Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 31 March 2014

2014.03.31 - Nyhetsbrev

To alvorlige svakheter i Symantec LiveUpdate Administrator. Microsoft vil ikke lengre i snoke i e-postkontoer uten rettskjennelse. Økning i antall hackerangrep mot store nyhetsaktører. Tyrkia blokkerer tilgang til DNS-servere.

Tyrkia med stadig mer avansert blokkering av Twitter og Youtube

Tyrkia blokkerer ytterligere for tilgang til Twitter og Youtube. Myndighetene i Tyrkia har siden fredag 21.3 blokkert tilgangen til Twitter og Youtube. Dette ble gjort ved at landets ISPer blokkerte for tilgang i sine DNS-servere. Mange omgikk da dette problemet ved å benytte åpne DNS-servere fra bl.a. Google og OpenDNS. Nå skal også tilgangen til flere av disse være blokkert vha. routing-mekanismer utført av Tyrkiske ISPer. Grunnen til blokkeringen er informasjon på Youtube og Twitter som tyder på korrupsjon på høyt nivå i Tyrkia.
Referanser
http://www.zdnet.com/google-claims-turkey-intercepts-their-dns-7000027851/ http://www.bortzmeyer.org/dns-routing-hijack-turkey.html

Økning i antall hackerangrep mot store nyhetsaktører

En undersøkelse utført av forskere hos Google viser at de store nyhetsorganisasjonene stadig oftere blir utsatt for hacker-angrep. Iflg. Google skal hele 21 av de 25 største nyhetsorganisasjonene i verden ha blitt utsatt for vellykkede kompromitteringer av hackere som opererer med statlig støtte i ryggen. Målet er ofte sensitiv informasjon de store nyhetsorganisasjonene måtte sitte på.
Referanser
http://arstechnica.com/security/2014/03/journalists-increasingly-under-fire-from-hackers-google-researchers-show/

Microsoft vil ikke lengre snoke i Hotmail-kontoer uten rettskjennelse

I kjølevannet av tidligere omtalt etterforskning av en datalekkasje, har Microsoft gjort endring i sin Hotmail lissensavtale. Med øyeblikkelig virkning vil ikke Microsoft lengre aksessere brukeres Hotmail-kontoer, selv under etterforsking som måtte omhandle Microsofts forretningshemmeligheter. Microsoft vil fra nå av overlevere etterforskingen til politiet, og så vil det være opp til dem å kreve nødvendig privat informasjon.
Referanser
http://arstechnica.com/tech-policy/2014/03/microsoft-will-no-longer-look-through-your-hotmail-to-investigate-leaks/

Symantec LiveUpdate Administrator Security Bypass and SQL Injection Vulnerabilities

Det er funnet to kritiske sårbarheter i Symantec LiveUpdate Administrator. Den ene tillater en angriper å misbruke passord gjenopprettingsfunksjonen til å ta full kontroll over administrasjonsgrensesnittet. Den andre er en SQL-injection som gir mulighet for å hente ut navn, passord, og serverdetaljer.
Anbefaling
Oppdater til siste versjon (2.3.2.110) av Symantec LiveUpdate Administrator.
Referanser
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20140328-0_Symantec_LiveUpdate_Administrator_Multiple_vulnerabilities_wo_poc_v10.txt

Friday, 28 March 2014

2014.03.28 - Nyhetsbrev

Trend Micro har funnet to Android-apps som miner Litecoin og Dogecoin mens telefonen lader.

Trend Micro har funnet to Android-apps som miner Litecoin og Dogecoin

Forskere hos Trend Micro har oppdaget to Android-apps, Songs og Prized, som driver Litecoin og Dogecoin mining i bakgrunnen. Dette vil medføre at android telefonen/nettbrettet blir tregere. Miningen skjer i bakgrunnen og er veldig lite effektiv på grunn av lite prosessorresurser på håndholdte enheter. Applikasjonene det her er snakk om er tilgjengelige via Google Play.
Anbefaling
Fjern Songs og Prized dersom du har appene installert.
Referanser
http://arstechnica.com/security/2014/03/apps-with-millions-of-google-play-downloads-covertly-mine-cryptocurrency/

Thursday, 27 March 2014

2014.03.27 - Nyhetsbrev

Cisco retter flere svakheter i IOS og IS XE.

Cisco retter flere svakheter i IOS

Cisco har sluppet oppdateringer som retter en rekke svakheter i IOS og IS XE. Hvilke enheter som er berørt av hver enkelt svakhet, er avhenging av hvilke tjenester som er tilgjengelig på hver enkelt enhet og hvordan de er konfigurert. svakhetene befinner seg blant annet i håndterngen av IPv6-trafikk, IKE, SSL VPN og NAT. Samtlige svakheter kan benyttes av en angriper for å oppnå en tjenestenekt ved at berørte enheter enten fryser eller restarter ved et vellykket angrep. For mer informasjon om svakhetene og hvilke enheter som er berørt, se referansene.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-ipv6
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-ikev2
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-ios-sslvpn
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-sip
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-RSP72010GE
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-nat

Wednesday, 26 March 2014

2014.03.26 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Tuesday, 25 March 2014

2014.03.25 - Nyhetsbrev

Ny kritisk sårbarhet i Microsoft Word. Kan utnyttes ved at brukere ser på e-poster i Outlooks vindu for forhåndsvisning.

