Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 30 June 2014

2014.06.30 - Nyhetsbrev

En britisk tenåring er siktet for det 300Gbps store Spamhaus DDOS angrepet. Det meldes om stor nedgang i åpne NTP servere som kan utnyttes til DDOS angrep. Svakhet funnet i Android KeyStore.

17åring siktet for 300Gbps Spamhaus DDOS angrep

En britisk 17-åring er siktet for en rekke DDOS angrep, blant annet 300Gbps angrepet mot Spamhaus.
Referanser
http://www.theregister.co.uk/2014/06/30/ddos_charges/

Android KeyStore buffer overflow svakhet

Det er blitt oppdaget en buffer overflow svakhet i Android's KeyStore for blant annet lagring av krypteringsnøkler. Pga. tilfeldigheter og sikkerhetsmekanismer i telefonen er det trolig vanskelig å utnytte svakheten i praksis. Se referanse for detaljer.
Referanser
http://securityintelligence.com/android-keystore-stack-buffer-overflow-to-keep-things-simple-buffers-are-always-larger-than-needed/#.U7E3HHJZn0P http://arstechnica.com/security/2014/06/serious-android-crypto-key-theft-vulnerability-affects-86-of-devices/

Kraftig nedgang i utnyttbare NTP servere

Det meldes om kraftig nedgang i NTP servere som kan misbrukes til å utføre tjenesteknektangrep ved hjelp av "monlist". Nedgangen som beskrives virker litt usannsynlig, og vi tror nok at mye av nedgangen skyldes ulike filtre som er satt inn på ISP nivå. Se referanse for detaljer.
Referanser
http://www.digitaljournal.com/pr/2009368

Friday, 27 June 2014

2014.06.27 - Nyhetsbrev

Arbor Networks om ny variant av Gameover Zeus. Tilsynelatende legitime Flash-annonser kan servere malware. Brian Krebs om utpressingsscenarioer og krypto-valuta. Den tyske regjeringen sier opp avtale med Verizon.

Ny variant av Gameover Zeus

SC Magazine melder at forskere hos Arbor Networks har oppdaget en ny variant av banktrojaneren Gameover Zeus. Den nye varianten skal ha blir brukt i en phishingkampanje rettet mot kunder av tyske og nederlandske banker.
Referanser
http://www.scmagazineuk.com/gameover-trojan-rises-from-the-dead/article/357964/ http://www.arbornetworks.com/asert/2014/06/the-citadel-and-gameover-campaigns-of-5cb682c10440b2ebaf9f28c1fe438468/

Krebs om utpressing mot bedrifter

Brian Krebs er ute med en bloggpost om økningen i utpressingssaker mot mindre bedrifter det siste året, med eksempler på utpressingsbrev og trusler. Mulige konsekvenser ved manglende betaling kan være tjenestenektangrep mot telefon eller internettaksess, ransomware, sabotasje eller publisering av stjålne kundedatabaser på nett. Den store økningen skyldes blant annet utbredelsen av krypto-valutaer som Bitcoin, siden transaksjonene er vanskelig å spore.
Referanser
krebsonsecurity.com/2014/06/2014-the-year-extortion-went-mainstream/

Flash-reklame med skjulte egenskaper

Malwarebytes har en analyse av et nettverk for distribusjon av flash-baserte reklameannonser, som benytter seg av ondsinnede strategier for ekstra inntekt. Legitime annonser serveres sammen med skjult kode for redirigering til exploitkit. Annonsenettverket tjener dermed penger både på annonseklikk og infeksjon av besøkende.
Referanser
blog.malwarebytes.org/malvertising-2/2014/06/a-look-at-a-double-dipping-advertising-network/

Den tyske regjeringen sier opp avtale med Verizon

Den tyske regjeringen har kansellert en avtale med det amerikanske telekom-firmaet Verizon etter at det i fjor ble avdekket at USA drev omfattende avlytting i Tyskland.
Referanser
http://www.digi.no/929361/merkel-hiver-ut-verizon

Thursday, 26 June 2014

2014.06.26 - Nyhetsbrev

Feil i to-faktor autentisering hos PayPal.

