Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 31 October 2014

2014.10.31 - Nyhetsbrev

The Intercept tar en gjennomgang av programvaren Remote Control System laget av det italienske firmaet Hacking Team.

The Intercepts gjennomgang av "Remote Control System" av italienske "Hacking Team"

The Intercept har en gjennomgang av programvaren "Remote Control System" laget av det italienske firmaet "Hacking Team". Dette er programvare som brukes av myndigheter og andre for å overvåke personer av interesse. Programvaren brukes til mye av det samme som "FinFisher" som nylig har blitt omtalt.
Referanser
https://firstlook.org/theintercept/2014/10/30[...]

Thursday, 30 October 2014

2014.10.30 - Nyhetsbrev

Drupal advarer brukerne om at løsninger som ikke ble oppgradert innen 7 timer etter patch var sluppet 15. oktober, må antas å være kompromittert. Forskere har greid å overføre data mellom en PC-skjerm og en mobil over FM-båndet. Piratebay-grunnlegger Gottfrid Svartholm funnet skyldig. Svakhet funnet i Wget.

Forskere overfører data mellom PC-skjerm og mobil via FM

Forskere skal ha funnet en ny metode for å sende ut data fra isolerte nettverk. Ved hjelp av skjermkort og skjerm greier de å generere radiosignaler på FM-båndet, som de ved hjelp av en infisert mobiltelefon greier å motta data fra. De skal ha fått dette til ved at mobilen var innenfor 7 meter fra PC, med en effektiv bitrate på 13-60 bytes per sekund.
Referanser
http://cyber.bgu.ac.il/content/how-leak-sensi[...]

Oppdatering: Drupal advarer brukere

Oppdatering til tidligere omtalt sårbarhet i Drupal. Drupal advarer nå brukere om at dersom de ikke hadde oppdatert til versjon 7.32 innen 7 timer etter at det første varselet kom den 15. oktober, så bør de anta at systemene deres er kompromitert.
Referanser
https://www.drupal.org/PSA-2014-003

Piratebay-grunnlegger Gottfrid Svartholm Warg funnet skyldig i hacking

Gottfrid Svartholm Warg ble torsdag funnet skyldig i hacking, som skal ha ført til at han fikk tilgang til det Danske politiets kriminalregister, førerkortregisteret og registeret over etterlyste personer i Schengen.
Referanser
http://www.vg.no/nyheter/utenriks/datakrimina[...]

Svakhet i Wget kan brukes til å skrive vilkårlige filer

Det er funnet en svakhet i Wget, som gjør det mulig å skrive vilkårlige filer, kataloger og symbolske linker. Dette skal være mulig ved å misbruke måten Wget håndterer nedlasting av kataloger rekursivt. Oppdatering som fikser svakheten er sluppet.
Anbefaling
Oppgrader
Referanser
https://bugzilla.redhat.com/show_bug.cgi?id=1[...]
http://lists.gnu.org/archive/html/bug-wget/20[...]

Wednesday, 29 October 2014

2014.10.29 - Nyhetsbrev

Operation SMN slipper mer detaljer rundt gruppen Axiom. US CERT skriver mer om Black Energy. Russiske hackere skal ha kompromittert nettverk i Det hvite hus. Russland linket til cyberspionasje fra 2007.

Operation SMN slipper mer detaljer rundt gruppen Axiom

En gruppe sikkerhetsselskaper har sluppet detaljer rundt en gruppering de kaller Axiom. Dette er en gruppering som i over seks år har drevet spionasje over Internett. Kinesiske myndigheter står antakeligvis bak grupperingen.
Referanser
http://novetta.com/blog/2014/10/operation-smn[...]
http://novetta.com/operationsmn

US CERT skriver mer om Black Energy

US CERT har sluppet mer informasjon om Black Energy. Denne grupperingen jobber med å skaffe seg info rundt industrielle styringssystemer med tilhørende nettverk og har også vært aktive i Norge. Over 250 bedrifter i olje/kraft-bransjen ble tidligere i år forsøkt kompromittert. US CERT opplyser at angrepene fortsatt pågår.
Referanser
http://www.theregister.co.uk/2014/10/29/black[...]
https://ics-cert.us-cert.gov/alerts/ICS-ALERT[...]

Russiske hackere skal ha kompromittert nettverk i Det hvite hus

Hackere skal ha klart å kompromittere et ugradert nettverk i Det hvite hus. Det mistenkes at Russere kan stå bak. Hendelsen skjedde for to til tre uker siden og etterforskes.
Referanser
http://news.sky.com/story/1362523/white-house[...]

Russland linket til cyberspionasje fra 2007

FireEye har utgitt en ny rapport som avdekker en stor spionasjekampanje som skal være finansiert av Russland. Gruppen bak kampanjen, som FireEye kaller APT28, skal ikke ha vært interessert i finansiell informasjon, men heller drevet etterretning om forsvars- og geopolitiske forhold som gagner Russland. Det norske forsvaret blir antatt å ha vært et av målene på grunn av domenet forsvaret[․]co som er brukt av gruppen.
Referanser
http://www.securityweek.com/fireeye-links-rus[...]
http://www.fireeye.com/resources/pdfs/apt28.pdf

Tuesday, 28 October 2014

2014.10.28 - Nyhetsbrev

Shellshock over SMTP. Svakhet i strings-verktøyet kan skape problemer for sikkerhetsforskere. Artikkel avslører SCADA-leverandører som ble kompromittert av Energetic Bear. Amerikanere er mest bekymret for cyberkriminalitet.

