Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 30 September 2014

2014.09.30 - Nyhetsbrev

Forskere har avdekket to nye svakheter i Bash. CloudFlare gir sine kunder gratis SSL. Apple gir ut oppdatering for å fikse Shellshock til OS X. Skyarkiv i utlandet er ulovlig. Offensive Security har publisert en teknisk artikkel om hvordan man kan omgå EMET v5.0

Forskere har avdekket nye svakheter i Bash

Forskere har avdekket to nye svakheter i Bash som kan føre til kodeeksekvering. Svakhetene er ikke relatert til Shellshock.
Referanser
https://isc.sans.edu/diary/Shellshock%3A+We+a[...]

CloudFlare gir sine kunder gratis SSL

I et forsøk på å stoppe ISPer, statlige etater og angripere fra å overvåke og sensurere internett, åpner CloudFlare SSL for sine mer enn 2 milioner kunder, noe som vil doble antall SSL beskyttede sider på nettet.
Referanser
http://threatpost.com/cloudflare-rolls-out-fr[...]

Apple gir ut oppdatering for å fikse Shellshock til OS X

Apple skal nå ha gitt ut en oppdatering til Mac OS X Mavericks, Mountain Lion og Lion som skal fikse Shellshock-svakheten.
Referanser
http://arstechnica.com/apple/2014/09/apple-pa[...]

Skyarkiv i utlandet er ulovlig

Ifølge Riksarkivaren, som viser til Arkivloven fra 1992, er skyarkiv i utlandet ulovlig.
Referanser
http://m.digi.no/930655/skyarkiv-i-utlandet-e[...]

Teknisk artikkel om hvordan man kan omgå EMET v5.0

Offensive Security har tidligere omtalt hvordan angripere kan omgå Enhanced Mitigation Experience Toolkit (EMET) v4.0. Denne gang gjør de det med siste versjon av EMET, v5.0.
Referanser
http://www.offensive-security.com/vulndev/dis[...]

Monday, 29 September 2014

2014.09.29 - Nyhetsbrev

Phishing som gir seg ut for å være fra BankID. FireEye skriver om hvordan Shellshock utnyttes. Siste patch for ShellShock-svakheten ser ikke ut til å fikse svakheten 100%. Oracle har funnet ut at mange av deres produkter er sårbare for ShellShock og har begynt å gi ut patcher.

Phishing som gir seg ut for å være fra BankID

Vi har akkurat lagt ut en sak på våre Facebook-sider: Norske bedrifter og privatpersoner mottar nå en e-post som gir seg ut for å være fra BankID. Svindlerne prøver å lure til seg personopplysninger, bankdetaljer samt et bilde av kodekortet ditt til nettbanken. Dette dreier seg om svindel eller såkalt "phishing". Slett e-posten dersom du har mottatt den.
Referanser
https://www.facebook.com/TelenorSOC

FireEye skriver om hvordan Shellshock utnyttes

FireEye skriver om deres observasjoner rundt utnyttelsen av ShellShock. Svakheten utnyttes for det meste mot sårbare web-tjenere, men DHCP-klienter på flere Linux-systemer skal også være sårbare. Svakheten kan også utnyttes mot noen mailsystemer. Det meldes også om at den selv den siste patchen for svakheten kan omgås på forskjellige måter. Det anbefales å benytte en annen shell enn Bash dersom mulig.
Referanser
http://www.fireeye.com/blog/uncategorized/201[...]
http://lcamtuf.blogspot.no/2014/09/bash-bug-a[...]

Oracle Sikkerhetsvarsel for CVE-2014-7169: GNU Bash

Oracle gav i går ut sikkerhetsvarselet for CVE-2014-7169, tidligere omtalt som CVE-2014-6271. 31 produkter skal være sårbare. Oracle fortsetter å etterforske sårbarheten for om mulig å finne enda flere sårbare systemer. The National Vulnerability Database (NVD) har gitt denne sårbarheten en 10.0 på skalaen for CVSS Base.
Referanser
http://www.oracle.com/technetwork/topics/secu[...]

Friday, 26 September 2014

2014.09.26 - Nyhetsbrev

Nye oppdateringer rundt Shellshock-sårbarheten. F-Secure skriver om BlackEnergy 3. Oppdatering til Firefox og Thunderbird fikser SSL svakhet.

Nye oppdateringer rundt "Shellshock"-sårbarheten

Apple bekrefter at Mac OS X er sårbar for Shellshock-sårbarheten, men at det normalt ikke er noen enkel måte å utnytte den på. Dersom en ikke har satt opp egne tjenester på maskinen som web-server osv. skal en være relativt trygg inntil en patch foreligger. OS X skal heller ikke være sårbar for utnyttelse ved hjelp av DHCP.

RedHat og andre Linux-distributører slapp i går ganske fort en patch for svakheten. Denne viste det seg imidlertid at patchen kunne omgås relativt enkelt. RedHat, Ubuntu osv. har i natt kommet med en ny versjon av patchen som denne gangen skal fungere etter hensikten.

