Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 30 December 2013

2013.12.30 - Nyhetsbrev

Hackere har tatt over OpenSSL.org

Angrep mot OpenSSL.org

I løpet av 29 desember ble hjemmesiden til OpenSSL tatt over av en gruppe som kaller seg TurkGuvenligiTurkSec. Det ser ikke ut til at de har gjort annet enn å erstatte forsiden med teksten: "TurkGuvenligiTurkSec Was Here @turkguvenligi + we love openssl _". OpenSSL har gått ut med en melding om at kildekoden til OpenSSL ikke har blitt berørt av dette angrepet.
Referanser
http://www.openssl.org/ http://www.ehackingnews.com/2013/12/opensslorg-hacked-and-defaced-by.html

Friday, 27 December 2013

2013.12.27 - Nyhetsbrev

Casino selskap hekket, hundretusener av kortdetaljer potensielt på avveie

Affinity Gaming kunngjorde på fredag at hakkere har kompromittert cansino selskapets betalingssystem og har sannsynligvis stukket av med hundretusener av kortnummer. Selv om selskapet er i prosessen med å kontakte besøkende hos deres casinoer i Nevada, Iowa, Missouri og Colorado i perioden 14 mar til 16 okt, innrømmer de at de ikke her verifisert den eksakte datoen hakkingen startet.
Referanser
http://www.scmagazine.com/hundreds-of-thousands-of-card-numbers-stolen-in-casino-company-breach/article/327054/

Svakhet i Snapchat

Svakhet i Snapchat gjør det mulig for en hakker å assosiere telefon nummer med andre Snapchat konto detaljer.
Referanser
http://arstechnica.com/business/2013/12/snapchat-exploit-may-let-hackers-connect-names-and-phone-numbers-in-bulk/

VMware oppdaterer ESX og ESXi

En svakhet i ESXi og ESX lot vanlige brukere, som hadde tilgang til å legge til eksisterende disker, få tak i både lese og skriverettigheter på vilkårlige filer.

VMware advarer også at tidligere versjoner enn den som blir oppdatert nå er det også muligheter for at den samme vanlige brukere kan kjøre og installere malware.

Versjonene som har svakheten er ESX 4.0 og 4.1 samt ESXi 4.0, 4.1, 5.0, 5.1 og 5.5.
Referanser
http://threatpost.com/vmware-patches-privilege-vulnerability-in-esx-esxi/103286 http://www.vmware.com/security/advisories/VMSA-2013-0016.html

Monday, 23 December 2013

2013.12.23 - Nyhetsbrev

NSA skal ha betalt RSA for å gjøre en svak krypteringsalgoritme til standard i produktet BSafe.

Jailbreak for IOS 7.x, inkl. 7.0.4, har blitt sluppet.

Seals With Clubs, en online pokerside som bare handler i Bitcoins, innrømmer datainnbrudd der 42000 bruker-passord skal være lekket. Nettstedet prøver nå iherdig å sørge for at angriperne ikke skal kunne få tilgang til brukernes BitCoin-lommebøker.

NSA betalte RSA for å gjøre en svak krypteringsalgoritme til standard

I følge Reuters skal NSA ha betalt sikkerhetsselskapet RSA rundt 60 millioner kroner for å bruke en spesiell krypteringsalgoritme som har en bakdør som NSA kunne bruke.
Referanser
http://arstechnica.com/security/2013/12/report-nsa-paid-rsa-to-make-flawed-crypto-algorithm-the-default/ http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220

jailbreak for IOS 7.x sluppet

Et verktøy for å jailbreake IOS 7.4 og eldre har blitt sluppet.
Referanser
http://evasi0n.com/

42000 brukeres passord på avveie etter datainnbrudd

En Online pokerside innrømmer datainnbrudd hvor 42000 brukeres passord er lekket. Siden prøver nå i herdig å sørge for at angriperne ikke skal kunne få tilgang til brukernes BitCoin-lommebøker.
Referanser
http://www.welivesecurity.com/2013/12/20/clubbed-to-death-bitcoin-only-poker-site-seals-with-clubs-leaks-42000-user-details-in-attack/

Friday, 20 December 2013

2013.12.20 - Nyhetsbrev

Den amerikanske butikkjeden Target har blitt frastjålet informasjon om 40 millioner kredittkort.

Target har nå bekreftet at de var utsatt for datatyveri

Igår rapporterte vi om at det var mulig at Target var utsatt for et datatyveri. Target har nå bekreftet dette og forteller at detaljer om rundt 40 millioner kredittkort kan være stjålet fra deres butikker. I følge NY times ble tyveriet utført ved å infisere maskiner hos Target sine butikker for å så bruke dette til å få tak all data som er lagret i kredittkortets magnet stripe. Denne informasjonen kan brukes til å lage en forfalskning av kortet.
Referanser
http://blogs.mcafee.com/consumer/target-data-theft http://bits.blogs.nytimes.com/2013/12/18/target-looking-into-security-breach/ http://krebsonsecurity.com/2013/12/sources-target-investigating-data-breach/

Thursday, 19 December 2013

2013.12.19 - Nyhetsbrev

Komite nedsatt av Obama kritisk til deler av NSA-overvåking. MacBook-brukere kan filmes uten at kameralyset skrur seg på. Ny type angrep stjeler dekrypteringsnøkkler via lyd. Target undersøker mulig datatyveri. Apple oppdaterer Safari. Washington Post utsatt for dataangrep. Datatilsynet om sentralt register for sensitiv data om skoleelever.

