Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 29 August 2014

2014.08.29 - Nyhetsbrev

Cryptowall-ransomwaren, som har overtatt markedet etter Cryptolocker er mindre lønnsom til tross for høyere infeksjonsrate.

Cryptowall mindre lønnsom enn Cryptolocker

Cryptowall, som har overtatt ransomware-markedet etter Cryptolocker er angivelig mindre innbringende, til tross for at den har infisert flere maskiner. Mulige årsaker til dette er manglende støtte for ulike betalingsløsninger, samt høy pris for å få tilgang til sine egne filer igjen.
Referanser
http://www.darkreading.com/cryptowall-more-pe[...]

Thursday, 28 August 2014

2014.08.28 - Nyhetsbrev

Google oppdaterer Chrome og Microsoft slipper patchet utgave av patch. Reklame med malware ble funnet på java.com og andre sider. Hackergruppen Dragonfly/Energetic Bear antakelig bak angrepene mot norsk energi- og oljesektor. Bakdører i rutere fra Netis/Netcore. KPMG har i samarbeid med FireEye publisert en undersøkelse om målrettede angrep i sverige. Flere banker i USA har vært angrepet og mistet kundedata.

KPMG ute med rapport om ukjente trusler i Sverige

KPMG har i samarbeid med Fireeye utført en undersøkelse blant svenske bedrifter, for å kartlegge eksponeringen for målrettede dataangrep.
Referanser
http://www.fireeye.com/blog/technical/2014/08[...]
http://www.kpmg.com/SE/sv/kunskap-utbildning/[...]
http://

Hackergruppen Dragonfly/Energetic Bear angivelig bak angrepene mot norsk energi- og oljesektor

Dragonfly/Energetic Bear har siden 2011 angrepet over 1000 bedrifter rundt om i verden og skal angivelig være dem som står bak angrepene i norsk energi- og oljesektor som NSM opplyste om i går. Statnett har selv gått ut og sagt at de er ett av selskapene som har blitt forsøkt angrepet. Angrepene skjer via epost som inneholder et skadelig vedlegg. Grupperingen har også angrepet ved hjelp av andre metoder som omtalt tidligere her i nyhetsbrevet og i artikkelen.

Vi tar også med en bloggpost fra FireEye om Havex som er en malware som er utviklet av denne grupperingen. FireEye har satt opp et testmiljø med industriell styringsprogramvare i nettverket og kjører malwaren i dette miljøet for å se hva den foretar seg.
Referanser
http://www.aftenposten.no/nyheter/iriks/Hacke[...]
http://www.nrk.no/norge/statnett-utsatt-for-d[...]
http://www.fireeye.com/blog/technical/targete[...]

Seks banker skal ha mistet flere gigabyte med kunders data

Russiske hackere skal stå bak angrep mot JPMorgan, Chase & Co og fire andre banker hvor det har blitt stjålet flere gigabyte med data om kunder. En av bankene sier at angrepet kan knyttes til en hackergruppe som blir finansiert av Russland.
Referanser
http://www.bloomberg.com/news/2014-08-28/russ[...]

De kinesiske Netis/Netcore-ruterne har åpen bakdør

Netis/Netcore ruterene fra Kina har et hardkodet passord som gjør det mulig for angripere å bryte seg inn for å forandre innstillinger eller eksekvere kode. Bakdøren er en prosess som lytter på UDP-port 53413, og er beskyttet med det hardkodede passordet.
Referanser
http://www.theregister.co.uk/2014/08/27/netis[...]

Malware i reklame funnet på Java.com

Malware-reklame ble funnet på en rekke websider, deriblandt Java.com. Reklamen videresendte brukerne til Angler exploit-kit, som fant ut om brukeren brukte en sårbar versjon av Java, Flash eller Silverlight. Maskinen ble i så fall infisert av malware.
Referanser
http://blog.fox-it.com/2014/08/27/malvertisin[...]

Microsoft slipper MS14-045 på nytt

Microsoft har tidligere gått ut og bedt kunder om å avinstallere sikkerhetsoppdateringen MS14-045. Oppdateringen kunne i noen tilfeller føre til maskinen krasjet. Microsoft har nå sluppet en ny versjon av oppdateringen som skal fungere.
Anbefaling
Avinstaller gammel patch og installer denne
Referanser
https://technet.microsoft.com/en-us/library/s[...]

Google fikser 50 sårbarheter i Chrome-nettleseren

Google fikser 50 sårbarheter i nettleseren Chrome, hvor blant annet en sårbarhet kan tillate en angriper å eksekvere kode utenfor nettleserens sandbox. Som vi nevnte i går er det nå også sluppet en 64-bits utgave av nettleseren til Windows som skal øke sikkerheten ytterligere.
Anbefaling
Anbefales å oppdatere programvaren.
Referanser
http://threatpost.com/50-security-flaws-fixed[...]
http://googlechromereleases.blogspot.com.au/2[...]