Microsoft har sluppet info og FixIt for ny 0-dagssårbarhet i Word

Microsoft har sluppet en FixIt for en nyoppdaget sårbarhet i Microsoft Word. Sårbarheten skal ha blitt observert i målrettede angrep og tillater en angriper å eksekvere kode på et sårbart system.

Koden kan eksekveres om brukeren åpner en fil av typen RTF (Rich Text Format) som kommer fra angriperen eller om brukeren bruker Outlooks forhåndsviser til å se på denne filen i en e-post.

Det anbefales å konfigurere Word til å vise e-poster som tekst eller å installere den midlertidige patchen fra Microsoft.
Referanser
https://technet.microsoft.com/en-us/security/advisory/2953095 http://blogs.technet.com/b/msrc/archive/2014/03/24/microsoft-releases-security-advisory-2953095.aspx https://support.microsoft.com/kb/2953095 http://krebsonsecurity.com/2014/03/microsoft-warns-of-word-2010-exploit/ http://threatpost.com/targeted-attacks-exploit-microsoft-word-zero-day/104980 http://arstechnica.com/security/2014/03/zero-day-vulnerability-in-microsoft-word-under-active-attack/

Monday, 24 March 2014

2014.03.24 - Nyhetsbrev

Twitter er stengt i Tyrkia siden fredag. Microsoft snoket i privat Hotmail-konto for å skaffe data til intern etterforskning.
Hackere i det såkalte European Cyber Army hevder å stå bak hendelsen som medførte at Syria var uten tilgang til internett i 7 timer.
NSA skal ha hatt tilgang til Huaweis nettverk. De skal også ha bedrevet målrettet virksomhet mot systemadministratorer verden over, i tilfelle det skulle oppstå behov for deres tilganger.

Twitter stengt i Tyrkia

Myndighetene har stengt tilgangen til Twitter etter at det ble publisert angivelige bevis på korrupsjon i kretsen rundt statsminister Tayyip Erdogan. Twitter har lansert en tjeneste som lar brukere i Tyrkia sende tweets pr SMS.
Referanser
http://www.theguardian.com/world/2014/mar/23/turkey-twitter-ban https://twitter.com/policy/status/446775722120458241

Microsoft snoket i privat Hotmail-konto

I en amerikansk rettsprosess har det kommet frem at Microsoft på eget initiativ gikk gjennom innholdet i en privat Hotmail-konto for å avdekke identiteten til en kilde som skal ha lekket Microsofts forretningshemmeligheter. Microsofts egne abonnementsvilkår tillater denne typen undersøkelser "for å beskytte Microsofts eiendom og rettigheter".
Referanser
http://news.cnet.com/8301-10805_3-57620658-75/microsoft-sniffed-bloggers-hotmail-account-to-trace-leak/

Hackere påstår å ha tatt Syria av nett i 7 timer

På torsdag forsvant datatrafikken til og fra Syria i overkant av 7 timer. Årsaken er foreløpig ikke kjent, men en gruppe ved navn European Cyber Army har forsøkt å påta seg ansvaret og kaller det hevn for angrep begått av Syrian Electronic Army. Den Syriske regjering har også uttalt seg og sier at det hele skyldes et kabelbrudd.
Referanser
http://mashable.com/2014/03/20/syria-goes-almost-completely-offline-again/ http://www.techtimes.com/articles/4654/20140321/syrian-web-outage-hacker-attack-or-broken-cable.htm

NSA infiltrerte Huawei

Nye lekkede dokumenter beskriver hvordan NSA angivelig skal ha hatt tilgang til Huawei's nettverk. Hensikten skal ha vært å tilegne seg kunnskap om selskapet og eventuelle tilknytninger til myndighetene. De skal også ha ønsket å tilegne seg kunnskap om hvordan man kan utnytte svakheter i Huawei-produkter, for således å kunne tilegne seg tilgang til Huawei-baserte nettverk.
Referanser
http://www.digi.no/927845/usa-hacket-huaweis-hovedkontor http://www.spiegel.de/international/world/nsa-spied-on-chinese-government-and-networking-firm-huawei-a-960199.html

NSA retter seg mot systemadministratorer

Lekkede dokumenter viser hvordan NSA skal ha rettet seg spesielt mot systemadministratorer. De ønsker angivelig å ha en base av personer som kan bli relevant å kompromittere, dersom man en dag skulle ha behov for å infiltrere nettverket de administrerer.
Referanser
https://firstlook.org/theintercept/article/2014/03/20/inside-nsa-secret-efforts-hunt-hack-system-administrators/

Friday, 21 March 2014

2014.03.21 - Nyhetsbrev

Gårsdagens nyhet om at internettselskapene skal ha hatt kjennskap PRISM-programmet til NSA tilbakevises fra flere hold. Gmail innfører krav til kryptering for alle tilkoblinger mot deres plattform. Smarttelefoner kan nå hackes på gaten via Wi-Fi-droner.

