Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 31 July 2013

2013.07.31 - Nyhetsbrev

Google har oppdatert Chrome og byttet til 2048-bits sertifikater. Trendmicro blogger om utvidelsespakker til nettlesere som prøver å stjele brukernavn og passord. Honeynet har lagd en interesant visualisering av malware-aktivitet, og Expiro-viruset er kommet i 64-bits versjon. Til slutt tar vi med at noen har klart å få en USB pinne til å forbipassere Windows autorun beskyttelse.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.no/2013/07/stable-channel-update_30.html

Google oppgraderer fra 1024 bits til 2048 bits sertifikater

Google er ifølge utviklerbloggen sin i ferd med å gå fra 1024 bits til 2048 bits sikkerhetssertifikater. De skal også endre på sertifikatkjeden sin. Det vil ta noen få måneder og vil øke sikkerheten til Google og deres brukere på Internett.
Referanser
http://googledevelopers.blogspot.no/2013/07/google-certificates-upgrade-in-progress.html

Chrome for iOS oppdatert

Nettleseren Chrome for iOS har blitt oppdatert til versjon 28.0.1500.16. Blant anna har innebygd videoavspilling har blitt forbedra i iOS 5.1.
Referanser
http://googlechromereleases.blogspot.no/2013/07/chrome-for-ios-update_30.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+GoogleChromeReleases+%28Google+Chrome+Releases%29

Ny 64-bits versjon av "Expiro" viruset

En ny versjon av "Expiro" viruset kan infisere både 32- og 64- bits filer.
Referanser
http://www.welivesecurity.com/2013/07/30/versatile-and-infectious-win64expiro-is-a-cross-platform-file-infector/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

Falsk nettleser utvidelsespakke sjeler kontoer til sosiale-media

Falske utvidelser til Chrome og Firefox prøver å stjele Facebook, Google+ og TWitter kontoer.
Referanser
http://blog.trendmicro.com/trendlabs-security-intelligence/malware-hijacks-social-media-accounts-via-browser-add-ons/

Visualisering av malware aktivitet

Visualisering av malware aktivitet på værdenskartet.
Referanser
https://www.honeynet.org/node/1075

USB pinne fobipasserer Windows autorun beskyttelse

Ved å lure Windows til å tro USB pinnen er for eksempel et tastatur, klarer den å eksekvere kode.
Referanser
http://blog.webroot.com/2013/07/30/custom-usb-sticks-bypassing-windows-78s-autorun-protection-measure-going-mainstream/

Tuesday, 30 July 2013

2013.07.30 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.


Monday, 29 July 2013

2013.07.29 - Nyhetsbrev

Den amerikanske regjeringen krever utlevering av brukerpassord hos store internettselskaper. Vitenskapelig artikkel som avslører svakheter i Megamos Crypto stoppet av retten. ISC Diary har en artikkel om forsvar mot tjenesteangrep.

Den amerikanske regjeringen krever utlevering av brukerpassord hos store internettselskaper

Den amerikanske regjeringen har krevd at store internettselskaper gir dem brukernes lagrede passord.
Referanser
http://news.cnet.com/8301-13578_3-57595529-38/feds-tell-web-firms-to-turn-over-user-account-passwords/

Vitenskapelig artikkel som avslører svakheter i Megamos Crypto stoppet av retten

Flavio Garcia, en britisk forsker, har funnet svakheter i Megamos Crypto systemet som brukes i flere lukseriøse biler til å identifisere hvilken nøkkel som tilhører bilen. Det skal være mulig å bryte dette systemet og stjele biler av merkene Porche, Lamborghini, Audi og Bentley. Volkswagen som eier disse merkene har derfor gått rettens vei for å stoppe artikkelen fra å bli publisert. Garcia sier at det offentlige har rett til å vite at bilene er usikre og mener at kriminelle allerede vet at de er det.
Referanser
http://www.guardian.co.uk/technology/2013/jul/26/scientist-banned-revealing-codes-cars

Forsvar mot tjenestenektangrep

En leser hos ISC Diary beskrev i forrige uke et merkelig DoS-angrep mot en Apache web server på port 80. Artikkelen til ISC Diary forklarer en mulig løsning på angrepet som kom fra totalt 4 millioner IP-adresser. Løsningen er ikke perfekt og det diskuteres i kommentarene tilhørende artikkelen rundt bedre løsninger.
Referanser
https://isc.sans.edu/diary/Defending+Against+Web+Server+Denial+of+Service+Attacks/16240

Friday, 26 July 2013

2013.07.26 - Nyhetsbrev

Symatech har rettet alvorlige feil i Web Gateway, fem personer har blitt anklagd for å stå bak flere datainnbrudd og en ny banktrojaner har blitt lagt ut for salg på russisk forum.

