Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 30 September 2013

2013.09.30 - Nyhetsbrev

Kaspersky Lab har publisert rapport om en ny APT ved navn Icefog. Aksjon mot ulovlig marked for omsetting av tilgang til kompromitterte servere. Det britiske forsvaret oppretter ny cyber-enhet.

Kaspersky Lab har publisert rapport om en ny APT ved navn Icefog

Kaspersky Lab har publisert rapport om en ny APT kalt Icefog som har vært aktiv siden 2011. Icefog retter seg mot regjeringer og militære institusjoner og andre store aktører, først og fremst i Sør-Korea og Japan.
Referanser
http://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers http://www.intego.com/mac-security-blog/new-cross-platform-backdoor-trojans-used-in-targeted-attack/

Aksjon mot ulovlig marked for omsetting av tilgang til kompromitterte servere

Europol har i en pressemelding gått ut med informasjon rundt en aksjon mot et ulovlig marked for kjøp og salg av bla. tilgang til over 21.000 kompromitterte servere. Aksjonen skjedde 9.juli i år i samarbeid med spansk politi. Europol har anslått at markedet hadde en daglig omsetning på rundt 10.000 euro og at tilgang til kompromitterte servere har blitt solgt til 450 kunder. I følge Europol ble det under arrestasjonen også gjort beslag av 50.000 euro i kontanter. De arresterte er også mistenkt for å ha bedrevet hvitvasking.
Referanser
https://www.europol.europa.eu/content/spanish-police-and-europol-arrest-cybercrime-service-providers

Det britiske forsvaret oppretter ny cyber-enhet

Forsvarsdepartementet i Storbritannia skal opprette en ny cyber-beredskapsenhet bestående av flere hundre soldater.
Referanser
http://www.bbc.co.uk/news/uk-24321717

Friday, 27 September 2013

2013.09.27 - Nyhetsbrev

Security Essentials designet kun som førstelags sikkerhet. Google Talk feilsendte meldinger. Ny oppdatering for Microsoft Outlook 2013. Apple med oppdatering som fikser låseskjermsvakhet.

Microsoft: Security Essentials er kun designet til å være førstelags sikkerhet mot virus og malware.

I følge PCPRO har Microsoft innrømmet at brukere bør installere et antivirus program i tillegg til Microsoft Security Essentials (MSE). Dette fordi MSE er designet for å kun være et første lag med sikkerhet mot virus og malware, og på grunn av dette vil den alltid ligge lavest på lista over antivirus-tester.

Les mer i referansen om hvorfor Microsoft valgte å designe MSE slik. Husk at i tillegg til å ha anti-virus er det også viktig å holde alt av programmer på PCen oppdatert og kun installere/kjøre programmer fra anerkjente selskaper.
Referanser
http://www.pcpro.co.uk/news/security/384394/microsoft-security-essentials-is-designed-to-be-bottom-of-the-antivirus-rankings

Google Talk sendte meldinger til feil mottakere

The Inquirer rapporterer om at Google Talk sin tjeneste har sendt meldinger til feil mottakere. Flere brukere rapporterer at noen av meldingene deres ble sendt til andre brukere på kontaktlisten. Noen rapporter til og med at meldingene ble sendt til personer som ikke var på kontakt listen deres.

Hva som var årsaken til dette er ikke kjent, men det problemet rammet først og fremst brukere av Google Talk som enda ikke hadde oppgradert til den nye versjonen Google Hangouts. Google har nå fikset feilen.
Referanser
http://www.theinquirer.net/inquirer/news/2297061/google-talk-glitch-sees-messages-being-sent-to-the-wrong-recipients

Microsoft oppdaterer Outlook 2013

Microsoft har sluppet en oppdatering til Outlook 2013 som retter problemene som oppstod i forbindelse med oppdateringen som ble sluppet tidligere denne måneden. Se referansen for mer informasjon rundt denne oppdateringen.
Referanser
http://support.microsoft.com/kb/2825632

Apple fikser låseskjermsvakhet i ny oppdatering

To svakheter som lot brukere komme seg forbi låseskjermen blir nå fikset i ny oppdatering for iOS 7. Denne svakheten gjorde det mulig å aksessere både sosiale medie- og emailkontoer assosiert med telefonen.
Referanser
http://www.engadget.com/2013/09/19/ios-7-bug/

Thursday, 26 September 2013

2013.09.26 - Nyhetsbrev

NSM har blogget om sikkerhet på mobiler og nettbrett. Cisco retter svakheter.

NSM om sikkerhet på mobiler og nettbrett

NSM har skrevet et blogginnlegg om sikkerhet på mobiler og nettbrett. Der hevder de at antivirusselskapene og pressen overdriver farene ved malware på mobiltelefoner. NSM mener at malware-trusselen mot mobiler er relativt liten sett i forhold til PCer.