Wednesday, 27 August 2014

2014.08.27 - Nyhetsbrev

NSM varsler om datainnbrudd i energi- og oljesektoren, Google lanserer 64-bits Chrome og Blue Coat skriver om kortvarige domenenavn

NSM varsler om datainnbrudd i energi- og oljesektoren

NSM skriver i et varsel at det er avdekket forsøk på datainnbrudd mot 50 bedrifter innen energi- og oljesektoren. De skal i løpet av uken ha varslet 300 selskaper i sektoren for å be dem sjekke om de kan være rammet og for å hjelpe de selskapene som er det. Angrepene skal være foretatt via epost med malware som vedlegg. NSM opplyser ikke hva slags type malware det er snakk om.
Referanser
https://www.nsm.stat.no/aktuelt/varsler-om-da[...]
http://www.nrk.no/norge/dramatisk-auke-i-data[...]

Kortvarige domenenavn

I løpet av 90 dager, ble det registrert 660 millioner nye domenenavn. 470 millioner av disse eksisterte i under ett døgn! Blue Coat skriver om dette fenomenet i sin blogg, hvor de også ser bak tallene.
Referanser
https://www.bluecoat.com/security-blog/2014-0[...]

Google lanserer 64-bits Chrome

Google har i dag gitt ut første versjonen av 64-bits Chrome som er markert som stabil. Den skal være raskere enn 32-bits utgaven og skal også være sikrere og mer stabil. Den har ikke støtte for Java eller Silverlight.
Referanser
http://www.digi.no/930089/64-bits-chrome-klar[...]
http://arstechnica.com/information-technology[...]

Tuesday, 26 August 2014

2014.08.26 - Nyhetsbrev

Bilindustrien i Europa utsatt for angrep. Flere nye måter å misbruke NTP til DDoS-angrep. Mer info om Backoff, en trojaner som infiserer kassasystemer i USA.

Bilindustrien i Europa utsatt for angrep

Symantec har en bloggpost om bilindustrien i Europa som blir utsatt for målrettede angrep. Angrepene skjer via vedlegg i e-poster.
Referanser
http://www.symantec.com/connect/blogs/europea[...]

Flere nye måter å misbruke NTP til DDoS-angrep

Firmaet Rapid 7 har oppdaget seks nye måter å bruke NTP (Network Time Protocol) til å utføre reflection-baserte DDoS-angrep. Se artikkelen for oversikt over metodene og hvordan dette kan forhindres.
Referanser
https://community.rapid7.com/community/metasp[...]

Mer info om Backoff, en trojaner som infiserer PoS (Point of Sale)

Dette er en oppdatering på den tidligere advarselen fra US-CERT (se link). Trojaneren har i løpet av det siste året infisert kassasystemene til over 1000 Amerikanske bedrifter, og er i stand til å stjele kreditt- og debetkort-informasjon fra infiserte terminaler. Kassasystemer fra syv forskjellige leverandører er rammet. Angriperne infiserer kassene ved å gjette brukernavn og passord til systemer for fjernadministrasjon. Disse brukes av leverandørene for å drive support på systemene.
Referanser
http://www.symantec.com/connect/blogs/trojan-[...]
https://www.us-cert.gov/ncas/alerts/TA14-212A
http://arstechnica.com/security/2014/08/point[...]

Monday, 25 August 2014

2014.08.25 - Nyhetsbrev

Hackergruppe angriper spillselskaper og sender bombetrusler. Sensitiv informasjon til 25 000 amerikanske statlige ansatte lekket. Svakhet gjør det mulig å lure til seg informasjon i Android.

Hackergruppe angriper spillselskaper og sender bombetrusler

En hackergruppe har i helgen angrepet flere store spillnettsteder med DDoS-angrep. Blant annet er Sony og Blizzard rammet. Gruppen sendte også en bombetrussel mot et rutefly som en Sony-sjef oppholdt seg i. Flyet måtte lande etter trusselen.
Referanser
http://www.forbes.com/sites/insertcoin/2014/0[...]
http://www.vg.no/forbruker/teknologi/playstat[...]

Sensitiv informasjon til 25 000 amerikanske statlige ansatte lekket

En kontraktør for den amerikanske stat har blitt utsatt for et datainnbrudd som har ført til at sensitiv informasjon om rundt 25 000 personer ansatt i den amerikanske stat har blitt lekket. Informasjonen som ble lekket inkluderte blant annet navn, social security number (personnummer), og fødselsdato. I tilegg til dette skal også utdannelsene til personene, samt deres kriminelle historikk blitt lekket. The Verge forteller at grunnen til slik informasjon var lagret, på grunn av at selskapet som var målet var US Investigation Services, et selskap som står for å hente bakgrunnsinformasjon til personer for diverse byråer, som blant annet Department of Homeland Security.
Referanser
http://www.theverge.com/2014/8/23/6059803/cyb[...]