Komite nedsatt av Obama kritisk til deler av NSA-overvåking

En komité nedsatt av Obama for å se på NSAs overvåking er kritisk på flere punkter. Blant annet foreslår de at metadata om telefonsamtaler ikke samles inn sentralt, men blir liggende hos hvert enkelt telefonselskap. Gruppen er også kritisk til at NSA jobber for å legge inn bakdører i krypteringsalgoritmer. Rapporten kommer også med forslag til over 40 andre endringer.
Referanser
http://arstechnica.com/tech-policy/2013/12/govt-review-panel-suggests-nsa-stop-holding-massive-phone-database/ http://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf

MacBook-brukere kan filmes uten at kameralyset skrur seg på

Forskere har oppdaget at kamera-kontrolleren i MacBooks kan omprogrammeres slik at kamera-lyset ikke aktiveres mens kameraet er aktivt. Problemet finnes mest sannsynlig også i andre laptops. Det tryggeste er altså å bruke mørk tape..
Referanser
http://www.washingtonpost.com/blogs/the-switch/wp/2013/12/18/research-shows-how-macbook-webcams-can-spy-on-their-users-without-warning/

Ny type angrep stjeler dekrypteringsnøkkler via lyd

Forskere har nå funnet en måte å få tak i krypteringsnøkler til e-post ved å bruke en smarttelefon eller mikrofon. Dette gjøres ved at smarttelefonen, som ligger under 4 meter unna, tar opp alle høyfrekvente lyder som kommer ut av maskinen mens maskinen leser e-mailen. Lydene blir generert av vibrasjoner i elektrisk utstyr i PCen, siden CPUen bruker forskjellig mengde strøm mens den utfører forskjellige operasjoner. Det har kommet en ny versjon av GPG for å motvirke problemet.

For å kunne dekode en lengre krypteringsnøkkel er en avhengig av å kunne sende tusenvis av e-poster til datamaskinen med selvvalgt innhold som maskinen så må dekryptere automatisk. Så dette er ikke et enkelt angrep. Teknikken kan imidlertid også brukes til andre formål enn å dekode krypteringsnøkler.

Les mer om saken i referansen under.
Referanser
http://arstechnica.com/security/2013/12/new-attack-steals-e-mail-decryption-keys-by-capturing-computer-sounds/ http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf http://lists.gnupg.org/pipermail/gnupg-announce/2013q4/000337.html

Target undersøker mulig datatyveri

Target, en stor og kjent butikkjede i USA, undersøker et mulig datatyveri som kan ha tatt plass rundt 29. November. I dette datatyveriet kan angripere potensielt ha kommet seg unna med flere millioner kredittkortdetaljer som kan brukes til å forfalske kredittkort.

Verken Target, Visa eller Mastercard har gitt noen kommentar til saken.
Referanser
http://krebsonsecurity.com/2013/12/sources-target-investigating-data-breach/ http://arstechnica.com/security/2013/12/secret-service-investigating-alleged-credit-card-breach-at-target/

Apple oppdaterer Safari

Apple har sluppet sikkerhetssppdateringer for Safari, og retter flere svakheter for flere versjoner av OS X.
Referanser
http://www.us-cert.gov/ncas/current-activity/2013/12/18/Apple-Releases-Security-Updates-Safari

Washington Post utsatt for dataangrep

Washington Post har blitt utsatt for et dataangrep hvor angripere har stjålet brukernavn og passord til ansatte. Ingen informasjon om abonnenter var stjålet, i følge avisen selv. I tilegg til dette var passordene kryptert. Dette er det tredje angrepet denne avisen har blitt utsatt for på tre år.
Referanser
http://arstechnica.com/security/2013/12/hackers-break-into-washington-post-servers-for-third-time-in-three-years/

Datatilsynet om sentralt register for sensitiv data om skoleelever.

Datatilsynet kritiserer Kunnskapsdepartementets nylig foreslåtte sentrale register for lagring av sensitiv data om skoleelever fra og med 10. trinn.
Referanser
http://www.personvernbloggen.no/2013/12/18/opplysninger-om-elever-kan-bli-fritt-vilt/

Wednesday, 18 December 2013

2013.12.18 - Nyhetsbrev

Oppdatering til Wireshark. Russiske hackere stjal sensitiv informasjon om 54 millioner tyrkere. Hvorfor ikke å gi fra seg telefonen til fremende. Googles App Ops Launcher fjernet fra Android 4.3. Apple Safari Multiple Vulnerabilities.

Oppdatering til Wireshark

En ny oppdatering til Wireshark er utgitt. Denne oppdateringen fikser et par svakheter som kunne få programmet til å avslutte eller slutte å reagere.
Referanser
https://isc.sans.edu/diary/Wireshark+1.10.4+and+1.8.12+are+available/17237

Russiske hackere stjal sensitiv informasjon om 54 millioner tyrkere

Russiske hackere skal ha greid å få tak i sensitiv informasjon om 54 millioner tyrkere. Den sensitive informasjonen er blant annet ID nummer (personnummer), adresser og etternavn. Hackere hadde mulighet for å få tak i dette siden denne informasjonen blir delt når en person stemmer.

