Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 29 September 2015

2015.09.29 - Nyhetsbrev

DDoS-angrep fra nettlesere ved hjelp av Javascript

DDoS-angrep fra nettlesere ved hjelp av Javascript

CloudFlare melder om at en kunde av dem har blitt angrepet av vanlige nettbrukere, hovedsaklig mobilkunder. Mobilene blir lurt til å sende forespørsler i store mengder mot offeret ved hjelp av Javascript-kode, antakeligvis skjult i annonser.

Et lignende angrep ble utført i mars i år av Kinas Internett-brannmur. Den gangen ble Javascript-kode injisert i pakkene som gikk gjennom brannmuren. Angrepet den gangen var rettet mot Github.
Referanser
http://www.digi.no/sikkerhet/2015/09/29/advar[...]

Monday, 28 September 2015

2015.09.28 - Nyhetsbrev

USA og Kina enige om å slutte med cyber-spionasje for kommersielle formål mot hverandre.

USA og Kina med avtale om cyber-spionasje

USA og Kina har blitt enige om å ikke drive med industrispionasje mot hverandre via Internett. De har også blitt enige om å utveksle informasjon med hverandre i forbindelse med cyberangrep. USA truer med sanksjoner dersom ikke Kina holder seg til avtalen.
Referanser
http://www.bloomberg.com/politics/articles/20[...]

Friday, 25 September 2015

2015.09.25 - Nyhetsbrev

Cisco har sluppet sin halvårlige oppdatering for IOS. Google har forsket rundt sårbarheter i cyberkriminalitet. Låseskjerm i iOS9 kan omgås.

Cisco har sluppet sin halvårlige oppdatering for IOS

Cisco har sluppet sin halvårlige sikkerhetsoppdatering for IOS. Denne retter sårbarheter som gjør det mulig å omgå autentisering samt utføre DDoS-angrep mot Cisco-enheter.
Referanser
http://www.cisco.com/web/about/security/intel[...]

Google har forsket rundt sårbarheter i cyberkriminalitet

Google har sammen med universiteter forsket på cyberkriminalitet. De har prøvd å finne ut hvor operasjonene er mest sårbare og dermed hvordan en kan ramme dem hardest.
Referanser
http://www.wired.com/2015/09/google-offers-3-[...]
http://googleonlinesecurity.blogspot.no/2015/[...]

Låseskjerm i iOS9 kan omgås

Det er en feil i iOS 9 som lar uvedkommende se på bilder og kontakter, selv om telefonen er beskyttet med PIN-kode. For å unngå problemer holder det å slå av tilgang til Siri fra låseskjermen.
Referanser
http://itavisen.no/2015/09/24/denne-ios-9-fei[...]
http://www.theregister.co.uk/2015/09/23/ios_9[...]

Thursday, 24 September 2015

2015.09.24 - Nyhetsbrev

Data innbrudd hos OPM inkluderer fem ganger mer fingeravtrykk enn tidligere estimert.

Datainnbrudd hos OPM inkluderer fem ganger mer fingeravtrykk enn tidligere estimert

Data innbruddet hos Office of Personnel Management (OPM) inkluderer fem ganger så mange fingeravtrykk som tidligere estimert. Det viser seg nå at angriperne har fått med seg fulle fingeravtrykk til 5.2 millioner sikkerhetsklarerte i USA. OPM sier videre at muligheten for misbruk av fingeravtrykkdata er begrenset.
Referanser
http://arstechnica.com/security/2015/09/opm-b[...]

Wednesday, 23 September 2015

2015.09.23 - Nyhetsbrev

Operatører av krypto-malware ser ut til å rette seg mer mot bedrifter enn privatpersoner. Forbes.com serverte malware via 3. parts-annonser i syv dager. Apple har publisert patch for alvorlige sårbarheter på Apple Watch. Det viser seg at Kaspersky Antivirus kan misbrukes til å infisere maskinen den kjører på. Det ser ut til at Lenovo fortsatt samler inn brukerdata uten av brukeren aktivt samtykker. Populær app i Google Play spredde malware.