Det vi ser av malware-aktivitet på TSOC underbygger NSMs påstander. Det er svært sjelden vi har sett malware på mobiler.
Referanser
http://blogg.nsm.stat.no/archives/4347

Cisco retter svakheter i IOS

Cisco har sluppet en større oppdatering for IOS som retter en rekke mindre svakheter. For mer informasjon om hvilke produkter som er rammet av de forskjellige svakhetene, se referanser.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130925-ntp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130925-cce
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130925-ike
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130925-dhcp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130925-nat
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130925-wedge
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130925-ipv6vfr
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130925-rsvp

Wednesday, 25 September 2013

2013.09.25 - Nyhetsbrev

Fjernsletting av Android telefoner har nå blitt implementert av Google. Analyse av FBI sin Tor malware har blitt publisert.

Fjernlokalisering, sletting og låsing til Android

Android har endelig fått skikkelig innebygget funksjonalitet for å lokalisere, slette og låse mistede telefoner/nettbrett. Alle med Android-telefon bør sette opp dette så fort som mulig. Det tar under ett minutt per enhet.

Kortversjon: Åpne appen "Google Innstillinger". Velg "Android
Device Manager". Kryss av for begge valgene på skjermen. Trykk "Aktiver"
på sikkerhetsspørsmålet du får opp.

Du kan deretter lokalisere, låse osv. fra Googles side for Device Manager.
Referanser
http://www.androidcentral.com/how-set-android-device-manager-lock-and-wipe-your-phone https://www.google.com/android/devicemanager

Gareth Owen har publisert en analyse av FBI sin Tor-malware.

Gareth Owen har publisert en detaljert analyse av malwaren som ble brukt mot Tor-brukere tidligere i år. Mye tyder på at FBI står bak denne malwaren. I analysen skriver han om hvordan malwaren fungerer og hva slags informasjon det samlet inn.
Referanser
http://oweng.myweb.port.ac.uk/fbi-tor-malware-analysis/

Tuesday, 24 September 2013

2013.09.24 - Nyhetsbrev

Karsten Nohl slipper mer info om SIM-kort svakheter. F-Secure sikkerhetsrapport for første halvår 2013.

Karsten Nohl slipper mer info om SIM-kort svakheter

Den tyske sikkerhetsforskeren Karsten Nohl har nå sluppet flere detaljer rundt svakheter i SIM-kort som har vært tidligere omtalt.
Referanser
http://www.theregister.co.uk/2013/09/23/white_hat_sim_hacker_disillusioned_and_dismayed_by_operator_response/

F-Secure sikkerhetsrapport for første halvår 2013

F-Secure har nettopp sluppet sin sikkerhetsrapport for første halvår 2013: Java i nettleseren er den fremste vektor for angrep på PC, Android bærer hovedtyngden for angrep for mobiler og Mac malware blir mer utbredt. F-Secure bemerker også en del angrep på store bedrifter som Twitter, Facebook, Apple og Microsoft.
Referanser
http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H1_2013.pdf

Monday, 23 September 2013

2013.09.23 - Nyhetsbrev

Ukjent Internet Explorer-svakhet brukt i målrettede angrep mot Japan. Ny TouchID til nye iPhone knekt etter få timer. iOS stemmestyrte assistent Siri er veldig hjelpsom, selv om telefonen er låst. Flere sveitiske selskaper skal ha vært kompromittert av samme angriper, og spor tyder på at det er samme angriper som rammet Telenor. Gjensidige.no skal ha vært under DDOS. FBI rapporterer om en ny type malware.

Gjensidige.no skal ha vært under DDoS-angrep

Dagensit og Digi melder om at Gjensidige's nettsider for ca. to uker siden skal ha vært utsatt for et DDoS-angrep. I forbindelse med angrepet skal det ifølge DagensIT ha blitt levert inn en trusselmelding med begrunnelse for angrepet. Nettsiden skal ha vært utilgjengelige i ca. tre timer mens angrepet pågikk.
Referanser
http://www.digi.no/922989/stoppet-gjensidiges-nettsider http://www.dagensit.no/article2687013.ece

iOS stemmeaktiverte assistent Siri er kanskje litt for hjelpsom

Forskere skal ha klart å bruke Siri til å poste på FaceBook og Twitter, sende meldinger og epost, ringe og aksessere kontaktinformasjon, alt fra en låst telefon.
Referanser
http://www.securityweek.com/ios-7-vulnerability-lets-attackers-control-iphones-siris-help

CCC har kommet seg rundt Apples TouchID

Den nylig lanserte iPhone 5s kom funksjnoen TouchID, hvor en kan låse telefonen ved bruk av fingeravtrykk. Nå har CCC (Chaos Computer Club) klart å omgå denne låsemekanismen ved bruk av hverdagsartikler, men en må ha fingeravtrykket til en godkjent bruker på telefonen. Dette er ikke veldig overraskende, da lignende systemer har blitt lurt på tilsvarende måte tidligere. TouchID er ment å erstatte en PIN-kode på en telefon, og må fortsatt sies å ha god nok sikkerhet til å brukes til dette.
Referanser
http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid

FBI rapporterer om en ny type malware

FBI har funnet en ny malware kjent som Beta Bot. Denne malwaren blir som oftest brukt for å stjele sensitive informasjon ved å blokkere brukerens tilgang til sikkerhetssider, samt deaktivere antivirus, slik at maskinen er sårbar for andre typer angrep.

