Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 30 April 2015

2015.04.30 - Nyhetsbrev

Malware blir brukt til å gjøre videoer virale, antakeligvis i forbindelse med propaganda. Google har utgitt Chrome-utvidelse for å forhindre passord-phising. Pass opp for svindel i forbindelse med Nepal-katastrofen. Paypal servere er sårbar for hacking.

Malware blir brukt til å gjøre videoer virale

SpiderLabs har skrevet en blogpost om malware som bl.a. prøver å gjøre videoer på Internett virale, ved å øke antall klikk og visninger av videoen. Så langt har man sett at det er pro-Russiske videoer som er målet for dette.
Referanser
https://www.trustwave.com/Resources/SpiderLab[...]

Paypal servere sårbar for hacking

Ved å utnytte en ekstern kode-eksekverings-sårbarhet i Java Debug Wire Protocol (JDWP) er det mulig å hacke en PayPal server, rapporterer sikkerhetseksperten Milan A Solanki. Solanki meldte ifra til Paypal, som har fikset feilen.
Referanser
http://securityaffairs.co/wordpress/36394/hac[...]

Pass opp for svindel i forbindelse med Nepal-katastrofen

SANS advarer mot svindel-eposter i forbindelse med Nepal-katastrofen. Som etter alle større katastrofer, er det nå mange som prøver å lure penger fra folk som vil hjelpe. Dersom du vil donere penger, oppsøk selv nettsidene til en kjent hjelpeorganisasjon. Ikke trykk på linker i tilsendte e-poster.
Referanser
https://isc.sans.edu/forums/diary/Scammy+Nepa[...]

Chrome-utvidelse som varlser bruker ved passord-phishing

Google har lansert en utvidelse til Chrome, som vil varsle brukeren om du taster inn ditt Google-passord på andre sider en Google sine egne - og dermed blir utsatt for et phishing-angrep. Advarselen vil også dukke opp dersom brukeren bruker samme passord på andre legitime sider.
Referanser
http://arstechnica.com/security/2015/04/29/ne[...]

Wednesday, 29 April 2015

2015.04.29 - Nyhetsbrev

Cisco har gitt ut dekrypteringsverktøy for ransomwaren TeslaCrypt.

AV-løsninger fra Avast, Kaspersky og ESET åpner for utnyttelse av diverse TLS-svakheter.

Google Chrome har kommet med en oppdatering som tetter fem svakheter.

Cisco har gitt ut dekrypteringsverktøy for ransomware TeslaCrypt

Cisco Talos har nå gitt ut et dekrypteringsverktøy for TeslaCrypt, en ransomware som låser filene på maskinene din og krever "løsepenger". Ofre for denne typen ransomware kan nå laste ned verktøyet og låse opp filene selv.

Referanser
http://blogs.cisco.com/security/talos/teslacrypt
http://www.darkreading.com/cloud/cisco-offers[...]

AV-løsninger fra Avast, Kaspersky og ESET åpner for utnyttelse av diverse TLS-svakheter.

En tysk sikkerhetsblogger ved navn Hanno Bock har funnet ut at Anti-Virus applikasjoner fra Avast, Kaspersky og ESET alle senker sikkerheten i krypterte web-sesjoner. For å kunne inspisere kryptert trafikk for ondsinnet aktivitet bryter AV-applikasjonene fra de nevnte produsenter "inn" i TLS-sesjonene. Dette er imidlertid ikke implementert på en god nok måte, og som en følge av dette er f.eks. Kaspersky brukere sårbare for det tidligere omtalte "FREAK"-angrepet.
Referanser
http://www.scmagazineuk.com/updated-kaspersky[...]

Google Chrome Multiple Vulnerabilities

Google Chrome har kommet med en oppdatering som tetter fem svakheter.
Anbefaling
Oppdatèr til versjon 42.0.2311.135
Referanser
http://www.secunia.com/advisories/64195
https://sites.google.com/a/chromium.org/dev/H[...]
https://chromium.googlesource.com/chromium/sr[...]

Tuesday, 28 April 2015

2015.04.28 - Nyhetsbrev

Ny 0-dagssårbarhet oppdaget i WordPress. Patch er tilgjengelig. IBM starter plattform for deling av trusselinformasjon. E-posttjenesten SendGrid oppfordrer til passordbytte etter kompromittering.

