Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 31 December 2014

2014.12.31 - Nyhetsbrev

Nyheter om svakheter i SS7.

Ny forskning avslører hvordan SS7 kan brukes til overvåking av mobiltelefoner

Under den 31. hackerkonferansen arrangert av Chaos Communication Congress, er det presentert forskning som viser hvordan SS7-protokollen enkelt kan brukes til å overvåke og manipulere mobiltelefoner.
Referanser
http://www.zdnet.com/article/invasive-phone-t[...]

Tuesday, 30 December 2014

2014.12.30 - Nyhetsbrev

Reprodusering av fingeravtrykk kun ved hjelp av bilder, Gmail har blitt blokkert i Kina og mistenkt stats-hacking benyttet kommersiell programvare

Chaos Computer Club hevder å kunne reprodusere fingeravtrykk kun ved hjelp av bilder

Chaos Computer Club er en av Europas største hacker-organisasjoner. De hevder nå at de kan reprodusere fingeravtrykk kun ved hjelp av bilder. På Chaos Computer Club sin årlige konferanse, viste Jan Krissler eksempler på hvordan han ved hjelp av noen få bilder klarte å rekonstruere fingeravtrykk. Han skal også ha forklart hvordan han utførte dette mot Tysklands forsvarsminister Ursula von der Leyen.
Referanser
http://venturebeat.com/2014/12/28/chaos-compu[...]
http://gizmodo.com/chaos-computer-club-says-t[...]
http://www.dw.de/german-defense-minister-von-[...]
https://www.youtube.com/watch?v=pIY6k4gvQsY

Mistenkt stats-hacking benyttet kommersiell programvare

Reuters melder om en tidligere ukjent hacking-kampanje mot militære mål i Israel og Europa. Hackingen har sannsynligvis blitt støttet av et land som har misbrukt programvare for sikkerhetstesting. Programvaren som ble benyttet selges av Core Security og er tiltenkt kunder som vil teste sikkerheten i sine egne systemer. Gadi Evron, som er medlem i det Israelske CERT, melder om at de enda ikke vet hvem som står bak hackingen, men at forsøkene mot Israel til nå har vært mislykket.
Referanser
http://www.reuters.com/article/2014/12/27/hac[...]

Gmail har blitt blokkert i Kina

En oversikt viser at Gmail-trafikk i Kina ble kraftig redusert i helgen. Det antas at landet bevisst har blokkert denne tjenesten i deres nasjonale brannmur. Artiklene nedenfor nevner at Kina er lite begeistret for å ha slike eksterne tjenester og ved å stenge Gmail vil de øke sannsynligheten for at flere igjen benytter seg av tjenester som myndighetene har kontroll over.
Referanser
http://www.theguardian.com/world/2014/dec/29/[...]
http://securityaffairs.co/wordpress/31603/sec[...]

Monday, 29 December 2014

2014.12.29 - Nyhetsbrev

PlayStation Network og XBOX Live har i romjulen blitt utsatt for DDoS angrep av Lizard Squad, hackere prøver å utpresse et sørkoreansk atomkraftverk, ISC melder at deres nettside har vært infisert med malware, avisen Spiegel beskriver hvordan NSA prøver å komme rundt kryptering og Apple gir ut sikkerhetsoppdateringer til OS X.

Apple gir ut oppdateringer til OS X

Apple ga ut sikkerhetsoppdateringer til OS X Mountain Lion, Mavericks og Yosemite den 23. desember. Disse sikkerhetsoppdateringene skal fikse svakhetene OS X hadde i NTP (Network Time Protocol) bakgrunnsprosessen. Utnyttelse av denne svakheten kunne føre til at angripere kunne ta over maskinen.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

ISC melder at deres nettside har blitt infisert med malware

ISC melder om at deres nettside har blitt hacket og infisert med malware.
Ifølge Cyphort Labs, skal ISC ha blitt advart om dette den 22. desember, hvor nettsiden således ble tatt ned den 23. desember.
Referanser
http://isc.org/
http://www.theregister.co.uk/2014/12/26/isc_o[...]

Hackere prøver seg på utpressing av et Sørkoreansk atomkraftverk

Et Sørkoreansk atomkraftverk som nylig ble utsatt for datainnbrudd, har nå mottatt trusler fra hacker gruppen. Truslene skal bestå i publisering av mer sensitiv data på nett om de ikke stenger tre av sine reaktorer i løpet av de kommende dagene.
Referanser
http://www.theverge.com/2014/12/22/7434089/ha[...]

Lizard Squad angriper PSN og XBOX Live nok en gang

Lizard Squad har vært veldig aktive med DDoS angrep sålangt i romjulen. Det ble meldt av både XBOX Live og PlayStation Network (PSN) at deres tjeneste har vært nede grunnet DDoS angrep. The Register meldte den 27. desember at PSN enda hadde problemer med tjenesten. Søndags kveld ble det annonsert av Sony at tjenesten endelig var oppe igjen.
Referanser
http://securityaffairs.co/wordpress/31491/cyb[...]
http://www.theregister.co.uk/2014/12/27/plays[...]
http://blog.us.playstation.com/2014/12/27/pla[...]

Avisen Spiegel skriver om hvordan NSA prøver å komme rundt kryptering

Spiegel har publisert en artikkel på hvordan NSA går fram når de prøver å komme rundt og/eller dekryptere data fra forskjellige kilder. Det nevnes at NSA skal siden høsten 2011 hatt mulighet til å overvåke og dekryptere Skype samtaler. Det nevnes samtidig at det skal være mange krypteringsmetoder NSA enda ikke har klart å utnytte.
Referanser
http://www.spiegel.de/international/germany/i[...]

Tuesday, 23 December 2014

2014.12.23 - Nyhetsbrev

Svakhet i Apple's EFI Firmware.

Svakhet i Apple's EFI Firmware

Trammell Hudson's Projects skriver om en svakhet i Apple's EFI Firmware som gjør det mulig for en angriper, med fysisk tilgang til maskinen, å kunne installere en skadevare som kan overleve både reinstallasjon av OS'et og skifte av harddisk.
Referanser
https://trmm.net/EFI

Monday, 22 December 2014

2014.12.22 - Nyhetsbrev

Millioner av routere er sårbare, kritiske svakheter i NTP-daemon og FBI sier Nord-Korea står bak Sony-hack.

Millioner av routere er sårbare

Programvaren "RomPager", som er inkludert i firmware til mange routere, har en alvorlig svakhet. Svakheten ble egentlig rettet i 2005, men mange routere benytter fortsatt den gamle versjonen. Routere fra Linksys, D-Link, Edimax, Huawei, TP-Link, ZTE og ZyXEL kan alle være sårbare. Svakheten kan føre til at Internett-trafikken gjennom routeren både kan overvåkes og manipuleres.
Referanser
http://arstechnica.com/security/2014/12/12-mi[...]
http://mis.fortunecook.ie/

FBI: Nord-Korea står bak Sony-hack

Sony har nå sluppet en pressemelding der de opplyser at Nord-Korea står bak angrepet mot Sony. FBI opplyser at angrepet har store likheter med andre angrep de har sett fra Nord-Korea.
Referanser
http://www.fbi.gov/news/pressrel/press-releas[...]
http://arstechnica.com/security/2014/12/fbi-c[...]

