad-Din al-Qassam. Angrepene ble annonsert på forhånd via en post på Pastebin. Angrepene går under navnet "Operation Ababil" og gruppen sier de vil fortsette angrepene inntil filmen "Innocence of Muslims" fjernes fra nettet.

Gruppen har nå lagt ut en post om nye angrep og banken PNC Financial Services har bekreftet at de er under angrep.

Vi har også med en post fra Arbor Networks der de går igjennom hvordan de forrige angrepene ble utført og råd om hvordan en kan minimere virkningen av slike angrep.
Referanser
http://pastebin.com/E4f7fmB5
www.technologybanker.com/security-risk-management/ddos-attacks-strike-again-on-us-banks
http://www.breitbart.com/Big-Peace/2012/12/13/Islamic-Hackers-Vow-Continued-Assault-on-US-Banks-Until-Innocence-of-Muslims-Removed
http://ddos.arbornetworks.com/2012/12/lessons-learned-from-the-u-s-financial-services-ddos-attacks/

Detaljer fra etterforksning mot Anonymous-medlemer i UK

The Register har en bra oppsummering der de går igjennom hvordan etterforskningen mot flere medlemer av Anonymous ble utført. Etterforskningen gjaldt "Operation Payback" der blant annet PayPal og Mastercard ble angrepet.
Referanser
http://www.theregister.co.uk/2012/12/14/uk_anon_investigation/

Friday, 14 December 2012

2012.12.14 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.


Thursday, 13 December 2012

2012.12.13 - Nyhetsbrev

Nettleseren Google Chrome er ute i ny versjon.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.dk/2012/12/stable-channel-update.html

Wednesday, 12 December 2012

2012.12.12 - Nyhetsbrev

Microsoft er ute med deres månedlige sikkerhetsoppdatering. Denne gangen er det snakk om 7 oppdateringer, som tetter i alt 10 svakheter, hvorav flere anses som kritiske. Spesielt bør man legge merke til MS-077 (Internet Explorer) og MS-080 (Exchange Server).

Adobe er ute med en oppdatering til Flash Player og Adobe AIR.

Gmail utilgjengelig i 18 minutter sist mandag

Gmail var nede i 18 minutter på mandag. Google har nå kommet med en offisiell forklaring på problemene. En oppdatering til Googles lastballanseringstjeneste inneholdt en feil som gjorde at Gmail-systemet trodde at andre tjenere var nede.
Referanser
http://arstechnica.com/information-technology/2012/12/why-gmail-went-down-google-misconfigured-chromes-sync-server/

Microsoft advarer mot rootkitet Necurs

Necurs Rootkit har eksistert i to år, men har iflg. Microsoft spredd seg raskt i det siste; Forskere hos Microsoft har funnet 83 427 infiserte maskiner i november. Rootkit'et spres via drive-by download, og inneholder avansert funksjonalitet for å skjule seg på et infisert system, samt motsette seg fjerning.
Referanser
http://www.darkreading.com/risk-management/167901115/security/attacks-breaches/240144203/necurs-rootkit-spreading-quickly-microsoft-warns.html

Advarer mot angrep basert på WordPress-utnyttelse

Sikkerhetseksperter advarer mot angrep retta mot publiseringsplattformene WordPress og Joomla. Det har blitt rapportert om flere slike utnyttingsforsøk. De infiserte sidene omdirigerer til annen side som installerer falsk antivirus og forsøker å lure offeret til å betale en "registeringsavgift". De siste dagene har vi også sett dette i Norge ved at flere sider enn vanlig har blitt infisert.
Referanser
http://www.v3.co.uk/v3-uk/news/2230978/researchers-warn-of-malware-attack-from-wordpress-exploit

Cumulative Security Update for Internet Explorer (2761465) (MS12-077)

Oppdateringen fikser 3 svakheter i Internet Explorer. De kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Internet Explorer
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-077

Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2783534) (MS12-078)

Oppdateringen dekker to svakheteter i Microsoft Windows der den mest alvorlige svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner et spesialdesignet dokument eller besøker en ondsinnet nettside som bruker "TrueType font"-filer.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-078

Vulnerability in Microsoft Word Could Allow Remote Code Execution (2780642) (MS12-079)

Oppdateringen fikser en svakhet i Microsoft Office. Svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet "RTF"-fil med Microsoft Office. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-079

Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2784126) (MS12-080)

