Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 29 November 2013

2013.11.29 - Nyhetsbrev

Falsk antivirusprogram bruker webcam-bilder til sosial manipulasjon. Britisk politibyrå advarer mot Skype voicemail-phishing. Spamhaus foreslår bøter for sårbare servere.

Falsk antivirusprogram bruker webcam-bilder til sosial manipulasjon

Webroot forteller om et falskt antivirusprogram som, i tillegg til å disable "Safe mode" ved oppstart av Windows, tar i bruk maskinens kamera for overbevise brukeren om å betale for "beskyttelse". Brukeren presenteres for et bilde av seg selv og blir fortalt at en angivelig ondsinnet prosess på maskinen er i ferd med å sende bildet til uvedkommende, med mindre man betaler i løpet av kort tid.
Referanser
http://www.webroot.com/blog/2013/11/27/new-rogue-now-takes-screenshots/

Britisk politibyrå advarer mot Skype voicemail-phishing

Storbritannias nasjonale rapporteringssenter for svindel og internettrelatert kriminalitet, ActionFraud, advarer mot en bølge av phishingmail som utgir seg for å være fra Skype. E-posten har angivelig vedlagt en talebeskjed fra en person som har forsøkt å ringe mottakeren.

Dette er i realiteten en Zeus-trojaner pakket inn i en zip-fil.

Utgaver av den samme meldingen har tidligere versert med både Telenor og andre europeiske telecom-operatører som angivelig avsender.
Referanser
http://www.theregister.co.uk/2013/11/28/skype_voicemail_alert_spam_flings_zeus_trojan/ http://www.actionfraud.police.uk/alert-fake-voicemail-emails-from-skype-contain-virus-nov13

Spamhaus foreslår bøter for sårbare servere

I kjølvannet av det massive DDoS-angrepet mot Spamhaus i våres har selskapet foreslått for britiske myndigheter at organisasjoner som ignorerer varsler om sårbare servere - eksemeplvis åpne DNS-resolvere - bøtelegges, forteller PC Pro.
Referanser
http://www.pcpro.co.uk/news/security/385666/spam-fighters-call-for-parking-tickets-on-unsafe-servers

Thursday, 28 November 2013

2013.11.28 - Nyhetsbrev

FireEye har oppdaget en rettighetseskaleringssvakhet i Windows XP/Server 2003.

Microsoft informerer som sikkerhetshull som kan utnyttes for lokal rettighetseskalering

Microsoft har gitt ut informasjon om et sikkerhetshull i Windows XP og Server 2003 som kan bli utnyttet for å få høyere rettigheter på en lokal konto. Svakheten krever at angriperen allerede har tilgang til en lokal konto på maskinen.
Anbefaling
Følge mitigeringsanbefalingen fra Microsoft
Referanser
http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/ms-windows-local-privilege-escalation-zero-day-in-the-wild.html
http://technet.microsoft.com/en-us/security/advisory/2914486

Wednesday, 27 November 2013

2013.11.27 - Nyhetsbrev

EU-parlamentet slår av åpen WiFi. 290 systemer for styring av bygg i Norge lett tilgjengelige.

EU-parlamentet slår av åpen WiFi

EU-parlamentet har slått av sitt åpne WiFi-nettverk etter at en sikkerhetstest avslørte at det var enkelt å få tilgang til mail-kontoer tilhørende flere representanter. En hacker satte opp et falsk aksesspunkt og mange enheter koblet seg til dette og avslørte sensitive data.

Det krypterte trådløse nettet med autentisering ved hjelp av sertifikater er fortsatt operativt.
Referanser
http://www.theregister.co.uk/2013/11/26/eu_parliament_public_wifi_suspended/

290 systemer for styring av bygg i Norge lett tilgjengelige

Dagbladet har avdekket at 290 systemer for styring av bygg i Norge ligger lett tilgjengelig på nettet. Systemene kan blant annet brukes til å styre temperatur, lys, låser og brannalarmer. Slike systemer bør ikke være tilgjengelig offentlig på nettet.
Referanser
http://www.dagbladet.no/2013/11/27/nyheter/innenriks/datasikkerhet/informasjonsteknologi/nullctrl/27184070/

Tuesday, 26 November 2013

2013.11.26 - Nyhetsbrev

CloudFlare lanserer system for å beskytte mot lekkasje av informasjon. CSIS ser på Atrax, et nytt kommersielt angrepsverktøy/crimekit. Microsoft planlegger å introdusere kryptering av deres Office 365 e-post-tjeneste. Angrep på Bitcoin-selskap førte til tap på 6 millioner kroner.

CloudFlare lanserer system for å beskytte mot lekkasje av informasjon

CloudNetwork, som er et innholdsleverings nettverk, har nå gitt ut kildekoden til et nytt system som de har kalt Red October. Dette systemer implementerer en måte å kryptere filer på, hvor man må ha to eller flere ansattes kryptereringsnøkler for å dekryptere filer. Systemet er ment å motvirke lekkasjer av intern informasjon.

Les mer i artikkelen for en mer detaljert forklaring på hvordan dette systemet er bygget opp.
Referanser
http://arstechnica.com/security/2013/11/red-october-crypto-app-adopts-two-man-rule-used-to-launch-nukes/

CSIS ser på Atrax, et nytt kommersielt angrepsverktøy/crimekit

En artikkel fra CSIS går inn på detaljer rundt et nytt angrepsverktøy/crimekit som har blitt solgt på flere hacker-forum. I denne artikkelen viser de hva brukere av dette verktøyet har mulighet for å gjøre.
Referanser
https://www.csis.dk/en/csis/blog/4103/

Microsoft planlegger å introdusere kryptering av deres Office 365 e-post-tjeneste

Microsoft planlegger nå å introdusere kryptering av deres e-post-tjeneste Office 365. Denne tjeneste som skal hete Office 365 Message Encryption skal gjøre det lettere for brukere å ta i bruk kryptering på e-post.