Malwaren får tilgang til maskinen hvis brukeren godkjenner en "User Account Control" melding som kommer opp som sier at "Windows Command Processor" vil ha tilgang og gjøre endringer. Internet Crime Complaint Center (IC3) anbefaler at hvis du ikke gjorde noen endringer på maskinen som ville utløst en slik "User Account Control" melding bør du ikke gi programmet tilgang.
Referanser
https://www.ic3.gov/media/2013/130918.aspx

0-day i Internet Explorer brukt i målrettete angrep mot Japan

FireEye har skrevet en bloggpost om et større målrettet angrep mot organisasjoner i Japan, der man har brukt den siste 0-day svakheten i Internet Explorer. Disse angrepene startet så tidlig som 23. august, nesten en måned før svakheten ble allment kjent.
Referanser
http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

Innbrudd i Sveitsiske selskaper kan være relatert til Telenor-innbrudd

Det rapporteres i en Svetisk avis om at en angriper ha brutt seg inn hos flere Svetsiske selskaper. Spor tyder på at angriperen kan være den samme som stod bak angrepet mot Telenor.
Referanser
http://translate.google.com/translate?sl=auto&tl=no&js=n&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fwww.sonntagszeitung.ch%2Fwirtschaft%2Fartikel-detailseite%2F%3Fnewsid%3D262774&act=url

Friday, 20 September 2013

2013.09.20 - Nyhetsbrev

Snowden-dokument indikerer at britisk etterretning står bak Belgacom-innbrudd. RSA går ut med anbefaling mot bruk av NSA-algoritme. Det er funnet en svakhet i iOS som gjør det mulig å forbigå låseskjermen i iOS 7. Androids Facebook-app sender bilder ukryptert. En grupper 16 åringer påstår de står bak DDoS-angrepene mot sj.se denne uken.

Det er mulig å forbigå låseskjermen på iOS 7

Det er funnet en svakhet i iOS 7 som gjør det mulig å forbigå låseskjermen, ved å gå igjennom en serie med trykk fra låseskjermen. En midlertidig fiks skal være å fjerne kontrollsenter fra låseskjermen. Se referanse for detaljer.
Referanser
http://www.forbes.com/sites/andygreenberg/2013/09/19/ios-7-bug-lets-anyone-bypass-iphones-lockscreen-to-hijack-photos-email-or-twitter/

RSA går ut med anbefaling om å slutte å bruke algoritme med NSA-tilknytning

RSA går ut med anbefaling om å slutte å bruke "Dual Elliptic Curve Deterministic Random Bit Generation (Dual EC DRBG)", som mistenkes å inneholde en NSA-bakdør. Denne algoritmen er standard-algoritme i en av RSAs verktøysett.

Allerede i 2007 ble det mistenkt at det kunne være en NSA-bakdør i algoritmen. Se bloggposten hos cryptographyengineering.com for historien til algoritmen, og mistanken om NSA bakdøren.
Referanser
http://www.wired.com/threatlevel/2013/09/rsa-advisory-nsa-algorithm/ http://blog.cryptographyengineering.com/2013/09/the-many-flaws-of-dualecdrbg.html? http://rump2007.cr.yp.to/15-shumow.pdf

Britisk etterretningstjeneste trolig bak Belgacom-inntrengning

Et av Snowden-dokumentene Spiegel skal ha fått tilgang til, indikerer at det er britisk etterretning som står bak den tidligere omtalte Belgacom-inntrengingen. Ifølge dokumentene skal de ha hatt tilgang til interne systemer siden 2010. Belgacom har blant annet EU-kommisjonen, Europaparlamentet og Europarådet som sine kunder, som det i et tidligere Snowden-dokument er kommet frem at er blitt spionert på.
Referanser
http://www.spiegel.de/international/europe/british-spy-agency-gchq-hacked-belgian-telecoms-firm-a-923406.html

Facebook-applikasjonen til Android sendte ukrypterte bilder

Threatpost rapporterer at Facebook-applikasjonen til Android sendte bilder over HTTP til Facebook sine servere. Dette selv om applikasjonen egentlig skal sende informasjon over HTTPS.

Sikkerhetsforsker Mohamed Ramadan, som rapporterte denne svakheten til Facebook i februrar, forteller at dette gjelder både selve Facebook applikasjonen og Facebook Messenger-applikasjonen.

Facebook har nå fått ut en fiks til Android applikasjonen og Ramadan anbefaler å oppdatere slik at bildene dine ikke kommer på avveie.
Referanser
http://threatpost.com/facebook-android-bug-sent-users-photos-in-the-clear/102352

Gruppe med 16 åringer påstår de står bak DDOS angrep mot sj.se

En grupper med 16 åringer påstår at de står bak DDOS angrepene mot sj.se tidligere i uken.
Referanser
http://www.laholmstidning.se/article/20130919/MALMO/130919198/-/16-aringar-har-tagit-pa-sig-attacker

Thursday, 19 September 2013

2013.09.19 - Nyhetsbrev

Episode med forbundskansler Angela Merkel viser potensiell fare med droner. NSA kjøpte sårbarheter fra Vupen. DDoS-angrep mot Statens Järnvägar. Firefox og Thunderbird oppdateres. Cisco retter svakheter i flere Primer-produkter.