Kritiske svakheter i NTP-daemon

Det har blitt offentliggjort flere svakheter i NTPd. Svakhetene gir mulighet for DoS og kjøring av vilkårlig kode. Det anbefales å oppgradere til siste versjon. Svakhetene blir allerede utnyttet.
Anbefaling
Oppgrader til versjon 4.2.8.
Referanser
http://threatpost.com/exploits-circulating-fo[...]
http://support.ntp.org/bin/view/Main/Security[...]

Friday, 19 December 2014

2014.12.19 - Nyhetsbrev

BSI melder om ødeleggende angrep mot stålverk. Sony trekker film etter hackerangrep. Sony-hack gjør folk skeptiske til e-post. Svakhet i Github kan føre til ondsinnet kodeeksekvering på klienter.

BSI melder om ødeleggende angrep mot stålverk

BSI (Bundesamt für Sicherheit in der Informationstechnik) i Tyskland melder i en rapport om et cyberangrep mot prosesstyringsanlegget i et stålverk. Angrepet førte til at en ovn ble overopphetet og dermed store skader på stålverket.
Referanser
https://www.bsi.bund.de/SharedDocs/Downloads/[...]
http://dragossecurity.com/blog/

Sony trekker film etter hackerangrep

Sony har nå trukket filmen The Interview etter hacker-angrepet. Dette skjer etter at hackerne har truet med fysiske angrep mot kinoer som viser filmen. Mange mener at å trekke filmen bare vil oppmuntre til å lignende angrep i fremtiden.
Referanser
http://www.dagbladet.no/2014/12/18/kultur/son[...]
http://deadline.com/2014/12/george-clooney-so[...]

Sony-hack gjør folk skeptiske til e-post

New York Times skriver om hvordan Sony-hacket kan ha gjort folk mer skeptiske til e-post. All e-post til flere ansatte hos Sony har blitt lekket i løpet av de siste dagene. Forfatteren mener at flere kan gå over til mer flyktige måter å kommunisere på som telefonsamtaler.
Referanser
http://www.nytimes.com/2014/12/18/style/how-t[...]

Svakhet i Github kan føre til ondsinnet kodeeksekvering på klienter

Svakhet i Github rammer alle Windows- og Mac-baserte versjoner av Github (og relatert programvare). Svakheten kan bli misbrukt til å tillate ekstern kodeeksekvering når klientens programvare bruker ondisnnede trær i Git-brønner, som har blitt plantet av angriper.
Anbefaling
Git-brukere bør oppgradere umiddelbart
Referanser
https://github.com/blog/1938-vulnerability-an[...]
http://arstechnica.com/security/2014/12/criti[...]

Thursday, 18 December 2014

2014.12.18 - Nyhetsbrev

Brukerinformasjon til flere registrarer på avveie etter hackerangrep mot ICANN.

Brukerinformasjon til flere registrarer på avveie etter hackerangrep mot ICANN

Tidlig i desember i år ble det oppdaget at bruker og passord til flere ansatte ved ICANN hadde blitt brukt til å skaffe tilgang til flere interne systemer som blant annet Centralized Zone Data System (CZDS), wiki-sidene til Governmental Advisory Committee (GAC), domene registrering Whois portalen og bloggen til organisasjonen. CZDS inneholder blant annet lese tilgang til DNS sone filene til alle top level domener samt brukernavn og passord til flere registrarer.
Referanser
https://www.icann.org/news/announcement-2-201[...]
http://www.theregister.co.uk/2014/12/17/icann[...]

Wednesday, 17 December 2014

2014.12.17 - Nyhetsbrev

NSM gir råd rundt IMSI-catchere. FBI har brukt Metasploit til å avsløre TOR-brukere.

NSM gir råd rundt IMSI-catchere

NSM har skrevet en artikkel om hvordan en kan beskytte seg mot IMSI-catchere. De foreslår blant annet å skru av 2G på mobilen dersom mulig. ComputerWorld har også en artikkel med noen råd og betraktninger rundt saken.
Referanser
https://www.nsm.stat.no/aktuelt/falske-basest[...]
http://www.cw.no/artikkel/telekom/bare-krypte[...]

FBI har brukt Metasploit til å avsløre TOR-brukere

I 2012 startet Federal Bureau of Investigation(FBI) “Operation Torpedo”. Denne operasjonen gikk ut på å ta folk som utvekslet barneporno over systemet. I forbindelse med etterforskningen viser det seg at FBI har benyttet seg av en gammel modul til Metasploit for å identifisere brukerne. Artikkelen tar også for seg nyere teknologier for å identifisere brukerne.
Referanser
http://www.wired.com/2014/12/fbi-metasploit-tor/

Tuesday, 16 December 2014

2014.12.16 - Nyhetsbrev

DSB har utgitt en rapport med oversikt over risikobilde for 2014. Mer om mobil-komponenten i Inception. Mer om IMSI-catchere. Russisk malware ved navn SoakSoak har infisert over 100 000 Wordpress sider.

DSB har utgitt en rapport med oversikt over risikobilde for 2014

Direktoratet for samfunnssikkerhet og beredskap (DSB) har publisert "Nasjonalt risikobilde 2014" en oversikt over risiko og sårbarhet i det norske samfunnet. Rapporten tar også for seg det digitale risikoområdet (kapittel 18) og beskriver flere potensielle risikoscenarier, blant annet et angrep mot Telenors transportnett. Sannsynlighetsvurderingen for et slikt scenario blir anslått som lav, men den potensielle konsekvensen for et slikt cyberangrep kan være svært store, med blant annet flere følgehendelser som kan få konsekvenser for liv og helse.
Referanser
http://www.dsb.no/Global/Publikasjoner/2014/T[...]

Mer om mobil-komponenten i Inception

Bluecoat har skrevet mer om mobil-komponenten til Inception-kampanjen. Malwaren er laget for å ta opp samtaler og sende disse videre. Det brukes et avansert system i flere lag for å sende dataene videre til kontrollservere.
Referanser
https://www.bluecoat.com/security-blog/2014-1[...]

Mer om IMSI-catchere

Digi.no har skrevet en artikkel med mer bakgrunnsinfo om IMSI-catchere. Denne typen hardware var for noen år siden fritt i salg i Norge.
Referanser
http://www.digi.no/932013/imsi-catchere-har-b[...]

Russisk malware ved navn SoakSoak har infisert over 100 000 Wordpress sider

Russisk malware ved navn SoakSoak skal ha infisert over 100 000 Wordpress-sider siden søndag. Forskere ved Sucuri sier at det vil bli vanskelig å fjerne den ondsinnede koden, ettersom mange nettsted-eiere ikke vet at den eksisterer.
Referanser
http://gizmodo.com/mysterious-russian-malware[...]

Monday, 15 December 2014

2014.12.15 - Nyhetsbrev

Sony forlanger at nyhetsorganisasjoner sletter data. Firstlook har en artikkel med mer detaljer rundt angrepet mot Belgacom. Aftenposten har en artikkel om falske mobil-basestasjoner som er oppdaget i Oslo. En oljeledning eksploderte i Tyrkia i 2008, hvor Bloomberg skriver at dette skyldes et cyberangrep.