Denne tjenesten skal være tilgjengelig i første kvartal av 2014. Det er ikke snakk om ende-til-ende-kryptering.
Referanser
http://threatpost.com/microsoft-to-roll-out-encrypted-message-service-for-office-365/103013

Angrep på Bitcoin-selskap førte til tap på 6 millioner kroner

BIPS, et av de største Bitcoin-selskapene i Europa har mistet rundt 1295 Bitcoins, noe som er etter dagens kurs verdt er rundt 6 millioner norske kroner. Innbruddet startet med et DDoS-angrep mot selskapet den 15. November. To dager senere ble de utsatt for nok et DDoS-angrep, samtidig som angripere på ukjent vis fikk tilgang til flere kontoer med bitcoins. Kontoene tilhørte sluttkunder av BIPS som oppbevarte sine Bitcoins hos tjenesten. DDoS-angrepene ble sannsynligvis utført som en avledningsmanøver mens tjenesten ble hacket, noe det også har vært mange eksempler på tidligere.
Referanser
http://mashable.com/2013/11/25/cyberattack-leads-to-heist-of-1-million-in-bitcoin/

Monday, 25 November 2013

2013.11.25 - Nyhetsbrev

NSA overvåker datatrafikk i Danmark. Twitter tar i bruk "forward secrecy". ABB MicroSCADA Wserver ekstern kodeeksekvering-sårbarhet. Flere HP-applikasjoner har ekstern kodeeksekvering-sårbarhet.

NSA overvåker datatrafikk i Danmark

The New York Times melder at NSA overvåker datatrafikk i Danmark, dette skal ha skjedd ved at NSA har skaffet seg tilgang til servere ved å opprette frontselskaper som har leid plass på serverne. Danske myndigheter har foreløpig ikke uttalt seg om saken. Norge ser ikke ut til å være berørt av denne saken.

Ellers meldes det at NSA har hacket over 50.000 maskiner for å skaffe seg tilgang til sensitiv informasjon.
Referanser
http://www.dagbladet.no/2013/11/25/nyheter/politikk/nsa/danmark/usa/30499708/ http://www.nrc.nl/nieuws/2013/11/23/nsa-infected-50000-computer-networks-with-malicious-software/ http://www.nytimes.com/2013/11/23/us/politics/nsa-report-outlined-goals-for-more-power.html

Twitter tar i bruk "forward secrecy"

Twitter gjør som Google, og begynner å bruke "forward secrecy" på sine SSL-krypterte forbindelser. Dette betyr at selv om noen har sniffet den krypterte trafikken til/fra Twitter, og har klart å tilegne seg de private SSL-nøklene til Twitter, så skal det ikke være mulig å dekryptere historisk trafikk.
Referanser
https://blog.twitter.com/2013/forward-secrecy-at-twitter-0 http://news.cnet.com/8301-1009_3-57613517-83/twitter-upping-security-to-thwart-government-hacking/ http://en.wikipedia.org/wiki/Forward_secrecy

ABB MicroSCADA Wserver ekstern kodeeksekvering-sårbarhet.

Denne sårbarheten gjør det mulig for eksterne angripere å kjøre vilkårlig kode på sårbare installasjoner av ABB MicroSCADA Wserver. Autentisering er ikke nødvendig for å utnytte dette sikkerhetsproblemet. ABB har sluppet en oppdatering som fikser problemet.
Anbefaling
Oppdater til nyeste versjon.
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-13-270
http://www.zerodayinitiative.com/advisories/ZDI-13-268/

Flere HP-applikasjoner har ekstern kodeeksekvering-sårbarhet

HP Virtual User Generator, HP SiteScope og HP Application Lifecycle Management har en sårbarhet som gjør det mulig for eksterne angripere å kjøre vilkårlig kode på sårbare installasjoner. Autentisering er ikke nødvendig for å utnytte dette sikkerhetsproblemet. HP har slippet ut en oppdatering for hver applikasjon som fikser dette.
Anbefaling
Oppdater til nyeste versjon.
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-13-262
http://www.zerodayinitiative.com/advisories/ZDI-13-261/
http://www.zerodayinitiative.com/advisories/ZDI-13-263/

Friday, 22 November 2013

2013.11.22 - Nyhetsbrev

Google har fikset to alvorlige svakheter i forbindelse med deres sider for tilbakestilling av passord. Alvorlig svakhet funnet og fikset i Ruby. Foreignpolicy.com har publisert en artikkel som beskriver USA's omfattende innsats på overvåking av ambassader i landet.

Beskrivelse av USA omfattende innsats for å overvåke ambassader i landet

Foreignpolicy.com har publisert en artikkel der det beskrives hvordan, og hvor langt FBI går for å overvåke ambassader i landet. Den beskriver den omfattende elektroniske og fysiske innsatsen, som blant annet inkluderer avlytting av kommunikasjon, og innsatsen for å få fysisk tilgang. Se referanse for detaljer.
Referanser
http://www.foreignpolicy.com/articles/2013/11/19/spy_copters_lasers_and_break_in_teams_fbi_spies_on_diplomats?page=0,0

Google Account Recovery Vulnerability

Oran Hafif skriver på sin blogg om svakeheter knyttet til sidene for tilbakestilling av passord hos Google. Ved hjelp av to svakheter på disse sidene kunne man effektivt fiske passord til google brukere. Svakhetene som kunne benyttes var en CSRF og en XSS svakhet hos Google. Svakhetene ble varslet til Google, og skal nå være fikset. Se referanse for alle detaljer.
Referanser
http://www.orenh.com/2013/11/google-account-recovery-vulnerability.html?spref=tw

Ruby Heap Overflow in Floating Point Parsing (CVE-2013-4164)

Det er funnet en svakhet i Ruby i forbindelse med tolkning av flyt-tall fra strenger, som potensielt kan misbrukes til å få kjørt vilkårlig kode. Det anbefales å oppgradere til Ruby 1.9.3 patchlevel 484, ruby 2.0.0 patchlevel 353 eller ruby 2.1.0 preview2. Se referanse for detaljer.
Anbefaling
Oppgrader til siste versjon av Ruby
Referanser
https://www.ruby-lang.org/en/news/2013/11/22/heap-overflow-in-floating-point-parsing-cve-2013-4164/

Thursday, 21 November 2013

2013.11.21 - Nyhetsbrev

Forskere mener at store mengder trafikk blir overvåket ved manipulering av BGP-ruter

Forskere mener at store mengder trafikk blir overvåket ved manipulering av BGP-ruter

Forskere påstår i en ny rapport at trafikk fra banker, regjeringer og internettleverandører ofte tar lange globale omveier på vei til sin destinasjon. Trafikken har tatt veien innom både Russland og Island og forskerne mener at dette kan skyldes et nytt type angrep der angriperne utnytter BGP til å rute trafikken til en ruter de kontrollerer. Dette åpner så for MITM-angrep og avlytting av trafikken.
Referanser
http://www.renesys.com/2013/11/mitm-internet-hijacking/ http://arstechnica.com/security/2013/11/repeated-attacks-hijack-huge-chunks-of-internet-traffic-researchers-warn/

Wednesday, 20 November 2013

2013.11.20 - Nyhetsbrev

Skjult funksjonalitet i spill-klient. Google utvider "Patch Rewards Programme" til Android.

