Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 28 November 2014

2014.11.28 - Nyhetsbrev

CrySyS tester ut anti-APT-produkter ved å utvikle programvare som de sjekker om blir stoppet. Syrian Electronic Army viste propaganda på flere nettsteder gjennom en tredjeparts leverandør av identitetshåndtering.

CrySyS har testet anti-APT-produkter

Advanced Persistent Threat er begrepet som er blitt brukt om en angriper som har mulighetene og ressursene til å utføre avanserte angrep mot store bedrifter eller andre høyprofilerte mål. Trusselen består i at angriperen skal kunne kompromittere deres systemer og styre dem uten at offeret legger merke til dette. Det finnes flere produkter som forsøker å beskytte mot slike angrep.

CrySyS har gått sammen med MRG Effitias for å sjekke hvor effektive disse anti-APT produktene er. Testen ble utført ved å benytte ondsinnet programvare som de selv hadde laget. En av disse gikk gjennom alle produktene uten å bli oppdaget. De enklere utgavene ble oppdaget av 3 av 5, mens den aller simpleste utgaven deres ble oppdaget av alle, men ble klassifisert med lav alvorlighetsgrad.

Les mer om dette i deres blog. Link til rapporten finnes også der.
Referanser
http://blog.crysys.hu/2014/11/new-anti-apt-to[...]

Syrian Electronic Army viste propaganda på nyhetssider

I går ble besøkende til mange store nyhetsnettsider møtt av et vindu med følgende beskjed: "You've been hacked by the Syrian Electronic Army (SEA)" Deretter ble besøkende sendt videre til en side som viste logoen til SEA.

Dette skjedde ved at SEA hadde fått kontroll over kontoen til et firma kalt Gigya hos domeneregistraren GoDaddy. De har så omdirigert trafikk fra Gigya til sine egne nettsider. Gigya leverer identitetshåndteringen nettstedene bruker. Gigya har bekreftet at det har vært et angrep mot deres tjenester, og jobber med å fikse dette. Brukere har tilsynelatende ikke blitt utsatt for annet enn en pop-up melding og redirigering til et bilde. SEA sier at angrepet er utført for å protestere mot feilaktig dekning av krigen i Syria fra vestlige medier.

Blant nettstedene som ble utsatt for hendelsen er The Telegraph, The Independent, Forbes, Time Out, PC World, CNBC og The Evening Standard.
Referanser
http://www.cbc.ca/news/technology/syrian-elec[...]
http://www.theregister.co.uk/2014/11/27/syria[...]
http://www.pcworld.com/article/2853252/syrian[...]

Thursday, 27 November 2014

2014.11.27 - Nyhetsbrev

Det har vært et rolig døgn på nyhetsfronten.

Det er ingen nye saker siden sist.


Wednesday, 26 November 2014

2014.11.26 - Nyhetsbrev

Adobe har sluppet en out-of-band oppdatering for en alvorlig svakhet i Flash Player.

Den tyske avisen Süddeutsche Zeitung avslører hvordan det da britisk-eide selskapet "Cable & Wireless" skal ha gitt GCHQ tilgang til en rekke undersjøiske fiberkabler.

Adobe oppdaterer Flash Player

Adobe har sluppet en out-of-band oppdatering for Flash Player. Oppdateringen omfatter alle plattformer og retter en svakhet rangert som kritisk. Sårbarheten utnyttes aktivt av flere exploit-kits.
Referanser
http://helpx.adobe.com/security/products/flas[...]
https://www.f-secure.com/weblog/archives/0000[...]

Snowden-avsløringer om hvordan "Cable & Wireless" bistod GCHQ med fiberkabelavlytting.

Den tyske avisen Süddeutsche Zeitung har publisert en artikkel der de, basert på avsløringene fra Edward Snowden, redegjør for hvordan det da britisk-eide telecom-firmaet "Cable & Wireless" skal ha gitt GCHQ tilgang til en rekke undersjøiske fiberkabler og mottatt betydelige summer i kompensasjon for dette. Artikkelen inneholder også en omfattende oversikt over undersjøiske fiberkabler GCHQ skal ha hatt tilgang til i 2009.
Referanser
http://international.sueddeutsche.de/post/103[...]

Tuesday, 25 November 2014

2014.11.25 - Nyhetsbrev

Sony Pictures skal ha blitt utsatt for et omfattende og lammende datainnbrudd.

Sony Pictures utsatt for datainbrudd

Sony Pictures skal ha blitt utsatt for et tilsynelatende omfattende og lammende datainnbrudd av en gruppering som kaller seg "Guardians of Peace". Gruppen hevder de har fått tilgang til mengder av interne dokumenter, passordlister mm., og truer med å frigi dem dersom visse fremstilte krav ikke oppfylles. Det er ikke offentlig kjent hva disse kravene går ut på.

Sony har ikke bekreftet innbruddet, men sier de jobber med en "IT hendelse".
Referanser
http://www.theregister.co.uk/2014/11/25/sony_[...]
http://www.theverge.com/2014/11/24/7277451/so[...]