Påstanden om at internettselskaper visste om PRISM-overvåkingen tilbakevises

Det tilbakevises fra flere hold at teknologiselskapene hadde kjennskap til PRISM-programmet, slik man fikk intrykk av fra artikkelen i The Guardian i går. Det selskapene visste om var "Section 702"-ordrene fra retten. Desse måtte de nødvendigvis kjenne til ettersom dette omhandlet data som skulle utleveres fra selskapene selv, på ordre fra rettsvesenet. Tappingen av fiberforbindelser mellom datasentre etc var ikke en del av dette.

Artikkelen i The Guardian inneholder en del påstander som teknisk sett kan betegnes som korrekt, men fremstår som misvisende. Artikkelen har i ettertid blitt justert.
Referanser
http://www.techdirt.com/articles/20140319/17162326629/dont-fall-misleading-story-being-spread-nsa-suggesting-tech-companies-lied-about-prism.shtml http://www.theguardian.com/world/2014/mar/19/us-tech-giants-knew-nsa-data-collection-rajesh-de

Gmail krypterer alle tilkoblinger

Google har nå satt inn et krav om at alle tilkoblingene mot Gmail skal være krypterte, som betyr at Gmail kun støtter HTTPS. Dette betyr at all mail som blir sendt fra Gmail kontoen vil være kryptert helt fra mailene går ut fra maskinen din, til de går ut av Google sine systemer.
Referanser
http://threatpost.com/google-encrypts-all-gmail-connections/104918

Wi-Fi-hacking av smarttelefoner via drone

CNN skriver om en quadcopter-drone utviklet for å hacke smarttelefoner. Dronen benytter seg av funksjonen som gjør at mange smarttelefoner automatisk kobler seg opp mot trådløse nettverk dersom de kjenner igjen navnet på nettverket. Dronen presenterer seg som kjente nettverk og tar kontroll over nettverkstrafikken til telefoner som kobler seg opp mot den.
Dronen skal presenteres på sikkerhetskonferansen BlackHat Asia i neste uke.
Referanser
http://money.cnn.com/2014/03/20/technology/security/drone-phone/index.html

Thursday, 20 March 2014

2014.03.20 - Nyhetsbrev

Java ute i versjon 8. NSA påstår at Internettselskaper visste om PRISM-overvåking. E-postlisten Full-Disclosure er stengt.

Java ute i versjon 8

Oracle har publisert versjon 8 av Java og tilhørende verktøy. Denne versjonen inneholder en rekke nye sikkerhetsmekanismer. For en fullstendig oversikt over nyheter i denne versjonen og tilgang til å laste ned verktøy, se referansene.
Referanser
http://www.oracle.com/technetwork/java/javase/8-whats-new-2157071.html http://www.oracle.com/technetwork/java/javase/jre-8-readme-2095710.html

NSA: Internettselskaper visste om PRISM-overvåking

Sjefsadvokaten i NSA har i en høring uttalt at Internettgiganter som Google, Yahoo og Microsoft var fult klar over PRISM-overvåkingsprogrammet og la til rette for at dette kunne gjennomføres. Disse selskapene har tidligere nektet for dette.
Referanser
http://www.theguardian.com/world/2014/mar/19/us-tech-giants-knew-nsa-data-collection-rajesh-de http://www.digi.no/927783/nsa-topp-selskapene-visste-om-prism

E-postlisten Full-Disclosure stenges

E-postlisten Full-Disclosure er fra og med i går stengt. Dette skriver John Cartwright i en siste melding. Han har til nå administrert listen. Han skriver videre at Full-Disclosure har overlevd mange angrep fra utsiden, både fra bedrifter som ønsker at innhold skal fjernes og enkeltpersoner som forsøker å spre desinformasjon og annet irrelevant innhold. Han skriver at dette ikke er årsaken til stengningen, men at det skyldes en enkeltperson i miljøet rundt lista. Han har ikke gitt noen flere detaljer rundt dette, men synes det er leit at lista skulle stenges på denne måten. For å lese hele uttalelsen, se referansen.
Referanser
http://seclists.org/fulldisclosure/2014/Mar/332

Wednesday, 19 March 2014

2014.03.19 - Nyhetsbrev

Mozilla oppdaterer Firefox, Thunderbird og Seamonkey. 25 000 UNIX servere tatt i Operasjon Windigo. NSA skal ha et system for å spille av alle telefonsamtaler de siste 30 dagene i et land overvåket av dem.

Mozilla oppdaterer Firefox, Thunderbird og Seamonkey

Mozilla har sluppet oppdatering for Firefox, Firefox ESR, Thunderbird og Seamonkey i lyset av årets Pwn2Own konkurranse. Oppdateringene retter flere feil hvor flere er rangert som kritiske.
Referanser
http://www.mozilla.org/security/known-vulnerabilities/firefox.html http://www.mozilla.org/security/known-vulnerabilities/firefoxESR.html http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html

25 000 UNIX servere tatt i Operasjon Windigo

Over 25 000 UNIX-servere skal ha blit tatt over av hackere for så å bli brukt til å spre malware og spam i en operasjon som har fått navnet Operation Windigo. Det blir sendt ut over 35 millioner spam-epost daglig fra de infiserte serverne og over 500 000 klienter blir daglig sendt gjennom nettverket til malware og phishing-sider. Det er sterkt anbefalt å reinstallere operativsystemet på serveren dersom man ser at man har blitt infisert samt bytte alt av passord og ssh-nøkler som har vært brukt på disse.
Referanser
http://www.welivesecurity.com/2014/03/18/attack-unix-operation-windigo/

NSA skal ha et system for å spille av alle telefonsamtaler de siste 30 dagene i et land overvåket av dem.

