Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 August 2013

2013.08.30 - Nyhetsbrev

KrebsonSecurity har en interessant artikkel om hvem som skapte hackergruppen SEA. Svakhet i Apples iOS og OS X gjør at applikasjoner krasjer dersom de viser bestemte arabiske tegn.

En spesiell kombinasjon av arabiske tegn får programmer på iOS og OS X til å krasje.

En spesiell kombinasjon av arabiske tegn får programmer på iOS og OS X til å krasje.
Referanser
http://www.digi.no/921808/tre-tegn-kveler-apple

KrebsonSecurity forteller hvem som skapte Syrian Electronic Army (SEA)

KrebsonSecurity har en interessant artikkel om hvem som skapte hackergruppen SEA, og starter med en av hovedpersonene i grupperingen og beskriver hvordan de fant fram til denne personen steg for steg. Les mer i referansen.
Referanser
http://krebsonsecurity.com/2013/08/who-built-the-syrian-electronic-army/

Thursday, 29 August 2013

2013.08.29 - Nyhetsbrev

Cisco retter svakhet i Secure ACS Server.

Cisco retter svakhet i Secure ACS Server

Cisco har sluppet en oppdatering til Cisco Secure Access Control (ACS) Server 4. Oppdateringen retter en svakhet i implementeringen av EAP-FAST og er forårsaket av dårlig parsing av brukerinformasjon i forbindelse med autentisering. Dette kan utnyttes av en inntrenger til å eksekvere kode på serveren. Svakheten kan kun bli utnyttet hvis ACS er satt opp som RADIUS-server.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130828-acs

Wednesday, 28 August 2013

2013.08.28 - Nyhetsbrev

New York Times domene-registrar ble hacket og DNS peker endret. Telenor skal neste uke holde en stor kriseøvelse, med fokus på cyberangrep. Symantec forteller om avanserte social-engineering-angrep mot regnskapsmedarbeidere i franske bedrifter. Avast har publisert analyse av Linux trojaneren Hand of Thief. Brian Krebs har intervjuet skaperen av Android-malwaren Pincer. Oppdateringen MS13-61 har blitt sluppet på nytt etter problemer.

Symantec beskriver utbredt bruk av social engineering mot franske bedrifter

Symantec har skrevet en interessant blogg-post om utstrakt bruk av social engineering mot en rekke franske bedrifter, der målet har vært å få overført penger til en konto under angripers kontroll. Enkelte angrep har brukt en trojaner som en komponent for å få kontroll over den ansattes PC, gjerne kamuflert som en faktura eller lignende, mens andre angrep har vært basert utelukkende på social engineering.
Referanser
http://www.symantec.com/connect/blogs/francophoned-sophisticated-social-engineering-attack

Brian Krebs intervjuer utvikler av Android-trojaneren Pincer

Brian Krebs har lagt ut en artikkel på sin blogg der han sporer opp utvikleren av Android trojaneren Pincer. Utvikleren svarer relativt velvillig, og forteller at trojaneren ble utviklet på bestilling. Han skjønte relativt raskt hva den ville bli brukt til, men valgte likevel å fullføre jobben.
Referanser
http://krebsonsecurity.com/2013/08/who-wrote-the-pincer-android-trojan/

Avast har publisert detaljer om Linux-trojaren "Hand of Thief"

Avast har på sin blogg publisert en artikkel om Linux-trojaneren "Hand of Thief" som vi også har skrevet om tidligere. I denne artikkel har Avast en mer detaljert gjennomgang av trojaneren og dens funksjonalitet. Det spesielle med denne trojaneren er at den er rettet mot klient-installasjoner av Linux, og ikke servere som er mer normalt. Den bruker mange av de samme triksene som Windows-trojanere for å unngå/vanskeliggjør analyse, som å kryptere strenger og forsøke å detektere og avslutte hvis den kjører i virtuelle miljøer.
Referanser
http://blog.avast.com/2013/08/27/linux-trojan-hand-of-thief-ungloved/

Telenor øver på cyberkrise

Telenor skal neste uke holde en omfattende kriseøvelse kalt CyberDawn, og skal samøve med Cyberforsvaret, Nasjonal sikkerhetsmyndighet (NSM), Politiet, Post- og teletilsynet, Evry, DNB og SpareBank 1. Øvelsen skal teste grensesnitt, og synliggjøre sårbarheter og manglende prosesser. Se kilde for hele pressemeldingen.
Referanser
http://www.mynewsdesk.com/no/telenor/pressreleases/telenor-oever-paa-cyberkrise-897412