BlueCoat og Sucuri blogger om konsekvensene de har sett av svakheten hittil og hvilke aktivitet de ser når det gjelder scanninger. Det ser ikke ut til at mange "embedded devices" er sårbare, noe det ble spekulert i om kunne være tilfelle. De aller fleste av disse bruker ikke Bash.

Hos TSOC ser vi også en del scanne-aktivitet etter sårbarheter mot våre kunder, men så langt ser det ikke ut til at noen har funnet noe som lar seg utnytte.

Vi oppfordrer alle til å patche så fort som mulig!
Referanser
http://www.imore.com/apple-working-quickly-pr[...]
https://access.redhat.com/articles/1200223
http://www.ubuntu.com/usn/usn-2363-1/
https://www.bluecoat.com/security-blog/2014-0[...]
http://blog.sucuri.net/2014/09/bash-vulnerabi[...]

BlackEnergy 3

F-Secure har gitt ut en ny rapport om BlackEnergy malwaren. Denne varianten er rettet mot Ukraina.
Referanser
http://www.f-secure.com/weblog/archives/00002[...]

Oppdatering til Firefox og Thunderbird fikser SSL svakhet

Mozilla skal nå ha sendt ut en oppdatering til Firefox og Thunderbird som fikser en svakhet som gjorde det mulig for angripere å utføre et så kalt "Man-in-the-middle"-angrep.

I dette tilfelle ville svakheten f.eks. gjøre det mulig for angripere å gi seg ut for å være en banktjeneste, og deretter få tak i innloggingsdetaljer fra brukeren. Normalt ville dette gitt en feilmelding i nettleseren da et slikt angrep ville ført til at SSL-sertifikatet var ugyldig.
Referanser
http://www.theregister.co.uk/2014/09/25/mozil[...]
https://www.mozilla.org/security/announce/201[...]

Thursday, 25 September 2014

2014.09.25 - Nyhetsbrev

Kritisk sårbarhet i Bash. Sårbare systemer bør patches så fort som mulig.

Kritisk sårbarhet i Bash

Bash (Bourne Again Shell) er et "shell" eller system for å kjøre kommando-linjer på Unix/Linux og andre systemer. Det er oppdaget en kritisk sårbarhet i måten Bash tolker miljøvariabler som blir sendt inn til shellet. Denne svakheten gjør det mulig å få utført valgfrie kommandoer dersom det er mulig å sette variabler.

I første omgang rammer svakheten først og fremst web-servere, og spesielt de som benytter seg av cgi-scripts. Det er allerede kartlagt over 3000 slike sårbare web-servere på nettet, men det finnes antakeligvis mange flere. Andre tjenester som kan nås fra eksterne maskiner og kjører kommandoer via Bash kan også være sårbare.

Det virker foreløpig ikke som om dette vil bli noe stort problem på systemer som benyttes av sluttbrukere. Android-enheter og de aller fleste "embedded devices" benytter ikke Bash. Dersom de bruker et shell er dette som oftest BusyBox, som ikke er sårbar. Det virker heller ikke som om dette er en umiddelbar trussel mot OS X, så lenge maskinen ikke har tjenester direkte eksponert mot nettet. Det ble spekulert i om DHCP-klienten i OS X kunne være sårbar, men det skal ikke være tilfellet.

Forskjellige leverandører har allerede begynt å slippe oppdateringer for svakheten. Alle sårbare systemer bør oppgraderes så fort som mulig, spesielt systemer som eksponerer tjenester mot Internet. Den første patchen for svakheten, som ble sluppet av RedHat, viste seg å være lett å omgå. De jobber nå med en ny versjon.
Referanser
https://access.redhat.com/articles/1200223
https://www.invisiblethreat.ca/2014/09/cve-20[...]
http://blog.erratasec.com/2014/09/bash-bug-as[...]
http://lcamtuf.blogspot.no/2014/09/quick-note[...]
http://www.csoonline.com/article/2687265/appl[...]

Java-fri BankID 2.0 er lansert

Java-fri BankID 2.0 ble lansert i dag, onsdag den 23. september.
Referanser
http://www.digi.no/930593/java-fri-bankid-lan[...]

Wednesday, 24 September 2014

2014.09.24 - Nyhetsbrev

jQuery.com infisert med skadelig programvare. Undersøkelse viser at mange app-utviklere ikke klarer å sikre private data tilstrekkelig.

Undersøkelse viser at 80% av app-utviklere ikke klarer å sikre private data

Undersøkelse utført av Aspect Security viser at 80% av app-utviklere ikke klarer å beskytte sensitiv data.
Referanser
http://www.theregister.co.uk/2014/09/23/app_d[...]

jQuery.com infisert med skadelig programvare

Den offisielle hjemmesiden til det populære JavaScript biblioteket jQuery: jQuery.com, har blitt kompromitert og omdirigerte besøkende til en nettside som inneholdt et exploit-kit, kjent under navnet RIG. Exploit-kit'et har så forsøkt å infisere besøkende med informasjonsstjelende malware. Spesielt urovekkende er det at jQuery.com er en side som ofte besøkes av systemadministratorer og webutviklere som ofte har tilgang til mye sensitiv informasjon.
Referanser
http://www.net-security.org/malware_news.php?[...]