Svakhet gjør det mulig å lure til seg informasjon i Android

Cnet rapporterer at forskere har funnet en svakhet i Android som f.eks. gjør det mulig å få tak i innloggingsinformasjon til Gmail, med 82-92% sukessrate. Forskerne har testet dette på Android, men mener at svakheten de utnytter også eksisterer på andre plattformer som Windows og iOS.

Forskerne forklarer at de utnytter det delte minnet på mobilen for å utføre angrepet som fører til at de kan få tak i sensitiv informasjon, slik som innloggingsdetaljer på f.eks. Gmail og bank-applikasjoner. De forsetter med å fortelle at dette gjøres ved at brukeren lures til å installere en applikasjon som virker troverdig, slik som en applikasjon som endrer bakgrunnen. I virkeligheten inneholder denne applikasjonen skadelig kode.

Applikasjonen overvåker deretter det delte minnet på mobilen, som ikke krever spesielle rettigheter, for å se når brukeren skal til å gi fra seg sensitiv informasjon. Dette gjøres ved hjelp av statistiske metoder. Når brukeren skal til å logge seg inn på feks. Gmail, vil den skadelige applikasjonen ta over og vise et falskt innloggingsvindu slik at den får lurt til seg informasjonen den er ute etter.

Les mer om dette i referansen under.
Referanser
http://www.cnet.com/news/researchers-find-way[...]
http://arstechnica.com/security/2014/08/andro[...]

Friday, 22 August 2014

2014.08.22 - Nyhetsbrev

PST vil samle inn mer data om norske brukere for å bekjempe terror.

PST vil samle stordata

PST ber om fire endringer i loven i kampen mot terror, hvor én av disse er å samle såkalt stordata. Ved å samle enorme mengder data kan det gjøres omfattende analyser for å oppdage trender og sammenhenger, hvor målet blant annet er å avsløre mistenkelig oppførsel og terrorvirksomhet. Datatilsynet på sin side advarer mot slik innsamling og det som kan bli et overvåkningssamfunn.
Referanser
http://www.nrk.no/norge/pst-vil-samle-stordat[...]

Thursday, 21 August 2014

2014.08.21 - Nyhetsbrev

UPS-butikkenes bankterminaler infisert med malware, det siste Gameover botnettet prøver å motstå nedtakelse og trafikklys-systemer i USA er overraskende lette å hacke.

Trafikklys-systemer i USA er overraskende lette å hacke

I en rapport utarbeidet av forskere ved Electrical Engineering and Computer Science Department, University of Michigan, har det kommet frem at systemene som styrer trafikklys er overraskende lette å hacke. Rapporten beskriver hvordan forskerne lett og raskt kunne ta kontroll over en trafikksystemene i en anonym by i Michigan, og deretter styre trafikklys i over 100 kryss.
Referanser
http://arstechnica.com/security/2014/08/resea[...]
https://jhalderm.com/pub/papers/traffic-woot14.pdf

UPS-butikkenes bankterminaler infisert med malware

Rundt 100 000 transaksjoner har blitt sett på av malware som har infisert UPS sine systemer. Totalt ble 53 UPS-butikker i USA infisert av malwaren som leser kort som brukes i betalingsterminalene.
Referanser
http://www.theregister.co.uk/2014/08/20/ups_r[...]
http://bits.blogs.nytimes.com/2014/08/20/ups-[...]
http://www.ups.com/pressroom/us/press_release[...]

Det siste Gameover botnettet prøver å motstå nedtakelse

Det kan tyde på at siste utgave av Gameover-botnettet, som tidligere har infisert mellom 500 000 og 1 million maskiner, prøver å ligge lavt for å unngå oppmerksomhet. Nå etter seks uker, kan man se mellom 3000-5000 infeksjoner i det nye nettet, ifølge firmaet Seculert. Seculert mener at bakmennene foreløpig holder antall infeksjoner lavt for å unngå at botnettet blir tatt ned igjen av myndigheter.
Referanser
http://arstechnica.com/security/2014/08/lates[...]

Wednesday, 20 August 2014

2014.08.20 - Nyhetsbrev

Community Health Systems hacket via heartbleed. Microsoft melder om nedgang i falsk antivirus-malware.

Community Health Systems hacket ved bruk av heartbleed svakheten

Vi omtalte dette angrepet i gårsdagens nyhetsbrev. Angriperne skal ha utnyttet en Heartbleed-svakhet i Juniper-utstyr og hentet ut informasjon fra minnet. Dette skal de ha brukt til å logge seg inn på CHS sitt nett via VPN. CHS skal ha mistet informasjon om rundt 4.5 millioner pasienter som følge av angrepet.
Referanser
https://www.trustedsec.com/august-2014/chs-ha[...]

Nedgang i falsk antivirus

Dette melder microsoft i en fersk rapport. Denne typen malware utgir seg for å være antivirus-programvare og forsøker å skremme brukeren ved å presentere falske rapporter som indikerer at maskinen er full av malware. Brukeren blir deretter forsøkt lurt til å betale for en såkalt "fullversjon" som skal kunne fjerne alt dette. Microsoft mener nedgangen kan skyldes at antivirusselskapene har hatt et økt fokus mot falsk antivirus samtidig som at brukerne selv har blitt mer bevisste i forhold til denne typen malware. På TSOC har vi også sett en betydelig nedgang i denne typen trussel mot norske brukere.
Referanser
http://blogs.technet.com/b/mmpc/archive/2014/[...]