IBM starter plattform for deling av sikkerhetsinformasjon

IBM gjør 700 terrabyte med informasjon om skadevare, spam, sårbarheter og sikkerhetshendelser fra de siste 20 årene tilgjengelig for offentlige og private virksomheter, via plattformen X-Force Exchange. Dataene skal i hovedsak komme fra endepunkter som overvåkes av IBMs sensornettverk.
Referanser
http://www.cw.no/artikkel/sikkerhet/deler-ut-[...]
https://exchange.xforce.ibmcloud.com/

Sikkerhetsoppdatering tetter 0-dagssvakhet i WordPress

Det finske sikkerhetsselskapet Klikki Oy har funnet en sårbarhet som kan utnyttes av angripere for å få eksekvert kode ved å injisere javascript i en kommentar-post i WordPress.

Javascriptet trigges når en administrator leser kommentaren i forkant av publisering, og kan benyttes til å gjøre alt som administratoren har rettigheter til på systemet.

Wordpress har utgitt en patch som tetter sikkerhetshullet. Mer informasjon i lenken nedenfor.
Anbefaling
Alle som benytter kommentarer med forhåndsmoderering i WordPress bør installere patch så snart som mulig. Det er også en god ide å begrense tilgangen til moderator-kontoer, slik at de ikke har tilgang til funksjoner som ikke behøves.
Referanser
http://klikki.fi/adv/wordpress2.html
http://arstechnica.com/security/2015/04/27/ju[...]
https://wordpress.org/news/2015/04/wordpress-[...]

E-posttjenesten SendGrid hacket

Tjenestetilbyderen SendGrid, som sender ut nyhetsbrev og lignende på vegne av en rekke store selskaper, har gått ut med en oppfordring til alle sine kunder om å bytte passord. Brukere må også oppdatere DKIM-nøkler på sine domenenavn for å sikre at uvedkommende ikke kan sende "legitim" e-post på deres vegne eller på annen måte misbruke deres tilganger. Bakgrunnen er en ansatt som har fått arbeidsstasjonen sin kompromittert, med det som konsekvens at kundedata kan være på avveie.
Anbefaling
Bedrifter som benytter SendGrid til utsendelse av e-post bør bytte passord og oppdatere DKIM-nøkler.
Referanser
http://blog.lumension.com/10048/sendgrid-emai[...]

Monday, 27 April 2015

2015.04.27 - Nyhetsbrev

Hackere tok kontroll over hjemmesidene og twitter konto tilhørende Tesla. Antivirus programvare reduserer ofte SSL sikkerheten på datamaskinen.

Antivirus kan ofte redusere HTTPS sikkerheten på maskinen

I en bloggpost skrevet av Hanno Böck, beskriver han hvordan han tok for seg 3 ulike antivirus leverandører, Kaspersky, Avast og ESET, og kikket på hvordan de håndterte analyse av SSL trafikk. For å oppnå dette må antivirusprogramvaren opptre som en MitM, og selv sørge for at SSL forbindelsen videre er sikker, og det er her mange av problemene oppstår. Blant problemene som ble funnet er blant annet at ingen av de tre støttet HTTP Public Key Pinning. Enkelt leverandører var sårbare for FREAK, CRIME, og manglet støtte for TLS 1.2. For detaljer se referanse.
Referanser
https://blog.hboeck.de/archives/869-How-Kaspe[...]

Tesla angrepet av hackere

På lørdag tok hackere kontroll over Teslas nettsider og Twitter-kontoer. Hacket ble antakeligvis utført ved å få tilgang til Teslas DNS-innstillinger. Slike angrep gjøres ofte ved hjelp av social engineering. Etter å ha fått tilgang til DNS-pekerne er det lett å få tilgang til e-poster sendt til bedriften. Dette gjør det igjen lett å resette passord til diverse tjenester via e-post.
Referanser
http://www.theverge.com/2015/4/25/8497545/tes[...]

Friday, 24 April 2015

2015.04.24 - Nyhetsbrev

Nesten 100000 nettbutikker skal være sårbare for en alvorlig svakhet i e-handelsløsninger fra Magento. Svakheten utnyttes nå aktivt.

Aktiv utnyttelse av alvorlig svakhet i e-handelsløsning fra Magento påvirker 100000 nettbutikker

Arstechnica melder at kriminelle nå aktivt utnytter en alvorlig svakhet i e-handelsløsninger fra Magento. Svakheten ble patchet i februar, men iflg. Arstechnica skal så mange som 100000 nettbutikker fremdeles være sårbare. Ved utnyttelse av svakheten kan angripere få full kontroll over nettbutikken/web-server, og videre utnytte dette til f.eks. å endre priser på produkter, stjele brukerinformasjon, legge inn exploit-kit mm.
Anbefaling
Installèr patch: https://www.magentocommerce.com/products/downloads/magento/
Referanser
http://arstechnica.com/security/2015/04/poten[...]
http://blog.checkpoint.com/2015/04/20/analyzi[...]