Les mer i referansen under.
Referanser
http://www.hurriyetdailynews.com/russian-hackers-stole-54-million-turkish-citizens-id-data-claim.aspx?pageID=238&nID=59644&NewsCatID=338

Hvorfor ikke å gi fra seg telefonen til fremende

Artikkel om faren ved å gi fra seg telefonen sin for å få installert lokale SIM-kort når en er på reise.
Referanser
http://blogs.mcafee.com/mcafee-labs/another-bad-idea-handing-your-unlocked-phone-to-strangers

Googles App Ops Launcher fjernet fra Android 4.3

Googles App Ops Launcher, programmet som gjorde det mulig å begrense applikasjoners tilgang på Android systemet, har blitt fjernet i Android 4.3.
Referanser
http://slashdot.org/topic/datacenter/it-savvy-users-infected-more-often-than-noobs/

Apple Safari Multiple Vulnerabilities

Det har blitt påvist hele 9 svakheter i Safari på OS X. 8 av disse svakhetene kan utnyttes til å få kjørt vilkårlig kode på et sårbart system. Oppdatering anbefales.
Anbefaling
Oppdater til versjon 6.1.1. eller 7.0.1.
Referanser
http://www.secunia.com/advisories/56122


Tuesday, 17 December 2013

2013.12.17 - Nyhetsbrev

Teleoperatører i Sverige presses til å gi myndighetene tilgang. Falsk Firefox-addon utnytter brukerne til å finne svakheter. Falsk antivirus-program bruker flere stjålne sertifikater.

Teleoperatører i Sverige presses til å gi myndighetene tilgang

Flere teleoperatører i Sverige har opplevd press fra myndighetene for å gi automatisk tilgang til brukerdata. De har samtidig blitt lovet at kundene ikke skal få vite om tilgangen. Bahnhof og Tele2 bekrefter dette. Lederen for Bahnhof har også gjort flere timer med hemmelige lydopptak for å bekrefte dette. Säpo argumenterer med at det kan være tidskritisk å få tak i informasjonen fort i tilfelle et forestående terrorangrep.
Referanser
http://www.nrk.no/verden/sapo-presser-teleoperatorene-1.11422656

Falsk Firefox-addon utnytter brukerne til å finne svakheter

Flere tusen brukere har fått installert en falsk addon til Firefox som ser etter SQL-injection-svakheter mens brukeren surfer. Det viser seg at over 1800 sårbare sider har blitt funnet av malwaren og har blitt rapportert inn til bakmennene. Det hele fungerer som en distribuert sårbarhetsscanning.
Referanser
http://krebsonsecurity.com/2013/12/botnet-enlists-firefox-users-to-hack-web-sites/

Falsk antivirus-program bruker flere stjålne sertifikater

CIO rapporterer om et falsk antivirusprogram ved navn "Antivirus Security Pro" som bruker flere stjålne sertifikater. Sertifikatene, som kan komme fra flere sertifikatutstedere, brukes til å sjekke om programmer er blitt endret på etter de har blitt utgitt fra bedriftene som lager dem. Ved bruke disse sertifikatene kan programmet utgi seg for å komme fra en kjent leverandør og dermed fremstå som mer troverdig.
Referanser
http://www.cio.com/article/744689/Bogus_Antivirus_Program_Uses_a_Dozen_Stolen_Signing_Certificates

Monday, 16 December 2013

2013.12.16 - Nyhetsbrev

Vi har observert en formidabel økning i scanninger etter sårbare Apache/PHP-installasjoner de siste dagene. Anbefaler en dobbeltsjekk av at alle systemer er patchet.

Tre nordmenn er dømt for grovt skadeverk etter DDoS-angrep. Safari lagrer sesjonsdata - inkludert brukernavn og passord - ukryptert. Botnettangrep ansvarlig for 2 millioner kompromitterte passord til sosiale medier. Distribuert SQL-injection-sårbarhetsscanning via falsk Firefox-plugin.

Omfattende scanninger etter sårbare PHP-installasjoner de siste dagene.

TSOC har observert en formidabel økning i scanninger etter Linux-maskiner med sårbar installasjon av Apache / PHP 5.x de siste dagene (Se referanser for varianter av selve exploiten).

Dersom en maskin lar seg utnytte, lastes det ned en IRC-basert DDoS-bot. Det settes også opp en cron-jobb for å søke etter ukentlige oppdateringer.

Vi oppfordrer alle som benytter Apache og PHP på Linux om å verifisere at systemet er oppdatert med de seneste oppdateringene.
Referanser
http://blog.spiderlabs.com/2013/11/honeypot-alert-more-php-cgi-scanning-apache-magikac.html http://www.exploit-db.com/exploits/29290/

Tre nordmenn dømt for grovt skadeverk etter DDoS-angrep.