Tuesday, 19 August 2014

2014.08.19 - Nyhetsbrev

Amerikansk helsetjeneste utsatt for datainnbrudd.

Amerikansk helsetjeneste utsatt for datainnbrudd

Community Health Systems (CHS), en av de største sykehus operatørene i USA, har blitt utsatt for datainnbrudd. CHS forteller at angriperne fikk tilgang til navn, adresser og personnummer til rundt 4.5 millioner pasienter. Angriperne skal ikke ha fått tilgang til verken kredittkort eller medisinsk informasjon til pasientene.

Les mer om dette i referansene under.
Referanser
http://www.theregister.co.uk/2014/08/18/hospi[...]
http://www.tripwire.com/state-of-security/reg[...]

Monday, 18 August 2014

2014.08.18 - Nyhetsbrev

Microsoft trekker tilbake en kernel-oppdatering (MS14-045). Symantec har publisert en rapport om trussler mot virtuelle miljøer.

Microsoft trekker tilbake en kernel-oppdatering (MS14-045)

Microsoft trekker tilbake en av kernel-oppdateringene som ble sluppet på tirsdag. Oppdateringen kan nemlig forårsake Blue Screen of Death (BSoD), som vil si at maskinen får en bluescreen og må starte på nytt, som resulterer i at maskinen går inn i en restart-loop. Microsoft har publisert en midlertidig løsning som fikser problemet (se link til support.microsoft).
Referanser
http://nakedsecurity.sophos.com/2014/08/18/mi[...]
http://support.microsoft.com/kb/2982791

Symantec rapport om trussler mot virtuelle miljøer

Symantec publiserte den 12. august en rapport som omhandler trussler mot virtuelle miljøer.
Referanser
http://www.symantec.com/content/en/us/enterpr[...]

Friday, 15 August 2014

2014.08.15 - Nyhetsbrev

Senter for cyber- og informasjonssikkerhet (CCIS) ved Høgskolen i Gjøvik åpnes i dag. Norske brukere sprer spam på Facebook for øyeblikket. Vi følger utviklingen. Google Safebrowsing begynner å blokkere såkalt Potensielt Uønsket Programvare. Dmitry Medvedevs Twitter-konto hacket.

Senter for cyber- og informasjonssikkerhet åpnes i dag

Senter for cyber- og informasjonssikkerhet (CCIS) ved Høgskolen i Gjøvik åpnes i dag. Målsettingen med senteret er å styrke samfunnets evne til å oppdage, bekjempe og etterforske uønskede angrep og kriminelle handlinger som begås via datamaskiner.

Kjernen i senteret er fagmiljøet ved NISlab (Norwegian Information Security laboratory). I tillegg bidrar en rekke institusjoner til senteret, deriblant NSM, Forsvaret, Kripos, PST, Eidsiva, Statkraft, Statnett, Telenor og IBM.
Referanser
http://www.nrk.no/ho/nytt-kraftsenter-for-cybersikkerhet-1.11878644
http://www.mynewsdesk.com/no/telenor/pressreleases/telenor-og-forsvarets-forskningsinstitutt-finansierer-professorat-1012986

Spamangrep blant norske brukere på Facebook

Det foregår for øyeblikket en bølge av av spam fra norske brukere på Facebook, for falske butikker som selger Oakley-briller. Spammen ser ut til å spres ved at Facebook-brukere som har fått kontoen sin hacket, tagger flere bilder med vennene sine. TSOC følger saken og oppdatererer på vår Facebook-side.
Referanser
http://phishlist.com/facebook-scam-oakley-sunglasses-sale/
https://www.facebook.com/TelenorSOC

Google Safebrowsing blokkerer Potensielt Uønsket Programvare

Googles Safebrowsing-rammeverk, som blokkerer tilgang til kjente ondsinnede nettsteder, utvides nå til å også blokkere nedlasting av såkalt "Potential Unwanted Applications", dvs programvare som eksempelvis bytter startside og standard søkemotor i nettleseren uten at brukeren har bedt om det. Google ruller ut dette i Chrome i neste uke. Mozilla rapporterer at de vil ha samme funksjonalitet på plass i Firefox i løpet av september.
Referanser
http://chrome.blogspot.no/2014/08/thats-not-download-youre-looking-for.html
http://monica-at-mozilla.blogspot.no/2014/07/download-files-more-safely-with-firefox.html

Dmitry Medvedevs Twitter-konto hacket

Twitter-kontoen til Russlands statsminister sendte ut en rekke pro-ukrainske tweets i løpet av torsdagen, før myndighetene etterhvert bekreftet at den var hacket.
Referanser
http://www.theguardian.com/world/2014/aug/14/dmitry-medvedev-russian-pm-twitter-account-hacked

Thursday, 14 August 2014

2014.08.14 - Nyhetsbrev

Google oppdaterer Chrome for iOS og Apple oppdaterer Safari. Eldre Cisco-rutere skaper problemer på internett da de går tomme for minne. Snowden hevder at NSA tok ned Internettforbindelsen til Syria.