Thursday, 23 April 2015

2015.04.23 - Nyhetsbrev

F-Secure har en større rapport om malwareverktøykassen CozyDuke. WiFi-bug i iOS fører til omstart.

F-Secure med rapport om CozyDuke

Dette er en omfattende rapport som beskriver trojaneren CozyDuke, en verktøykasse brukt av flere trusselaktører i angrep mot en rekke organisasjoner. Cozyduke skal i følge F-Secure ha vært under utvikling siden 2011 og inneholde verktøy for å infisere maskiner, informasjonsuthenting og videre spredning. Det mistenkes at Russiske interesser står bak CozyDuke.
Referanser
https://www.f-secure.com/weblog/archives/0000[...]
https://securelist.com/blog/research/69731/th[...]

WiFi-bug i iOS fører til omstart

Det er oppdaget en bug i iOS 8 som kan føre til at apper krasjer eller at hele enheten omstarter i det uendelige. Svakheten ligger i tolkning av SSL-sertifikater. Tekniske detaljer rundt svakheten er ikke offentliggjort og Apple jobber med en fiks.
Referanser
http://arstechnica.com/security/2015/04/ios-b[...]

Wednesday, 22 April 2015

2015.04.22 - Nyhetsbrev

En sikkerhetsforsker har avdekket at en svakhet i OS X som kan utnyttes til å eskalere brukerrettighetene fremdeles kan utnyttes, til tross for at dette skal ha blitt fikset i oppdatering 10.10.3.

Svakhet for eskalering av brukerrettigheter ikke ordentlig fikset i OS X oppdatering

For to uker siden kom oppdateringen 10.10.3 til OS X. Denne oppdateringen skulle fikse en svakhet som gjorde det mulig for angripere å eskalere brukerrettighetene sine. En sikkerhetsforsker har nå greid å utnytte den samme svakheten på en maskin med oppdatert programvare, men på en litt forskjellig måte en før oppdateringen.
Referanser
https://objective-see.com/blog.html
http://www.zdnet.com/article/apple-failed-to-[...]

Tuesday, 21 April 2015

2015.04.21 - Nyhetsbrev

NRK skriver om hvordan Norge trener på cyberkrig. Svartebørs-marked for 0-dagssårbarheter. Analyse av HTTP.sys-sårbarheten som ble kjent i forrige uke. Det er oppdaget svakheter i flere Wordpress plugins. Trend Micro blogger om utviklingen av malware.

Slik trener Norge på cyberkrig

NRK har besøkt Forsvarets Forskningsinstitutt og sett på scenarioer på en realistisk tenkt fremtid. Video på NRKs nettsider.
Referanser
http://www.nrk.no/norge/slik-trener-norge-pa-[...]

TheRealDeal Market: Svartebørs-marked for 0-dagssårbarheter

Wired har en artikkel om et marked som har dukket opp på det skjulte internettet, der det selges exploit-kode til sårbarheter som angivelig ikke er kjente for offentligheten. Pris på sårbarhetene er ofte titusener av dollar. Det har ikke lyktes Wired å verifisere om sårbarhetene faktisk fungerer.
Referanser
http://www.wired.com/2015/04/therealdeal-zero[...]

Analyse av HTTP.sys-sårbarheten

Qualys' Security Labs-blogg har en gjennomgang av HTTP.sys-sårbarheten som ble rapportert forrige uke, og hvordan den utnyttes.
Referanser
https://community.qualys.com/blogs/securityla[...]

Malware uten filer

I en bloggpost peker Trend Micro på utviklingen av malware som lever utelukkende i RAM på infiserte maskiner, i stedet for å skrives til disk. Som eksempel nevnes malwaren Phasebot, som benytter Windows PowerShell til å kjøre kode skjult i registeret.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

Svakheter i flere wordpress-plugins

WordPress-funksjonene add_query_arg() og remove_query_arg() har vist seg å være benyttet feil i en rekke plugins grunnet uklar dokumentasjon. Dette har medført at disse er sårbare for XSS. Oppdateringer for de fleste skal nå være tilgjengelig.
Anbefaling
Brukere av flg plugins bør oppdatere nå:
Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms
Referanser
https://blog.sucuri.net/2015/04/security-advi[...]

Monday, 20 April 2015

2015.04.20 - Nyhetsbrev

Nytt marked for zero-day exploits beskyttet av TOR. Trend Micro: APT-gruppen Pawn Storm øker sine aktiviteter. FireEye: Russisk hackergruppe utnytter zero-day svakheter i Flash og Windows.