New York Times hacket og SEA påberoper seg skylden

New York Times har nok en gang blitt hacket og SEA (Syrian Electronic Army) påberoper seg skylden. SEA kompromitterte NYTs domene-registrar MelbourneIT gjennom en konto tilhørende en videreselger av tjenesten, og endret DNS-pekeren til å peke til sider under SEAs kontroll. Også Twitter og Huffington Post var berørt i mindre grad. Disse benytter seg også av tjenester fra MelbourneIT. Se Cloudflares artikkel for en mer detaljert beskrivelse av hendelsen.
Referanser
http://m.washingtonpost.com/business/technology/new-york-times-web-site-inaccessible-for-some-users/2013/08/27/628f5b46-0f50-11e3-8cdd-bcdc09410972_story.html
http://blog.cloudflare.com/details-behind-todays-internet-hacks

Oppdateringen MS13-061 sluppet på nytt

Oppdateringen MS13-061 som fikser svakheter i Microsoft Exchange har blitt sluppet på nytt. Den opprinnelige oppdateringen ble trukket tilbake etter at det ble oppdaget at den forårsaket problemer for noen installasjoner.
Anbefaling
Referanser
http://technet.microsoft.com/en-us/security/bulletin/MS13-061

Tuesday, 27 August 2013

2013.08.27 - Nyhetsbrev

Sikkerhetshull i Tesla Model S. USA og Kina har avlyttet FNs hovedkvarter. Kina utsatt for DDoS-angrep.

Sikkerhetshull i Tesla Model S

Tesla REST-APIen, som er en web basert tjeneste som tillater brukeren å koble seg til og justere klimaanlegget, se batteri status, tute og åpne/lukke takluken, har sårbarheter i forbindelse med autentisering.
Referanser
http://broadcast.oreilly.com/2013/08/authentication-flaws-in-the-tesla-model-s-rest-api.html

Hemmelige dokumenter viser at USA og Kina har avlyttet FNs hovedkvarter

Hemmelige dokumenter som er lekket av Edward Snowden viser at USA har avlyttet FNs hovedkvarter. I følge disse dokumentene har NSA-eksperter klart å kommet seg inn på FNs videokonferanse-systemer og knekket krypteringen. I tilegg til dette rapporteres det om at NSA har ved ett tilfelle avslørt også Kina i å avlytte FNs kommunikasjon.
Referanser
http://www.nrk.no/nyheter/verden/1.11201600

Kina utsatt for DDoS-angrep

DNS-systemet til det kinesiske toppdomenet .cn ble i helgen utsatt for et DDoS-angrep. Angrepet førte til at systemet gikk ned i flere timer. På grunn av mellomlagring av DNS-informasjon gikk ikke alt av trafikk ned.
Referanser
http://news.techworld.com/security/3465607/china-suffers-major-ddos-attack-on-cn-domain/
http://gigaom.com/2013/08/26/chinas-internet-hit-by-the-countrys-largest-ever-attack/

Monday, 26 August 2013

2013.08.26 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.


Friday, 23 August 2013

2013.08.23 - Nyhetsbrev

ESET melder om at download manageren Orbit Downloader i sine siste versjoner har skjult DDOS-funksjonalitet.

ESET melder om skjult DDOS-funksjonalitet i Orbit Downloader

ESET melder at den relativt populære download manageren Orbit Downloader i sine siste versjoner har fått inkludert en skjult DDOS-komponent. Komponenten skal være i stand til å generere spoofet SYN flood, HTTP request floods, samt UDP port 53 floods. Mål hentes ned fra Orbit Downloaders egen server, og forsøkes skjult ved å encode/kryptere innhold med base64 og XOR med en fast nøkkel.
Referanser
http://www.welivesecurity.com/2013/08/21/orbital-decay-the-dark-side-of-a-popular-file-downloading-tool/

Thursday, 22 August 2013

2013.08.22 - Nyhetsbrev

Cisco slipper informasjon om sårbarheter i Unified Communication Manager. Slik foregår et svindelforsøk fra "Microsoft-svindlerne". Færre høyprofilerte Anonymous-angrep i det siste. NSA har tilgang til rundt 75% av Internett-trafikken i USA og benytter hyllevare produkter til filtrering. DDOS brukt som distraksjon ved angrep mot banker.

Cisco med informasjon om sårbarheter

Cisco har sluppet informasjon om flere sårbarheter i Cisco Unified Communications Manager. Sårbarhetene gir ekstern angriper mulighet for endring av data, kjøring av ekstern kode og tjenestenektangrep.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130821-cucm

Slik foregår et svindelforsøk fra "Microsoft-svindlerne"

Hardware.no har en artikkel og video om hvordan et svindelforsøk fra de såkalte "Microsoft-svindlerne" foregår. De lurte svindlerne grundig og tok det hele opp på video, etter at svindlerne ringte inn under redaksjonsmøtet til nettstedet.
Referanser
http://www.hardware.no/artikler/her-prover-windows-svindlerne-a-lure-kredittkortet-fra-oss/136521

Nedgang i høyprofilerte angrep fra Anonymous.