Google oppdaterer Chrome for iOS

Google har sluppet ny versjon av nettleseren Chrome for iOS. Den nye versjonen retter en svakhet rangert som "høy".
Referanser
http://googlechromereleases.blogspot.no/2014/08/chrome-for-ios-update.html

Nye versjoner av Safari

Apple har gitt ut nye versjoner av Safari 6 og 7 for diverse utgaver av OS X. Oppdateringen utbedrer flere svakheter. Minst én av svakhetene gjør det mulig for angripere å kjøre kode på en sårbar maskin. Siste versjoner er nå Safari 7.0.6 og 6.1.6.
Referanser
http://support.apple.com/kb/HT1222

Eldre Cisco rutere går tom for minne

Flere opplevde i dag at Internett var tregere. Grunnen til dette er at eldre utstyr som Cisco ruterene i CAT 6500- og 7600-serien har en standard TCAM-konfigurasjon som ikke lenger holder mål. TCAM er et hurtigminne som inneholder rutingtabellen. I dag gikk det over grensen for hva de gamle ruterene takler som er 512 000, med 515 000 ruter som førte til problemer for Cisco ruterene. Dette var bare midlertidig, men det forventes at det ikke er lenge til før det skjer igjen. For de som bruker de gamle ruterene, har Cisco publisert en løsning (se referansen mot Cisco-linken).
Referanser
http://www.bgpmon.net/what-caused-todays-internet-hiccup/

http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/117712-problemsolution-cat6500-00.html

www.digi.no/929911/internett-har-naadd-et-kritisk-punkt

Snowden hevder at NSA tok ned Internettforbindelsen til Syria

Edward Snowden hevder i et lengre intervju med Wired at det var NSA som førte til at Syria mistet forbindelsen med Internett i 2012. Dette skjedde angivelig som følge av en feil. NSA prøvde å installere programvare for overvåking på en større ruter i Syria, men installasjonen feilet og ruteren sluttet å fungere.
Referanser
http://www.digi.no/929915/nsa-kastet-syria-ut-av-internett
http://www.wired.com/2014/08/edward-snowden/

Wednesday, 13 August 2014

2014.08.13 - Nyhetsbrev

Microsoft slipper 9 oppdateringer som tetter hele 37 svakheter. 26 av disse befinner seg i Internet Explorer.

Adobe oppdaterer Adobe Reader og Acrobat, og tetter sårbarhet som skal ha blitt brukt i målrettede angrep. Det er også sluppet oppdateringer for Flash og Air.

Google oppdaterer Google Chrome, Chrome OS og Chrome for Android.

Microsoft har sluppet oppdateringer for august

Microsoft slapp i går kveld 9 oppdateringer som retter 37 svakheter. To av oppdateringene er rangert som kritiske og omfatter Microsoft Windows og Internet Explorer. Øverst på Microsoft sin prioriteringsliste er oppdateringen for Internet Explorer som er en samlet oppdatering og omfatter hele 26 av de 37 svakhetene denne måneden. En av sårbarhetene i Internet Explorer utnyttes allerede i aktive angrep.
Referanser
https://technet.microsoft.com/library/security/ms14-aug

https://technet.microsoft.com/en-us/library/security/ms14-051

Adobe oppdaterer Adobe Reader og Acrobat

Adobe har sluppet oppdatering for Adobe Reader og Acrobat. Oppdateringen omfatter Windows og fikser en 0-dags svakhet som gjorde det mulig å unngå sandbox-beskyttelsen. Svakheten er rangert som kritisk og skal ha blitt observert i målrettede angrep.
Referanser
https://helpx.adobe.com/security/products/reader/apsb14-19.html

https://securelist.com/blog/65577/cve-2014-0546-used-in-targeted-attacks-adobe-reader-update/

http://threatpost.com/adobe-patches-reader-zero-day-used-in-targeted-attacks/107721

Google oppdaterer Google Chrome, Chrome OS og Chrome for Android

Google har sluppet ny versjon av nettleseren Google Chrome. Den nye versjonen retter 12 svakheter hvorav to er rangert som "høy". Google har også sluppet oppdatering for operativsystemet Chrome OS som skal rette flere uspesifiserte sårbarheter. Sist oppdateres også nettleseren Chrome for Android. Oppdateringen retter en svakhet, rangert som "høy".
Referanser
http://googlechromereleases.blogspot.no/2014/08/stable-channel-update.html

http://googlechromereleases.blogspot.no/2014/08/stable-channel-update-for-chrome-os.html

http://googlechromereleases.blogspot.no/2014/08/chrome-for-android-update.html

Adobe oppdaterer Flash Player

Adobe har oppdatert Flash Player og Air for å patche flere kritiske sårbarheter. Oppdateringen gjelder både Windows, Linux og Mac. Det er ikke kjent at noen av sårbarhetene utnyttes til angrep enda.
Referanser
http://helpx.adobe.com/security/products/flash-player/apsb14-18.html

Tuesday, 12 August 2014

2014.08.12 - Nyhetsbrev

Center for Cyber and Information Security åpner i Norge den 15 august.