Ifølge personer som skal ha tilgang til dokumenter fra Edward Snowden så har NSA på plass et system som kan ta opp alle samtaler i et ikke navngitt land og lagre dette i 30 dager. Det hvite hus har ikke villet kommentere saken og Washington Post sier at de har blitt bedt om å tilbakeholde informasjon som kan identifisere land hvor dette blir og har blitt brukt.
Referanser
http://www.washingtonpost.com/world/national-security/nsa-surveillance-program-reaches-into-the-past-to-retrieve-replay-phone-calls/2014/03/18/226d2646-ade9-11e3-a49e-76adc9210f19_story.html

Tuesday, 18 March 2014

2014.03.18 - Nyhetsbrev

Google patcher svakheter brukt under årets Pwn2Own konkurranse. Oppdatering til Apache Web Server. NSM har utgitt rapport om sikkerhetstilstanden i Norge i 2014.

Google patcher svakheter brukt under årets Pwn2Own konkurranse

Google patcher svakheter brukt under årets Pwn2Own konkurranse og deler blant annet ut $100 000 til det Franske sikkerhets-firmaet VUPEN. Disse svakhetene ble funnet i Google Chrome som det er nå gitt ut en oppdatering til, 33.0.1750.12, som finnes for både Windows, Mac og Linux.
Referanser
http://threatpost.com/google-patches-four-pwn2own-bugs-in-chrome-33/104828

Oppdatering til Apache Web Server

Ny oppdatering til Apache er nå kommet ut. Versjon 2.4.9 skal fikse et par svakheter som kan bli brukt til tjenestenektangrep.
Referanser
https://isc.sans.edu/diary/New+Apache+web+server+release/17819

NSM har utgitt rapport om sikkerhetstilstanden i Norge i 2014

NSM har i forbindelse med sin sikkerhetskonferanse sluppet en rapport om sikkerhetstilstanden i Norge i 2014. Rapporten oppsummerer tilstanden og gir eksempler på noen alvorlige hendelser i det siste.
Referanser
https://www.nsm.stat.no/Aktuelt/Nytt-fra-NSM/Sikkerhetstilstanden-fortsatt-ikke-god-nok/

Monday, 17 March 2014

2014.03.17 - Nyhetsbrev

DDoS angrep mot NATO. Børsene har høy IT-sikkerhetsberedskap. USA gir opp kontrollen over ROOT DNS. Kremlin.ru utsatt for DDoS-angrep.

Kraftig DDoS-angrep mot NATO

Flere av nettsidene til NATO var nede lørdag etter å ha vært utsatt for DDoS-angrep. Den ukrainske gruppen Cyber Berkut har tatt på seg ansvaret.
Referanser
http://www.digi.no/927712/kraftig-ddos-angrep-mot-nato

Børsene har høy beredskap på IT-sikkerhet

Mer en halvpareten av verdens børser ble utsatt for cyberangrep i løpet av 2012. Dette tallet stiger stadig og børsene har derfor høy fokus og beredskap på området.
Referanser
http://www.reuters.com/article/2014/03/13/us-exchanges-cybercrime-idUSBREA2C1SZ20140313

USA gir opp kontroll over DNS.

USA gir opp kontrollen over DNS root sonen som inneholder oversikt over alle top-level domener. Det skal nå avklares hvordan ansvaret for root-DNS skal fordeles framover.
Referanser
http://arstechnica.com/tech-policy/2014/03/in-sudden-announcement-us-to-give-up-control-of-dns-root-zone/

Kremlin.ru tatt av DDoS

Den offisielle siden til presidenten i Russland samt den russiske sentralbanken ble tatt ned av et distribuert DoS-angrep. Grupperingen Electronic Army of the Caucasus Emirate har tatt på seg skylden og advarer om at dette bare er en oppvarming.
Referanser
http://arstechnica.com/tech-policy/2014/03/kremlin-gets-ddosd-by-anonymous-caucasus/

Friday, 14 March 2014

2014.03.14 - Nyhetsbrev

Rapporter om DDoS-angrep mot russiske nettsider. Mulig svakhet i Samsung Galaxy-enheter. Svakhet i Whatsapp til Android lar angripere stjele samtaleloggen. Joomla gir ut oppdatering for kritisk SQL-injeksjonssvakhet. Adobe gir ut oppdatering til Shockwave Player. Hvordan unngå at Wordpress-sider blir utnyttet i pingback-angrep. Zscaler skriver om et målrettet angrep mot energiselskep. Intervju med Bekrar i Vupen rundt Pwn2Own. Mer opplysninger om NSA-hacking.