En FBI-agent melder om nedgang i høyprofilerte angrep fra Anonymous i en artikkel hos Huffington Post. Dette skyldes ifølge FBI blant annet fengslingen av 5 medlemmer av Lulz Security i 2012.
Referanser
http://www.huffingtonpost.com/2013/08/21/anonymous-arrests-fbi_n_3780980.html

NSA har tilgang til rundt 75% av Internett-trafikken i USA.

Digi har en grei oppsummering over hvordan NSA i USA får tilgang til rundt 75% av Internett-trafikken i USA og hvordan denne blir analysert. Til analyse og siling av data bruker de angivelig blant annet systemet Narus, som er et hyllevareprodukt.
Referanser
http://www.digi.no/921356/kommersielt-verktoy-bak-prism

DDoS som distraksjon i forbindelse med hacker-angrep mot banker

Cyber-kriminelle kjører distribuert denial of service(DDoS)-angrep som et røykteppe for å distrahere sikkerhetsansatte i banken, mens de plyndrer online banksystemer, ifølge Avivah Litan. Mer informasjon finnes i artikelen.
Referanser
http://www.theregister.co.uk/2013/08/21/cyberheist_ddos_smokescreen/

Wednesday, 21 August 2013

2013.08.21 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Tuesday, 20 August 2013

2013.08.20 - Nyhetsbrev

Finanstilsynet er bekymret over stadig flere bank og betalings-apper i mobiltelefoner.

ComputerWorld skriver om Finanstilsynets syn på mobilbank.

ComputerWorld har spurt Frank Robert Berg i Finanstilsynet om hva han mener om mobilbank og sikkerheten der. Det kommer frem at neste risiko- og sårbarhetsanalyse av finansforetakenes bruk av IT vil handle om mobilitet og at den skal være klar mars neste år. Det anbefales å passe godt på mobilen samt å beskytte den med PIN-kode eller lignende.
Referanser
http://www.idg.no/computerworld/article275186.ece

Monday, 19 August 2013

2013.08.19 - Nyhetsbrev

Nytt verktøy for scanning av store nettverk og svakhet funnet i Apples sertifisering av apper. Utvikler postet bug-rapport på Zuckerbergs Facebook-vegg.

Nytt verktøy for scanning av nettverk

Et utviklerteam fra University of Michigan har gitt ut verktøyet ZMap. Dette er et verktøy for scanning av nettverk i høy hastighet. Uviklerne påstår at det kan klare å scanne hele adresseområdet til IPv4 i løpet av 45 minutter, dersom man har en internettforbindelse med en hastighet på 1Gb/s. For mer informasjon, se utviklernes hjemmeside.
Referanser
https://zmap.io/

Svakhet i Apples appsertifisering

Et forskerteam ved Georgia Tech har oppdaget en svakhet i prosessen Apple bruker for å sertifisere applikasjoner for iOS. Som en del av sertifiseringsprosessen, blir alle applikasjoner kjørt under overvåking for å oppdage eventuelle uønskede egenskaper ved applikasjonen. Forskerne oppdaget at det var mulig å få godkjent skadelige applikasjoner ved å konfigurere dem slik at den venter en viss tid etter oppstart før den utfører noen ondsinnet aktivitet. For mer informasjon om denne svakheten, se referanse.
Referanser
http://www.technologyreview.com/news/518096/remotely-assembled-malware-blows-past-apples-screening-process/

Utvikler postet bug-rapport på Zuckerbergs Facebook-vegg

En utvikler prøvde å rapportere en svakhet til Facebooks sikkerhetsteam. Svakheten gjorde det mulig å poste på andres "Facebook-vegger" uten egentlig å ha tilgang til dette. Svakheten var imidlertid så dårlig beskrevet at sikkerhetsteamet ikke fikk med seg hva som var problemet. Utvikleren postet dermed en post på Facebook-sjefens egen side for å bevise at problemet var reellt. Normalt betaler Facebook ut penger for rapporter om svakheter, men det vil ikke bli gjort i dette tilfellet.
Referanser
http://rt.com/news/facebook-post-exploit-hacker-zuckerberg-621/

Friday, 16 August 2013

2013.08.16 - Nyhetsbrev

Google Cloud Storage krypterer nå data. Joomla svakhet utnyttes aktivt. Kryptering kan være lettere å knekke enn tidligere anntatt. Washington Post har blitt hacket.