Tre unge menn er dømt for grovt skadeverk etter å ha utført DDoS-angrep mot nettsteder som DnB, PST, It-avisen, digi.no, Norsk Tipping m.fl. våren 2012. Angrepene gjorde flere av sidene utilgjengelig i timesvis. Angrepene ble utført ved å kjøpe DDoS-tjenester på nettet og krevde ingen teknisk innsikt.
Referanser
http://www.aftenposten.no/nyheter/iriks/Domt-for-nettangrep-mot-DnB_-bloggtjenester-og-PST-7406658.html

Botnet ansvarlig for 2 millioner passord på avveie

McAfee rapporterer om et angrep som medførte 2 millioner kompromitterte passord - hovedsaklig til sosiale medier.

Angrepet ble utført av det såkalte Pony-botnettet. Passordene ble fanget opp via keylogging. 57% av passordene tilhørte Facebook. Google, Yahoo og Twitter var også sterkt representert. Formålet med angrepet skal være å servere malware på sosiale medier og dermed ekspandere botnettet ytterligere.
Referanser
http://blogs.mcafee.com/consumer/pony-botnet-steals-2-million-passwords

Distribuert SQL-injection-sårbarhetsscanning via falsk Firefox-plugin

Brian Krebs forteller om en falsk Firefox add-on som infiserer brukeren og misbruker systemet til å kjøre automatiserte SQL-injection-angrep mot praktisk talt alle nettsider som besøkes. Sårbare maskiner rapporteres til bakmennene.

Malwaren har også komponenter for å stjele passord og sensitiv informasjon fra vertsmaskinen, men dette ser ikke ut til å ha vært benyttet i stor grad.
Referanser
http://krebsonsecurity.com/2013/12/botnet-enlists-firefox-users-to-hack-web-sites/

Microsoft blir med i FIDO

Microsoft blir med i FIDO Alliance (Fast IDentity Online) - en gruppe som arbeider med å lage en protokoll for passordløs identifikasjon på nettet.

Resultatet av arbeidet i alliansen skal bli en standardisert løsning for nøkkelbasert tofaktorautentisering. Andre aktører i gruppen er Google, BlackBerry, PayPal, Lenovo, og MasterCard.
Referanser
http://arstechnica.com/security/2013/12/microsoft-joins-fido-group-hoping-to-replace-passwords-with-public-key-cryptography/

Safari lagrer sesjonsdata ukryptert

Safari, i likhet med mange andre nettlesere, har muligheten til å gjennoppta foregående sesjon ved oppstart. Det viser seg imidlertid at dataene fra foregående sesjon - inkludert passord til websider som krever autentisering - lagres ukryptert på disk. Det eneste som er gjort for å beskytte dataene er å plassere dem i en skjult fil.

Angripere kan enkelt få tak i dataene fra denne filen om maskinen blir infisert.
Anbefaling
Apple har foreløpig ikke kommentert svakheten. En workaround kan være å logge ut av alle tjenester før nettleseren lukkes.
Referanser
http://www.securelist.com/en/blog/8168/Loophole_in_Safari
http://threatpost.com/safari-stores-previous-secure-browsing-session-data-unencrypted/103188

Friday, 13 December 2013

2013.12.13 - Nyhetsbrev

Oppdatering til Android fikser SMS DoS-svakhet. Google mellomlagrer bilder i e-poster på sine servere. Maskin-generert trafikk utgjør 61% av trafikken til webservere.

Oppdatering til Android fikser SMS DoS-svakhet

Svakheten som ble meldt om i vårt nyhetsbrev den 2. desember har nå fått en offisiell fiks fra Google. Denne oppdateringen fikser svakheten som gjorde det mulig å utføre DoS-angrep mot Google Nexus, ved å sende mengder med spesielt utformede SMS-er, med den konsekvens at telefonen rebootet.
Referanser
http://threatpost.com/android-4-4-2-update-fixes-flash-sms-dos-vulnerability/103174

Google mellomlagrer bilder i e-poster på sine servere

Google innfører et nytt system som mellomlagrer bilder som det linkes til i e-post sendt til Gmail.

Hittil har mottakeren fått opp en melding som spør om man vil se bildene. Trykker man på denne, hentes bildene ned direkte fra avsenderens server.

Med mellomlagring innebærer det at når mottakeren åpner mailen vil bilder vises umiddelbart, men informasjon om mottakerens IP-addresse, User-Agent og lignende vil ikke nå avsenderen, da det er Googles servere som henter ned bildet. Mekanismen vil også kunne beskytte mot malware og phishing.

På den annen side tyder foreløpige tester på at det vil være mulig for avsendere å se når den enkelte bruker åpner mailen, ved å inkludere en unik bilde-URL i hver mail - og at bildet hentes på nytt av Google hver gang brukeren åpner mailen.
Referanser
http://arstechnica.com/information-technology/2013/12/gmail-blows-up-e-mail-marketing-by-caching-all-images-on-google-servers/ http://arstechnica.com/security/2013/12/dear-gmailer-i-know-what-you-read-last-summer-and-last-night-and-today/

Maskin-generert trafikk utgjør 61% av trafikken til webservere

Automatiserte systemer utgjør nå 61% av trafikken mot webservere på nettet iflg en undersøkelse utført av Incapsula. Om lag halvparten av dette er imidlertid "ikke-ondsinnede" bot-er, som søkemotorer og lignende.
Referanser
http://www.incapsula.com/the-incapsula-blog/item/820-bot-traffic-report-2013 http://www.bbc.co.uk/news/technology-25346235

Thursday, 12 December 2013

2013.12.12 - Nyhetsbrev

Svensk etterretning skal ha tilgang til NSA database. Det er kommet informasjon om hvordan svenske politikere og brukeres nettkommentarer ble av-anonymisert i Expressens avsløring. NSA bruker Google PREF cookies til sporing av brukere. Muligheten for sikre tekstmeldinger integreres i Cyanogenmod. Kaspersky melder om 64-bit versjon av trojaneren Zeus. Google åpner opp for inkrementell rettighetstilgang.