Monday, 24 November 2014

2014.11.24 - Nyhetsbrev

En svært avansert malware ved navn Regin er utviklet av en ressurssterk aktør og har infisert organisasjoner og enkeltindivider i flere år.

Nasjonal Sikkerhetsmyndighet lanserer sikker DNS-tjeneste.

Regin: Svært avansert spionasjeverktøy fra ressurssterk aktør.

Symantec informerer om en avansert trojaner som har fått navnet Backdoor.Regin. Verktøyet skal ha vært benyttet til digital spionasje mot statlige organisasjoner, eiere av infrastruktur og enkeltindivider i flere år. Trojaneren består av meget sofistikert kode og har moduler for langtidsovervåking av blant annet nettverkstrafikk og telefonsamtaler, samt fjerntilgang til maskiner. Trojanerens kompleksitet og modulære oppbygning sammenlignes med The Mask og Stuxnet, og indikerer at det kan være en statlig aktør som står bak.

F-Secure har en bloggpost med detaljer rundt funn av trojaneren tilbake i 2009. De mener at det ikke er Kina eller Russland som står bak denne gangen.
Referanser
http://www.symantec.com/connect/blogs/regin-t[...]
http://arstechnica.com/security/2014/11/highl[...]
https://www.f-secure.com/weblog/archives/0000[...]

NSM lanserer sikker DNS-tjeneste

På en konferanse i forrige uke lanserte Nasjonal Sikkerhetsmyndighet en DNS-tjeneste som medlemmer og partnere kan benytte for å hindre egne klienter i å aksessere kjente ondsinnede domener. Tjenesten vil blant annet hente data fra NSM's sensornettverk. Data fra tjenesten vil også benyttes til å bygge opp en søketjeneste for DNS-navn og IP-adresser. NSM lanserer også portscanning/sikkerhetstest for sine medlemmer.
Referanser
http://www.digi.no/931623/nsm-vil-stanse-hack[...]

Friday, 21 November 2014

2014.11.21 - Nyhetsbrev

Kritisk sårbarhet i Wordpress gjør at angriper kan eksekvere kode på webserveren. Lookout skriver om Android-malwaren Notcompatible. Angler Exploit Kit misbruker allerede få dager gammel Flash-sårbarhet.

Kritisk oppdatering for WordPress

En sikkerhetsoppdatering for Wordpress er ute. WordPress 3.9.2 og tidligere versjoner er sårbare. Sårbarheten ligger i Wordpress CMS og gjør det mulig for en angriper å eksekvere kode på webserveren uten autentisering. Sikkerhetsoppdatering er ute, og kan lastes ned fra linken nedenfor eller via admin-dashbordet for Wordpress.
Referanser
https://wordpress.org/news/2014/11/wordpress-[...]

Lookout om Android-malwaren Notcompatible

Lookout skriver om den avanserte mobile malwaren Notcompatible. Denne støtter kryptering og melder mobilen inn i et botnett. For å unngå å bli infisert bør en holde seg til kun å installere apps fra Google Play.
Referanser
https://blog.lookout.com/blog/2014/11/19/notc[...]

Angler utnytter fersk Flash-sårbarhet

Exploit-kitet Angler misbruker allerede en sårbarhet som ble kjent da Adobe ga ut sikkerhetsopppdatering til Flash 11. november. Flash-sårbarheter er ekstra populære blant angripere pga stor utbredelse. Denne hurtigheten innebærer at alle som ikke oppdaterer Flash umiddelbart er enkle mål for angriperne.
Referanser
https://threatpost.com/angler-exploit-kit-add[...]

Thursday, 20 November 2014

2014.11.20 - Nyhetsbrev

Google oppdaterer Google Chrome. Malware stjeler passord fra passord-managere.

Google oppdaterer Google Chrome

Google har sluppet ny versjon av nettleseren Google Chrome. Den nye versjonen retter 42 svakheter hvorav 11 er rangert som "høy". Støtten for SSL v3.0 er også kuttet, slik at Poodle-svakheten ikke lenger kan utnyttes.
Referanser
http://googlechromereleases.blogspot.no/2014/[...]

Malware stjeler passord fra passord-managere

Citadel-trojaneren har nå fått støtte for å stjele "master-passordet" fra passord-managerne Password Safe og Keepass. Dette passordet kan igjen brukes for å få tilgang til andre passord som ligger lagret i programmene. Passordet stjeles ved hjelp av keylogging når det blir skrevet inn for å åpne programmet.
Referanser
http://arstechnica.com/security/2014/11/citad[...]

Wednesday, 19 November 2014

2014.11.19 - Nyhetsbrev

Microsoft ute med nødpatch (out-of-band) for alvorlig svakhet i autentiseringssystemet Kerberos på Windows-servere. Whatsapp lanserer ende til ende kryptering. EFF har gått sammen med flere andre aktører i et felles initiativ til å få alle til å gå over til å bruke HTTPS.