Ransomware retter seg mot bedrifter

Trend Micro viser i en bloggpost hvordan kriminelle som sprer ransomware nå retter seg mer inn mot bedrifter i utpressingsøyemed, heller enn privatpersoner. Artikkelen inneholder skjermdumper for flere scenarioer, som viser hvordan phishing-mailer og websider utformes for å appellere til næringslivet. Malwaren som benyttes har også sofistikerte mekanismer for å motstå analyse.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

Forbes.com spredde malware

I perioden 8. - 15. september ble det servert annonser via tredjepart på det populære nettstedet Forbes.com, som igjen ledet besøkende til Angler- og Neutrino-exploitkit. Det var hovedsaklig svakheter i Flash som ble utnyttet. Malwaren ble raskt fjernet etter varsling fra FireEye.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Oppdateringer til Apple Watch tetter alvorlige sårbarheter

Apple har publisert sikkerhetsoppdateringer til watchOS2.
Oppdateringene skal utbedre sårbarheter som kunne gjøre det mulig for angripere å fange opp internettrafikk, hente ut informasjon og kjøre vilkårlig kode på enheten.
Referanser
https://support.apple.com/en-us/HT205213
http://www.intego.com/mac-security-blog/apple[...]

Sårbarheter i Kaspersky Antivirus

Googles Project Zero team demonstrerer hvordan sårbarheter i Kaspersky Antivirus kan benyttes til å ta kontroll over en maskin. Sårbarhetene skyldes blanet annet feil i håndtering av pakkede filer og arkiver. Google anbefaler også at prosessen som utfører sjeken blir kjørt i en sandkasse og uten SYSTEM-privilegier. Google har funnet en mengde kritiske sårbarheter i anti-virus-programvare fra flere leverandører.
Referanser
http://googleprojectzero.blogspot.no/2015/09/[...]

Lenovo-PC-er samler inn bruksdata uten aktivt samtykke

I etterkant av Superfish-skandalen viser det seg at Lenovo fortsatt samler inn data fra brukernes PC-er uten aktivt samtykke. I følge artikkelforfatteren kjører Lenovo-PC-er med standardinstallasjon av Windows 7 en daglig jobb med sending av "Customer Feedback data" til et markedføringsselskap.
Referanser
http://www.computerworld.com/article/2984889/[...]

Populær app i Google Play spredde malware

Android-spillet Brain Test er lastet ned mellom 100.000 og 500.000 ganger i to omganger. Checkpoint har avdekket at spillet etter installasjon laster ned et exploit-kit, i den hensikt å installere et rootkit på enheten og gi angriper full kontroll. Google fjernet først spillet, men det dukket senere opp igjen i en litt annen utgave men har nå blitt slettet igjen. Spillet skal for det meste ha blitt lastet ned i Kina.
Referanser
http://www.cw.no/artikkel/mobil-sikkerhet/opp[...]
http://blog.checkpoint.com/2015/09/21/brainte[...]

Tuesday, 22 September 2015

2015.09.22 - Nyhetsbrev

Patching av kritiske sårbarheter i Adobe Flash Player. Firma som lever av videresalg av 0-dagssårbarheter utlover 1 million USD for iOS9-exploit.

Adobe har gitt ut oppdatering til Flash Player

Adobe har gitt ut en ny oppdatering til Flash Player for Windows, Mac, ChromeOS og Linux. Oppdateringene skal utbedre kritiske sårbarheter som kunne gjøre det mulig for angripere å ta over maskinen.
Referanser
https://helpx.adobe.com/security/products/fla[...]

Milliondusør utloves for IOS9-jailbreak

Selskapet Zerodium har utlovet en dusør på 1 million USD til alle som kan utvikle en jailbreak til IOS9 og gi selskapet eksklusiv kjennskap til sårbarheten. Zerodium har statlige aktører på kundelista og lever av å videreselge sårbarheter slik at de kan benyttes i hemmelighet av kundene.
Referanser
http://www.wired.com/2015/09/spy-agency-contr[...]
https://zerodium.com/ios9.html

Monday, 21 September 2015

2015.09.21 - Nyhetsbrev

Malware i Apples App store. Svakhet i SAP Afaria tillater uautorisert fjernsletting av mobiltelefoner.

Malware i Apples App store

I helgen ble det oppdaget at mange populære apper i App Store var infisert av malware. Dette ble gjort ved at utviklere av Iphone-apps har blitt lurt til å installere en uoffisiell versjon av Apples programvare for utvikling, Xcode. Denne versjonen inneholdt skadevare som igjen infiserte utviklernes apper. Disse appene ble ikke avvist av Apples sikkerhetsmekanismer og Apple jobber nå for å rydde opp i de infiserte appene, som blant annet omfatter populære WeChat og WinZip.

De infiserte appene høster inn informasjon fra enheter de blir installert på. I tillegg kan de vise falske dialogvinduer for å lure til seg informasjon, videresende brukeren til andre webadresser enn det de prøver å besøke og lese og skrive til enhetens utklippstavle.
Referanser
http://researchcenter.paloaltonetworks.com/20[...]