Shellshock over SMTP

Det har blitt oppdaget en ny vektor for utnyttelse av Shellshock svakheten som bruker SMTP protokollen til å spre og infisere mailservere.
Referanser
http://www.zdnet.com/shellshock-attacks-mail-[...]

Svakhet i 'strings' verktøyet kan skape problemer for sikkerhetsforskere

En sikkerhetsingeniør hos Google har oppdaget svakheter i Linux-verktøyet 'strings' som brukes til å hente ut strenger fra binære/eksekverbare filer. Svakheten kan skape problemer for sikkerhetsanalytikere som ofte benytter seg av verktøyet til å analysere potensiell malware.
Referanser
http://www.computerworld.com/article/2838988/[...]

Artikkel avslører SCADA-leverandører som ble kompromittert av Energetic Bear

En bloggpost lister opp de tre SCADA-leverandørene som ble kompromittert tidligere i år. Angriperne la inn en Trojaner kalt Havex i programvaren fra disse leverandørene.
Referanser
http://www.netresec.com/?page=Blog&month=2014[...]

Amerikanere er mest bekymret for cyberkriminalitet

En ny undersøkelse viser at amerikanere er mer bekymret for cyberkrim enn vanlig kriminalitet. De to sakene som flest er bekymret for er kredittkortsvindel og innbrudd i PC eller nettbrett. Innbrudd i eget hus er på plass nummer tre.
Referanser
http://www.forbes.com/sites/niallmccarthy/201[...]

Monday, 27 October 2014

2014.10.27 - Nyhetsbrev

Akamai og Damballah advarer om sterk økning i hhv DDoS-angrep og POS-malwareinfeksjoner den siste tiden.

Akamai's State of the Internet-rapport for siste kvartal er ute

Akamai har utgitt sin rapport over sikkerhetshenvendelser for tredje kvartal 2014. Det rapporteres om stor økning i DDoS-aktivitet, både hva gjelder antall angrep, størrelse og varighet på angrepene. Angrep på over 100 gbps forekom ikke for et år siden, men er nå i ferd med å bli vanlig. Rapport og pressemelding kan leses via linkene nedenfor.
Referanser
http://www.akamai.com/html/about/press/releas[...]
http://www.stateoftheinternet.com/security-report

Kraftig økning i POS-malwareinfeksjoner

Damballa melder at infeksjoner av POS (kassassytemer)-malwaren Backoff økte med 57% fra August til September. Antallet infeksjoner økte ytterligere i løpet av september. Ifølge Damballa tyder økningen på at malwaren klarer å forbigå dagens beskyttelsesmekanismer. Dette er et problem som er mest utbredt i USA.
Referanser
https://www.damballa.com/q3-state-infections-[...]
http://www.darkreading.com/attacks-breaches/b[...]

Friday, 24 October 2014

2014.10.24 - Nyhetsbrev

Trend Micro skriver om APT-operasjonen Pawn Storm, som tar i bruk avanserte metoder for å eksfiltrere informasjon og unngå deteksjon. Joshua Pitts har en bloggpost som demonstrerer hvordan en Tor-node patchet kjørbare filer som passerte den. 0-dagssvakheten i Powerpoint utnyttes nå i spam-kampanjer. Microsoft lager støtte for Tofaktor-autentisering i Windows 10. Apple har utgitt sikkerhetsoppdatering for QuickTime.

Tor Exit-node patcher passerende binærkode

Det er oppdaget en Tor exit-node som automatisk patcher binære filer som går gjennom den. Dette viser at det nå begynner å bli viktig å sørge for at all programvare blir lastet ned via krypterte forbindelser slik at patching ikke er mulig. Dette kan gjennomføres også på det "åpne" nettet av en aktør med store ressurser.
Referanser
http://www.leviathansecurity.com/blog/the-cas[...]

Operasjon Pawn Storm: Avansert APT-kampanje mot USA og NATO-allierte

Trend Micro har publisert en rapport om cyberspionasje-operasjonen Pawn Storm, som ser ut til å rette seg mot blant annet amerikanske myndigheter, allierte og media. Metodene som har vært benyttet involverer spear phishing, utstrakt bruk av lookalike-domenenavn og en infrastruktur der kommando-og-kontroll-tjeneren blir tatt av nett etter én gangs bruk, for å unngå deteksjon. Mål og timing for operasjonen kan tyde på at russiske interesser står bak.
Referanser
http://www.darkreading.com/attacks-breaches/u[...]
http://blog.trendmicro.com/trendlabs-security[...]

PowerPoint 0-dagssvakhet utnyttes i spam-kampanjer

I forrige uke ble det oppdaget en 0-dagssvakhet i Microsoft PowerPoint. Denne blir nå utnyttet i stor skala i form av ondsinnede Powerpoint-vedlegg i spam-utsendelser.

SpiderLabs har analysert en spam-mail og identifisert binær kode som en del av Powepoint-filen. Koden kontakter en kommand-og-kontroll-tjener som igjen serverer malware som vil bli kjørt på mottakerens maskin.
Referanser
http://blog.spiderlabs.com/2014/10/powerpoint[...]

Tofaktor-autentisering innebygd i Windows 10

Microsoft vil bygge inn støtte for PIN eller biometrisk input, som for eksempel fingeravtrykk, som sekundær autentiseringsfaktor i neste utgave av Windows.
Referanser
http://www.itnews.com.au/News/397121,microsof[...]
http://blogs.windows.com/business/2014/10/22/[...]

Apple utgir sikkerhetsoppdatering for QuickTime

Apple gir ut oppdatering for QuickTime til Windows 7, Vista, XP SP2 eller senere versjoner. Oppdateringen patcher alvorlige svakheter.
Referanser
https://support.apple.com/kb/HT6493

Thursday, 23 October 2014

2014.10.23 - Nyhetsbrev

Svakhet i nøkkelhåndtering i Samsung Nox. 1.2 millioner feilkonfigurerte rutere er sårbare gjennom mulighet for ekstern NAT-PMP konfigurering. FBI ønsker seg bakdør i Android og iOS. Google implementerte 14 oktober støtte for Universial 2nd Factor autentisering.

Svakhet i nøkkelhåndtering i Samsung Knox


En blogg har skrevet om en svakhet i nøkkelhåndtering i Samsungs sikkerhetskomponent for Android kalt Knox. Nøkkelen genereres ut fra komponenter som en angriper kan få tak i.
Referanser
http://mobilesecurityares.blogspot.de/2014/10[...]

Hundretusener av rutere skal være sårbare mot kapring


I følge Rapid7 Labs skal det være 1.2 millioner rutere og brannmurer for små bedrifter og hjemmenettverk som er sårbare for kapring gjennom bruk av NAT-PMP. De skal ha oppdaget at disse enhetene er feilkonfigurerte slik at det er gitt lov for brukere på internett å konfigurere NAT-PMP utenfra, som igjen bestemmer hvordan nettverkstrafikk går gjennom ruteren.
Referanser
http://www.theregister.co.uk/2014/10/22/home_[...]
https://community.rapid7.com/community/metasp[...]

FBI ønsker bakdør i Android og iOS


Kryptering av mobile håndsett medfører vanskeligheter for FBI. Både Apple og Google krypterer nå mobiltelefoner som standard. FBI kan dermed ikke få tilgang til innholdet i beslaglagte mobiler. Etter at møter med Apple og Google ikke har ført frem, går FBI nå til kongressen for å endre regelverket slik at de fortsatt lett skal få tilgang til innholdet.
Referanser
http://www.digi.no/931051/fbi-vil-ha-bakdor-i[...]

Google kontoer støtter nå hardware-tokens


Google sine tjenester støtter nå hardware-tokens for generering av passord. Google implementerte den 14 oktober U2F (Universal 2nd Factor) standarden, som er en fysisk USB-basert andrefaktors innloggingskomponent. Nøkkelen fungerer kun etter at nettsiden er bekreftet å være en av Google sine sider. Dette skal i tillegg gjøre det vanskeligere å utføre phishing-angrep.
Referanser
http://googleonlinesecurity.blogspot.no/2014/[...]
http://krebsonsecurity.com/2014/10/google-acc[...]

Wednesday, 22 October 2014

2014.10.22 - Nyhetsbrev

En fersk svakhet i Adobe Flash Player har blitt innlemmet i et kjent exploit-kit kjent under navnet Fiesta.

Microsoft har publisert en sikkerhetsveiledning angående en svakhet i Microsoft Office.

Fersk svakhet i Adobe Flash Player innlemmet i kjent exploit-kit

14. oktober ga Adobe ut en patch som tettet en alvorlig svakhet i Adobe Flash Player (CVE-2014-0569). Nå skal støtte for utnyttelse av denne svakheten allerede ha blitt lagt inn i et kjent og utbredt exploit-kit kalt Fiesta.
Referanser
http://news.techworld.com/security/3581866/on[...]

Microsoft har publisert en sikkerhetsveiledning angående svakhet i Microsoft Office

Microsoft har publisert en sikkerhetsveiledning angående en svakhet i Microsoft Office. Svakheten kan ved vellykket utnyttelse føre til ekstern kode eksekvering under same rettigheter som brukeren, og skal ha blitt observert i målrettede angrep. Microsoft har også pushet en midlertidig Fix-it løsning.
Referanser
https://technet.microsoft.com/library/securit[...]
https://support.microsoft.com/kb/3010060

Tuesday, 21 October 2014

2014.10.21 - Nyhetsbrev

Apple slipper iOS 8.1. Kinesiske myndigheter utfører Man-in-the-middle angrep mot iCloud-brukere. Målrettede skadeannonser mot forsvarsselskaper.

Apple slipper iOS 8.1

iOS har sluppet iOS versjon 8.1. Denne inneholder sammen med nye features også en del sikkerhetsfikser.
Referanser
https://support.apple.com/kb/HT6541
http://arstechnica.com/apple/2014/10/apple-re[...]

Kinesiske myndigheter utfører "Man-in-the-middle"-angrep mot iCloud-brukere

GreatFire.org, en gruppe som ser på hva den kinesiske regjeringen sensurerer, rapporterer at den kinesiske regjeringen utfører et "Man-in-the-middle" angrep mot brukere som prøver å nå iCloud. Dette blir utført via å bruke brannmuren som står mellom Kina og resten av internett (satt opp av den kinesiske regjeringen for å kunne sensurere internett) til å sende alle som prøver å nå iCloud til deres falske iCloud side.

Den falske iCloud-nettsiden bruker et selvsignert SSL-sertifikat. Sertifikatet er ikke godkjent og brukeren vil bli advart dersom han bruker Chrome eller Firefox. Om man derimot bruker Mac OS X sin innebygde iCloud-login, vil brukeren ikke få advarselen og sende brukernavn og passord rett til kinesiske myndigheter. Brukere som bruker den mest populære kinesiske nettleseren vil heller ikke få noe advarsel.

Kinesiske myndigheter har også gjennomført tilsvarende angrep mot tjenester fra Google, Microsoft og Yahoo tidligere.

For mer detaljer, se de to første referansene nedenfor. (arstechnica og theregister) For litt mer tekniske detaljer, se den siste referansen. (netresec).
Referanser
http://arstechnica.com/security/2014/10/chine[...]
http://www.theregister.co.uk/2014/10/20/watch[...]
http://www.netresec.com/?page=Blog&month=2014[...]

Målrettede skadeannonser mot forsvarsselskaper

Sikkerhetsleverandøren Invincea har oppdaget flere tilfeller av at personer innen forsvar- og romfartselskaper har blitt servert ondsinnet annonser som kun blir vist til dem, med bakgrunn i informasjon annonseselskapene har registrert om brukere på Internett.

Disse ondsinnede annonsene sender personer til sider som har blitt hacket, hvor de så prøver å installere malware på maskinen. I et eksempel fra Invicea, ble en person som jobbet for en forsvarsentreprenør sendt til en side via en annonse som hadde et exploit kit. Dette exploit kittet prøvde å utnytte en svakhet i Microsoft Silverlight for å installere malware på maskinen.
Referanser
http://www.computerworld.com/article/2834927/[...]

Monday, 20 October 2014

2014.10.20 - Nyhetsbrev

I følge Aftenposten er Regjeringens datasystemer utdatert og usikkert, og Apple oppdaterer.

Apple oppdaterer flere produkter

Apple har oppdatert eldre versjon av OS X, samt iTunes (for Windows). Disse retter opp feil/svakheter som kan bli utnyttet til f.eks kodeeksekvering. Også SSLv3 og Shellshock-svakheten er fikset i oppdateringen.
Referanser
https://support.apple.com/kb/HT6495
http://support.apple.com/kb/HT1222
https://isc.sans.edu/forums/diary/Apple+Updat[...]

Regjeringens datasystemer er foreldet og usikre

Aftenposten har i dag en artikkel om foreldet og usikre datasystemer i Regjeringen. E-post er ofte utilgjengelig og de bruker eldre og usikre applikasjoner, blant annet det som beskrives som eldgammel versjon av Internet Explorer.
Referanser
http://www.aftenposten.no/nyheter/iriks/Styre[...]

Friday, 17 October 2014

2014.10.17 - Nyhetsbrev

OpenSSL har nå gitt ut en oppdatering for Poodle-sårbarheten, og Apple har gitt ut ny versjon av OS X Yosemite.

OpenSSL har gitt ut oppdatering for å fikse "Poodle"-sårbarheten

Sårbarheten som vi har snakket om i de siste to nyhetsbrevene skal nå ha blitt fikset i OpenSSL.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
http://threatpost.com/openssl-releases-patch-[...]
https://www.openssl.org/news/secadv_20141015.txt

Apple har gitt ut Yosemite v10.10

Apple har nå lansert Yosmeite v10.10 som fikser en god del sikkerhets hull i Yosmeite, blant annet hvor angripere kan eksekvere kode på systemet fra eksternt ståsted.
Anbefaling
Oppdater gjeldende systemer.
Referanser
http://support.apple.com/kb/HT6535

Thursday, 16 October 2014

2014.10.16 - Nyhetsbrev

Oppdatert informasjon om SSLv3 svakhet. Fireeye, Microsoft og Cisco samarbeider for å ta ned Kinesisk hackergruppe.

Oppdatert teknisk informasjon om hvordan man kan deaktiverte SSLv3 på forskjellige plattformer

I gårsdagens nyhetsbrev ble det skrevet om en alvorlig sårbarhet i SSLv3, kalt "Poodle". Vedlagte referanse tar for seg hvordan en kan skru av SSLv3 i forskjellige klienter og servere.
Referanser
http://circl.lu/pub/tr-28/

FireEye, Microsoft og Cisco har startet samarbeid for å ta ned hacker-gruppe

FireEye, Microsoft og Cisco har startet samarbeid for å ta ned hacker-gruppe som skal befinne seg i Kina, og som siden 2010 har angrepet finans-, utdannings-, regjerings- og politikk-samfunn. Hacker-gruppen skal ha brukt blant annet Mourdoor (en derviat av det kjente Gh0st RAT verktøyet) , som er et verktøy som brukes for å få ekstern tilgang.
Referanser
http://www.theregister.co.uk/2014/10/15/china[...]

Kritisk sårbarhet i Drupal

Det er oppdaget en kritisk sårbarhet i publiseringssystemet Drupal. Dette systemet brukes for å administrere innhold på millioner av webservere. Svakheten kan utnyttes til å ta kontroll over sårbare systemer uten å logge inn og utføres ved hjelp av SQL-injection. Ironisk nok ligger sårbarheten i en del av systemet som er laget for å forhindre SQL-injection.
Anbefaling
Oppgrader til versjon 7.32 eller patch sårbarheten selv hvis man ikke kan oppgradere.
Referanser
https://www.sektioneins.de/en/blog/14-10-15-d[...]
https://www.drupal.org/SA-CORE-2014-005
http://www.zdnet.com/sql-injection-flaw-opens[...]
http://

Wednesday, 15 October 2014

2014.10.15 - Nyhetsbrev

Microsoft har sluppet 8 oppdateringer for oktober, deriblant MS14-060 som fikser gårsdagens omtalte zero-day svakhet i Office.

Google har avslørt en alvorlig sårbarhet for SSLv3, kalt "Poodle". Svakheten kan gjøre det mulig for en angriper å utføre et "Mannen-I-Midten" angrep mot en SSLv3 kryptert forbindelse, og således lese innholdet.

Oracle har sluppet oppdateringer for tredje kvartal, som fikser hele 154 svakheter og bugs i en rekke produkter.

Adobe oppdaterer Flash Player og ColdFusion.

Microsoft har sluppet oppdateringer for oktober

Microsoft slapp i går kveld 8 oppdateringer som retter 24 svakheter i Windows, Office, .NET Framework, .ASP.NET og Internet Explorer. Tre av oppdateringene er rangert som kritiske og fem som viktige. MS14-060 fikser gårsdagens omtalte zero-day svakhet i Office som skal ha blitt benyttet i angrep mot bl.a. NATO og Ukraina i august 2014. Det skal også nevnes at MS14-058 fikser to andre svakheter som også skal ha blitt benyttet i målrettede angrep en viss tid. Mer info om dette under.
Referanser
https://technet.microsoft.com/library/securit[...]
http://www.fireeye.com/blog/technical/targete[...]
http://blog.crowdstrike.com/crowdstrike-disco[...]

Adobe oppdaterer Flash Player

Adobe har sluppet oppdatering for Flash Player. Oppdateringen omfatter alle plattformer og retter tre svakheter rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flas[...]

Oracle har sluppet oppdateringer for tredje kvartal

Oracle har publisert oppdateringer for Oktober. Oppdateringene, rangert som kritiske, retter 154 svakheter og omfatter en rekke produkter bl.a. Java, Oracle Database og Oracle Fusion Middleware.
Referanser
http://www.oracle.com/technetwork/topics/secu[...]
https://blogs.oracle.com/security/entry/octob[...]

Adobe oppdaterer ColdFusion

Adobe har sluppet en "Hotfix" oppdatering for ColdFusion. Oppdateringen omfatter alle plattformer og retter tre svakheter rangert som viktige.
Referanser
http://helpx.adobe.com/security/products/cold[...]

Google avslører sårbarhet i SSL v.3.0

Google har avslørt en sårbarhet, som har fått kallenavnet "Poodle", for SSL 3.0 som gjør det mulig for en angriper med tilgang til trafikken å lese innholdet i en SSL 3.0-sikret tilkobling. Til tross for at SSL 3.0 er en 15 år gammel protokoll er svakheten alvorlig, på grunn av at de fleste nettlesere faller tilbake på SSL 3.0 ved mislykkede forsøk på å bruke nyere SSL (TLS)-versjoner. En angriper kan derfor forårsake en tilkoblingsfeil og dermed tvinge nettleseren ned til den sårbare versjonen.

Iflg. Google er èn måte å beskytte seg på å deaktivere SSL 3.0. Dette kan imidlertid skape en del kompatibilitetsproblemer. Derfor anbefales det heller å benytte seg av nettlesere/applikasjoner som støtter mekanismen TLS_FALLBACK_SCSV. I praksis anser vi sannsynligheten for at man blir angrepet av denne svakheten som liten, da angriperen trenger tilgang til den krypterte trafikken. Det gjelder som vanlig å holde seg unna usikrede trådløse nettverk. En annen angrepsvektor er via kompromitterte hjemmeroutere.

Både Google og FireFox har opplyst at de planlegger å droppe støtte for SSL v3.0 i løpet av få måneder.
Referanser
http://googleonlinesecurity.blogspot.no/2014/[...]
https://www.imperialviolet.org/2014/10/14/poo[...]
https://www.openssl.org/~bodo/ssl-poodle.pdf

Tuesday, 14 October 2014

2014.10.14 - Nyhetsbrev

Zero-day exploit mot Ukraina og Nato. Hacker prøver å tjene penger på falsk Dropbox-hack. Rykter om snarlig offentliggjøring av svakhet i SSL 3.0.

Rykter om snarlig offentliggjøring av svakhet i SSL 3.0

Det går rykter om at det er oppdaget en alvorlig svakhet i SSL 3.0. Det skal ha gått ut meldinger om svakheten til leverandører for å forberede patching. Mer detaljer skal muligens gjøres kjent senere i dag eller i morgen. Det anbefales uansett å oppgradere fra SSL til TLS.
Referanser
http://www.theregister.co.uk/2014/10/14/nasty[...]

Zero-day exploit mot Ukraina og Nato

Firmaet iSight har oppdaget at hackere (mest sannsynlig Russere) har brukt en zero-day svakhet i Microsoft Office for å spre trojaneren BlackEnergy i Ukraina. Den nye svakheten har blitt brukt siden August. Microsoft gir ut en patch for svakheten i kveld, MS14-060.
Referanser
http://www.darkreading.com/russian-cyberspies[...]
http://arstechnica.com/security/2014/10/suspe[...]

Hacker prøver å tjene penger på falsk Dropbox-hack

I natt ble det gitt ut en del passord på Pastebin. Passordene ble påstått å skulle være fra Dropbox, men dette viser seg å ikke stemme. Noen av brukernavn- og passord-parene skal ha fungert på Dropbox i en kort periode. Hackeren, som påstår at dataene stammer fra Dropbox, gir ut passordlister i puljer. I skrivende stund er det gitt ut 3 slike lister, tilsammen rundt 600 email og passord. Etter hvert som det betales mer bitcoins til hackeren, har han lovet å slippe flere passord.

Dropbox opplyser at de har ikke blitt kompromittert og at kontoene som har blitt lekket har vært fra tredjeparts sider/programmer. Mange av disse fungerer på Dropbox siden samme passord ofte brukes på flere tjenester. Dropbox forklarer også at de har nullstilt alle passordene som har blitt lekket.

Husk å ikke bruk samme passord på flere steder. Bruk to-faktor autentisering på viktige tjenester.
Referanser
http://www.cnet.com/news/hackers-hold-7-milli[...]
http://arstechnica.com/security/2014/10/7-mil[...]
http://lifehacker.com/hundreds-of-dropbox-pas[...]

Monday, 13 October 2014

2014.10.13 - Nyhetsbrev

Datakriminelle kan destabilisere økonomien. Patche-tirsdag for oktober blir større enn vanlig.

Patche-tirsdag for oktober blir større enn vanlig

Patche-tirsdag for oktober vil i tillegg til Adobe og Microsoft inneholde en hel rekke oppdateringer for Oracle. Oracle, som kun slipper oppdateringer kvartalsvis, vil denne gang rette opp i 155 svakheter fordelt på deres produkter. Bare i Java vil det bli patchet 25 svakheter.
Referanser
http://nakedsecurity.sophos.com/2014/10/12/pa[...]

Datakriminelle kan destabilisere økonomien

En av Storbritannias ledende finanssjefer spår at den neste store finanskrisen kan oppstå på grunn av datakriminelle som gjennomhacker banker og på den måten ryster og skaper uro i hele finansverden. Sist uke kom det fram at inntrengere hadde kontroll over mer enn 90 servere hos JP Morgen.
Referanser
http://www.telegraph.co.uk/finance/newsbysect[...]

Friday, 10 October 2014

2014.10.10 - Nyhetsbrev

NSM, E-tjenesten og PST får økte midler for å møte et skjerpet trusselbilde. Forhåndsvarsel for Microsoft-oppdateringer i Oktober. Hackerkrig mellom India og Pakistan. Symantec deles i to. SFTP-sårbarhet i tidligere versjoner av OpenSSH.

PST, E-tjenesten og NSM får økt busjett i 2015.

I forslaget til nytt statsbudsjett heter det blant annet at "NSM er foreslått styrket slik at de skal være bedre i stand til å varsle og koordinere håndtering av alvorlige dataangrep, gjennomføre flere årlige tilsyn, styrke arbeidet med objektsikkerhet og videreutvikle og fortsatt styrke kompetansemiljøene i forebyggende sikkerhet [...] Arbeidet med å styrke NSMs rolle som det ledende nasjonale fagmiljøet for IKT-sikkerhet i Norge videreføres i 2015.»
Referanser
http://www.aftenposten.no/nyheter/iriks/Etter[...]

Forhåndsvarsel for Microsoft-oppdateringer i Oktober

Microsoft vil gi ut ni oppdateringer tirsdag 14. oktober. Tre av oppdateringene er klassifisert som kritiske, fire viktige og én middels. Oppdateringene gjelder Windows, Internet Explorer, Office, .NET Framework og ASP.NET. Oppdateringene skal blant annet fikse svakheter som gjør det mulig å eksekvere vilkårlig kode i Internet Explorer, .NET Framework og Windows.
Referanser
https://technet.microsoft.com/library/securit[...]

Hackerkrigen mellom India og Pakistan intensiveres

Det er en spent situasjon mellom India og Pakistan. Dette fører til at hackere fra begge sider hacker og planter propaganda på motpartens websider.
Referanser
http://timesofindia.indiatimes.com/tech/tech-[...]

Symantec splittes i to selskaper

Symantec kunngjorde torsdag kveld at virksomheten skal splittes i to selskaper, som skal fokusere på henholdsvis sikkerhet og informasjonshåndtering.
Referanser
http://www.digi.no/930845/symantec-deles-i-to
http://arstechnica.com/business/2014/10/syman[...]

Sårbarhet i OpenSSH 6.6 eller lavere for 64bit Linux

SFTP i tidligere versjoner av OpenSSH tillater brukere å traversere hele filsystemet i Linux med mindre det kjøres i Chroot-oppsett. Dette inkluderer procfs, som lar brukeren lese fra og skrive til minne, og dermed kjøre vilkårlig kode via SFTP. OpenSSH har gitt ut versjon 6.7 som utbedrer problemet.
Anbefaling
OpenSSH 6.7 ble utgitt for få dager siden og løser problemet. Virksomheter som benytter SFTP over OpenSSH 6.6 eller lavere anbefales å enten ta i bruk ChrootDirectory i SSH-oppsettet eller oppgradere så snart som mulig.
Referanser
http://seclists.org/fulldisclosure/2014/Oct/35

Thursday, 9 October 2014

2014.10.09 - Nyhetsbrev

Arbor med Q3-rapport om DDoS-angrep. Feilkonfigurasjon på serverene til MBIA gjorde at kundeinformasjon lå offentlig tilgjengelig.

Arbor med Q3-rapport om DDoS-angrep

Arbor har sluppet sin kvartalsrapport om DDoS-angrep samlet inn fra sine systemer over hele verden. De ser at angrepene stadig øker i størrelse og at reflection-angrep fortsatt er mest benyttet. De observerer også at angrep ved hjelp av protokollen SSDP har blitt populært de siste ukene. Det vi ser hos TSOC stemmer godt med konklusjonene til rapporten.
Referanser
http://www.arbornetworks.com/news-and-events/[...]

MBIA's feilkonfigurasjon på serverene lot kundeinformasjon ligge åpent

MBIA's feilkonfigurasjon på serverne lot kundeinformasjon ligge åpent ute på nettet. Etter å ha blitt informert om problemet, tok MBIA ned nettsiden som det gjaldt (mbiaweb.com).
Referanser
http://www.darkreading.com/advanced-threats/m[...]

Wednesday, 8 October 2014

2014.10.08 - Nyhetsbrev

Oracle ute med ny oppdatering for Bash-svakheter. USA mener de kan hacke utenlandske servere uten arrestordre. Det viser seg også at det amerikanske folk blir mer tolerante ovenfor større dataangrep etter at det har vært svært mange av dem. Australsk nyhetskanal ble tatt av luften grunnet malware-angrep. Kriminelle bruker malware til å hente ut penger fra minibanker uten bruk av kredittkort.

Amerikanerne viser mindre interesse for større dataangrep

Dette skriver Slate Magazine i en artikkel i dag. De siste hendelsene mot JPMorgan og Target burde være nok til å skape bekymring. Fjorårets angrep mot Target førte til at sensitiv informasjon til 70 millioner personer kom på avveie noe som den gang gikk hardt utover ryktet deres. Nå kan det vise seg at amerikanerne begynner å bli vant til angrep og at denne typen nyheter ikke lengre er like interessant. JPMorgan angrepet hadde også store konsekvenser for kundenes informasjon, men likevel gikk aksjene til selskapet opp med hele 2,7 prosent forrige fredag.
Referanser
http://www.slate.com/blogs/future_tense/2014/[...]

Den australske nyhetskanalen ABC News 24, tatt av luften pga malware mail angrep

Den Australske nyhetskanalen ABC News 24 ble tirsdag morgen tatt av luften pga. malware mail som førte til tekniske vanskeligheter. Mailen lurer brukere til å laste ned crypto-ransomware.
Referanser
http://www.theguardian.com/media/2014/oct/07/[...]

Oracle ute med ny oppdatering for Bash-svakheter

Oracle kom tirsdag 7. oktober ut med ny oppdatering for Bash-svakhetene CVE-2014-7169.
Referanser
http://www.oracle.com/technetwork/topics/secu[...]

Malware som infiserer minibanker

Et malware kalt Tyupkin lar kriminelle ta ut penger fra minibanker uten bruk av kredittkort. Malwaren installeres manuelt gjennom bruk av en CD og krever fysisk tilgang til minibanken.
Referanser
http://threatpost.com/tyupkin-malware-infects[...]

USA mener de kan hacke utenlandske servere uten arrestordre

I forbindelse med rettsaken mot Ross Ulbricht, som ble tatt for å lede den ulovlige narkotika-nettsiden The Silk Road, uttaler USAs justisdepartement at de kan hacke seg inn på utenlandske servere uten arrestordrer.
Referanser
http://arstechnica.com/tech-policy/2014/10/us[...]

Tuesday, 7 October 2014

2014.10.07 - Nyhetsbrev

NSM med kvartalsrapport. Yahoo-servere kompromittert. Svakhet i feilhåndteringssystemet Bugzilla.

NSM med kvartalsrapport

NSM har sluppet kvartalsrapport for andre og tredje kvartal. I disse to kvartalene håndterte NSM nesten like mange alvorlige dataangrep som i hele 2013. Både norske banker og energisektoren ble utsatt for omfattende angrep.
Referanser
http://www.nsm.stat.no/aktuelt/kvartalsrappor[...]

Yahoo-servere kompromittert

Yahoo bekrefter i følge The Register at angripere greide å ta kontroll over en del av deres servere. Svakheten skal imidlertid ikke ha vært av samme type som ShellShock, men noe lignende. Angriperne brukte serverne til å bygge et botnet. Yahoo forteller at de isolerte serverne som hadde blitt tatt over så fort de kunne, og at de ikke kunne finne noe bevis på at brukerdata hadde blitt kompromittert.
Referanser
http://www.theregister.co.uk/2014/10/06/yahoo[...]
http://arstechnica.com/security/2014/10/white[...]
https://news.ycombinator.com/item?id=8418809

Svakhet i feilhåndteringssystemet Bugzilla

Det er oppdaget en svakhet i feilhåndteringssystemet (bug tracking system) BugZilla. Hvem som helst kan få tilgang til å opprette en konto og få ut detaljer om registrerte svakheter. Dette kan føre til at detaljer rundt interne svakheter blir offentlig kjent. Prosjekter som Apache, GNOME, Mozilla, Novell, Project, OpenOffice, Red Hat, Sandia National Laboratories, the Nessus Security Scanner, Wikimedia Foundation og Wireshark benytter seg av systemet. BugZilla har akkurat sluppet en patch for problemet.
Anbefaling
Installer patch.
Referanser
http://securityaffairs.co/wordpress/28960/sec[...]
http://www.bugzilla.org/security/4.0.14/

Monday, 6 October 2014

2014.10.06 - Nyhetsbrev

Mobil malware mot demonstranter i Hong Kong.

Demonstranter i Hong Kong forsøkt lurt til å installere malware på mobilen

Ars Technica har en sak om at demonstranter i Hong Kong har blitt forsøkt lurt til å installere overvåkingsprogramvare. Det mistenkes at kinesiske myndigheter står bak.
Referanser
http://arstechnica.com/security/2014/10/year-[...]

Friday, 3 October 2014

2014.10.03 - Nyhetsbrev

Kode for skummel USB exploits er utgitt, USAs største bank har blitt angrepet og vi oppsummerer nyhetsbildet for september.