Episode med forbundskansler Angela Merkel viser potensiell fare med droner

En episode med forbundskansler Angela Merkel, der et quadcopter krasjet på scenen rett ved forbundskansleren, viser den potensielle faren slik utstyr med f.eks. sprengstoff kan utgjøre. Episoden var resultat av et stunt fra det Tyske Piratpartiet, som en protest mot myndighetenes overvåking.
Referanser
http://arstechnica.com/information-technology/2013/09/german-chancellors-drone-attack-shows-the-threat-of-weaponized-uavs/

NSA kjøpte sårbarheter fra Vupen

Det har tidligere blitt kjent at NSA kjøper sårbarheter for å bryte seg inn i systemer. Det viser seg nå at franske Vupen er et av firmaene de handler fra.
Referanser
http://www.digi.no/922874/nsa-kjopte-saarbarheter-fra-vupen

DDoS-angrep mot Statens Järnvägar

Statens Järnvägar i Sverige er under DDoS-angrep. Angrepet gjør det vanskelig å bestille billetter, og passasjerer blir anbefalt å løse billetter på toget. Angrepet påvirker ikke trafikkavviklingen.
Referanser
http://www.digi.no/922903/it-angrep-mot-svensk-jernbane

Firefox og Thunderbird oppdateres

Mozilla har oppdatert Firefox og Thunderbird til versjon 24. Oppdateringen fikser 17 forskjellige sårbarheter, der noen av dem kan brukes til ekstern kodeeksekvering. I tillegg innføres det også noen nye funksjoner.
Anbefaling
Oppdater Firefox og Thunderbird
Referanser
http://www.mozilla.org/security/known-vulnerabilities/firefox.html
https://www.mozilla.org/security/known-vulnerabilities/thunderbird.html

Cisco retter svakheter i flere Primer-produkter

Cisco har sluppet oppdateringer til Prime DCNM og Prime Central for HCS. Oppdateringene retter blant annet en svakhet som gjør det mulig å forbigå sikkerhetsmekanismer for å oppnå økte brukerrettigheter. For mer informasjon rundt oppdateringene, se referanser.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130918-dcnm
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130918-pc

Wednesday, 18 September 2013

2013.09.18 - Nyhetsbrev

Microsoft ute med midlertidig løsning for hull i Internet Explorer. Symantec har skrevet om en hackergruppe de har hatt under oppsyn kalt Hidden Lynx. F-Secure ute med interessant statistikk angående svindel på nett.

Microsoft med midlertidig fiks for kritisk sikkerhetshull i IE

Microsoft har nylig funnet en tidligere ukjent sårbarhet som eksisterer i alle versjoner av Internet Explorer. Sårbarheten skall allerede ha blitt utnyttet i målrettede angrep. Microsoft jobber med en offisiell fiks, men har i mellomtiden gitt en midlertidig løsning for å beskytte berørte kunder.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2887505

Symantec skriver om en gruppering de kaller Hidden Lynx

Symantec har på bloggen sin publisert et innlegg hvor de beskriver en hackergruppe som de har hatt under oppsyn. De forteller at gruppen kan bestå av 50-100 operatører og tar oppdrag som de blir leid inn for. Det er samme gruppen som stod bak kompromitteringen av Bit9 i fjor.
Referanser
http://www.symantec.com/connect/blogs/hidden-lynx-professional-hackers-hire http://arstechnica.com/security/2013/09/meet-hidden-lynx-the-most-elite-hacker-crew-youve-never-heard-of/

1 av 10 nett brukere har vært offer for nettsvindel

I en undersøkelse utført av F-Secure kom det frem at ca 1 av 10 forbrukere har vært offer for en eller annen form for nettsvindel som har kostet dem penger.
Referanser
http://www.net-security.org/secworld.php?id=15586

iPhones nye fingeravtrykkleser vekker personvernsbekymringer

Apples bruk av fingeravtrykk åpner et potensielt permanent sikkerhetshull, dette siden biometrisk data ikke kan forandres. Om en skulle være så uheldig å få en av sine online kontoer kompromittert så har en vanligvis muligheten til å bytte passord. Fingeravtrykk er derimot litt mer utfordrende.
Referanser
http://news.cnet.com/8301-1009_3-57603298-83/iphone-fingerprint-scanner-sparks-privacy-worries/

Tuesday, 17 September 2013

2013.09.17 - Nyhetsbrev

Belgacom hacket og NSA mistenkes av mange å stå bak. For lange passord kan bli en svakhet. Hull hos XXL.no muliggjorde spørringer mot folkeregisteret.

Belgacom hacket og NSA mistenkes av mange å stå bak

Belgias største mobiloperatør har anmeldt en "ukjent tredjepart" som har hacket inn i flere av systemene deres og tatt kontroll over disse. Belgacom har ikke offisielt sagt hvem denne tredjeparten kan være, men andre kilder mener det er NSA eller GCHQ fra Storbritannia. Angriperne skal ha kommet seg unna med store mengder data fra anropslogger.
Referanser
http://gigaom.com/2013/09/16/belgian-telco-says-it-was-hacked-while-reports-point-to-nsa-or-gchq-as-culprit/