Sony forlanger at nyhetsorganisasjoner sletter data

Etter angrepet mot Sony tidligere denne måneden har det daglig blitt sluppet flere GB med interne data fra angriperne. Dette har ført til at flere medier har laget saker med bakgrunn i intern informasjon fra selskapet. Sony har nå sendt et krast brev til flere firmaer der de ber om at data blir slettet og at ikke flere saker skrives.
Referanser
http://www.nytimes.com/2014/12/15/business/so[...]

Firstlook med flere opplysninger rundt Belgacom-hack

Firstlook har en artikkel med mer detaljer rundt angrepet mot Belgacom. Artikkelen er basert på intervjuer og flere dokumenter fra Snowden.
Referanser
https://firstlook.org/theintercept/2014/12/13[...]

Aftenposten: Stortinget og statsministeren overvåkes med spionutstyr

Aftenposten har en artikkel om falske mobil-basestasjoner som er oppdaget i Oslo. De er blant annet plassert ved statsministerens bolig og stortinget. Aftenposten skriver også at det er mest sannsynlig plassert utstyr på Aker brygge og Tjuvholmen. Utstyret kan brukes til å overvåke hvem som beveger seg i området. Det er ukjent hvem som kontrollerer utstyret. NSM bekrefter at de også har funnet spor etter mistenkelig utstyr.

For å gjøre det mye vanskeligere for angripere å registrere deg ved hjelp av IMSI-catchere, anbefales det å skru av muligheten til å bruke 2G-nettverk på mobilen. Bruk altså 3G eller 4G dersom mulig.
Referanser
http://mm.aftenposten.no/stortinget-og-statsm[...]
http://www.vg.no/nyheter/innenriks/solberg-re[...]
http://mm.aftenposten.no/spionutstyr-plassert[...]

Bloomberg skriver om cyberangrep mot oljeledning i 2008

En oljeledning eksploderte i Tyrkia i 2008. Bloomberg skriver at dette skyldes et cyberangrep. Angriperne kom seg inn via en svakhet i overvåkningskameraene. Det mistenkes at Russland står bak angrepet.
Referanser
http://www.bloomberg.com/news/2014-12-10/myst[...]

Friday, 12 December 2014

2014.12.12 - Nyhetsbrev

Svenske ISPer sliter med store mengder utgående DDoS-trafikk fra nettene sine.

Svenske og Finske ISPer sliter med utgående DDoS-trafikk

Flere svenske og finske medier melder at flere av landets ISPer har hatt nedetid som følge av utgående DDoS-trafikk fra nettene deres. Dette har antakeligvis forbindelser til saken vi omtalte om utgående DDoS-trafikk fra Get i går fra utdaterte rotuere. Kompromitterte kunder av ISPene generer utgående DDoS-trafikk mot eksterne mål. Infrastrukturen til ISPene klarer ikke å håndtere trafikkmengden, og det blir problemer med nettet. Også denne gangen mistenkes det at Lizardsquad står bak. Denne grupperingen har i flere måneder angrepet "gaming-relaterte" mål som Sony, Microsoft Live, Electronic Arts, World of Warcraft osv.
Referanser
http://www.aftonbladet.se/nyheter/article2000[...]

Thursday, 11 December 2014

2014.12.11 - Nyhetsbrev

Sony-sertifikater lekket og brukt til signering av malware. Get sperret routere ute fra nettet etter DDoS. Ny versjon av "RedOctober" angriper russiske selskap.

Sony-sertifikater lekket og brukt til signering av malware

Det lekker stadig mer data etter det store innbruddet hos Sony. Nå har det også lekket private sertifikater for å signere kode. En sikkerhetsforsker har signert gammel malware med et av sertifikatene for å gjøre folk oppmerksomme på problemet. Interne e-poster fra sjefer i firmaet har også blitt sluppet det siste døgnet.
Referanser
https://isc.sans.edu/diary/Malware+Signed+Wit[...]

Get sperret routere ute fra nettet etter DDoS

Get har sperret ute flere kunder fra Internet etter at kundenes routere ble brukt til å utføre DDoS-angrep. Dette dreier seg hovedsaklig om gamle routere fra Netgear som har svakheter som gjør de egnet til å bruke til DDoS. Det ble generert så mye trafikk at interne systemer hos Get gikk ned, selv om målet var eksternt. I de siste dagene har både Sonys PSN og Microsofts X-Box Live-tjenester blitt angrepet ved hjelp av DDoS. Eierne av de berørte routerne vil få hjelp til å oppgradere programvaren. Routerne er ikke levert av Get.
Referanser
http://www.digi.no/931941/get-maa-blokkere-pr[...]

Ny versjon av "RedOctober" angriper russiske selskap

"Inception", et navn gitt av sikkerhetsselskapet BlueCoat på en gruppe av internasjonale kriminelle, går nå etter høyprofilerte mål som enten ligger i Russland eller har noe med Russland å gjøre.

Gruppen bruker mye av de samme taktikkene som "RedOctober", som ble avdekket av Kaspersky Labs i Oktober 2012. Kaspersky Labs har kalt denne gruppen for CloudAtlas og sier at denne gruppen er den nye versjonen av RedOctober.

Gruppen brukere flere forskjellige taktikker for å få tak i informasjon de vil ha. Et eksempel på dette er at gruppen bruker gamle svakheter i filformatet RTF (Rich Text Format). Om en slik fil blir åpnet av en bruker, gjerne etter at brukeren har mottatt dette på mail, så vil det bli eksekvert kode som så vil rapportere til en kontroll-server og gi informasjon om maskinen. Malwaren prøver også å gjemme seg ved å droppe andre varianter av kjent malware til disken, for å gjøre analyse vanskeligere. Det brukes også en rekke språk i malwaren, muligens for å skjule de egentlige bakmennene. Gratis-kontoer hos den svenske skyleverandøren CloudMe brukes som kommando og kontroll-system.

Gruppen utnytter også svakheter på smarttelefoner via SMS og MMS for å ta over både Android-, iOS- og BlackBerry-telefoner.

Rapporten til BlueCoat om "Inception" kan finnes nederst i referansene under.
Referanser
http://www.darkreading.com/perimeter/inceptio[...]
http://securelist.com/blog/research/68083/clo[...]
https://www.bluecoat.com/documents/download/6[...]

Wednesday, 10 December 2014

2014.12.10 - Nyhetsbrev

Microsoft og Adobe har begge sluppet oppdateringer til flere av sine produkter som retter en rekke feil, hvor flere er rangert som kritiske. VMware har også rettet en feil i vCAC.

VMware har sluppet sikkerhetsoppdateringer for vCloud Automation Center

VMware har sluppet sikkerhetsoppdateringer for vCloud Automation Center (vCAC). Oppdateringen retter en svakhet i Remote Console (VMRC) som kunne ført til rettighetseskalering.
Referanser
http://www.vmware.com/security/advisories/VMS[...]

Microsoft har sluppet oppdateringer for desember

Microsoft slapp i går kveld 7 oppdateringer, som retter 25 svakheter. Tre av oppdateringene er rangert som kritisk og omfatter Microsoft Windows, Microsoft Office og Internet Explorer.
Referanser
https://technet.microsoft.com/library/securit[...]