Tuesday, 23 September 2014

2014.09.23 - Nyhetsbrev

Alvorlig svakhet med exploit i iOS 7.1. Aftenposten har artikkel om NSRs mørketallsundersøkelse for 2014. Firmaet Sucuri har en artikkel om DDoS ved hjelp av tjenesten SSDP. Politi og Forsvar kan ta kontroll over mobilnettet.

Alvorlig svakhet med exploit i iOS 7.1


Det har blitt oppdaget en alvorlig svakhet i måten iOS håndterer PDF-filer. Feilen befinner seg i biblioteket CoreGraphics og kan f.eks. utnyttes ved å lure en bruker til å se på en PDF-fil i Safari. iOS har flere beskyttelsesmekanismer som må unngås dersom svakheten faktisk skal utnyttes og exploit-koden som er sluppet mangler foreløpig dette. Vi anbefaler å oppgradere til iOS versjon 8.0 der svakheten er fikset.
Referanser
http://blog.binamuse.com/2014/09/coregraphics[...]

Aftenposten har artikkel om NSRs mørketallsundersøkelse for 2014


I går presenterte Næringslivets Sikkerhetsråd Mørketallsundersøkelsen 2014. Resultatene her viser at de fleste bedrifter i Norge utsettes for datainnbrudd, mange uten at de er klar over det. Den letteste måten å få innpass i en bedrifts datanettverk er ofte å lure en av sjefene i bedriften.
Referanser
http://www.aftenposten.no/nyheter/iriks/Oppda[...]

Firmaet Sucuri har en artikkel om DDoS ved hjelp av tjenesten SSDP


Fra før av blir tjenester som NTP (Network Time Protocol) og DNS (Domain Name System) ofte blir brukt i DDoS reflection-angrep. I de siste ukene har vi på TSOC sett en økning i bruk av protokollen SSDP (Simple Service Discovery Protocol) i angrep. Dette er en protokoll som ofte er tilgjengelig på hjemmeroutere og andre nettverksenheter. Sucuri har en fin oppsummering av saken.
Referanser
http://blog.sucuri.net/2014/09/quick-analysis[...]

Politi og Forsvar kan ta kontroll over mobilnettet


Aftenposten har en artikkel om at Politiet og Forsvaret har fått tillatelse til å ta over mobilnettet. Dette gjør de ved å opprette falske basestasjoner. De har dermed mulighet for å overvåke eller blokkere trafikken. Dette kalles "mobilregulerte soner". Systemet som brukes kalles "IMSI-catcher" og er også i bruk i mange andre land.
Referanser
http://www.aftenposten.no/nyheter/iriks/Polit[...]

Monday, 22 September 2014

2014.09.22 - Nyhetsbrev

Google Dobbeltklikk reklame eksponerte millioner av maskiner for malware.

Google's Dobbeltklikk reklame eksponerte millioner av maskiner for malware

Google's Dobbeltklikk reklame-server eksponerte, sammen med reklamefirmaet Zedo, millioner av maskiner for den nylig oppdagede malwaren Zemot. Google's team har begynt å stenge dette ned.
Referanser
https://blog.malwarebytes.org/malvertising-2/[...]
http://www.theverge.com/2014/9/19/6537511/goo[...]

Friday, 19 September 2014

2014.09.19 - Nyhetsbrev

Apple slipper oppdateringer til OS X. Home Depot innrømmet at 56 millioner bankkort har blitt kopiert. Ny krypteringsmekanisme i iOS 8 hindrer Apple i å utlevere data fra passordbeskyttede enheter. Google innfører kryptering av innhold som standard i neste versjon av Android-operativsystemet.

Oppdatering til Apple OS X

Apple gir ut en oppdatering til OS X som fikser en rekke tildels alvorlige svakheter. OS X Server blir også patchet.
Referanser
http://support.apple.com/kb/HT6443
http://support.apple.com/kb/HT6448
http://support.apple.com/kb/HT6449

Tidligere omtalt sak: Home Depot innrømmet at 56 millioner bankkort er i fare

Oppdatering til tidligere omtalt sak: Home Depot innrømmet i går at 56 millioner bankkort kan bli utnyttet til svindel etter å ha blitt brukt i deres malware-infiserte betalingssystemer. Det er enda ikke observert noen form for svindel på de gjeldende bankkontoene, og PIN-kodene skal heller ikke ha blitt stjålet.
Referanser
http://www.theregister.co.uk/2014/09/18/home_[...]

Ny krypteringsmekanisme i iOS 8 hindrer Apple i å utlevere data fra passordbeskyttede enheter

Apple kunngjorde onsdag at de med innføringen av iOS 8 ikke lenger vil være i stand til å låse opp passord-beskyttede/krypterte iPhoner og iPader, selv om en rettkjennelse som tillater dette skulle foreligge. Grunnen til dette er endringer i den underliggende krypteringsmekanismen, som heretter kun gir eier av enheten tilgang til innholdet.