For lange passord kan bli en svakhet

Algoritmen PBKDF2 brukes til å transformere et passord til et kryptografisk hash for lagring av passord i databasen, men den samme opperasjonen må også gjøres for testing av passord gitt av brukeren. Siden PBKDF2 ikke setter noen grense for passordlengde, åpner dette for en type DoS-angrep der en angriper kan okkupere en servers resurser ved å skrive inn lange passord som angriperen vet ikke vil bli godkjent. Problemet utbedres ved å sette en øvre grense for hvor langt et passord kan være.
Referanser
http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/

Hull hos XXL.no blottla folkeregisteret

Digi.no rapporterer om et nå fikset hull hos sportskjeden XXL.no som gjorde det mulig å hente ut fornavn, etternavn, bostedsadresse, postnummer og poststed om man hadde fødselsnummeret. Det hele fungerte ved at du gikk til en bestemt URL med et parameter som tok et siffer på 11 tall (fødselsnummer) og ut ifra det fikk du informasjonen, om fødselsnummeret eksisterte.

Dette kunne veldig lett blitt gjort automatisk og noen kunne ha tatt seg muligheten til å hente ut masse informasjon.
Referanser
http://www.digi.no/922764/blottla-folkeregistreret

Monday, 16 September 2013

2013.09.16 - Nyhetsbrev

I helgen har FireEye servert malware via dere webside, 12 hackere er arrestert etter innbrudd hos Santander, FBI har innrømmet å stå bak malware-angrepet i Tor-nettverket og noen mener Microsoft bør revudere måten de patcher på.

FireEye serverte malware

I helgen ble det kjent at sikkerhetsfirmaet FireEye serverte malware av typen ransomware via deres webside. Malwaren kom fra et tredjeparts annonsenettverk som viste annonser på fireeye.com.
Referanser
http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/darkleech-says-hello.html

Britisk politi har arrestert 12 personer i en hackergruppe som skulle stjele flere millioner

12 personer som hadde som mål å stjele flere millioner pund fra Santander via bruk av KVM-switch med nettverksmuligheter har blitt arrestert av politiet i London.
Referanser
http://news.sky.com/story/1141118/santander-bank-hacking-plot-foiled-by-police

FBI innrømmer stort malware-angrep via Tor-nettverket

FBI har nå innrømmet at de kontrollerte de serverne i Tor-nettverket som ble brukt i et stort malware-angrep. Målet med malwaren var å kunne identifisere brukerne i det anonyme Tor-nettverket.
Referanser
http://www.wired.com/threatlevel/2013/09/freedom-hosting-fbi/

Microsoft oppdateringer med flere feil, 3 måneder på rad

ZDNet har en artikkel om Microsoft og deres patchetirsdag, hvor Microsoft de siste tre månedene har måttet trekke en eller flere av patchene tilbake pga at de innholdt feil. Forfatteren foreslår blant annet å gå bort ifra dagens system med fast månedlig patching.
Referanser
http://www.zdnet.com/why-all-the-errors-in-microsoft-updates-lately-7000020628/

Friday, 13 September 2013

2013.09.13 - Nyhetsbrev

Vodaphone i Tyskland har fått kompromittert sin kundedatabase. Wordpress fikser sårbarheter og Apple patcher Safari for OS X.

Wordpress fikser sårbarheter i ny oppdatering.

Threatpost forteller om ny oppdatering til Wordpress som fikser mange svakheter, der i blant en svakhet som kunne la angripere få muligheten til å fjerne filer.

Les mer i referansen om hva denne oppdateringen fikser.
Referanser
http://threatpost.com/wordpress-fixes-remote-code-execution-flaw-with-3-6-1-release/102272

Vodafone Tyskland kompromittert - brukerinformasjon til 2 millioner kunder stjålet

Hackere fikk tak i brukerinformasjon til to millioner kunder av Vodafone i Tyskland. Disse brukerdataene inkluderer navn, adresser, kontonummere og fødselsdato. Telefonnummer, kredittkortnummer og passord skal visst være trygge i følge The Register. I artikkelen vites det ikke noe om hvordan angrepet tok plass, men en av Vodafone sine interne servere skal visst ha blitt kompromittert.

Les mer i referansen.
Referanser
http://www.theregister.co.uk/2013/09/12/vodafone_germany_breach/

Apple Safari for Mac OS X Two Vulnerabilities

Apple har sluppet en oppdatering til Safari for OS X. Oppdateringen fikser to sårbarheter i JavaScriptCore som kan utnyttes til ekstern kodeeksekvering.
Anbefaling
Oppdater
Referanser
http://support.apple.com/kb/HT5921


Thursday, 12 September 2013

2013.09.12 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Wednesday, 11 September 2013

2013.09.11 - Nyhetsbrev

Microsoft og Adobe er ute med oppdateringer. Merk at Microsoft har en større oppdatering til Office pakken denne gangen som også retter en rekke svakheter. Av andre sikkerhetsnyheter siste døgnet kan vi også nevne at Syrian Electronic Army har hacket Hootsuite-kontoen til FOX TV, Google advarer bedrifter mot å bruke passord som eneste autentiseringsmekanisme og at FRP sine nettsider ble rammet av et DDoS angrep tirsdag kveld.

Microsoft har publisert Windows-oppdateringer for september

Microsoft har publisert 14 oppdateringer, hvor fire er rangert som kritiske.