Nytt marked for zero-day exploits beskyttet av TOR

Det har dukket opp en ny markedsplass for programmer for å utnytte ferske svakheter i programvare kalt TheRealDeal Market. Nettstedet er beskyttet av krypteringssystemet TOR (The Onion Router) og betaling skjer via Bitcoins.
Referanser
http://www.wired.com/2015/04/therealdeal-zero[...]

Trend Micro: APT-gruppen Pawn Storm øker sine aktiviteter

Pawn Storm er en gruppe som driver med politisk og økonomisk spionasje. Ifølge Trend Micro har de i det siste utvidet sin infrastruktur. Blant målene til gruppen er NATO og Det hvite hus. Gruppen har vært aktiv siden 2007 og det er mistanke om at russiske myndigheter står bak.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]
http://www.darkreading.com/vulnerabilities---[...]

FireEye: Russisk hackergruppe utnytter zero-day svakheter i Flash og Windows

Ifølge FireEye utnytter en russisk hackergruppe, kalt APT28, zero-day svakheter i Adobe Flash og Windows. APT28 har lang fartstid og det sies at den er sponset av den russiske regjeringen. Det finnes patch for svakheten i Adobe (CVE-2015-3043), men per i dag finnes det ingen patcher for svakheten i Windows (CVE-2015-1701). Svakheten i Windows brukes for å få lokal administrator-tilgang, etter først å ha fått tilgang til maskinen gjennom Flash-exploiten.
Referanser
https://www.fireeye.com/blog/threat-research/[...]
http://www.cnet.com/news/russian-hacking-grou[...]

Friday, 17 April 2015

2015.04.17 - Nyhetsbrev

En sikkerhetsekspert ble onsdag arrestert på et fly etter å ha twitret om enheter som var tilgjengelige på flyets nettverk.

Sikkerhetsekspert arrestert på fly

De siste dagene har det vært en del mediasaker om muligheten for hacking av fly fra in-flight WiFi-systemer og bakken. En av de som har jobbet mest med dette, Chris Roberts, ble på onsdag arrestert i et fly etter å ha twitret om systemer han hadde kartlagt ombord i flyet.
Referanser
http://www.foxnews.com/us/2015/04/17/security[...]
http://www.digi.no/sikkerhet/2015/04/16/advar[...]

Thursday, 16 April 2015

2015.04.16 - Nyhetsbrev

Kritisk svakhet i alle IIS-webservere gjør at Microsoft oppfordrer til hurtig patching.

Sårbarhet i HTTP.sys. Microsoft anbefaler å fremskynde patching

En sårbarhet (MS15-034) adressert i Microsofts oppdateringer for april ansees som ekstra kritisk og Microsoft anbefaler alle å fremskynde patching. Svakheten ligger i HTTP.sys og kan utnyttes ved å sende flere spesielt utformede HTTP-forespørsler som resulterer i buffer overflow og dermed DoS. Verktøy for å utnytte denne svakheten til DoS-angrep finnes allerede offentlig tilgjengelig.

Microsoft informerer om at svakheten også kan utnyttes til remote kodeeksekvering. Verktøy for å utføre dette er enda ikke offentlig tilgjengelig.

På bakgrunn av dette oppfordrer TSOC alle til å ha ekstra fokus på denne svakheten. HTTP.sys brukes av alle IIS webservere (fra og med IIS 6) på Windows 7 og Windows 8.
Anbefaling
Oppdater alle sårbare systemer så fort det lar seg gjøre.
Referanser
https://support.microsoft.com/en-us/kb/3042553
https://technet.microsoft.com/library/securit[...]
https://isc.sans.edu/forums/diary/MS15034+HTT[...]

Wednesday, 15 April 2015

2015.04.15 - Nyhetsbrev

Oracle har sluppet kvartalsvis sikkerhetsoppdatering. Microsoft har sluppet sikkerhetsoppdatering for april med flere kritske patcher. Oppdatering til Adobe Flash Player. Ny versjon av Google Chrome.

Oracle har sluppet kvartalsvis sikkerhetsoppdatering

Oracle har sluppet sin kvartalsvise oppdatering for sine mange produkter. Blant annet patches flere kritiske svakheter i Java. Ellers er det patcher til følgende produkter: Oracle Database, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, Oracle PeopleSoft Enterprise, Oracle JDEdwards EnterpriseOne, Oracle Siebel CRM, Oracle Industry Applications, Oracle Sun Systems Products Suite, Oracle MySQL og Oracle Support Tools.
Referanser
http://www.oracle.com/technetwork/topics/secu[...]
https://blogs.oracle.com/security/entry/april[...]