Sikkerhetsoppdatering for Adobe-produkter

Adobe har sluppet oppdatering for Adobe Reader, Acrobat og Flash Player. Oppdateringene for Reader og Acrobat retter 20 svakheter rangert som kritiske, mens oppdateringen for Flash Player retter 6 svakheter rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/read[...]
http://helpx.adobe.com/security/products/flas[...]

Tuesday, 9 December 2014

2014.12.09 - Nyhetsbrev

Datatilsynet kritisk til helsesektorens deling av pasientopplysninger. Alvorlig svakhet i BIND 9.

Datatilsynet stiller seg kritisk til at helsesektoren skal begynne å dele pasient opplysninger

Datatilsynet skriver om helsesektorens nye selvbetjente tilgang til pasientopplysninger og hvordan pasienter nå skal få tilgang til sine egne helse opplysninger.
Referanser
http://www.personvernbloggen.no/2014/12/08/fr[...]

Alvorlig svakhet i BIND 9 kan sette serveren ut av spill.

Følgende versjoner av BIND 9 er sårbare. 9.0.x-9.8.x, 9.9.0-9.9.6, 9.10.0-9.10.1. Ved å benytte en manipulert dns-sone eller en fiendtlig server kan man trigge en rekursiv spørring i BIND som kjører uendelig antall spørringer som spiser opp ressursene på serveren.
Anbefaling
Oppgrader til siste versjon som ikke er sårbar.
Referanser
http://cxsecurity.com/issue/WLB-2014120050

Monday, 8 December 2014

2014.12.08 - Nyhetsbrev

Både Playstation Network og Xbox Live har i perioder vært utilgjengelig i helgen pga. DDOS angrep. IBM demonstrerer kapring av kontoer via single signon-løsninger fra sosiale medier. Ny ransomware låser PC-en og sprer seg over nettverk. VMWare er ute med viktige oppdateringer.

Playstation Network og Xbox Live utsatt for DDOS angrep i helgen

En gruppe som kaller seg Lizard Squad har i løpet av helgen utført DDOS angrep mot både Playstation Network og Xbox Live. Angrepene skal ha gjort begge tjeneste utilgjengelige i perioder. Vi har også funnet spor av angrepet i vårt nett, og det kan se ut som om blant annet TCP SYN flooding er blitt brukt under angrepene.
Referanser
http://securityaffairs.co/wordpress/30898/cyb[...]
http://www.express.co.uk/life-style/science-t[...]
http://

Kapring av kontoer via "social login"

IBM X-Force har oppdaget en måte å overta eksisterende webkontoer via tredjeparts login-løsninger fra eksempelvis LinkedIn eller Facebook. Ved å lage en "social login"-konto i offerets navn vil angriper kunne benytte denne til å ta over offerets konto på websider som støtter dette.
Referanser
http://securityintelligence.com/spoofedme-soc[...]

VirRansom bruker virus-teknikker for spredning

Naked Security beskriver en ny type ransomware, som ikke bare blokkerer tilgang til filene på vertsmaskinen, men gjør enkeltfiler som bilder og dokumenter om til kjørbare filer, som sørger for videre infisering over delte nettverksressurser og kommunikasjon mot kommando-og kontrolltjener
Referanser
https://nakedsecurity.sophos.com/2014/12/05/n[...]

VMware har sluppet sikkerhetsoppdateringer for flere vSphere produkter

VMware har sluppet sikkerhetsoppdateringer for vCenter Server Appliance, vCenter Server og ESXi. Oppdateringene retter totalt 8 svakheter som kunne potensielt ha gjort det mulig å utføre et man-in-the-middle eller cross-site scripting angrep.
Referanser
http://www.vmware.com/security/advisories/VMS[...]

Friday, 5 December 2014

2014.12.05 - Nyhetsbrev

I følge dokumenter publisert av The Intercept skal NSA systematisk ha overvåket arbeidsgrupper som GSMA for å skaffe kunnskap om blant annet sårbarheter i mobilnettverk. Tek.no har besøkt penetrasjonstestere hos NSM og forteller om passordcracking. Microsoft har publisert forhåndsvarsel for Desember-oppdateringer. Nord-korea benekter nå spekulasjonene om at de står bak det nylige datainnbruddet hos Sony.

NSA skal ha kartlagt sårbarheter i mobilnettverk verden over

Iflg The Intercept har NSA hatt et program ved navn AURORAGOLD som har hatt til formål å kartlegge kunnskap om mobile nettverk verden over, deriblant teknologiendringer og sårbarheter som kan utnyttes for overvåking. Kartleggingen skal blant annet ha foregått ved å overvåke dokumenter sendt mellom medlemmer av grupper som GSMA.
Referanser
https://firstlook.org/theintercept/2014/12/04[...]
http://arstechnica.com/tech-policy/2014/12/ex[...]

Tek.no forteller om passordcracking hos NSM

Tek.no har besøkt NSM og forteller om metode og utstyr som benyttes av penetrasjonstestere for knekking av passord-hasher. I følge artikkelen er en tredjedel av passordene som testes for kritiske systemer bygget opp etter vanlige mønstre som gjør dem svært enkle å knekke til tross for variasjon i bokstaver tall.
Referanser
http://www.tek.no/artikler/dette-er-supermask[...]

Microsoft publiserer forhåndsvarsel for oppdateringene i Desember

Microsoft varsler 3 viktige og 4 kritiske oppdateringer tirsdag 9. desember. Oppdateringene berører blant annet Windows, Internet Explorer, Office og Exchange.
Referanser
http://blogs.technet.com/b/msrc/archive/2014/[...]

Nord-korea benekter å stå bak Sony-angrep

Nord-korea benekter nå at de står bak datainnbruddet mot Sony og omtaler spekulasjonene som "nok en fabrikasjon rettet mot landet".
Referanser
http://www.digi.no/931848/nord-korea-benekter[...]

Kritisk svakhet i WordPress Download Manager

WordPress Download Manager versjon 2.7.4 eller lavere inneholder en kritisk svakhet som kan gi angripere tilgang til administratorkontoer. Svakheten kan også utnyttes til å kjøre vilkårlig kode.
Anbefaling
Brukere av WP Download Manager versjon 2.7.4 eller lavere anbefales på det sterkeste å oppdatere til 2.7.5.
Referanser
http://threatpost.com/critical-remote-code-ex[...]

Thursday, 4 December 2014

2014.12.04 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


2014.12.04 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Wednesday, 3 December 2014

2014.12.03 - Nyhetsbrev

Mozilla med oppdateringer til Firefox og Thunderbird. De fjerner også støtte for SSL 3.0.

Nord Korea avviser ikke å ha stått bak angrepet mot Sony.

Iranske hackere mistenkt for å ha stått bak angrep mot kritisk infrastruktur verden over.

Mozilla oppdaterer Firefox og Thunderbird

Mozilla har sluppet en sikkerhetsoppdatering for Firefox og Thunderbird. Oppdateringen retter 9 svakheter hvor 3 er rangert som kritiske.
Referanser
https://www.mozilla.org/en-US/security/advisories/

Nord Korea avviser ikke at de står bak angrepet mot Sony

Sony ble utsatt for et hackerangrep der det skal ha blitt brukt såkalt "wiper" malware, en type malware som sletter alt innholdet på harddisken. Det skal i tillegg også ha blitt stjålet en rekke filer der flere av disse ryktes å ha sensitivt innhold. I det siste har det kommet flere bevis som peker på at angrepet har flere likheter med tidligere angrep utført mot Sør Korea. På spørsmål fra BBC har en talsperson fra Nord Korea uttalt at "vi får vente og se" i stedet for å direkte avvise å ha stått bak angrepet.
Referanser
http://arstechnica.com/security/2014/12/sony-[...]