Google krypterer nå automatisk alle data i Cloud Storage

Google sin Cloud Storage-tjeneste krypterer nå all data lagret med AES-128. Dette gjøres helt automatisk på server siden og du trenger derfor ikke endre på noen innstillinger for å få dette. Det er imidlertid Google selv som har kontroll over nøklene dine og de kan dermed også dekryptere dataene.
Referanser
http://googlecloudplatform.blogspot.no/2013/08/google-cloud-storage-now-provides.html

Svakhet i Joomla utnyttes i stor grad

Svakheten i Joomla har ført til tusenvis av infiserte systemer bl.a. målrettede angrep mot flere banker.
Referanser
http://www.darkreading.com/vulnerability/joomla-exploit-results-in-thousands-of-i/240160001
http://krebsonsecurity.com/2013/08/simple-hack-threatens-oudated-joomla-sites/

Ny forskning kan gjøre det lettere å knekke kryptering

Forskere har funnet hull i den underliggende matten som gjør det mulig å dekode kryptert data langt raskere enn hva som tidligere har vært antatt.
Referanser
http://www.theregister.co.uk/2013/08/14/research_shakes_crypto_foundations/

Washington Post hacket

Washington Post har blitt hacket av Syrian Electronic Army. De fikk tilgang til en privat twitter-konto til en av skribentene, samt la inn kode på flere artikler som videresendte leserne til SEAs hjemmeside.
Referanser
http://www.washingtonpost.com/blogs/ask-the-post/wp/2013/08/15/editors-note/
http://krebsonsecurity.com/2013/08/washington-post-site-hacked-after-successful-phishing-campaign/

Thursday, 15 August 2013

2013.08.15 - Nyhetsbrev

Microsoft trekker tilbake oppdatering for Exchange 2013. Google bekrefter problemer med tilfeldige tall på Android-plattformen. Ny phishing-bølge på Facebook lurer brukeren til å kopiere sesjons-ID til angriperne.

Microsoft trekker tilbake oppdatering for Exchange 2013

Microsoft har trukket oppdateringen for Exchange 2013 som ble publisert på tirsdag. Årsaken til dette er at oppdateringen kan forårsake en feil i indekseringstjenesten som benyttes av mailboksdatabasen. Microsoft har også publisert en bloggpost om dette problemet som bla. forklarer hvordan feilen kan rettes i systemer hvor oppdateringen allerede er installert. Feilen rammer IKKE oppdateringene for Exchange 2007 og 2010, da disse versjonene benytter en annen indeksseringsarkitektur.
Referanser
http://blogs.technet.com/b/exchange/archive/2013/08/14/exchange-2013-security-update-ms13-061-status-update.aspx
http://support.microsoft.com/kb/2879739

Google bekrefter feil i generator av tilfeldige tall i Android

Google bekrefter nå en svakhet i SecureRandom-funksjonen i Android. Denne funksjonen skal egentlig gi tilfeldige tall, men tallene er dessverre ikke veldig tilfeldige. Svakheten har allerede blitt brukt til å stjele Bitcoins ved minst ett tilfelle. Google har også utviklet patcher for problemet. Feilen rammer tusenvis av apps som benytter seg av tilfeldige tall.
Referanser
http://android-developers.blogspot.no/2013/08/some-securerandom-thoughts.html
http://arstechnica.com/security/2013/08/google-confirms-critical-android-crypto-flaw-used-in-5700-bitcoin-heist/

Manuell Phishing på Facebook

Facebook phishing-forsøk prøver å lure brukeren til å manuelt kopiere Facebook-URLen som inneholder sidens sesjons-id. Mottakeren av URLen kan da ta over sesjonen til brukeren.
Referanser
http://research.zscaler.com/2013/08/facebook-phishing-manual-session.html

Wednesday, 14 August 2013

2013.08.14 - Nyhetsbrev

Microsoft har publisert flere kritiske oppdateringer. Phillips har en laber sikkerhetsløsning for smart-lys.

Phillips smart-lys har en mindre smart sikkerhets løsning

Phillips Hue sitt smart lys system bruker et autentiseringsløsning som tillater alle med en iPhone til å sende intruksjoner til kontrolleren via HTTP.
Referanser
http://www.theregister.co.uk/2013/08/14/switch_off_your_neighbours_lights_with_an_app/

Microsoft har publisert oppdateringer for august

Microsoft har publisert 8 oppdateringer, hvor 3 er rangert som kritiske og resten som viktige.

Den første kritiske sikkerhetsoppdateringen gjelder alle versjoner av Internet Explorer (ver. 6 - ver. 10) og retter en svakhet som kan brukes til å ta kontroll over maskiner dersom brukere av Internet Explorer besøker spesielt utformede websider. En angriper som klarer å utnytte disse sikkerhetssvakhetene kan oppnå samme brukerrettigheter som innlogget bruker.

Den andre kritiske oppdateringen gjelder Windows XP og Windows Server 2003 og retter en svakhet i implementeringen av OpenType Font i Unicode Scripts Processor. Svakheten kan utnyttes ved å bruke spesielt utformede dokumenter eller websider som benytter OpenType Font og kan gi en angriper samme brukerrettigheter som innlogget bruker.

Den siste kritiske oppdateringen gjelder Microsoft Exchange Server 2007, 2010 og 2013 og retter 3 svakheter. Svakhetene kan utnyttes av en angriper til å eksekvere kode på serveren, hvis en bruker forehåndsviser et spesielt utformet dokument i Outlook Web Access.