Microsoft-oppdateringer for april

Microsoft slapp i går kveld 11 oppdateringer som retter 26 svakheter. Fire av oppdateringene er rangert som kritiske og resten er rangert som viktig. Disse omfatter Windows, Internet Explorer, .NET, Office og Server. Flere av oppdateringene er rangert som kritiske og kan la angripere ta kontroll over et sårbart system dersom brukeren besøker en web-side eller åpner et dokument. Det anbefales å patche så fort som mulig!
Referanser
https://technet.microsoft.com/library/securit[...]
http://krebsonsecurity.com/2015/04/critical-u[...]

Oppdatering til Adobe Flash Player

Adobe har nå gitt ut oppdatering til Adobe Flash Player til både Windows, Linux og Mac OSX. Denne oppdateringen skal fikse en svakhet som Adobe sier at allerede utnyttes av angripere. Det anbefales derfor å oppdatere så fort som mulig!
Referanser
https://helpx.adobe.com/security/products/fla[...]

Ny versjon av Google Chrome

Google har nå gitt ut Chrome versjon 42, hvor det har blitt fikset 45 sikkerhetsfeil. I tilegg til dette har denne versjonen av nettleseren slått av NPAPI som standard. Dette vil gjøre for eksempel Oracle's Java-plugin ikke vil fungere, med mindre man endrer på instillingene til nettleseren. I følge Google Chrome-teamet, skal støtten for denne type plugins være fjernet helt i Chrome 45, som er planlagt å komme i September i år.
Referanser
http://googlechromereleases.blogspot.no/2015/[...]
https://www.chromium.org/developers/npapi-dep[...]
http://arstechnica.com/information-technology[...]
http://www.theregister.co.uk/2015/04/14/googl[...]

Tuesday, 14 April 2015

2015.04.14 - Nyhetsbrev

Verizon 2015 Data Breach Investigations Report er ute. Botnettet Simda er tatt ned.

Verizon 2015 Data Breach Investigations Report er ute

Verizon har sluppet sin årlige rapport om datainnbrudd. Rapporten er basert på 80.000 sikkerhetshendelser og over 2.100 faktiske innbrudd. Blant hovedfunnene i rapporten er stor økning i angrep mot butikksystemer (PoS), dramatisk økning i SSL/TLS-kryptert trafikk på nettet og dobling i angrep mot SCADA-systemer.
Referanser
https://software.dell.com/docs/2015-dell-secu[...]
http://news.verizonenterprise.com/2015/04/201[...]

Botnettet Simda er tatt ned

Botnettet Simda, som bestod av over 770.000 infiserte maskiner, har nå blitt tatt ned av politistyrker i flere land. De infiserte maskinene var fordelt over 190 land, mens de 14 kontrollserverne som ble tatt ned befant seg i Nederland, USA, Luxemburg, Polen og Russland. Maskinene som ble infisert fikk installert bakdører som åpnet for å installere mer malware, samt forsøk på å stjele kredittkortinformasjon til brukerene.
Referanser
http://arstechnica.com/security/2015/04/botne[...]

Monday, 13 April 2015

2015.04.13 - Nyhetsbrev

Analyse av Kinas The Great Cannon. Fireye har sluppet en rapport om APT gruppen APT30, som man mener Kina står bak. Diskusjoner i Washington om teknologi-selskaper skal tvinges til å lage en krypto-bakdør til myndighter. Hackere tok over sosiale medier-kontoer til det iransk statlige TV-nettverket Al Alam.

Gjennomgang av Kina's offensive "The Great Cannon"

Citizenlab.org har publisert en detaljert gjennomgang av hvordan Kina's "Great Firewall of China" og "The Great Cannon" fungerer. Ifølge bloggposten ser "The Great Firewall of China" og "The Great Cannon" ut til å være to separate systemer, plassert på/ved Kina's grenserutere. Systemet "The Great Cannon" er systemet som stod bak angrepene mot Github som vi har omtalt tidligere, mens "The Great Firewall" er det mer velkjente systemet for sensur.

Det som er interessant er at "The Great Cannon" vil ha stor rekkevidde på sine injects, blant annet på grunn av at koblinger til Baidu ol. fra store menger nettsider kan misbrukes. De vil derfor med forholdsvis stor sannsynlighet kunne levere fientlige rettede "injects" til store deler av verden. For detaljert gjennomgang og analyse se bloggpost hos Citizenlab.org.
Referanser
https://citizenlab.org/2015/04/chinas-great-c[...]
http://www.theregister.co.uk/2015/04/10/china[...]