Sikkerhetsforsker Jonathan Zdziarski ser imidlertid i en bloggpost på hvordan politi/myndigheter kan klare å få tilgang til kryptert innhold på en iOS 8 enhet. Dette er mulig å få til dersom man samtidig har tilgang til en pc som er \"parret\" med iOS enheten, noe som ofte er tilfellet dersom iTunes benyttes på PC for å få tilgang til bilder og annen data på iOS-enheter.
Referanser
http://www.washingtonpost.com/business/techno[...]
http://www.zdziarski.com/blog/?p=3875

Google innfører kryptering av innhold som standard i neste versjon av Android-operativsystemet

Google melder at de i neste versjon av Android operativsystemet, som slippes neste måned, vil ha kryptering av innholdet på enheten påslått som standard. Opplysingene kommer som et svar etter at Apple har høynet sikkerheten i iOS 8.
Referanser
http://www.washingtonpost.com/blogs/the-switc[...]

Thursday, 18 September 2014

2014.09.18 - Nyhetsbrev

Apple iOS 8 fikser 53 svakheter. I USA har flere leverandører til militæret blitt utsatt for vellykkede angrep.

Apple iOS 8 fikser 53 svakheter

Apple har nettopp utgitt iOS 8 for sine iPhone og iPads. Med denne utgivelsen har de også rettet intet mindre enn 53 svakheter. Apple har ikke tradisjon for å rette tidligere iOS-versjoner, så brukere som fortsatt bruker iOS 7 vil forbli sårbare.
Referanser
http://support.apple.com/kb/HT6441
http://www.zdnet.com/ios-8-fixes-dozens-of-se[...]

USA: Leverandører til militæret hacket

I USA har en komite på vegnet av senatet undersøkt vellykkede angrep mot flere leverandører til landets militære. Her oppdaget de at i løpet av ett år har de hatt over 20 vellykkede angrep mot seg. Det ble også avdekket flere svakheter i både oppdagelsen og håndteringen av angrepet. Vi kan også nevne at det påstås at angriperne er koblet til myndighetene i Kina.
Referanser
http://www.net-security.org/secworld.php?id=17375

Wednesday, 17 September 2014

2014.09.17 - Nyhetsbrev

Adobe oppdaterer Adobe Reader og Acrobat.

Google oppdaterer Chrome OS.

Apple tilbyr nå to-faktor autentisering for skytjenesten iCloud.

WikiLeaks lekker tysk spionvare som benyttes av etterretningstjenester mm.

Adobe oppdaterer Adobe Reader og Acrobat

Adobe har sluppet oppdatering for Adobe Reader og Acrobat. Oppdateringen omfatter Windows og Mac og retter 8 svakheter. Svakhetene er rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/read[...]

Google oppdaterer Chrome OS

Google har sluppet oppdatering for operativsystemet Chrome OS som skal rette flere uspesifiserte sårbarheter.
Referanser
http://googlechromereleases.blogspot.no/2014/[...]

Apple tilbyr nå to-faktor autentisering for skytjenesten iCloud.

Apple tilbyr nå brukere av iCloud å benytte seg av to-faktor autentisering. Dette anbefales på det sterkeste å ta i bruk dersom man benytter seg av ICloud til backup-formål.
Referanser
http://arstechnica.com/security/2014/09/apple[...]

WikiLeaks lekker tysk spionvare

Digi.no bringer nyheten om at WikiLeaks har gjort en rekke spion-verktøy fra tyske FinFisher tilgjengelig for allmennheten. FinFisher har spesialisert seg på å tilby overvåkningsprogrammvare til etterretningstjenester mm.
Referanser
http://www.digi.no/930454/wikileaks-lekker-ty[...]

Tuesday, 16 September 2014

2014.09.16 - Nyhetsbrev

Svakheter i foreldet nettleser for Android. iPhone-deksel kan brukes til å stjele PIN-koder.

Svakheter i foreldet nettleser for Android

Det er en svakhet i AOSP-nettleseren som fulgte med i Android-versjoner eldre enn versjon 4.4. Denne nettleseren oppdateres ikke lengre av Google. Svakheten gjør at en web-server som brukeren surfer til kan lese ut informasjon fra alle andre webforms og nettlesere på systemet. Det anbefales å bruke en nyere nettleser som Chrome, FireFox eller Opera som oppdateres jevnlig. Metasploit har lagt ut en modul for å utnytte svakheten.
Referanser
http://threatpost.com/flaw-in-android-browser[...]

iPhone-deksel kan brukes til å stjele PIN-koder

Det er fra før kjent at infrarøde kameraer kan brukes til å finne PIN-koder etter at de er trykket inn. Nå har det kommet et rimelig deksel med IR-kamera til iPhone som gjør dette langt lettere å gjennomføre. Angripere kan ofte også finne ut hvilken rekkefølge tallene ble skrevet inn.
Referanser
http://www.intego.com/mac-security-blog/iphon[...]