Rapporter om DDoS-angrep mot russiske nettsider

Russiske medier melder om at russiske nettsteder har blitt angrepet det siste døgnet. Sidene til presidentens administrasjon og sentralbanken skal blant annet ha vært utilgjengelige.
Referanser
http://en.ria.ru/politics/20140314/188420794/Russian-Government-Websites-Shut-Down-by-Cyber-Attacks.html

Mulig svakhet i Samsung Galaxy-enheter

Utviklerene av Replicant, et gratis og Open Source operativsystem for mobilapplikasjoner, hevder å ha funnet en svakhet som gjør det mulig for angripere å lese, skrive og slette filer. Denne svakheten ser ut til å gjelde Nexus S, Galaxy S, S2, og S3 samt Galaxy Tab 10.1.

Les mer om dette i artikkelen under.
Referanser
http://news.cnet.com/8301-1009_3-57620281-83/samsung-galaxy-devices-may-have-backdoor-to-user-data-developer-says/

Svakhet i Whatsapp til Android lar angripere stjele samtaleloggen

En svakhet i Whatsapp lar angripere stjele samtaleloggen ved å lese av SD-kortet på Android-telefonen. Whatsapp lagrer hele databasen som applikasjonen bruker på dette lagringsstedet og dette kan bli lest av alle applikasjoner så lenge appen har fått tilgang til å lese fra SD-kortet. Utviklerne av Whatsapp har prøvd å lagre denne databasen kryptert, men Bas Bosschert, som fant denne svakheten, har greid å konvertere denne krypterte databasen til en SQLlite3-database ved hjelp av et Python-script han lagde. Nøkkelen for å kryptere og dekryptere er det samme på alle installasjoner av appen.

Google har i siste versjon av Android (versjon 4.4) begynt å implementere bedre sikkerhet for data lagret på SD-kort.
Referanser
http://www.theinquirer.net/inquirer/news/2333842/hackers-can-steal-whatsapp-conversations-due-to-android-security-flaw http://arstechnica.com/security/2014/03/critical-crypto-flaw-in-facebooks-whatsapp-for-android-exposes-chats/

Joomla gir ut oppdatering for kritisk SQL-injeksjonssvakhet

Joomla har nå gitt ut en ny versjon, 3.2.3, som skal fikse en kritisk svakhet som gjorde det mulig for angripere å stjele informasjon fra databaser eller legge til kode på sider.

Les mer i referansen under.
Referanser
http://threatpost.com/joomla-fixes-critical-sql-injection-vulnerability/104717

Adobe gir ut oppdatering til Shockwave Player

En ny oppdatering til Adobe Shockwave Player er nå gitt ut til både Windows og Mac. Denne oppdateringen fikser en svakhet som kunne gjøre det mulig for en angriper å ta kontroll over en sårbar maskin.
Referanser
http://blogs.adobe.com/psirt/?p=1074

Hvordan unngå at Wordpress-sider blir utnyttet i pingback-angrep

Tidligere denne uken skrev vi om en type forsterket DDoS-angrep som benytter seg av "pingback"-funksjonen i Wordpress. KrebsOnSecurity, som selv har blitt utsatt for denne typen angrep, har publisert en artikkel om hvordan man kan hindre at et Wordpress-basert nettsted kan bli utnyttet til å utføre slike angrep ved å deaktivere "Pingback"-funksjonen. For mer informasjon om hvordan man kan deaktivere denne funksjonen, se referansen.
Referanser
http://krebsonsecurity.com/2014/03/blogs-of-war-dont-be-cannon-fodder/

Zscaler skriver om et målrettet angrep mot energiselskap

Zscaler har publisert en artikkel om et organisert forsøk på infiltrere energiselskaper med malware. Malwaren skal være designet for å samle inn informasjon og å gi angriperen ekstern tilgang til infiserte systemer. Forsøket skal ha skjedd i perioden 24. til 26 februar i år. Det er ikke kjent hvem som står bak forsøket, men det skal være svært målrettet. For videre lesning, se referansen.
Referanser
http://research.zscaler.com/2014/03/lightsout-ek-targets-energy-sector.html

Intervju med Bekrar i Vupen rundt Pwn2Own

Threatpost har intervjuet Chaouki Bekrar i det franske sikkerhetsselskapet Vupen. Sammen med selskapet sitt deltar han i hackerkonkuransen Pwn2Own i Vancouver, Canada. De har de siste årene gjort seg bemerkelsesverdige ved å avsløre alvorlige svakheter i svært mange kjente programmer.

Under årets Pwn2Own, har de hittil fått utbetalt over 2,3 millioner kroner for blant annet svakheter i ASLR og DEP i Windows, Internet Explorer, Firefox og Adobe Flash. Det ventes også at svakheter i Chrome vil bli avslørt senere i konkuransen. Bekrar sier i intervjuet at det har blitt vanskeligere å finne svakheter i ny programvare. Blant annet har det vært svært vanskelig å avdekke svakheter i nettlesere som kjører under Windows 8.1. Han sier ogs at Mozilla og Google har gjort en god jobb med å øke sikkerheten i sine respektive nettlesere. For å lese hele intervjuet, se referansen.
Referanser
http://threatpost.com/vupen-cashes-in-four-times-at-pwn2own/104754