Center for Cyber and Information Security åpner i Norge den 15 august.

Fredag den 15. august er den offisielle åpningsdagen for Center for Cyber and Information Security (CCIS). Dette skal være et nasjonalt senter for forskning, utdanning og trening på å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Flere partnere har bidratt til å gjøre dette mulig, blant annet Politiet, Forsvarets Ingeniørhøgskole, Norway Cyber Defence, Nasjonalt ID-senter, NorSIS, PST, NSM, Statoil og Telenor, samt mange flere. I forbindelse med dette skal det holdes en åpningskonferanse hvor flere nasjonale og internasjonale personer skal holde foredrag.

Les mer om dette i referansen under. Link til CCIS nettsted finnes også under referanser.
Referanser
https://norsis.no/2014/08/apning-av-center-cyber-information-security/
https://ccis.no/

Monday, 11 August 2014

2014.08.11 - Nyhetsbrev

Symantec skriver om spionasjekampanje mot land i Øst-Europa. Støtte for gamle versjoner av Internet Explorer opphører om 18 måneder. Check Point skal ha funnet sårbarheter i utstyr som internettleverandører bruker.

Symantec skriver om spionasjekampanje mot land i Øst-Europa

Angriperne skal ha benyttet seg av malware kalt Wipbot og Turla.
Referanser
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats

Støtte for gamle versjoner av Internet Explorer opphører om 18 måneder

Om 18 måneder skal Microsoft endre på hvilke versjoner av Internet Explorer de støtter. Kun den siste tilgjengelige versjonen av Internet Explorer for hver versjon av Windows vil bli støttet. Dette betyr at f.eks. IE versjon 11 vil bli støttet i Windows 7. Eldre versjoner av IE vil ikke lengre bli oppdatert for Windows 7.
Referanser
http://arstechnica.com/information-technology/2014/08/support-for-old-versions-of-internet-explorer-to-be-dropped/
http://blogs.msdn.com/b/ie/archive/2014/08/07/stay-up-to-date-with-internet-explorer.aspx

Check Point skal ha funnet sårbarheter i utstyr som internettleverandører bruker

Check Point skal ha funnet flere sårbarheter i utstyr som kan kontrolleres via TR-069 protokollen. Dette er en prokotoll som internettleverandører bruker for å konfigurere og kontrollere utstyr som blant annet står hos kunder. Sårbarhetene skal ha gjort det mulig for dem å skru av nett-tilgangen til kunder og overvåke nett-trafikken deres.
Referanser
http://www.checkpoint.com/press/2014/media-alert-cp-researchers-find-isp-vulnerabilities.html

Friday, 8 August 2014

2014.08.08 - Nyhetsbrev

Google planlegger å gi nettsider som benytter seg av HTTPS en høyere søke ranking, midlertidig BGP kapring blir brukt til Bitcoin mining, Yahoo gir muligheten for kryptering av mail via End-to-End plugin, Microsoft gir ut forhåndsvarsel for oppdateringer i August og OpenSSL patcher flere svakheter.

Midlertidig BGP-kapring ble brukt for å omdirigere Bitcoin-mining

Forskere ved Dell SecureWorks sin sikkerhetsdivisjon har oppdaget at 19 internettleverandører har blitt utsatt for BGP-kapring. Kapringen ble brukt til å stenge ned forbindelsen mellom maskiner som driver med bitcoin-mining og deres servere (en såkalt "mining-pool"). Maskinene ble deretter lurt til å koble seg opp mot en falsk server/mining-pool. Forskerne mener at angriperne har klart dette ved å utnytte en ansatt sin konto for å skaffe seg tilgang. Hver av de 22 kapringene skal bare ha vart i rundt 30 sekunder. Det anslås at angriperne skal ha fått tak i rundt $83.000 i Bitcoins.
Referanser
http://www.wired.com/2014/08/isp-bitcoin-theft/

OpenSSL-oppdatering utbedrer 9 svakheter

OpenSSL har publisert oppdateringer som retter 9 svakheter. Noen av svakhetene kunne gjort det mulig for en angriper å utrette et Denial of Service (DoS)-angrep eller å tvinge et tilbakefall til TLS 1.0-protokollen.
Referanser
https://www.openssl.org/news/secadv_20140806.txt