Skjult funksjonalitet i spill-klient

Spill-selskap fikk bot på 1 million dollar etter å ha blitt tatt for å bruke spillernes PCer til Bitcoin-mining.
Referanser
http://www.forbes.com/sites/kashmirhill/2013/11/19/brilliant-but-evil-gaming-company-turned-players-computers-into-unwitting-bitcoin-mining-slaves/

Google utvider "Patch Rewards Programme" til Android

Google annonserer at de utvider omfanget til sitt "Patch Reward Programme" til å inkludere nye prosjekter inkludert Android.
Referanser
http://www.theinquirer.net/inquirer/news/2308021/google-offers-bug-bounties-for-android-patches

Tuesday, 19 November 2013

2013.11.19 - Nyhetsbrev

Dagbladet påstår at NSA har overvåket norske borgere. Google har oppgradert SSL-sertifikatene til 2048-bit. Yahoo åpner for SSL på alle sine tjenester. vBulletin utsatt for datatyveri. Millioner briter utsatt for CryptoLocker-spam e-poster.

Dagbladet påstår at NSA har overvåket norske borgere

Dagbladet påstår i dag at NSA har innhentet informasjon om 33 millioner mobilsamtaler i løpet av 30 dager rundt årrskiftet 2012/2013.

E-tjenesten avviser disse opplysningene. De opplyser at tallene gjelder samtaler som norsk etterretning har innhentet opplysninger om i utlandet i forbindelse med norske operasjoner. Disse dataene er deretter delt med NSA og andre samarbeidspartnere.

Tilsvarende grafer som de Dagbladet publiserte for Norge har tidligere blitt sluppet også for andre land. Se Wikipedia-artikkel for bilder.
Referanser
http://www.dagbladet.no/2013/11/19/nyheter/pluss/samfunn/politikk/utenriks/30383890/ http://www.nrk.no/norge/avviser-overvaking-av-nordmenn-1.11366261 http://en.wikipedia.org/wiki/Boundless_Informant

Google har oppgradert SSL-sertifikatene til 2048-bit

Google har nå annonsert at de er ferdig med all oppgradering av SSL-sertfikatene deres til 2048-bit RSA eller bedre.

De forklarer at de begynte på denne prosessen i mai og er nå ferdig en måned før skjema.

Dette fører til at det blir vanskligere for angripere å knekke SSL-tilkoblingen mellom deg og Google sine servere, og derfor vanskeligere å avlytte kommunikasjonen.
Referanser
http://threatpost.com/google-completes-upgrade-of-its-ssl-certificates-to-2048-bit-rsa/102959

Yahoo åpner for SSL på alle sine tjenester

Yahoo vil nå gi deg muligheten til å sette på SSL på alle deres nettjenester. I tillegg til dette vil også Yahoo kryptere all trafikk mellom sine datasentre.
Referanser
http://threatpost.com/yahoo-to-give-users-option-for-ssl-on-all-web-properties/102955

vBulletin utsatt for datatyveri

vBulletin, den kjente nettforum-produsenten, har blitt utsatt for dataangrep hvor angripere ser ut til å ha fått tak i brukernavn og krypterte passord.

Dette angrepet ser ut til å ha brukt en av svakhetene i vBulletin. Brukere som har brukerkonto hos vBulletin blir oppfordret til å bytte passord, i tillegg til å bytte passord andre steder hvor de brukte de samme passordene.

Les mer i artikkelen under.
Referanser
http://nakedsecurity.sophos.com/2013/11/18/forum-software-vendor-vbulletin-breached-apparently-by-vbulletin-hack

Millioner briter utsatt for CryptoLocker-spam e-poster

I følge Storbritannia's National Crime Agency (NCA) skal flere titalls millioner være mulig offer for CryptoLocker malwaren. Det fortelles at de antatte offrene skal helst være mindre eller mellomstore bedrifter.

I artikkelen vises det også litt om hvordan disse spam-kampanjene ser ut.
Referanser
http://www.symantec.com/connect/blogs/cryptolocker-alert-millions-uk-targeted-mass-spam-campaign

Monday, 18 November 2013

2013.11.18 - Nyhetsbrev

Linux-trojaner kamuflerer C&C-trafikk i eksisterende SSH-sesjon. Mulig 0-day sårbarhet i diskusjonsforum-programvaren vBulletin. IETF jobber med å øke bruken av kryptering på web i HTTP 2.0. Svakhet i WMWare.

Linux-trojaner kamuflerer C&C-trafikk via SSH

Symantec har oppdaget en trojaner for Linux, som injiserer kode i eksisterende SSH-prosess og benytter denne til kommunikasjon med C&C. Trojaneren har fått navnet Linux.Forkitor.
Referanser
http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol http://www.symantec.com/security_response/writeup.jsp?docid=2013-061917-4900-99

Kryptering som standard i HTTP 2.0

IETF (Internet Engineering Task Force) har publisert forslag til hvordan kryptering kan implementeres i HTTP 2.0, for å øke bruken av krypterte forbindelser på det "åpne internettet" og gi nettsteder et incentiv til å ta i bruk kryptering. Det hersker uenighet blant annet om hvordan man skal forholde seg til digitale sertifikater.
Referanser
http://www.wired.co.uk/news/archive/2013-11/15/encrypting-all-web-traffic http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/0625.html

VMware Workstation / Player Shared Libraries Handling Privilege Escalation Vulnerability

Det er oppdaget en svakhet i VmWare Workstation for Linux < 9.0.3 og VMware Player for Linux < 5.0.3. Svakheten er relatert til håndtering av delte biblioteker, og kan utnyttes av en ondsinnet bruker til å tilegne seg root-rettigheter på host-OS. Det forutsettes imidlertid at brukeren allerede har en brukerkonto på host-OS, da svakheten IKKE kan utnyttes mellom host-OS og gjeste-OS.
Anbefaling
Oppgrader til hhv. VmWare Workstation 9.0.3 og Player 5.0.3
Referanser
http://www.secunia.com/advisories/55689
http://www.vmware.com/security/advisories/VMSA-2013-0013.html

Bølge av passordlekkasjer fra vBulletin-forum. Mulig 0-day sårbarhet.

vBulletin.com gikk på fredag ut med oppfordring til sine brukere om å resette passord på sine kontoer da de skal ha vært utsatt for et angrep, med brukerinformasjon og muligens passord på avveie.

