Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 31 August 2015

2015.08.31 - Nyhetsbrev

APT 28 misbruker EFF i ny malware-kampanje. Artikkel om DDoS-forsterkning ved bruk av BitTorrent. Seks tenåringer i UK arrestert for DDoS-angrep.

APT 28 misbruker EFF i ny malware-kampanje

Grupperingen APT 28, som mange mener er russiske, har laget en kopi av EFFs nettsider i sin siste kampanje. Målrettede phishing-eposter har lurt besøkende til siden. Der har de blitt utsatt for en nylig patchet svakhet i Java. PCen får så installert en bakdør og viktige data blir sendt ut til angriperne.
Referanser
https://threatpost.com/latest-apt-28-campaign[...]

Seks tenåringer i UK arrestert for DDoS-angrep

Myndighetene i UK har arrestert seks tenåringer for å ha brukt en tjeneste for å generere DDoS-angrep. Tjenesten det er snakk om er LizardStresser, laget av den kjente hackergruppen Lizard Squad. Tjenesten er nede for tiden. Blant målene for angrepene er en avis, en skole, nettbutikker og spillselskaper.
Referanser
http://krebsonsecurity.com/2015/08/six-nabbed[...]

Artikkel om DDoS-forsterkning ved bruk av BitTorrent

BitTorrent Engineering Blog skriver om en svakhet i libµBT, et bibliotek som brukes av mange populære BitTorrent klienter, som kan utnyttes til å forsterke tjenestenektangrep. Svakheten i biblioteket er nå fikset.
Referanser
http://engineering.bittorrent.com/2015/08/27/[...]

Friday, 28 August 2015

2015.08.28 - Nyhetsbrev

Mozilla oppdaterer FireFox og Google vil deaktivere Flash auto-play funksjonalitet i Chrome.

Mozilla oppdaterer FireFox

Mozilla har sluppet sikkerhetsoppdatering for FireFox og FireFox ESR. Oppdateringene retter to svakheter, hvor én er rangert som kritisk og kunne potensielt føre til at en angriper kunne ta kontroll over det sårbare systemet.
Referanser
https://www.mozilla.org/en-US/security/known-[...]

Google vil deaktivere Flash auto-play funksjonalitet

Google vil fra 1. september deaktivere Flash sin auto-play funksjonalitet som standard i Chrome for de fleste komponenter. Flash-reklame vil fra da bli statisk i Chrome. Brukeren vil måtte trykke på hvert element for å starte avspilling. Dette vil kunne beskytte mot malware som har blitt servert via annonser i det siste.
Referanser
http://www.theregister.co.uk/2015/08/28/googl[...]

Thursday, 27 August 2015

2015.08.27 - Nyhetsbrev

DDoS-angrep mot GitHub. Kjent britisk hacker drept av droneangrep i Syria.

DDoS-angrep mot GitHub

GitHub, et nettsted for programvareutvikling og samarbeid, har nok en gang vært en mål for et massivt DDoS-angrep. Dette angrepet settes i sammenheng med at flere prosjekter hos GitHub inneholder kode for å unngå Kinas "Great Firewall", og man antar kinesiske myndigheter står bak. Kinesiske myndigheter slår nå også til direkte mot utviklere som lager verktøy for å unngå landets sensur.
Referanser
http://arstechnica.com/security/2015/08/githu[...]

Kjent britisk hacker drept av droneangrep i Syria

En kjent hacker ved navn Junaid Hussain har blitt drept av et droneangrep i Syria. Han var også kjent som Abu Hussain al-Britani og TriCk. De siste årene har han drevet med hacking og propaganda for IS.
Referanser
http://www.dailydot.com/politics/isis-drone-s[...]
http://www.digi.no/juss_og_samfunn/2015/08/27[...]

Wednesday, 26 August 2015

2015.08.26 - Nyhetsbrev

App i Googles Play Store utnytter Certifigate-svakheten, dog tilsynelatende ikke med uhederlige hensikter.

App i Googles Play Store utnytter Certifigate-svakheten

Det er oppdaget at en app i Play Store utnytter den tidligere omtalte Certfigate-svakheten. Svakheten har blitt utnyttet av en app som er laget for å ta opp filmer av ting som skjer på enheten. Slike apper brukes gjerne av spillere som vil legge ut video av sine ferdigheter. Appen kan brukes til å ta opp fullskjerms-video av det som skjer på enheten, noe som ellers er vanskelig uten root-tilgang. Det er så langt ingenting som tyder på at svakheten har blitt utnyttet til noe uhederlig.