Mozilla fjerner støtte for SSL 3.0 i versjon 34

Dette er for å beskytte brukerne mot såkalte POODLE angrep omtalt tidligere i høst. SSL 3.0 fjernes som en del av versjon 34 oppdateringen til Firefox.
Referanser
http://www.securityweek.com/mozilla-fixes-vul[...]

Iranske hackere står trolig bak angrep mot kritisk infrastruktur verdenover

Sikkerhetsfirmaet Cylance har publisert en rapport om "Operation Cleaver", som kobler iranske statsstøttede hackere til omfattende angrep mot kritisk infrastruktur verden over.
Referanser
http://threatpost.com/report-connects-iran-to[...]

Tuesday, 2 December 2014

2014.12.02 - Nyhetsbrev

Hackergruppe går ulovlige veier for fortrinn på aksjemarkedet. Sony ser mot Nord-Korea etter det nylige angrepet mot dem.

Hackergruppe prøver å tilegne seg informasjon som kan gi dem et fortrinn på aksjemarkedet

FireEye har oppdaget en hackergruppe som går målrettet mot mellomledere, juridisk rådgiver, og annen personell som vanligvis er i besittelse av konfidensiell informasjon, for å finne informasjon som kan gi dem et fortrinn på aksjemarkedet.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Sony undersøker om Nord-Korea står bak angrep

Det er flere ting som tyder på at Nord-Korea står bak angrepet mot Sony nylig, og Sony får nå hjelp av blant annet FBI og Mandiant i etterforskningen.
Referanser
http://arstechnica.com/security/2014/12/sony-[...]
http://www.cnbc.com/id/102226045

Monday, 1 December 2014

2014.12.01 - Nyhetsbrev

Europol arresterer 118 for kredittkortsvindel. Analyse av russiske malware-familier utført av Recorded Future.

Europol arresterer 118 for kredittkortsvindel

Europol har arrestert 118 personer på 84 flyplasser for å handle billetter med stjålne kredittkort. Aksjonen er et samarbeid melom Europol, IATA, banker og flyselskaper. De arresterte blir også knyttet mot andre typer kriminalitet.
Referanser
http://www.theguardian.com/technology/2014/no[...]

Analyse av russiske malware-familier

Firmaet Recorded Future har sett på forskjellige malware-familier med utspring i Russland.
Referanser
https://www.recordedfuture.com/russian-malwar[...]

Friday, 28 November 2014

2014.11.28 - Nyhetsbrev

CrySyS tester ut anti-APT-produkter ved å utvikle programvare som de sjekker om blir stoppet. Syrian Electronic Army viste propaganda på flere nettsteder gjennom en tredjeparts leverandør av identitetshåndtering.

CrySyS har testet anti-APT-produkter

Advanced Persistent Threat er begrepet som er blitt brukt om en angriper som har mulighetene og ressursene til å utføre avanserte angrep mot store bedrifter eller andre høyprofilerte mål. Trusselen består i at angriperen skal kunne kompromittere deres systemer og styre dem uten at offeret legger merke til dette. Det finnes flere produkter som forsøker å beskytte mot slike angrep.

CrySyS har gått sammen med MRG Effitias for å sjekke hvor effektive disse anti-APT produktene er. Testen ble utført ved å benytte ondsinnet programvare som de selv hadde laget. En av disse gikk gjennom alle produktene uten å bli oppdaget. De enklere utgavene ble oppdaget av 3 av 5, mens den aller simpleste utgaven deres ble oppdaget av alle, men ble klassifisert med lav alvorlighetsgrad.

Les mer om dette i deres blog. Link til rapporten finnes også der.
Referanser
http://blog.crysys.hu/2014/11/new-anti-apt-to[...]

Syrian Electronic Army viste propaganda på nyhetssider

I går ble besøkende til mange store nyhetsnettsider møtt av et vindu med følgende beskjed: "You've been hacked by the Syrian Electronic Army (SEA)" Deretter ble besøkende sendt videre til en side som viste logoen til SEA.

Dette skjedde ved at SEA hadde fått kontroll over kontoen til et firma kalt Gigya hos domeneregistraren GoDaddy. De har så omdirigert trafikk fra Gigya til sine egne nettsider. Gigya leverer identitetshåndteringen nettstedene bruker. Gigya har bekreftet at det har vært et angrep mot deres tjenester, og jobber med å fikse dette. Brukere har tilsynelatende ikke blitt utsatt for annet enn en pop-up melding og redirigering til et bilde. SEA sier at angrepet er utført for å protestere mot feilaktig dekning av krigen i Syria fra vestlige medier.

Blant nettstedene som ble utsatt for hendelsen er The Telegraph, The Independent, Forbes, Time Out, PC World, CNBC og The Evening Standard.
Referanser
http://www.cbc.ca/news/technology/syrian-elec[...]
http://www.theregister.co.uk/2014/11/27/syria[...]
http://www.pcworld.com/article/2853252/syrian[...]

Thursday, 27 November 2014

2014.11.27 - Nyhetsbrev

Det har vært et rolig døgn på nyhetsfronten.

Det er ingen nye saker siden sist.


Wednesday, 26 November 2014

2014.11.26 - Nyhetsbrev

Adobe har sluppet en out-of-band oppdatering for en alvorlig svakhet i Flash Player.

Den tyske avisen Süddeutsche Zeitung avslører hvordan det da britisk-eide selskapet "Cable & Wireless" skal ha gitt GCHQ tilgang til en rekke undersjøiske fiberkabler.

Adobe oppdaterer Flash Player

Adobe har sluppet en out-of-band oppdatering for Flash Player. Oppdateringen omfatter alle plattformer og retter en svakhet rangert som kritisk. Sårbarheten utnyttes aktivt av flere exploit-kits.
Referanser
http://helpx.adobe.com/security/products/flas[...]
https://www.f-secure.com/weblog/archives/0000[...]

Snowden-avsløringer om hvordan "Cable & Wireless" bistod GCHQ med fiberkabelavlytting.

Den tyske avisen Süddeutsche Zeitung har publisert en artikkel der de, basert på avsløringene fra Edward Snowden, redegjør for hvordan det da britisk-eide telecom-firmaet "Cable & Wireless" skal ha gitt GCHQ tilgang til en rekke undersjøiske fiberkabler og mottatt betydelige summer i kompensasjon for dette. Artikkelen inneholder også en omfattende oversikt over undersjøiske fiberkabler GCHQ skal ha hatt tilgang til i 2009.
Referanser
http://international.sueddeutsche.de/post/103[...]

Tuesday, 25 November 2014

2014.11.25 - Nyhetsbrev

Sony Pictures skal ha blitt utsatt for et omfattende og lammende datainnbrudd.

Sony Pictures utsatt for datainbrudd

Sony Pictures skal ha blitt utsatt for et tilsynelatende omfattende og lammende datainnbrudd av en gruppering som kaller seg "Guardians of Peace". Gruppen hevder de har fått tilgang til mengder av interne dokumenter, passordlister mm., og truer med å frigi dem dersom visse fremstilte krav ikke oppfylles. Det er ikke offentlig kjent hva disse kravene går ut på.