Hackergruppen "Incject0r hacking team" har påtatt seg ansvaret og påstår at de også skal ha fått shell-tilgang til serveren. Andre vBulletin-baserte nettsteder som nylig skal ha vært utsatt for lignende angrep er macrumors.com og ubuntuforums.org. Dette har medført at det spekuleres i om vBulletin-programvaren har sårbarheter som ikke er offentlig kjent, og som ikke lar seg patche.
Anbefaling
Hackerkonferansen Defcon har midlertidig stengt ned sitt webforum inntil situasjonen er avklart. Innehavere av nettsteder med vBulletin-forum bør være på vakt inntil videre. Brukere bør verifisere at deres passord til vBulletin-baserte forum ikke er i bruk andre steder, og at brukerprofilen ikke inneholder unødvendig sensitiv informasjon.
Referanser
http://arstechnica.com/security/2013/11/password-hack-of-vbulletin-com-fuels-fears-of-in-the-wild-0-day-attacks/
http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/4007195-important-message-regarding-your-account
http://news.softpedia.com/news/vBulletin-com-Hacked-Forums-Shut-Down-Due-to-News-of-Zero-Day-Exploit-401051.shtml?utm_source=dlvr.it&utm_medium=twitter

Friday, 15 November 2013

2013.11.15 - Nyhetsbrev

Coop kunder er rammet av kredittkordata på avveie. Safari og Chrome hacket under Mobile Pwn2Own. Cracked.com er kompromitert. Facebook ber brukere rammet av Adobe-innbruddet om å bytte passord. DDoS-verktøy ble delt via Facebook.

Irsk selskap utsatt for datainnbrudd. Coop kunder rammet.

Loyaltybuild har blitt utsatt for et datainnbrudd der minst 376 000 kunders kredittkort-informasjon ble lekket. 96 000 norske Coop-kunder og 143 000 svenske Coop-kunder er blant de som er rammet. I følge Office of the Data Protection Commissioner (ODPC) i Irland var ikke kredittkort-informasjonen eller CVV (Tre talls kode bak på kredittkortet) kryptert på serverene til dette selskapet da de ble angrepet, noe som strider mot alle rettningslinjer anngående lagring av kredittkort.

I tilegg til dette skal også navn, adresse, telefonnummer og e-post-adresser til 1,12 millioner kunder vært stjålet.

Les mer om dette i artikkelen i referansen.
Referanser
http://www.theregister.co.uk/2013/11/14/irish_loyalty_card_breach/ http://www.vg.no/nyheter/innenriks/artikkel.php?artid=10128189 http://www.rte.ie/news/2013/1112/486081-loyaltybuild/

Safari og Chrome hacket under Mobile Pwn2Own

Mobile Pwn2Own Tokyo 2013 har blitt avholdt. HP opplyser at en gruppe kinesiske hackere klarte å stjele Facebook-innloggingsinformasjon og private bilder via en sårbarhet i Safari på Iphone.

En hacker kalt Pinkie Pie klarte å kompromittere Chrome på to Android-telefoner. Han oppnådde full systemtilgang etter angrepet og kunne installere valgfrie apps.

Windows 8.1 med IE 11.0 ble også kompromittert av en av HPs egne ansatte.
Referanser
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Mobile-Pwn2Own-Tokyo-2013-Crash-bang-boom/ba-p/6269791

Cracked.com kompromittert og gir ut malware til brukere

Threatpost forteller at nettstedet Cracked[.]com, som er en humorside, har blitt utsatt for angrep og har vært kompromittert en god stund. Det er også muligheter for at nettstedet forsatt deler ut malware til sine brukere.

Javascript på nettstedet redirigerer brukere til en annen side der de blir utsatt for et exploit-kit som utnytter svakheter i blant annet PDF, Java, HTML og Javascript. Om dette lykkes blir malware opplastet til maskinen.
Referanser
http://threatpost.com/cracked-com-serving-malware-in-drive-by-downloads/102930

Facebook ber brukere rammet av Adobe-innbruddet om å bytte passord

Facebook har sett igjennom lekkede brukernavn og passord fra Adobe sitt innbrudd og bedt dem som bruker samme e-post-adresse og passord om å bytte passordet sitt ved å blokkere tilgangen til Facebook helt til de gjør dette.

Net Security går også inn på at flere av Adobe-kontoene som ble lekket tilhører ansatte i den amerikanske stat. Rundt 234 000 militære og statlige e-post-adresser er funnet. Det ble også funnet 433 FBI-adresser, 82 NSA-adresser og 5 000-NASA adresser.
Referanser
http://www.theregister.co.uk/2013/11/14/facebook_adobe_password_leak_warning/ http://www.net-security.org/secworld.php?id=15949

Hacker-verktøy delt via Facebook

Et hacker-verktøy som ble brukt til å angripe HealthCare.gov ble distribuert via Facebook, med flere.

DailyCaller forsetter artikkelen med å fortelle hvordan dette verktøyet ble delt til andre hackere, samt hvordan og av hvem det ble laget.
Referanser
http://dailycaller.com/2013/11/13/healthcare-gov-hacker-tool-distributed-via-facebook-posts/

Thursday, 14 November 2013

2013.11.14 - Nyhetsbrev

Det har vært et stille og rolig døgn.

Det er ingen nye saker siden sist.


Wednesday, 13 November 2013

2013.11.13 - Nyhetsbrev

Microsoft er ute med sine månedlige sikkerhetsoppdateringer der de blant annet patcher 0-day i Internet Explorer. De går også ut og fraråder bruk av RC4 i SSL/TLS samt SHA-1. Adobe har gitt ut oppdateringer til Flash og ColdFusion. Google har gitt ut ny versjon av nettleseren Chrome med tilhørende Flash. Nyhetsnettstedet MacRumors har fått forumet sitt hacket og brukerdata kopiert.

Microsoft har sluppet oppdateringer for november

Microsoft slapp i går 8 oppdateringer, hvor 3 er rangert som kritiske. De 3 kritiske oppdateringene retter flere svakheter i (MS13-088) Internet Explorer, ActiveX (MS13-090) og Windows GDI (MS13-089). Blant svakhetene som rettes, er også Zeroday-svakheten i Internet Explorer/ActiveX som vi tidligere har omtalt.