Feil i to-faktor autentisering hos PayPal

Det har blitt oppdaget en svakhet i PayPals to-faktor autentisering. Svakheten finnes i PayPal-appene for både Android og iOS. PayPal har foreløpig skrudd av muligheten for å logge inn med to-faktor. De opplyser at en fiks er planlagt utgitt 28. juli.
Referanser
www.darkreading.com/mobile/paypal-two-factor-authentication-broken/d/d-id/1278840

Wednesday, 25 June 2014

2014.06.25 - Nyhetsbrev

Citizenlab.org ser på et overvåkingsvektøy for Android som benyttes av myndigheter. FireEye har oppdaget tre nye metoder for å unngå malware-deteksjon ved sandkasse-emulering.

Analyse at et Android-basert overvåkingsvektøy for myndigheter

citizenlab.org har en interessant artikkel der de analyserer og tar for seg bruken av et overvåkingsverktøy for Android fra firmaet Hacking Team. Dette er en kommersiell aktør som selger overvåkingsprogramvare til myndigheter.
Referanser
https://citizenlab.org/2014/06/backdoor-hacking-teams-tradecraft-android-implant/

Nye malware-teknikker for å unngå sandkasse-deteksjon

FireEye har publisert en bloggpost der de tar for seg tre nye og kreative teknikker som malware benytter for å oppdage at de blir kjørt i et virtuelt miljø, og dermed ikke foretar seg noe. Metodene går ut på å sjekke for faktisk skrolling i dokument med exploit-kode, sjekke for dobbeltklikk samt sjekke hastigheten til musmarkøren.
Referanser
http://www.fireeye.com/blog/technical/malware-research/2014/06/turing-test-in-reverse-new-sandbox-evasion-techniques-seek-human-interaction.html

Tuesday, 24 June 2014

2014.06.24 - Nyhetsbrev

Havex-trojaneren jakter på SCADA-systemer i Europa. Syrian Electronic Army kompromitterer Reuters igjen.

Havex-trojaneren jakter på SCADA-systemer i Europa

F-Secure har oppdaget spredning av Havex-trojaneren med SCADA-systemer (industrielle styringssystemer) som mål. Trojaneren har blitt spredt via e-poster og exploit-kits på vanlige nettsider.

En tredje spredningsvektor var å infisere SCADA-softwaren til leverandørene, som kundene så har lastet ned. Leverandørene ble kompromittert ved hjelp av sårbarheter i web-serverne. Trojaneren ble så pakket inn i programvaren til SCADA-leverandører i Tyskland, Sveits og Belgia.

Etter installasjon sendte Havex-trojaneren informasjon om tilkoblet SCADA-utstyr til angriperne.
Referanser
http://www.f-secure.com/weblog/archives/00002718.html

Syrian Electronic Army kompromitterer Reuters igjen

SEA har lykkes i å videresende lesere av Returs nyhetssaker til en side med propaganda. Dette ble gjort ved å kompromittere en leverandør av innhold til Retuers sine sider kalt Taboola. Angrepet ble gjennomført ved hjelp av en Phishing-epost. Den ansatte i Taboola hadde også gjennbrukt e-post-passordet sitt i interne produksjonssystemer.
Referanser
https://medium.com/@FredericJacobs/the-reuters-compromise-by-the-syrian-electronic-army-6bf570e1a85b http://www.taboola.com/blog/update-taboola-security-breach-identified-and-fully-resolved-0

Monday, 23 June 2014

2014.06.23 - Nyhetsbrev

New York Times har skrevet en artikkel rundt utpressingsforsøk ved hjelp av DDOS mot nye nettjenester.