Saken viser imidlertid at apper kan utnytte Certifigate-svakheten uten at Google oppdager dette..
Referanser
http://www.theregister.co.uk/2015/08/25/certi[...]
http://www.digi.no/sikkerhet/2015/08/26/tilsy[...]

Tuesday, 25 August 2015

2015.08.25 - Nyhetsbrev

Dusør utloves for bidrag til å finne Ashley Madison-hackerne. Bilprodusentene danner sikkerhetsalianse. Sårbarheter er oppdaget i smart-kjøleskap.

Toronto-politiet ber om hjelp fra hackere etter Ashley Madison-skandalen

Toronto-politiet har involvert amerikanske myndigheter som FBI og Homeland Security i saken om Ashley Madison hacking-skandalen. Nå appellerer Toronto-politiet også til både hacker-samfunnet og de som har kjennskap til det mørke nettet om å komme frem med relevant informasjon som kan bidra til å avsløre identiteten til medlemmer av Impact Team.

Ashley Madison har også lovet en dusør på opptil 500.000 kanadiske dollar i belønning for informasjon som fører til identifisering av Impact Team.
Referanser
http://motherboard.vice.com/read/cops-investi[...]
http://arstechnica.com/security/2015/08/ashle[...]

Svakhet funnet i Samsung smart-kjøleskap

Det er påvist manglende validering av SSL-sertifikater i smart-kjøleskaper fra Samsung. Dette muligjør "Man in The Middle"-angrep som vil kunne gi uvedkommende tilgang til å sniffe trafikk generert av kjøleskapene. På DEFCON-konferansen ble det demonstrert hvordan svakheten kan misbrukes til å lese av Gmail-passord, som benyttes til å vise kalender på kjøleskapsdøra.
Referanser
http://www.theregister.co.uk/2015/08/24/smart[...]

Bilprodusentene danner sikkerhetsalianse

De nylige oppdagelsene av sårbarheter i digitale systemer på biler, samt demonstrasjoner av hvordan de kan utnyttes, har ført til at bilindustrien nå danner et "Sharing and Analysis Center" hvor det skal utarbeides praksiser for håndtering av sårbarheter i kjøretøy. Alle store bilprodusenter er angivelig med på samarbeidet.
Referanser
http://www.autoevolution.com/news/car-makers-[...]

Monday, 24 August 2015

2015.08.24 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.


Friday, 21 August 2015

2015.08.21 - Nyhetsbrev

Arstechnica skriver om Android låsemønstere og Apple oppdaterer QuickTime.

Arstechnica skriver om Android låsemønstere

Arstechnica skriver om Android låsemønstere, et alternativ til passord for å låse opp en telefonen. Disse mønstrene er ofte enkle å gjette og mange benytter seg av vanlige mønstre, f.eks. bokstaver. Forskningen er gitt ut av en norsk student i forbindelse med en master-oppgave.
Referanser
http://arstechnica.com/security/2015/08/new-d[...]

Apple har gitt ut oppdatering for QuickTime på Windows

Apple har gitt ut oppdatering for QuickTime. Oppdateringen omfatter Windows Vista og Windows 7 og retter 9 svakheter.
Referanser
https://support.apple.com/en-us/HT205046

Thursday, 20 August 2015

2015.08.20 - Nyhetsbrev

Justisminister Anundsen lanserte tirsdag en ny nasjonal strategi for å bekjempe datakriminalitet.

Regjeringen lanserer ny strategi mot datakriminalitet

Tirsdag lanserte justisministeren en ny strategi for bekjempelse av datakriminalitet. Strategien skal sikre økt bekjempelse samt sikre nødvendig kompetanse i politidistriktene.
Referanser
http://www.dn.no/nyheter/politikkSamfunn/2015[...]

Wednesday, 19 August 2015

2015.08.19 - Nyhetsbrev

Microsoft med ekstraordinær sikkerhetsoppdatering for alvorlig svakhet i Internet Explorer. Data fra innbruddet hos datingtjenesten "Ashley Madison" har blitt publisert. Russiske hackere skal ha stjålet hemmelige atomrakettplaner som topper i det russiske forsvarsdepartementet har sendt ukryptert via epost.