De resterende 5 oppdateringene er rangert som viktige og retter svakheter i produktene Microsoft Office, Windows, Windows Server Hyper-V og Outlook.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-nov http://blogs.technet.com/b/msrc/archive/2013/11/12/authenticity-and-the-november-2013-security-updates.aspx

Forumene til MacRumors hacket

MacRumors brukerforum har blitt hacket og melder til sine brukere at det er best å annta at brukernavn, epost og passord er på avveie. De anbefaler alle brukere å skifte passord både hos dem og alle andre steder der samme passord er i bruk.
Referanser
http://arstechnica.com/security/2013/11/hack-of-macrumors-forums-exposes-password-data-for-860000-users/

Microsoft fraråder bruk av RC4 og SHA-1

Microsoft har i en bloggpost gått ut med at de fraråder bruk av krypteringsalgoritmen RC4 i forbindelse med SSL/TLS. Begrunnelsen er at algoritmen har flere kjente svakheter. De sier også at RC4 allerede er deaktivert i Internet Explorer 11, men at de per i dag ikke vil gi ut oppdateringer som deaktiverer RC4 i eksisterende produkter. I stedet har de beskrevet en metode for å deaktivere algoritmen manuelt ved å gjøre endringer i registeret i Windows. Microsoft fraråder også bruk av hash-algoritmen SHA-1 i en sikkerhetsbulletin.
Referanser
http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx http://technet.microsoft.com/en-us/security/advisory/2880823 http://technet.microsoft.com/en-us/security/advisory/2868725

Adobe fikser sikkerhetshull i Flash og ColdFusion

Adobe har sluppet sikkerhetsoppdateringer for Flash på Windows, Mac og Linux. Oppdateringene fikser hull som kunne gjøre det mulig for en angriper å ta kontroll over det berørte systemet. De oppdaterer også ColdFusion.
Anbefaling
Installer siste versjon fra Adobe.
Referanser
http://www.adobe.com/support/security/bulletins/apsb13-26.html
http://www.adobe.com/support/security/bulletins/apsb13-27.html

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i versjon 31. Oppdateringen retter 25 svakheter og det anbefales å oppdatere så fort som mulig. Siste versjon av Flash Player er også inkludert. For fullstendig liste over rettede sårbarheter, se referanse.
Anbefaling
Installer siste versjon av Google Chrome. På Windows kan dette gjøres gjennom oppdateringsverktøyet i nettleseren.
Referanser
http://googlechromereleases.blogspot.no/2013/11/stable-channel-update.html

Tuesday, 12 November 2013

2013.11.12 - Nyhetsbrev

Hackergruppen Dotnetfuckers i retten. 0-day svakhet i Internet Explorer blir fikset i oppdateringen i dag.

Dotnetfuckers i retten

Tre ungdommer som stod bak angrep mot nettsteder som dnb.no, posten.no, pst.no, dinside.no, itavisen.no, sprakradet.no og nettsidene til Norsk Tipping må nå møte i retten. Angrepene ble utført ved å kjøpe DDoS-angrep via en nettside.
Referanser
http://www.dagbladet.no/2013/11/12/nyheter/innenriks/dataangrep/tiltale/30267082/

0-day svakhet i Internet Explorer blir fikset i oppdateringen i dag

Sist fredag ble det funnet en ny svakhet i Internet Explorer som allerede ble utnyttet i målrettede angrep. Microsoft var allerede klar over denne svakheten, og den vil bli fikset som en del av de månedlige oppdateringene senere i dag.
Referanser
http://blogs.technet.com/b/msrc/archive/2013/11/11/activex-control-issue-being-addressed-in-update-tuesday.aspx

Monday, 11 November 2013

2013.11.11 - Nyhetsbrev

Det anbefales å laste ned EMET v4.0. Ny zero-day funnet i Internet Explorer. Russisk atomkraftverk infisert av Stuxnet. Mer om angrepet fra GCHQ mot Belgacom.

Det anbefales å laste ned EMET v4.0

Det er nå to zero-day-svakheter i Windows som utnyttes aktivt. Den ene svakheten rammer typisk bruk av Internet Explorer, mens den andre rammer Office-pakken.

Microsoft har et verktøy som kan stoppe utnyttelse av begge disse svakhetene: EMET (Enhanced Mitigation Experience Toolkit). Dette verktøyet vil også sannsynligvis kunne stoppe mange framtidige svakheter.

EMET beskytter høyrisikoprogrammer (Internet Explorer, Office, Adobe Reader osv.) ved å slå på ekstra sikkerhetsinnstillinger. EMET sikrer også kommunikasjonen til kjente nettsteder for å forhindre at noen avlytter eller endrer kommunikasjonen din (certificate pinning).

Last ned programmet fra lenken under. Under installasjon velger du "Use Recommended Settings". Etter at dette er gjort trenger en ikke å gjøre noe spesielt for at programmet skal virke. EMET gir best beskyttelse på klient-maskiner. Verktøyet kan gi kompatibilitetsproblemer med noen typer programvare, så test skikkelig før en større utrulling.
Referanser
http://blogs.technet.com/b/srd/archive/2013/06/17/emet-4-0-now-available-for-download.aspx http://www.microsoft.com/en-us/download/details.aspx?id=39273

Stuxnet infiserte russisk atomkraftverk

Eugene Kaspersky påstår at et russisk atomkraftverk ble infisert av Stuxnet, noe som skal ha forårsaket kaos på kraftverket.
Referanser
http://www.theregister.co.uk/2013/11/11/kaspersky_nuclear_plant_infected_stuxnet/

Ny zero-day sårbarhet i IE funnet i vannhulsangrep

FireEye sier at de har funnet en ny zero-day sårbarhet som fungerer mot IE 7, 8, 9 og 10 da de analyserte et vannhulsangrep. Sårbarheten gjør det mulig for angriperen å kjøre kode på offerets maskin. Angrepet var rettet mot personer innenfor internasjonal sikkerhet. Det er nå to upatchede zero-day svakheter i Windows.
Referanser
http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog-uses-diskless-method.html http://arstechnica.com/security/2013/11/internet-explorer-users-face-drive-by-attacks-targeting-new-0day-bug/