Oppdateringen fikser flere svakheter i Microsoft Exchange Server. Den mest alvorlige svakheten ligger i Microsoft Exchange Server WebReady Document Viewing og kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker velger å forhåndsvise et spesialdesignet dokument med Outlook Web App.
Anbefaling
Oppdater Microsoft Exchange Server
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-080

Vulnerability in Windows File Handling Component Could Allow Remote Code Execution (2758857) (MS12-081)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner en mappe som inneholder en fil eller en mappe med et spesialdesignet navn. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-081

Adobe Flash Player and AIR CVE-2012-5676 Remote Buffer Overflow Vulnerability

Adobe har gitt ut en oppdatering til Adobe Flash Player og Adobe AIR. Oppdateringen fikser tre alvorlige svakheter som kan utnyttes til å få eksekvert ondsinnet kode fra eksternt hold. Koden vil blir kjørt med samme rettigheter som den påloggede brukeren.
Anbefaling
Apply updates
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-27.html
http://www.securityfocus.com/bid/56892/info

Vulnerability in DirectPlay Could Allow Remote Code Execution (2770660) (MS12-082)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner et spesialdesignet Office-dokument. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-082

Vulnerability in IP-HTTPS Component Could Allow Security Feature Bypass (2765809) (MS12-083)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å omgå sikkerheten til en Windows Server ved å bruke et tilbakekalt sertifikat på en IP-HTTPS server, som ofte er brukt i Microsoft DirectAccess distribusjoner. For å utnytte svakheten må angriperen bruke et sertifikat fra domene for IP-HTTPS server autentisering.
Anbefaling
Oppdater Windows Server
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-083

Tuesday, 11 December 2012

2012.12.11 - Nyhetsbrev

Team GhostShell hevder å ha dumpet data fra NASA, ESA, Pentagon osv. Innebygget anti-virus i Android v. 4.2 får stryk. Russisk hacker arrestert for DDoS-angrep.

Team GhostShell hevder å ha dumpet data fra NASA, ESA, Pentagon osv.

Team GhostShell har i en post på pastebin annonsert at de skal ha dumpet informasjon fra 30 kjente firmaer/institusjoner, blant annet NASA, ESA Crestwood Technology Group, Bigelow Aerospace og General Dynamics Defense Systems. Informasjonen skal inneholde 1,6 millioner poster, blant annet navn, epost, telefonnumre, passord og annen info. Angrepene skal ha skjedd via SQL-injection.
Referanser
http://pastebin.com/agUFkEEa
http://www.zdnet.com/team-ghostshell-takes-on-nasa-esa-pentagon-7000008558/
http://news.softpedia.com/news/GhostShell-Hackers-Leak-1-6-Million-Accounts-from-Over-30-High-Profile-Sites-313426.shtml

Innebygget anti-virus i Android 4.2 får stryk

NC State University har testet AV-funksjonaliteten som er innebygget i siste versjon av Android, v4.2. Dette er funksjonalitet som skal sjekke tredjepartsapplikasjoner før de blir installert, og er ikke relevant dersom brukeren installerer ting fra Google Play Store Store.

Forskerne har prøvd å installere 1260 typer malware og bare 15 prosent av disse ble stoppet. Det virker også som om systemet bruker enkle sjekksummer for å detektere trusler. Det vil derfor være svært enkelt å unngå.

Det er med andre ord best å holde seg til applikasjoner fra Googles egen applikasjonsbutikk og ikke laste ned og installere programvare selv fra mer eller mindre kjente nettsteder.
Referanser
http://www.cs.ncsu.edu/faculty/jiang/appverify/
http://arstechnica.com/security/2012/12/androids-built-in-malware-scanner-gets-a-failing-grade/

Russisk hacker arrestert for DDoS-angrep

En russisk hacker er arrestert etter å ha utført DDoS-angrep mot banker og andre firmaer. Angrepene ble bestilt og betalt av konkurrenter. Hackeren tok $100 per døgn for å ta ned et firma. Politiet opplyser at han ble tatt mens han var i ferd med å starte et angrep og at han nå samarbeider.
Referanser
http://www.themoscowtimes.com/news/article/police-hacker-detained-after-charging-100-to-shutter-sites/472839.html

Monday, 10 December 2012

2012.12.10 - Nyhetsbrev

Det har kommet en ny versjon av Metasploit Pro. Forskere avdekker svakheter i GPS og angrep som kan utføres mot flere av de store produsentene. Et stort GPU-basert cluster knekker 8-tegns passord på under 6 timer.