Microsoft gir ut ekstraordinær sikkerhetsoppdatering for Internet Explorer

Microsoft har gitt ut en ekstraordinær oppdatering som skal fikse en kritisk svakhet i all støttede versjoner av Internet Explorer (IE 7 til IE 11). Svakheten gjør det mulig for en angriper å få kjørt vilkårlig kode på et sårbart system dersom man besøker et ondsinnet nettsted. Det rapporteres at svakheten allerede utnyttes aktivt.
Referanser
https://technet.microsoft.com/library/securit[...]
http://krebsonsecurity.com/2015/08/microsoft-[...]
https://community.qualys.com/blogs/laws-of-vu[...]

Russiske hackere skal ha stjålet russiske atomrakettplaner.

Aftenposten bringer nyheten om at russiske hackere skal ha klart å få tilgang til topphemmelige atomrakettplaner. Det hele skal ha vært mulig fordi toppene i forvarsdepartementet skal ha sendt informasjonen ukryptert via privat epost.
Referanser
http://www.aftenposten.no/nyheter/uriks/Hacke[...]

Stjålne data fra innbruddet hos datingtjenesten "Ashley Madison" har blitt publisert.

Omlag 10 Gb med stjålne data fra det tidligere omtalte datainnbruddet hos datingtjenesten "Ashley Madison" har blitt publisert på nettet. Datalekkasjen inneholder bl.a. informasjon om 33 millioner kontoer, kredittkorttransaksjoner, samt større mengder interne dokumenter.
Referanser
http://arstechnica.com/security/2015/08/ashle[...]

Tuesday, 18 August 2015

2015.08.18 - Nyhetsbrev

Ny svakhet i Mac OS X v.10.10.5 kan gi lokale programmer root-tilgang.

Ny svakhet i Mac OS X kan gi lokale programmer root-tilgang

Symantec har bekreftet to nye sårbarheter i Mac OS X som kan gi en angriper muligheter til å eskalere privilegier for å få root-tilgang. Sikkerhetsproblemene krever at man frivillig må kjøre et program som utnytter svakheten for at et angrep skal lykkes. Det finnes enda ikke noen oppdatering fra Apple.
Referanser
http://www.symantec.com/connect/blogs/new-mac[...]
http://www.theregister.co.uk/2015/08/18/apple[...]

Monday, 17 August 2015

2015.08.17 - Nyhetsbrev

Populære nettsider serverer besøkende annonser som redirigerer til Angler Exploit Kit. AT&T hjalp NSA med omfattende overvåkning. Tidligere ansatte i Kaspersky Lab hevder de saboterte for konkurrenter.

Populære nettsider serverer besøkende annonser som redirigerer til Angler Exploit Kit

Sikkerhetsforskere ved Malwarebytes har oppdaget at populære nettsider har inneholdt annonser som videresender til nettsider som inneholder Angler Exploit Kit. Yahoo var også utsatt for dette for kort tid siden, og dette er en viderføring av den samme malware-kampanjen. Blant annet skal Drudge Report og Weather[.]com ha servert disse annonsene. Bare disse to nettstedene har rundt 200 millioner besøkende hver måned.

Annonsene skal ha blitt servert fra AdSpirit, men disse har nå fjernet dem. Angriperne skal nå ha flyttet seg videre til annonsenettverket eid av AOL der malware-annonser blant annet blir servert på eBay.
Referanser
https://blog.malwarebytes.org/malvertising-2/[...]
http://www.theregister.co.uk/2015/08/14/malve[...]
http://arstechnica.com/security/2015/08/my-br[...]

AT&T hjalp NSA med omfattende overvåkning

Nye Snowden-dokumenter avslører at det amerikanske telekommunikasjonsselskapet AT&T har hjulpet NSA med omfattende overvåkning. Dokumentene viser hvordan AT&T fra 2003 til 2013 har tillat at NSA installerte overvåkningsutstyr ved 17 av AT&T datasentraler. Dokumentene skal også vise at Verizon har delt data med NSA.
Referanser
http://e24.no/digital/at-amp-t-hjalp-nsa-med-[...]
https://www.eff.org/deeplinks/2015/08/eff-cla[...]
https://www.propublica.org/article/nsa-spying[...]

Tidligere ansatte i Kaspersky Lab hevder de saboterte for konkurrenter.