Den første kritiske oppdateringen fikser Microsoft Office Web Apps 2010 for alle versjoner av Microsoft SharePoint server. Oppdateringen aktiverer MAC (Machine Authentication Check), korrigerer hvordan SharePoint kontrollerer oppkoplinger og hvordan SharePoint verifiserer og håndterer udefinert arbeidsflyt.

Den andre kritiske oppdateringen fikser Microsoft Outlook 2007 SP3, og Outlook 2010 SP1 - SP3. Oppdateringen korrigerer hvordan Outlook prosesserer S/MIME eposter.

Den tredje kritiske oppdateringen fikser Internet Explorer 6 - 10. Oppdateringen fikser en sårbarhet ved å korrigere hvordan objekter håndteres i minnet.

Den siste kritiske oppdateringen fikser Windows XP og Windows 2003. Oppdateringen fikser sårbarheten ved å korrigere hvordan OLE objekter håndteres i minnet.

Ut over dette er det viktige oppdateringer til alle versjoner av Windows (XP -> ), alle versjoner av Office (2003 -> ) og Microsoft FrontPage 2003.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-sep

Adobe gir ut sikkerhetsoppdatering for Flash Player og AIR

Adobe har gitt ut en sikkerhetsoppdatering for Flash Player og AIR på Windows, Macintosh, Linux og Android. Oppdateringen retter feil som kan føre til tjenestenekt og mulighet for å ta over systemet som blir angrepet. Se referansen for en liste over sårbare systemer, instrukser for hvordan man bør oppgradere og en liste over sårbarheter som har blitt rettet.
Referanser
http://www.adobe.com/support/security/bulletins/apsb13-21.html

Microsoft oppdaterer Office

Microsoft fikser 13 sikkerhetssvakheter i Microsoft Office. De mest alvorlige svakhetene gjorde det mulig å kjøre ekstern kode dersom en bruker åpnet en infisert fil og kunne ende opp med å gi en angriper tilsvarende rettigheter på systemet som brukeren. Oppdateringen gjelder kun Office for Windows.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-072

Google hevder at passord alene ikke er godt nok

Googles sikkerhets og informasjonsleder hevder at passord alene ikke er godt nok og advarer bedrifter som bruker passord som primær sikkerhet for brukerens data.
Referanser
http://news.cnet.com/8301-1009_3-57602286-83

SEA på tokt igjen

Syrian Electronic Army har hacket Hootsuite kontoen til FOX TV, og brukt tilhørende Twitter-kontoer til og publisere pro-Syrisk tweets.
Referanser
http://hackread.com/sea-hacks-fox-tv-hootsuite-social-media-account/

Adobe oppdaterer Adobe Reader og Acrobat

Adobe har utgitt oppdateringer for Adobe Reader og Acrobat for Windows og Mac. Oppdateringene fikser sikkerhetshull som kunne føre til at programmet krasjet og potensielt gi en angriper kontroll over systemet.
Referanser
www.adobe.com/support/security/bulletins/apsb13-22.html

FRP sine nettsider rammet av DDoS angrep

FRP skal ha blitt utsatt for et DDoS angrep som skal ha gjort nettsidene deres utilgjengelige fra tirsdag kveld til onsdag morgen. Dette melder bt.no i en artikkel i dag.
Referanser
http://www.bt.no/nyheter/Massivt-angrep-mot-Frpno-2965249.html

Tuesday, 10 September 2013

2013.09.10 - Nyhetsbrev

Web-servere som bruker PHP kan være sårbare for ny svakhet. Symantec rapporterer om mange utgitte svindelapplikasjoner på Google Play. Datatilsynet vil ha Snowden-oppvask.

Web-servere som bruker PHP kan være sårbare for ny svakhet


Det er oppdaget en svakhet i forbindelse med "super globale"-variabler i PHP. Dettte kan gjøre det mulig for en angriper å injisere kode og potensielt sett ta kontroll over sårbare servere.
Referanser
http://www.imperva.com/docs/HII_PHP_SuperGlobals_Supersized_Trouble.pdf
http://www.v3.co.uk/v3-uk/news/2293455/facebook-yahoo-and-wikipedia-users-vulnerable-to-attack-thanks-to-php-flaw

Symantec rapporterer om mange utgitte svindelapplikasjoner på Google Play


I følge Symantec har det blitt utgitt over 1000 "one-click"-svindel applikasjoner i August, som gjør den til en av de travleste dette året når det gjelder slike applikasjoner. Dette har ført til at over 8500 Google Play brukere har lastet disse ned. De fleste svindelapplikasjonene som ble gitt ut i august ble fjernet dagen etter av Google. Svindelen ligger i at brukerne betaler for "voksen"-filmer som de etterpå i noen tilfeller ikke får se.
Referanser
http://www.symantec.com/connect/blogs/busy-august-one-click-fraud-scammers-google-play

Datatilsynet vil ha Snowden-oppvask



DagensIT melder at Datatilsynet og flere norske IT-aktører krever at myndighetene gjennomfører en kartlegging over hvilke konsekvenser informasjonen i Snowden-lekkasjene har for Norge.
Referanser
http://www.dagensit.no/article2679277.ece

Monday, 9 September 2013

2013.09.09 - Nyhetsbrev

Hesperbot, en ny banktrojaner, har fått mye oppmerksomhet i helgen, og både McAfee og Eset skriver om denne. TrendMicro skriver om Fidobot som angriper Joomla og Wordpress, mens Google har satt fart i sitt prosjekt om kryptering mellom servere.

