Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 27 March 2013

2013.03.27 - Nyhetsbrev

New York Times skriver om det store angrepet mot Spamhaus og Cloudflare, og hvorfor angrep i denne størrelsesorden er bekymringsverdig.

DDoS mot Spamhaus og Cloudflare på 300Gbps

New York Times skriver om det store DDoS angrepet mot Spamhaus, og senere Cloudflare, som toppet seg ved 300Gbps - og at dette er bekymringsverdig. Cloudflare skrev en blogpost om dette for en uke siden, men da var de selv ikke under angrep, og angrepet var ikke like stort.
Referanser
http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html?pagewanted=all&_r=0
http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho

Tuesday, 26 March 2013

2013.03.26 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 25 March 2013

2013.03.25 - Nyhetsbrev

I løpet av helgen har det blitt skrevet om hvordan Teamviewer ble brukt til cyberspionaje, at angrept mot Sør-Korea ikke nødvendigvis var fra Kina, og at gjenbruk av sesjonsIDer i cookies kan føre til overtakelse av kontoer på flere kjente nettsteder. Videre meldes det at Adware er et økende problem på Mac, Apple har slitt, men nå tettet, et alvorlig hull ifbm med reset av passord, og mange SCADA-systemer i Finland er sårbare.

Hvordan TeamViewer ble brukt til spionasje

En artikkel hos Dark Reading beskriver hvordan det lovlige fjernstyringsverktøyet TeamViewer ble brukt til cyberspionasje av TeamSpy.
Referanser
http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240151544/how-teamspy-turned-legitimate-teamviewer-app-into-cyberespionage-tool.html

Cyberangrep i Sør-Korea er kanskje ikke fra Kina likevel

CNET melder om at cyberangrepet i Sør-Korea er spora tilbake til en virtuell Ip-adresse hos en sørkoreansk bank. Samtidig melder Dark Reading at de tapte dataene kan bli gjenoppretta.
Referanser
http://news.cnet.com/8301-1009_3-57575767-83/south-korean-cyberattack-may-not-have-come-from-china/?part=rss&tag=feed&subj=News-Security&Privacy
http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240151559/data-can-be-recovered-from-south-korea-data-wiping-attacks.html

Cookies gjør det mulig å kapre kontoer fra Twitter, Microsoft, LinkedIn og Yahoo

Det er mulig å fange opp cookies fra folk som er pålogga for deretter å bruke dem til "innlogging" etter at den egentlige har logga seg ut. Grunnen er at cookiene bruker samme sesjons-ID flere ganger.
Referanser
http://www.scmagazine.com.au/News/337471,twitter-microsoft-linkedin-yahoo-open-to-hijacking.aspx

Mange sårbare SCADA-system i Finland

Forskere ved universitetet i Aalto i Finland fant 2915 utsatte SCADA-system i landet sitt, som alle var åpne mot Internett. Dette gjelder systemer for bygningsautomatisering og vannforsyning. Blant de ramma bygningssystemene er en bank, et fengsel og et sykehus. I en ny test i mars var 1969 av systemene ennå åpne mot Internett.
Referanser
http://www.theregister.co.uk/2013/03/22/finland_scada_vulnerabilities/

Apple har fikset problem med passord-reset

Apple hadde tidligere denne uken lansert en ny metode for å kunne få passoret sitt tilbake fra en mistet konto, men denne metoden var svært dårlig når man kun trengte brukerens e-post adresse og brukerens fødselsdato. Noe som kan føre til at mange kontoer kunne blitt hacket. Kort tid etterpå dette ble oppdaget tok Apple ned siden og fikset dette hullet i systemet.
Referanser
http://www.theverge.com/2013/3/22/4136242/major-security-hole-allows-apple-id-passwords-reset-with-email-date-of-birth
http://nakedsecurity.sophos.com/2013/03/23/apple-password-reset-hole-found-fixed/

Adware til Mac

En trojaner kalt Yontoo blir Mac-brukere lurt til å laste ned i god tro om at det er en nettleserutvidelse som er nødvendig å spille av videoer på en "filmtrailerside". Adwaren blir installert i Chrome, Firefox og Safari. Den ble oppdaga det russiske sikkerhetsfirmaet Doctor Web. Adware retta mot Mac har vært et økende problem siden starten av 2013, mens det har vært et problem for Windows i årevis.
Referanser
http://www.theregister.co.uk/2013/03/22/mac_specific_adware/

Friday, 22 March 2013

2013.03.22 - Nyhetsbrev

Apple aktiverer to-trinns autentisering for iCloud-tjenesten.