I følge to tidigere ansatte i det russiske antivirus-selskapet Kaspersky Lab, har firmaet forsøkt å sabotere for konkurrerende selskaper. Dette ble gjort ved å lure antivirusprogrammene til AVG, Avast m.fl til å klassifisere lovlige filer som ondsinnede, slik at disse filene ville bli slettet på brukerens maskin. Målet til Kaspersky Lab skal ha vært å skade omdømmet til konkurrentene og selv få en bedre markedsposisjon. Kaspersky Lab har i ettertid av artikkelen fra Reuters gått ut og benektet enhver form for sabotasje.
Referanser
http://mobile.reuters.com/article/idUSKCN0QJ1[...]
http://usa.kaspersky.com/about-us/press-cente[...]

Friday, 14 August 2015

2015.08.14 - Nyhetsbrev

Det meldes om at oppdateringen til den mye omtalte stagefright svakheten på Android ikke lukker hullet. Apple har sluppet en rekke oppdateringer.

Stagefright oppdateringen lukket ikke svakhet

Det meldes om at oppdateringen som skulle fikse stagefright svakheten ikke lukker hullet helt. Oppateringen med denne patchen skal allerede være rullet ut på en del telefoner.
Referanser
https://blog.exodusintel.com/2015/08/13/stage[...]
https://threatpost.com/stagefright-patch-inco[...]

Apple har sluppet en rekke oppdateringer til iOS, OS X og Safari

Apple har sluppet oppdateringer som fikser en rekke svakheter iOS, OS X og Safari. Det skal blant annet ha blitt fikset 26 svakheter i WebKit, samt en .TIFF svakhet som potensielt skal kunne misbrukes via MMS.
Referanser
http://www.theregister.co.uk/2015/08/13/apple[...]
https://support.apple.com/en-us/HT205030
https://support.apple.com/en-us/HT205031
https://support.apple.com/en-us/HT205033

Thursday, 13 August 2015

2015.08.13 - Nyhetsbrev

Angrep mot Cisco IOS Classic programvareplattformer. Lenovo-maskiner har blitt levert med programvare som ikke lar seg fjerne.

Angrep mot Cisco IOS Classic programvareplattformer

Cisco PSIRT har kontaktet kunder for å beskrive en utvikling i angrep mot Cisco IOS Classic plattformer. Cisco har observert et begrenset antall tilfeller der angripere har klart å erstatte Cisco IOS ROMMON (IOS bootstrap) med en ondsinnet ROMMON image, etter å ha fått administrativ tilgang ved hjelp av gyldige brukernavn/passord eller fysisk tilgang.
Referanser
http://www.theregister.co.uk/2015/08/13/cisco[...]
http://tools.cisco.com/security/center/viewAl[...]

Lenovo maskiner har blitt levert med programvare som ikke lar seg fjerne

Lenovo har solgt bærbare datamaskiner bundlet med programvare som ikke lar seg fjerne.

Hvis programvaren ble forsøkt slettet eller harddisken formateres og Windows installeres på nytt fra bunnen av, vil firmwaren automatisk installere Lenovo programvare ved neste oppstart. Dette blir gjort ved hjelp av Lenovo Service Engine (LSE). Hvis Windows er installert, vil LSE bli startet før operativsystemet.

Sikkerhetsforsker Roel Schouwenberg fant og rapporterte en buffer-overflow sårbarhet i LSE som ga muligheter til å få administrativ tilgang. Lenovo ble kjent med denne svakheten i april, og ga ut et verktøy 31. juli som nå skal kunne fjerne LSE og fjerne svakheten.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
http://www.theregister.co.uk/2015/08/12/lenov[...]

2015.08.13 - Nyhetsbrev

Angrep mot Cisco IOS Classic programvareplattformer. Lenovo-maskiner har blitt levert med programvare som ikke lar seg fjerne.

Angrep mot Cisco IOS Classic programvareplattformer

Cisco PSIRT har kontaktet kunder for å beskrive en utvikling i angrep mot Cisco IOS Classic plattformer. Cisco har observert et begrenset antall tilfeller der angripere har klart å erstatte Cisco IOS ROMMON (IOS bootstrap) med en ondsinnet ROMMON image, etter å ha fått administrativ tilgang ved hjelp av gyldige brukernavn/passord eller fysisk tilgang.
Referanser
http://www.theregister.co.uk/2015/08/13/cisco[...]
http://tools.cisco.com/security/center/viewAl[...]

Lenovo maskiner har blitt levert med programvare som ikke lar seg fjerne

Lenovo har solgt bærbare datamaskiner bundlet med programvare som ikke lar seg fjerne.