Mer opplysninger om NSA-hacking

De siste dokumentene som Snowden har gitt ut viser hvordan NSA har brukt verktøy for å angripe klient-maskiner. Det viser seg også at NSA ikke bare går etter uinfiserte klienter, men etter bot-nets og prøver å ta disse over i følge Showden's dokumenter. På Torsdag gav NSA også tilbakemelding til media om at de har etterlignet Facebooks sider for å kompromittere maskiner, noe som de nekter å ha gjort. Les mye mer i referenasen.
Referanser
http://arstechnica.com/information-technology/2014/03/nsas-automated-hacking-engine-offers-hands-free-pwning-of-the-world/ http://www.wired.com/opinion/2014/03/quantum/ http://www.wired.com/threatlevel/2014/03/nsa-botnet/ http://threatpost.com/nsa-denies-impersonating-facebook-to-exploit-targets/104784

Thursday, 13 March 2014

2014.03.13 - Nyhetsbrev

VMWare oppdaterer flere vSphere-produkter.

VMWare oppdaterer flere vSphere-produkter

VMWare har sluppet oppdateringer til vSphere-produktene, ESXi, vCenter Server og Update Manager. Oppdateringen retter blant annet en svakhet i NTP-tjenesten. Denne svakheten kan av en angriper brukes for å utføre NTP amplificaton-angrep. I tillegg oppdateres glibc og Oracle JRE. For mer informasjon, se referansen.
Anbefaling
Installer oppdateringer fra produsent.
Referanser
http://www.vmware.com/security/advisories/VMSA-2014-0002.html

Wednesday, 12 March 2014

2014.03.12 - Nyhetsbrev

I natt har både Microsoft og Adobe kommet med oppdateringer til sine produkter, som forventet.

Microsoft har sluppet oppdateringer for mars

Microsoft slapp i går kveld fem oppdateringer som retter 23 svakheter. To av oppdateringene er rangert som kritiske. På topp av prioriteringslisten fra Microsoft kommer oppdateringen for Internet Explorer (MS14-012), som retter 18 svakheter, blant annet en mye omtalt og aktivt utnyttet 0-dags svakhet. Microsoft retter også svakheter ellers i Windows og i Silverlight. Dette er nest siste oppdatering der også Windows XP blir patchet.
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms14-mar

Adobe oppdaterer Flash Player

Adobe har sluppet en oppdatering for Flash Player for Windows, Linux og OS X. Oppdateringen omfatter alle plattformer og retter 2 svakheter. Svakhetene er ikke rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flash-player/apsb14-08.html

Tuesday, 11 March 2014

2014.03.11 - Nyhetsbrev

Apple har sluppet iOS versjon 7.1. Ny type DDoS-angrep misbruker pingback i WordPress-sider. Virgin Media rutere sårbare for å bli tatt over av angripere. Nyoppdaget svakhet i Netgear rutere. En oversikt over NTP angrep de siste månedene.

Apple har sluppet iOS versjon 7.1

iOS versjon 7.1 er ute for Apple-produkter. Oppdateringen fikser mange sikkerhetssvakheter og flere problemer som kan føre til at enheter krasjer. Det anbefales å oppdatere så fort som mulig.
Referanser
http://arstechnica.com/apple/2014/03/ios-7-1-released-improves-iphone-5s-stability-iphone-4-speed-and-more/ http://www.apple.com/ios/ios7-update/ https://isc.sans.edu/diary/Apple+iOS+71/17789

Ny type DDoS-angrep misbruker pingback i WordPress-sider

Det har blitt oppdaget en ny type DDoS-angrep. En angriper har fått 162.000 WordPress-sider til å angripe andre web-servere. Angrepet gjøres ved å bruke en ping-back-kommando og be om at svaret sendes til offeret. Denne kommandoen sendes så til tusenvis av WordPress-sider. Følg lenken for å finne ut hvordan du kan unngå å bli utnyttet.
Referanser
http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html

Virgin Media rutere sårbare for å bli tatt over av angripere

The Register melder om at Virgin Media sine Superhub-rutere lekker passordet til det trådløse nettverket. Dette skjer i en liten periode når ruteren restartes, hvor dataen ikke er kryptert. Dette kan la angripere som er nærme ruteren få tilgang til både WiFi-passordet samt administratorsiden til ruteren. Om brukeren ikke har endret passordet på administratorsiden til ruteren, kan angripere da veldig lett ta over. Det meldes at dette kun gjelder rutere av typen Netgear VMDG485 som gis ut til kunder av Virgin Media.
Referanser
http://www.theregister.co.uk/2014/03/10/virgin_media_router_snafu/

Nyoppdaget svakhet i Netgear rutere

IT konsulent Paul Moore har identifisert en svakhet i Netgear-rutere som gjør det mulig for en hacker å ta full kontroll over enheten.
Referanser
http://www.theregister.co.uk/2014/03/10/virgin_media_router_snafu/

En oversikt over NTP-angrep de siste månedene

Arbor Networks har lagt ut en oversikt over NTP-baserte DDoS-angrep de siste månedene på deres sikkerhetsblog.
Referanser
http://www.arbornetworks.com/asert/2014/03/ntp-attacks-continue-a-quick-look-at-traffic-over-the-past-few-months/

Monday, 10 March 2014

2014.03.10 - Nyhetsbrev

Google-toppledere har tro på at deres data nå er utenfor myndigheters rekkevidde, men gir ingen garantier. Et avansert malware-toolkit for Android er oppdaget. Ny massiv datalekkasje-sak i Sør-Korea. Apple har oppdatert grundig sikkerhetsdokumentasjon for iOS.