Apple følger Google og andre store aktører på internett, og tilbyr nå to-faktor autentisering for iCloud-tjenesten. Dette tilbys i første omgang til amerikanske brukere.
Referanser
http://arstechnica.com/apple/2013/03/apple-follows-google-facebook-and-others-with-two-step-authentication/

Flere Twitterkontoer til BBC er hacket.

Flere Twitterkontoer til BBC, blant annet BBC Weather, er hacket. De som står bak kaller seg Syrian Electronic Army. BBC melder om at de nå har kontroll på kontoene sine igjen.
Referanser
http://nakedsecurity.sophos.com/2013/03/21/bbc-weather-twitter-account-hackedsyrian-electronic-army/
http://www.itv.com/news/story/2013-03-21/bbc-arabic-weather-ulster-twitter-accounts-hacked-by-pro-assad-syria-supporters/

Brian Krebs skriver om Skype og deres personvern.

Brian Krebs skriver om Skype og deres personvern. Det viser seg at Skype eksponerer brukernes internettadresse ved at man kan linke brukernavn opp mot brukerens internettadresse ved hjelp et utall gratis og kommersielle produkter.
Referanser
http://krebsonsecurity.com/2013/03/privacy-101-skype-leaks-your-location/

Nato har skrevet en håndbok om regler for cyberkrig.

Nato har skrevet en håndbok om regler for cyberkrig hvor det blant annet kommer frem at statlige cyberangrep ikke skal være rettet mot sensitive sivile mål, deriblant sykehus og atomkraftverk.
Referanser
http://www.guardian.co.uk/world/2013/mar/18/rules-cyberwarfare-nato-manual

Thursday, 21 March 2013

2013.03.21 - Nyhetsbrev

Det er funnet nye feil i skjermlåsene til Samsung- og iPhone-telefoner. Crysys Lab har publisert en rapport om en cyberspionasjekampanje kalt TeamSpy. Symantec og Ars Technica skriver om cyberangrep mot Sør Korea. Cisco har en feil i hashingalgoritmen for passord i IOS og IOS XE. Cloudflare har skrevet en blogg-post om et stort DNS-reflection-angrep mot anti-spam-tjenesten Spamhaus.

Nye skjermlåssvakheter funnet i Samsung- og iPhone-telefoner

En sikkerhetsforsker har funnet ut at man kan få tilgang til et en låst Samsung-mobil ved å først late som man som ringe til nødnummer, deretter fort avbryte det. En kan deretter få tid til å trykke på et tegn eller skrive inn ett siffer i et telefonnummer. Svakheten gjelder ikke for andre Android-systemer enn de fra Samsung. Selskapet jobber med å fikse problemet.

Det er også avslørt enda et triks for å løse opp iPhones, etter at Apple patchet det forrige for et par dager siden. Trikset her innebærer å bruke stemmestyring samt å ta ut SIM-kortet til helt riktig tid. Det er ikke enkelt å gjennomføre.
Referanser
http://shkspr.mobi/blog/2013/03/new-bypass-samsung-lockscreen-total-control/
http://www.theregister.co.uk/2013/03/21/another_magic_iphone_unlock_spell/

Crysys Lab skriver om TeamSpy

Crysys Lab har skrevet om malwaren TeamSpy etter å ha blitt gjort oppmerksom på denne av "Hungarian National Security Authority". Dette er en spionasje-operasjon som har pågått siden 2010. Angriperne har blant annet benyttet seg av en omskrevet versjon av det kjente fjernstyringsverktøyet TeamViewer for å utføre spionasjen.
Referanser
http://blog.crysys.hu/2013/03/teamspy/
http://www.crysys.hu/teamspy/teamspy.pdf

Cyberangrep mot Sør-Korea

Symantec har publisert to bloggposter om cyberangrep mot Sør-Korea. Ars Technica har også kommet med en oppsummering.