Sverige skal ha tilgang til NSA overvåkningssystem

Uppdrag gransking melder om at svensk etterretning skal ha fått tilgang til NSA systemet Xkeyscore, som skal være NSA's enorme base med innsamlet informasjon.
Referanser
http://www.svt.se/ug/fra-has-access-to-controversial-surveillance-system

Kaspersky rapporterer om 64-bit versjon av Zeus

Kaspersky rapporterer om 64-bits versjon av trojaneren Zeus. Trojaneren de observerte hadde støtte for å injisere innhold til 64bits nettlesere, og hadde funksjonalitet for å operere over Tor nettverket. Se referanse for detaljer.
Referanser
http://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_enhanced_with_Tor

Svenske brukere av-anonymisert i kommentarfelt

Expressen har de siste dagene eksponert kjente personer som er kommet med uppasende kommenter i diverse kommentarfelt. Det er nå kommet frem hvordan dette ble gjort, og viser seg å være en konsekvens av at md5-hash av brukeres epostadresse eksponeres, som brukes som en identifikatorer for å koble brukere sammen på tvers av ulike sider/tjenester.

Dette er noe som brukes av en rekke store sider, og det er derfor potensielt en smal sak å koble sammen ulike brukere på en rekke tjenester, og også kunne knytte disse til en person.
Referanser
http://arstechnica.com/security/2013/12/crypto-weakness-in-web-comment-system-exposes-hate-mongering-politicians/ http://www.expressen.se/nyheter/expressen-avslojar/namn-pa-anonyma-anvandare-knackta/

Sikre tekstmeldinger integreres i Cyanogenmod

Det meldes at TextSecure integreres i Cyenogenmod's standard sms applikasjon, slik at brukere sømløst skal kunne sende ende til ende krypterte tekstmeldinger. TextSecure baserer seg på at krypteringsnøkler ligger på enhetene, og sentrale tjenere har ingen muligheter til innsyn i meldinger eller nøkler. Sms applikasjonen vil selv sjekke om mottakeren skal ha meldingene via TextSecure eller standard sms. Se referanse for detaljer.
Referanser
http://threatpost.com/inside-the-textsecure-cyanogenmod-integration/103164 http://threatpost.com/textsecure-encrypted-text-messaging-integrated-into-cyanogenmod-for-android/103141

NSA overvåker Googles PREF cookie

NSA overvåker en spesiell browser cookie kjent som PREF, dette er en cookie laget av Google å brukes i blant annet Googles Safe Browsing tjeneste. Den er også spesiell i det at den kommer innebygd i en del browsere og kan ikke alltid slåes av uten og deaktivere Google Safe Browing.
Referanser
http://threatpost.com/nsa-using-google-non-advertising-cookie-to-spy/103162

Google åpner for inkrementell rettighetstilgang

Google har nå annonsert at utviklere ikke lenger trenger å spørre brukeren om tilgang til alle Google tjenester på en gang, men åpner for muligheten til å spørre om tilgang til funksjonalitet enkelt-vis når brukeren bruker funksjoner i applikasjonen som krever nye rettigheter.
Referanser
http://news.cnet.com/8301-1023_3-57615357-93/you-shall-not-pass-this-time-google-tweaks-permissions/

Wednesday, 11 December 2013

2013.12.11 - Nyhetsbrev

Microsoft har sluppet oppdateringer for desember. Dagbladet har en artikkel om hvordan dokumenter blottlegges på internett. Microsoft med nye sikkerhetsfunksjoner mot kapring av kontoer. Adobe oppdaterer Flash Player, Air og Shockwave.

Microsoft har sluppet oppdateringer for desember

Microsoft slapp i går kveld 11 oppdateringer som retter 22 svakheter. Fem av oppdateringene er rangert som kritiske. De 5 kritiske oppdateringene omfatter GDI+ (MS13-096), Internet Explorer (MS13-097), Scripting Runtime (MS13-099), Windows (MS13-098) og Exchange (MS13-105). Spesielt er det verdt å få med seg at oppdateringen for GDI+ retter svakhetene vi tidligere har omtalt som rammer Office 2007 og Lync som kjører på Windows XP. Svakheten har blitt brukt aktivt i angrep i noen uker nå. Patchen for Internet Explorer er også viktig og Microsoft opplyser om at denne kan bli utnyttet innen kort tid.