Nødpatch fra Microsoft for kritisk svakhet i servere

Forrige patche-tirsdag ble to oppdateringer utsatt. I går kveld slapp Microsoft flere detaljer om bulletin MS14-068 og en oppdatering for MS14-066. MS14-068 er en alvorlig svakhet i Kerberos som gjør det mulig for en vanlig domenebruker å elevere rettighetene sine til domene-administrator ved å manipulere PAC-informasjonen i Kerberos tickets. Microsoft har skrevet en detaljert bloggpost angående denne svakheten. Svakheten er regnet som kritisk for servere og utnyttes allerede i angrep. Patcher bør installeres omgående!
Referanser
https://technet.microsoft.com/en-us/library/s[...]
http://blogs.technet.com/b/srd/archive/2014/1[...]

Whatsapp med ende til ende-kryptering

Whatsapp er en tjeneste som lar brukere sende meldinger og bilder til hverandre via mobiltelefonen. Det viser seg nå at de skal ha integrert protokollen fra Textsecure for kryptering av meldingene sine. Textsecure er et open source program og er utviklet at Whisper Systems som kryperer meldinger ved bruk av en kryptografisk nøkkel som lagres på telefonen. Whatsapp meldte om endringen går og det viser seg at endringen ble implementert og rullet ut for en uke siden for Android. Utrullingen for iOS-brukere skal skje om kort tid.
Referanser
http://www.wired.com/2014/11/whatsapp-encrypt[...]

EFF vil tilby gratis SSL-sertifikater

EFF (Electronic Frontier Foundation) har gått sammen med Akamai, Cisco, Identrust, Mozilla og et team ved University of Michigan for å lage "Let's Encrypt". Initiativet er laget for å promotere og oppfordre alle til å bytte fra HTTP til HTTPS ved å tilby gratis programvare som kan lette jobben med å bytte over og ved å tilby gratis sikkerhetssertifikater.
Referanser
http://www.geekwire.com/2014/eff-lead-web-enc[...]

Tuesday, 18 November 2014

2014.11.18 - Nyhetsbrev

Apple kommer med oppdateringer til iOS og OS X.

Sikkerhetsforsker anslår at halvparten av alle USB-brikkesett er sårbare for BadUSB, dvs. at de kan omprogrammeres til å spre malware/utføre ondsinnede handlinger.

Apple oppdaterer iOS og OS X

Apple har sluppet oppdateringer til både iOS og OS X. iOS 8.1.1 skal bl.a. fikse flere sikkerhetshull. OS X 10.10.1 fikser bl.a. ustabilitet med wifi.
Referanser
https://support.apple.com/en-us/HT6590
http://www.dinside.no/931520/viktige-oppdater[...]

50% av alle USB-chips er sårbare for BadUSB

Karsten Nohl har tidligere demonstrert BadUSB, en metode hvor han har omprogrammert en USB-enhet til å få den til å gjøre nesten hva som helst. Han og hans kolleger har nå tatt for seg hvor utbredt dette problemet er. Etter å ha undersøkt over 60 forskjellige brikkesett, er over halvparten av disse programmerbare, og dermed sårbare for BadUSB.
Referanser
http://threatpost.com/new-research-same-old-p[...]
http://www.theregister.co.uk/2014/11/18/usb_c[...]

Monday, 17 November 2014

2014.11.17 - Nyhetsbrev

Snart end of support for Windows Server 2003. Data-angrep mot Tyrkisk firma for elektrisitetsdistribusjon. Metasploit-modul ute for en kritisk feil i Internet Explorer.

Snart end of support for Windows Server 2003

DHS i USA advarer om at support for Windows Server 2003 kommer til å opphøre i juli 2015. Det er altså på tids å begynne å migrere bort fra denne platformen. Etter denne datoen vil det ikke lengre bli utgitt sikkerhetsoppdateringer for Win Server 2003.
Referanser
http://www.zdnet.com/homeland-security-alerts[...]

Data-angrep mot Tyrkisk firma for elektrisitetsdistribusjon

Den tyrkiske hacker-gruppen RedHack utførte et dataangrep mot websiden til et tyrkisk firma som distribuerer strøm, hvor de skal ha slettet regningene til tyrkiske statsborgere for 1.5 billioner tyrkisk lire.
Referanser
http://www.techworm.net/2014/11/redhack-hacks[...]

Metasploit-modul ute for en kritisk feil i Internet Explorer.

Forrige tirsdag lanserte Microsoft en rekke patcher til deres software, hvor en av disse utbedret en kritisk feil i Internet Explorer. Noen har nå laget en modul for Metasploit for å utnytte svakheten. Erfaringsmessig vil nå diverse exploit-kits få støtte for å utnytte svakheten inne kort tid. Det anbefales å oppgradere.
Anbefaling
Oppdater gjeldende systemer
Referanser
https://twitter.com/daveaitel/status/53306490[...]
https://forsec.nl/2014/11/cve-2014-6332-inter[...]