I de siste dagene har banker og medie-organisasjoner blit utsatt for DDoS-angrep, samt at mange maskiner har fått slettet harddiskene sine. Malwaren har også angrepet og slettet Unix/Linux-maskiner ved å koble seg opp via fjernstyringsverktøyet mRemote fra kompromitterte Windows-maskiner.
Referanser
http://www.symantec.com/connect/blogs/south-korean-banks-and-broadcasting-organizations-suffer-major-damage-cyber-attack
http://www.symantec.com/connect/blogs/remote-linux-wiper-found-south-korean-cyber-attack
http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-cyber-attack/

Svakt krypterte passord i Cisco-maskinvare

Feil i hashingalgoritme for passord i maskinvare fra Cisco førte til at forskere rimelig enkelt kunne dekryptere hashene og komme seg inn i det aktuelle systemet. Egentlig skulle hardwaren salte passordene og kjøre hashing-algoritmen 1000 ganger. I realiteten ble det ingen hashing og kun én iterasjon.
Referanser
http://arstechnica.com/security/2013/03/cisco-switches-to-weaker-hashing-scheme-passwords-cracked-wide-open/

DNS-reflection DDoS-angrep mot Spamhaus

Cloudflare har skrevet en blogg-post om et stort DNS-reflection-angrep mot anti-spam-tjenesten Spamhaus. Denne typen angrep bruker DNS-tjenere som er åpne mot verden (feilkonfigurert) for å forsterke DDoS-angrep og også å skjule angriperen.

På TSOC har vi de siste ukene sett flere angrep av denne typen som vi har håndtert for våre kunder. Det største angrepet var på over 6Gbit/s.
Referanser
http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho

Wednesday, 20 March 2013

2013.03.20 - Nyhetsbrev

Apple er ute med ny versjon av iOS for iPhone og iPad brukere. Google har lagt inn støtte for DNSSEC og Microsoft har gjort installasjon av Service Pack 1 obligatorisk for alle Windows 7 og Windows Server 2008 R2 brukere. Ellers har vi tatt med en artikkel om Chameleon botnettet og hvordan det genererer store inntekter for sine bakmenn, samt en artikkel som avslører at enkelte myndigheter har brukt spionprogramvare til å overvåke organisasjoner de ønsker å ha kontroll på.

Chameleon-botnetet skal ha gitt hele seks millioner dollar i fortjeneste fra nettannonsører

Nettanalytikere har oppdaget et botnet som skal ha gitt bakmennene en fortjeneste på seks millioner dollar i måneden. Dette via automatisert klikking på nettannonser. 120 000 infiserte maskiner har blitt oppdaget og hele 202 nettsider knyttet til svindelen er plassert i USA.
Referanser
http://www.theregister.co.uk/2013/03/19/chameleon_botnet/

Google Public DNS støtter nå DNSSEC-validering

For tre år siden lanserte Google sin tjeneste Public DNS. Nå har de også implementert støtte for validering av DNSSEC. Les referanse for detaljer.
Referanser
http://googleonlinesecurity.blogspot.no/2013/03/google-public-dns-now-supports-dnssec.html

Windows 7 SP1 og Windows Server 2008 R2 SP1 obligatorisk å installere.

Selv om service pack 1 for Windows 7 og Windows Server 2008 har vært tilgjengelige siden 2011, er det først nå de blir obligatoriske. Oppdateringen vil foregå automatisk.
Referanser
https://isc.sans.edu/diary/Windows+7+SP1+and+Windows+Server+2008+R2+SP1+Being+%22pushed%22+today/15433

Spionvare brukt til overvåking av "fiender av staten"

FinFisher, spionprogramvare ment til overvåking av kriminelle for å skaffe bevis i politi-etterforskning har blitt brukt av undertrykkende regimer i Bahrain og Egypt til å overvåke menneskrettighetsaktivister og andre "fiender av staten". Malwaren er utviklet av det engelsk-tyske firmaet Gamma International og skal ha kontrollservere i 25 land.
Referanser
http://www.theregister.co.uk/2013/03/19/finfisher_spyware_apac_countries/

Apple ute med iOS 6.1.3

For ca en måned tilbake ble det oppdaget en svakhet i iOS som gjorde det mulig for en utenforstående å få tilgang til flere av telefonens funksjoner og data ved å fikle med tastelåsfunksjonen. Oppdateringen skal ha adressert denne feilen, men ellers er det lite informasjon ute i skrivende stund om hvilke andre feil som er rettet.
Anbefaling
Installer oppdateringen.
Referanser
http://nakedsecurity.sophos.com/2013/03/19/ios-6-1-3-apple-passcode-bypass/
http://support.apple.com/kb/ht1222

Tuesday, 19 March 2013

2013.03.19 - Nyhetsbrev

NSM har publisert rapport om sikkerhetstilstanden i Norge. Brian Krebs har oppdaget interessante detaljer rundt angrepet mot han i forrige uke.