De resterende 6 oppdateringene er rangert som viktige og omfatter blant annet Office, Windows, SharePoint og ASP.NET.
Referanser
http://blogs.technet.com/b/msrc/archive/2013/12/10/omphaloskepsis-and-the-december-2013-security-update-release.aspx http://technet.microsoft.com/en-us/security/bulletin/ms13-dec

Dagbladet har en artikkel om hvordan dokumenter blottlegges på internett

Dagbladet har gjennom sin serie "Null Ctrl" funnet flere tusen åpne servere og databaser på internett. Denne gang er fokuset på åpne FTP-servere med sensitive dokumenter. Mange mindre bedrifter sikrer ikke slike filservere mot tilgang fra Internett.
Referanser
http://www.dagbladet.no/2013/12/10/nyheter/innenriks/nullctrl/datasikkerhet/informasjonsteknologi/30742725/

Microsoft med nye sikkerhetsfunksjoner mot kapring av kontoer

Microsoft kom med to-faktor autentisering tidligere i år og nå legger de til ytterlige sikkerhetsfunksjoner som skal hindre kapring av kontoer og uatorisert tilgang. Én av de nye mulighetene er et oversiktsbilde over nylige aktiviteter samt mislykkede innlogginger.
Referanser
http://threatpost.com/microsoft-adds-new-security-features-to-accounts/103138

Adobe oppdaterer Flash Player, Air og Shockwave

Adobe har sluppet oppdateringer for flash player, Air og Shockwave. Oppdateringene retter flere svakheter og omfatter flere plattformer. Oppdatering for Flash Player er tilgjengelig for Windows, OS X og Linux, oppdateringer for Air er tilgjengelig for Windows, OS X og Android og oppdateringer for Shockwave er tilgjengelig for Windows og OS X. Adobe opplyser at en av svakhetene i Flash allerede utnyttes aktivt. For mer informasjon, se referanser.
Anbefaling
Installer oppdateringer
Referanser
http://helpx.adobe.com/security/products/flash-player/apsb13-28.html
http://helpx.adobe.com/security/products/shockwave/apsb13-29.html

Tuesday, 10 December 2013

2013.12.10 - Nyhetsbrev

IETF med forslag til standard for lagring av passord ved bruk av kryptering/hashing. Datalekkasje om hotellreservasjoner fra Kina. Teknologigiganter etterspør reform innen overvåking. Android spill stjeler bruker-data. Google skriver i en blogpost at 91.4% av alle eposter de får er autentisert.

IETF med forslag til standard for lagring av passord ved bruk av kryptering/hashing

IETF har publisert et forslag til standard for lagring av passord i databaser ved bruk av kryptering og hashing. Dette vil gjøre det vanskeligere å bruteforce passord når brukerdatabaser blir kompromittert.
Referanser
https://datatracker.ietf.org/doc/draft-kistel-encrypted-password-storage/

Datalekkasje om hotellreservasjoner fra Kina

Hakkere i Kina har nylig lekket en database med 20 milioner hotellreservasjoner på flere nettsteder.
Referanser
http://www.scmp.com/news/china-insider/article/1376769/chinese-hackers-leak-hotel-guest-data-wechat

Teknologigiganter etterspør reform innen overvåking

Åtte av verdens største teknologiselskaper har gått sammen om å etterspørre en reform av og klarere regler for overvåking. De vil ha slutt på innsamling av data om alle brukere, men heller utlevere informasjon om spesifikke brukere. De vil også ha regler for hvordan lands myndigheter skal henvende seg for å hente ut informasjon om brukere fra tjenester i andre land.
Referanser
http://threatpost.com/tech-giants-unite-in-call-for-surveillance-reform/103135 http://reformgovernmentsurveillance.com/

Android spill stjeler bruker-data

Android spillet Ballon Pop 2 har blitt fjernet fra den offisielle Google Play butikken etter at det viste seg at den stjal brukernes WhatsApp-samtale data og la dataen ut for salg på nettet.

Meningen med appen var at en person kunne installere denne på en utvalgt telefon og deretter laste ned chat-loggene mot betaling.
Referanser
http://grahamcluley.com/2013/12/android-game-steals-whatsapp-chats-offers-sale/

Google skriver i en blogpost at 91.4% av alle eposter de får er autentisert

Ifølge Google så er 91.4% av all legitim epost som kommer inn til Gmail brukere autentisert enten via DKIM og/eller SPF. Dette er standarder som eiere av domener kan implementere for å bedre sikkerheten mot å bli brukt som falsk avsender på eposter. Google oppfordrerer alle til å ta i bruk disse systemene for autentisering av epost.
Referanser
http://googleonlinesecurity.blogspot.co.uk/2013/12/internet-wide-efforts-to-fight-email.html

Monday, 9 December 2013

2013.12.09 - Nyhetsbrev

Google sertifikater er på avveie. Nytt IDS rammeverk for OS X.

Google-sertifikater på avveie

I følge Google skal det har blitt utsted sertifikater for domener relatert til Google til en uautorisert tredjepart. Konkret hvilke domener sertifikatene gjelder for er ikke kjent. Sertifikatene ble utstedt av den franske sertifikatutstederen ANSSI. Dette ble oppdaget 3. desember. Sertifikatene er allerede trukket tilbake og er i tillegg blitt svartelistet i siste versjon av Google Chrome.
Referanser
http://googleonlinesecurity.blogspot.nl/2013/12/further-improving-digital-certificate.html

Nytt IDS-rammeverk for OS X

Facebook har sammen med Etsy utviklet et nytt IDS-rammeverk rettet mot OS X. Rammeverket er Python-basert og kildekoden er tilgjengelig via github.com. For mer informasjon, se referansene.
Referanser
https://github.com/etsy/MIDAS https://www.facebook.com/notes/protect-the-graph/midas-intrusion-detection-for-macs/1403539049886242

Friday, 6 December 2013

2013.12.06 - Nyhetsbrev

Europol, FBI og Microsoft har aksjonert mot ZeroAccess-botnettet. Microsoft har publisert forhåndsvarsel av oppdateringene som kommer i Desember. JPMorgan Chase & Co har vært utsatt for et datainnbrudd. Microsoft skal aktivere forward secrecy.