Metasploit Pro-oppdatering publisert

Metasploit Pro 4.5.0 har blitt publisert. Den nye versjonen skal ha ny støtte for social engineering og en oppdatering av webapplikasjonsskanneren.
Referanser
https://community.rapid7.com/docs/DOC-2108
https://community.rapid7.com/community/metasploit/blog/2012/12/07/go-phishing-how-to-manage-phishing-exposure-with-metasploit

Nytt GPU-cluster knekker alle vanlige Windows-passord på 8 timer

En ekspert innen passordknekking har utviklet et GPY-cluster som kan utføre 350 milliarder forsøk per sekund. Dette gjør det mulig å knekke et passord på 8 tegn med en hvilken som helst kombinasjon av tegn på under 6 timer.
Referanser
http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

Forskere avdekker svakheter i GPS.

Forskere har avdekket svakheter i GPS og demonstrert tre ulike typer angrep som kan utføres til en lav kostnad.

For et år siden påstod også Iran å ha manipulert GPS-mottageren til en amerikansk drone slik at de kunne få den til å lande kontrollert og overta den.
Referanser
http://www.scmagazine.com.au/News/325731,researchers-find-crippling-flaws-in-global-gps.aspx
http://www.csmonitor.com/World/Middle-East/2011/1215/Exclusive-Iran-hijacked-US-drone-says-Iranian-engineer-Video

Friday, 7 December 2012

2012.12.07 - Nyhetsbrev

Det har vært datainnbrudd hos den sveitsiske etterretningen. Microsoft har publisert forhåndsvarsler for desember oppdateringene. Esage Lab har publisert en detaljert analyse av TDSS botnettet. Et nytt botnett med TOR kommunikasjon er oppdaget.

Datainnbrudd hos den sveitsiske etterretningen

Den sveitsiske statlige sikkerhetstjenesten NDB har gått ut med en melding om at de har blitt utsatt for et alvorlig datainnbrudd. De stjålne dataene skal i tillegg til å inneholde sensitiv informasjon fra NDB, også inneholde informasjon fra britisk og amerikansk etterretning. Det er uvisst om informasjon fra norsk etterretning skal være på avveie. Innbruddet skal ha blitt foretatt av en tidligere ansatt som fortsatt hadde administratortilgang til et stort antall av NDBs servere. Ifølge sveitsiske myndigheter er allerede den misstenkte arrestert, og viktige bevis skal være beslaglagt. De sier også at den mistenke enda ikke hadde rukket å videreselge informasjonen. Ifølge sveitsiske kilder skal innbruddet først ha blitt oppdaget da den sveitsiske banken UBS oppdaget at den mistenkte utførte mistenkelige banktransaksjoner.
Referanser
http://www.reuters.com/article/2012/12/04/us-usa-switzerland-datatheft-idUSBRE8B30ID20121204
http://www.theregister.co.uk/2012/12/04/swiss_intelligence_data_loss/

Microsoft publiserer forhåndsvarsel av oppdateringer for desember

Microsoft melder at de kommer til å slippe 7 oppdateringer tirsdag 11. desember. Oppdateringene som slippes vil fikse svakheter i Windows, Windows Server, Windows RT, Office, Exchange Server, SharePoint Server og Office Web Apps, hvor de mest alvorlige kan føre til ekstern kodeeksekvering. 5 av oppdateringene blir rangert som kritiske, mens en rangeres som viktig.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-dec

Detaljert analyse av TDSS botnettet

Esage Lab har publisert en detaljert analyse av TDSS botnettet på nobunkum.ru. Siden er for øyeblikket nede men kan ses via google webcache lenken.
Referanser
http://webcache.googleusercontent.com/search?q=cache:BzLH17hFF54J:nobunkum.ru/analytics/en-tdss-botnet+&cd=1&hl=no&ct=clnk&gl=no
http://www.nobunkum.ru/analytics/en-tdss-botnet

Et nytt botnett med TOR kommunikasjon er oppdaget

Skynet er et nytt botnett basert på Zeus. Trojaneren kan brukes til både DDoS og bitcoin mining i tillegg til vanlige Zeus egenskaper. Den styres via IRC. All kommunikasjon med C&C går via TOR. Dette gjør det veldig vankelig å analysere hvor C&C serverene finnes, og dermed også å finne bakmennene.
Referanser
https://community.rapid7.com/community/infosec/blog/2012/12/06/skynet-a-tor-powered-botnet-straight-from-reddit

Thursday, 6 December 2012

2012.12.06 - Nyhetsbrev

Ars Technica har en god artikkel om FTC og hvordan de lurte Windows support-svindlere. I tillegg har en pakistansk hackergruppe satt flere kinesiske regjeringsnettsteder ut av spill.