Microsoft gir ut forhåndsvarsel for oppdateringer i August

Microsoft gir ut oppdateringer tirsdag 12. august. Det er totalt 9 oppdateringer, hvor to er kritiske, og resten er viktige. Det vil bli oppdateringer til Microsoft SQL Server, SharePoint, OneNote, .Net, Microsoft Windows og Internet Explorer.
Referanser
https://technet.microsoft.com/library/security/ms14-aug
http://blogs.technet.com/b/msrc/archive/2014/08/07/advance-notification-service-for-the-august-2014-security-bulletin-release.aspx

Yahoo vil støtte kryptering av e-post via End-to-End plugin

Yahoo skal snart begynne jobben med å gjøre kryptering av e-post via PGP tilgjengelig for brukere av Yahoo Mail. Dette skal skal gjøres via en modifisert plugin fra Google som gjør det mulig for brukere å kryptere e-posten. Utveksling av nøkler mellom brukerne vil gå automatisk. I følge Alex Stamos, sikkerhetsdirektør i Yahoo, skal tjenesten være oppe og gå i 2015.
Referanser
http://arstechnica.com/security/2014/08/yahoo-to-begin-offering-pgp-encryption-support-in-yahoo-mail-service/
http://www.theregister.co.uk/2014/08/08/yahoo_to_deploy_e2e_crypto_by_2015/

Google vil gi web-sider som benytter seg av HTTPS høyere ranking

Google har publisert sine planer om å gi web-sider som benytter seg av HTTPS en høyere søke-ranking. I begynnelsen vil dette vektes lavt, med de vil gradvis øke dette i håp om at flere vil bytte over fra HTTP til HTTPS.
Referanser
http://googleonlinesecurity.blogspot.co.uk/2014/08/https-as-ranking-signal_6.html

Thursday, 7 August 2014

2014.08.07 - Nyhetsbrev

Israel-Hamas konflikten har medført økning i DDoS-angrep og en 17-åring hevder at han kan unngå PayPals to-stegs autorisering.

17 åring hevder å kunne unngå PayPal sin 2-stegs autorisering

Joshua Rogers, en 17 år gammel gutt fra Melbourne, hevder å kunne unngå PayPal sin 2-stegs autorisering. Rogers forklarer at PayPal har en funksjon i koden som ikke sjekker 2FA som den skal. Les mer i referansen under.
Referanser
http://arstechnica.com/security/2014/08/paypal-2fa-is-easily-bypassed-teenage-white-hat-hacker-says/

Israel-Hamas konflikten har medført økning i DDoS-angrep

Statistikk fra Arbor Networks viser til at antall DDoS-angrep har økt jevnlig med Israel-Hamas konflikten. I følge rapporten har både antall hendelser og varighet økt.
Referanser
http://www.zdnet.com/israel-hamas-conflict-sparks-surge-in-ddos-attacks-7000032375/
http://nrkbeta.no/2014/08/05/anonymous-fortsetter-storangrep-mot-israelske-nettsteder/

Wednesday, 6 August 2014

2014.08.06 - Nyhetsbrev

Russiske hackere har stjålet 1.2 milliarder passord, svakhet i Apache Cordova i Android-applikasjoner, dokumenter avslører detaljer om FinFisher, FireEye og Fox-IT har gitt ut gratis verktøy for å dekryptere filer kryptert av utpressingsprogrammet CryptoLocker og artikkel om Magnitude Exploit Kit.

Svakhet i Apache Cordova kan eksponere 5,8% av Android-applikasjoner

IBM Security X-Force har avdekket en alvorlig sårbarhet som rammer flere Andriod-applikasjoner bygget på Apache Cordova (tidligere kjent som PhoneGap). Det er estimert at svakheten rammer opp til 5,8% av Android-applikasjoner. Skremmende er det også at om lag 10% av de testede applikasjonene, inneholdt søkeordet "bank".
Referanser
http://securityintelligence.com/apache-cordova-phonegap-vulnerability-android-banking-apps/

Lekkede dokumenter avslører detaljer om overvåkningsplatformen FinFisher

Dokumenter med detaljer om overvåkningsplatformen FinFisher har blitt lekket til Dropbox. Dokumentene beskriver programpakken og hvordan de unngår å bli oppdaget av Antivirus. FinFisher blir brukt av myndigheter og politi i flere land.
Referanser
http://www.theregister.co.uk/2014/08/05/finfisher_spy_malware_docs_leaked/

Russiske hackere har stjålet 1.2 milliarder passord

Russiske hackere har stjålet 1.2 milliarder passord fra over 420.000 nettsider. Hackerne har klart å samle inn 500 millioner epost-adresser som skal ha blitt benyttet til andre kriminelle handlinger via internett. Innbruddene har blitt oppdaget av et amerikansk sikkerhetsselskap, Hold Security. Sikkerhetsselskapet forklarer også at 40 millioner kredittkort og 70 millioner bostedsadresser, telefonnumre og annen personlig informasjon har blitt kompromittert. Grunnleggeren av sikkerhetsselskapet, Alex Holden uttaler at dataene enda ikke har blitt solgt, men at det er indikasjoner på at de blir brukt til å sende spam på sosiale nettverk.
Referanser
http://www.holdsecurity.com/news/cybervor-breach/
http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html