McAfee og Eset går inn i dybden på et av de nyeste bank-malwarene

Hesperus, også kalt Hesperbot, er en forholdsvis nye banktrojaner, som også har en komponent skrevet for mobiltelefoner. Både Eset og McAfee har skrevet en teknisk bloggpost om denne trojaneren.
Referanser
http://blogs.mcafee.com/mcafee-labs/hesperus-evening-star-shines-as-latest-banker-trojan
http://www.welivesecurity.com/2013/09/06/hesperbot-technical-analysis-part-12/

FBI stempler SEA som en terroristgruppe

Etter SEAs (Syrian Electronic Army) angrep på New York Times har FBI Cyber Division offisielt lagt gruppen til på sin liste over ettersøkte.
Referanser
http://www.ibtimes.com/fbi-adds-syrian-electronic-army-wanted-list-supporters-hacker-collective-will-be-regarded-terrorists

TrendMicro melder om at Joomla og Wordpress nettsteder er under konstant angrep

TrendMicro rapporterer om at de har funnet en bakdør, kjent som Fidobot har blitt brukt til å kjøre mange bruteforce angrep mot administrator sidene til Joomla og WordPress. De forteller at for å gjøre dette må malwaren koble seg til en kontrollserver hvor den laster ned en liste over hvilke nettsteder den skal angripe, samt en liste over passord den skal teste. Den bruker hele tiden brukernavnet admin når den prøver å logge inn. I følge TrendMicro ble det utført angrep på over 17 000 forskjellige domener.
Referanser
http://blog.trendmicro.com/trendlabs-security-intelligence/joomla-and-wordpress-sites-under-constant-attack-from-botnets/

Google jobber fortere med planene om å kryptere trafikk mellom servere.

Cnet rapporterer om at Google nå har satt opp hastigheten med å få kryptering på all trafikk mellom deres servere. Dette mye på grunn av NSA (National Security Agency) sin spioneringsskandale.
Referanser
http://news.cnet.com/8301-1023_3-57601820-93/google-accelerates-encryption-project/

Friday, 6 September 2013

2013.09.06 - Nyhetsbrev

Det er kommet ut ny informasjon rundt NSA's omfattende innsats og kapabilitet til å knekke og omgå kryptering. Microsoft har sluppet informasjon om neste ukes oppdateringer. Websense rapporterer om generelt stort etterslep på oppdatering av Java og Flash i bedrifter. Botnet mulig årsak til stor økning i Tor brukere. Securelist har publisert en analyse av Android trojaneren Obad.a.

NSA og GCHQ knekker mye brukt kryptering og får lagt inn bakdører

I nye dokumenter lekket av Snowden beskrives NSAs omfattende kapabilitet til å knekke og omgå kryptering, og deres omfattende fokus på dette området. Det beskrives at NSA har kapabiliteter mot "enkelere" mye brukt kryptering, slik som "HTTPS, voice-over-IP and Secure Sockets Layer (SSL)". I tillegg skal de i det skjulte ha påvirket nye åpne krypto standarder, og i enkelte tilfeller i praksis fått full kontroll over disse standardene, i den hensikt å legge inn svakheter de kan benytte seg av. De skal også ha et samarbeid med utvalgte selskaper om å legge inn bakdører og svakheter i kommersielle enheter og programvare.
Referanser
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
http://mobile.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html
http://blog.cryptographyengineering.com/2013/09/on-nsa.html
http://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html

Obad trojaner sprer seg gjennom botnet

Obad Trojaneren har begynt å spre seg via et mobil botnet. Obad, som kan spre seg via spam SMSer eller via falske Google Play Stores, finnes i 12 ulike versjoner. Alle av dem utnytter det samme hullet i Android, som gjør det mulig for malwaren å oppnå DeviceAdminitrator-rettigheter. Dette hullet ble fikset i Android 4.3, som foreløpig kun er tilgjengelig på et fåtall enheter. For å unngå å bli smittet av denne typen malware bør en kun installere programmer fra Googles ofisielle marked, Google Play.
Referanser
http://www.securelist.com/en/blog/8131/Obad_a_Trojan_now_being_distributed_via_mobile_botnets

Microsoft melder om oppdateringer tirsdag 10.09

Microsoft melder om at neste runde med oppdatering blir gitt ut tirsdag den 10. september. Blant disse oppdateringene er det 4 kritiske og 10 viktige. De kritiske oppdateringene fikser feil i Internet Explorer, Outlook, Sharepoint og Windows.
Referanser
http://blogs.technet.com/b/msrc/archive/2013/09/05/advance-notification-service-for-september-2013-security-bulletin-release.aspx

Mange bruker fortsatt gamle versjoner av Java og Flash

Websense rapporterer om stort etterslep på oppdatering av Java og Flash hos sine bedriftskunder.