DDoS som utpressingsverktøy

New York Times skriver om den økende trenden og destruktive effekten av DDoS som utpressingsverktøy.
Referanser
http://mobile.nytimes.com/blogs/bits/2014/06/19/tally-of-cyber-extortion-attacks-on-tech-companies-grows/

Friday, 20 June 2014

2014.06.20 - Nyhetsbrev

Det er oppdaget en ny IPMI/BMC-svakhet på Supermicro-servere, og flere Linux-servere har fått installert DDoS-verktøy som er under kontroll av C&C i Kina.

Ny IPMI/BMC-svakhet på Supermicro-servere

Supermicro-servere og hovedkort har en alvorlig svakhet i IMPI/BMC. For å hente ut admin-passordet trenger en kun å koble seg til serveren på port 49152, skrive GET /PSBlock, og en vil få servert passordet i klartekst. Det anslåes at 32.000 servere, mange tilkoblet direkte på Internett, er sårbare.
Referanser
http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and-some-added-extras/ https://isc.sans.edu/diary/New+Supermicro+IPMIBMC+Vulnerability/18285 http://arstechnica.com/security/2014/06/at-least-32000-servers-broadcast-admin-passwords-in-the-clear-advisory-warns/

Linux-servere infisert av DDoS-verktøy

Det rapporteres om at flere Linux-servere er blitt kompromittert og fått installert DDoS-verktøy, og er under kontroll av C&C i Kina. Disse er installert ved å utnytte svakheter i ulike applikasjoner som bla. Elasticsearch, Tomcat, Apache Struts osv. For å sjekke om dine servere er infisert, se referansen.
Referanser
http://blog.malwaremustdie.org/2014/06/mmd-0025-2014-itw-infection-of-elf.html

Thursday, 19 June 2014

2014.06.19 - Nyhetsbrev

Kjernesvakhet på Android som kan gi root tilgang kun med ett klikk. Ny Snowden informasjon viser at Danmark og Tyskland har bidratt med datatrafikkovervåking i RAMPART-A prosjektet.

Towelroot kan gi root tilgang med ett klikk på Android

Den kjente hackeren George Hotz har sluppet Towelroot, som er et verktøy som vil kunne gi root tilgang på en rekke håndsett med ett enkelt trykk. Svakheten som utnyttes er CVE-2014-3153, som er en svakhet i versjon 3.14.5 av Linux kjernen.
Referanser
http://securityaffairs.co/wordpress/25861/hacking/towelroot-root-android-devices-click.html

Ny informasjon om masse overvåkingsprogram til NSA kalt RAMPART-A.

Ny informasjon sluppet fra Snowden avsløringene. Det har tidligere vært kjent at England har gitt tilgang til å tappe fiberforbindelser. Nå viser de seg at også Tyskland og Danmark har vært "partnere".
Referanser
http://www.information.dk/501280

Wednesday, 18 June 2014

2014.06.18 - Nyhetsbrev

Microsoft oppdaterer antivirusmotoren i flere av sine produkter.

Nokia skal ha betalt ut en stor sum i løsepenger tilbake i 2007 for å beskytte en signeringsnøkkel til Symbian-telefoner.

Microsoft oppdaterer antivirusmotor

Microsoft har sluppet en oppdatering til deres antivirusmotor som brukes i en rekke antivirusprodukter. Dette gjelder blant annet produkter i Forefront/System Center 2012-familien og Security Essentials/Windows Defender for Windows 8.x/Windows Server 2012. Oppdateringen retter en svakhet som kan føre til at motoren stopper hvis en spesielt utformet fil skannes. For mer informasjon, se referanse.
Referanser
https://technet.microsoft.com/library/security/2974294

Nokia betalte stor sum i løsepenger

I følge MTV News Investigative Team skal Nokia i 2007 ha betalt flere millioner Euro i løsepenger for å beskytte en krypteringsnøkkel som ble brukt til å signere applikasjoner til deres Symbian baserte telefoner.
Referanser
http://www.mtv.fi/uutiset/rikos/artikkeli/nokia-paid-millions-of-euros-in-ransom/3448918

Tuesday, 17 June 2014

2014.06.17 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 16 June 2014

2014.06.16 - Nyhetsbrev

BlueCoat (bestående blant annet av tidligere Norman Shark), har oppdaget en målrettet malware, som trolig kan knyttes til tidligere omtalte Operation Hangover. En rumensk hacker demonstrerer PayPal-svindel.