De resterende 5 svakhetene er rangert som viktige og gjelder svakheter i flere versjoner av Microsoft Windows.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://technet.microsoft.com/en-au/security/bulletin/ms13-aug

Tuesday, 13 August 2013

2013.08.13 - Nyhetsbrev

En tibetansk administrasjonsside har blitt komprimert, gruppen bak angrepet mot New York times utvikler seg, "Hax It" viser hvordan en kan hacke et Transcend WiFi SD kort, Android-hull kan utnyttes til Bitcoin-tyveri og Google øker dusøren for å finne svakheter i Chrome.

En tibetansk administrasjonsside har blitt komprimert

En tibetansk administrasjonsside ble komprimert for kinesiske besøkende. Biten med kode som var satt inn sendte disse besøkende videre til en side hvor de ble utsatt for en Java-exploit. Les mer i referansen under hvordan de fikk dette til, og hvordan det fungerte.
Referanser
https://www.securelist.com/en/blog/9144/Central_Tibetan_Administration_Website_Strategically_Compromised_as_Part_of_Watering_Hole_Attack

Gruppen bank angrepet mot New York Times finner nye mål

Fireeye ser på malwaren som blir brukt i de nyeste angrepene og hvordan de har utviklet seg. Les mer i referansen under.
Referanser
http://www.fireeye.com/blog/technical/2013/08/survival-of-the-fittest-new-york-times-attackers-evolve-quickly.html

Artikkel som viser hvordan en kan hacke et Transcend WiFi SD kort.

Bloggen "Hax it!" har skrevet en detaljert artikkel som viser hvordan en kan hacke og ta full kontroll over et Transcend WiFi SD kort.
Referanser
http://haxit.blogspot.com.es/2013/08/hacking-transcend-wifi-sd-cards.html

Feil i generering av tilfeldige tall i Android

Android har en svakhet i hvordan systemet generer tilfeldige tall som gjør disse forutsigbare. Dette kan blant annet gå ut over sikkerheten i Bitcoin-lommebøker som er generert på en Android-mobil.
Referanser
http://www.theregister.co.uk/2013/08/13/how_the_bitcoin_android_bug_was_tracked_down/

Google øker dusøren for Chrome-svakheter

Google har økt dusøren for å finne sikkerhetssvakheter i Chrome.
Referanser
http://googleonlinesecurity.blogspot.no/2013/08/security-rewards-at-google-two.html
http://www.theregister.co.uk/2013/08/12/chrome_bug_bounty_increase/

Monday, 12 August 2013

2013.08.12 - Nyhetsbrev

Tyske epostlevandørers nye krypteringsteknikk ikke god nok og nå kan du lagre backup av husnøklene dine i skyen.

Tyske epostlevandørers nye krypteringsteknikk får kritikk

De tyske epostleverandørene GMX, T-Online og Web.de annonserte på fredag at de skal kryptere epost slik at myndigheter ikke kan tjuvlese dem. I realiteten er dette snakk om å gjøre SMTP-TLS obligatorisk. Dette gjør at sending av eposter blir tryggere, men en kan fremdeles finne epostene i klartekst om man har tilgang til serverne. Den tyske forbundsetterretningstjenesten BND vil sannsynligvis kunne skaffe seg tilgang til meldingene uten store rettslige eller tekniske hinder. Den nye obligatoriske krypteringen har dessuten vært tilgjengelig siden slutten av 90-tallet, og har vært standard hos konkurrenter i årevis.

Eksperter anbefaler ende-til-ende-kryptering via GnuPG/PGP eller S/MIME hvis man vil sikre sine epostmeldinger mot innsyn.
Referanser
http://arstechnica.com/business/2013/08/crypto-experts-blast-german-e-mail-providers-secure-data-storage-claim/
https://netzpolitik.org/2013/e-mail-made-in-germany-deutsche-telekom-web-de-und-gmx-machen-ssl-an-und-verkaufen-das-als-sicher/
http://ccc.de/de/updates/2013/sommermaerchen

KeyMe kan ta bilder av nøklene dine og lagre dem i skyen.

Det har kommet en ny app som lar deg ta bilde av nøklene dine. Den identifiserer deretter nøkkeltype og og dybden på de forskjellige kuttene. Med disse opplysningene er det mulig å lage en ny nøkkel hos en låsesmed. Det gjelder med andre ord å passe godt på nøklene sine. Det er nok heller ikke lenge før nøklene fra appen kan skrives ut hjemme med en 3D-skriver. Å ta bilde av en nøkkel og lagre den er gratis, men om du skal bruke bildet, vil det koste deg rundt 10 amerikanske dollar.
Referanser
http://www.engadget.com/2013/08/09/keyme-ios-app/

Friday, 9 August 2013

2013.08.09 - Nyhetsbrev

HP tetter passordlekkasje i laserskrivere. DNS-infrastrukturen i Nederland kompromittert. E-posttjenesten Lavabit legges ned. Ny bank-trojaner rettet mot Linux. NSA skal kutte 90% av sine systemadministratorer.