Diskusjoner i Washington om teknologi-selskaper skal tvinges til å lage en krypto-bakdør til myndighter

Det foregår diskusjoner og undersøkelser i Washington om teknologi-selskaper skal tvinges til å innføre bakdører, for at myndigheter skal kunne få tilgang til data i forbindelse med etterforskning. Amerikanske teknologiselskaper er imot dette, da de mener at dette vil gi fordeler til selskaper fra andre land som ikke har slike krav.
Referanser
http://www.washingtonpost.com/world/national-[...]

Fireye har sluppet en rapport om APT-gruppen APT30

Fireeye har sluppet en rapport om APT-gruppen kalt APT30, som man mener Kina står bak. Gruppen fokuserer på spionasje og jobber systematisk og er velorganisert. Spor tyder på at gruppen har vært operative i minst 10 år.
Referanser
https://www2.fireeye.com/rs/fireye/images/rpt[...]

Hackere tok over sosiale medier kontoer til det iransk statlige TV-nettverket Al Alam

Det iransk statlige TV-nettverket Al Alam kunngjorde at deres Twitter-konto hadde blitt hacket på søndag. Angriperne har misbrukt kontoen til å spre en falsk rapport ved å legge ut nyheten om en Iran-alliert opprørsleders død. Angriperne hadde også kontroll på deres YouTube-konto.
Referanser
http://securityaffairs.co/wordpress/35920/hac[...]
http://www.voanews.com/content/reu-iran-state[...]

Friday, 10 April 2015

2015.04.10 - Nyhetsbrev

Botnettet Beebone har blitt tatt ned. TV5Monde avslører passord i TV-reportasjer

Botnettet "Beebone" har blitt tatt ned

Botnettet "Beebone", som står bak en polymorfisk orm kalt W32/Worm-AAEH, er nå tatt ned av politi i USA og Europa. Ormen kunne settes opp til å laste ned annen type malware etter infeksjon og den har blant annet blitt brukt til å spre ZBot og Cutwail trojanerne. I 2014 fant McAfee Labs over 100 000 infeksjoner av ormen i 195 land.
Referanser
https://blogs.mcafee.com/mcafee-labs/takedown[...]
http://arstechnica.com/security/2015/04/us-eu[...]

TV5Monde avslører passord i TV-reportasjer

TV5Monde ble hacket på onsdag kveld og sendingene gikk i svart. Hackerne tok også kontroll over sosiale medier. I to reportasjer om hendelsen er flere passord synlige i bakgrunnen, blant annet til Twitter, Instagram og Youtube-kontoen til kanalen.
Referanser
http://arstechnica.com/security/2015/04/hacke[...]
https://twitter.com/pent0thal/status/58628407[...]

Thursday, 9 April 2015

2015.04.09 - Nyhetsbrev

TSOC har publisert oppsummering av nyhetsbildet for mars 2015. Den franske TV-kanalen TV5Monde var nede i går kveld som følge av et hackerangrep. Apple er ute med sikkerhetsoppdateringer for OS X, iOS, Safari og Apple TV. Patcher er tilgjengelige for sårbarheter i NTP.
Det rapporteres om spredning av banktrojaneren Citadel via phishingkampanjer med AlienSpy RAT. Spillnettverket Steam blir misbrukt til å servere malware.

Oppsummering av nyhetsbildet for mars 2015

Vi har oppsummert nyhetene innenfor datasikkerhet for mars måned på bloggen vår.
Referanser
http://telenorsoc.blogspot.no/2015/04/oppsumm[...]

Fransk TV-kanal hacket

Den franske TV-kanalen TV5Monde gikk i svart i tre timer onsdag kveld som resultat av et angrep utført av den islamistiske gruppen "CyberCaliphate". Hackerne tok også over kanalens kontoer i sosiale medier, og kanalens websider er i skrivende stund fortsatt nede. Detaljer om angrepet er foreløpig ikke kjent.
Referanser
http://www.digi.no/sikkerhet/2015/04/09/islam[...]
http://www.theguardian.com/world/2015/apr/09/[...]

Apple oppdaterer OS X, iOS, Safari og Apple TV

Apple har sluppet oppdateringer til OS X, iOS, Safari og Apple TV, som alle retter flere sårbarheter.
Referanser
https://support.apple.com/en-us/HT204659
https://support.apple.com/en-us/HT204661
https://support.apple.com/en-us/HT204662
https://support.apple.com/en-us/HT204658
https://nakedsecurity.sophos.com/2015/04/09/a[...]