Brian Krebs har oppdaget interessante detaljer rundt angrepet mot han i forrige uke.


Brian Krebs har oppdaget interessante detaljer rundt angrepet mot hans side og SWAT'ingen han ble utsatt for i forrige uke. Samme angriper står bak et lignende angrep mot en annen sikkerhetsreporter og DOS angrep mot Ars.
Referanser
http://krebsonsecurity.com/2013/03/the-obscurest-epoch-is-today/
http://arstechnica.com/security/2013/03/same-hacker-may-have-targeted-ars-reporter-krebs-and-wireds-honan/

NSM har publisert rapport om sikkerhetstilstanden i Norge


NSM har publisert rapport om sikkerhetstilstanden i Norge. I følge rapporten er ikke Norge godt nok sikret mot trusler på nettet, og Norge og norske interesser blir daglig utsatt for uønsket etteretning.
Referanser
https://www.nsm.stat.no/Aktuelt/Nytt-fra-NSM/Noreg-ikkje-godt-nok-sikra/

Monday, 18 March 2013

2013.03.18 - Nyhetsbrev

Apple patcher OS X. Datakriminelle lurte bevæpnet politi til Brian Krebs. Telenor utsatt for omfattende, organisert industrispionasje. Svakheter i 3G og 4G USB-modemer.

Apple patcher OS X

Apple har lansert årets første sikkerhetsoppdatering til OS X. Oppdateringen fikser flere kritiske svakheter. En av svakhetene gjør det f.eks. mulig å starte Java fra nettleseren, selv om nettleserpluginen er slått av.
Referanser
https://support.apple.com/kb/HT5672
http://arstechnica.com/security/2013/03/apple-purges-os-x-flaw-that-let-java-apps-run-when-plugin-was-disabled/

Datakriminelle lurte bevæpnet politi til Brian Krebs

Brian Krebs, som driver den kjente sikkerhetsbloggen KrebsOnSecurity, har blitt utsatt for såkalt SWATing, der datakriminelle har spoofet hans telefonnummer og ringt inn trusler. Siden hans ble også utsatt for DDoS. Både Ars Technica og Krebs selv beskriver hendelsen i hver sin artikkel.
Referanser
http://krebsonsecurity.com/2013/03/the-world-has-no-room-for-cowards/
http://arstechnica.com/security/2013/03/security-reporter-tells-ars-about-hacked-911-call-that-sent-swat-team-to-his-house/

Telenor utsatt for omfattende, organisert industrispionasje

Telenor har blitt usatt for omfattende og organisert industrispionasje, der flere sjefer i selskapet har fått sine datamaskiner infisert og deretter tappet for informasjon. Saken er anmeldt til Kripos, og Telenor har også varslet Nasjonal sikkerhetsmyndighet ved NorCERT og Cyberforsvaret, som har vært holdt løpende orientert om spionasjen.
Referanser
http://www.aftenposten.no/nyheter/Spionerte-pa-Telenor-sjefer_-tomte-all-e-post-og-datafiler-7149813.html

Svakheter i 3G og 4G USB-modemer

I følge en sikkerhetsforsker er flere kjente 3G og 4G USB-modem en sikkerhetstrussel på grunn av dårlig sikret programvare. Over mye av Europa blir disse modemene solgt med teleoperatørens logo, men maskinvaren er ofte levert av ZTE eller Huawei.
Referanser
http://www.networkworld.com/news/2013/031513-3g-and-4g-usb-modems-267763.html

Friday, 15 March 2013

2013.03.15 - Nyhetsbrev

Brian Krebs har skrevet artikkel om personopplysninger på avveie, noe som førte til at han fikk besøk av politiet. Ars Technica skriver om mysteriet Gauss. Nord-Koera utsatt for cyber-angrep. Kaspersky fikser et IPv6-problem i Kaspersky Internet Security Suite.

Kaspersky fikser et IPv6-problem i Kaspersky Internet Security Suite

Sikkerhetsforskeren Marc Heuse fant ut at KIS fryser maskinen den er installert på, dersom den mottar fragmenterte IPv6-pakker med ekstremt lang extension-header. IPv6 har vært på som standardinnstilling i KIS siden Windows Vista. Kaspersky har nå fikset problemet i en oppdatering.
Referanser
http://www.h-online.com/security/news/item/Kaspersky-fixes-IPv6-problem-in-Internet-Security-Suite-1822839.html