HP tetter passordlekkasje i laserskrivere

Hewlett Packard har fikset svakheter i LaserJet Pro-skrivere. Før installering av denne nye oppdateringen var det mulig å få ut brukeres passord i klartekst fra skjulte URL-er som er hardkodet i skriverens firmware. Skrivere med Wi-Fi aktivert kunne også lekke Wi-Fi innstillinger samt pinkoder til Wi-Fi beskyttet oppsett.
Referanser
http://www.theregister.co.uk/2013/08/08/hp_plug_password_leaking_printer_vuln/

DNS-infrastrukturen i Nederland kompromittert

Angripere har gjennom en konto hos den nasjonale domeneregistraren SIDN endret DNS-adressene til flere hosting-leverandører. Adressene ble endret til å peke til en side som infiserte sluttbrukerne gjennom et exploit-kit.
Referanser
http://blogs.cisco.com/security/dns-compromise-distributing-malware/

E-posttjenesten Lavabit legges ned

Lavabit, også kjent som Edward Snowden sin valgte e-post tjeneste, legges ned. Tjenesten hadde over 400.000 brukere og skal være så sikker at selv de som driftet tjenesten ikke kunne dekryptere meldingene. Eieren sier at han nå legger ned tjenesten av samvittighetsgrunner. Han opplyser også at han ikke kan informere om bakgrunnen for det som har skjedd. Dette kan f.eks. skyldes at han har mottatt et "National Security Letter" som hindrer personer å kommentere pågående etterforskninger.
Referanser
http://arstechnica.com/tech-policy/2013/08/ed-snowdens-encrypted-e-mail-service-shuts-down-leaving-cryptic-message/
http://lavabit.com/
http://www.digi.no/920733/lavabit-stenges-etter-press

Ny bank-trojaner rettet mot Linux

Den nye bank-trojaneren "Hand of Thief" går for så mye som $2000 på svartebørsen. "Hand of Thief" kan stjele sesjoner både når det gjelder HTTP og HTTPS på flere forskjellige nettlesere. Den kan også blokkere den infiserte maskinens bruk av antivirus-sider og sikkerhetsoppdateringer. I tillegg til alt dette følger det med en administrator-side der angriperen kan fjernstyre maskiner som er infisert.
Referanser
http://grahamcluley.com/2013/08/hand-of-thief-linux-trojan/

NSA skal kutte 90% av sine systemadministratorer

Etter Snowden-hendelsen opplyser NSA at de skal kutte 90% av sine systemadministratorer. Dette skal gjøre at færre har tilgang til hemmelighetsstemplet informasjon og dermed minske sjansene for fremtidige lekkasjer. For å få til dette skal de automatisere mange av oppgavene.
Referanser
http://preview.reuters.com/2013/8/9/nsa-to-cut-system-administrators-by-90-percent-to

Thursday, 8 August 2013

2013.08.08 - Nyhetsbrev

Chrome lagrer passord i klartekst. Svakhet i Windows Phone kan gi ut brukernavn og passord til domenet over WiFi. Arbor avslører nytt botnett som utnytter svake passord.

Svakhet i Windows Phone kan gi ut brukerpassord over WiFi

En svakhet i en protokoll (PEAP-MS-CHAPv2) på Windows Phone kan få deg til å gi ut brukernavn og passord til domenet. Denne svakheten kan misbrukes ved at angriperen poserer som et kjent WiFi-nettverk og når mobilen prøver å autentisere seg, vil angriperen ha muligheten til å utnytte kryptografiske svakheter i protokollen som blir brukt. Dette kan gjøre at angriperen kan få samme tilgang på nettverket som brukeren.
Referanser
http://www.itpro.co.uk/mobile/20355/windows-phone-wi-fi-flaw-puts-user-passwords-risk

Arbor avslører nytt botnett som utnytter svake passord

Arbor skriver om et botnett som sprer seg ved å gjette seg fram til brukernavn og passord. Den logger inn via publiseringssystemer (CMS) som Joomla, WordPress og Datalife Engine. Les mer i referansen.
Referanser
http://www.arbornetworks.com/asert/2013/08/fort-disco-bruteforce-campaign/

Chrome viser passord i klartekst

Dersom du lagrer passordene dine i Chrome, kan man gå til adressen chrome://settings/passwords og se alle passord som er lagret i klartekst. Dette er et designvalg som Google har tatt.
Referanser
http://blog.elliottkember.com/chromes-insane-password-security-strategy
http://news.cnet.com/8301-1009_3-57597364-83/chrome-password-security-issue-stirs-debate/
http://www.wired.com/threatlevel/2013/08/chrome-password-manager/

Wednesday, 7 August 2013

2013.08.07 - Nyhetsbrev

FireFox og Thunderbird oppdatert. Annonseprogramvare fra OpenX kompromittert. Norske bedrifter rammet av svindel-eposter. Forklaring av BREACH-angrepet. Svakhet i autentisering av Google-konto på Android.