Sårbarheter i NTP-autentisering rettes

Ntp.org har patchet to sårbarheter knyttet til nøkkelautentisering for NTP. Sårbarhetene kan henholdsvis la angripere sende uautentiserte pakker til en klient som da vil godta pakkene, og utføre tjenestenekt ved å sende pakker med feil tidsstempel.
Referanser
https://threatpost.com/two-ntp-key-authentica[...]

AlienSpy RAT benyttes i phishingkampanjer

Sikkerhetsselskapet Fidelis har observert phishing-kampanjer der mottakere lures til å åpne eksemplarer av RAT-verktøyet AlienSpy. Den kjørbare filen leveres som vedlegg i e-post, innpakket i et zip-arkiv. Når RAT-verktøyet kjører på offerets maskin, benyttes dette til å installere banktrojaneren Citadel.
Referanser
http://securityaffairs.co/wordpress/35802/cyb[...]
http://www.threatgeek.com/2015/04/fidelis-thr[...]

Falske spillsider på Steam serverer malware.

Flere falske spillsider som i realiteten serverte malware ble oppdaget på Steam sist helg. Rapporten sier lite om hvilken type malware som ble servert.
Referanser
http://www.welivesecurity.com/2015/04/08/hack[...]

Wednesday, 8 April 2015

2015.04.08 - Nyhetsbrev

Russiske hackere står bak et datainnbrudd mot det hvite hus. Dette melder cnn i artikkel fra i går. FBI har gått ut med en advarsel om at ISIS sympatisører bruker Wordpress og tilhørende plugins som angrepsvektor for såkalt defacing av nettsider. Svenske dn.se har en større sak i dag angående en populær add on til Google Chrome som skal ha sendt ut informasjon om hvilke nettsider brukeren har besøkt til en server i USA. Til slutt tar vi med en undersøkelse som viser at flere bedrifter skal ha blitt skremt av Snowdens avsløringer angående NSA og PRISM, men det viser seg at flesteparten bruker de amerikanske tjenestene likevel.

Add-on til Google Chrome med spionkode

Svenske DN har publisert en sak der de viser at flere svenske foretak og over én million brukere har installert en add-on til Chrome, Webpage screenshot, som inneholder spionkode. Den skjulte koden ber nettleseren sende data til en server i USA om hvilke nettsider brukeren har besøkt.
Referanser
http://www.dn.se/ekonomi/hemlig-kod-spionerar[...]

ISIS sympatisører bruker svakheter i Wordpress plugins

FBI har gått ut med en advarsel om at ISIS sympatiører bruker gamle svakheter i Wordpress plugins til såkalt defacing av nettsider. Det oppfordres derfor at Wordpress og alle eventuelle plugins patches for sikkerhetssvakheter så fort til blir gjort tilgjengelige.
Referanser
http://arstechnica.com/security/2015/04/bewar[...]

Russiske hackere står bak et datainnbrudd mot det hvite hus

Det hvite hus sier at datainnbruddet har gitt angriperne tilgang til et ugradert system. Her skal de blant annet ha hentet ut informasjon om presidentens tidsplan. Enda dette er informasjon som ikke er gradert er det likevel ikke offentlig og kan derfor være av stor interesse for utenlandske etterretningsbyåer, skriver cnn i en artikkel i går.
Referanser
http://www.digi.no/sikkerhet/2015/04/08/-russ[...]
http://www.cnn.com/2015/04/07/politics/how-ru[...]

Bedrifter skremt av Snowden avsløringer

Snowdens avsløringer om overvåkning blant annet gjennom PRISM programmet til NSA har skapt skepsis blant mange ikke-amerikanske selskaper til bruk av skytjenester på amerikansk jord. En undersøkelse viser derimot at det kun er 26 prosent som har flyttet sine tjenester og at det blant disse er igjen er 34 prosent som har lagt frykt for spionasje til grunn for overføringen. Til gjengjeld oppgis det også at halvparten av de spurte ikke lagrer sensitiv informasjon hos selskaper lokalisert i Amerika. Dette skriver digi.no i en artikkel i dag.
Referanser
http://www.digi.no/analyser/2015/04/08/bedrif[...]

Tuesday, 7 April 2015

2015.04.07 - Nyhetsbrev

Matthew Green har publisert sin revisjon av Truecrypt. Exploit-kit lager enkelt Word-dokumenter som infiserer brukere. Obama med sanksjoner mot cyberangrep. Google og Mozilla fjerner sertifikater fra CNNIC fra Chrome og Firefox. Google: Mindre enn 1% av Android-enheter har installert farlig programvare. Rob Graham avslører Kinas angrep mot GitHub. Blogginnlegg fra Google om adware-infeksjoner. IBM Lotus Domino Remote Code Execution Vulnerability.