Monday, 15 September 2014

2014.09.15 - Nyhetsbrev

Nye Snowden avsløringer viser omfattende kartlegging av Internett i et program kalt Treasue Map. Nytt privat exploit-kit kalt Astrum EK oppdaget.

Nytt privat exploit-kit kalt Astrum EK oppdaget

Det meldes om et nytt tilsynlatende privat exploit-kit kalt Astrum. Observert variant skal ha utnyttet svakheter i Flash, Internet Explorer, Silverlight og Adobe Reader.
Referanser
http://malware.dontneedcoffee.com/2014/09/ast[...]

Nye Snowden avsløringer viser omfattende kartlegging av Internett

Der Spiegel har publisert nye dokumenter som beskriver et NSA-program for omfattende kartlegging av Internett, kalt Treasue Map. Målet med programmet skal være å kartlegge hele Internett, til bruk ved blant annet planlegging av operasjoner.

Deutsche Telekom og Netcologne i Tyskland er angivelig blant nettverkene som omfattes av programmet. Det skal også være detaljerte dokumenter om sattelittkommunkasjonsleverandøren Stellar's interne systemer og nettverk. Stellar's CEO sier selv at denne informasjonen må komme fra innbrudd på deres interne systemer.

I dokumentene skal det også være funnet igjen en IP adresse tilhørende den norske leverandøren av satelittkommunikasjonsløsninger, Harris Norge.
Referanser
http://www.spiegel.de/international/world/sno[...]
http://www.spiegel.de/media/media-34756.pdf
http://www.spiegel.de/media/media-34757.pdf
http://www.spiegel.de/media/media-34758.pdf
http://www.digi.no/930415/norsk-selskap-nevnt[...]
http://

Friday, 12 September 2014

2014.09.12 - Nyhetsbrev

Bank ID 2.0 skal være klart i slutten av denne måneden. En brasiliansk nettavis ble misbrukt til brute force-angrep mot besøkendes hjemmerutere. Firefox 32 innfører Public Key Pinning for bedre beskyttelse mot mellommannsangrep. Cisco har en oppdatering som tetter sikkerhetshull i Cisco IMC.

Bank ID 2.0 klar om noen uker

Bank ID Norge AS melder at den nye løsningen for Bank ID skal være klar i slutten av denne måneden. Den nye løsningen baserer seg på HTML5 og javascript i stedet for java, og innebærer at svært mange brukere i Norge nå kan gå bort fra å ha java-plugin installert i nettleseren.
Referanser
http://www.tu.no/it/2014/09/11/java-fri-nettb[...]

Kompromiserte nettside ble brukt til å angripe hjemme-rutere

Den brasilianske nettavisen Estadão Política var nylig kompromittert og serverte ondsinnet kode til besøkende via skjulte iframes. Her ble det lastet kode for å kjøre brute force-angrep mot besøkendes hjemmerutere i den hensikt å endre DNS-oppsett og dermed ta kontroll over vedkommendes internettrafikk. Artikkelen viser hvordan Drive-by-angrep kan benyttes til mer enn å bare infisere enkelt-PC-er.
Referanser
http://blog.sucuri.net/2014/09/website-securi[...]

Firefox får støtte for Public Key Pinning

Firefox 32 får støtte for Public Key Pinning, en mekanisme som gjør det mulig for nettsteder å spesifisere hvilke rot-sertifikatutstedere (CA-er) som utsteder gyldige sertifikater for dem. Dersom sertifikatet som presenteres ved oppkobling ikke matcher det som er spesifisert av nettstedet vil nettleseren avslutte forbindelsen. Dette vil beskytte brukere mot mellommannsangrep i tillegg til å gi innehavere av nettsteder bedre kontroll.
Referanser
http://monica-at-mozilla.blogspot.no/2014/08/[...]

Svakhet i Cisco Integrated Management Controller (IMC)

En svakhet i Cisco IMC SSH-modulen på Cisco Unified Computing System E-Series Blade servere kan gjøre det mulig åmisbruke enheten til tjenestenekt-angrep. Cisco har gitt ut en oppdatering som fikser svakheten.
Anbefaling
Oppdater til nyeste patch fra Cisco
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
http://tools.cisco.com/security/center/conten[...]

Thursday, 11 September 2014

2014.09.11 - Nyhetsbrev

Google kommenterer lekkasjen med 5 millioner Gmail-adresser. Content Security Policy (CSP) Level 2 har blitt etablert. Phishingsider har begynt å bruke AES-kryptering.

Google kommenterer lekkasjen med 5 millioner Gmail adresser

Google har publisert en bloggpost der de beskriver deres arbeid rundt håndteringen av kompromitterte kontoer. De sier at under 2% av kontoene på listen som ble sluppet i går hadde gyldig brukernavn og passord for Google sine tjenester.

Google mener at informasjonen må komme fra en rekke ulike kilder. Trolig kommer noe fra phishing og andre kompromitterte nettsider der Google mail er registrert. Lekkasjen var altså ikke fra Google, men fra andre sider der Gmail-adresser har blitt brukt som login.
Referanser
http://googleonlinesecurity.blogspot.no/2014/[...]
http://arstechnica.com/security/2014/09/googl[...]