Python-basert malware for målrettede angrep

BlueCoat systems har publisert en analyse av en malware som skal ha rettet seg mot pakistanske, trolig militære, mål. Flere indikatorer peker på at det kan være samme aktør som står bak denne, som "Operation Hangover", omtalt av Norman Shark i fjor.
Referanser
http://bluecoat.com/security-blog/2014-06-10/snake-grass-python-based-malware-used-targeted-attacks

Hvordan hente ut penger fra Paypal

En rumensk hacker demonstrerer hvordan man lett kan få Paypal til å doble et innskudd ved å betale en sum til en annen konto som du selv eier, for så å kreve pengene tilbake. PayPal har ikke kommentert hva de vil gjøre for å adressere problemet.
Referanser
http://betanews.com/2014/06/16/hacker-discovers-a-way-to-double-your-money-on-paypal/ http://www.itavisen.no/nyheter/%E2%80%93-slik-lurer-du-paypal-232209

Friday, 13 June 2014

2014.06.13 - Nyhetsbrev

The Swiss Security Blog har en interessant artikkel om Geodo, en ny banktrojaner basert på Feodo trojaneren. VMWare med oppdatering til ESXI 5.5.

Ny banktrojaner Geodo

The Swiss Security Blog melder om en ny versjon av en kjent banktrojaner. Vedkommende har overvåket Feodo trojaneren, og det virker som denne har kommet i ny utgave. Den har nye kode, men gjenbruker kryptokoden og distribusjonsnettverk. Malwaren spres via e-poster med vedlegg. Brukeren lures til å åpne vedlegget for å sjekke en påstått faktura e.l.
Referanser
http://www.abuse.ch/?p=7930

VMWare gir ut oppdatering til ESXi 5.5

VMWare har nå gitt ut oppdatering som skal fikse OpenSSL-svakhetene. Denne oppdateringen gjelder for øyeblikket kun et av deres produkter, ESXi 5.5. VMWare nevner at oppdateringer til andre produkter som skal fikse de samme svakhetene blir jobbet med.
Referanser
http://threatpost.com/vmware-patches-esxi-against-openssl-flaw-but-many-other-products-still-vulnerable/106605

Thursday, 12 June 2014

2014.06.12 - Nyhetsbrev

RSA har publisert en analyse en ny trojaner som selges på diverse forum. Evernote og Feedly har blitt utsatt for DDoS-angrep i forbindelse med utpressing.

Analyse av trojaneren Pandemiya

RSA har gjort en analyse av trojaneren Pandemiya. Den er designet for å gi en angriper tilgang til blant annet filer, oppgaver og aktivitetslogger på infiserte maskiner. Den har også støtte for forskjellige utvidelser som kan gi utvidet funksjonalitet. I følge RSA blir trojaneren solgt for rundt 10'000 kr, avhengig av hvilke utvidelser som følger med. For mer informasjon, se referansen.
Referanser
https://blogs.rsa.com/new-pandemiya-trojan-emerges-alternative-zeus-based-variants/

Google har rettet svakhet i Gmail

Google har rettet en svakhet i Gmail som kunne gi en angriper tilgang til store mengder e-postadresser som var tilknyttet Google-kontoer. Svakheten befant seg i token-håndteringen som gjorde det mulig å benytte en bruteforce-metode for å få tilgang på gyldige tokes som siden kunne konverteres til e-postadresser. For mer informasjon, se artikkel hos Threatpost.
Referanser
http://threatpost.com/token-abuse-exposes-gmail-addresses/106593