Hvis programvaren ble forsøkt slettet eller harddisken formateres og Windows installeres på nytt fra bunnen av, vil firmwaren automatisk installere Lenovo programvare ved neste oppstart. Dette blir gjort ved hjelp av Lenovo Service Engine (LSE). Hvis Windows er installert, vil LSE bli startet før operativsystemet.

Sikkerhetsforsker Roel Schouwenberg fant og rapporterte en buffer-overflow sårbarhet i LSE som ga muligheter til å få administrativ tilgang. Lenovo ble kjent med denne svakheten i april, og ga ut et verktøy 31. juli som nå skal kunne fjerne LSE og fjerne svakheten.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
http://www.theregister.co.uk/2015/08/12/lenov[...]

Wednesday, 12 August 2015

2015.08.12 - Nyhetsbrev

Mozilla, Adobe og Microsoft gir ut sikkerhetsoppdateringer. Ni personer siktet for hacking og verdipapirsvindel.

Adobe og Microsoft ute med oppdateringer

Adobe og Microsoft har sluppet oppdateringer. Adobe har gitt ut oppdatering som skal fikse minst 34 sårbarheter i Flash og Adobe AIR. Ingen av svakhetene skal enda ha blitt utnyttet til å ta kontroll over sårbare maskiner.

Microsoft har sluppet 14 bulletins, som inkluderer fiks for 4 kritiske sårbarheter. Blant annet er det kritiske oppdateringer for Internet Explorer og Microsofts nye nettleser i Windows 10, Edge. Det rettes flere kritiske svakheter i Microsoft Office, hvorav exploit-kode er tilgjengelig for noen av dem. En svakhet i behandling av "thumbnails" lar også angripere ta kontroll over Windows-maskiner ved bare å sette inn en USB-pinne og har allerede blitt brukt i målrettede angrep.
Referanser
http://krebsonsecurity.com/2015/08/adobe-ms-p[...]
http://www.networkworld.com/article/2969896/m[...]
https://isc.sans.edu/diary/August+2015+Micros[...]
https://helpx.adobe.com/security/products/fla[...]

Mozilla gir ut kritiske sikkerhetsoppdateringer til Firefox ESR, og Firefox OS

Mozilla har sluppet sikkerhetsoppdateringer for å løse kritiske sårbarheter i Firefox, Firefox ESR, og Firefox OS. Utnyttelse av noen av disse sikkerhetsproblemene kan tillate en ekstern angriper å ta kontroll over det berørte systemet. Svakhetene anses som alvorlige og det anbefales å oppdatere så fort som mulig.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Ni personer siktet for hacking og verdipapirsvindel

Ni personer er siktet for å ha hacket og svindlet tre nyhetsbyråer. Personene skal ha fått tak i ca. 150.000 pressemeldinger. Disse pressemeldingene har de fått tak i før offentligheten. Handler i verdipapirene som ble omtalt, skal ha generert en ulovlig profitt på rundt 30 millioner USD.
Referanser
https://www.fbi.gov/newyork/press-releases/20[...]

2015.08.12 - Nyhetsbrev

Mozilla, Adobe og Microsoft gir ut sikkerhetsoppdateringer. Ni personer siktet for hacking og verdipapirsvindel.

Adobe og Microsoft ute med oppdateringer

Adobe og Microsoft har sluppet oppdateringer. Adobe har gitt ut oppdatering som skal fikse minst 34 sårbarheter i Flash og Adobe AIR. Ingen av svakhetene skal enda ha blitt utnyttet til å ta kontroll over sårbare maskiner.

Microsoft har sluppet 14 bulletins, som inkluderer fiks for 4 kritiske sårbarheter. Blant annet er det kritiske oppdateringer for Internet Explorer og Microsofts nye nettleser i Windows 10, Edge. Det rettes flere kritiske svakheter i Microsoft Office, hvorav exploit-kode er tilgjengelig for noen av dem. En svakhet i behandling av "thumbnails" lar også angripere ta kontroll over Windows-maskiner ved bare å sette inn en USB-pinne og har allerede blitt brukt i målrettede angrep.
Referanser
http://krebsonsecurity.com/2015/08/adobe-ms-p[...]
http://www.networkworld.com/article/2969896/m[...]
https://isc.sans.edu/diary/August+2015+Micros[...]
https://helpx.adobe.com/security/products/fla[...]