33-siders sikkerhetsrapport fra Apple

Apple har publisert en oppdatert utgave av sin sikkerhetsrapport for iOS. Rapporten dokumenterer arkitektur og sikkerhetsfunksjonalitet i alt fra skytjenester til Touch ID.
Referanser
http://www.networkworld.com/news/2014/030614-ios-security-279475.html http://images.apple.com/iphone/business/docs/iOS_Security_Feb14.pdf

Dendroid: Komplett malwaretoolkit for Android

Lookout forteller om en nytt malwaretoolkit for Android som lar innehaveren infisere eksisterende apps og legge dem ut for nettlasting. Angivelig skal det være mulig å legge ut den infiserte appen i Google Play uten å bli detektert. Så langt er det imidlertid kun oppdaget en infisert app i Googles markedsplass. Spesielt med dette toolkitet er også at det kommmer komplett med grensesnitt for Command-and-Control, slik at innehaveren enkelt kan administrere sitt eget Android-baserte botnett.
Referanser
https://blog.lookout.com/blog/2014/03/06/dendroid/

Toppledere tror at Google nå er beskyttet mot spionasje

I et foredrag på SXSW på fredag sa Googles Eric Schmidt at han nå er "ganske sikker" på at Googles tjenester nå er sikret mot spionasje fra myndigheter.
Referanser
http://thenextweb.com/google/2014/03/07/google-pretty-sure-protected-government-spying-eric-schmidt-says/

Ny massiv datalekkasje-sak i Sør-Korea

12 millioner kunder av det sør-koreanske telekomselskapet TK Corp har fått personlig informasjon på avveie, deriblant informasjon om bankkontoer. Dette er tredje gang på to år selskapet har fått kundeinformasjon kompromittert.
Referanser
http://www.theregister.co.uk/2014/03/07/kt_data_breach_12_million_customers/

Friday, 7 March 2014

2014.03.07 - Nyhetsbrev

Viktige sikkerhetsoppdateringer underveis fra Microsoft. Analyse av malware for kassesystemer.

Microsoft gir ut oppdateringsvarsel for Mars.

I oppdateringene som Microsoft gir ut til tirsdag inkluderes det 2 kritiske oppdateringer og 3 viktige. En av de to kritiske oppdateringene er en fiks for 0-dags svakheten i Internet Explorer 10.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms14-mar http://www.digi.no/927553/alle-internet-explorer-maa-lappes

Analyse av malware for butikksystemer

Arbor Networks har publisert en analyse av situasjonen rundt malware for kassesystemer i kjølvannet av angrepet mot butikkjeden Target i fjor høst. Foruten teknisk informasjon gir rapporten et innblikk i aktører, trendbilde og geografisk spredning av PoS-malwarene Dexter og Project Hook.
Referanser
http://www.arbornetworks.com/asert/2014/03/dexter-and-project-hook-point-of-sale-malware-activity-update/

Thursday, 6 March 2014

2014.03.06 - Nyhetsbrev

Google oppdaterer Chrome.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.no/2014/03/stable-channel-update.html

Wednesday, 5 March 2014

2014.03.05 - Nyhetsbrev

PST ønsker å installere trojanere på mistenktes datamaskiner for å muliggjøre avlytting av tastetrykk. Flere BitCoin-selskaper må legge ned virksomheten som følge av hackerangrep. Alvorlig svakhet i GnuTLS gjør det mulig å omgå kryptering i populære Linux-distribusjoner og annen programvare.

PST vil installere trojanere

PST har sendt forslag til Justisdepartementet for å få hjemmel til såkalt «dataavlesning». PST-sjef Marie Benedicte Bjørnland sier til NRK at dette vil innebære innhenting av informasjon fra mistenktes datamaskiner via installerte tastaturloggere. Bakgrunnen for forslaget skal være behovet for å hente inn informasjon som ikke kan avleses via vanlig kommunikasjonskontroll. Som eksempel nevnes at e-post i mindre grad sendes i klartekst mellom personer, men enten sendes kryptert eller deles via felles innbokser.
Referanser
http://www.nrk.no/norge/pst-vil-overvake-datatastaturer-1.11583286

Flere BitCoin-selskaper hacket

I forrige uke måtte BitCoin-banken Mt Gox stenge virksomheten etter at BitCoins til en verdi av 477 millioner dollar ble stjålet i et hackerangrep. Nå viser det seg at BitCoin-bankene Flexcoin og Poloniex også har lidd samme skjebne. Tapene er små sammenlignet med Mt Gox, men det er nærliggende å anta at flere tjenester vil bli rammet i tiden fremover. Bitcoin-banker er ofte uregulerte og har dårlig sikkerhet.
Referanser
http://grahamcluley.com/2014/03/two-bitcoin-companies-hit-hard-hackers/