Svakhet i SAP Afaria tillater uautorisert fjernsletting av mobiltelefoner

Svakheter i SAP Afaria, en populær MDM (Mobile Device Management), tillater uautorisert fjernsletting og/eller lås av mobiltelefoner ved hjelp av en SMS melding. Svakhetene skal også kunne gi angripere kontroll over alle telefoner knyttet til selskaper som bruker denne løsningen.
Referanser
http://erpscan.com/press-center/news/sap-afar[...]

Friday, 18 September 2015

2015.09.18 - Nyhetsbrev

ASLR-beskyttelse i Android mindre effektiv enn forventet. VMware publiserer sikkerhetsoppdatering. Tusenvis av WordPress-baserte nettsteder serverer malware.

ASLR-beskyttelse i Android mindre effektiv enn forventet

I forbindelse med libStageFright-svakhetene i Android har Google poengtert at ASLR (Address Space Layout Randomization) beskytter systemet godt mot faktisk utnyttelse. Det kommer nå fram at ASLR bare randomiserer minnet på én av 256 mulige måter.

Ansatte hos Google har nå laget en exploit som utnytter libStageFright gjennom nettleseren i telefonen. Etter å ha blitt lurt til å besøke en spesielt utformet nettside, blir exploiten servert om og om igjen til den er vellykket. Forsøkene i bakgrunnen uten at brukeren merker det. For hvert minutt som går er det rundt 4% sjanse for at telefonen blir kompromittert. Det kan gjørs et nytt forsøk hvert 5. sekunde og sjansen for å lykkes er 1/256.
Referanser
http://arstechnica.com/security/2015/09/googl[...]

VMware publiserer sikkerhetsoppdatering

VMware slipper sikkerhetsoppdatering for LDAP sin sertifikat-validering. Svakheten kan føre til at en angriper får tak i sensitiv informasjon. Oppdateringen gjelder: VMware vCenter Server version 6.0 update 1 og VMware vCenter Server version 5.5 update 3.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
http://www.vmware.com/security/advisories/VMS[...]

Tusenvis av WordPress-baserte nettsteder serverer malware

WordPress er et svært populært system for å publisere innhold på nettsteder. Dessverre blir det ofte oppdaget svakheter i systemet, og også i tusenvis av plugins som er tilgjengelig. Firmaet Sucuri har avdekket en kampanje der over 6000 nettsteder har blitt infisert. Besøkende blir sendt videre til exploit-kittet Nuclear, som prøver å utnytte svakheter i Flash, Java osv.
Referanser
https://blog.sucuri.net/2015/09/wordpress-mal[...]

Thursday, 17 September 2015

2015.09.17 - Nyhetsbrev

Trend Micro skriver om Operation Iron Tiger. F-Secure skriver om The Dukes/APT-29. Apple slipper oppdateringer for iOS, OS X server, iTunes og Xcode.

Trend Micro skriver om Operation Iron Tiger

Trend Micro skriver om en APT-gruppe som operer fra Kina. De har stjålet flere terrabytes med data fra myndigheter og firmaer i både Asia og USA. De har som oftest benyttet seg av allment tilgjengelige verktøy ved innbruddene og tilpasser seg sikkerhetsnivået til målet.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

F-Secure skriver om The Dukes/APT-29

F-Secure har en rapport om APT-grupperingen The Dukes/APT-29. Gruppen har stått bak mange APT-kampanjer siden 2008 og benytter seg av mange forskjellige familier av malware. F-Secure mener det er russiske myndigheter som står bak APT-29. Hovedmål har vært Tsetsjenia, NATO og USA.
Referanser
https://labsblog.f-secure.com/2015/09/17/the-[...]
http://www.theverge.com/2015/9/17/9342287/rus[...]

Apple slipper oppdateringer for iOS, OS X server, iTunes og Xcode

Apple har sluppet en rekke sikkerhetsoppdateringer. iOS versjon 9 ble sluppet i går og retter 101 svakheter. Én alvorlige svakhet i AirDrop ble nevnt i nyhetsbervet i går. Apple retter også svakheter i OS X server, iTunes og Xcode.
Referanser
https://support.apple.com/da-dk/HT205212
https://support.apple.com/da-dk/HT205219
https://support.apple.com/da-dk/HT205221
https://support.apple.com/da-dk/HT205217

Wednesday, 16 September 2015

2015.09.16 - Nyhetsbrev

Alvorlig svakhet i AirDrop i iOS v8.4.1. Svakhet i Android gjør det mulig å komme seg forbi låseskjermen uten passord.