Gratis verktøy for å dekryptere filer kryptert av utpressingsprogrammet CryptoLocker

FireEye og Fox-IT har i samarbeid lansert en gratis tjeneste for å dekryptere filene som CryptoLocker har kryptert. Les mer i referansen under.
Referanser
http://blog.fox-it.com/2014/08/06/cryptolocker-ransomware-intelligence-report/
https://www.decryptcryptolocker.com/

Artikkel om Magnitude Exploit Kit

CSO har skrevet en artikken som ser nærmere på Magnitude Exploit Kit.
Referanser
http://www.csoonline.com/article/2459925/malware-cybercrime/exposed-an-inside-look-at-the-magnitude-exploit-kit.html

Tuesday, 5 August 2014

2014.08.05 - Nyhetsbrev

Sikkerhetsforsker hevder at passasjerfly er sårbare mot cyber-angrep, utpressingsprogramvare mot Synologys NAS-løsninger og medlemmer av MDN blir rådet til å endre passord.

Sikkerhetsforsker hevder at passasjerfly er sårbare mot cyber-angrep

Sikkerhetsforsker Ruben Santamarta påstår han har funnet en måte å hacke satellittkommunikasjonsutstyr i passasjerfly via flyets WiFi og underholdningssystemer. Det vil bli presentert flere detaljer i en presentasjon på torsdag.
Referanser
http://www.reuters.com/article/2014/08/04/cybersecurity-hackers-airplanes-idUSL6N0Q75N820140804

Utpressingsprogramvare mot Synologys NAS-løsninger

Synologys NAS-løsninger er blitt angrepet av utpressingsprogramvare kalt Synolocker. Sårbarheten åpner for at angripere kan infisere NAS med åpne porter mot Internett. Synolocker krypterer alle filene og bakmennene krever at brukeren betaler 0.6 bitcoins for å låse opp filene.
Referanser
http://forum.synology.com/enu/viewtopic.php?f=3&t=88716
http://www.theregister.co.uk/2014/08/05/synologys_synolocker_crisis_its_as_bad_as_you_think/

Medlemmer av MDN blir rådet til å endre passord

Flere medlemmer av Mozilla Developer Network (MDN) blir rådet til å endre passord etter at epostadresser til 76 000 brukere og kryptert passord for 4 000 brukere skal ha blitt offentliggjort på en offentlig server ved en feil.
Referanser
http://threatpost.com/developers-told-to-change-passwords-after-accidental-mozilla-password-dump/107579

Monday, 4 August 2014

2014.08.04 - Nyhetsbrev

Microsoft har publisert EMET 5.0, ekstern kodeeksekverings-svakhet i Samba 4.x.x og forskere har oppdaget malware som gjemmer seg i Windows-registeret.

Microsoft har publisert EMET 5.0

Microsoft publiserte før helgen versjon 5 av Enhanced Mitigation Experience Toolkit (EMET). Denne versjonen inneholder blant annet en forbedret versjon av sikkerhetsmekanismen "Export Address Table Filtering". Nytt i denne versjonen er også funksjonen "Attack Surface Reduction" som gjør det mulig å sette begrensinger for når applikasjoner som Java, Flash og nettlesertillegg kan kjøres. For mer informasjon, se referanser. TSOC anbefaler å installere EMET på sluttbrukermaskiner, etter å ha testet at alt fungerer som det skal.
Referanser
http://blogs.technet.com/b/msrc/archive/2014/07/30/general-availability-for-enhanced-mitigation-experience-toolkit-emet-5-0.aspx
http://www.microsoft.com/en-us/download/details.aspx?id=43714

Forskere har oppdaget malware som ikke benytter seg av filer

Forskere har oppdaget malware som kan infisere maskiner uten å installere filer. Maskinen blir infisert ved å åpne et dokument som utnytter en svakhet i Word. Malwaren legger deretter koden sin inn i registeret til Windows. Dette fører til at klassiske anti-virus programmer har vanskeligheter med å oppdage malwaren.
Referanser
http://www.theregister.co.uk/2014/08/04/registryinfecting_rebootresisting_malware_has_no_files/
https://blog.gdatasoftware.com/blog/article/poweliks-the-persistent-malware-without-a-file.html

Ekstern kodeeksekverings-svakhet i Samba 4.x.x

Alle Samba 4.x.x versjonene er sårbare for ekstern kodeeksekvering, hvor det er mulig å kjøre uønsket kode som root. Det anbefales å oppdatere så fort som mulig.
Anbefaling
Det har blitt utgitt en oppdatering som dekker sikkerhetshullene, og det anbefales å installere denne.
Referanser
http://www.samba.org/samba/security/CVE-2014-3560
https://isc.sans.edu/diary/All+Samba+4.x.x+are+vulnerable+to+a+remote+code+execution+vulnerability+in+the+nmbd+NetBIOS+name+services+daemon/18471

Friday, 1 August 2014

2014.08.01 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.