Friday, 14 November 2014

2014.11.14 - Nyhetsbrev

Storbanken HSBC skal ha mistet data til 2.7 mill. kunder ifbm. datainnbrudd i deres avdeling i Tyrkia.

En falsk spørreundersøkelse fra Danske Bank lokker med 750 kr i belønning for å svare. Man må bare gi fra seg kortinformasjon først!

Roger Johnsen ansatt som ny administrerende direktør i Norsis.

HSBC banken i Tyrkia skal ha mistet data til 2.7 mill. kunder i data angrep

HSBC banken i Tyrkia skal ha mistet data til 2.7 millioner kunder i et data angrep. Angrepet skal ligne på angrepet mot JPMorgan Chase & Co, som ble omtalt tidligere i høst. Data på kort og relaterte kontoer ble kompromittert, men det burde ikke resultere i finansiell risiko for kunder, iflg. HSBC i London.
Referanser
http://www.businessweek.com/news/2014-11-13/h[...]

Roger Johnsen ansatt som ny administrerende direktør i Norsk Senter for Informasjonssikring (Norsis)

Oberstløytnant Roger Johnsen er ansatt som ny administrerende direktør i Norsis.
Referanser
http://www.idg.no/computerworld/article295429.ece

Falsk spørreundersøkelse fra Danske Bank.

Dinside.no bringer nyheten om en phishing kampanje der brukere mottar en forfalsket mail fra Danske Bank. Mailen gir seg ut for å være en spørreundersøkelse, og som belønning for å svare skal man få 750 kr, bare man oppgir kortinformasjon først, slik at utbetaling kan forekomme.
Referanser
http://www.dinside.no/931444/falsk-sporreunde[...]

Thursday, 13 November 2014

2014.11.13 - Nyhetsbrev

En meget kritisk sårbarhet i alle versjoner av Windows ble patchet forrige tirsdag. McAfee skriver om Sandworm svakheten som også var en del av oppdatreingene. Flere mobiltelefoner hacket under Pwn2Own der flere av svakhetene gikk ut på utnyttelse av NFC. Kinesere har hacket det amerikanske værvarslingssystemet.

Potensielt katastrofal sårbarhet i alle versjoner av Windows.

Etter Microsoft sin månedlige patcherunde har det dukket opp flere alvorlige sårbarheter. Deriblant en sårbarhet i TLS som har vist seg å være veldig kritisk. Svakheten kan utnyttes så lenge maskinen har en tjeneste som lytter til en port som er tilgjengelig for angriperen. Mest kritisk er da servere eller klienter som eksponerer tjenester ut mot internett som for eksempel web eller FTP. Vellykket utnyttelse av svakheten vil gi angriperen full kontroll over maskinen. MS14-066 er en av totalt 16 oppdateringer som ble sluppet forrige tirsdag.
Referanser
http://arstechnica.com/security/2014/11/poten[...]

Flere mobiltelefoner hacket under Pwn2Own

iPhone 5S, Samsung Galaxy S5, LG Nexus 5 og Amazon Fire Phone fikk alle gjennomgå under årets PacSec konferanse i Tokyo. Det ble oppdaget en såkalt "two bug attack" i iPhone 5S som resulterte i en full sandbox escape i Safari browseren. Galaxy S5 og Nexus 5 hadde svakheter i NFC og Amazon Fire Phone hadde tre bugs i browseren sin.
Referanser
http://arstechnica.com/security/2014/11/iphon[...]

McAfee publiserer funn for Microsoft's nylig patchede sårbarhet, Sandworm Zero Day

McAfee sin blogg publiserte i går den første av totalt to poster, hvor de rapporterer sine funn etter Microsoft's nylig patchede sårbarhet, Sandworm Zero Day, som ble patchet tirsdag 14.okt.
Referanser
http://blogs.mcafee.com/mcafee-labs/bypassing[...]

Kinesere hacket det amerikanske værvarslingssystemet

I oktober skal kinesiske hackere ha kommet seg inn i det amerikanske værvarslingssystemet. Grunnen til at nyheten først har kommet nå, skal være at NOAA, som har ansvaret for blant annet disse systemene, har gått ut med falske forklaringer på nedetid under angrepet.
Angriperne var ute etter data for amerikansk katastrofeplanlegging, luftfart og skipsfart mm.
Referanser
http://www.theregister.co.uk/2014/11/13/china[...]
http://www.washingtonpost.com/local/chinese-h[...]

Wednesday, 12 November 2014

2014.11.12 - Nyhetsbrev

Microsoft har sluppet oppdateringer for november. Denne gangen dreier det seg om 16 oppdateringer som tetter hele 33 sårbarheter, hvorav flere er å anse som kritiske.

Adobe fjerner 18 svakheter i Flash Player og Air.

Cyperspionasje-aktør angriper fysisk isolerte nettverk.