FireFox og Thunderbird oppdatert

Mozilla har sluppet versjon 23 av FireFox. Denne utbedrer flere kritiske svakheter. Den blokkerer også sider som inneholder en miks av kryptert og ukryptert innhold. Dette blir gjort for å unngå MITM (Man in the Middle)-angrep.
Referanser
http://www.mozilla.org/security/known-vulnerabilities/firefox.html
https://blog.mozilla.org/tanvi/2013/04/10/mixed-content-blocking-enabled-in-firefox-23/

Programvare fra OpenX.org har hatt bakdør siden november

OpenX.org er et system for å levere annonser til brukere av nettsteder. Mange nettsteder, også i Norge, har benyttet seg av dette systemet. I de siste månedene har mange av disse servert malware til sine brukere.

Det viser seg nå at OpenX.org ble kompromittert i november i fjor og at angriperne har lagt inn en bakdør i programvaren.
Referanser
http://blog.sucuri.net/2013/08/openx-org-compromised-and-downloads-injected-with-a-backdoor.html

Epostsvindlere på sommerraid

Dagens Næringsliv har en artikkel om pågående svindelkampanjer via epost. Epostene blir stadig bedre utformet og får bedre språk. I noen tilfeller har også svindlerne satt opp et falsk telefonnummer som kundene blir forsøkt lurt til å ringe. I sommer har blant annet Sparebank 1, DNB og Visa blitt rammet i Norge.
Referanser
http://www.dn.no/forsiden/naringsliv/article2659182.ece

NakedSecurity har gitt ut en artikkel som forklarer BREACH-angrepet.

NakedSecurity går inn i detaljer på hvordan BREACH-angrepet fungerer. BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) gjør det mulig gjette seg til informasjon selv om denne informasjonen er kryptert da størrelsen på HTTP svarene varierer, avhengig av hvor mye av informasjonen som er redundant.
Referanser
http://nakedsecurity.sophos.com/2013/08/06/anatomy-of-a-cryptographic-oracle-understanding-and-mitigating-the-breach-attack/

Svakhet i autentisering av Google-konto på Android

Det har blitt funnet en svakhet i autentisering av Google-kontoer i Android-applikasjoner. Svakheten går ut går at et token kan bli høstet inn av en ondsinnet applikasjon som som igjen kan brukes til innlogging andre steder. Tokenet fungerer som erstatning for brukernavn og passord.
Referanser
http://www.theregister.co.uk/2013/08/06/android_oneclick_authentication_open_to_hacking/

Tuesday, 6 August 2013

2013.08.06 - Nyhetsbrev

Timing-angrep i HTML5 kan avlese nettleserhistorikk, NSA deler data med DEA og IBM fikser flere sårbarheter.

Timing-angrep i HTML5 kan avlese nettleserhistorikk

Ved å måle tida det tar for en nettleser å laste inn CSS- og SVG-grafikk, kan hackerne avsløre historikken til nettleserne. Det er en bieffekt av funksjonalitet som fører til raskere innlasting av grafikk. Google, Mozilla og Microsoft skal ha blitt informert av forskere i Context om dette. Det er lite sannsynlig at det blir utnyttet i praksis, siden det er vanskelig, men man skal likevel ikke la være å fikse problemet, mener Context. Brukere kan omgå problemet med å bruke privat surfing eller slette historikk regelmessig.
Referanser
http://www.theregister.co.uk/2013/08/05/html5_timing_attacks/

NSA gir overvåkingsdata videre til FBI og DEA

Reuters har en sak om at NSA deler etterretningsinformasjon med DEA (Drug Enforcement Administration). DEA bruker så disse dataene til å etterforske narkotikakriminalitet. Agentene som etterforsker sakene er instruert til å dekke over hvor dataene egentlig kommer fra, i noen tilfeller også overfor dommeren i saken.
Referanser
http://www.reuters.com/article/2013/08/05/us-dea-sod-idUSBRE97409R20130805
http://arstechnica.com/tech-policy/2013/08/us-drug-agency-gets-intel-from-nsa-then-lies-about-its-origins-to-build-cases/

IBM fikser sårbarheter

IBM utbedrer mange alvorlige svakheter svakheter i Tivoli Monitoring. Feil blir også fikset i Sterling B2B og InfoSphere BigInsights.
Anbefaling
Opptater programvare til nyeste versjon,
Referanser
http://www.secunia.com/advisories/54442
http://www.secunia.com/advisories/54456
http://www.secunia.com/advisories/54447

Monday, 5 August 2013

2013.08.05 - Nyhetsbrev

Svakhet i FireFox brukt til å identifisere TOR-brukere. Ny oppdatering for WordPress og Joomla.