Sony har ikke bekreftet innbruddet, men sier de jobber med en "IT hendelse".
Referanser
http://www.theregister.co.uk/2014/11/25/sony_[...]
http://www.theverge.com/2014/11/24/7277451/so[...]

Monday, 24 November 2014

2014.11.24 - Nyhetsbrev

En svært avansert malware ved navn Regin er utviklet av en ressurssterk aktør og har infisert organisasjoner og enkeltindivider i flere år.

Nasjonal Sikkerhetsmyndighet lanserer sikker DNS-tjeneste.

Regin: Svært avansert spionasjeverktøy fra ressurssterk aktør.

Symantec informerer om en avansert trojaner som har fått navnet Backdoor.Regin. Verktøyet skal ha vært benyttet til digital spionasje mot statlige organisasjoner, eiere av infrastruktur og enkeltindivider i flere år. Trojaneren består av meget sofistikert kode og har moduler for langtidsovervåking av blant annet nettverkstrafikk og telefonsamtaler, samt fjerntilgang til maskiner. Trojanerens kompleksitet og modulære oppbygning sammenlignes med The Mask og Stuxnet, og indikerer at det kan være en statlig aktør som står bak.

F-Secure har en bloggpost med detaljer rundt funn av trojaneren tilbake i 2009. De mener at det ikke er Kina eller Russland som står bak denne gangen.
Referanser
http://www.symantec.com/connect/blogs/regin-t[...]
http://arstechnica.com/security/2014/11/highl[...]
https://www.f-secure.com/weblog/archives/0000[...]

NSM lanserer sikker DNS-tjeneste

På en konferanse i forrige uke lanserte Nasjonal Sikkerhetsmyndighet en DNS-tjeneste som medlemmer og partnere kan benytte for å hindre egne klienter i å aksessere kjente ondsinnede domener. Tjenesten vil blant annet hente data fra NSM's sensornettverk. Data fra tjenesten vil også benyttes til å bygge opp en søketjeneste for DNS-navn og IP-adresser. NSM lanserer også portscanning/sikkerhetstest for sine medlemmer.
Referanser
http://www.digi.no/931623/nsm-vil-stanse-hack[...]

Friday, 21 November 2014

2014.11.21 - Nyhetsbrev

Kritisk sårbarhet i Wordpress gjør at angriper kan eksekvere kode på webserveren. Lookout skriver om Android-malwaren Notcompatible. Angler Exploit Kit misbruker allerede få dager gammel Flash-sårbarhet.

Kritisk oppdatering for WordPress

En sikkerhetsoppdatering for Wordpress er ute. WordPress 3.9.2 og tidligere versjoner er sårbare. Sårbarheten ligger i Wordpress CMS og gjør det mulig for en angriper å eksekvere kode på webserveren uten autentisering. Sikkerhetsoppdatering er ute, og kan lastes ned fra linken nedenfor eller via admin-dashbordet for Wordpress.
Referanser
https://wordpress.org/news/2014/11/wordpress-[...]

Lookout om Android-malwaren Notcompatible

Lookout skriver om den avanserte mobile malwaren Notcompatible. Denne støtter kryptering og melder mobilen inn i et botnett. For å unngå å bli infisert bør en holde seg til kun å installere apps fra Google Play.
Referanser
https://blog.lookout.com/blog/2014/11/19/notc[...]

Angler utnytter fersk Flash-sårbarhet

Exploit-kitet Angler misbruker allerede en sårbarhet som ble kjent da Adobe ga ut sikkerhetsopppdatering til Flash 11. november. Flash-sårbarheter er ekstra populære blant angripere pga stor utbredelse. Denne hurtigheten innebærer at alle som ikke oppdaterer Flash umiddelbart er enkle mål for angriperne.
Referanser
https://threatpost.com/angler-exploit-kit-add[...]

Thursday, 20 November 2014

2014.11.20 - Nyhetsbrev

Google oppdaterer Google Chrome. Malware stjeler passord fra passord-managere.

Google oppdaterer Google Chrome

Google har sluppet ny versjon av nettleseren Google Chrome. Den nye versjonen retter 42 svakheter hvorav 11 er rangert som "høy". Støtten for SSL v3.0 er også kuttet, slik at Poodle-svakheten ikke lenger kan utnyttes.
Referanser
http://googlechromereleases.blogspot.no/2014/[...]

Malware stjeler passord fra passord-managere

Citadel-trojaneren har nå fått støtte for å stjele "master-passordet" fra passord-managerne Password Safe og Keepass. Dette passordet kan igjen brukes for å få tilgang til andre passord som ligger lagret i programmene. Passordet stjeles ved hjelp av keylogging når det blir skrevet inn for å åpne programmet.
Referanser
http://arstechnica.com/security/2014/11/citad[...]

Wednesday, 19 November 2014

2014.11.19 - Nyhetsbrev

Microsoft ute med nødpatch (out-of-band) for alvorlig svakhet i autentiseringssystemet Kerberos på Windows-servere. Whatsapp lanserer ende til ende kryptering. EFF har gått sammen med flere andre aktører i et felles initiativ til å få alle til å gå over til å bruke HTTPS.

Nødpatch fra Microsoft for kritisk svakhet i servere

Forrige patche-tirsdag ble to oppdateringer utsatt. I går kveld slapp Microsoft flere detaljer om bulletin MS14-068 og en oppdatering for MS14-066. MS14-068 er en alvorlig svakhet i Kerberos som gjør det mulig for en vanlig domenebruker å elevere rettighetene sine til domene-administrator ved å manipulere PAC-informasjonen i Kerberos tickets. Microsoft har skrevet en detaljert bloggpost angående denne svakheten. Svakheten er regnet som kritisk for servere og utnyttes allerede i angrep. Patcher bør installeres omgående!
Referanser
https://technet.microsoft.com/en-us/library/s[...]
http://blogs.technet.com/b/srd/archive/2014/1[...]

Whatsapp med ende til ende-kryptering

Whatsapp er en tjeneste som lar brukere sende meldinger og bilder til hverandre via mobiltelefonen. Det viser seg nå at de skal ha integrert protokollen fra Textsecure for kryptering av meldingene sine. Textsecure er et open source program og er utviklet at Whisper Systems som kryperer meldinger ved bruk av en kryptografisk nøkkel som lagres på telefonen. Whatsapp meldte om endringen går og det viser seg at endringen ble implementert og rullet ut for en uke siden for Android. Utrullingen for iOS-brukere skal skje om kort tid.
Referanser
http://www.wired.com/2014/11/whatsapp-encrypt[...]

EFF vil tilby gratis SSL-sertifikater

EFF (Electronic Frontier Foundation) har gått sammen med Akamai, Cisco, Identrust, Mozilla og et team ved University of Michigan for å lage "Let's Encrypt". Initiativet er laget for å promotere og oppfordre alle til å bytte fra HTTP til HTTPS ved å tilby gratis programvare som kan lette jobben med å bytte over og ved å tilby gratis sikkerhetssertifikater.
Referanser
http://www.geekwire.com/2014/eff-lead-web-enc[...]