* Bare 19 prosent av Windows-baserte maskiner kjørte seneste versjon av Java.
* Mer enn 40 prosent av Java forespørsler er fra nettlesere som forsatt bruker Java 6.
* Ca 84% av nettlesere hadde Java installert.
* 40 prosent av brukerne brukte utdaterte flash versjoner.
Referanser
http://community.websense.com/blogs/securitylabs/archive/2013/09/05/new-java-and-flash-research-shows-a-dangerous-update-gap.aspx

Stort botnet står bak nylig økning av brukere av Tor

Fox-IT har publisert et innlegg fra ProtACT og InTELL teamene hvor de diskuterer en malware-familie som nå har tatt i bruk Tor for kommunikasjon med C&C server, og hvordan dette samsvarer med den kraftige økningen av Tor brukere den siste tiden.
Referanser
http://blog.fox-it.com/2013/09/05/large-botnet-cause-of-recent-tor-network-overload/

Thursday, 5 September 2013

2013.09.05 - Nyhetsbrev

Svakhet i Cisco WebEx WRF Player og Cisco WebEx ARF Player.

Multiple buffer overflow vulnerabilities in Cisco players.

Svakheten ligger i to av Cisco sine players. Cisco WebEx WRF Player og Cisco WebEx ARF Player.
Anbefaling
Oppdater til nyere versjoner av programmene.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130904-webex

Wednesday, 4 September 2013

2013.09.04 - Nyhetsbrev

Utenriksdepartementet i Russland har sendt ut en anbefaling til sine innbyggere mot å reise ut av landet hvis man mistenker at man kan være ettersøkt USA.

Russland anbefaler personer om å ikke forlate landet hvis de mistenker at de er ettersøkt av USA

Russlands utenriksdepartement har gått ut med en varsel til sine borgere om å avstå fra å reise utenlands, spesielt til land som har signert avtale med USA om utlevering, hvis man mistenker at man kan være ettersøkt av USA. Advarselen ble sendt ut etter at en påstått russisk hacker ved navn Aleksander Panin ble arrestert i den Dominikanske republikk, på bakgrunn av en Interpol etterlysning fra USA. I rådet som ble publisert på deres nettside ble også andre saker med personer som er blitt dømt for ulike typer alvorlig kriminalitet nevnt.
Referanser
http://www.wired.com/threatlevel/2013/09/dont-leave-home/
http://www.russianembassy.org/article/answer-of-deputy-director-of-the-information-and-press-department-of-the-mfa-of-russia-maria

Tuesday, 3 September 2013

2013.09.03 - Nyhetsbrev

Undersøkelse viser at 30% av de som deltok ville åpnet en epost selv om de visste at den inneholdt et virus eller var syntes den var mistenkelig. Det har også blitt oppdaget en svakhet i Facebook som gjør det mulig å slette et hvilket som helst bilde.

30% åpner epost selv om de mener den ser mistenkelig ut

En spørreundersøkelse viser at hele 30% av de som deltok i undersøkelsen ville ha åpnet en epost selv om de var klar over at den inneholdt et virus eller om de syntes den så mistenkelig ut.
Referanser
http://www.pcworld.com/article/2047760/even-suspicious-email-is-too-tempting-to-skip-survey-finds.html

Facebook svakhet gjør det mulig å slette bilder

Arul Kumar fant nylig en Facebook svakhet som gjorde det mulig å slette et hvilket som helst bilde på Facebook ved å utnytte Facebooks Support Dashboard.
Referanser
http://arulxtronix.blogspot.in/2013/09/delete-any-photo-from-facebook-by.html

Monday, 2 September 2013

2013.09.02 - Nyhetsbrev

Svakhet i sudo i OS X. Nye dokumenter viser offensive amerikanske cyberoperasjoner.

Svakhet i implementeringen av SUDO i OS X

Det har blitt avdekket en svakhet i sudo-modulen i Apples OS X som kan brukes til å oppnå administratortilgang uten å måtte oppgi passord. Svakheten utnyttes ved at systemklokka stilles til 1. januar 1970. Dette kan gjøres uten administratortilgang. Der etter er det mulig kjøre kommandoer som vanligvis krever administratortilgang. Svakheten kan kun utnyttes hvis man allerede er innlogget med en brukes som er medlem i en gruppe med sudorettigheter.
Referanser
http://arstechnica.com/security/2013/08/unpatched-mac-bug-gives-attackers-super-user-status-by-going-back-in-time/

Snowden dokument viser stort omfang av offensive cyberoperasjoner utført av USA

Washington Post har publisert en artikkel som beskriver et stort omfang av offensive cyber-operasjoner utført av USA. Informasjonen er hentet fra et Snowden dokument, og nevner blant annet at det skal ha blitt utført 231 forskjellige offensive operasjoner i løpet av 2011. De skal også i perioden hatt ekstern kontroll på 68 975 ulike maskiner/enheter de ønsket å utføre overvåkning fra. Dokumentet skal også beskrive at de foretrekker å få kontroll på nettverks-utstyr, for på den måten å kunne få oversikt over større mengder maskiner/data.
Referanser
http://www.washingtonpost.com/world/national-security/us-spy-agencies-mounted-231-offensive-cyber-operations-in-2011-documents-show/2013/08/30/d090a6ae-119e-11e3-b4cb-fd7ce041d814_story.html