Content Security Policy (CSP) Level 2 har blitt etablert

Content Security Policy er en teknologi for å motvirke injisering av kode og cross-site-scripting i nettlesere. CSP level 2 har nå blitt etablert, og er nå kun basert på C++ i forhold til tidligere da det var basert på både Java og C++. Dette har gjort implementasjonen av det enklere og har også økt ytelsen.
Referanser
https://blog.mozilla.org/security/2014/09/10/[...]
http://www.w3.org/TR/CSP11/

Phishingsider har begynt å bruke AES-kryptering

Phishing-sider har nå begynt å bruke JavaScript AES (Advanced Encryption Standard) for å skjule phishing-innholdet på siden, sier Paul Wood fra Symantec. Siden overføres kryptert til klienten og bygges opp igjen av nettleseren før den vises.
Referanser
http://www.symantec.com/connect/blogs/fresh-p[...]
http://www.theregister.co.uk/2014/09/09/phish[...]

Wednesday, 10 September 2014

2014.09.10 - Nyhetsbrev

Adobe ute med oppdatering til Flash, Microsoft har sluppet sine månedlige oppdateringer og Google har oppdatert Chrome. Post- og teletilsynet skifter navn. 5 millioner Google kontoer med passord lekket.

Microsoft har sluppet oppdateringer for september

Microsoft slapp i går kveld 4 oppdateringer, som retter 42 svakheter i Microsoft Windows, Internet Explorer, .NET Framework og Lync Server.
En av oppdateringene er rangert som kritisk og omfatter Internet Explorer, med hele 37 av de 42 nevnte svakhetene. Oppdateringene bør installeres så fort som mulig, spesielt dersom du bruker Internet Explorer.
Referanser
http://blogs.technet.com/b/msrc/archive/2014/[...]

Adobe oppdaterer Flash Player

Adobe har sluppet oppdatering for Adobe Flash Player. Oppdateringen omfatter alle plattformer og retter 12 svakheter. Svakhetene er rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flas[...]

Google oppdaterer Google Chrome

Google har sluppet ny versjon av nettleseren Google Chrome. Den nye versjonen retter 4 svakheter hvorav en er rangert som "høy".
Referanser
http://googlechromereleases.blogspot.no/2014/[...]

Post- og teletilsynet skifter navn

Post- og teletilsynet (PT) kunngjorde i dag at det skal skifte navn til Nasjonal kommunikasjonsmyndighet. Det nye navnet gjelder fra nyttår.
Referanser
http://www.digi.no/930343/post-og-teletilsyne[...]

5 millioner Google-kontoer med passord lekket

En liste med 5 millioner Google-kontoer med tilhørende passord i klartekst skal være lekket. Det rapporteres at informasjonen skal være minst tre år gammel og for det meste gjelder russiske brukere. Det har i det siste vært flere tilsvarende lekkasjer i Russland.
Referanser
http://rt.com/news/186580-millions-google-acc[...]

Tuesday, 9 September 2014

2014.09.09 - Nyhetsbrev

Cyberspionasjegruppe sikter seg inn mot Mac OS X. Ny malware-kampanje har både Windows og Mac som mål.

Cyberspionasjegruppe sikter seg inn mot Mac OS X

En hacker-gruppe som tidligere har vært involvert i cyberspionasje mot det amerikanske forsvaret, har nå begynt å benytte seg av et bakdørs-program kjent som XSLCmd. Bakdøren er skrevet for Mac OS X.
Referanser
http://www.csoonline.com/article/2602956/secu[...]

Ny malware-kampanje har både Windows og Mac som mål

Threatpost har en artikkel om hvordan en ny malware-kampanje er rettet mot både både Windows og Mac. Annonsen generer en unik fil for hver bruker som blir forsøkt lurt. Malwaren pakkes sammen med et legitimt produkt. Kampanjen benytter seg ikke av svakheter for å få installert malwaren, men lurer i stedet brukeren.
Referanser
https://threatpost.com/kyle-and-stan-malverti[...]

Monday, 8 September 2014

2014.09.08 - Nyhetsbrev

Brian Krebs har publisert en artikkel med detaljer rundt Home Depot-kompromitteringen, og spor som linker den sammen med Target-kompromitteringen. Sucuri melder om et lag 7 DDoS-angrep som benyttet seg av 2000 kompromitterte webservere.

Home Depot rammet av samme malware som Target

Brian Krebs har publisert informasjon rundt kompromitteringen av Home Depot. Det er mange likheter med Target-kompromitteringen, noe som kan tyde på at det er de samme som står bak.
Referanser
http://krebsonsecurity.com/2014/09/home-depot[...]