Tuesday, 18 November 2014

2014.11.18 - Nyhetsbrev

Apple kommer med oppdateringer til iOS og OS X.

Sikkerhetsforsker anslår at halvparten av alle USB-brikkesett er sårbare for BadUSB, dvs. at de kan omprogrammeres til å spre malware/utføre ondsinnede handlinger.

Apple oppdaterer iOS og OS X

Apple har sluppet oppdateringer til både iOS og OS X. iOS 8.1.1 skal bl.a. fikse flere sikkerhetshull. OS X 10.10.1 fikser bl.a. ustabilitet med wifi.
Referanser
https://support.apple.com/en-us/HT6590
http://www.dinside.no/931520/viktige-oppdater[...]

50% av alle USB-chips er sårbare for BadUSB

Karsten Nohl har tidligere demonstrert BadUSB, en metode hvor han har omprogrammert en USB-enhet til å få den til å gjøre nesten hva som helst. Han og hans kolleger har nå tatt for seg hvor utbredt dette problemet er. Etter å ha undersøkt over 60 forskjellige brikkesett, er over halvparten av disse programmerbare, og dermed sårbare for BadUSB.
Referanser
http://threatpost.com/new-research-same-old-p[...]
http://www.theregister.co.uk/2014/11/18/usb_c[...]

Monday, 17 November 2014

2014.11.17 - Nyhetsbrev

Snart end of support for Windows Server 2003. Data-angrep mot Tyrkisk firma for elektrisitetsdistribusjon. Metasploit-modul ute for en kritisk feil i Internet Explorer.

Snart end of support for Windows Server 2003

DHS i USA advarer om at support for Windows Server 2003 kommer til å opphøre i juli 2015. Det er altså på tids å begynne å migrere bort fra denne platformen. Etter denne datoen vil det ikke lengre bli utgitt sikkerhetsoppdateringer for Win Server 2003.
Referanser
http://www.zdnet.com/homeland-security-alerts[...]

Data-angrep mot Tyrkisk firma for elektrisitetsdistribusjon

Den tyrkiske hacker-gruppen RedHack utførte et dataangrep mot websiden til et tyrkisk firma som distribuerer strøm, hvor de skal ha slettet regningene til tyrkiske statsborgere for 1.5 billioner tyrkisk lire.
Referanser
http://www.techworm.net/2014/11/redhack-hacks[...]

Metasploit-modul ute for en kritisk feil i Internet Explorer.

Forrige tirsdag lanserte Microsoft en rekke patcher til deres software, hvor en av disse utbedret en kritisk feil i Internet Explorer. Noen har nå laget en modul for Metasploit for å utnytte svakheten. Erfaringsmessig vil nå diverse exploit-kits få støtte for å utnytte svakheten inne kort tid. Det anbefales å oppgradere.
Anbefaling
Oppdater gjeldende systemer
Referanser
https://twitter.com/daveaitel/status/53306490[...]
https://forsec.nl/2014/11/cve-2014-6332-inter[...]

Friday, 14 November 2014

2014.11.14 - Nyhetsbrev

Storbanken HSBC skal ha mistet data til 2.7 mill. kunder ifbm. datainnbrudd i deres avdeling i Tyrkia.

En falsk spørreundersøkelse fra Danske Bank lokker med 750 kr i belønning for å svare. Man må bare gi fra seg kortinformasjon først!

Roger Johnsen ansatt som ny administrerende direktør i Norsis.

HSBC banken i Tyrkia skal ha mistet data til 2.7 mill. kunder i data angrep

HSBC banken i Tyrkia skal ha mistet data til 2.7 millioner kunder i et data angrep. Angrepet skal ligne på angrepet mot JPMorgan Chase & Co, som ble omtalt tidligere i høst. Data på kort og relaterte kontoer ble kompromittert, men det burde ikke resultere i finansiell risiko for kunder, iflg. HSBC i London.
Referanser
http://www.businessweek.com/news/2014-11-13/h[...]

Roger Johnsen ansatt som ny administrerende direktør i Norsk Senter for Informasjonssikring (Norsis)

Oberstløytnant Roger Johnsen er ansatt som ny administrerende direktør i Norsis.
Referanser
http://www.idg.no/computerworld/article295429.ece

Falsk spørreundersøkelse fra Danske Bank.

Dinside.no bringer nyheten om en phishing kampanje der brukere mottar en forfalsket mail fra Danske Bank. Mailen gir seg ut for å være en spørreundersøkelse, og som belønning for å svare skal man få 750 kr, bare man oppgir kortinformasjon først, slik at utbetaling kan forekomme.
Referanser
http://www.dinside.no/931444/falsk-sporreunde[...]

Thursday, 13 November 2014

2014.11.13 - Nyhetsbrev

En meget kritisk sårbarhet i alle versjoner av Windows ble patchet forrige tirsdag. McAfee skriver om Sandworm svakheten som også var en del av oppdatreingene. Flere mobiltelefoner hacket under Pwn2Own der flere av svakhetene gikk ut på utnyttelse av NFC. Kinesere har hacket det amerikanske værvarslingssystemet.

Potensielt katastrofal sårbarhet i alle versjoner av Windows.

Etter Microsoft sin månedlige patcherunde har det dukket opp flere alvorlige sårbarheter. Deriblant en sårbarhet i TLS som har vist seg å være veldig kritisk. Svakheten kan utnyttes så lenge maskinen har en tjeneste som lytter til en port som er tilgjengelig for angriperen. Mest kritisk er da servere eller klienter som eksponerer tjenester ut mot internett som for eksempel web eller FTP. Vellykket utnyttelse av svakheten vil gi angriperen full kontroll over maskinen. MS14-066 er en av totalt 16 oppdateringer som ble sluppet forrige tirsdag.
Referanser
http://arstechnica.com/security/2014/11/poten[...]

Flere mobiltelefoner hacket under Pwn2Own

iPhone 5S, Samsung Galaxy S5, LG Nexus 5 og Amazon Fire Phone fikk alle gjennomgå under årets PacSec konferanse i Tokyo. Det ble oppdaget en såkalt "two bug attack" i iPhone 5S som resulterte i en full sandbox escape i Safari browseren. Galaxy S5 og Nexus 5 hadde svakheter i NFC og Amazon Fire Phone hadde tre bugs i browseren sin.
Referanser
http://arstechnica.com/security/2014/11/iphon[...]

McAfee publiserer funn for Microsoft's nylig patchede sårbarhet, Sandworm Zero Day

McAfee sin blogg publiserte i går den første av totalt to poster, hvor de rapporterer sine funn etter Microsoft's nylig patchede sårbarhet, Sandworm Zero Day, som ble patchet tirsdag 14.okt.
Referanser
http://blogs.mcafee.com/mcafee-labs/bypassing[...]

Kinesere hacket det amerikanske værvarslingssystemet

I oktober skal kinesiske hackere ha kommet seg inn i det amerikanske værvarslingssystemet. Grunnen til at nyheten først har kommet nå, skal være at NOAA, som har ansvaret for blant annet disse systemene, har gått ut med falske forklaringer på nedetid under angrepet.
Angriperne var ute etter data for amerikansk katastrofeplanlegging, luftfart og skipsfart mm.
Referanser
http://www.theregister.co.uk/2014/11/13/china[...]
http://www.washingtonpost.com/local/chinese-h[...]