Mer om angrepet fra GCHQ mot Belgacom

Ifølge en ny rapport fra Der Spiegel, har den britiske etterretningsorganisasjonen GCHQ brukt en "quantum insert"-teknikk for å kompromittere ansatte i to selskaper som er tilnyttet GRX (Global Roaming Exchange). Ansatte hos blant annet Belgacom ble lurt til å besøke falske LindIn og Slashdot-sider. GCHQ hacket seg så videre i nettverket. Målet var å få kontroll over mobiltrafikken til Belgacom og en annen tilbyder. Det opplyses også at OPEC har vært mål for lignende angrep fra GCHQ.
Referanser
http://www.spiegel.de/international/world/ghcq-targets-engineers-with-fake-linkedin-pages-a-932821.html http://arstechnica.com/tech-policy/2013/11/uk-spies-continue-quantum-insert-attack-via-linkedin-slashdot-pages/

Friday, 8 November 2013

2013.11.08 - Nyhetsbrev

Microsoft har sluppet detaljer om neste ukes oppdateringer. Windows Internet Explorer 11 er sluppet. 0-dags exploit har hatt større spredning enn tidligere antatt. Det rapporteres om en svakhet i OpenSSH. Incapsula har forett en undersøkesøkelse rundt omfang av automatiserte verktøy mot login-sider.

Microsoft har gitt ut Internet Explorer 11 for Windows 7

Microsoft har publisert Internet Explorer 11 for Windows 7. Internet Explorer 11 er per i dag tilgjengelig på 95 forskjellige språk, der iblant norsk. Det er allerede mulig å laste ned denne versjonen manuelt, men den vil også bli levert via Windows Update i løpet av de nærmeste ukene. Brukere av Windows 8 kan få tilgang til denne versjonen ved å oppgradere til Windows 8.1. For mer informasjon om forbedringer i denne versjonen, se referanse.
Referanser
http://blogs.msdn.com/b/ie/archive/2013/11/07/ie11-for-windows-7-globally-available-for-consumers-and-businesses.aspx http://windows.microsoft.com/en-us/internet-explorer/ie-11-worldwide-languages

Microsoft publiserer forhåndsvarsel av oppdateringer for november

Microsoft melder at de kommer til å slippe 8 oppdateringer tirsdag 12. november. Oppdateringene som slippes vil rette svakheter i Windows, Windows Server, Windows RT og Office, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 3 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige.

Det er viktig å merke seg at svakheten i Office og Lync som vi rapporte om tidligere denne uken IKKE blir rettet. Microsoft sier at de arbeider med en oppdatering som retter denne svakheten og at de har publisert en midlertidig mitigering av den. Mitigeringen er beskrevet nærmere i KB2896666. Microsoft sier også at de kun har fått rapporter om at denne svakheten har blitt forsøkt utnyttet på systemer med kombinasjonen Windows XP og Office 2007.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-nov http://blogs.technet.com/b/msrc/archive/2013/11/07/clarification-on-security-advisory-2896666-and-the-ans-for-the-november-2013-security-bulletin-release.aspx

Microsoft Windows og Office Zeroday mer spredt enn antatt

Svakheten rapportert om i nyhetsbrevet vårt for 2 dager siden (06.11.2013) blir i følge FireEye misbrukt av to forskjellige hacker-grupper. Derfor er det veldig viktig at en installerer en midlertidlig fiks fram til Microsoft får fikset det offisielt, poengterer bloggposten.

Den midlertidlige fiksen som fikser svakheten funnet i Office 2003 og Office 2007 kan finnes på Microsoft sine offisielle sider. En link er lagt til i referansen.
Referanser
http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/the-dual-use-exploit-cve-2013-3906-used-in-both-targeted-attacks-and-crimeware-campaigns.html http://arstechnica.com/security/2013/11/exploits-of-critical-microsoft-zero-day-more-widespread-than-thought/ https://support.microsoft.com/kb/2896666 http://arstechnica.com/security/2013/11/install-fix-to-stop-in-the-wild-windows-and-office-exploit-microsoft-warns/

Fleste besøkende til login-sider er automatiserte verktøy

Sikkerhetsselskapet Incapsula har gått igjennom over 1 000 nettsider gjennom en 90 dagers periode for å undersøke hvor mange som prøver å logge seg inn på disse nettstedene. De har registrert 1.4 millioner ikke-vellykkede forsøk på innlogging og 20 000 vellykkede. Ut i fra de 1.4 millionene er det hele 94% av disse som er utført av automatiske verktøy som leter etter svakheter i passord-systemet til nettstedet. Til sammenligning er det kun 2.4% av disse 1.4 millionene som er feil passord og lignende.

Les mer i referansen under.
Referanser
http://www.net-security.org/secworld.php?id=15897

OpenSSH svaket i sshd

Det er sluppet en advisory med detaljer rundt en OpenSSH svakhet som skal ramme versjon 6.2 og 6.3. Svakheten skal gjøre det mulig å få kjørt kode med samme rettigheter som den autentiserte brukeren.

Feilen er fikset i versjon 6.4 av openSSH, og det er også sluppet en fiks for 6.2 og 6.3. Se referanse for detaljer.
Anbefaling
Oppgrader
Referanser
http://www.openssh.com/txt/gcmrekey.adv

Thursday, 7 November 2013

2013.11.07 - Nyhetsbrev

Microsoft og Facebook betaler penger for svakheter i open source-prosjekter. Google har begynt å kryptere dataene mellom datasentre. Cisco retter svakheter i Telepresence VX Clinical Assistance, Waas Mobile og håndtering av SIP i IOS.