Microsoft blogger sårbarheter i Java

Microsoft skriver på Microsoft Security Blog om viktigheten av å holde Java oppdatert til en hvert tid og hvilke metoder som kan brukes for å mitigere svakheter som enda ikke har blitt rettet. De skriver også at over 84 % av alle exploit-kit benytter seg av en eller flere svakheter i Java.
Referanser
http://blogs.technet.com/b/security/archive/2014/06/09/keeping-oracle-java-updated-continues-to-be-high-security-roi.aspx

Feedly og Evernote utsatt for DDoS-angrep

De to populære nettjenestene Feedly og Evernote har begge blitt utsatt for DDoS-angrep de siste dagene. Det er ukjent hvem som står bak angrepene eller hva motivene er, men det kan være snakk om forsøk på utpressing.
Referanser
http://thenextweb.com/insider/2014/06/11/feedly-suffers-ddos-attack-perpetrator-tries-extort-money/ http://www.zdnet.com/evernote-struck-down-by-ddos-attack-for-several-hours-7000030417/ http://www.valuewalk.com/2014/06/evernote-feedly-hit-ddos-attacks-blackmail/

VMware retter OpenSSL-svakheter i ESXi

VMWare har sluppet oppdateringer til ESXi som retter flere svakheter i OpenSSL som vi har omtalt tidligere. For mer informasjon, se referanse.
Anbefaling
Installer oppdatering
Referanser
http://www.vmware.com/security/advisories/VMSA-2014-0006.html

Wednesday, 11 June 2014

2014.06.11 - Nyhetsbrev

Microsoft med månedlig oppdatering som retter 70 svakheter. Adobe oppdaterer 6 kritiske svakheter på alle plattformer. Google oppdaterer to svakheter i Chrome OS.

Microsoft har sluppet oppdateringer for Juni

Microsoft slapp i går kveld 7 oppdateringer som retter 70 svakheter. To av oppdateringene er rangert som kritiske og omfatter Internett Explorer og Microsoft Office. Blant svakhetene rettet i oppdateringen for Internet Explorer er også en fiks for tidligere omtalt IE 8 0-dags svakhet.
Referanser
https://technet.microsoft.com/en-us/library/security/MS14-jun.aspx

Adobe oppdaterer Adobe Flash Player

Adobe har sluppet oppdatering for Adobe Flash Player. Oppdateringen omfatter alle plattformer og retter 6 svakheter. Svakhetene er rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flash-player/apsb14-16.html

Google oppdaterer Chrome OS

Google har sluppet ny versjon av Operativsystemet Chrome OS. Den nye versjonen retter to svakheter der en er rangert som "høy".
Referanser
http://googlechromereleases.blogspot.no/2014/06/stable-channel-update-for-chrome-os.html

Tuesday, 10 June 2014

2014.06.10 - Nyhetsbrev

Ny metode for forbigåing av skjermlås i iOS. ASERT publiserer rapport om Etumbot malwaret. Blogg ser på DDoS-tjenester som annonseres. KrebsOnSecurity intervjuer sikkerhetseksperter fra Gameover Botnet takeover. F-Secure med nettsted for å sjekke om maskin er infisert av Gameover Zeus. iOS 8 skal bruke tilfeldige MAC-adresser for å stoppe lokal sporing. Personer bak Apple ID-phishing tatt. Explot-kits kan utnytte ny Flash-svakhet.

Ny metode for forbigåing av skjermlås i iOS

9to5mac.com melder at det har blitt oppdaget en ny metode å forbigå telefonlåsen på iOS-enheter ved å aktivere flymodus i varslingssenteret. Metoden som er oppdaget kan under visse omstendigheter gi tilgang til den forrige åpne appen på telefonen.
Referanser
http://9to5mac.com/2014/06/09/new-lock-screen-bypass-discovered-in-ios-7-allows-access-in-5-seconds-under-certain-circumstances/