Kode for USB exploits er utgitt

Tidligere i år viste Karsten Nohl frem at det var mulig å gjemme malware i USB enheter og at dette var nesten helt umulig å oppdage. Han lanserte ikke koden ut på nettet fordi han syns sikkerhetsrisikoen var for stor. Nå har to andre forskere, Adam Caudill og Brandon Wilson, funnet denne svakheten og sluppet den ut på nettet. Dette er en veldig alvorlig svakhet, da den er nesten umulig å oppdage, og det påståes at det ikke er mulig å fikse svakheten.
Referanser
http://www.wired.com/2014/10/code-published-f[...]

Oppsumering av nyhetsbildet september 2014

Oppsumering av nyhetsbildet september 2014
Referanser
http://telenorsoc.blogspot.no/2014/10/oppsumm[...]

Vellykket angrep mot JP Morgan - USAs største bank

En av de største bankene i USA ble angrepet i juli, og 83 millioner personer og småbedrifter fikk deres persondata stjålet. Navn, adresser, telefonnumre og e-postadresser er på avveie, men det ikke ser ut til at kontonummer, passord eller penger er stjålet.
Referanser
http://www.digi.no/930718/usas-storste-bank-hacket
http://www.usatoday.com/story/tech/2014/10/02[...]

Thursday, 2 October 2014

2014.10.02 - Nyhetsbrev

OpenVPN er sårbar for Shellshock sårbarheten. VMware pathcer 38 produkter for Bash svakheter. Feil i Xen kan gjøre andre Amazon servere i stand til både å krasje og lese andre VM data. Interessant blogginnlegg om de to siste svakhetene oppdaget i Bash.

VMware patcher systemene for bash svakheter

I følge gårsdagens "security advisory", oppdaterer nå WMware 38 av sine produkter som kjører på linux og bruker sårbar versjon av Bash.
Referanser
http://threatpost.com/vmware-begins-to-patch-[...]
http://www.vmware.com/security/advisories/VMS[...]

Feil i Xen kan la ondsinnede VM lese data fra/kræsje andre Amazon servere

The Xen Project har nettopp publisert en artikkel hvor de utdyper hvordan en feil i Xen hypervisor kan tillate ondsinnede virtualiserte servere å lese data fra eller kræsje andre servere. Dette kan bli tillatt så lenge som at de bruker samme hardware eller hypervisor. En patch ble lansert forrige uke, som skal løse problemet.
Referanser
http://arstechnica.com/security/2014/10/secur[...]

Blogginnlegg om bash svakhetene

Interessant blogginnlegg om hvordan man gikk videre med utnyttelse av svakheten i bash etter installasjon av fix CVS-2014-6271. Dette resulterte i avdekking av 2 nye alvorlige svakheter om talt i CVS-2014-6277 og CVE-2014-6278.
Referanser
http://lcamtuf.blogspot.de/2014/10/bash-bug-h[...]

OpenVPN har shellshock sårbarheten

Dette melder dkcert i dag. Svakheten gjelder for installasjoner som bruker passordautentisering med opsjonen "auth-user-pass-verify" aktivert. Det finnes foreløpig ingen patch som fikser svakheten og anbefalingen er derfor å ta kontakt med utviklerne av OpenVPN om du har en sårbar installasjon.
Anbefaling
Hvis du bruker passordautentisering bør du ta kontakt med utviklerne av OpenVPN for å høre om det finnes en måte å unngå dette på.
Referanser
https://www.cert.dk/nyheder/nyheder.shtml?14-[...]

Wednesday, 1 October 2014

2014.10.01 - Nyhetsbrev

Oktober er Nasjonal sikkerhetsmåned. Flere aktiviteter fra NorSIS og NSM. SANS øker trusselnivået til Gul på bakgrunn av Shellshock svakheten. Fortsatt mye malware som blir spredt gjennom reklame.

Reklamefirma sliter med å få slutt på malware i reklamen.

Sent i september begynte flere store nettsteder å dele ut malware via
infiserte reklame-bannere til sine besøkende. Blant disse sidene var The
Jerusalem Post, The Times of Israel og The Hindustan Times.
Reklamefirmaet Zado sa de fikk fjernet dette etter ti dager og erklærte
at de endelig var malware frie. Men senest på søndag ble det raportert
om flere reklamer som serverte malware til besøkende. Svakheten skal nå
være fjernet og problemet endelig løst. På TSOC ser vi at Flash er den
vanligste infeksjonsvektoren for "drive-by"-infeksjoner i dag.
Referanser
http://arstechnica.com/security/2014/09/adver[...]

Nasjonal sikkerhetsmåned

I forbindelse med Nasjonal sikkerhetsmåned arrangerer NorSIS og Nasjonal sikkerhetsmyndighet regionale sikkerhetsseminarer flere steder i landet. Dette rettes mot ansatte i arbeidslivet og omhandler de sikkerhetsutfordringene som de fleste av oss møter i den digitale hverdagen.
Referanser
http://www.nsm.stat.no/kurs-og-arrangement/na[...]
http://www.nsm.stat.no/blogg/12-maneder-i-aret/
https://sikkert.no/arrangementer/apning-av-na[...]

INFOcon trusselnivå økt til Gul

SANS' Internet Storm Center (ISC) har hevet trusselnivået til gult etter
de stadig nye svakhetene som blir oppdaget i Bash. Hevingen av nivået
indikerer en mindre trussel for internetts infrastruktur.
Referanser
http://arstechnica.com/security/2014/09/shell[...]