Wednesday, 12 November 2014

2014.11.12 - Nyhetsbrev

Microsoft har sluppet oppdateringer for november. Denne gangen dreier det seg om 16 oppdateringer som tetter hele 33 sårbarheter, hvorav flere er å anse som kritiske.

Adobe fjerner 18 svakheter i Flash Player og Air.

Cyperspionasje-aktør angriper fysisk isolerte nettverk.

Securelist.com er ute med en artikkel ang. Stuxnet.

Microsoft har sluppet oppdateringer for november

Microsoft slapp i går kveld 16 sikkerhetsoppdateringer. 5 av oppdateringene er rangert kritiske, ni viktige og to moderat. Oppdateringene gjelder for Windows, Internet Explorer, Office, Exchange, .NET Framework, IIS, RDP, AD Federation Services, Input Method Editor (japansk) og Kernel Mode Driver.
Referanser
https://technet.microsoft.com/library/securit[...]

Adobe oppdaterer Flash Player og Air

Adobe har sluppet oppdatering for Flash Player og Adobe Air. Oppdateringen omfatter alle plattformer og retter 18 svakheter rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flas[...]

Gruppe relatert til cyperspionasje angriper fysisk isolerte nettverk

Sednit, også kjent som Sofacy, APT28 og Fancy Bear, henter ut sensitive data fra fysisk isolerte nettverk ved bruk av flyttbare lagringsenheter.
Referanser
http://www.welivesecurity.com/2014/11/11/sedn[...]

Securelist.com skriver om de første ofrene som ble infisert av Stuxnets versjoner fra 2009 og 2010.

I følge Securelist.com, som har analysert over 2000 filer relatert til Stuxnet, er de første ofrene av Stuxnets versjoner fra 2009 og 2010 identifisert. Alle ofrene er lokalisert i, eller har tilknytninger til, Iran.
Referanser
http://securelist.com/analysis/publications/6[...]

Tuesday, 11 November 2014

2014.11.11 - Nyhetsbrev

Malware "låser" maskinen og ber bruker ringe et nummer. iOS svakhet kan føre til at applikasjon kan bli byttet ut med malware. Den Kinesiske regjeringen mistenkes for å angripe United States Postal Service nettverk. Microsoft gir ut ny versjon av EMET. Trådløse hotellnettverk blir brukt av kriminelle.

Malware "låser" maskinen og ber bruker ringe et nummer

De fleste har hørt om at personer har blitt oppringt av personer som forklarer at de er fra Microsoft og om man installerer deres produkt, samt betaler en viss sum med penger så blir maskinen mye bedre. Slike svindler er vanlige nå til dags. Symantec har oppdaget en malware som tar en vri på dette.

Malwaren har fått navn "Ransomlock" og fungerer slik: Så fort maskinen din blir infisert så "låser" malwaren maskinen din ved at den kun viser en ting som dekker hele skjermen, noe som ligner en såkalt Windows Blue Screen. Denne blåskjermen oppfordrer deg til å ringe et nummer for å få hjelp slik at maskinen din ikke blir ødelagt. I motsettning til for eksempel "Cryptolocker" som krypterer maskinen din, så gjør denne ingenting med verken dokumentene eller filen på maskinen din.

Symantec prøvde å ringe dette nummeret og ble egentlig fortalt mye av det samme folk blir i slike svindelsaker og ender opp med at de ber om penger for å hjelpe deg.

Litt mer tekniske detaljer, samt en måte å bli kvitt malwaren på uten å ringe nummeret finner du i linken under.
Referanser
http://www.symantec.com/connect/blogs/when-te[...]

iOS svakhet kan føre til at applikasjon kan bli byttet ut med malware

Fireeye rapporterer om en ny type angrep som utnytter en svakhet i iOS, kalt Masque Attack. Svakheten som angrepet utnytter går på at en applikasjoner installert ved en distribusjonsløsning gitt av Apple kan utnyttes til å erstatte eksisterende applikasjoner så lenge begge applikasjonene deler samme "Bundle ID". En bundle ID er gjerne et system navn på en applikasjon, for eksempel: "com.google.Gmail". Applikasjoner som er installert via denne distribusjonsløsningen går utenfor Apple Store og kan installeres på en enhet via trådløst nettverk.

Fireeye forklarer at dette kan utnyttes ved å gi brukeren en melding om at en applikasjon må oppdateres. Brukeren vil da få to valg: Installerer eller kansellere. Om brukeren velger å installere applikasjonen kan denne erstatte en eksisterende applikasjon, uten at brukeren legger merke til dette, og hente ut all informasjon som denne applikasjonen har tilgjengelig. Fireeye nevner også det at applikasjonen som blir installert kan også prøve å etterligne en innloggingsside som applikasjonen kanskje ville gitt og hente ut passord og brukernavn om brukeren skulle taste inn dette.

iOS malwaren som vi omtalte i forrige uke, WireLurker, bruker en begrenset versjon av denne type angrep, men kun via USB.

Mer tekniske detaljer og eksempeler (med bilder) kan finnes i linken nedenfor.
Referanser
http://www.fireeye.com/blog/technical/cyber-e[...]

Kinesiske regjeringen mistenkes for å angripe United States Postal Service nettverk

The Washington Post raporterer om at den kinesiske regjeringen mistenkes for å ha angrepet og kompromittert nettverket til United States Postal Service som har ført til at rundt informasjon om 800 000 ansatte har blitt kompromittert. Angrepet skal ha blitt oppdaget i midten av September. Den kinesiske regjeringen nekter for å ha utført angrepet og kompromitteringen, og forklarer at kinesiske lover forbyr Cyber-kriminalitet.

Informasjonen som ble kompromittert inneholdt blant annet navn, fødselsdato, personnummer, adresser m.m.

Informasjon om kunder som kontaktet USPS mellom 1. Januar og 16. Aug skal også ha blitt kompromittert, hvor denne informasjonen inneholdt blant annet navn, e-mail adresser og telefonnummre.
Referanser
http://www.washingtonpost.com/blogs/federal-e[...]

Microsoft gir ut ny versjon av EMET

Microsoft har nå gitt ut versjon 5.1 av EMET (Enhanced Mitigation Experience Toolkit). EMET kan brukes for å beskytte maskinen mot angrep som går på å utnytte programvarer med svakheter. En del av forbedringene til versjon 5.1 er kompatibiliteten med andre programmer, slik som Internet Explorer, Adobe Reader, Adobe Flash og Mozilla Firefox.

Microsoft nevner at om du kjører EMET 5.0 og bruker Internet Explorer 11 på enten Windows 7 eller Windows 81, så er det veldig viktig å oppgradere da disse har kompatibilitetsproblemer på grunn av sikkerhetsoppdateringen til Internet Explorer i November.
Referanser
http://blogs.technet.com/b/srd/archive/2014/1[...]

Trådløse hoellnettverk blir brukt av kriminelle

Forretningsreisende ledere i Asia har blitt har blitt etterfulgt og hacket av cyberkriminelle gjennom trådløse hotellnettverk. Denne angrepsvektoren har fått navnet Darkhotel APT, og har spor helt tilbake til 2008.
Referanser
http://securelist.com/blog/research/66779/the[...]