Fem menn anklagd for omfattende data-innbrudd

Fem menn fra Russland og Ukraina har blitt anklagd for å ha brutt seg inn i datasystema til Nasdaq, Visa, J.C. Penney, 7-Eleven, JetBlue Airways og andre selskap. Hackingen varte fra 2005 til 2012. De stjal 160 millioner kreditt- og debetkortnummer samt 300 millioner dollar.
Referanser
http://news.cnet.com/8301-1009_3-57595482-83/feds-accuse-five-men-of-largest-u.s-hacking-scheme/?part=rss&tag=feed&subj=News-Security&Privacy

KINS - en ny banktrojaner

En ny banktrojaner, KINS, skal være lett å sette opp med få tekniske kunnskaper og koster 5000 dollar i de kriminelle miljøene. Den har mange fellestrekk i arkitekturen med ZeuS og SpyEye. Den sprer seg med populære exploit-pakker som Neutrino. KINS kan infisere Windows 8 og andre 64-bits operativsystem.
Referanser
http://www.theregister.co.uk/2013/07/25/kins_banking_trojan/

Svakheter i Symantec Web Gateway

Symantec har rettet opp flere feil i deres Symantec Web Gateway, og ber alle om å oppgradere. Svakheten kan føre til ekstern kodeeksekvering.
Anbefaling
Oppdater til siste versjon
Referanser
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20130725_00

Thursday, 25 July 2013

2013.07.25 - Nyhetsbrev

Microsoft ute med ny service pack til Office 2010 og SharePoint 2010, HPs LoadRunner påståes å ha svakheter som muligjør både DDoS og kodeeksekvering, mens FBI og NSA prøver å få tak i krypteringsnøkler fra de fleste Internettselskaper. For Android skjer det også mye nytt: 4.3 er lansert med sterkere sikkerhet, samtidig som kjent sårbarhet utnyttes i Kina, og Bitdefender skriver om hvilken form for malware som er vanligst på platformen.

Microsoft publiserer Service Pack 2 for Office 2010 og SharePoint 2010

Søndag lanserte Microsoft Service Pack 2 for Office 2010 og SharePoint 2010. Begge oppdateringene bedrer stabilitet og ytelse i tillegg til å fikse noen sikkerhetsproblemer.
Referanser
http://redmondmag.com/articles/2013/07/23/office-2010-sp2.aspx

"Master key"-sårbarhet i Android utnyttes i praksis

"Master key"-sårbarheten som ble funnet i Android for kort tid siden, utnyttes nå til å gjøre om kinesiske legetime-applikasjoner til trojanere. Disse finnes bare på kinesiske nettbutikker for Android-applikasjoner, ikke på Google Play.
Referanser
http://www.securityweek.com/first-malicious-apps-targeting-android-master-key-vulnerability-found-wild

Android-trusler tenderer mot bankdata-innbrudd og ransomware

Ifølge sikkerhetsprogramvarefirmaet Bitdefender er fremdeles SMS-basert malware mest vanlig for Android, men mer avansert malware er i oppgang. ZitMo fanger opp og videresender SMS-er med informasjon relatert til banktransaksjoner. Ransomware, som minner om tilsvarende løsepenge-innkrevere for PC, blir også stadig mer vanlig for Android.
Referanser
http://www.v3.co.uk/v3-uk/news/2284511/android-threats-shifting-to-banking-and-ransomware

FBI og NSA ønsker kypteringsnøkler fra Internettselskaper

Det rapporteres fra flere hold om FBI og NSA har lenge ønsket tilgang til krypteringsnøkler fra flere større og mindre Internetselskaper, for å kunne dekryptere kommunikasjon som disse selskapets kunder foretar seg. Mange av disse selskapene har nektet, men det spekuleres i om mindre aktører ikke har hatt mulighet.
Referanser
http://news.cnet.com/8301-13578_3-57595202-38/feds-put-heat-on-web-firms-for-master-encryption-keys/

Potensielle svakheter i HP LoadRunner

Flere mulige svakhetter i HPs LoadRunner funnet. Disse rangerer i fra svakheter som muligjør DoS-angrep til svakheter som muliggjør ekstern kodeeksekvering.
Referanser
https://h20566.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?spf_p.tpst=kbDocDisplay&spf_p.prp_kbDocDisplay=wsrp-navigationalState%3DdocId%253Demr_na-c03862772-1%257CdocLocale%253D%257CcalledBy%253D&javax.portlet.begCacheTok=com.vignette.cachetoken&javax.portlet.endCacheTok=com.vignette.cachetoken

Android 4.3 kommer med sikkerhetspakken SELinux

Sikkerhetsoppdatering til Android 4.3 inkuderer sikkerhetspakken SELinux.
Referanser
http://arstechnica.com/security/2013/07/google-strengthens-android-security-muscle-with-nsa-developed-protection/

Wednesday, 24 July 2013

2013.07.24 - Nyhetsbrev

Mulighet for å hacke RFID over lengre distanse, ellers rolig døgn.

RFID leser med lengere rekkevidde

Fran Brown utviklet ny måte å hacke RFID-brikker med en rekkevidde på opptil en meter.
Referanser
http://threatpost.com/long-range-rfid-hacking-tool-to-be-released-at-black-hat/101448

Tuesday, 23 July 2013

2013.07.23 - Nyhetsbrev

Wired skriver om operasjon Open Market, ellers har det vært er rolig døgn.

Operation Open Market fører til en rekke tiltaler

En Secret Service agent som ga seg ut for å være en forfalsker skal i perioden 2007 til 2011 ha solgt falsk identifikasjon til cyberkriminelle og samtidig samlet informasjon om flere kriminelle miljøer. Ved å lage veldig god falsk identifikasjon skal han ha fått et godt rykte i undergrunnsmiljøet. Identifikasjonen ble solgt igjennom et nettsted og totalt 55 kriminelle har blitt siktet i 10 land for en rekke handlinger. I følge beregninger fra Wired skal agenten ha solgt falsk identifikasjon til 110 kunder totalt.
Referanser
http://www.wired.com/threatlevel/2013/07/open-market/

Monday, 22 July 2013

2013.07.22 - Nyhetsbrev

Det har blitt oppdaget en svakhet i SIM-kort som muliggjør installasjonen av ondsinnet programvare via SMS. Både Apple Developer Center og Ubuntu Forums har blitt hacket. Oracle har også oppdatert Java, som retter 40 svakheter.

Svakhet oppdaget i SIM-kort

Den tyske forskjeren Karsten Nohl har publisert informasjon rundt en alvorlig svakhet i SIM-kort. svakheten gjør det mulig å sende ondsinnet SIM-applikasjoner til en mobiltelefon ved å lage en spesielt utformet SMS-melding. En slik applikasjon kan i sin tur anvendes for å overvåke brukeren eller til å utføre transaksjoner som belastes brukeren. Nohl sier også at kun SIM-kort som benytter DES for kryptering er rammet. SIM-kort som benytter nyere krypteringsalgoritmer er ikke rammet av denne svakheten.
Mer informasjon vil bli publisert under Blackhat 2013-konferansen
Referanser
http://www.forbes.com/sites/parmyolson/2013/07/21/sim-cards-have-finally-been-hacked-and-the-flaw-could-affect-millions-of-phones/
http://www.blackhat.com/us-13/briefings.html#Nohl

Ubuntu Forums hacket

Linux-nettforumet Ubuntu Forums har blitt tatt ned for vedlikehold. Grunnen er at noen har brutt seg inn i system og stjålet alle brukernavn, passord og epostadresser. Passordene er ikke lagra i klartekst, men det er likevel sterkt anbefalt å skifte passord alle andre steder der man har brukt det samme passordet.
Referanser
http://ubuntuforums.org/announce.html

Apples Developer Center stenges midlertidig.

Apple har midertidig stengt tjenesten Developer Center på grunn av et datainnbruddsforsøk. I følge en e-post som har blitt sendt til alle brukere av tjenesten, gjør de dette intil de har fått forbedret sikkerheten til tjenesten. Apple har enda ikke sakt når tjenesten kan forventes gjenåpnet.
Referanser
http://www.theregister.co.uk/2013/07/22/apple_pulls_dev_centre_after_intrusion_attempt/

Java oppdatert, retter 40 sårbarheter

Oracle har oppdatert Java, og skriver i en bloggpost at denne retter opp 40 forskjellige svakheter. 37 av disse er markert kritisk, da de kan utnyttes fra et eksternt ståsted, uten noen form for autentisering.
Anbefaling
Oppdatert til siste versjon
Referanser
https://blogs.oracle.com/security/entry/june_2013_critical_patch_update

Friday, 19 July 2013

2013.07.19 - Nyhetsbrev

Brian Krebs har publisert en artikkel om bitcoin-mining, og Securi Research har publisert detaljer om en PHP-bakdør som skjuler deler av koden i EXIF-headere.

Bakdør gjemt i JPG EXIF-headere

Securi Research har oppdaget en PHP-bakdør som skjuler deler av koden i EXIF-headere i en allerede eksisterende JPG-bildefil på en webserver. Dette brukes for å skjule bakdøren slik at den ikke skal vekke mistanke, og vil legges til av angriper på en kompromittert webserver for å få tilgang igjen senere. Se referanse for å se hvordan dette fungerer i detalj.
Referanser
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

Brian Krebs har skrevet en artikkel om Bitcoin-mining med botnet

Sikkerhetsekspert Brian Krebs har sett har sett nærmere på en gruppering som kaller seg FeodalCash, som benytter "pay-per-install" programmer til å distribuere "bitcoin-mining programvaren" sin i stor stil. Se referanse for hele Brian Krebs artikkel.
Referanser
http://krebsonsecurity.com/2013/07/botcoin-bitcoin-mining-by-botnet/

Thursday, 18 July 2013

2013.07.18 - Nyhetsbrev

Ransomware som hevder å være fra FBI har kommet til OS X, og ny svakhet i Android har blitt funnet av kinesiske forskere. Google eksperimenterer med kryptering av filer som lagres i nettskytjenesten Google Drive. Det meldes også om svakheter i Cisco Unified Communications Manager og Cisco Intrusion Prevention System.

FBI-ransomware sprer seg til OS X-maskiner

Ransomware har over lengre tid blitt brukt til å presse PC-brukere for penger. Dette gjøres ofte ved bruk av skremselstaktikker som for eksempel påstander om brudd på opphavsretten eller ved å påstå at brukeren har surfet til en ulovlig nettside. Deretter låses maskinen ned og brukeren blir forsøkt lurt til å betale penger for å låse den opp igjen. Dette har tidligere stort sett bare vært et problem for brukere av PC, men nå viser det seg at det også spres en versjon rettet mot Apples operativsystem Mac OS X.
Referanser
http://blog.malwarebytes.org/intelligence/2013/07/fbi-ransomware-now-targeting-apples-mac-os-x-users/

Google eksperimenterer med krypteringsfunksjonalitet til Google Drive

CNET melder at Google nå eksperimenterer med kryptering av filer som lagres i nettskytjenesten deres Google Drive. Dette skal gjøre det mulig for brukerne å lagre filene sine sikkert i nettskyen.
Referanser
http://news.cnet.com/8301-13578_3-57594171-38/google-tests-encryption-to-protect-users-drive-files-against-government-demands/

Ny verifiseringssvakhet funnet i Android

Kinesiske forskere har funnet en ny svakhet i Android som gjør at angripere kan omgå verifisering. Den skal ligne på "master key"-hullet som nylig ble oppdaget for Android. Detaljer om hvordan den nyeste svakheten fungerer kan leses i referanse.
Referanser
http://nakedsecurity.sophos.com/2013/07/17/anatomy-of-another-android-hole-chinese-researchers-claim-new-code-verification-bypass/

Cisco Unified Communications Manager med flere svakheter

Cisco Unified Communications Manager inneholder flere svakheter som sammen utgjør en sikkerhetsrisiko der et potensielt angrep kan gi angriper full tilgang over systemet og dermed kjøre vilkårlig kode. Cisco har rettet feilene og kommet med patcher.
Anbefaling
Oppgrader til feilfri versjon
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm

Cisco Intrusion Prevention System inneholder flere svakheter

Cisco Intrusion Prevention System inneholder flere svakheter som potensielt kan føre til tjenestenekt av systemet og dermed sette det ut av spill. Cisco har kommet med patcher som retter svakhetene.
Anbefaling
Oppgrader til siste versjon
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-ips

Wednesday, 17 July 2013

2013.07.17 - Nyhetsbrev

Oracle har sluppet sin kvartalsoppdatering. Det er oppdaget kritiske svakheter i en rekke ASUS-rutere. Backup på Android-telefoner overfører Wi-Fi-passord i klartekst til Google. Mac-malware skjuler at filen er kjørbar ved hjelp av unicode.

Oracle har sluppet oppdateringer for juli

Oracle har publisert kvartalsoppdateringer for en rekke produkter. Blant produktene som oppdateres er Oracle Database og MySQL. Publiseringen inneholder ingen oppdateringer for Java, men Oracle planlegger å inkludere oppdateringer for Java i fremtidiger kvartalsoppdateringer. Neste kvartalsoppdatering er planlagt publisert i oktober. Anbefaler alle å oppdatere hvis mulig. For mer informasjon, se referanse.
Referanser
http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html

Mac-malware med baklengs filetternavn

Mac-malwaren Junicab skjuler at den er en kjørbar fil ved å bruke Unicode-tegnet som får andre tegn til å komme i motsatt rekkefølge. Dette gjør at filen "RecentNews.fdp.app" framstår som "RecentNews.ppa.pdf". Malwaren selv tar opp lyd og skjermbilder og sender disse til kontrollservere.
Referanser
http://www.theregister.co.uk/2013/07/16/backtofront_mac_malware/

Kritisk svakhet i flere ASUS-rutere

En kritisk svakhet i 11 forskjellige ASUS-rutermodeller der ruteren kan bli fjernstyrt slik at angriper får full kontroll over den. Svakheten liggen i AiCloud-mediaserveren. Hvis det er aktivert, kan uautoriserte brukere få tilgang til kritiske systemfiler over Internett. Blant dem er filer med tilgangsinformasjon for ruteren i klartekst. Disse kan bli brukt til å få tak i personlige filer som er i enheter kobla til en av ruterens USB-porter. Angripere kan da også fange opp trafikk som går gjennom ruteren.

Dette gjelder modellene RT-AC66R, RT-AC66U, RT-N66R, RT-N66U, RT-AC56U, RT-N56R, RT-N56U, RT-N14U, RT-N16 og RT-N16R.