GnuTLS svakhet gjør det trivielt for en angriper og omgå SSL og TLS kryptering

En svakhet i bibloteket GnuTLS gjør det trivielt for en angriper å omgå SSL og TLS beskyttelse hos applikasjoner som benytter seg av biblioteket. Svakheten omfatter bl.a. populære Linux-distribusjoner som Red Hat, Ubuntu og Debian, men det er antatt at mer enn 200 forskjellige operativsystemer eller applikasjoner benytter seg av biblioteket. Svakheten kan ha eksistert helt siden 2005.
Anbefaling
Alle som benytter GnuTLS bør snarest oppgradere til versjon 3.2.12.Se link til advisory i lenken nedenfor.
Referanser
http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping/
http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel/7341
http://www.digi.no/927507/saarbarhet-rammer-svaert-bredt

Tuesday, 4 March 2014

2014.03.04 - Nyhetsbrev

Nettverk av 300 000 kompromitterte rutere oppdaget. Mozilla planlegger å deaktivere utvidelser i Firefox. Advarsel mot falsk Netflix-brukerstøte.

Nettverk av 300 000 kompromitterte rutere oppdaget.

Sikkerhetsforskere i Team Cymru har publisert en rapport om hvordan angripere kan endre DNS-innstillingene i rutere for hjem og små bedrifter for å uføre "man-in-the-middle"-angrep. I følge rapporten så skal over 300'000 enheter av forskjellig fabrikat være rammet. Dette skal ikke være relatert til Moon-ormen som har rammet rutere fra Linksys. For mer informasjon, se referanse.
Referanser
https://www.team-cymru.com/ReadingRoom/Whitepapers/SOHOPharming.html

Mozilla planlegger å deaktivere utvidelser i Firefox

Mozilla skriver i en bloggpost at de planlegger å implementere manuell aktivering av utvidelser i Firefox. Målet med dette er å unngå at nettsider skal kunne kjøre skadelig kode, som for eksempel ondsinnet java- eller flash-kode. For mer informasjon, se referanse.
Referanser
https://blog.mozilla.org/security/2014/02/28/update-on-plugin-activation/

Advarsel mot falsk Netflix Support Software

Malwarebytes forsker Jerome Segura advarer mot falsk Netflix brukerstøtte og 'Netflix Support Software'.
Referanser
http://arstechnica.com/security/2014/03/watch-out-for-this-netflix-tech-support-scam/

Monday, 3 March 2014

2014.03.03 - Nyhetsbrev

Russia Today ble hacket i helgen, som et ledd i hacktivisme knyttet til hendelsene på Krimhalvøya. Tysk antivirusselskap har oppdaget et avansert rootkit og antyder at det kan være statlige krefter som står bak. Telefonsvindlere tar i bruk phishingmetoder for å generere anrop inn til seg. Snart blir det enklere å sende direktemeldinger over TOR-nettverket.

Russia Today hacket

Den statlig eide russiske nettsiden Russia Today ble i går hacket. I ca en time var alle forekomster av ordet "Russian" på nettsiden byttet ut med ordet "Nazi". Russia Today meldte på Twitter at siden var hacket, men har ellers ikke kommentert saken.
Referanser
http://abcnews.go.com/blogs/politics/2014/03/russian-news-website-hacked-after-military-action-in-ukraine/ http://grahamcluley.com/2014/03/russia-today-website-defaced/?utm_source=rss&utm_medium=rss&utm_campaign=russia-today-website-defaced

Uroburos: Statlig russisk malware?

Det tyske antivirusselskapet G Data har oppdaget et komplekst rootkit som ser ut til å være spesielt designet for å stjele informasjon, blant annet i form av filer og nettverkstrafikk. Malwarens kompleksitet og modulære oppbygning tyder på at det er utviklet av en gruppe med store ressurser i ryggen. Analysen har avdekket indikasjoner på at det kan være utviklet av samme gruppering som stod bak Agent.btz, som ble benyttet i et angrep mot Penatgon i 2008. Kommentarer og referanser i koden er skrevet på russisk. Hvordan rootkitet blir spredd er fortsatt ukjent.
Referanser
http://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html http://grahamcluley.com/2014/03/russian-spyware/

Netflix-phishing fører til "tech-support"-svindel pr telefon

Jerome Segura viser et scenario der man blir ledet til en falsk Netflix-side som følge av phishing. Etter å ha forsøkt innlogging blir man bedt om å kontakte support pr telefon. I realiteten ringer man opp svindlere som ønsker å ta kontroll over offerets maskin og installere malware. Scenarioet viser at telefonsvindlerne har blitt mer kreative i sine metoder og at phishing kombinert med telefonsvindel sannsynligvis er noe vi kommer til å se mer av fremover.
Referanser
http://blog.malwarebytes.org/fraud-scam/2014/02/netflix-phishing-scam-leads-to-fake-microsoft-tech-support/

Instant Messaging via TOR

TOR-prosjektet annonserer "Tor Instant Messaging Bundle", basert på chat-klienten Instantbird. Pakken skal gjøre det enklere å benytte TOR-nettverket for anonym chat.
Referanser
http://www.theregister.co.uk/2014/03/03/im_demo_for_tor_coming_soon/