ASERT publiserer rapport om Etumbot malwaret

Arbor Security Engineering Response Team (ASERT) har publisert en rapport om malwaren Etumbot, som har blitt brukt i en rekke målrettede angrep siden 2011. Den fulle rapporten er tilgjengelig fra Arbor Neworks.
Referanser
http://www.arbornetworks.com/asert/2014/06/illuminating-the-etumbot-apt-backdoor/

Blogg ser på DDoS-tjenester som annonseres

Bloggen MalwareMustDie har sett på en rekke kommersielle DDoS-tjenester som selges 'for testing' eller 'for lærdom'. Flere av tjenestene ser imidlertid ut til å være et skalkeskjul for kriminelle angrepstjenester.
Referanser
http://blog.malwaremustdie.org/2014/06/ddoser-as-service-camouflation-of-legit.html

KrebsOnSecurity intervjuer sikkerhetseksperter fra Gameover Botnet takeover

I nyhetsbrevet sist uke, den 3. juni, rapporterte vi om at politi i flere land samt private selskaper gikk i sammen om en koordinert aksjon for å ta ned botnettet til Gameover Zeus. KrebsonSecurity har nå fått et intervju med to sikkerhetseksperter som har vært med på å planlagt og utføre denne aksjonen.

Les intervjuet i referansen under.
Referanser
http://krebsonsecurity.com/2014/06/backstage-with-the-gameover-botnet-hijackers/

F-Secure med nettsted for å sjekke om maskin er infisert av Gameover Zeus

I etterkant av den koordinerte aksjonen mot Gameover Zeus botnettet har F-Secure nå lansert en nettside som kan brukes til å se om en maskin er infisert med malwaren. Nettsiden trenger ikke å installere noe programvare for å utføre sjekken. Skulle maskinen være infisert av malwaren, gir F-Secure også muligheten for å fjerne dette fra maskinen via deres online-scanner.
Referanser
http://safeandsavvy.f-secure.com/2014/06/09/help-shut-down-a-massive-crimeware-botnet-while-you-can/

iOS 8 skal bruke tilfeldige MAC-adresser for å stoppe lokal sporing

I Apple sin nye oppdatering til deres iOS-enheter skal enheten nå ha muligheten for å bruker tilfeldige MAC-adresser sin slik at det er vanskeligere å spore enheten når den er koblet til et trådløst nettverk.

Store selskaper samler gjerne inn MAC-adresser til alle enhetene som kobler seg til et trådløst nettverk som befinner seg på steder som flyplasser, butikker og andre offentlige steder. Oppdateringen til Apple kommer til å gjøre det slik at enheten genererer en ny MAC-adresse som den bruker når den søker etter nett.
Referanser
http://threatpost.com/ios-8-will-randomize-mac-addresses-to-help-stop-tracking/106527

Personer bak Apple ID-phishing tatt

I følge avisa The Guardian har to russere tilstått å ha stått bak en rekke svindelforsøk mot brukere med Apple ID. De skal ha fått tilgang til et stort antall Apple ID-kontor ved hjelp av phishing. Kontoene skal så ha blitt brukt til utpressing ved å sperre tilknyttede iOS-enheter og ved videresalg av mediainnhold kjøpt i iTunes. Personene skal være 16 og 23 år gamle.
Referanser
http://www.theguardian.com/technology/2014/jun/09/apple-icloud-ransomware-russia

Explot-kits kan utnytte ny Flash-svakhet

Flash-svakheten kalt 'CVE-2014-0515' har siden april blitt brukt i målrettede angrep. Svakheten begynner nå å bli implementert i forskjellige exploit-kits som blir mye brukt. Sørg for å oppdatere Flash.
Referanser
http://malware.dontneedcoffee.com/2014/06/cve-2014-0515-flash-1300182-and-earlier.html

Friday, 6 June 2014

2014.06.06 - Nyhetsbrev

Siste døgn har vært preget av nyheter om en rekke nye svakheter i OpenSSL. I tillegg har Microsoft kommet ut med litt info anngående den kommende oppdateringen deres.