ASUS sier at oppdateringer er tilgjengelige for RT-AC66U og RT-N66U. Oppdateringer til andre rutere skal komme snart. I mellomtida anbefaler ASUS at AiCloud blir skrudd av.
Referanser
http://www.h-online.com/security/news/item/Critical-vulnerabilities-in-numerous-ASUS-routers-1918469.html

Android Wi-Fi-passord lagres i klartekst på Google-servere

Hvis man velger å skru på automatisk sikkerhetskopiering av data på en Android-telefon, lagres passord til trådløse nettverk ukryptert på Google sine servere. Alle med tilgang til en bestemt Google-konto har tilgang til Wi-Fi-passord som kontoens enheter har blitt koblet til. Får noen tak i brukernavn og passord til en annens Google-konto, kan altså inntrengeren logge seg inn på alle Wi-Fi-nettverk som brukeren har tilgang til.
Referanser
http://www.h-online.com/security/news/item/Android-and-its-password-problems-open-doors-for-spies-1918596.html

Tuesday, 16 July 2013

2013.07.16 - Nyhetsbrev

Flere kjente nettsteder gjenbruker Cookies, deriblant Office365.com fra Microsoft. I tillegg har det kommet ut en ny type ransomeware.

Fremdeles gjenbruk av cookies i Office 365 og andre nettjenester

I en blogg blir det demonstrert hvor enkelt man kan gjenbruke cookies i Office 365. Ved å eksportere cookie når man er pålogga, deretter logge ut og så importere cookien igjen, har man logga seg inn på nytt. Dette er problematisk når en vet hvor lett det er å stjele en cookie. Microsoft ble oppmerksomme på problemet i fjor, men ser ut å synes at dette sikkerhetsnivået er greit. Andre tjenester med dette problemet er Yahoo mail, Twitter, LinkedIn, Amazon, eBay og Wordpress.
Referanser
http://samsclass.info/123/proj10/cookie-reuse.htm

Ransomware bruker spørreskjema

Det har kommet en ny type ransomware som kombinerer blokkering av applikasjoner med at offeret blir tvunget til å fylle ut et spørreskjema. Malwaren sperrer Oppgavebehandler, CMD, Regedit og startmenyen i Windows.
Referanser
http://www.theregister.co.uk/2013/07/15/ransomware_survey_scam_hybrid/

Monday, 15 July 2013

2013.07.15 - Nyhetsbrev

Det er blitt publisert en studie på hvordan brukere responderer på advarslene som presenteres av Mozilla Firefox og Google Chrome. Det rapporteres også om at Amazons 1Button-applikasjon rapporterer inn dine surfebevegelser, og Cloudflare har publisert en kort innføring i TLS og den siste RC4-svakheten.

Amazon-knapp sender brukerdata i klartekst

Det rapporteres om at nettbutikken Amazons 1Button-applikasjon rapporterer inn alle nettsider du besøker til Amazon. Den samler også innhold fra noen nettsider som brukere besøker og sender til Alexa i klartekst over HTTP. Dette inkluderer nettsøk i Google og de 10 første søkeresultatene. Dette fungerer også på nettsider som bruker HTTPS.

I tillegg ble konfigurasjonen til pluginen hentet ned via HTTP, noe som gjorde det relativt enkelt ved hjelp av MITM-angrep (Man In The Middle) å få pluginen til å rapportere inn innhold fra vilkårlige HTTPS-sider ved å presentere pluginen for falske konfigurasjonsfiler. Dette skal være fikset, og disse hentes nå ned via HTTPS.
Referanser
http://blog.kotowicz.net/2013/07/jealous-of-prism-use-amazon-1-button.html
http://www.theregister.co.uk/2013/07/15/amazon_button_leaked_user_traffic/

Studie på nettleseradvarsler publisert

Studien er basert på i overkant av 25 millioner advarsler som er blitt presentert for brukere av nettleserne Mozilla Firefox og Google Chrome, og er blitt gjennomført av University of California i Berkeley og Google.

Undersøkelen viser at mindre enn 25 prosent av brukerne klikket seg videre når de ble advart om at nettsiden inneholdt malware eller phishing.

På SSL-advarsler var det relativt sprikende resultater, som trolig skyldes de ulike måtene de håndteres av Google Chrome og Mozilla Firefox. Resultatene kunne også tyde på at utformingen og hvilken informasjon som blir presentert brukeren hadde en relativt stor effekt.
Referanser
http://threatpost.com/uc-berkeley-study-confirms-browser-security-warnings-proving-effective/101266
http://www.cs.berkeley.edu/~devdatta/papers/alice-in-warningland.pdf

Cloudflare poster artikkel om TLS

Cloudflare har på sin blogg postet en artikkel om TLS. I den gir de en kort innføring i TLS og hvordan de bruker TLS. I tillegg skriver de også om en ny metode for å angripe RC4 som nylig ble publisert.
Referanser
http://blog.cloudflare.com/staying-on-top-of-tls-attacks

Friday, 12 July 2013

2013.07.12 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.