Securelist.com er ute med en artikkel ang. Stuxnet.

Microsoft har sluppet oppdateringer for november

Microsoft slapp i går kveld 16 sikkerhetsoppdateringer. 5 av oppdateringene er rangert kritiske, ni viktige og to moderat. Oppdateringene gjelder for Windows, Internet Explorer, Office, Exchange, .NET Framework, IIS, RDP, AD Federation Services, Input Method Editor (japansk) og Kernel Mode Driver.
Referanser
https://technet.microsoft.com/library/securit[...]

Adobe oppdaterer Flash Player og Air

Adobe har sluppet oppdatering for Flash Player og Adobe Air. Oppdateringen omfatter alle plattformer og retter 18 svakheter rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flas[...]

Gruppe relatert til cyperspionasje angriper fysisk isolerte nettverk

Sednit, også kjent som Sofacy, APT28 og Fancy Bear, henter ut sensitive data fra fysisk isolerte nettverk ved bruk av flyttbare lagringsenheter.
Referanser
http://www.welivesecurity.com/2014/11/11/sedn[...]

Securelist.com skriver om de første ofrene som ble infisert av Stuxnets versjoner fra 2009 og 2010.

I følge Securelist.com, som har analysert over 2000 filer relatert til Stuxnet, er de første ofrene av Stuxnets versjoner fra 2009 og 2010 identifisert. Alle ofrene er lokalisert i, eller har tilknytninger til, Iran.
Referanser
http://securelist.com/analysis/publications/6[...]

Tuesday, 11 November 2014

2014.11.11 - Nyhetsbrev

Malware "låser" maskinen og ber bruker ringe et nummer. iOS svakhet kan føre til at applikasjon kan bli byttet ut med malware. Den Kinesiske regjeringen mistenkes for å angripe United States Postal Service nettverk. Microsoft gir ut ny versjon av EMET. Trådløse hotellnettverk blir brukt av kriminelle.

Malware "låser" maskinen og ber bruker ringe et nummer

De fleste har hørt om at personer har blitt oppringt av personer som forklarer at de er fra Microsoft og om man installerer deres produkt, samt betaler en viss sum med penger så blir maskinen mye bedre. Slike svindler er vanlige nå til dags. Symantec har oppdaget en malware som tar en vri på dette.

Malwaren har fått navn "Ransomlock" og fungerer slik: Så fort maskinen din blir infisert så "låser" malwaren maskinen din ved at den kun viser en ting som dekker hele skjermen, noe som ligner en såkalt Windows Blue Screen. Denne blåskjermen oppfordrer deg til å ringe et nummer for å få hjelp slik at maskinen din ikke blir ødelagt. I motsettning til for eksempel "Cryptolocker" som krypterer maskinen din, så gjør denne ingenting med verken dokumentene eller filen på maskinen din.

Symantec prøvde å ringe dette nummeret og ble egentlig fortalt mye av det samme folk blir i slike svindelsaker og ender opp med at de ber om penger for å hjelpe deg.

Litt mer tekniske detaljer, samt en måte å bli kvitt malwaren på uten å ringe nummeret finner du i linken under.
Referanser
http://www.symantec.com/connect/blogs/when-te[...]

iOS svakhet kan føre til at applikasjon kan bli byttet ut med malware

Fireeye rapporterer om en ny type angrep som utnytter en svakhet i iOS, kalt Masque Attack. Svakheten som angrepet utnytter går på at en applikasjoner installert ved en distribusjonsløsning gitt av Apple kan utnyttes til å erstatte eksisterende applikasjoner så lenge begge applikasjonene deler samme "Bundle ID". En bundle ID er gjerne et system navn på en applikasjon, for eksempel: "com.google.Gmail". Applikasjoner som er installert via denne distribusjonsløsningen går utenfor Apple Store og kan installeres på en enhet via trådløst nettverk.

Fireeye forklarer at dette kan utnyttes ved å gi brukeren en melding om at en applikasjon må oppdateres. Brukeren vil da få to valg: Installerer eller kansellere. Om brukeren velger å installere applikasjonen kan denne erstatte en eksisterende applikasjon, uten at brukeren legger merke til dette, og hente ut all informasjon som denne applikasjonen har tilgjengelig. Fireeye nevner også det at applikasjonen som blir installert kan også prøve å etterligne en innloggingsside som applikasjonen kanskje ville gitt og hente ut passord og brukernavn om brukeren skulle taste inn dette.

iOS malwaren som vi omtalte i forrige uke, WireLurker, bruker en begrenset versjon av denne type angrep, men kun via USB.

Mer tekniske detaljer og eksempeler (med bilder) kan finnes i linken nedenfor.
Referanser
http://www.fireeye.com/blog/technical/cyber-e[...]

Kinesiske regjeringen mistenkes for å angripe United States Postal Service nettverk

The Washington Post raporterer om at den kinesiske regjeringen mistenkes for å ha angrepet og kompromittert nettverket til United States Postal Service som har ført til at rundt informasjon om 800 000 ansatte har blitt kompromittert. Angrepet skal ha blitt oppdaget i midten av September. Den kinesiske regjeringen nekter for å ha utført angrepet og kompromitteringen, og forklarer at kinesiske lover forbyr Cyber-kriminalitet.

Informasjonen som ble kompromittert inneholdt blant annet navn, fødselsdato, personnummer, adresser m.m.

Informasjon om kunder som kontaktet USPS mellom 1. Januar og 16. Aug skal også ha blitt kompromittert, hvor denne informasjonen inneholdt blant annet navn, e-mail adresser og telefonnummre.
Referanser
http://www.washingtonpost.com/blogs/federal-e[...]

Microsoft gir ut ny versjon av EMET

Microsoft har nå gitt ut versjon 5.1 av EMET (Enhanced Mitigation Experience Toolkit). EMET kan brukes for å beskytte maskinen mot angrep som går på å utnytte programvarer med svakheter. En del av forbedringene til versjon 5.1 er kompatibiliteten med andre programmer, slik som Internet Explorer, Adobe Reader, Adobe Flash og Mozilla Firefox.

Microsoft nevner at om du kjører EMET 5.0 og bruker Internet Explorer 11 på enten Windows 7 eller Windows 81, så er det veldig viktig å oppgradere da disse har kompatibilitetsproblemer på grunn av sikkerhetsoppdateringen til Internet Explorer i November.
Referanser
http://blogs.technet.com/b/srd/archive/2014/1[...]

Trådløse hoellnettverk blir brukt av kriminelle

Forretningsreisende ledere i Asia har blitt har blitt etterfulgt og hacket av cyberkriminelle gjennom trådløse hotellnettverk. Denne angrepsvektoren har fått navnet Darkhotel APT, og har spor helt tilbake til 2008.
Referanser
http://securelist.com/blog/research/66779/the[...]

Monday, 10 November 2014

2014.11.10 - Nyhetsbrev

Google melder at manuelle phishing-angrep er svært effektive. Rutingfeil reruter Russisk trafikk via Kina. Over 400 Tor domener sporet opp og beslaglagt i global aksjon.

Google: Manuelle phishing-angrep er svært effektive

Google har skrevet en rapport om phishing-angrep mot Google-brukere. De beste manuelt utformede angrepene lykkes i 45% av tilfellene å lure til seg brukernavn og passord. Google skriver også videre om hva som skjer med kontoene etter at de blir overtatt.
Referanser
http://securityaffairs.co/wordpress/30020/cyb[...]

Kinesisk rutingfeil reruter Russisk trafikk via Kina

Etter at det russiske mobilselskapet Vimpelcom og China Telecom inngikk en peering-savtale, skal det ved flere anledninger ha oppstått rutingfeil. Feilen har forårsaket at trafikk til/fra Russland, samt trafikk som skulle vært internt i landet, har blitt rutet via China Telecom ved flere anledninger. Se referanser for detaljer.
Referanser
http://research.dyn.com/2014/11/chinese-routi[...]
http://arstechnica.com/security/2014/11/wtf-r[...]

Over 400 TOR-domener sporet opp og beslaglagt i global aksjon

Det ble rapportert fredag forrige uke, at beslagleggelsen av Silk Road 2.0 var en del av en større operasjon mot over 400 .onion domener. Disse pekte igjen på 27 nettsteder. Operasjonen kalt Onymous konfiskerte 1 million dollar i bitcoins, 250.000 dollar i kontanter samt sølv, gull og en rekke narkotiske stoffer. Det er uvisst hvordan etterforskerne har funnet fram til serverne som egentlig skulle være beskyttet av TOR-nettverket.
Referanser
http://arstechnica.com/tech-policy/2014/11/40[...]
http://gizmodo.com/here-are-all-the-dark-net-[...]
http://www.forbes.com/sites/katevinton/2014/1[...]

Friday, 7 November 2014

2014.11.07 - Nyhetsbrev

Microsoft gir ut forhåndvarsel for November-oppdateringer. Apple trekker tilbake sertifikat som blir brukt av WireLurker til å signere malware.

Microsoft gir ut forhåndsvarsel for oppdateringer i November

Microsoft har nå gitt ut forhåndsvarsel for oppdateringer som kommer 11. November. Det er tilsammen 16 oppdateringer, hvor 5 er kritiske, 9 er viktige og 2 moderate.
Referanser
https://technet.microsoft.com/library/securit[...]

Apple trekker tilbake WireLurker-relatert sertifikat

Apple har nå trukket tilbake et kryptografisk sertifikat som har blitt brukt til å signere gårsdagens omtalte Mac/iOS malware, kalt WireLurker. Dette skal dermed forhindre at WireLurker kan spre seg fra en infisert Mac og til en tilkoblet iOS-enhet. Samtidig melder Palo Alto Networks at serverene som fungerer som "Command & Control" for WireLurker-nettverket for øyeblikket er utilgjengelige.
Referanser
http://www.theregister.co.uk/2014/11/07/apple[...]

Thursday, 6 November 2014

2014.11.06 - Nyhetsbrev

Ny phishing teknikk tar i bruk proxy. Antall alvorlige data-angrep doblet siste året i følge NSM. Kritiske svakheter avdekket i Linksys SOHO-rutere. Skadevare på Mac tar i bruk metoder for å spre seg til iOS-enheter. EFF har gjort en undersøkelse der de har avdekket at svært få meldingstjenester er sikre. AVG har kjøpt opp Norman Safeground. Banktrojaneren DRIDEX tar i bruk Microsoft Word-makroer, som var en kjent teknikk tidlig på 2000 tallet, for å spre seg.

Banktrojaneren DRIDEX sprer seg via makroer i Word

DRIDEX er en såkalt banktrojaner som er laget for stjele informasjon om offerets bankkontoer. Denne trojaneren stjeler informasjonen ved bruk av en rekke metoder, som blant annet skjermdumper, såkalt "form grabbing" der informasjon hentes ut direkte fra felter som fylles ut av brukeren i nettleseren og ved bruk av teknikker der den modifiserer trafikken som blir sendt og mottatt av nettleseren. Bankene den retter seg mot er alle lokalisert i Europa. Trojaneren sprer seg via spam-eposter med Microsoft Word-dokumenter som inneholder ondsinnede makroer. Siden eksekvering av makroer er skrudd av som standard, har flere av vedleggene inneholdt oppfordringer til brukeren om at dette må skrus på. DRIDEX er en arvtaker til trojaneren CRIDEX, der sistnevnte brukte blackhole exploit kit til å spre seg.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

Ny phishing-teknikk bruker ondsinnet nettside som fungerer som proxy for målets hjemmeside

Ny phishing-teknikk bruker ondsinnet nettside som fungerer som proxy for målets hjemmeside, hvor målene er nettbutikker. Angriperne som står bak den nye teknikken antas å befinne seg i Kina. Dette er en teknikk som vil gjøre det vanskeligere for offeret å oppdage at en blir phishet. Siden trafikken går gjennom en proxy, vil nettstedet en besøker se helt vanlige ut og ha full funksjonalitet. Det er bare i sider for innleggelse av betalingsinformasjon osv. at angriperne endrer på utseendet til nettstedet.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

iOS-enheter infiseres via Mac av Wirelurker

En tredjeparts applikasjonsbutikk for Mac kalt Maiyadi App Store har fått malware for Mac lagt inn i flere hundre applikasjoner. Ved nedlasting vil Mac'en bli infisert. Dersom brukeren så kobler en iOS-enhet til maskinen, vil malwaren forsøke å spre seg til denne. En enhet som er jailbroken vil bli infisert med én gang. Dersom enheten ikke er jailbroken, vil malwaren forsøke å spre seg til den ved hjelp av en app signert med et enterprise-sertifikat. Dette er en type signering som gjøres av større firmaer for å sende ut interne apps til mobiler.

Det er ukjent hva som er formålet med malwaren.
Referanser
http://www.digi.no/931310/ios-enheter-infiser[...]
https://www.paloaltonetworks.com/content/dam/[...]

Svakheter i Linksys SOHO rutere

Svakhetene gir en angriper tilgang til å lese eller endre filene på ruteren. Flere av ruterne det gjelder eksponerer webgrensesnittet sitt ut mot Internett som standard innstilling. Dette gjelder rutere fra EA-serien til Linksys og det kan være verdt å merke seg at to av disse, EA2700 og EA3500, i skrivende stund ikke har fått utgitt noen patch.
Referanser
http://www.net-security.org/secworld.php?id=17591

Antall alvorlige data-angrep mot Norge doblet på ett år

NSM melder at de i fjor hadde registrert 51 alvorlige data-angrep og at de i år regner med at tallet vil nærme seg 100. Økningen kom som en overraskelse og det er uklart hva som er årsaken.
Referanser
http://e24.no/digital/antall-dataangrep-mot-n[...]

AVG kjøper Norman Safeground

Dette informerte AVG om i en pressemelding i går. Dette skal de ha gjort for å ekspandere.
Referanser
http://www.digi.no/931313/avg-kjoper-norman-s[...]
http://money.cnn.com/news/newsfeeds/articles/[...]

Svært få meldingstjenester er sikre

Electronic Frontier Foundation (EFF) har gjort en sikkerhetsvurdering av en rekke meldingstjenester (chattetjenester) og resultatet er nedslående. Bare 6 av 40 applikasjoner har fått full poengsum og mange av de mest populære tjenestene har en svært dårlig score.
Referanser
https://www.eff.org/secure-messaging-scorecard

Wednesday, 5 November 2014

2014.11.05 - Nyhetsbrev

Brønnøysundregistrene jobber med å tette sikkerhetshull.