Microsoft gir ut forhåndsvarsel for oppdateringer for Juni

Microsoft har nå gitt ut forhåndsvarsel for oppdateringer som kommer neste uke. Totalt er det 7 oppdateringer, hvor 2 av disse er kritiske og 5 er viktige. Disse oppdateringene er for Microsoft Word, Microsoft Office og Internet Explorer. En av oppdateringene skal fikse en svakhet i Internet Expolorer 8 som gjorde det mulig for angripere å kjøre vilkårlig kode på en maskin gjennom Javascript.
Referanser
https://technet.microsoft.com/library/security/ms14-jun http://blogs.technet.com/b/msrc/archive/2014/06/05/advance-notification-service-for-the-june-2014-security-bulletin-release.aspx

Hvordan (OpenSSLs) CCS Injection-svakhet ble funnet

I lys av OpenSSLs siste svakheter, har japaneren Masashi Kikuchi skrevet en bloggpost om hvordan han oppdaget den mest alvorlige av disse svakhetene.
Referanser
http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html

Cisco oppdaterer flere produkter ifm. svakheter i OpenSSL

Cisco har sluppet oppdateringer for en rekke produkter som benytter OpenSSL. Dette er i forbindelse med svakhetene i OpenSSL nevnt over. For mer informasjon om hvilke produkter som er rammet, se referansen.
Anbefaling
Installer oppdatering
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140605-openssl

OpenSSL oppdateres

Det har blitt sluppet oppdateringer til OpenSSL som retter flere alvorlige svakheter, hvor den mest alvorlige svakheten kan utnyttes til å gjennomføre et "Man-In-The-Middle"-angrep. Oppdateringene er sluppet for versjon 0.9.8, 1.0.0 og 1.0.1. Svakhetene finnes mest sannsynlig også i eldre versjoner, men disse vil ikke bli oppdatert.
Anbefaling
Installer oppdatering
Referanser
http://www.openssl.org/news/secadv_20140605.txt
http://www.digi.no/929037/ny-alvorlig-saarbarhet-rammer-openssl

Thursday, 5 June 2014

2014.06.05 - Nyhetsbrev

Google gir detaljer rundt TLS-kryptering av e-post til og fra deres e-post-servere.

Google gir detaljer rundt TLS-kryptering av e-post

Google har nå begynt å opplyse om hvor stor andel av e-poster de sender og mottar som blir kryptert ved hjelp av TLS. TLS sørger for kryptering av e-postene når de sendes mellom e-post-servere. Nesten 70% av utgående e-post og rundt 50% av innkommende e-post er nå kryptert. Flere leverandører jobber nå med å implementere TLS.
Referanser
http://googleblog.blogspot.de/2014/06/transparency-report-protecting-emails.html http://www.google.com/transparencyreport/saferemail/

Wednesday, 4 June 2014

2014.06.04 - Nyhetsbrev

Det er kommet nye detaljer rundt tapping av trafikk fra BT og Vodafone. Google annonser utvidelse til Chrome for ende til ende-kryptert epost.

Google annonser utvidelse for ende til ende kryptert-epost

Google melder om at de jobber med en utvidelse til Chrome kalt "end-to-end", som tilbyr ende til ende kryptering av epost via nettleseren Chrome. Kildekoden til utvidelsen er sluppet til Google code, og de innlemmer også "end-to-end" i sitt bug-bounty program. Utvidelsen skal også kunne fungere hos andre webmail-providere enn Gmail.
Referanser
http://googleonlinesecurity.blogspot.ch/2014/06/making-end-to-end-encryption-easier-to.html https://code.google.com/p/end-to-end/ http://arstechnica.com/security/2014/06/google-released-chrome-extension-allows-easy-in-browser-webmail-encryption/

The Register avslører angivelig fibertapping i Oman

The Register skriver om fibertapping utført av BT og Vodafone utført på oppdrag av GCHQ. The Register påstår videre at The Guardian ble presset av den britiske regjeringen til ikke å publisere denne informasjonen i forbindelse med Snowden-lekkasjene.
Referanser
http://www.theregister.co.uk/2014/06/03/revealed_beyond_top_secret_british_intelligence_middleeast_internet_spy_base/

Tuesday, 3 June 2014

2014.06.03 - Nyhetsbrev

Koordinert aksjon tar ned malware-nettverkene Gameover Zeus og Cryptolocker.