FTC lurer Windows-svindlere

Ars Technica har en veldig god og morsom historie om hvordan Windows telefonsupport-svindlere lar seg avsløre, denne gang av FTC (Federal Trade Commission) i USA.
Referanser
http://arstechnica.com/tech-policy/2012/12/how-windows-tech-support-scammers-walked-right-into-a-trap-set-by-the-feds/

Pakistansk hackergruppe har satt flere kinesiske regjeringsnettsteder ut av spill

Ved hjelp av kode-injeksjon har ei hackergruppe som kaller seg "Pakistan cyber army" klart å sette 400 subdomener som tilhører den kinesiske regjeringa ut av drift.
Referanser
http://www.ehackingnews.com/2012/12/china-government-sites-defaced.html

Wednesday, 5 December 2012

2012.12.05 - Nyhetsbrev

Sophos er ute med sin årsrapport samt en interessant artikkel om Citadel trojaneren. Av siste døgns svakheter har vi valgt å ta med en kritisk svakhet i Tectia SSH som kan gi angriper root tilgang og en svakhet i MySQL server som gjør det enklere å knekke passord ved bruk av bruteforce angrep. DNS tjeneren BIND er også ute i ny versjon.

Sophos ute med årsrapport

Sikkerhetsselskapet Sophos Security er ute med sin årsrapport. Den inneholder siste års trender på sikkerhetsfronten samt spådommer for hva man kan forvente i 2013. I rapporten tar de blant annet opp hvordan exploitkittet Blackhole har blitt brukt til å spre malware på nettet det siste året. Hele 30 prosent av alle angrep registrert av Sophos har blitt utført ved hjelp av Blackhole, og gjør det derfor til den mest brukte angrepsmetoden på nettet det siste året. Java trekkes frem som en av verstingene blant sårbare tredjepartsapplikasjoner som har blitt angrepet. Til neste år mener de at vi kommer til å se mer til SQL-injection angrep mot sårbare webservere samt en økning i ransomware. Økningen av brukere på Mac OSX plattformen gjør også denne til et mer attraktivt mål i fremtiden. Se referanse for rapporten i sin helhet.
Referanser
http://www.sophos.com/en-us/security-news-trends/reports/security-threat-report.aspx
http://nakedsecurity.sophos.com/2012/12/04/sophos-security-threat-report/

Sophos med interessant artikkel om Citadel-trojaneren

Citadel regnes som et av resultatene etter at kildekoden til Zeus ble sluppet i mai i fjor, og har bygget videre på denne med flere nye funksjoner. Trojaneren skal ha blitt oppdatert i oktober i år der en av nyhetene er fullt redesign av den interne krypteringen. Som et ekstra ledd for å beskytte Citadels konfigurasjonsfiler, tvinges nå alle bots til å sende ut en spesielt utformet HTTP-forespørsel før de får mulighet til å hente denne ut. Se referanse for grundigere gjennomgang av de nye funksjonene.
Referanser
http://nakedsecurity.sophos.com/2012/12/05/the-citadel-crimeware-kit-under-the-microscope/

Kritisk svakhet i Tectia SSH er lagt inn i metasploit rammeverket

Tectia SSH server inneholder en svakhet som gir en angriper mulighet til å få root tilgang til en sårbar SSH server fra utsiden. Det faktum at denne nå har blitt lagt inn i metasploit rammeverket vil gjøre utnyttelse enklere. En mulig workaround er å skru av passordautentiseringsmekanismen og bruke for eksempel nøkkelautentisering i stedet.
Anbefaling
Begrens bruken av Tectia SSH server til det foreligger en patch. Man kan også sikre serveren sin ved å skru av passordautentiseringsmekanismen.
Referanser
https://community.rapid7.com/community/metasploit/blog/2012/12/04/what-would-trinity-do-with-kingcopes-ssh-0day

Svakhet i MySQL gjør bruteforce-angrep enklere

Et bruteforce-angrep er en angrepsmetode der angriper bygger opp forskjellige passord bygget opp av bokstaver, tall spesialtegn og så videre. Flere applikasjoner, inkludert MySQL, gjør denne angrepsmetoden vanskeligere ved å legge inn en forsinkelse før den avviser et feil passord. Svakheten omgår denne sikkerhetsmekanismen og gjør det mulig for en angriper å teste 5000 passord i sekundet. Et passord med fire tegn ble knekt etter 20 sekunder i en test utført ved bruk av svakheten.
Anbefaling
Begrens tilgangen til serveren.
Referanser
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089076.html