Svakhet i FireFox brukt til å identifisere TOR-brukere

TOR (The Onion Network) er en tjeneste som lar brukere surfe anonymt på nettet. Et selskap kalt "Freedom Hosting" har stått bak mange av de skjulte tjenestene i dette nettverket. Den 4. august gikk alle tjenestene levert av selskapet ned. Mannen bak selskapet er begjært utlevert fra Irland av FBI.

Det viser seg at det ble lagt til Java-script-kode i sidene som ble levert av Freedom Hosting før tjenesten ble tatt ned. Denne koden utnytter en ny (0-day) svakhet i FireFox 17. Exploiten infiserer ikke maskinen med malware, men sender den egentlige IP-adressen tilhørende maskinen til en server i USA. Exploiten vil kun ramme brukere av FireFox 17, selv om den også fungerer mot andre versjoner av FireFox. Dette skyldes antakeligvis at TOR Browser Bundle kommer med FireFox 17 inkludert.

Mange mistenker at det er FBI eller en annen statlig amerikansk organisasjon står bak denne aksjonen.
Referanser
https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting
http://krebsonsecurity.com/2013/08/firefox-zero-day-used-in-child-porn-hunt/
http://www.wired.com/threatlevel/2013/08/freedom-hosting/

Ny oppdatering for WordPress og Joomla

Nye oppdateringer til WordPress og Joomla fikser kritiske sikkerhetshull.
Referanser
http://blog.sucuri.net/2013/08/new-wordpress-and-joomla-updates-available.html
http://developer.joomla.org/security/news/563-20130801-core-unauthorised-uploads
http://codex.wordpress.org/Version_3.6

Friday, 2 August 2013

2013.08.02 - Nyhetsbrev

Arbor Networks blogger om trender innen DDoS for årets andre kvartal.

Cisco retter alvorlig svakhet i flere ruterprodukter.

Facebook går over til å bruke benytte TLS (HTTPS) som standard for alle brukere.

VMWare oppdaterer ESX og ESXi.

Zscaler blogger om at nettstedet Google Code skal ha blitt brukt for å lagre og spre malware.

Google Code brukt for å spre malware

Zscaler har publisert en bloggpost hvor de advarer om at nettstedet Google Code har blitt brukt for å lagre og spre malware. De advarer også om at andre skytjenester for lagring og deling av filer kan være i fare for å bli brukt på samme måte.
Referanser
http://research.zscaler.com/2013/07/malware-using-googlecode-for.html

Arbor Networks blogger om trender innen DDoS

Arbor Networks har gitt ut en bloggpost om trender innen DDoS for årets andre kvartal. De har også lagd et grafisk sammendrag av trendene i den aktuelle perioden.
Referanser
http://www.arbornetworks.com/corporate/blog/4938-ddos-attacks-in-1h-2013-infographic
http://www.arbornetworks.com/corporate/blog/4922-q2-key-findings-from-atlas

Facebook bytter til TLS som standard

Facebook går over til å bruke TLS (SSL) som standard for alle brukere.
Referanser
https://www.facebook.com/notes/facebook-engineering/secure-browsing-by-defa%20ult/10151590414803920

VMWare oppdaterer ESX og ESXi

VMWare har sluppet oppdateringer for ESXi og ESX. Oppdateringene retter en rekke svakheter i tredjeparts biblioteker og applikasjoner. For mer informasjon om de aktuelle svakhetene, se referanse.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.vmware.com/security/advisories/VMSA-2013-0009.html

Cisco retter svakhet i flere ruterprodukter

Cisco har gitt ut informasjon rundt en svakhet i implementeringen av rutingprotokollen "Open Shortest Path First". Svakheten kan gjøre det mulig for en inntrenger å avskjære og omdrigere nettverkstrafikk. For mer informasjon om svakheten og hvilke produkter som er berørt, se referanse.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf

Thursday, 1 August 2013

2013.08.01 - Nyhetsbrev

Tidligere omtalt Android svakhet misbrukes og Cisco utgir en oppdatering som retter opp en svakhet som lar en inntrenger endre på brukerrettigheter.

Tidligere omtalt svakhet i Android misbrukes

Svakheten omtalt i vårt nyhetsbrev 18. juli blir nå aktivt misbrukt. Denne svakheten lar angripere omgå en verifiseringssjekk som utføres når du installerer applikasjoner på Android og kan derfor brukes til å installere skadelig programvare. Proof of Concept for denne svakheten ligger tilgjengelig på GitHub.
Referanser
http://vrt-blog.snort.org/2013/07/android-extra-field-vulnerability_30.html

Cisco retter svakhet i WAAS Central Manager

Cisco har publisert en oppdatering til flere WAAS-produkter (Wide Area Application Services). Oppdateringen retter en svakhet som kan gjøre det mulig for en inntrenger å eskalere rettighetene til en uprivilegert bruker. Dette kan videre bruke for å eksekvere kode i det berørte systemet.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130731-waascm