Mysteriet Gauss

Ars Technica har en artikkel om spion-programvaren Gauss og problemene med å få dekodet den for å finne ut av all funksjonaliteten.
Referanser
http://arstechnica.com/security/2013/03/the-worlds-most-mysterious-potentially-destructive-malware-is-not-stuxnet/2/

Nord-Koera utsatt for cyber-angrep

Nord Korea har vært uten Internett-forbindelse deler av onsdag og torsdag. Landet påstår det er USA og Sør Korea som står bak angrepet.
Referanser
http://www.channelnewsasia.com/stories/afp_asiapacific/view/1260121/1/.html

Personlige opplysninger om amerikanere selges billig på nettet

Brian Krebs skriver at det er lett å få tak i personlige opplysninger som kredittrapporter, personnummer, førerkortdata osv. fra diverse nettsteder. Nettkriminelle har hacket flere firmaer som driver med kredittvurdering og selger info fra disse. I de siste dagene har det dukket opp sensitiv informasjon om flere amerikanske kjendiser.

Etter publisering av artikkelen ble siden til Krebs utsatt for DDoS-angrep. Den ble dessuten forsøkt tatt ned ved hjelp av en falsk melding til hosting-leverandøren som ga seg ut for å være fra FBI. Noen ringte også inn en falsk melding til politiet slik at Brian fikk besøk av et SWAT-team.
Referanser
http://krebsonsecurity.com/2013/03/credit-reports-sold-for-cheap-in-the-underweb/

Thursday, 14 March 2013

2013.03.14 - Nyhetsbrev

NISTs sårbarhetsdatabase er hacket.

NIST sårbarhetsdatabase hacket

The National Institute of Standards and Technology's National Vulnerability Database's (NVD) er blitt hacket/infisert, og har vært nede siden fredag. Denne siden/tjenesten tilhører den amerikanske regjering og er offentlig tilgjengelig.
Anbefaling
Referanser
http://www.theregister.co.uk/2013/03/14/us_malware_catalogue_hacked/

Wednesday, 13 March 2013

2013.03.13 - Nyhetsbrev

Microsoft patcher svakheter i Windows, Internet Explorer, Microsoft Silverlight, Microsoft Office og Microsoft SharePoint. Adobe patcher svakheter i Flash og Air.

Cumulative Security Update for Internet Explorer (MS13-021)

Oppdateringen fikser 8 svakheter i Internet Explorer. De kan gi en angriper mulighet til å eksekvere kode på et utsatt system, dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren. Det anbefales å installere denne patchen så fort som mulig.
Anbefaling
Oppdater Internet Explorer
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms13-021

Vulnerability in Silverlight Could Allow Remote Code Execution (MS13-022)

Oppdateringen fikser en svakhet i Microsoft Silverlight som kan gi en angriper muligheten til å eksekvere kode på et utsatt system. For å utnytte svakheten må angriperen lure en bruker til å besøke en nettside som inneholder en spesialdesignet Silverlight-applikasjon.
Anbefaling
Oppdater Microsoft Silverlight
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-022

Vulnerability in Microsoft Visio Viewer 2010 Could Allow Remote Code Execution (MS13-023)

Oppdateringen fikser en svakhet i Microsoft Office. Svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet "Visio"-fil. En angriper som vellykket utnytter svakheten, kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Office
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-023

Vulnerabilities in SharePoint Could Allow Elevation of Privilege (MS13-024)

Denne oppdateringen fikser fire svakheter. Den mest alvorlige kan gi en en bruker utvidede rettigheter på et Sharpoint-site.
Anbefaling
Oppdater Sharepoint
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-024

Sikkerhetsoppdatering for Adobe Flash Player og Air

Oppdateringen fikser flere svakheter der de mest alvorlige kan gi en angriper muligheten til å ta kontroll over en utsatt maskin. Denne oppdateringen retter ikke svakhetene funnet under Pwn2Own-konkurransen. For fullstendig liste over rettede sårbarheter, se referanse. Det er ikke meldt om at noen av svakhetene utnyttes aktivt.
Anbefaling
Oppdater Adobe Flash Player og Air
Referanser
http://www.adobe.com/support/security/bulletins/apsb13-09.html