Mozilla gir ut kritiske sikkerhetsoppdateringer til Firefox ESR, og Firefox OS

Mozilla har sluppet sikkerhetsoppdateringer for å løse kritiske sårbarheter i Firefox, Firefox ESR, og Firefox OS. Utnyttelse av noen av disse sikkerhetsproblemene kan tillate en ekstern angriper å ta kontroll over det berørte systemet. Svakhetene anses som alvorlige og det anbefales å oppdatere så fort som mulig.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Ni personer siktet for hacking og verdipapirsvindel

Ni personer er siktet for å ha hacket og svindlet tre nyhetsbyråer. Personene skal ha fått tak i ca. 150.000 pressemeldinger. Disse pressemeldingene har de fått tak i før offentligheten. Handler i verdipapirene som ble omtalt, skal ha generert en ulovlig profitt på rundt 30 millioner USD.
Referanser
https://www.fbi.gov/newyork/press-releases/20[...]

Tuesday, 11 August 2015

2015.08.11 - Nyhetsbrev

Mobil-modemer kan utnyttes til å lagre malware som overlever OS-reinstallasjon. Angler exploit-kit med støtte for siste svakhet i IE. Android Serialization Vulnerability kan gi apper utvidet tilgang til systemet.

Mobil-modemer kan utnyttes til å lagre malware som overlever OS-reinstallasjon


Forskere har funnet en ny måte for å lage vedvarende malware som kan overleve at selve operativsystemet blir reinstallert. De lagrer malwaren i firmwaren til 3G/4G-modemer som er innebygget i mange nye bærbare PCer og nettbrett. Som eksempel er et populært modem fra Huawei sårbar, da en ikke trenger noen signatur for å oppdatere firmware. Modemet kjører internt en strippet versjon av Linux og det kan også programeres til å emulere f.eks. et tastatur eller mus. Huawei har nå fikset svakheten.
Referanser
http://www.computerworld.com/article/2968274/[...]

Angler exploit-kit med støtte for siste svakhet i IE


Det populære exploit-kitet Angler har nå fått støtte for å utnytte den siste svakheten i IE, en "double-free"-svakhet. Denne ble patchet i juli og kalles CVE 2015-2419. Angler bruker også en variant av Diffie-Helman nøkkelutveksling for å levere exploitet til IE, noe som gjør det vanskelig å oppdage hva som foregår.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Android Serialization Vulnerability kan gi apper utvidet tilgang til systemet


Android versjon 4.3 til og med versjon 5.1 (rundt 55% av alle Android-enheter) er sårbare for en svakhet i klassen OpenSSLX509Certificate. Svakheten ligger i en metode som objektet bruker til å utveklse data, serialization. Gjennom svakheten kan angriperen f.eks. få tilgang til prosessen system_server, som gir tilgang til store deler av telefonen. En angriper kan etter dette skifte ut hele apper, hente ut alt av data fra apper eller legge til egne kernel moduler.

Forskerne fra IBM som har oppdaget svakheten, har også funnet tilsvarende svakheter i seks tredjeparts SDK (Software Development Kits). Både Google og utgiverne av SDKene har nå patchet svakheten, men det vil kunne ta tid før patcher og rekompilerte apper når sluttbrukerne.

For å unngå svakheten gjelder det å kun installere apper fra Google Play og gjerne også utgivere en stoler på. For å utnytte svakheten må brukeren bli lurt til å installere en app som utnyter svakheten til å utvide rettighetene sine.

I teorien kan en svakhet som dette også utnyttes til å utvide rettighetene på systemet etter at systemet først blir kompromittert ved hjelp av en "remote execution"-svakhet, som f.eks. den nylig oppdagede svakheten i libStageFright.
Anbefaling
Vent på patcher fra leverandører. Installer apper kun fra markedplasser du stoler på.
Referanser
https://securityintelligence.com/one-class-to[...]

Friday, 7 August 2015

2015.08.07 - Nyhetsbrev

Mozilla oppdaterer FireFox etter utnyttelse av svakhet. Forskere knekker krypteringen til 3G og 4G SIM-kort. Certifigate: Svakheter i innebygd remote-support i Android.

Mozilla oppdaterer FireFox

Mozilla fikser en svakhet i FireFox som kunne føre til brudd på "same origin"-regelen. Svakheten er rangert som kritisk og har blitt observert utnyttet på nettet. Svakheten ligger i den innebygde PFD-leseren i Firefox. Den tillater ikke kjøring av tilfeldig kode på maskinen, men lokale filer kan søkes etter og lastes opp til servere på Internet. Svakheten har blitt utnyttet via annonser på nettsteder i Russland.
Referanser
https://blog.mozilla.org/security/2015/08/06/[...]