2.000 kompromitterte web servere ble brukt under DDoS-angrep

Sucuri rapporterer at en av deres kunder skal ha blitt angrepet via et lag-7 DDoS-angrep i over en uke. Angrepet genererte rundt 5.000 HTTP-forespørsler hvert sekund. Sucuri meddeler at angrepet kom fra 2.000 forskjellige webservere. Mesteparten av serverne skal ha benyttet utdatert Apache, IIS og annen software som PHPMyadmin.
Referanser
http://blog.sucuri.net/2014/09/anatomy-of-200[...]

Friday, 5 September 2014

2014.09.05 - Nyhetsbrev

Phishing eposter rettet mot norsk oljebransje var formulert som hentelapper fra posten. Microsoft skriver blogginnlegg om sårbarheter. F-Secure skriver om Windows Phone 8.1 sin nye Wi-Fi Sense feature. Wordpress og Adobe kommer med oppdateringer og Microsoft forhåndsvarsler sine oppdateringer for september.

Phishing eposter som skulle hacke norsk oljebransje ble utformet som hentelapper fra posten

Det skal ha vært flere forskjellige eposter der noen av dem også inneholdt en falsk invitasjon til en energikonferanse. Mottaker ble i tilfellene beskrevet i artikkelen forsøkt lurt til å trykke på en link. Dette skriver DN i en artikkel i dag.
Referanser
http://www.dn.no/nyheter/2014/09/04/2159/IT/h[...]

Sikkerhetsbloggen til Microsoft skriver om hvordan sårbarheter blir utnyttet

Microsoft sin sikkerhetsblogg skriver om hvordan sårbarheter blir utnyttet, og årsakene til ekstern kodeeksekvering.
Referanser
http://blogs.technet.com/b/security/archive/2[...]

Wi-Fi sense på Windows Phone 8.1 deler Wi-Fi med venner

Windows Phone 8.1 skal i følge F-Secure komme med en ny tjeneste kalt Wi-Fi Sense. Denne skal gjøre det mulig å logge på trådløse nett automatisk, om det trådløse nettet tillater det. I tillegg til dette kan du dele din telefons Wi-Fi tilgang med venner på både Skype, Facebook og Outlook.com. Som F-Secure også nevner vil dette kunne by på sikkerhetsutfordringer hvis det er slik at en ansatt i en bedrift kan dele bedriften sitt trådløse nett med sine venner på Facebook.
Referanser
http://www.f-secure.com/weblog/archives/00002[...]

WordPress har gitt ut ny oppdatering

WordPress skal nå ha gitt ut en ny versjon, 3.9.2, som skal fikse flere svakheter. WordPress brukere som bruker 3.7.3 kommer til å bli oppdatert til 3.7.4 og 3.8.3 kommer til å bli oppdatert til 3.8.4. US-CERT og WordPress anbefaler at brukere som bruker eldre versjoner enn dette bør oppdatere til 3.9.2.
Referanser
http://wordpress.org/news/2014/08/wordpress-3-9-2/
https://www.us-cert.gov/ncas/current-activity[...]

Computerworld skriver i en artikkel at 8 av 10 lar seg lure av phishing-angrep.

Computerworld skriver i en artikkel at 8 av 10 lar seg lure av phishing-angrep. Personal-, finans og regnskapsmedarbeidere skal være de dårligste til å gjenkjenne disse populære angrepene. Det nevnes og at McAffe har registrert over 250 000 nye nettadresser til phising-sider det siste kvartalet.
Referanser
http://www.idg.no/computerworld/article290577.ece

Adobe kommer ut med nye oppdateringer for Adobe Reader og Acrobat

Adobe har publisert en notis på at det kommer ny oppdatering til Adobe Reader og Acrobat tirsdag den 9. september.
Referanser
http://helpx.adobe.com/security/products/read[...]

Microsoft gir ut forhåndsvarsel for oppdateringer i September

Microsoft har nå gitt ut forhåndsvarsel for oppdateringer som kommer til å bli utgitt den 9 september. I disse oppdateringene skal det være en kritisk og tre viktige oppdateringer. Den kritiske oppdateringen skal være til Internet Explorer som fikser en svakhet som gjorde det mulig å gjøre vilkårlig kode. De tre viktige oppdateringene skal være til blant annet Microsoft .NET Framework og Microsoft Lync Server.
Referanser
https://technet.microsoft.com/library/securit[...]

Thursday, 4 September 2014

2014.09.04 - Nyhetsbrev

Linux-systemer infiltrert og kontrollert i DDoS-botnet. NATO-ledelsen skal diskutere felles forsvar mot cyber-angrep.

NATO-ledelsen skal diskutere felles forsvar mot cyber-angrep

Denne uken skal NATO-ledelsen møtes, og vil blant annet diskutere muligheten for felles forsvar mot cyber-angrep. Det vil si at et cyber-angrep mot ett land, vil ses på som et angrep også mot de andre medlemslandene.
Referanser
https://www.gov.uk/government/topical-events/[...]
http://www.theregister.co.uk/2014/09/03/nato_[...]
http://www.nytimes.com/2014/09/01/world/europ[...]