Aksjon mot botnettet ZeroAccess

Europol og FBI har med assistanse fra blant annet Microsoft aksjonert mot botnettet ZeroAccess. I følge Microsoft ble aksjonen gjennomført i siste halvdel av november og var i hovedsak rettet mot servere brukt for å infisere og styre klienter. Det ble blant annet gitt rettslig kjennelse til å blokkere 18 IP-adresser og 49 domener som er assosiert med botnettet. Forskere ved University of California i San Diego anslår at det i oktober var ca 1.9 millioner PCer som var infisert av ZeroAccess, hvor ca 800.000 til enhver tid er tilkoblet Internett.
Referanser
http://www.botnetlegalnotice.com/zeroaccess/ http://krebsonsecurity.com/2013/12/zeroaccess-botnet-down-but-not-out/ http://www.microsoft.com/en-us/news/press/2013/dec13/12-05zeroaccessbotnetpr.aspx http://blogs.technet.com/b/microsoft_blog/archive/2013/12/05/microsoft-europol-fbi-and-industry-partners-disrupt-notorious-zeroaccess-botnet-that-hijacks-search-results.aspx

Microsoft publiserer forhåndsvarsel av oppdateringer for desember

Microsoft melder at de kommer til å slippe 11 oppdateringer tirsdag 10. desember. Oppdateringene som slippes vil rette svakheter i Windows, Windows Server, Windows RT, Office, Exchange Server, Lync og Team Foundation Server hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 5 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige.

Det er spesielt verdt å merke seg at blant svakhetene som rettes er svakheten i håndteringen av TIFF-filer i GDI+ som vi omtalte i begynnelsen av november. I løpet av forrige måned har det være flere tilfeller hvor denne svakheten har blitt utnyttet. Spesielt utsatt er kombinasjonen av Windows XP og Office 2007/Lync.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2896666

Microsoft forbedrer krypteringen sin

Microsoft skal nå starte prosessen med å gå over til 2048-bit krypteringsnøkler på sine skytjenester, og skal i tillegg implementere løsningen Perfect Forward Secrecy, noe som gjør at om en bruker sin sesjon blir tatt over kan ikke angriperne bruke denne nøkkelen til å få data fra andre sesjoner. Dette gjelder både informasjon som går fra kunde til Microsoft sine servere, samt mellom deres datasentere.
Referanser
http://threatpost.com/microsoft-expands-encryption-use-to-thwart-nsa-surveillance/103111 http://arstechnica.com/information-technology/2013/12/microsoft-to-harden-networks-code-against-government-snooping/

JPMorgan Chase & Co utsatt for dataangrep. Sensitiv informasjon på avveie

JPMorgan Chase & Co, en stor bank i USA, har meldt om at sensitiv informasjon til 465.000 kunder kan ha kommet på aveie etter et data-angrep mot deres nettverk.

Storbanken melder at informasjonen som ble stjålet ikke inneholdt personlige data som personnummer, fødselsdato eller e-mail men sier at informasjonen angriperne fikk tak i var ikke kryptert.

Les mer om dette i referansene under
Referanser
http://threatpost.com/half-million-users-affected-in-jp-morgan-ucard-data-dreach/103112 http://www.reuters.com/article/2013/12/05/us-jpmorgan-dataexposed-idUSBRE9B405R20131205

Thursday, 5 December 2013

2013.12.05 - Nyhetsbrev

Google oppdatering til Chrome.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i versjon 31.0.1650.63. Oppdateringen retter 3 svakheter og det anbefales å oppdatere så fort som mulig. Siste versjon av Flash Player er også inkludert. For fullstendig liste over rettede sårbarheter, se referanse.
Anbefaling
Installer siste versjon av Google Chrome. På Windows kan dette gjøres gjennom oppdateringsverktøyet i nettleseren.
Referanser
http://googlechromereleases.blogspot.no/2013/12/stable-channel-update.html?utm_source=feedburner

Wednesday, 4 December 2013

2013.12.04 - Nyhetsbrev

Kaspersky Lab spår kraftig økning i antall nettbank-tyverier med inntog av den selvreplikerende banktrojaneren Neverquest.

VMware Workstation, Fusion, ESXi og ESX lider av en rettighetseskalerings-svakhet.

