Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 27 February 2015

2015.02.27 - Nyhetsbrev

17-åringen fra Bergen som i fjor ble siktet for DDoS-angrep mot flere store norske bedrifter er nå dømt til samfunnsstraff. Proofpoint viser hvordan hjemmerutere kan kompromitteres via phishing.

Norsk 17-åring dømt for DDoS-angrep

17-åringen fra Bergen som i fjor ble pågrepet og siktet for gjennomføring av omfattende DDoS-angrep mot flere av Norges største bedrifter, er idømt 150 timer samfunnsstraff. Det opprinnelige erstatningskravet var på over 400.000 kroner.
Referanser
http://www.bt.no/nyheter/lokalt/Hacker-17-sli[...]

Kompromittering av hjemmerutere via phishing

Proofpoint viser hvordan angripere skaffer seg tilgang til hjemmerutere via phishing-mail. Mailen ser ut til å komme fra telekomselskaper, men er laget for å dirigere mottaker til nettsteder som misbruker sårbarheter mot vedkommendes hjemmeruter, for så å endre DNS-oppsettet. Angriperen har dermed kontroll over mottakerens internettrafikk.
Referanser
https://www.proofpoint.com/us/threat-insight/[...]
http://krebsonsecurity.com/2015/02/spam-uses-[...]

Thursday, 26 February 2015

2015.02.26 - Nyhetsbrev

RAMNIT-botnettet tatt ned av Europol og Lenovo.com har blitt angrepet av hackere.

Europol har tatt ned RAMNIT-botnettet

Botnettet RAMNIT har infisert 3.2 millioner maskiner over hele verden ved å spre virus via linker i phishing-eposter eller sosiale nettverk. Formålet har vært å overføre penger fra bankkontoer til Windows-brukere. Operasjonen for å ta ned RAMNIT var koordinert av kyber avdelingen til Europol. Politi fra flere land og firmaer som Microsoft og Symantec har også bidratt.
Referanser
http://www.theregister.co.uk/2015/02/25/europ[...]
http://www.darkreading.com/ramnit-botnet-disr[...]

Lenovo.com ble hacket

The Verge forteller at websiden til Lenovo.com ble byttet ut. Den vanlige siden ble erstattet av bilder av unge mennsker med musikk i bakgrunnen. Mest sannsynlig har de blitt utsatt for dette angrepet på grunn av installeringen av Superfish i produktene deres. Siden ble byttet ut ved å endre DNS-pekerne for Lenovo.com. Det mistenkes at LizardSquad står bank angrepet.
Referanser
http://www.theverge.com/2015/2/25/8110201/len[...]

Wednesday, 25 February 2015

2015.02.25 - Nyhetsbrev

Mozilla oppdaterer Firefox og Thunderbird. FireEye er ute med en ny rapport som viser APT-trender det siste året. Gemalto offentliggjør resultater av interne undersøkelser.

Mozilla oppdaterer Firefox, Firefox ESR og Thunderbird

Mozilla har sluppet sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird. Oppdateringene retter 16 svakheter hvor 3 av svakhetene er rangert som kritiske.
Referanser
https://www.mozilla.org/en-US/security/known-[...]

M-Trends: A View from the Front Lines

FireEye er ute med ny rapport som viser hvordan APT har utviklet seg det siste året. De har gjennom Mandiant fått innsikt i hundrevis av etterforskninger gjort i over 30 industrisektorer, og kan nå vise til viktig statistikk og saksstudier.

I rapporten kan de blant annet avsløre at hackere ofte utgir seg for å være IT-ansatte for å få tilgang til nettverket hos bedriftene.
Referanser
https://www2.fireeye.com/SOCIALTW-15Q1RPTM-Tr[...]
http://www.zdnet.com/article/hackers-imperson[...]

Gemalto offentliggjør resultater av interne undersøkelser

SIM-kort produsenten Gemalto har gjort interne undersøkelser etter at Snowden-dokumenter indikerte at de hadde blitt hacket. Firmaet har funnet ut at kontor-nettverket deres antakeligvis har vært utsatt for et innbrudd fra NSA/GCHQ. Produksjonsutstyr har imidlertid ikke blitt hacket, og de mener at angriperne ikke har klart å stjele store mengder krypteringsnøkler. De mener også at kun andregenerasjons 2G-nett var sårbare mot angrep av denne typen. 3G og 4G skal være sikkert.
Referanser
http://www.gemalto.com/press/Pages/Gemalto-pr[...]
http://www.theregister.co.uk/2015/02/25/gemal[...]

Tuesday, 24 February 2015

2015.02.24 - Nyhetsbrev

Kritisk svakhet i Samba. US State Department jobber enda med å rydde opp i nettet sitt. NSA forsvarer Obamas forslag om tilgang til kryptonøkler.

Kritisk svakhet i Samba

Det har blitt oppdaget en kritisk svakhet i Samba Daemon (smbd). Svakheten gjør det mulig for en Samba klient å kunne ta kontroll over Samba serveren uten noen form for autentisering. Dette gjøres ved å sende spesielle pakker til en Samba server. Det er enda ikke sluppet demonstrasjonskode (PoC) for svakheten.
Referanser
https://securityblog.redhat.com/2015/02/23/sa[...]
https://access.redhat.com/security/cve/CVE-20[...]

US State Department jobber enda med å rydde opp i nettet sitt

I november oppdaget US State Department et innbrudd i det ugraderte nettverket sitt. Hele e-post-systemet ble stengt som en følge av innbruddet. Etter tre måneder er hackerne fortsatt inne i nettverket og oppryddingen pågår enda. Det mistenkes at Russland eller Kina står bak angrepene.
Referanser
http://securityaffairs.co/wordpress/33982/cyb[...]
http://www.wsj.com/articles/three-months-late[...]

NSA forsvarer Obamas forslag om tilgang til kryptonøkler

Både David Cameron og Barack Obama har advart mot at myndigheter ikke kan få tilgang til all datakommunikasjon. Det blir mer og mer vanlig at både nettsider og chat krypteres. Mange mener derfor at det trengs bakdører for myndigheter i forskjellige systemer. NSA går nå ut og støtter slik tilgang, mens de fleste teknologfirmaene i USA er uenige. De frykter at utenlandske kunder ikke lengre skal stole på amerikanske tjenester.
Referanser
http://www.theguardian.com/us-news/2015/feb/2[...]
http://arstechnica.com/tech-policy/2015/02/ya[...]

Monday, 23 February 2015

2015.02.23 - Nyhetsbrev

Flere programmer viser seg å inneholde samme kode som SuperFish, og flere kjente selskaper viser seg å utgitt tilsvarende programmer. Lenovo selv har utgitt verktøy for fjerne SuperFish. Cisco har en alvorlig svakhet i sine større rutere som kan forårsake (lokal) DoS.

SSL-koden funnet i SuperFish oppdaget i 14 andre programmer

Koden i SuperFish, programmet som fulgte med Lenovo-PC'er og gjorde alle HTTPS-surfing usikker og tilgjengelig til en tredjepart, er nå funnet i totalt 14 andre programmer. Koden stammer fra et selskap ved navn Komodia, og et av deres produkter har en egenskap som "SSL hijacker".
Referanser
https://www.facebook.com/notes/protect-the-gr[...]
http://arstechnica.com/security/2015/02/ssl-b[...]

Lenovo har publisert verktøy for fjerning av Superfish

Lenovo har publisert verktøy for fjerning av Superfish. Verktøyet lar brukere automatisk avinstallere Superfish og sertifikatet som blir benyttet.
Referanser
http://support.lenovo.com/us/en/product_secur[...]
http://www.theverge.com/2015/2/20/8079933/len[...]

PrivDog fra Comodo oppfører seg likt som SuperFish

Comodo, et av de store selskapene som utsteder SSL-sertifikater, har et program som heter PrivDog. Det blir annonsert med at det skal fjerne uønsket reklame når du surfer, for å kunne bytte dette ut med annen sikker reklame. I bakgrunnen gjør programmet imidlertid akkurat det samme som SuperFish, og dermed brytes alle sikkerhet i HTTPS-kommunikasjonen.
Referanser
https://blog.hboeck.de/archives/865-Comodo-sh[...]

Cisco NCS 6000 & CRS-X har en svaket som kan forårsake DoS

Cisco NCS 6000 & CRS-X, to kraftige rutere, har en svakhet som kan forårsake at systemet rebooter ved prosessering av en spesiell type IPv6 pakke.
Anbefaling
Oppgrader
Referanser
http://tools.cisco.com/security/center/conten[...]

Friday, 20 February 2015

2015.02.20 - Nyhetsbrev

NSA/GCHQ har hacket seg inn på nettverket til den største produsenten av SIM-kort og stjålet krypteringsnøkler. Errata Security viser hvordan man kan få tak i det private sertfikatet fra Superfish. TSOC varsler kundene om Superfish.

Spioner skal ha hacket seg inn i nettverket til den største produsenten av SIM kort i verden, og stjålet krypteringsnøkler

I følge dokumenter som er lekket av Edward Snowden, skal NSA/GCHQ ha hacket den største produsenten av SIM-kort og stjålet krypteringsnøkler som blir brukt for å kryptere kommunikasjonen i mobilnett.
Det skal ha gitt NSA&GCHQ muligheten til å overvåke store deler av verdens mobilkommunikasjon.
Bedriften som ble angrepet er Gemalto, som er et firma i Nederland som produserer kortene som blir brukt i mobiltelefoner og neste generasjons kredittkort.

Vi får ingen leveranse av SIM-kort fra Gemalto til Telenor Norge. Vi kan berolige våre kunder at vi gjør all personalisering på SIM-kort selv og har ikke gitt noen nøkler til Gemalto.
Referanser
https://firstlook.org/theintercept/2015/02/19[...]

TSOC varsker kundene om Superfish

TSOC varsler våre kunder om det oppdages
aktivitet fra Superfish i nettverket deres.
Referanser
http://telenorsoc-news.blogspot.no/2015/02/20[...]

Errata Security viser hvordan man kan hente ut den private nøkkelen til SSL-sertifikatet til SuperFish

Robert Graham, hos Errata Security, skriver og forklarer hvordan han greide å få tak i den private nøkkelen til SSL-sertifiktatet til SuperFish. I artikkelen går han innpå at passordet som sertifikatet er beskyttet, "komodia", er et selskap som lager SSL-redirigerer som gjør akkurat det samme som SuperFish gjør. Selskapet er nå under DDoS-angrep etter all omtalten.

Les mer i artikkelen under om hvordan han fikk tak i sertifikatet og hvordan han greide å bryte passordet.
Referanser
http://blog.erratasec.com/2015/02/extracting-[...]

Thursday, 19 February 2015

2015.02.19 - Nyhetsbrev

Lenovo installerer tvilsom adware på nye maskiner. Neste versjon av IE støtter HSTS. InfoSec har en kort artikkel om DNS basert DDOS angrep.

Neste versjon av IE får støtte for sikkerhetsmekanismen HSTS (HTTP Strict Transport Security)

Neste versjon av Internet Explorer og Project Spartan skal få støtte for sikkerhetsmekanismen HSTS (HTTP Strict Transport Security). HSTS beskytter mot «man-in-the-middle»-angrep ved å bruke en kryptert forbindelse.
Referanser
http://www.digi.no/sikkerhet/2015/02/17/ie-bl[...]

Lenovo installerer tvilsom adware på nye maskiner.

Lenovo installerer et adware som heter Superfish på nye maskiner. Denne applikasjonen har blitt rapportert av brukere å installere sitt eget sertifikat som gjør det mulig å snik titte på andre koblinger dataen gjør, som f.eks din oppkobling til nettbanken. Lenovo har midlertidig stoppet å installere denne applikasjonen til noen endringer er gjort i den.
Referanser
http://thenextweb.com/insider/2015/02/19/leno[...]

InfoSec om DNS-based DDoS.

InfoSec har en kort artikkel om DNS basert DDOS angrep. Her er også noen enkle råd om hvordan begrense en DNS servers muligheter til å være med i et DDOS angrep.
Referanser
https://isc.sans.edu/diary/DNS-based+DDoS/19351

Wednesday, 18 February 2015

2015.02.18 - Nyhetsbrev

Kaspersky Lab skriver om en hackergruppe fra midtøsten som angriper mål i samme område.

Kaspersky Lab skriver om hackergruppe fra midtøsten

Kaspersky Labs har publisert en rapport om hackergruppen "The Desert Falcons". Gruppen skal bestå av arabisk-talende personer fra midtøsten, og har utført en rekke målrettede angrep i hovedsak mot fremtredende mål i samme område. Hovedformålet med angrepene har vært informasjonsuthenting.
Referanser
https://securelist.com/blog/research/68817/th[...]

Tuesday, 17 February 2015

2015.02.17 - Nyhetsbrev

Kaspersky Lab skriver om svært avansert hackergruppe. Hackere fra Gaza og Egypt sies å ha opprettet samarbeid for å angripe Israel.

Kaspersky Lab skriver om svært avansert hackergruppe

En utrolig sofistikert hackergruppe ble nylig oppdaget av Kaspersky Labs. De har valgt å kalle gruppen "The Equation Group". Mange mener at grupperingen egentlig er NSA, basert på likheter med tidligere lekket materiale. Gruppen, som har greid å holde seg skjult i omtrent 14 år, har utviklet flere forskjellige verktøy for å stjele informasjon fra deres ofre. Disse verktøyene er avanserte og kan infisere maskiner uten å bli oppdaget.

Forskerne sier at de har greid å dokumentere rundt 500 infeksjoner i 42 forskjellige land. Det reelle tallet er nok flere tusen, da malwaren som har blitt brukt til å infisere maskinene har muligheten til å ødelegge seg selv.

Et eksempel på et av deres avanserte verktøy er muligheten til å gjemme malware i firmwaren til harddisker. Dette gjør at en malware-infeksjon kan overleve en vanlig sletting av harddisken. Dette har fungert mot harddisker til tolv forskjellige harddisk-produsenter, og tyder på tilgang til kildekoden for firmwaren.

Kaspersky har også avdekket at personer har blitt infisert av CDer som har blitt manipulert i posten. De har også avdekket metoder for å hente ut informasjon fra spesielt sikrede nett ved hjelp av infiserte USB-pinner.
Referanser
https://threatpost.com/massive-decades-long-c[...]
http://arstechnica.com/security/2015/02/how-o[...]
http://www.zdnet.com/article/beyond-stuxnet-a[...]

Hackere fra Gaza og Egypt sies å ha opprettet samarbeid for å angripe Israel

Sikkerhetsforskere ved Trend Micro har oppdaget to forskjellige angreps-kampanjer, "Operation Arid Viper" og "Operation Advtravel"- Kampanjene har likheter som tyder på et samarbeid mellom hackere fra Gaza og Egypt.

Trends teori er at begge kampanjene er en manifestasjon av cyber milits-aktivitet i den arabiske verden, og at det "kan være en overordnet organisasjon eller et underjordisk samfunn som bidrar til å støtte arabiske hackere med å kjempe tilbake mot antatte fiender av Islam".
Referanser
http://www.theregister.co.uk/2015/02/16/israe[...]

Monday, 16 February 2015

2015.02.16 - Nyhetsbrev

Over 100 banker verden over har vært infiltrert av kriminelle ved hjelp av Carbanak-malware. Digi.no har vært med på øvelse med kyberkrigerne hos Forsvarets ingeniørskole. Forskere presenterer teknikk for kryptering av minnedata for kjørende programvare.

Banker verden over infiltrert av kriminelle

Hackere skal ha infiltrert over 100 banker i 30 land i en operasjon for å stjele penger iflg Kaspersky. Via PC-er infisert med Carbanak-malware i bankenes nettverk iverksatte de overføringer av penger til egne kontoer og utbetaling av kontanter fra minibanker til gitte tidspunkter.
Referanser
http://www.nytimes.com/2015/02/15/world/bank-[...]
http://www.hackingnews.com/malware/carbanak-h[...]
http://www.digi.no/sikkerhet/2015/02/16/tiden[...]

På øvelse med Forsvarets ingeniørsoldater

Digi har blitt med Forsvarets ingeniørsoldater på øvelse og forteller om hvordan soldatene må klare seg utendørs med våpen i dyp snø og minusgrader, samtidig som de skal kunne sette opp avansert nettverksutstyr og forsvare enheten mot digitale angrep.
Referanser
http://www.digi.no/bedriftsteknologi/2015/02/[...]

HARES: Kryptering av minnedata for kjørende programvare.

Forskere ved sikkerhetsselskapet Assured Information Security har kommet opp med en teknikk som angivelig gjør reverse engineering av programvare praktisk talt umulig. "Hardened Anti-Reverse Engineering System (HARES)" baserer seg på at informasjon krypteres i minne, med en nøkkel som holdes i CPU. Utvikleren mener at dette vil beskytte mot at uvedkommende oppdager sårbarheter, men ser at dette også vil gjøre malwareanalyse vanskeligere. Teknikken skal presenteres på konferansen SyScan 2015 i mars.
Referanser
http://www.wired.com/2015/02/crypto-trick-mak[...]

Friday, 13 February 2015

2015.02.13 - Nyhetsbrev

E-tjenesten har presentert trusselrapport for 2015. Trusselen mot Norge forventes å øke, særlig i det digitale rom. Samtidig reduseres investeringsbudsjettet til Cyberforsvaret med 70%.

Facebook har lansert en samarbeidsplattform for utveksling av trusseldata på nett, med flere store aktører ombord.

Trusselrapport fra E-tjenesten

E-tjenesten publiserte i går en ugradert rapport om trusler mot Norge. Rapportene inneholder informasjon blant annet om utviklingen i Russland, Midtøsten og Nord-Afrika. Rapporten omfatter også utviklingen på nettet og hvordan andre land bruker dette til å spionere på Norge.

Rapporten slår fast at nettverksbaserte etterretningsoperasjoner blir stadig mer målrettede og teknisk avanserte, og at det er statlige aktører som står bak den mest alvorlige trusselen.

I følge rapporten er Russland og Kina de to statlige aktørene som er mest aktive hva gjelder etterretningsoperasjoner mot Norge. De største truselene i fredstid er innsyn i politiske vurderinger, militære forhold kommersielle data og intellektuell eiendom.

Rapporten inneholder også informasjon om hvilke typer angrep disse aktørene gjerne bruker for å få tak i informasjon.
Referanser
http://www.aftenposten.no/nyheter/iriks/Dette[...]
http://forsvaret.no/ForsvaretDocuments/FOKUS2[...]

Cyberforsvaret får kraftig redusert budsjett.

I lys av E-tjenestens trusselrapport advarer generalmajor Odd Egil Pedersen om at Norge vil stå svekket mot nettverksbaserte trusler når Cyberforsvarets investeringsbudsjett kuttes med 70%.
Referanser
http://www.aftenposten.no/nyheter/iriks/Norsk[...]

Facebook lanserer plattform for deling av trusseldata

Facebook har lansert en plattform for deling av data knyttet til malware, phishing, ondsinnede domener og lignende via et API. Dropbox, Tumblr, Twitter og Yahoo er blant aktørene som deltar i datautvekslingen.
Referanser
https://www.virusbtn.com/blog/2015/02_12.xml
https://threatexchange.fb.com/

Thursday, 12 February 2015

2015.02.12 - Nyhetsbrev

Skylagringsfirmaet BOX lanserer kryptert skylagring hvor bare kunden har tilgang til krypteringsnøkler og data.

Box lanserer kryptert skylagring

Skylagringsfirmaet Box oppgraderer tjenesten sin slik at bare kundene har tilgang til krypteringsnøkler og data. Nøklene lagres i en egen hardware-enhet for hver kunde. Box påstår at hverken de eller myndigheter kan få tilgang til kundenes informasjon.
Referanser
http://www.theverge.com/2015/2/10/8012767/box[...]

Wednesday, 11 February 2015

2015.02.11 - Nyhetsbrev

Microsoft er ute med denne månedens sikkerhetsoppdateringer og Google har kommer med oppdateringer til nettleseren Chrome. Crowdstrike har gitt ut sin årlige sikkerhetsrapport. Forbes sine nettsider skal ha blitt brukt i et målrettet angrep mot amerikansk forsvar og finans. Til slutt tar vi med at arstechnica har testet pen-testing verktøyet Pwn Plug R3.

Microsoft har sluppet oppdateringer for februar

Microsoft slapp i går kveld ni oppdateringer som retter 56 svakheter der hele 41 av disse er i Internet Explorer. Tre av oppdateringene er rangert som kritiske og seks er rangert som viktige. Disse omfatter Windows, Office, Explorer og Microsoft Server-programvare. Threatpost har en artikkel som tar for seg de viktigste oppdateringene denne gangen og her nevnes MS15-009 som fikser de mest alvorlige svakhetene i Internet Explorer, MS15-010 for de mest alvorlige svakhetene i selve Windows operativsystemet og MS15-011 som er en kritisk svakhet i Group Policy.
Referanser
http://blogs.technet.com/b/msrc/archive/2015/[...]
http://threatpost.com/monster-ie-update-top-p[...]

Google oppdaterer Google Chrome

Google har sluppet ny versjon av nettleseren Google Chrome. Den nye versjonen retter 11 svakheter hvorav 3 er rangert som "høy".
Referanser
http://googlechromereleases.blogspot.no/2015/[...]

Arstechnica tester Pwn Plug R3

Arstechnica har testet den nye Pwn Plug R3. Pwn Plug er en såkalt pen-testing "drop box". Det vil si en liten boks som det er meningen at skal plasseres enten i eller i nærheten av det nettverket som skal pen-testes. Denne versjonen av Pwn Plug inneholder ny og forbedret hardware basert på Intel sin NUC plattform. Pwn Plug kommer med programvaren Pwnix som er en modifisert versjon av Kali Linux med noe ekstra proprietær programvare.
Referanser
http://arstechnica.com/information-technology[...]

Crowdstrike ute med threat intel report for 2014

Rapporten tar blant annet for seg at det har vært utstrakt bruk av PoS malware det siste året. Store hendelser som Malaysia Airlines ulykkene og urolighetene i Ukraina bidro i større grad til målrettede angrep enn planlagte hendelser som for eksempel verdensmesterskap i fotball. PlugX ser også ut til å ha vært angripernes foretrukne verktøy for fjernstyring og uthenting av informasjon i denne typen angrep. Threatpost har skrevet en egen artikkel om akkurat dette. Rapporten tar også for seg de nye og mest fremtredende trusselaktørene den siste tiden.
Referanser
http://threatpost.com/plugx-go-to-malware-for[...]

Forbes sine nettsider hacket og brukt i angrep mot amerikansk forsvar og finans

Forbes er et amerikansk nyhetsmagasin med fokus på finans, industri, økonomi og markedsføring. Kinesiske hackere skal ha kompromitert nettsidene til Forbes (forbes.com) og brukt disse til å videresende besøkende fra amerikansk forsvar og finans til en nettside med exploit kit. Det ble brukt såkalte nulldags svakheter i både Internet Explorer og Adobe flash for å utføre angrepet som er av typen vannhullsangrep.
Referanser
http://www.washingtonpost.com/blogs/the-switc[...]

Tuesday, 10 February 2015

2015.02.10 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 9 February 2015

2015.02.09 - Nyhetsbrev

Dårlig sikkerhet i norske nettbutikker. Lovforslag i forbindelse med falske basestasjoner får kritikk.

Lovforslag om enklere tilgang for bruk av falske basestasjoner får kritikk

Et lovforslag som ville gjøre det langt enklere for Polititet å bruke falske basestasjoner får kritikk av Riksadvokaten, politijurister og advokater. Lovforslaget vil la Politiet selv avgjøre når det er nødvendig å bruke falske basestasjoner, og det vil ikke være nødvendig med tillatelse fra domstolene slik som i dag.
Referanser
http://www.aftenposten.no/nyheter/iriks/polit[...]

Dårlig sikkerhet i nettbutikker

Digi har skrevet en artikkel angående dårlig sikkerhet i nettbutikker. Det gjelder blant annet manglende kryptering på deler av prosessen ved kjøp, og at enkelte nettbutikker antagelig bryter norsk lov.
Referanser
http://www.digi.no/932813/daarlig-sikring-i-n[...]

Oppsummering av nyhetsbildet for Januar 2015

TSOC Blogg: Oppsummering av nyhetsbildet for januar 2015.
Referanser
http://telenorsoc.blogspot.no/2015/02/oppsumm[...]

Friday, 6 February 2015

2015.02.06 - Nyhetsbrev

Innbrudd hos forsikringsgigant i USA. Russland med propaganda mot blogger og sosiale medier. Sikkerhetseksperter frykter at Kina og Russland skal stjele norsk teknologi. Apper med tidsinnstilt adware fjernet fra Google Play.

Innbrudd hos forsikringsgigant i USA

Forsikringsselskapet Anthem i USA har blitt utsatt for datainnbrudd. Angriperne fikk kopiert ut rundt 80 millioner personnummer og andre opplysninger om kunder. Mange mener at Kina står bak innbruddet.
Referanser
https://krebsonsecurity.com/2015/02/china-to-[...]

Russland med propaganda mot blogger og sosiale medier

DN.se skriver om en gruppe på 250 personer i St. Petersburg som jobber for russiske myndigheter. Arbeidsoppgavene er å blogge, kommentere og skrive i sosiale medier til støtte for Russland.
Referanser
http://www.dn.se/nyheter/varlden/de-ar-putins[...]

Sikkerhetseksperter frykter at Kina og Russland skal stjele norsk teknologi

Roger Johnsen, direktør for Norsk Senter for Informasjonsikkerhet, mener at norske småbedrifter er sjanseløse til å holde på sine høyteknologiske hemmeligheter og tror Russland og Kina er ute etter å stjele avansert norsk teknologi.
Referanser
http://www.tv2.no/2015/02/05/nyheter/pst/nors[...]

Apper med tidsinnstilt adware fjernet fra Google Play

Google har fjernet tre Android-apper fra Google, etter at en bruker varslet sikkerhetsselskapet Avast om at selskapets mobilsikkerhetsapp ikke blokkerte de tre appene. Appene skal ha inkludert et annonserammeverk som viste brukeren annonser om tvilsomme sikkerhetsapper hver gang mobilen ble låst opp. Annonsene ble først vist flere dager etter at appen ble installert. Det var dermed vanskelig å vite hvilken app som var ansvarlig.
Referanser
http://www.digi.no/932788/fjernet-adware-appe[...]

Thursday, 5 February 2015

2015.02.05 - Nyhetsbrev

Adobe Flash, Flash og Flash! Svakhet funnet i Siemens ICS-systemer, og det er oppdaget en spionasje-app for iOS.

Utnyttelse av 0-dagssvakhet i Flash oppdaget i Exploit Kit

SpiderLabs melder om at 0-dagssvakhet i Flash som ble rapporter 3. feburar blir nå aktivt utnyttet da Exploit-kittet HanJuan inneholder kode for denne svakheten. Svakheten kan føre til at en angriper får kjørt tilfeldig kode på en sårbar klient.
Referanser
http://blog.spiderlabs.com/2015/02/a-new-zero[...]

Adobe ute med patch for siste 0-dagssvakheten i Flash

De som har automatisk oppdatering av Flash vil nå kunne oppdatere sin sårbare versjon av Flash. En versjon for manuell nedlasning vil komme i løpet av dagen, melde Adobe.
Referanser
http://threatpost.com/adobe-begins-patching-t[...]

Operasjon Pawn Storm: Spionasje-app for iOS

I forbindelse med spionasjekampanjen Operasjon Pawn Storm, har Trend Micro funnet to applikasjoner for iOS som brukes for å spionere på høyprofilerte mål i amerikansk regjering, militær, NATO-allierte og media.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]
http://www.scmagazine.com/spyware-apps-are-ta[...]

En gjennomgang av 0-dagssvakhetene i Flash

Ars Technica har en god (ikke-teknisk) gjennomgang av 0-dagssvakhetene i Adobe Flash, og hvordan den vanlige brukeren er sårbar - og hva som kan gjøres for å beskytte seg.
Referanser
http://arstechnica.com/security/2015/02/as-fl[...]

Flere svakheter i Siemens Ruggedcom WIN switcher (ICS)

Det er oppdaget en rekke svakheter i ICS utstyr fra Siemens, av typen Ruggedcom WIN switcher (Wimax basestasjoner brukt til ICS/SCADA-systemer) Svakheten kan føre til ekstern kodeeksekvering og/eller mulighet for kontroll av utstyr uten noen form for autentisering.
Anbefaling
.
Referanser
http://threatpost.com/siemens-ics-switches-hi[...]

Wednesday, 4 February 2015

2015.02.04 - Nyhetsbrev

Stor kampanje sprer krypteringsmalware via mail. Bloggeren "0x3a" ser på Fiesta Exploit-Kit. Active 24 sliter med tjenestenekt-angrep og innbrudd på kunders web-sider. Omfattende Cross-Site-Scripting svakhet påvist i alle versjoner av Internet Explorer.

Stor ransomware kampanje sprer CTB Locker

CERT-teamet til Société Générale melder om en pågående kampanje som sprer krypterings-malware kalt CTB-Locker via mail. Vi i TSOC kan bekrefte at flere norske bedrifter stod på mottakerlisten i går for denne kampanjen.
Referanser
http://securityaffairs.co/wordpress/33076/cyb[...]

En detaljert gjennomgang av Fiesta Exploit-Kit

Bloggeren "0x3a" tar en detaljert gjennomgang av Fiesta Exploit-kit.
Referanser
http://blog.0x3a.com/post/110052845124/an-in-[...]

Active 24 rammet av tjenestenekt, kunder har vært nede i 14 dager.

Digi.no bringer nyheten om at Active 24 skal ha blitt rammet av omfattende tjenestesnekt-angrep (DDoS) over en periode på omlag to uker. I tillegg til DDoS angrepene skal også flere av kundene hos Active 24 ha fått plassert uønsket/ondsinnet kode på side websider.
Referanser
http://www.digi.no/932722/active-24-rammet-av[...]

Internet Explorer åpen for angrep.

Det britiske IT-sikkerhetselskapet Deusen har oppdaget en svakhet i alle versjoner av Internet Explorer (IE). Svakheten er relatert til implementeringen av en innebygd sikkerhetsmekanisme i IE kalt "Same-Origin Policy", og åpner for universal Cross-Site-Scriptting (XSS). Det finnes pt. ingen patch for denne svakheten, men Microsoft jobber angivelig med å fikse problemet.
Anbefaling
Bruk en annen nettleser enn Internet Explorer.
Referanser
http://www.digi.no/932747/ie-aapen-for-avanse[...]
http://seclists.org/fulldisclosure/2015/Feb/0

Tuesday, 3 February 2015

2015.02.03 - Nyhetsbrev

Ny 0-dagssvakhet i Flash. FireEye slipper rapport om Assadregimets digitale angrep mot opposisjonen i Syria.

Ny 0-dagssvakhet i Flash

Adobe advarer om en kritisk sårbarhet i Flash Player. Sårbarheten gjelder alle plattformer og kan potensielt gi en angriper kontroll over et sårbart system. Adobe advarer også at svakheten utnyttes aktivt i drive-by angrep mot Internet Explorer og FireFox kjørende på Windows 8.1 og elder versjoner av Windows.
Referanser
https://helpx.adobe.com/security/products/fla[...]
http://threatpost.com/another-flash-zero-day-[...]

FireEye beskriver digitale angrep fra Syria konflikten.

FireEye gir ut en rapport som tar for seg angrep som fremkommer i konflikten i Syria. Denne beskriver hvordan hacker-angrep gav Assadregimet tilgang til motstandernes detaljerte strategier, angrepsplaner o.l.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Monday, 2 February 2015

2015.02.02 - Nyhetsbrev

ENISA er ute med årsrapport over digitale trusler for 2014. BMW distribuerer sikkerhetsoppdatering til 2,2 millioner biler. Ny ransomware krypterer databaser til webapplikasjoner.

ENISA Cyber Threat Landscape 2014

ENISA er ute med årsrapport med oppsummering av trusselbilde i det digitale rom for 2014. Rapporten konkluderer blant annet med at 50% av observert malware forblir udetektert av antivirus, og at 30% av malware benytter kryptering for å skjule kommunikasjon.
Referanser
https://www.enisa.europa.eu/activities/risk-m[...]

BMW-sårbarhet gir tilgang til å låse opp biler

En sårbarhet i BMW's Connected Drive-system ga forskere mulighet til å etterligne BMW-servere og låse opp kjøretøyer over internett. Problemet ble oppdaget av Allgemeiner Deutscher Automobil-Club (ADAC), og ble bekreftet på flere modeller. BMW sender nå ut programvareoppdateringer til rundt 2,2 millioner biler utstyrt med Connected Drive, og nevner at det så langt ikke er avdekket tilfeller der sårbarheten har blitt misbrukt.
Referanser
http://www.pcworld.com/article/2878437/bmw-ca[...]
http://news.hitb.org/content/bmw-cars-found-v[...]

Ransomware for webapplikasjoner

High-Tech Bridge skriver om en malware som infiserer webapplikasjoner slik at data skrives kryptert til bakenforliggende databaser og dekrypteres ved henting. Krypteringsnøkkelen fjernes etter en tid av bakmennene og leveres ut igjen mot løsepenger.
Referanser
https://www.virusbtn.com/blog/2015/02_02.xml
https://www.htbridge.com/blog/ransomweb_emerg[...]