Matthew Green har publisert sin revisjon av Truecrypt

Matthew Green har publisert sin revisjon av Truecrypt. Han konkluderer med at programmet kan sies å være et relativt godt designet, til tross for at det ikke har blitt vedlikeholdt siden Mai 2014. Det ble ikke funnet bakdører i programmet som rykter har tilsagt. Rapporten nevner at programmet har noen små svakheter som i spesielle tilfeller kan misbrukes.
Referanser
http://blog.cryptographyengineering.com/
https://opencryptoaudit.org/

Exploit-kit lager enkelt Word-dokumenter som infiserer brukere

I artikkelen skrives det om et nytt exploit kit som utnytter svakheter i Microsoft Word, som nå selges til hvem som måtte ville ha det, så lenge det ikke brukes til spam. Slike exploit kit som har utnyttet svakheter i Microsoft Word har vært rundt før, men denne pakken som selges inkluderer muligheten til å se om exploit forsøket er velykket eller ikke, samt informasjon om brukeren som det forsøkes mot. Denne informasjonen kan for eksempel være IP, hvor brukeren er i verden, samt hvilken versjon av office brukeren bruker.

Artikkelen går også inn i detaljer om hvordan dette exploit kittet fungerer. Les mer i artikkelen under.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Obama med sanksjoner mot cyberangrep

Obama har signert en ny lov (eller executive order) som gjør at USA kan innføre sanksjoner mot personer eller firmaer som utfører cyber-angrep mot USA. Loven er ment å stoppe øknomisk kriminalitet og spionasje. Et problem med slik tiltak er at det ofte kan være vanskelig å finne ut hvem som faktisk står bak et angrep utført via Internett. Det er ventet at Kina vil bli et av de første målene for sanksjoner.
Referanser
http://www.govinfosecurity.com/anti-hacker-ex[...]
https://medium.com/@PresidentObama/a-new-tool[...]

Google og Mozilla fjerner sertifikater fra CNNIC fra Chrome og Firefox

Google og Mozilla har annonsert at deres nettlesere vil slutte å stole på alle digitale sertifikater utstedt av China Internet Network Information Center (CNNIC), Kinas viktigste digitale sertifiseringsinstans. Beslutningen kommer som følge fra forrige ukes nyheter fra Google, som oppdaget uautoriserte digitale sertifikater for flere av sine domener. Google fant at sertifikatene ble utstedt av Egypt-baserte MCS Holdings, et mellomliggende sertifiseringsinstans som CNNIC har utstedet sertifikater til.
Referanser
http://googleonlinesecurity.blogspot.no/2015/[...]
https://blog.mozilla.org/security/2015/04/02/[...]
http://venturebeat.com/2015/04/02/google-and-[...]

Blogginnlegg fra Google om adware-infeksjoner

Google har studert trafikk mot sine tjenester og har funnet ut at over 5% av besøkende har installert minst én ad-injector. Dette er altså programmer som viser ekstra reklame i web-sider og åpner ekstra vinduer. Google sperret over 192 ad-injectors fra Google Chrome etter undersøkelsene.
Referanser
http://googleonlinesecurity.blogspot.co.uk/20[...]

Rob Graham avslører Kinas angrep mot GitHub

Rob Graham beskriver i et blogginnlegg hvordan han brukte spesialskrevet programvare for HTTP-traceroute for å avsløre Kinas angrep mot GitHub. Han konkluderer med at det er brannmuren som står bak injiseringen av DDoS-kode.
Referanser
http://blog.erratasec.com/2015/04/pin-pointin[...]

Google: Mindre enn 1% av Android-enheter har installert farlig programvare

Google har lansert en rapport hvor de, via programmet "Verified Apps" som er en del av Android, konkluderer med at mindre enn 1% av alle Android-enheter har installert potensielt farlig programvare. Dette tallet inkluderer også enheter som har installert applikasjoner fra andre kilder enn Googles egen Play butikk.
Referanser
https://static.googleusercontent.com/media/so[...]
http://www.itworld.com/article/2905955/under-[...]

IBM Lotus Domino Remote Code Execution Vulnerability

IBM har gitt ut oppdatering til Lotus Domino hvor flere svakehter har blitt fikset. Det anbefales å oppdatere aktuelle systemer snarest mulig.
Anbefaling
Oppdatere programvare.
Referanser
http://www.zerodayinitiative.com/advisories/Z[...]