Microsoft og Facebook betaler penger for svakheter i open source-prosjekter

"Internet Bug Bounty program" åpnet i går. Programmet er sponset av Microsoft og Facebook og betaler ut penger til de som kan finne svakheter i programvare som er mye brukt på Internett. Frivillige sikkerhetseksperter organiserer utdelingen. Svakheter i Apache, OpenSSL, PHP, Python osv. kan gi utbetalinger.
Referanser
https://hackerone.com/ibb http://arstechnica.com/security/2013/11/now-theres-a-bug-bounty-program-for-the-whole-internet/

Google har begynt å kryptere dataene mellom datasentre

Google har nå begynt å kryptere i alle fall deler av dataene som blir sendt mellom datasentrene sine. Dette er for å unngå avlytting fra NSA og andre etterretningsorganisasjoner. Planen er å kryptere alt etter hvert.
Referanser
http://arstechnica.com/information-technology/2013/11/googlers-say-f-you-to-nsa-company-encrypts-internal-network/

Cisco retter svakhet i TelePresence VX Clinical Assistant

Cisco har sluppet en oppdatering til modulen WIL-A for TelePresence VX Clinical Assistant. I følge Cisco er det en programeringsfeil i denne modulen som gjør at passordet til brukeren "admin" settes blankt hvis enheten modulen er installert på. restartes. Dette gjør det mulig for hvem som helst å få full administratortilgang, hvis man har fysisk tilgang til enheten. For mer informasjon, se referansen.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131106-tvxca

Cisco retter svakhet i WAAS Mobile

Cisco har sluppet en oppdatering til Wide Area Application Services (WAAS) Mobile som retter en svakhet i en autentiseringsmekanisme. Svakheten kan av en angriper utnyttes til å eksekvere kode på en berørt server med brukerrettighetene til IIS-serveren WAAS kjører på. For mer informasjon, se referanse.
Anbefaling
Installer oppdatering
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131106-waasm

Cisco retter svakhet i håndtering av SIP i IOS

Cisco har sluppet en oppdatering som retter en svakhet i håndteringen av SIP-sesjoner i IOS. Svakheten gjør det mulig å fylle en berørt enhet ved å sende spesielt utformede SIP-pakker til en berørt enhet. Dette kan føre til en tjenestenekttilstand. Spesielt SIP-gatewayer kan værer berørt av denne svakheten. IOS-baserte som kun håndterer gjennomgående SIP-trafikk er ikke berørt av svakheten. For mer informasjon, se referanse.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131106-sip


Wednesday, 6 November 2013

2013.11.06 - Nyhetsbrev

Ny 0-day i forbindelse med dekoding av TIFF-bilder i Windows. Analyse av passorddump viser at et stort antall Adobe-brukere hadde enkle passord. Bitcoin og "Selfish mining".

Ny 0-day i forbindelse med dekoding av TIFF-bilder i Windows

Microsoft advarer mot en ny sårbarhet i Windows som utnyttes aktivt til
å ta kontroll over sårbare maskiner. Foreløpig er det mest i Asia at den
har blitt utnyttet i målrettede angrep ved å sende brukere spesielle
Word-dokumenter. Flere av dokumentene ser ut til å være rettet mot Pakistan.

Microsoft melder at svakheten ikke lar seg utnytte på Windows 7 eller 8 dersom en har Office 2010 eller nyere. Office 2003 og 2007 er sårbar uansett versjon av Windows. Microsoft Lync er også sårbar og også muligens andre programmer. Microsoft har gitt ut en foreløpig fiks for svakheten.
Referanser
http://blogs.technet.com/b/msrc/archive/2013/11/05/microsoft-releases-security-advisory-2896666-v2.aspx http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2 http://www.alienvault.com/open-threat-exchange/blog/microsoft-office-zeroday-used-to-attack-pakistani-targets

Analyse av passorddump viser at et stort antall Adobe-brukere hadde enkle passord

Sikkerhetsfirmaet Stricture Consulting Group har gjort en analyse av listen med passord som ble hentet ut og publisert etter angrepet på Adobe i høst. De har ikke fått tak i nøkkelen som skal ha blitt brukt til å kryptere passordene, men har gjort analysen sin ut i fra opplysninger fra brukerne samt passord de har funnet gjennom bruk av sikkerhetsspørsmål-funksjonen. Statistikken viser at passord som "password" og "123456" er blant de mest populære. Sistnevnte ligger på toppen av listen og er brukt av nesten to millioner brukere. Se referanse for hele topp 100-listen til Stricture Consulting Group.
Referanser
http://stricture-group.com/files/adobe-top100.txt

Bitcoin og "Selfish mining"

Artikkel om et dyptliggende problem i Bitcoins indre protokoll som potensielt kan svekke den populære kryptografiske pengeenheten sin desentraliserte natur.
Referanser
http://hackingdistributed.com/2013/11/04/bitcoin-is-broken/

Tuesday, 5 November 2013

2013.11.05 - Nyhetsbrev

Adobe-passord var ikke hashet. Ny sikkerhetsoppdatering av Chrome til Mac. Nettbrett og mobiler bannlyst fra regjeringsmøter i UK.

Adobe-passord var ikke hashet

Adobe forteller at passordene som ble stjålet fra dem under det store dataangrepet mot Adobe ikke var hashet. De forteller også at passordene kun var kryptert med 3DES, noe som kan gjøre det lettere å få tak i passordene.

Grunnen til dette var at angrepet traff en backup-løsning som egentlig skulle vært lagt ned. I de nyere systemene bruker Adobe hashing av passordene.

NakedSecurity viser også hvordan man kan gjette seg til passordene på grunn av krypteringen, samt at passord-hint lå i klartekst blant de lekkede passordene og brukernavnene/e-postadressene.
Referanser
http://www.csoonline.com/article/742570/adobe-confirms-stolen-passwords-were-encrypted-not-hashed http://arstechnica.com/security/2013/11/how-an-epic-blunder-by-adobe-could-strengthen-hand-of-password-crackers/ http://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/

Ny sikkerhetsoppdatering av Chrome til Mac

En ny sikkerhetsoppdatering til Google Chrome for Mac skal fikse problemet med at du kan gå inn og se de lagrede passordene i klartekst. Dette gjør de ved å spør om passordet til Mac-systemet før de viser deg passord som er lagret i Chrome.

Det er ikke annonsert når en slik sikkerhetsoppdatering kommer til andre operativsystemer. Chrome for Android har ikke denne svakheten.
Referanser
http://www.theinquirer.net/inquirer/news/2304878/google-announces-another-partially-fixed-security-flaw

Nettbrett og mobiler bannlyst fra regjeringsmøter i UK

I Storbritannia ble nettbrett bannlyst fra britiske regjerningsmøter som omhandler sensitiv informasjon. Dette fordi etterretningsorganisasjoner frykter at kinesiske spioner kan bruke disse til å avlytte møtene, selv når nettbrettene er slått av.