Linux-systemer infiltrert og kontrollert i DDoS-botnet

Akamai Technologies advarer mot infeksjoner av IptabLes og IptabLex, som har spredt seg vha. Linux-baserte web-servere som er kompromiterte. Sårbarhetene som er utnyttet finnes gjerne i Apache Struts, Tomcat eller Elasticsearch. Angripere kan bruke sårbarhetene til å skaffe seg priviligert adgang og tillate ekstern pålogging. Dette har ført til at angriperene kan bruke systemene som et DDoS-botnet.
Referanser
http://www.net-security.org/secworld.php?id=17322

Wednesday, 3 September 2014

2014.09.03 - Nyhetsbrev

Virustotal blir brukt av hackere for å fin-tune malware. Oculus VR sin utviklerportal var åpen for SQL-injection og andre svakheter. Mozilla infører faste sertifikater og retter svakheter.

Mozilla infører faste sertifikater og retter svakheter

Mozilla har lukket seks sikkerhetshull i Firefox og Thunderbird. Firefox
har også fått støtte for faste sertifikater (sertifikat-pinning), i første omgang for Firefox sine egne websider og Twitter. Dette skal utvides etter hvert.
Referanser
https://blog.mozilla.org/security/2014/09/02/[...]
https://www.mozilla.org/security/known-vulner[...]

Virustotal benyttes også av hackere

Forsker skriver om hvordan han fant spor av hackere som bruker Googles antivirus verktøy, Virustotal, for å fin-tune malwaret sitt.
Referanser
http://www.wired.com/2014/09/how-hackers-use-[...]

Forsker lastet opp skript på Oculus VRs utviklerportal

Forsker skriver hvordan han lastet opp et web-shell på utviklerportalen til Oculus VR. Han oppdaget også to andre svakheter. Facebook betalte ut $25.000 for avsløringene.
Referanser
https://bitquark.co.uk/blog/2014/08/31/poppin[...]

Tuesday, 2 September 2014

2014.09.02 - Nyhetsbrev

Ny spesialenhet mot kyberkrim. Kraftbransjen stifter eget CERT og iCloud kan ha vært offer for hack.

Ny spesialenhet mot kyberkrim

En ny enhet i Europol, kalt Joint Cybercrime Action Taskforce (J-CAT), skal etterforske cyberkriminalitet på tvers av landegrensene.
Referanser
http://www.digi.no/930181/ny-spesialenhet-mot[...]
http://www.wired.co.uk/news/archive/2014-09/0[...]

ArsTechnica og The Guardian skriver om hvordan iCloud kan være opprinnelsen til lekkede kjendisbilder

ArsTechnica og The Guardian skriver i sine artikler om hvordan flere tegn kan tyde på at det er Apple sin tjeneste iCloud de nylig lekkede kjendisbildene stammer fra. Apples tjeneste for å lokalisere mistede enehter, Find My iPhone, har ikke hatt begrensninger i antall påloggingsforsøk. Dette skal ha blitt utbedret i går. Tjenesten krever heller ikke bruk av to-faktor autentisering, selv om brukeren har slått dette på for sin konto.
Referanser
http://arstechnica.com/security/2014/09/what-[...]

Kraftbransjen stifter eget CERT

Kraftbransjen har nå bestemt seg for å stifte et eget sikkerhetsselskap; Kraftcert, som skal hjelpe med å beskytte bransjen mot dataangrep. Hafslund, Statkraft og Statnett går sammen om å opprette selskapet som skal ha 3-4 ansatte.
Referanser
http://www.tu.no/kraft/2014/09/01/kraftbransj[...]

Monday, 1 September 2014

2014.09.01 - Nyhetsbrev

En gruppe kalt Syrian Malware Team skal ha satt i gang en bølge av cyberangrep ved bruk av en ny, mer sofistikert versjon av BlackWorm RAT. AlienVault advarer om et rammeverk for infisering av nettsteder og påfølgende kartlegging av besøkende.

Scanbox: Rammeverk for overvåking av besøkende til kompromitterte nettsteder.

AlienVault har en analyse av rammeverket Scanbox, som samler inn informasjon om besøkende til et gitt kompromittert nettsted, og sender det tilbake til sin kommando- og kontrolltjener. Informasjon som samles inn kan inkludere IP-adresse, lokasjon og cookie fra den besøkende, i tillegg til logg over tastetrykk som gjøres inne på websiden. Det kan også kartlegges hva slags programvare som er installert på PCen, spesielt sikkerhetsprogramvare. Artikkelen inneholder teknisk informasjon som kan benyttes til å verifisere om egne maskiner er berørt.
Referanser
http://www.alienvault.com/open-threat-exchang[...]

Syrisk hackergruppe angriper i skyggen av Syrian Electronic Army

I skyggen av angrep utført av Syrian Electronic Army (SEA), har en mer ukjent hackergruppe kalt Syrian Malware Team satt i gang en bølge med cyberangrep ved bruk av en ny, mer sofistikert versjon av BlackWorm RAT. Gruppen skal være knyttet til SEA.
Referanser
http://www.v3.co.uk/v3-uk/news/2362544/syrian[...]
http://www.fireeye.com/blog/technical/2014/08[...]