Svakheter i Microsoft OneNote, Office Outloock for Mac og Microsoft Windows

Det er 3 oppdateringer fra Microsoft denne måneden som er klassifisert som viktige. Svakhetene i Microsoft OneNote og Office Outlook for Mac kan begge gi en angriper muligheten til å tilegne seg informasjon om brukerens system. Svakhetene i Kernel-Mode Drivers i Microsoft Windows gjør at en angriper med en USB-minnepinne med spesiell programvare kan ta kontroll over systemet. Systemet kan kompromitteres ved kun å sette inn USB-minnepinnen.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/MS13-027
http://technet.microsoft.com/en-us/security/bulletin/MS13-026
http://technet.microsoft.com/en-us/security/bulletin/MS13-025
http://arstechnica.com/security/2013/03/new-microsoft-patch-purges-usb-bug-that-allowed-complete-system-hijack/

Tuesday, 12 March 2013

2013.03.12 - Nyhetsbrev

Metasploit slipper modul for å utnytte svakhet i Honeywell Enterprise Buildings Integrator. Det er et sikkerhetshull i flere HP-laserskrivere.

Metasploit slipper modul for Honeywell Enterprise Buildings Integrator (EBI)

Metasploit har sluppet en modul for å utnytte en svakhet i Honeywell Enterprise Buildings Integrator (EBI). Dette er et system for å regulere ventilasjon, lys osv. i større bygninger. Svakheten ligger i en ActiveX-kontroll og kan utnyttes ved å lure en bruker av en kontroll-maskin til å besøke en fiendtlig side.

Svakheten er en påminnelse om ikke å bruk kritiske systemer/maskiner til vanlig "Internett-surfing".
Referanser
https://community.rapid7.com/community/metasploit/blog/2013/03/11/cve-2013-0108-honeywell-ebi

Kritisk sikkerhetshull i HP-laserskrivere

Homeland Security CERT advarer mot svakhet i 10 laserskrivere fra Hewlett-Packard, som gjør at en angriper kan få fjerntilgang til data. Problemet skal stamme fra en svikt i en "telnet debug shell", som kan tillate uautorisert innlogging for å samle data. HP anbefaler oppdatering av firmware for disse LaserJet Pro-skriverne: P1102w, P1606dn, M1212nf, M1213nf, M1214nfh, M1216nfh, M1217nfw, M1218nfs, M1219nf, CP1025nw.
Anbefaling
Last ned oppdatering fra HP.
Referanser
http://threatpost.com/en_us/blogs/hp-cert-warn-critical-hole-laserjet-printers-031113

Monday, 11 March 2013

2013.03.11 - Nyhetsbrev

Forrige versjon av Java utnyttes nå aktivt av exploit-kit. Siste oppdatering ble sluppet for 7 dager siden.

Java 7 update 15 utnyttes i exploit-kits til å spre ransomware

Det meldes nå at Java 7 update 15 utnyttes av Cool Exploit Kit til å spre ransomware. Det er bare et tidsspørsmål før også andre exploit-kits får støtte for utnyttelse av disse svakhetene. Vi anbefaler derfor å oppgradere til Java 7 update 17 så raskt som mulig.
Referanser
http://malware.dontneedcoffee.com/2013/03/cve-2013-1493-jre17u15-jre16u41.html

Friday, 8 March 2013

2013.03.08 - Nyhetsbrev

Microsoft har sluppet sin Advance Notification for denne måneds oppdateringer. Google Chrome, Mozilla Firefox, Internet Explorer, Flash og Java er alle blitt tatt så langt under Pwn2Own på CanSecWest. Google Chrome og Mozilla Firefox har allerede sluppet oppdateringer som fikser svakhetene som ble demonstrert på onsdag.

Microsoft publiserer forhåndsvarsel av oppdateringer for mars

Microsoft melder at de kommer til å slippe 7 oppdateringer tirsdag 12. mars. Oppdateringene som slippes vil rette svakheter i Windows, Windows Server, Windows RT, Office, Silverlight og SharePoint, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 4 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-mar

Flash, Adobe Reader tatt i Pwn2Own

I går falt også Flash og Adobe Reader under Pwn2Own, samt Java er blitt tatt for fjerde gang under årets Pwn2Own. Fra før var Google Chrome, Mozilla Firefox og Internet Explorer tatt.
Referanser
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157

Google oppdaterer chrome

Google har sluppet en oppdatering til Google Chrome som fikser svakheten som ble utnyttet i pwn2own på CanSecWest.
Anbefaling
Oppdater
Referanser
googlechromereleases.blogspot.no/2013/03/stable-channel-update_7.html

Mozilla har sluppet oppdatering til Firefox

Mozilla har sluppet en oppdatering til Firefox som fikser svakheten som ble demonstrert under Pwn2Own på CanSecWest.
Anbefaling
Oppdater
Referanser
https://www.mozilla.org/security/announce/2013/mfsa2013-29.html

Thursday, 7 March 2013

2013.03.07 - Nyhetsbrev

Verifiserte Google Play utviklerkontoer omsettes for $100 pr stk i kriminelle miljøer.
Pwn2Own er i gang under den årlige sikkerhetskonferansen CanSecWest i Canada. Java ble knekket 3 ganger på en dag.