Koordinert aksjon mot Gameover Zeus og Cryptolocker

Justisdepartementet i USA rapporterer om en stor aksjon mot malware-nettverkene GameOver Zeus og Cryptolocker. Aksjonen skjer i samarbeid med politi i flere land samt private firmaer.

Game Over Zeus har i flere år vært en av de største såkalte "bank-trojanerne" som har muliggjort tyverier for millioner av kroner. Dette ble gjort ved å ta over nettbank-sesjoner samt tyveri av kredittkortinfo. Sikkerhetsforskere estimerer det at rundt 500 000 til 1 million maskiner, på verdensbasis, er infisert av Gameover ZeuS trojaner, hvor rundt 25% av disse er innenfor USA.

CryptoLocker er en av de mest kjente utpressingsprogrammene. Programmet krypterer alle filene på offerets maskin og krever penger for å gi tilgang til filene igjen. Over 200.000 skal ha blitt rammet av denne svindelen.

Begge typene malware har spredd seg både som vedlegg til e-poster og gjennom såkalte "drive-by-exploits" på vanlige websider.

James Cole ved Justisdepartementet forteller også at de har identifisert og siktet en russisk person som skal være administratoren for Zeus-botnettet.

I aksjonen har kontroll-servere til både Zeus og Cryptolocker-nettverket enten blitt tatt kontroll over eller stengt ned. Dette betyr at bakmennene antakeligvis har mistet kontroll over de infiserte maskinene. Flere firmaer, blant annet Symantec, har sluppet verktøy for å slette malwaren i infiserte maskiner.

Flere medier melder i dag at det kommer til å oppstå store data-angrep innen 14 dager i forbindelse med denne aksjonen. Dette har vi ingen holdepunkter for at kommer til å skje.
Referanser
http://arstechnica.com/tech-policy/2014/06/governments-disrupt-botnet-gameover-zeus-and-ransomware-cryptolocker/ http://nakedsecurity.sophos.com/2014/06/03/has-cryptolocker-been-cracked-is-gameover-over/ http://www.justice.gov/iso/opa/dag/speeches/2014/dag-speech-140602.html http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network

Monday, 2 June 2014

2014.06.02 - Nyhetsbrev

NSA bygger ansiktsgjenkjenningsdatabase. 10 år med mobil malware. NSM om industrispionasje og phishing.

NSA bygger ansiktsgjenkjenningsdatabase

New York Times har en artikkel om hvordan NSA angivelig fanger opp overføringer av bilder på nettet og benytter dem som input til en gigantisk database for ansiktsgjenkjenning. Bildene fanges opp blant annet fra videokonferanser, utenlandske ID-kortdatabaser og flyselskaper. Iflg de lekkede dokumentene opereres det også fingeravtrykkdatabaser, med data fra grenseoverganger.
Referanser
http://www.nytimes.com/2014/06/01/us/nsa-collecting-millions-of-faces-from-web-images.html?_r=0 http://www.digi.no/928958/selfiene-dine-kan-hjelpe-nsa

10 år med mobil malware

Naked Security har en bloggpost som går gjennom utviklingen av malware for mobiltelefoner gjennom de siste ti årene.
Referanser
http://nakedsecurity.sophos.com/2014/06/01/from-cabir-to-koler-10-years-of-mobile-malware/

NSM om industrispionasje og phishing

Roar Thon skriver om risikoen ved e-post i lys av den nylige industrispionasjesaken mot Ulstein Group. De aller fleste slike saker starter med et phishing-angrep per e-post. Hvordan forholder vi oss til denne risikoen?
Referanser
http://blogg.nsm.stat.no/archives/4942