BIND ute i versjon 9.9.2

DNS tjeneren BIND er ute i versjon. Denne retter en rekke bugs. Det anbefales derfor å oppdatere til siste versjon.
Anbefaling
Installer siste versjon.
Referanser
https://isc.sans.edu/diary.html?storyid=14641

Tuesday, 4 December 2012

2012.12.04 - Nyhetsbrev

Nationwide Insurance og Macquarie University hacket. Orm spredde seg gjennom bloggnettstedet Tumblr.

Nationwide Insurance og Macquarie University hacket

Hackere har brutt seg inn hos Nationwide Insurance i USA og Macquarie University i Australia. Informasjon om rundt 1 millioner brukere er hentet ut fra hver av organisasjonene. Se lenker for detaljer.
Referanser
http://www.zdnet.com/au/breach-at-macquarie-uni-hackers-claim-1-million-plain-text-passwords-exposed-7000008199/
http://thehackernews.com/2012/12/sensitive-information-of-1-million.html

Orm spredde seg gjennom bloggnettstedet Tumblr

En bloggpost med ufint innhold har spredd seg til tusenvis av blogger på nettstedet Tumblr.

Hackere postet først posten. Dersom andre påloggede brukere av nettstedet så på denne posten, ble den automatisk postet på brukerens egen blogg. Dette spredte seg så til tusenvis av blogger.

Tumblr opplyser om at de nå har stoppet spredningen av posten. Mye tyder på at det er en XSS (Cross Site Scripting)-svakhet hos Tumblr som har ført til problemet.
Referanser
http://arstechnica.com/security/2012/12/how-a-computer-worm-slithered-across-a-huge-number-of-tumblr-accounts/

Monday, 3 December 2012

2012.12.03 - Nyhetsbrev

Det er publisert en ny teknikk for å lure passordet fra brukere. Kriminelle gjør exploit-kits og infrastrukturen rundt sikrere. Det er oppdaget flere sårbarheter i MySQL.

Ny teknikk for å lure fra deg passord

Ars Technica melder om en ny teknikk for å lure fra deg passord. Angriperen oppretter en web-side hvor det listes opp en rekke passord og annonsere denne. I siden bruker angriperen javascript for å overskrive snarveien CTRL+F (søk). Den besøkende til siden vil typisk trykke CTRL+F for å søke etter sitt eget passord i listen. Dersom han nå gjør det, vil passordet gå rett til angriperen. Angriperen må også lage en søke-boks som klarer å lure brukeren til å tro at det er nettleserens egen.
Referanser
http://arstechnica.com/security/2012/12/how-script-kiddies-can-hijack-your-browser-to-steal-your-password/

Kriminelle gjør exploit-kits og infrastrukturen rundt sikrere

Trend Mikro har en blogg-post om hvordan exploit-kits og hele infrastrukturen rundt dem stadig blir sikrere. Tidligere var ofte serverene som ble brukt i forbindelse med botnett åpne. Nå er de som oftest god sikret og kjøres ikke lengre på hackede servere.

I tillegg har det også blitt vanskeligere å få tak i kildekoden til verktøyene som brukes, siden ting i større grad kjøpes som en tjeneste. Dette gjør det vanskeligere å for sikkerhetsmiljøet å finne ut av hva som foregår.
Referanser
http://blog.trendmicro.com/trendlabs-security-intelligence/news-from-the-underground-toolkitexploit-kit-developments/

0-day sårbarheter i MySQL

Et sett med 0-day sårbarheter er oppdaget i MySQL. Sårbarhetene gjør det mulig å kraskje MySQL og å skaffe seg høyere rettigheter på MySQL databasene. Exploit kode i form av proof of consept er offentliggjort.
Anbefaling
Det finne s for øyeblikket ingen oppdatering som fikser dette. Man kan bytte til MariaDB som er et opensource alternativ kompatibel med MySQL. Ellers handler det om å sikere MySQL best mulig. La den ikke være tilgjengelig fra annet en akkurat de serverene som trenger den.
Referanser
http://www.zdnet.com/vulnerabilities-threaten-to-crash-mysql-databases-7000008194/