Forskere knekker krypteringen til 3G og 4G SIM-kort

Forskere knekker krypteringen til 3G og 4G SIM-kort. Disse kortene er beskyttet med AES 128-bit kryptering, som på papiret er nærmest umulig å knekke. Forskere har nå via fysisk tilgang til kortet og såakalt "side-channel" krypto-analyse klart å bryte krypteringen og klone 8 kommersielle kort. Krypteringen blir knekket ved å analysere datatrafikken til og fra kortet og hvor mye strøm kortet bruker når en utfører forskjellige operasjoner mot det.
Referanser
http://www.theregister.co.uk/2015/08/06/resea[...]

Certifigate: Svakheter i innebygd remote-support i Android

Check Point har i dag sluppet detaljer om Certifi-gate, som omhandler flere sårbarheter i fjernsupport (RSTs) som brukes av de fleste Android-enheter.

Programmer som TeamViewer og Rsupport kan lastes ned fra Google Play. Slike verktøy for fjernsupport krever ikke utvidet til systemet for selve appen, men appen får dette ved å autentisere seg mot spesielle biblioteker i operativsystemet. Måten denne autorisasjonen gjøres på er dessverre i mange tilfeller mangelfull.

Konsekvensen av svakhetene er at vanlige applikasjoner kan få utvidet tilgang til systemet, på lik linje med en applikasjon for fjernsupport. For å utnytte svakheten må en lure en bruker til å installere en skadelig applikasjon. Husk å kun installere applikasjoner fra Google Play.
Referanser
http://www.theregister.co.uk/2015/08/06/andro[...]
http://blog.checkpoint.com/2015/08/06/certifigate/

Thursday, 6 August 2015

2015.08.06 - Nyhetsbrev


Google, Samsung og LG skal slippe månedlige sikkerhetsoppdateringer for Android

Google, Samsung og LG har sagt at de fra nå av skal slippe månedlige sikkerhetsoppdateringer for sine Android-telefoner. I det siste har det vært flere alvorlige sikkerhetssvakheter i Android, spesielt svakheten i libStageFright har fått mye oppmerksomhet de siste dagene. Fram til nå har det ofte tatt flere måneder før oppdateringer når telefonene. Det er tydelig at begge firmaene nå har innsett at dette ikke lenger holder mot Apples mye kjappere patching.

Referanser
http://techcrunch.com/2015/08/05/google-and-samsung-will-now-release-monthly-ota-android-security-updates/
http://officialandroid.blogspot.no/2015/08/an-update-to-nexus-devices.html?m=1
http://www.theverge.com/2015/8/5/9099627/google-stagefright-android-vulnerability-protect-patch
http://www.digi.no/sikkerhet/2015/08/06/storoffensiv-mot-stagefright-feilen

Kinesisk hackergruppe stjeler industrihemmeligheter med vannhullsangrep

En gruppe kalt "Emissary Panda" av Dell Secureworks, jobber med å stjele industrihemmeligheter fra hundrevis av firmaer i bransjer som bil, elektronikk, fly, energi og medisin. Gruppen har kontroll over flere legitime websider med mange besøkende. Etter at gruppen har sett seg ut et offer, vil besøkende til den legitime websidene fra den utvalgte bedriften få servert malware. Andre besøkende til websidene vil ikke merke noe unormalt. Denne angrepsteknikken kalles vannhullsangrep. Etter at de har fått kontroll over en PC i bedriften de har valgt ut, vil de så hacke seg videre i nettverket for å få kontroll over domeneservere og filservere og begynne å hente ut relevant informasjon.

Referanser
https://threatpost.com/apt-group-gets-selective-about-data-it-steals/114103
http://arstechnica.com/security/2015/08/newly-discovered-chinese-hacking-group-hacked-100-websites-to-use-as-watering-holes/

Imperva skriver om Man In The Cloud-svakhet

De fleste bedrifter og privatpersoner bruker nå skytjenester som DropBox, OneDrive og Google Drive til å lagre i alle fall deler av sine bedriftsdata. Disse tjenestene genererer en "nøkkel-fil" etter at en enhet har autentisert seg mot tjenesten. Denne nøkkelen kan senere kopieres ut av en angriper og angriperen vil så ha tilgang til å laste opp og ned filer til maskinen. Det er vanskelig for offeret å oppdage at dette har skjedd.