Brønnøysundregistrene jobber med å tette sikkerhetshull

Brønnøysundregistrene ble kjent med en svakhet i en av deres skjematjeneste fredag i forrige uke og har siden jobbet med å finne en løsning. Svakheten tillater systematisk kobling av navn og fødselsnummer, og ved hjelp av script mot skjemaet kan man hente ut store mengder navn og fødselsnummer som igjen kan benyttes til annen kriminalitet. I påvente av en løsning har de forbedret logging av tjenesten, noe som i beste fall kan avdekke bruk av scripts og hvem som eventuelt står bak forsøk på utnyttelse av svakhet.
Referanser
http://www.digi.no/931275/jobber-paa-spreng-m[...]

Tuesday, 4 November 2014

2014.11.04 - Nyhetsbrev

Rettighetseskaleringssvakhet i OS X Yosemite. Nå forsvinner Java fra offentlig innlogging. Dårlig sikkerhet rundt Danmarks el-nett. OS X mellomlagrer dokumenter i skyen. Visa's kontaktløse kort lar hvem som helst trekke rett under 1 million dollar.

Rettighetseskaleringssvakhet i OS X Yosemite

En svensk sikkerhetsforsker har funnet en svakhet i siste versjon av OS X. Svakheten lar en bruker få utvidede rettigheter på systemet, med andre ord å utføre kommandoer som root uten å oppgi passord. Apple vil få tid til å patche svakheten før detaljer rundt den blir sluppet.
Referanser
http://www.theregister.co.uk/2014/11/04/rootp[...]

Nå forsvinner Java fra offentlig innlogging

Rundt 15. november blir det mulig å bruke BankID 2.0 for å logge inn på offentlige sider. Den nye versjonen lar deg logge inn uten å bruke Java.
Referanser
http://www.dinside.no/931218/naa-forsvinner-j[...]

Dårlig sikkerhet rundt Danmarks el-nett

Datamaskinene som styrer det danske elnettet står vidåpne for terrorister, hackere og fremmede stater. Det avslører en intern rapport om Energinet, ifølge DR Nyheter.
Referanser
http://www.digi.no/931268/katastrofal-it-sikk[...]

OS X mellomlagrer dokumenter i skyen

OS X laster opp dokumenter du åpner i TextEdit, Preview og Keynote til iCloud, selv om filene senere blir lukket uten å ha blitt lagret. Dette gjør at selv lokalt lagrede filer kan ende opp på Apples servere, bare en ser på filene.
Referanser
http://arstechnica.com/security/2014/11/criti[...]

Visa's kontaktløse kort lar hvem som helst trekke rett under 1 million dollar

Visa's kontaktløse kort fungerer slik at en kan trekke en satt størrelse fra kortet uten å måtte bruke pinkode. Denne grensen er for eksempel 20 britiske pund (rundt 200 norske kroner) i Storbritannia. Britiske forskere har nå funnet en svakhet i disse kortene som lar hvem som helst trekke utrolig store summer fra kortet uten å kreve pinkode. Forskerene gjorde dette med en svært modifisert smart telefon. Ved å endre valuta som det ble betalt i, og ved å ha kortet nærme telefonen, kunne de trekke kortet for hele 999,999 amerikanske dollar (rundt 6.7 millioner kroner). VISA har gått ut og sagt at å gjøre dette utenfor et lab-miljø vil være umulig.
Referanser
http://gizmodo.com/report-a-flaw-in-visas-con[...]

Monday, 3 November 2014

2014.11.03 - Nyhetsbrev

Svakheter i mange svenske styringssystemer. IS manualer forteller hvordan twittre uten lokasjonsmetadata. Facebook nå tilgjengelig via Tor-nettverket.

Svakheter i svenske styringsystemer er en trussel mot rikets sikkerhet

Svenske sikkerhetseksperter avdekker mange svakheter i svenske styringsystemer. Dette er varme-, ventilasjon-, tilgang- og alarmsystemer i mange offentlig bygg. Det være seg politistasjoner, togstasjoner og datahaller. Det at disse svakhetene er åpent tilgjengelig er er fare for riketssikkerhet, uttaler sikkerhetskoordinator ved Linkøpings universitet.
Referanser
http://www.dn.se/nyheter/sverige/it-expert-br[...]

Hvordan twittre uten lokasjonsmetdata

IS har laget en manual om hvordan twittre uten at metadata som avslører lokasjon kan komme NSA i hende. Manualen tar også for seg hvordan skru av lokasjonsdata på telefoner.
Referanser
http://hackread.com/isis-manual-nsa-twitter-o[...]

Facebook nå tilgjengelig via Tor

Facebook annonserer at de vil nå være tilgjengelig via Tor under et .onion domene. Dette for å stoppe problemer mange brukere har hatt for å logge seg inn på Facebook gjennom Tor.
Referanser
http://threatpost.com/facebook-creates-onion-[...]