Thursday, 11 July 2013

2013.07.11 - Nyhetsbrev

HP innrømmer om en hemmelig bakdør i et av sine produkter, mens VideoLAN og Secunia diskuterer ansvaret i sårbarhetsrapporter.

Hewlett-Packard innrømmer at lagringsprodukter har bakdør.

HP innrømmer at det er en udokumentert administrator konto på deres StoreVirtual produkter. De sier også at denne sårbarheten kan bli utnyttet til å få kontakt med disse enhetene utenfra. HP lover at en oppdatering, som fikser denne sårbarheten, blir gitt ut innen 17 Juli.
Referanser
http://www.theregister.co.uk/2013/07/11/hp_prepping_fix_for_latest_storage_vuln/

VideoLAN (VLC) og Secunia krangler over sårbarhetsrapporter

VideoLAN, som utgir den populære mediaspilleren VLC, og Secunia er uenige om hvem som har ansvaret for oppdateringene i tredjeparts biblioteker. VideoKAN mener at Secunia må sende varslingen til tredje parten, mens Secunia mener at ansvaret ligger hos VideoLAN for å fikse denne sårbarheten.
Referanser
http://it.slashdot.org/story/13/07/10/1520245/vlc-and-secunia-fighting-over-vulnerability-reports
https://secunia.com/blog/372
http://www.jbkempf.com/blog/post/2013/More-lies-from-Secunia

Wednesday, 10 July 2013

2013.07.10 - Nyhetsbrev

Seks kritiske og en viktig oppdatering fra Microsoft. Google oppdaterer Chrome.

Seks kritiske og en viktig oppdatering fra Microsoft

Microsoft har i dag kommet med syv sikkerhetsoppdateringer der seks av disse er rangert som kritiske.

De kritiske oppdateringene retter feil i blant annet .Net rammeverket og Silverlight, Kernel-Mode drivere, GDI+, Internet Explorer, DirectShow og Windows Media Format Runtime. Det blir rettet sårbarheter som kan føre til ekstern kodeeksekvering.

Den resterende oppdateringen er rangert som viktig, gjelder Windows Defender og retter feil som kunne føre til lokal rettighetseskalering.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-jul

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.no/2013/07/stable-channel-update.html

Tuesday, 9 July 2013

2013.07.09 - Nyhetsbrev

Mcafee melder om at dataangrep mot Sør-Korea var del av en 4 års spionkampanje. Nintendo Club har blitt utsatt for datainnbrudd.

Dataangrep mot Sør-Korea var del av en 4 års spionkampanje.

McAfee rapporter om angrepet hos flere servere og banker i Sør-Korea, som skjedde i mars, var del av et større plan om å stjele stats- og militærhemmeligheter.
Referanser
http://blogs.mcafee.com/mcafee-labs/dissecting-operation-troy-cyberespionage-in-south-korea
http://www.mcafee.com/us/resources/white-papers/wp-operation-troy.pdf

Nintendo har blitt utsatt for datainnbrudd

Nintendo har vedgått at tjenesten Nintendo Club har blitt utsatt for et datainnbrudd. I følge Nintendo er minst 23 926 brukerkontoer kompromittert, men i verste fall kan det være snakk om mer enn 29 000 brukerkontoer. Av informasjon som kan ha kommet på avvei er personopplysninger og brukernes e-postadresser. For å forhindre missbruk av de kompromitterte brukerkontoene, har Nintendo iverksatt tilbakestilling av passord knyttet til de kompromitterte kontoene.
Referanser
http://www.theinquirer.net/inquirer/news/2279757/nintendo-admits-to-club-hack

Monday, 8 July 2013

2013.07.08 - Nyhetsbrev

Kritisk svakhet på Android plattformen. Krebs har en interessant artikkel om Styx.

Kritisk svakhet i Android sin applikasjonssignering

Android svakhet tillater modifikasjon av en applikasjon uten å bryte applikasjonens kryptografiske signatur. Dette gjør det mulig å legge inn eller modifisere kode i en applikasjon uten at Android systemet blir klar over det.
Referanser
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

På innsiden av et kommersielt exploit kit

Krebs On Security tar oss med på innsiden av det kommersielle exploit kit'et Styx.
Referanser
http://krebsonsecurity.com/2013/07/styx-exploit-pack-domo-arigato-pc-roboto/

Friday, 5 July 2013

2013.07.05 - Nyhetsbrev

Microsoft har sluppet detaljer om neste ukes oppdateringer. Strengere straff for cyberkriminalitet i EU. CSIS melder om leiemorder-svindel på sine nettsider.

Syv sikkerhetsfikser fra Microsoft den 9. juli

Tirsdag 9. juli skal Microsoft publiserer seks kritiske og én viktig sikkerhetsoppdatering. De kritiske fikser feil i Microsoft Windows, .NET Framework, Silverlight, Internet Explorer og GDI+. Den viktigste tar seg av et problem i Microsoft Security Software.

Microsoft kommer også til å oppdatere Microsoft Windows Malicious Software Removal Tool.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-jul
http://blogs.technet.com/b/msrc/archive/2013/07/04/advance-notification-service-for-july-2103-security-bulletin-release.aspx

Strengere straff for cyberkriminalitet i EU

Den Europeiske Union har bestemt seg for å øke fengselsstraffene for hacking, datainnbrudd og cyberangrep. Det innebærer minst to år for innbrudd i informasjonssystemer og minst fem år for cyberangrep mot infrastruktuerer som kraftverk, vannsystemer og transportnettverk. Personer og firma som hyrer andre til cyberangrep, kan også få straff.

Alle EUs medlemsland har to år på seg for å innføre disse nye lovene. Danmark er eneste medlem som ikke har skrevet under de nye reglene. Landet vil beholde sine egne regler.
Referanser
http://news.cnet.com/8301-1009_3-57592378-83/eu-increases-penalties-for-cybercriminals-and-hackers/

Danske CSIS melder om leiemorder-svindel i dansk språkdrakt

Danske CSIS melder om leiemorder-svindel i Dansk språkdrakt, der en angivelig leiemorder har fått i oppdrag å drepe deg, og er villig til å avbryte oppdraget mot penger. E-posten bærer noe preg av bruk av Google Translate e.l.
Referanser
https://www.csis.dk/da/csis/blog/3983/

Thursday, 4 July 2013

2013.07.04 - Nyhetsbrev

Sikerhetshull i IPMI. Alvorlig sårbarhet i OpenX. CSIS rapporterer at flere enn 5 av 6 PC infeksjoner er forårsaket av drive-by nedlasting.

Sikerhetshull i IPMI

Sikkerhetshull i IPMI (Intelligent Platform Management Interface) kan gi en angriper tilnærmet lik fysisk tilgang til serveren.
Referanser
http://www.wired.com/threatlevel/2013/07/ipmi/

Mer enn 80% av PC infeksjoner forårsaket av drive-by nedlastning.

CSIS rapporterer at flere enn 5 av 6 PC infeksjoner er forårsaket av drive-by nedlasting. I disse tilfellene er Java JRE ansvarlig for 61% av infeksjonene.
Referanser
http://www.csis.dk/en/csis/news/3981/

Alvorlig sårbarhet i OpenX

Det er oppdaget sårbarheter i annonsesystemet OpenX. To av sårbarhetene kan utnyttes til å vise innholdet i filer på webserveren men dette krever at brukeren av nettleseren har administratorrettigheter på serveren. Den siste sårbarheten er en Cross-Site Scripting (XSS) sårbarhet som kan utnyttes til rettighetseskalering. Disse i kombinasjon kan utnyttes til å angripe serveradministratorer som surfer på egne websider. OpenX i svn versjon er patchet i forhold til disse sårbarhetene.
Anbefaling
Webserver eier må oppdatere OpenX
Referanser
http://www.net-security.org/secworld.php?id=15179

Wednesday, 3 July 2013

2013.07.03 - Nyhetsbrev

Opera oppdatert til versjon 15. Ubisoft sine servere hacket. Cyberkriminelle eksperimentere med Tor-baserte kontrollservere. Apple har sluppet Security Update 2013-003.

Opera oppdatert til versjon 15

Opera 15 har blitt lansert for Windows og Mac OS. Den oppdaterte nettleseren er basert på Chromium-motoren. Opera mener at den nye versjonen har god sikkerhet med sandboxing og separate prosesser.
Referanser
http://my.opera.com/securitygroup/blog/2013/07/02/opera-15

Ubisofts servere hacket.

Spillutgiveren Ubisoft har blitt offer for datainnbrudd på sine Uplay-servere. Brukernavn, epostadresser og krypterte passord som tilhører kunder har blitt stjålet. Ubisoft oppfordrer brukerne til å endre passordet sitt så fort som mulig. Dersom samme passordet er brukt på andre tjenester bør passordet skiftes også der.
Referanser
http://blog.ubi.com/security-update-for-all-ubisoft-account-holders/
http://news.cnet.com/8301-1009_3-57592088-83/ubisoft-hacked-users-e-mails-and-passwords-exposed/

Cyberkriminelle eksperimenterer med Tor-baserte kontrollservere

I Webroot Threat Blog blir det presentert et eksempel på malware med ring 3-rootkit-kapabilitet, DDoS-funksjoner og Tor-baserte kontrollservere. Følg link for mer informasjon.
Referanser
http://blog.webroot.com/2013/07/02/cybercriminals-experiment-with-tor-based-cc-ring-3-rootkit-empowered-spdy-form-grabbing-malware-bot/

Apple Security Update 2013-003

Apple har sluppet Security Update 2013-003. Denne retter opp flere kritiske svakheter i QuickTime for forskjellige versjoner av OS X. Det anbefales å oppgradere så fort som mulig.