Referanser
http://www.securityweek.com/man-cloud-attacks-leverage-storage-services-steal-data
http://www.imperva.com/docs/imperva_Hacker_Intelligence_Initiative_No22_Jul2015_v1d.pdf


Wednesday, 5 August 2015

2015.08.05 - Nyhetsbrev


Kinesisk VPN-tilbyder selger aksess via hackede servere

RSA har laget en rapport om en kinesisk VPN-tilbyder som de har kalt Terracotta. VPN-tjenesten selger tilgang til nettet via hackede servere i forskjellige land, blant annet 572 servere i USA. Forskjellige kinesiske APT-grupperinger har benyttet seg av tjenesten for å skjule hvor de egentlig opererer fra. Serverne var alle direkte eksponert mot Internett og ble hacket gjennom å gjette seg fram til administrator-passordet.

Referanser
http://www.theregister.co.uk/2015/08/05/terracotta_vpn_rsa_research/
https://blogs.rsa.com/wp-content/uploads/2015/08/Terracotta-VPN-Report-Final-8-3.pdf


Tuesday, 4 August 2015

2015.08.04 - Nyhetsbrev


Yahoo serverer malware via annonser på sine sider

Tusenvis av brukere kan ha blitt smittet av malware etter å ha besøkt Yahoos sider de siste dagene. Annonser på sidene har sendt besøkende videre til Angler exploit-kit som prøver å utnytte svakheter i forskjellig programvare som Flash og Java. For å unngå denne typen angrep er det viktig å holde all programvare på maskinen oppdatert.

Referanser
http://www.businessinsider.com/yahoos-advertising-network-is-being-targeted-by-hackers-malwarebytes-says-2015-8
https://blog.malwarebytes.org/malvertising-2/2015/08/large-malvertising-campaign-takes-on-yahoo/

Hardware kan infisere firmware på Mac-maskiner

Forskere har funnet flere svakheter rundt håndteringen av firmware i Macs. En Mac kan bli infisert ved å lure brukeren til å åpne en spesiell applikasjon eller å utnytte en annen svakhet. Etter denne første infeksjonen kan malwaren også spre seg videre som en orm via tilkoblet periferiutstyr som f.eks. nettverkskort. Mange slike enheter har en egen "option-rom" som lar malwaren infisere nye Macs. Apple og andre maskinleverandører vil forhåpentligvis snart patche firmware-problemene.

Referanser
http://arstechnica.com/apple/2015/08/thunderstrike-2-rootkit-uses-thunderbolt-accessories-to-infect-mac-firmware/
http://www.wired.com/2015/08/researchers-create-first-firmware-worm-attacks-macs/


Monday, 3 August 2015

2015.08.03 - Nyhetsbrev

Hammertoss-malware skjuler seg godt



FireEye har skrevet en bloggpost om malwaren Hammertoss. De mener at det er russere som står bak malwaren. De har kalt grupperingen APT29. Hammertoss kommuniserer med sin kontrollserver via Twitter og Github. Kommandoene som blir lastet ned fra Github ligger gjemt i bildefiler ved hjelp av stegonografi. Etter at en maskin har blitt undersøkt for interessant informasjon, blir dataene sendt ut av nettverk ved hjelp av kjente skytjenester for lagring. Bruken av kjente tjenester for all kommunikasjon gjør oppdagelse av malwaren svært vanskelig.

Referanser

Hacker har stjålet kundedata fra BitDefender

En hacker har klart å hente ut kundedata fra sikkerhetsleverandøren BitDefender. Hackeren har truet med å slippe mer data fra innbruddet dersom han ikke får $15.000 i løsepenger fra BitDefender. Løsepengene skal ikke ha blitt betalt. Både brukernavn og passord skal ha vært ukryptert.

Referanser

The New York Times: USA vil gjengjelde angrep fra Kina

Tidligere i sommer ble det avdekket et angrep mot Office of Personnel Management i USA. Firmaet jobber blant annet med sikkerhetsklareringer for statlig ansatte i USA og angriperne fikk tak i mengder med sensitiv informasjon. USA har hele tiden sagt at Kina står bak angrepet. Kilder sier nå til NYT at USA kommer til å gjengjelde angrepet på en eller annen måte og at dette vil skje snarlig.

Referanser