Kaspersky Lab spår drastisk økning av banktrojanere

Kaspersky Lab advarer mot drastisk økning i antall bankangrep i forbindelse med inntoget av den nye selvreplikerende bank trojaneren Neverquest.
Referanser
http://www.darkreading.com/attacks-breaches/experts-predict-mass-attacks-on-online-b/240164375 http://www.securelist.com/en/analysis/204792315/Online_banking_faces_a_new_threat

Rettighetseskaleringssvakhet i VMware Workstation, Fusion, ESXi og ESX

VMware Workstation, Fusion, ESXi og ESX lider av en svakhet som kan gi en lokal bruker av enkelte eldre, Windows gjeste-OSer muligheten til å øke sine lokale rettigheter. Svakheten befinner seg i "LGTOSYNC.SYS" driveren, og følgende gjeste-OS'er rammet; 32-bit Windows 2000 Server, Windows XP eller Windows 2003 Server på ESXi og ESX, samt Windows XP på Workstation og Fusion. Svakheten kan ikke utnyttes til å eskalere rettigheter fra gjeste-OS'et til verts-OS.
Anbefaling
Oppdater til fiksede versjoner ihht. http://www.vmware.com/security/advisories/VMSA-2013-0014.html
Referanser
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3519
http://www.vmware.com/security/advisories/VMSA-2013-0014.html

Tuesday, 3 December 2013

2013.12.03 - Nyhetsbrev

D-Link med sikkerhetsoppdatering for eldre rutere. Malware laget av forskere kan kommunisere gjennom lydbølger.

D-Link med sikkerhetsoppdatering for eldre rutere

D-Link har publisert en sikkerhetsoppdatering for flere av sine eldre rutere, oppdateringene fikser en bakdør som kunne gi en angriper ekstern kontroll over en sårbar ruter.

Se link for mer info og liste over sårbare enheter.
Referanser
http://krebsonsecurity.com/2013/12/important-security-update-for-d-link-routers/

Malware laget av forskere kan kommunisere gjennom lydbølger

Forskere i Tyskland har nå greid å lage en prototype som bruker den innebygde mikrofonen og høyttaleren i bærbare PCer for å sende informasjon til andre infiserte maskiner. Denne informasjonen kan være passord, kommandoer og andre typer data av mindre størrelse.

I følge forskerne har de greid å kommunisere med maskiner som er rundt 20 meter unna og denne avstanden kan bli lengre om infiserte maskiner repeterer signaler videre til andre infiserte maskiner. Hastigheten til denne overføringen av data er på rundt 20 bit per sekund. Kommunikasjonen skjer over 20KHz og er dermed ikke mulig å høre for mennesker.
Referanser
http://arstechnica.com/security/2013/12/scientist-developed-malware-covertly-jumps-air-gaps-using-inaudible-sound/

Monday, 2 December 2013

2013.12.02 - Nyhetsbrev

Vodaphone Island utsatt for dataangrep. Utnyttelse av Windows 0-day-sårbarhet observert i Norge. Google Nexus-telefoner sårbare for DoS-angrep via SMS. Orm mot Linux-baserte elektronikkenheter.

Vodaphone Island utsatt for dataangrep. Sensitiv informasjon fra 77 000 kunder på aveie.

Vodafone Island ble lørdag utsatt for et dataangrep som medførte at informasjon tilhørende 77 000 kunder kom på avveie. Selskapets hjemmesider ble fjernet og en webside med lenke til data-dumpen ble lagt ut i stedet.

Blant dataene som ble postet på nettet var brukernavn, passord, fullt navn, personnummer og adresser samt innholdet i flere tusen SMS-meldinger. Islandske medier har blant annet lagt ut meldinger fra parlamentsmedlemmer.
Referanser
http://www.digi.no/925253/hacket-teleselskap http://www.cyberwarnews.info/2013/11/30/official-vodafone-iceland-hacked-and-defaced-with-77000-accounts-leaked/ http://www.cyberwarnews.info/reports/official-vodafone-iceland-breach-contents-report-breakdown/

Utnyttelse av Windows 0-day-sårbarhet observert i Norge

Utnyttelse av rettighetseskaleringsårbarheten i Windows som ble kjent i forrige uke, er nå observert i flere land, inkludert Norge. Svakheten blir brukt i forbindelse med et målrettet angrep via PDF-filer.

Det foreligger fortsatt ingen patch for sårbarheten men en foreløpig fiks finnes i Microsofts varsel fra forrige uke. Se link nedenfor.
Referanser
http://www.symantec.com/connect/blogs/attack-exploits-windows-zero-day-elevation-privilege-vulnerability http://technet.microsoft.com/en-us/security/advisory/2914486

Google Nexus-telefoner sårbare for DoS-angrep via SMS

En svakhet i Google-mobilene Nexus 4 og 5 kan misbrukes ved at angriper sender en mengde SMS-meldinger av typen flash (class 0) til telefonen. Med mindre meldingene leses fortløpende, fører det til at telefonen restartes.
Referanser
http://news.cnet.com/8301-1009_3-57614074-83/google-nexus-phones-reportedly-susceptible-to-sms-attacks http://www.pcworld.com/article/2067960/google-nexus-phones-vulnerable-to-denialofservice-attack-via-flash-sms-messages.html

Orm mot Linux-baserte elektronikkenheter

Symantec forteller om en orm som retter seg mot "embedded devices", som printere, rutere, webkameraer og lignende, basert på Linux og x86-arkitektur. Ormen utnytter en gammel PHP-sårbarhet for å spre seg. Det er også mulig at det allerede finnes en ARM-utgave av ormen. Ormen har enda ikke spredt seg på Internett.
Referanser
http://securityaffairs.co/wordpress/20084/malware/internet-of-things-worm.html http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices