Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 31 March 2015

2015.03.31 - Nyhetsbrev

Adware er et økende problem også på OS X. Anonymous planlegger angrep mot Israel 7. april.

Økende mengde adware til Mac

Bloggen How-To Geek viser hvordan adware og annen uønsket programvare er i ferd med å bli et økende problem også på Apples OSX. Denne typen programmer kommer ofte som del av en "bundle", sammen med programmet man faktisk ønsker å installere, og kan i enkelte tilfeller ikke velges bort under installasjon. Problemet kan omgås ved å kun benytte App Store til installasjon av programmer.
Referanser
http://www.howtogeek.com/210589/mac-os-x-isn%[...]

Anonymous vil "utslette Israel fra Internett"

En gruppe som kaller seg Anonymous Arab har publisert en video på Youtube, der de truer med å ta ned nettsider og servere tilhørende finansielle og offentlige institusjoner i Israel den 7. april. Angrepene skal etter sigende fortsette inntil det settes en stopper for brudd på folkeretten og ulovlige bosetninger.

Erfaringsmessig ender denne typen koordinerte angrep fra Anonymous opp med å gjøre liten skade.
Referanser
http://www.nrk.no/verden/truer-med-a-utslette[...]

Monday, 30 March 2015

2015.03.30 - Nyhetsbrev

Kina står trolig bak massivt DDOS angrep mot Github. Europool sjef bekymret over utfordringene kryptering skaper for politiet. Tjenestene Slack og Puushme har blitt kompromittert, der oppdateringsmekanismen til puushme skal ha blitt brukt til å distribuere malware.

Puushme updater brukt til å distribuere malware

Tjenesten Puushme som tilbyr klient til Windows, Mac OS X og Iphone for deling av screenshots, skal ha distribuert malware via programmets innbygde oppdaterings-mekanisme. Foreløpig er det lite detaljer om hvordan kompromitteringen har skjedd.
Referanser
https://twitter.com/puushme

Europol sjef bekymret over gode krypteringer

Politisjef i Europol, Rob Wainwright sier at de sofistikerte metodene for sikker kommunikasjon er ett av de største problemene sikkerhetsorganisasjonen har for å oppdage terrorister. Mr Wainwright sier at bedrifter innen kryptering og sikker kommunikasjon bør vurdere virkningen av deres kryperingsprogramvare for utfordringene dette gir politiet.
Referanser
http://www.bbc.com/news/technology-32087919

Slack avslører brudd på sin brukerprofil database

Slack rapporterer at de har hatt innbrudd i deres database, hvor brukerprofil med navn, epost, Skype ID, telefonnummer og hashet passord har blitt lagret. Ingen finansiell informasjon skal ha blitt hentet av innbruddstyvene. Slack melder også at de nå har samarbeidet med eksterne eksperter som kryssjekker og verifiserer at systemet nå igjen er trygge. Slack har også lansert 2-faktor autentisering etter hendelsen.
Referanser
https://threatpost.com/slack-discloses-breach[...]
http://slackhq.com/post/114696167740/march-20[...]

DDoS angrep mot Github via JavaScript injisering

Natt til torsdag startet et DDoS-angrep mot Github som kom fra kinesiske IPer. Angrepet ble utført ved at utstyr ved de kinesiske border-ruterne la til en liten snutt med JavaScript på hver eneste forespørsel som gikk mot nettsider som bruker Baidu, Kinas svar på Google, som reklameleverandør. Denne JavaScripten kjørte en forespørsel mot to spesielt valgte Github-sider, Greatfire og CN-NYTimes, hvert andre sekund. Dette førte til at Github fikk utrolig mye trafikk mot deres servere. Prosjektene som blir angrepet prøver å motvirke kinesisk sensur. Angrepet fortsatte gjennom helga.
Referanser
http://insight-labs.org/?p=1682
http://www.theregister.co.uk/2015/03/27/githu[...]
http://www.theverge.com/2015/3/27/8299555/git[...]
https://status.github.com/messages

Friday, 27 March 2015

2015.03.27 - Nyhetsbrev

PST gir statusoppdatering i saken om falske basestasjoner, Cisco har sluppet oppdateringer for mange av sine systemer og McAfee Labs skriver om hvordan POS Malware unngår deteksjon.

Cisco har publisert sin halvårlige IOS sikkerhetsoppdatering

Cisco har publisert sin halvårlige sikkerhetsoppdatering omhandlende IOS-programmvare. Publikasjonen inneholder syv sikkerhetsråd som adresserer sårbarheter i Cisco IOS-programmvare.
Referanser
http://www.cisco.com/web/about/security/intel[...]

PST gir statusoppdatering i saken om falske basestasjoner

PST gir ut statusoppdatering i saken om mulige falske basestasjoner. De konkluderer med at det ikke er funnet indikasjoner på bruk av falske basestasjoner eller IMSI-fangere i det grunnlagsmaterialet som Aftenposten bygget sine konklusjoner på.

PST skriver videre at det ikke er noen grunn til å tro at den aktiviteten som PST eller det øvrige politi har hatt når det gjelder bruk av IMSI-fangere, har hatt noen påvirkning på de data Aftenposten har basert sine konklusjoner på.
Referanser
http://www.pst.no/media/utgivelser/statusoppd[...]

McAfee Labs skriver om hvordan POS Malware unngår deteksjon

McAfee Labs skriver om hvordan POS malware (Point of Sale) bruker tidsstempling for å unngå deteksjon.
Referanser
https://blogs.mcafee.com/mcafee-labs/pos-malw[...]

Thursday, 26 March 2015

2015.03.26 - Nyhetsbrev

I en pressekonferanse i dag kl. 14 kommer PST trolig til å avvise Aftenpostens avsløringer om bruk av falske basestasjoner i Oslo sentrum.

PST avviser trolig Aftenpostens mobilavsløringer

Aftenposten.no melder at PST trolig vil avvise Aftenpostens avsløringer om bruk av falske basestasjoner i og rundt Oslo sentrum. Dette vil finne sted i en pressekonferanse PST holder idag kl. 14.
Referanser
http://www.aftenposten.no/nyheter/PST-avviser[...]

Wednesday, 25 March 2015

2015.03.25 - Nyhetsbrev

NSM advarer om spionasje mot forretningsreisende på hotell. En phishing-kampanje i Danmark skiller seg ut ved å være skrevet på perfekt dansk og rette seg spesifikt mot kiropraktorer. En malwareanalytiker har delt detaljer om kjøring av 10.000 malware-samples.

Norske myndigheter advarer mot hotellspionasje

Nasjonal Sikkerhetsmyndighet forteller i Dagens Næringsliv om hvordan spionasje mot forretningsreisende kan foregå på hoteller. Artikkelen inneholder en del råd om hvordan man bør forholde seg til sensitiv informasjon på reise.
Referanser
http://www.dn.no/magasinet/2015/03/20/2118/Re[...]

Ransomware-angrep mot spesifikk bransje i Danmark

CSIS rapporterer om et phishing-angrep spesielt rettet mot kiropraktorer i Danmark, utformet som en henvendelse fra en pasient med peker til skadevare i Dropbox, forkledd som testresultater. I utgangspunktet ble det servert ransomware, men i etterkant av bloggposten har det også vært observert servering av RAT-verktøyet DarkComet.

Meldingen var skrevet på perfekt dansk. Det er grunn til å forvente at bransjer i Norge vil kunne oppleve tilsvarende.
Referanser
http://www.csis.dk/da/csis/news/4629/

100 dager med malwareanalyse

Brendan Dolan-Gavitt har kjørt malware-samples gjennom verktøyet PANDA i 100 dager og delt resultatene på internett. I materialet ligger nå over 10.000 pakkedumper, logger og film-opptak fra kjøring av malwaren, fritt tilgjengelig for nedlasting.
Referanser
http://moyix.blogspot.be/2015/03/100-days-of-[...]

Tuesday, 24 March 2015

2015.03.24 - Nyhetsbrev

Russisk etteretning intensiverer overvåkning av norsk energivirksomhet iflg PST. If og IBM lanserer samarbeider om datakrim-forsikring. Google har tatt grep mot uautoriserte sertifikater for noen av sine domener. Cisco sender utstyr til falske adresser for å unngå modifisering under frakt. Streaming-tjenesten Twitch melder om mulig datainnbrudd.

PST: Russisk etteretning intensiverer overvåkning av norsk energivirksomhet

Benedicte Bjørnland sier til Aftenposten at russerne nå har dreid mer av sin etteretningsvirksomhet overfor Norge i retning av energisektoren og trekker frem etableringen av KraftCERT som beskyttende tiltak. Iflg styreleder Peer Østli handler russisk overvåking i norsk energisektor både om industrispionasje og kunnskap til å kunne bedrive sabotasje.
Referanser
http://www.aftenposten.no/incoming/PST-Russis[...]

If og IBM lanserer samarbeider om datakrim-forsikring

Løsningen er rettet mot If's forretningskunder for å hjelpe dem med å håndtere risiko forbundet med digitale trusler som malware, virus, DDos (Distributed Denial of Service) og hacker-angrep. IBM vil utruste If med et evalueringsskjema som de har utviklet i fellesskap, der risikopotensialet avdekkes og der den overordnede sikkerhetsstatus for en mulig forsikringstaker blir kartlagt.
Referanser
http://www.cw.no/artikkel/ddos/vil-bekjempe-d[...]

Cisco sender utstyr til falske adresser for å unngå modifisering under frakt

John Stewart i Cisco forteller hvordan kunder kan få tilsendt utstyr til forhåndsavtalte falske adresser for at myndigheter ikke skal kunne vite hvem utstyret er ment for og dermed kunne installere bakdører under frakt. I kjølvannet av Snowden-lekkasjene om NSA's program for inngripen i postforsendelser har Cisco gjort analyse av hardware for å detektere modifisering, uten hell.
Referanser
http://www.theregister.co.uk/2015/03/18/want_[...]

Streaming-tjenesten Twitch melder om mulig datainnbrudd

Den sosiale streamingtjenesten Twitch melder at de kan ha vært utsatt for et datainnbrudd og at brukerinformasjon om medlemmene kan være på avveie. Iflg en bloggpost har Twitch resatt alle brukerenes passord og frakoblet andre tjenester som har vært bundet til kontoen, som Twitter og Youtube.

Brukere oppfordres til å bytte passord alle steder hvor de kan ha benyttet samme passord som på Twitch.
Referanser
http://blog.twitch.tv/2015/03/important-notic[...]

Google advarer om uautoriserte sertifikater for noen av sine domener

Google forteller i en pressemelding at den kinesiske organisasjonen CNNIC i en periode gikk god for falske digitale sertifikater for noen av Googles domener. Feilen skyldtes at CNNIC hadde delegert muligheten til å gå god for sertifikatene til det egyptiske selskapet MCS Holdings.

Sertifikater utstedt til MCS vil ikke være ansett som trusted i Firefox 37 og siste versjon av Chrome.
Referanser
http://arstechnica.com/security/2015/03/googl[...]
http://googleonlinesecurity.blogspot.no/2015/[...]
https://blog.mozilla.org/security/2015/03/23/[...]

Monday, 23 March 2015

2015.03.23 - Nyhetsbrev

Alle de 4 store nettleserne faller under årets Pwn2Own. Forskere mener det er enklere å utnytte firmware/BIOS svakheter for å overvåke maskiner enn det mange tror. Sikkhetsforsker har greid å omgå EMET 5.2.

Sikkerhetsprogrammet EMET v5.2 omgått

En sikkerhetsforsker skriver at han har klart å omgå Microsofts sikkerhetsprogram EMET v5.2. Programmet installeres på Windows for å detektere og blokkere teknikker ofte brukt for å ta kontroll over sårbare applikasjoner.
Referanser
http://casual-scrutiny.blogspot.in/2015_03_01[...]

Hacking av BIOS for å ta kontroll over maskiner

Mange datamaskiner har bugs som gjør at en forholdsvis enkelt kan reprogrammere BIOS i systemet uten at brukeren merker det. Dette kan ofte gjøres ved å infisere operativsystemet på maskinen, eller ved å oppnå fysisk tilgang. Når BIOS er infisert kan maskinen overvåkes og manipuleres uten at det er mulig for operativsystemet eller sikkerhetsprogramvare å avsløre det.
Referanser
http://www.forbes.com/sites/thomasbrewster/20[...]

Flere kritiske bugs avdekket de mest populære nettleserne på Pwn2Own

Den årlige Pwn2Own hacker-konkurransen avsluttet med å utbetale 442.000 USD til deltakere for å ha funnet 21 kritiske bugs i Chrome, IE, Safari og Mozilla Firefox. Det ble også avdekket svakheter i Windows, Adobe Flash og Adobe Reader.
Referanser
https://threatpost.com/all-major-browsers-fal[...]
http://arstechnica.com/security/2015/03/all-f[...]

Friday, 20 March 2015

2015.03.20 - Nyhetsbrev

Beskyldninger mot Kaspersky og politisering av sikkerhetsindustrien. OpenSSL gir ut ny oppdatering. Alvorlige svakheter i Drupal 6 og 7.

Beskyldninger mot Kaspersky og politisering av sikkerhetsindustrien

Bloomberg beskylder i en artikkel Kaspersky for å ha nære bånd til FSB og andre i det russiske statsapparatet. Det påstås også at programvare installert på kunders datamaskiner brukes til å hjelpe FSB i etterforskninger. Kaspersky avviser påstandene og mener at de er plantet etter at de har skrevet om NSA og deres metoder.

Reuters skriver også om saken og balkaniseringen av sikkerhetsindustrien. De påpeker at FireEye har bånd til NSA. De mener at sikkerhetsfirmaene helst avslører hemmelige tjenester og kampanjer fra andre land, og beskytter sine egne myndigheter fra å bli eksponert.
Referanser
http://www.bloomberg.com/news/articles/2015-0[...]
https://eugene.kaspersky.com/2015/03/20/a-pra[...]
http://www.reuters.com/article/2015/03/12/us-[...]

OpenSSL gir ut ny oppdatering

Som nevnt i gårsdagens nyhetsbrev, ga OpenSSL ut oppdatering som fikser rundt 14 svakheter i natt.

Detaljene rundt disse svakhetene har nå blitt gitt ut. To av svakhetene er rangert som høy viktighetsgrad. Den første er en svakhet som ble introdusert i versjon 1.0.2 som kan bli utnyttet til å utføre et tjenestenekt-angrep på servere som bruker OpenSSL. Den andre er en endring av rangeringen til FREAK-svakheten som ble oppdaget tidligere i måneden. Svakheten ble først klassifisert som mindre viktig, da en først ikke var klar over omfanget av problemet.

Det anbefales å oppdatere til nyeste versjon så fort som mulig.
Referanser
https://www.openssl.org/news/secadv_20150319.txt
http://www.symantec.com/connect/blogs/new-ope[...]
http://arstechnica.com/security/2015/03/opens[...]

Alvorlige svakheter i Drupal 6 og 7

Drupal inneholder en alvorlig svakhet som lar brukere logge inn uten passord. Det er også en svakhet som lar angripere bruker en Drupal-installasjon til å sende brukere til en annen side (open redirect). Det anbefales å oppdatere så fort som mulig.
Anbefaling
Oppgrader til siste versjon
Referanser
https://www.drupal.org/drupal-7.35
https://www.drupal.org/SA-CORE-2015-001

Thursday, 19 March 2015

2015.03.19 - Nyhetsbrev

Apple har sluppet en sikkerhetsoppdatering til Safari. I morgen vil OpenSSL slippe patcher som utbedrer en rekke svakheter.

OpenSSL gir ut oppdatering i morgen for å fikse sikkerhetshull

OpenSSL Project har annonsert en oppdatering av biblioteket for å fikse en rekke sikkerhetshull. Oppdateringen er planlagt torsdag den 19. Mars. Detaljer om sikkerhetshullene vil ikke bli publisert før oppdateringen er ute.
Referanser
http://krebsonsecurity.com/2015/03/openssl-pa[...]
http://marc.info/?l=openssl-announce&m=142653[...]

Apple gir ut sikkerhetsoppdatering for Safari

Apple gir ut sikkerhetsoppdatering for Safari. Sikkerhetshullene skal kunne tillate en angriper å eksekvere koder eksternt eller hindre brukere fra å bedømme phishing-angrep riktig ved å manipulere URLen som vises.
Referanser
https://support.apple.com/en-is/HT204560
http://www.us-cert.gov/ncas/current-activity/[...]

Wednesday, 18 March 2015

2015.03.18 - Nyhetsbrev

Google innfører forhåndsgodkjenning av nye apps i Google Play. Windows 10 vil få innebygd biometrisk autentisering.

Google innfører forhåndsgodkjenning av apps i Google Play

Google har nå et eget team som skal forhåndsgodkjenne alle nye apps som legges ut på Google Play. De lover at det bare skal ta et par timer å godkjenne appene. De innfører dette sammen med et bedre system for aldersgrenser på apps.
Referanser
http://android-developers.blogspot.ca/2015/03[...]

Windows hello - passordfri autentisering i Windows 10

Windows Hello skal bygges inn i Microsoft sitt nye operativsystem og gi brukeren tilgang til biometrisk autentisering via fingeravtrykk, ansiktsgjenkjenning og iris-scanning. Disse autentiseringsmekanismene vil bli støttet av hardware utviklet av Microsoft sine samarbeidpartnere til dette formålet. Autentiseringen kan også brukes av web-sider og tredjepartsapplikasjoner.
Referanser
http://blogs.windows.com/bloggingwindows/2015[...]

Tuesday, 17 March 2015

2015.03.17 - Nyhetsbrev

NSM har sluppet rapporten Risiko 2015 i forbindelse med Sikkerhetskonferansen 2015, som starter i dag.

NSM har sluppet rapporten Risiko 2015

Risikoen for at sentrale kritiske funksjoner, samfunnsviktig infrastruktur, skjermingsverdig informasjon og mennesker blir rammet av spionasje, sabotasje, terror og andre alvorlige handlinger er økende, skriver Nasjonal sikkerhetsmyndighet (NSM) i sin årlige rapport, Risiko 2015. NSM håndterte i fjor 88 alvorlige dataangrep, en økning fra 51 i 2013. Fremmed etterretning utgjør den største og mest alvorlige trusselen.
Referanser
https://www.nsm.stat.no/aktuelt/--okt-risiko-[...]
http://www.nrk.no/norge/88-alvorlige-dataangr[...]
https://www.nsm.stat.no/globalassets/rapporte[...]

Monday, 16 March 2015

2015.03.16 - Nyhetsbrev

Yahoo tilbyr on demand-passord.

Yahoo tilbyr "on demand"-passord

Yahoo tilbyr nå mulighet for "on demand" passord for brukere i USA. I praksis betyr dette at man får tilsendt en SMS med passord hver gang man ønsker å logge seg på tjenesten. Altså kun steg nummer to i standard to-faktor autentisering med sms.
Referanser
http://yahoo.tumblr.com/post/113708272894/a-n[...]
http://www.theverge.com/2015/3/15/8219529/yah[...]

Friday, 13 March 2015

2015.03.13 - Nyhetsbrev

Adbobe har sluppet oppdatering til flash som fikser alvorlige svakheter. Microsoft har slupper versjon 5.2 av EMET. Utpressnings-malware krypterer filer relatert til populære spill.

Microsoft EMET 5.2 sluppet

Microsoft har sluppet versjon 5.2 av EMET. Se referanse for detaljer.
Referanser
https://isc.sans.edu/diary/Microsoft+EMET+5.2[...]
http://blogs.technet.com/b/srd/archive/2015/0[...]

Utpressings-malware krypterer spill-filer

Bromium melder om en utpressings-malware variant kalt Teslacrypt, som blant annet vil forsøke å kryptere filer relatert til en rekke populære spill. Normalt sett pleier slik malware å gå etter dokumenter, bilder, og lignende, men de som står bak tenker nok at også noen som har investert mange timer i et spill kan være villige til å punge ut.
Referanser
http://labs.bromium.com/2015/03/12/achievemen[...]

Adobe Flash oppdatering fikser svakheter

Adobe har sluppet en oppdatering til Flash som fikser flere svakheter som potensielt kan misbrukes til å få kjørt vilkårlig kode. Oppdateringen gjelder både Windows, Mac og Linux.
Anbefaling
Oppdater ved første anledning
Referanser
https://helpx.adobe.com/security/products/fla[...]

Thursday, 12 March 2015

2015.03.12 - Nyhetsbrev

Xen har patchet tre sårbarheter i deres virtualiseringsplattform. Interessant analyse av EquationDrug - et rammeverk for spionasje. Falske Facebook-profiler sprer propaganda i Norge. Antivirus-programmet Panda registrerte seg selv som malware. Problemer med Apple-tjenester i går.

Problemer med Apple-tjenester

Apple-brukere slet onsdag kveld med å logge seg på tjenestene Appstore, iTunes samt iBooks butikkene. Selskapet bekrefter dette på sine egne nettsider. Tjenestene kom opp igjen etter noen timer og en talsperson for Apple sier at selskapet beklager feilen og at den skyldtes interne DNS-problemer.
Referanser
http://www.tv2.no/2015/03/11/nyheter/apple/te[...]
http://arstechnica.com/apple/2015/03/apple-dn[...]
https://www.apple.com/support/systemstatus/

Antivirus-programmet Panda registrerte seg selv som malware

Onsdag slapp det spanske sikkerhetsprogrammet en oppdatering, som endte med at Panda registrerte systemfiler fra oppdateringen som malware og satte dem i karantene.
Referanser
http://www.theregister.co.uk/2015/03/11/panda[...]

Falske Facebook-profiler sprer propaganda i Norge

NRK melder at falske Facebook-profiler sprer propaganda i Norge. Dette er tidligere omtalt i store utenlandske medier og det spekuleres i at det hele er statlig finansiert.
Referanser
http://www.nrk.no/kultur/falske-facebook-prof[...]

Interessant analyse av EquationDrug - et rammeverk for spionasje

EquationDrug er en plattform med et modulbasert rammeverk brukt av The Equation Group til å utøve cyberspionasje. SecureList har en analyse av denne plattformen. The Equation Group er en meget kompetent trusselaktør med fartstid tilbake til 2000-tallet, som mange mener er identisk med NSA.
Referanser
http://securelist.com/blog/research/69203/ins[...]

Xen har patchet tre sårbarheter i deres virtualiseringsplattform

Xen har publisert informasjon rundt tre sårbarheter i virtualiseringsplattformen deres. Samtidig annonserte Xen at sårbarhetene allerede var fikset og at alle bør oppdatere. Store hosting-tilbydere har fått tilgang til oppdatering før annonseringen fant sted og har allerede patchet sine systemer.
Referanser
http://nakedsecurity.sophos.com/2015/03/11/as[...]
http://xenbits.xen.org/xsa/advisory-123.html

Wednesday, 11 March 2015

2015.03.11 - Nyhetsbrev

Microsoft er ute med oppdateringer for mars. En av oppdateringene fikser den såkalte Stuxnet svakheten som egentlig skulle vært fikset helt tilbake i 2010.

Microsoft har sluppet oppdateringer for mars

Microsoft slapp i går kveld 14 oppdateringer som retter 45 svakheter. Fem av oppdateringene er rangert som kritiske og resten er rangert som viktig. Disse omfatter Internet Explorer, Windows, Office, Server-programvare og Exchange.

En av oppdateringene som har fått mye oppmerksomhet er CVE-2015-0096, en oppdatering til MS10-046 også kjent som "Stuxnet svakheten". Stuxnet spredte seg som kjent via USB minnepinner og svakheten gjorde det mulig å få eksekvert kode ved minimalt med brukerinteraksjon. Microsoft skulle ha fikset denne svakheten helt tilbake i 2010, men gårsdagens oppdatering viser altså at dette ikke var tilfelle.
Referanser
https://technet.microsoft.com/library/securit[...]
https://isc.sans.edu/diary/Microsoft+March+Pa[...]
http://h30499.www3.hp.com/t5/HP-Security-Rese[...]

Tuesday, 10 March 2015

2015.03.10 - Nyhetsbrev

Svakhet i DRAM kan gi root-rettigheter. Apple fikser FREAK-svakheter m.m. Svakhet i Apache ActiveMQ åpner for tjenestenektangrep.

Utnyttelse av DRAM-svakhet kan brukes rettighetseskalering

Google's Project Zero har greid å utnytte en svakhet i en viss type DDR minne for å kunne endre på rettighetene til en Linux-bruker.

Svakheten finnes i de nyeste DDR3-brikkene, og skyldes at det er utrolig liten avstand mellom DRAM cellene på denne typen brikker. Dette kan føre til at en minne-operasjoner som er utført flere hundre tusen ganger i sekundet mot én minnecelle kan føre til at verdien i den nærmeste nabocellen noen ganger endres.

Google har funnet ut hvordan en kan kartlegge hvilke celler som er naboer og hvordan en kan utnytte endringen til i noen tilfeller å oppnå root-tilgang til systemet.

Les mer om svakheten i artikklen under.
Referanser
http://arstechnica.com/security/2015/03/cutti[...]
http://googleprojectzero.blogspot.no/2015/03/[...]

Apple gir ut oppdatering som blant annet fikser FREAK-svakheter

Apple har nå gitt ut oppdatering til OS X 10.8, 10.9, 10.10, iOS og Apple TV som skal fikse blant annet TLS FREAK svakheten som gjorde det mulig for angripere å nedgradere TLS-tilkoblingen til en versjon som er lettere å knekke.
Referanser
https://support.apple.com/en-us/HT204413
https://nakedsecurity.sophos.com/2015/03/09/a[...]

Ny svakhet i Apache ActiveMQ kan åpne for tjenestenekt angrep.

Apache ActiveMQ har to kritiske feil som gjør det mulig for angripere å utføre tjenestenektangrep mot servere som bruker denne teknologien.

En bruker som har muligheten for å hente ut og legge meldinger til i meldingskøen kan også utnytte dette for å lese lokale filer som brukeren som kjører serveren har tilgang til.

Denne svakheten finnes i Apache ActiveMQ 5.0.0 til 5.10.0 og Apache ActiveMQ Apollo 1.0 til 1.7.

Det anbefales å oppgradere til 5.11 eller høyere når det gjelder Apache ActiveMQ, 1.7.1 eller høyere med Apache ActveMQ Apollo.
Anbefaling
Anbefales å oppgradere til 5.11 eller høyere når det gjelder Apache ActiveMQ, 1.7.1 eller høyere med Apache ActveMQ Apollo.
Referanser
http://www.v3.co.uk/v3-uk/news/2398665/apache[...]

Monday, 9 March 2015

2015.03.09 - Nyhetsbrev

Det viser seg at Politiets har unnlatt å varsle tilsynsmyndighetene ved bruk av falske basestasjoner i etterforskningsøyemed.Det er publisert tekniske detaljer omkring utnyttelse av den tidligere rapporterte sårbarheten i Samba. Banktrojaneren Dridex spres nå også via falske XML-vedlegg. Det lokale helsevesenet i Stockholm fikk i forrige uke store problemer etter angrep av krypto-malware. ISC gir et lite innblikk i hvordan malware forsøker å unngå deteksjon ved generering av mutex-navn. Vi oppsummerer nyhetsbildet for februar 2015.

Bruk av falske basestasjoner var i strid med loven

I 2013 fikk Politiet og PST utvidede fullmakter til å benytte falske basestasjoner til å overvåke eller stanse mobiltrafikk i Norge, under forutsetning av at tilsynsmyndighetene ble varslet i hvert enkelt tilfelle. Det viser seg nå at varslingsplikten aldri ble fulgt. PST har ment at varslingsplikten var i strid med taushetsplikten, men ser nå på praktiske løsninger for å gjennomføre varslingen.
Referanser
http://www.aftenposten.no/nyheter/iriks/Norsk[...]

Tekniske detaljer om Samba-sårbarheten

Trend Micro har publisert tekniske detaljer omkring Samba-sårbarheten som ble rapportert i slutten av februar (CVE-2015-0240). Sårbarheten oppgis å være attraktiv for angripere, men vanskelig å utnytte,
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

Dridex bank trojaneren blir spredd via makro i XML filer

Banktrojaneren Dridex har en stund blitt spredd via makroer i Excel-filer. I følge Trustwave blir de nå også spredd via base64-kodede XML-filer. Filene spres via e-post. Nå vedlegget åpnes blir man bedt om å aktivere makroer for å kunne se dokumentet. Trustwave forteller at de har detektert flere hundre ulike varianter av disse e-postene.
Referanser
http://threatpost.com/dridex-banking-trojan-s[...]

Analyse av malware-genererte mutex-navn.

Utviklere av malware trenger en måte å identifisere hvorvidt et system allerede er infisert av deres malware, samtidig som de prøver å unngå deteksjon av antivirus eller forensics. ISC har en bloggpost om hvordan malware genererer mutex-navn som er forutsigbare for de kriminelle, men vanskelige å detektere i analyse.
Referanser
https://isc.sans.edu/diary/How+Malware+Genera[...]

Ledelsen for helsevesenet i Stockholm lammet av ransomware.

Et hundretalls ansatte i helseforvaltningen i Stockholm Fylkeskommune måtte fredag levere inn PC og ta fri etter angrep av en krypto-trojaner mot to servere. Hendelsen medfører at hver enkelt PC analyseres og retankes før den får koble til nettverket igjen.
Referanser
http://www.idg.se/2.1085/1.614057/stor-trojan[...]

Oppsummering av nyhetsbildet for februar 2015

Vi har publisert en oppsummering av nyhetsbildet for februar innenfor datasikkerhet.
Referanser
http://telenorsoc.blogspot.no/2015/03/oppsumm[...]

Friday, 6 March 2015

2015.03.06 - Nyhetsbrev

Alle støttede Windows-versjoner sårbare for FREAK og Angler exploit kit tar i bruk domene skygging.

Anger exploit kit tar i bruk domene skygging

Angler exploit kit har funnet en ny måte å skjule seg selv fra detektering. Metoden, kjent som domene skygging, går ut på å samle domene-kontoinformasjon, ofte ved bruk av phishing, for så å opprette underdomener i ellers lovlige domener med linker til ondsinnede servere. Siden lenkene går til legitime domener er det vanskeligere å få svartelistet de aktuelle domenene.
Referanser
http://blogs.cisco.com/security/talos/angler-[...]
http://www.tripwire.com/state-of-security/lat[...]

Alle støttede Windows-versjoner sårbare for FREAK-svakheten

I en sikkerhetsveiledning publisert av Microsoft varsles det at alle støttede versjoner av Windows er påvirket av den nylig oppdagede FREAK sårbarheten. Svakheten gjør det mulig å utføre MItM-angrep når sårbare klienter kobler seg opp mot SSL-servere som støtter svake krypteringsalgoritmer.

Den sårbare komponenten i Windows er Secure Channel, som brukes blant annet av Internet Explorer. Microsoft jobber med en patch. Det er mulig å omgå svakheten ved å skru av støtten for svake sertifikater i Windows. En kan også bruke andre nettlesere enn Internet Explorer som implementerer sin egen kryptering.
Referanser
http://securityaffairs.co/wordpress/34506/hac[...]
https://technet.microsoft.com/library/securit[...]
http://www.digi.no/sikkerhet/2015/03/06/ogsa-[...]

Thursday, 5 March 2015

2015.03.05 - Nyhetsbrev

D-Link oppdaterer flere DIR-hjemmerutere. Google Chrome fikser 51 svakheter. Flere selskaper organiserer lovlig leting etter svakheter og utbetaling av belønninger for å finne dem.

D-Link kommer med oppdatering til flere DIR-hjemmerutere

D-Link har nå gitt ut en oppdatering til DIR-820L som skal fikse tre svakheter som kunne la angripere endre på DNS-konfigurasjonen og andre innstillinger på ruteren uten å trenge passord eller brukernavn. En feil som ble funnet i D-link DIR-636L modellen kunne gi muligheten for angripere å endre på ruterinstillingene for å så utnytte denne i et DDoS angrep.

D-Link anbefaler at administrasjons-interfacet til routerne ikke gjøres tilgjengelig fra Internet. Fra fabrikken er bare dette tilgjengelig fra det interne nettet, og kan dermed ikke utnyttes så lett. Det er imidlertid mulig å lure en bruker til å besøke en web-side som tar kontroll over routeren fra innsiden ved hjelp av Javascript i nettleseren.

D-Link kommer til å gi ut oppdateringer til disse ruterene:
DIR-626 - 10. mars
DIR-808L - 6. mars
DIR-810 - 5. mars
DIR-826 - 9. mars
DIR-830 - 6.mars
DIR-836 - 10.mars
Referanser
https://threatpost.com/d-link-working-on-firm[...]
http://securityadvisories.dlink.com/security/[...]

Ny oppdatering til Google Chrome fikser 51 svakheter

Google har nå gitt ut en ny versjon av Google Chrome, versjon 41. Denne fikser 51 sikkerhetssvakheter i nettleseren, hvor 13 av disse er kritiske feil.

Google ga ut rundt 52 000 amerikanske dollar til personer som har funnet alle disse svakhetene.
Referanser
http://googlechromereleases.blogspot.ro/2015/[...]

Nye bedrifter hjelper hackere tjene millioner på lovlig vis

Store selskaper har lenge betalt hackere for å rapportere inn svakheter de finner hos selskapene. Dusørene har steget gradvis. Nå har det kommet en bølge med nyoppstartede bedrifter som ansetter hackere for å finne svakheter hos selskaper som ønsker det.
Referanser
http://www.theverge.com/2015/3/4/8140919/get-[...]

Wednesday, 4 March 2015

2015.03.04 - Nyhetsbrev

Bug funnet i diverse SSL/TLS implementasjoner gjør det mulig å avlytte https-sesjoner vha. man-in-the-middle angrep og bruk av svak krypteringsalgoritme. Svakheten er kjent som FREAK, og rammer i hovedsak Android og iOS/OS X enheter.

FREAK - Ny alvorlig svakhet i mange SSL/TLS implementasjoner.

Forskere har oppdaget en bug i en rekke implementasjoner av SSL og TLS som gjør det mulig for en angriper å avlytte krypterte forbindelser vha. et Man-In-The-Middle (MITM) angrep. Dette er mulig ved å utnytte en bug som finnes i enkelte SSL/TLS-klienter og som går ut på å fremtvinge nedgradering til en gammel, svak krypteringsalgoritme mellom klient og server ved oppsett av en sikker sesjon. Nøklene som da benyttes (såkalte 512-bits RSA export nøkler), kan så knekkes for en lav kostnad ila. få timer vha. skybaserte tjenester. For at angrepet skal fungere må både klient og server støtte bruk av "RSA export-keys". Angrepet rammer i hovedsak Android og iOS/OS X enheter. Sårbare leverandører jobber med å fikse svakheten.
Referanser
http://arstechnica.com/security/2015/03/freak[...]
http://www.washingtonpost.com/blogs/the-switc[...]
http://blog.cryptographyengineering.com/2015/[...]

Tuesday, 3 March 2015

2015.03.03 - Nyhetsbrev

Det er avdekket en sårbarhet i SSH-klienten PuTTY. Brukere som benytter SSH-nøkler bør oppgradere til ny versjon så snart som mulig. Open WhisperSystems gir ut Signal 2.0 til iOS, nå med støtte for krypterte tekstmeldinger også mot Android. Fireeye beskriver servering av malware via online-auksjoner for bannerreklame.

Signal 2.0 er lansert for iOS

Open WhisperSystems, drevet av Moxie Marlinspike, har nå utgitt Signal 2.0. Appen som bringer privat telefoni til iOS får nå også støtte for krypterte tekstmeldinger. Marlinspike forteller at planene videre er å integrere appen tettere mot Androids RedPhone og utvikle en egen desktop-klient. Signal 2.0 støtter nå krypterte meldinger mot TextSecure på Android-plattformen.
Referanser
http://threatpost.com/signal-2-0-brings-encry[...]
https://whispersystems.org/blog/the-new-signal/

Malvertising via reklameauksjoner

Fireeye viser hvordan "Online Ad Auctions" - auksjoner hvor høystbydende får tilgang til å vise sine reklamebannere på gitte websider - kan misbrukes til å servere skadevare.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Sårbarhet i PuTTY

Utvikleren av SSH-klienten PuTTY informerer om en sårbarhet som medførte at private SSH-nøkler ble liggende i minne, lesbar for andre prosesser.
Denne sårbarheten ble opprinnelig rapportert rettet i gjeldende versjon, men viste seg likevel å vedvare.
Anbefaling
Alle som benytter private SSH-nøkler bør oppgradere til versjon 0.64 umiddelbart. Det anbefales også å bytte private nøkler, da eksisterende nøkkel kan ha vært lest av uvedkommende eller befinner seg i lesbare minnedumps.
Referanser
http://lists.tartarus.org/pipermail/putty-ann[...]

Monday, 2 March 2015

2015.03.02 - Nyhetsbrev

Oppdateringer som fikser flere svakheter i Xen er på vei. HP sin Security Risk Report 2015 er nå tilgjengelig. Seagate NAS er sårbare for en rekke svakheter. Nettsiden til Universal Tolerance Organization hacket etter karikatur-utstilling.

HP har sluppet Cyber Risk Report 2015

HP har publisert sin Cyber Security Report for 2015. De påpeker blant annet at industrien fortsatt er plaget med mange av de samme problemene år etter år. I 2014 har det også vært en trend med nyoppdagede alvorlige svakheter i lenge brukt programvare.
Referanser
http://info.hpenterprisesecurity.com/LP_45659[...]

Sårbarheter i Seagate NAS produkter

Det meldes om at flere Seagate NAS produkter er sårbarhe for en rekke svakheter som gjør det mulig å tilegne seg root-tilgang på enhetene. Mange av svakhetene skyldes at NAS programvaren er bygget opp av en rekke gamle og utdaterte pakker. Det finnes foreløpig ingen oppdatering tilgjengelig som retter svakhetene, og det anbefales å holde produktene unna Internet.
Referanser
http://www.theregister.co.uk/2015/03/02/seaga[...]
https://beyondbinary.io/advisory/seagate-nas-rce/
https://isc.sans.edu/diary/Advisory%3A+Seagat[...]

Nettside hacket etter karikatur-utstilling

Nettsiden til Universal Tolerance Organization ble søndag hacket og besøkende ble videresendt til khamenei.ir. Universal Tolerance Organization stod fredag bak en karikaturutstilling i Drammen, og det er grunn til å tro at dette er motivasjonen bak hackingen av deres hjemmeside. Lederen for organisasjonen spekulerer i at det er det iranske regimet som står bak hackingen.
Referanser
http://www.nrk.no/kultur/nettside-hacket-ette[...]

Oppdatering til Xen som fikser en rekke svakheter på vei

Det meldes om at det ventes oppdateringer til hypervisoren Xen som skal fikse 5 ulike svakheter. Noen utvalgte store brukere av Xen skal allerede ha fått tilgang til oppdatering, blant annet Amazon og Rackspace. Oppdateringene ventes tilgjengelige for alle 5., 10. og 12. mars.
Anbefaling
Oppdater ved første anledning
Referanser
https://www.cert.dk/nyheder/nyheder.shtml?15-[...]
http://xenbits.xen.org/xsa/