Referanser
http://support.apple.com/downloads/

Tuesday, 2 July 2013

2013.07.02 - Nyhetsbrev

Infosec Institute har publisert en artikkel som beskriver ZeroAccess-botnettet. Tastekaprings-teknikk gjør det mulig å kjøre ondsinnet kode gjennom CAPTCHA. En forsker ved Universitetet i Cambridge spekulerer rundt overvåking av en kryptofax. TSOC oppsummerer av nyhetsbildet i Juni 2013. Det amerikanske senatet ønsker mer kontroll rundt malware.

Avsløring av ZeroAccess-botnettet

Infosec Institute har publisert en artikkel som beskriver ZeroAccess-botnettet i detalj.
Referanser
http://resources.infosecinstitute.com/the-zeroaccess-botnet-revealed/

CAPTCHA kan skjule ondsinnetkode

Tastekaprings-teknikk gjør det mulig å kjøre ondsinnet kode fra Internet Explorer og Chrome med bare ett taste/muse -trykk på Windows 8.
Referanser
http://www.theregister.co.uk/2013/07/01/keyjacking_attack_targets_letter_r_captchas/

Overvåking av en Kryptofax

En forsker ved Universitetet i Cambridge spekulerer i hvordan NSA i USA kan ha overvåket en Kryptofax som var plassert i EU-ambassaden.
Referanser
http://www.lightbluetouchpaper.org/2013/07/01/eavesdropping-a-fax-machine-2/

Oppsummering av nyhetsbildet juni 2013

TSOC har oppsummert nyhetsbildet Juni 2013 innenfor sikkerhet.
Referanser
http://telenorsoc.blogspot.no/2013/07/oppsummering-av-nyhetsbildet-juni-2013.html

Det amerikanske senatet ønsker mer kontroll rundt malware

En komiteè i det amerikanske senatet ønsker at den amerikanske presidenten skal utarbeide en plan for å kontrollere spredningen av cyber-våpen. Det skal brukes finansielle, diplomatiske og andre midler for å oppnå dette målet. Samtidig skal ikke noen planer komme i veien for lovlige firmaer og deres forskning. Komiteèn ønsker også å undersøke hvordan verktøy som kan bli brukt til lovlige og ulovlige handlinger skal håndteres. Den amerikanske regjeringen jobber for å utarbeide internasjonale regler rundt cyber-konflikter basert på eksisterende regler rundt krigføring og menneskerettigheter.
Referanser
http://killerapps.foreignpolicy.com/posts/2013/06/27/the_us_senate_wants_to_control_malware_like_its_a_military_weapon

Monday, 1 July 2013

2013.07.01 - Nyhetsbrev

Cisco patcher DoS og injeksjonssvakheter i fire produkter. Washington Post slipper flere slides fra PRISM-presentasjon. NSA har spionert på EU. NSM skriver om deling av informasjon på nettet.

Cisco patcher DoS og injeksjonssvakheter i fire produkter

Ciscos Product Security Incident Response Team har laget ut programvareoppdateringer for fire forskjellige nettverkssikkerhetsprodukter.
Oppdateringene gjelder ASA Next-Generation Firewall (NGFW) Services, Content Security Management Appliance, Web Security Appliance samt Ciscos Email Security Appliance.
Referanser
http://threatpost.com/cisco-patches-dos-injection-flaws-in-four-security-products/

Washington Post slipper flere slides fra PRISM-presentasjon

The Washington Post og Guardian har tidligere slupper en del slider fra en NSA-presentasjon om PRISM. De har nå lagt ut flere slider som viser i noe mer detalj hvordan systemet fungerer.
Referanser
http://www.washingtonpost.com/wp-srv/special/politics/prism-collection-documents/

NSA har spionert på EU

Der Spiegel og The Gaurdian melder at de har sett dokumenter som viser at USA har spionert på EU-institusjoner i Washington, Brussels og New York. Dokumentene har blitt framskaffet av Edward Snowden. Spionasjen ble utført både ved hjelp av gammeldagse mikrofoner, tapping av datakabler og hacking av EUs datanettverk. En kryptert faxmaskin har også blitt avlyttet ved hjelp av spesielt utstyr.
Referanser
http://www.spiegel.de/international/europe/nsa-spied-on-european-union-offices-a-908590.html
http://m.guardian.co.uk/world/2013/jun/30/nsa-leaks-us-bugging-european-allies

NSM skriver om deling av informasjon på nettet

NSM har et blogginnlegg rundt deling av informasjon på nett og sikkerhet. Tenk over hva du deler og hvordan du sikrer dine data.
Referanser
http://blogg.nsm.stat.no/archives/3927