Java knekket tre ganger på en dag

Digi melder om at Java ble knekket tre ganger på en dag under den årlige hackerkonkurransen Pwn2Own under sikkerhetskonferansen CanSecWest i Vancover Canada. Fokus i år er sikkerhet, eller manglende sikkerhet i nettleser og nettleser-plugins.
Referanser
http://www.digi.no/912928/java-knekket-tre-ganger-paa-en-dag

Kriminelle kjøper utviklerkontoer for Google Play.

Krebs on Security melder at kriminelle forsøker å kjøpe opp verifiserte utviklerkontoer for Google Play. Prisen per konto ligger i dag på rundt 100 USD,
Referanser
http://krebsonsecurity.com/2013/03/mobile-malcoders-pay-to-google-play/

Wednesday, 6 March 2013

2013.03.06 - Nyhetsbrev

Ny type phishing-mail er vanskelig å oppdage. Låseskjermen på Samsung Galaxy SIII kan omgås. Vi har publisert en oppsummering av nyhetsbildet for februar på bloggen vår. Spam med malware ga seg ut for å være fra Telenor. MiniDuke var aktiv i nesten to år.

Ny type phishing-mail er vanskelig å oppdage

Mer enn 1 av 10 personer som mottar denne nye typen phishing-mail blir lurt av dem. Disse epostene er skreddersydd for mottageren og vil ofte omgå normale deteksjonsmetoder. De har også varierende innhold for å gjøre det vanskeligere å oppdage dem. Angriperene vil i tillegg sende ut store mengder eposter, noe som fører til at svært mange maskiner blir kompromittert.

Et phishing-angrep fra Russland bestod av 135 000 eposter sendt fra 28 000 forskjellige IP-addresser. Disse epostene pekte til normale nettsider som hadde blitt kompromittert i forkant. Epostene ble sendt til 80 forskjellige firmaer og ettersom det var stor variasjon i innholdet oppdaget ingen firmaer mer enn 3 identiske eposter. Dette betyr at epostene hadde stor sannsynlighet for å omgå alle sikkerhetstiltak og førte trolig til at en rekke ansatte fikk sine maskiner infisert.
Referanser
http://www.theregister.co.uk/2013/03/04/longlining_phishing/

Låseskjermen på Samsung Galaxy SIII kan omgås

Det er oppdaget en svakhet som gjør at en kan få tilgang til låste Samsung Galaxy SIII-telefoner. Trikset må ofte gjentas noen ganger før det virker. Det ble rapportert om en lignende svakhet i Apple iOS for for bare noen dager siden.
Referanser
http://www.zdnet.com/bug-allows-complete-lock-screen-bypass-on-samsung-galaxy-s-iii-7000012173/

Oppsummering nyhetsbildet innen datasikkerhet februar 2013

Vi har publisert en oppsummering av nyhetsbildet for februar på bloggen vår.
Referanser
http://telenorsoc.blogspot.no/2013/03/oppsummering-nyhetsbildet-februar-2013.html

Spam med malware ga seg ut for å være fra Telenor

I går mottok mange i Norge en spam-epost som utga seg for å være fra Telenor. Eposten inneholdt et vedlegg som skulle være en MMS-melding, men som var malware. E-posten var godt utformet og skrevet på godt norsk, noe som kan ha ført til at ekstra mange ble lurt. Se artikkelen fra TV2 eller vår Facebook-side for detaljer.
Referanser
http://www.tv2.no/nyheter/innenriks/telenor-advarer-mot-mmsvirus-4001773.html
https://www.facebook.com/TelenorSOC

MiniDuke var aktiv i nesten to år

TheRegister har mer informasjon om malwaren MiniDuke som ble brukt for å spionere på mål i Europa.
Referanser
http://www.theregister.co.uk/2013/03/05/miniduke_early_variant/

Tuesday, 5 March 2013

2013.03.05 - Nyhetsbrev

Oracle slippe nok en hasteoppdatering til Java. NSM har sluppet sin kvartalsrapport.

Hasteoppdatering for Java

Oracle gir ut nødoppdatering for Java som skal fikse to kritiske sikkerhetssvakheter som blir aktivt utnyttet. Siste versjon er etter oppdateringen versjon 7 update 17.

Et polsk sikkerhetsfirma melder imidlertid at de allerede har funnet flere nye svakheter som gjør at de kan utnytte også denne siste versjonen.
Referanser
https://threatpost.com/en_us/blogs/oracle-rushes-emergency-java-update-patch-mcrat-vulnerabilities-030413
http://threatpost.com/en_us/blogs/prompted-oracle-rejection-researcher-finds-five-new-java-sandbox-vulnerabilities-030413
http://www.digi.no/912761/last-ned-nodfiks-til-java

Norske selskaper utsatt for dataspionasje

Nasjonal sikkerhetsmyndighet har gitt ut sin kvartalsrapport der det kommer frem at det har vært dobbelt så mange alvorlige tilfeller av dataspionasje i 2012 i forhold til 2011. Angrepene er hovedsakelig rettet mot forsvaret, olje og gass, energi, styresmaktene og høyteknologisk industri. Eiliv Ofigsbø fra NSM bekrefter ovenfor TV 2 at det finnes konkrete eksempler der norske firmaer har tapt kontrakter i etterkant av dataspionasje. En rekke av angrepene skal komme fra Kina og Eiliv forteller at det er viktig at norske bedrifter tar de nødvendige skrittene for å beskytte seg mot slike angrep.
Referanser
https://www.nsm.stat.no/Documents/NorCERT/2012/Q4-12-NORCERT_web.pdf
http://www.tv2.no/nyheter/innenriks/kina-staar-bak-over-20-alvorlige-dataangrep-mot-norge-4000214.html

Monday, 4 March 2013

2013.03.04 - Nyhetsbrev

Evernote er blitt hacket, og innloggingsdetaljer til 50 millioner brukere er på avveie. I tillegg er har cPanel blitt kompromittert, og Adi Shamir har gjort seg noen tanker anngående kryptering i framtiden.

cPanel kompromittert

Det meldes om at cPanel skal ha blitt kompromittert, og blant annet annet enkelte brukeres root-passord skal være på avveie. Kompromitteringen skal ha startet med at en av de som jobbet med support fikk sin klient kompromittert, og de skal derfra ha fått tilgang til en server som ble brukt til å logge ut på kunders systemer.
Referanser
http://cpanel.net/cpanel-inc-announces-additional-internal-security-enhancements/
http://nakedsecurity.sophos.com/2013/03/01/cpanel-suffers-break-in-loses-root-passwords

Evernote hacket

Evernote, firmaet bak en notat-app med samme navn, har blitt hacket. De oppdaget unormal trafikk den 28. februar og det ble etter hvert klart at hackere hadde fått tak i brukernavn, epost og passord til 50 millioner brukere. Firmaet har nå tilbakestilt passordene til samtlige brukere. Passordene var hashet, men det er uklart på hvilken måte. Dersom man bruker samme passord på andre nettsider anbefales det å endre dem så raskt som mulig.
Referanser
http://blog.evernote.com/blog/2013/03/02/security-notice-service-wide-password-reset/
http://evernote.com/corp/news/password_reset.php

Forbered deg på "post-krypto verden", advarer krypteringsguru

Adi Shamir mener at i dagens samfunn er kryptering mindre effektivt enn hva det var for noen tiår tilbake. Malware kan i dag komme seg inn på de sikreste datamaskiner og dermed lese dataene ukryptert før krypteringen finner sted. (Adi Shamir regnes som en guru innen kryptering og er S'en i RSA.)
Referanser
http://www.theregister.co.uk/2013/03/01/post_cryptography_security_shamir/

Friday, 1 March 2013

2013.03.01 - Nyhetsbrev

Ny 0-day svakhet i Java utnyttes.

Java utnyttes nok en gang i 0-day angrep

Java brukes nok en gang til å kompromittere maskiner. Exploiten funker mot de siste versjonene av Java som er Java v1.6 Update 41 og Java v1.7 Update 15.

Foreløpig virker det som om svakheten utnyttes til målrettede angrep. Utnyttelse av svakheten er også noe vanskeligere denne gangen og exploiten er ikke 100% effektiv.

Vi anbefaler å avinstallere Java dersom mulig. Dersom dette ikke er mulig bør Java-plugin fjernes fra browseren.
Referanser
http://blog.fireeye.com/research/2013/02/yaj0-yet-another-java-zero-day-2.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/