Artikkelen forteller også at Utenlandsminister William Hague har fått sin mobil modifisert av GCHQ slik at han ikke kan bli spionert på av Kina.
Referanser
http://www.dailymail.co.uk/news/article-2487026/iPads-banned-Cabinet-meetings-Chinese-spying-fears.html

Monday, 4 November 2013

2013.11.04 - Nyhetsbrev

Limousin-firma kompromittert. Spionasjesamarbeid mellom Storbritannia, Tyskland, Frankrike, Spania og Sverige. IE har bedre beskyttelse mot "Socially Engineered Malware". Falske kontoer på sosiale medier lurer selv de beste. Forskere foreslår desentralisert system for utstedelse av sikkerhetssertifikater, basert på Bitcoin. NYT-artikkel om NSA.

Limousin-firma kompromittert. Kredittkortinformasjon om 850 000 velstående kunder på avveie.

Brian Krebs forteller i en bloggpost hvordan limousinfirmaet CorporateCarOnline fikk intern informasjon på avveie, deriblant kredittkort og personlig informasjon om kundene. Blant kundene finnes amerikanske A-kjendiser og toppledelse i Fortune 500-selskaper.

Det spekuleres i om angrepet kan ha skjedd via en sårbarhet i ColdFusion-implementasjonen på selskapets websider. Det spekuleres også om hvorvidt hackerne er de samme som stod bak den nylige kompromitteringen av Adobe.
Referanser
http://krebsonsecurity.com/2013/11/hackers-take-limo-service-firm-for-a-ride/

Spionasjesamarbeid mellom Storbritannia, Tyskland, Frankrike, Spania og Sverige

Tyskland, Frankrike, Spania og Sverige skal ha samarbeidet om masseovervåkning av Internett- og telefontrafikk sammen med GCHQ i følge papirer utgitt av Edward Snowden.

Overvåkingen skal ha foregått via direkte tilgang til fiberoptiske linker, muliggjort av samarbeid med Internett- og telefonileverandører.
Referanser
http://www.theguardian.com/uk-news/2013/nov/01/gchq-europe-spy-agencies-mass-surveillance-snowden

IE har bedre beskyttelse mot "Socially Engineered Malware"

Sikkerhetsfirmaer har testet hvor god beskyttelse de store nettleserne har mot phishing og "Socially Engineered Malware".
Internet Explorer blokkerte malware-angrep i 85% av tilfellene. Google Chrome kom på andreplass med 58%.
Firefox og Safari gjorde det best på rene phishingangrep. Artikkelen nevner forøvrig at gjennomsnittlig levetid for en phishing-side er ca 12 timer.
Referanser
http://betanews.com/2013/10/29/internet-explorer-vastly-superior-at-defeating-social-engineering-attacks/

Falske kontoer på sosiale medier lurer selv de beste

Forskere laget en utspekulert penetrasjonstest komplett med falsk ID og kontoer på sosiale medier. De klarte å få den falske personen ansatt, fikk utlevert påloggingsdetaljer til nettverket og ble også tilsendt en egen laptop.
Referanser
http://www.zdnet.com/government-agency-compromised-by-fake-facebook-hottie-7000022700/ http://www.networkworld.com/news/2013/103113-fake-social-media-id-duped-275465.html

Forskere foreslår desentralisert system for utstedelse av sikkerhetssertifikater, basert på Bitcoin

Kompromitteringen av sertifikat-utstederen DigiNotar i 2011 demonstrerte sårbarheten i dagens system for utstedelse av digitale sertifikater, i og med at evaluering av av digitale sertifikater baseres på tillit til én enkelt tilbyder. Forskere foreslår å bytte ut dagens system med et desentralisert system, tilsvarende Bitcoin.
Referanser
http://www.theregister.co.uk/2013/11/03/crypto_boffins_propose_getting_rid_of_cas/

NYT-artikkel om NSA

The New York Times har en interessant artikkel om diverse internasjonale operasjoner NSA har foretatt de siste årene. Artikkelen gir flere eksempler på hvordan NSA jobber og hva slags informasjon de er ute etter.
Referanser
http://www.nytimes.com/2013/11/03/world/no-morsel-too-minuscule-for-all-consuming-nsa.html?hp&_r=1&

Friday, 1 November 2013

2013.11.01 - Nyhetsbrev

Det rapporteres om en mulig avansert malware kalt BadBIOS. Det finske utenriksdepartementet skal ha blitt overvåket i en periode over 4 år ved hjelp av malware. Google introduserer blokkeringsfunksjon for skadelige filer i Chrome.

Overvåking av det finske utenriksdepartementet

I følge den finske TV-kanalen MTV3, har det finske utenriksdepartementet vært utsatt for overvåking. I følge lederen for departementets informasjon- og dokumentasjonsavdeling, Ari Uusikartan, skal overvåkningen ha funnet sted de siste fire årene. Videre sier han at verktøyet som har blitt brukt er et spionprogram som ligner på spionprogrammet "Red October". Flere detaljer er ikke kjent. Saken er for tiden under etterforskning av finske sikkerhetsmyndigheter. For mer detaljer, se referansen.
Referanser
http://arstechnica.com/tech-policy/2013/10/finlands-foreign-ministry-gets-pwned-by-red-october-malware/

Rykter om ny avansert malware kalt BadBIOS

Det har vært en del snakk om en påstått ny og veldig avansert malware som er blitt kalt "BadBIOS". Det er mye forvirring og mye tvil rundt noe av det som er kommet ut, og om noe av det i det hele tatt stemmer.

Hvis noe av dette stemmer, ser det eventuelt ut til å være snakk om et virus som spres via USB, og infiserer BIOS eller annen firmware på maskiner. Det virker også som om selve firmwaren på usb-pinnen er infisert og står for spredningen, og ikke data som er lagret på pinnen selv som er vanlig. Det nevnes også at malwaren skal være i stand til å kommunisere via høyfrekvent lyd via lydkort og mikrofon, og skal også kunne rette seg mot flere forskjellige OS.

Se referanse for alle detaljer og mange spekulasjoner.
Referanser
http://blog.erratasec.com/2013/10/badbios-features-explained.html http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/

Google Chrome får blokkeringsfunksjon for nedlastning av malware

Google planlegger nå å implementere en automatisk blokkeringsfunksjon som skal passe at du ikke laster ned malware via nettleseren. Threatpost forteller at den nye funksjonen er allerede under utvikling. Denne funskjonen skal gi deg en ny melding som sier ifra at Google Chrome automatisk har blokkert en nedlastning.

I tilegg til dette skal det også implementeres en knapp som gjør det mulig å stille tilbake alle instillingen til slik de var ved installasjonen av Chrome.
Referanser
http://threatpost.com/google-chrome-to-automatically-block-malicious-downloads/102765