Alvorlig svakhet i AirDrop i iOS v8.4.1

Det er en alvorlig svakhet i iOS 8.4.1 som gjør det mulig å ta kontroll over iPhones/iPads som har slått på "AirDrop". Dette er en teknologi som brukes til å dele bilder, videoer osv. med andre iOS-enheter som er i nærheten. Det er mulig å kompromittere en sårbar telefon uten at mottakeren tar imot den tilsendte filen. Se artikkelen for demo-video.

Svakheten er fikset i iOS 9 som blir tilgjengelig senere i dag. Det anbefales å slå av AirDrop til oppdateringen er installert.
Anbefaling
Det anbefales å slå av AirDrop til oppdateringen er installert.
Referanser
http://www.forbes.com/sites/thomasbrewster/20[...]

Svakhet i Android 5.x gjør det mulig å komme seg forbi låseskjermen uten passord

En svakhet i Android gjør det mulig for en bruker å komme seg forbi låseskjermen uten å bruke passord. Dette gjøres ved å fylle feltet for nødnummer med nok tegn til at telefonen slutter å respondere, for deretter å via kamera-appen forsøke å åpne innstillingene. Her vil man på nytt bli bedt om et passord. Ved å fylle dette med mange tegn for deretter å vente en gitt tid vil det til slutt føre til at låseskjermen kræsjer, noe som i de fleste tilfeller vil gi tilgang til alle telefonens funksjoner.

Det kreves at brukeren har satt et passord for at dette skal fungere. Telefonen er ikke sårbar dersom det brukes en PIN-kode eller pattern-lock. Svakheten fungerer mot alle Nexus-telefoner med Android 5.x før build nummer LMY48M. Det vil si alle telefoner som enda ikke har fått den siste oppdateringen til Android. Dette var den første oppdateringen i Google sitt nye system der de skal begynne å gi ut månedlige oppdateringer, noe vi skrev om i nyhetsbrevet vårt forrige fredag. Prosessen med å sende ut oppdateringen har startet for Google Nexus-mobiler.
Anbefaling
Oppdater til siste versjon av Android. Build number LMY48M.
Referanser
http://sites.utexas.edu/iso/2015/09/15/androi[...]

Tuesday, 15 September 2015

2015.09.15 - Nyhetsbrev

Mer info om kompromitterte Cisco-routere. Detaljer rundt malwaretising-kampanje som rammet kjente nettsteder.

Mer info om kompromitterte Cisco-routere

For noen dager siden advarte Cisco mot at de hadde funnet spesialtilpasset firmware i noen av sine routere. Detaljer rundt denne saken har nå blitt offentligjort. Mandiant har funnet 14 routere av typen 1841, 2811 og 3825 med kompromittert programvare. Disse routerne er funnet i Mexico, Filippinene, India og Ukraina.

Angriperne får tilgang til routerne ved hjelp av fysisk tilgang eller gyldige administrator-kontoer. Når først programvaren er installert, kan den laste inn moduler med forskjellig funksjonalitet. Når en slik router først er kompromittert kan i teorien all trafikk som går igjennom den avlyttes eller endres.
Referanser
http://www.reuters.com/article/2015/09/15/us-[...]
https://www.fireeye.com/blog/threat-research/[...]
http://blogs.cisco.com/security/synful-knock

Detaljer rundt malwaretising-kampanje som rammet kjente nettsteder

Kampanjen ble omtalt i nyhetsbrevet vårt i august og foregikk over tre uker. Den rammet store nettsteder som Ebay, Drudge Report og Answers.com. Personene bak solgte inn annonsene sine via såkalt "Real Time Bidding". Dette er en form for elektronisk auksjon der selskapene som selger reklame auksjonerer bort reklameplass når sluttbrukeren laster nettsiden. Annonsene som ble solgt inneholdt ikke noe ondsinnet kode i seg selv, men de ble hostet på en webserver som var under kontroll av angriper. Her ble det tatt i bruk blant annet https og URI forkortning samt et spesialbygget API for å unngå deteksjon. Firmaene som ble brukt hadde domener som var registrert for flere år tilbake og flere av dem var registrert i Better Business Bureau.
Referanser
https://blog.malwarebytes.org/malvertising-2/[...]

Monday, 14 September 2015

2015.09.14 - Nyhetsbrev

Det har vært en stille og rolig helg.

Det er ingen nye saker siden sist.


Friday, 11 September 2015

2015.09.11 - Nyhetsbrev

Ashley Madison kontoinformasjon kan brukes til å få tilgang til brukernes kontoer på andre tjenester. Google har startet med månedlige sikkerhetsoppdateringer til Android.

Ashley Madison passord lekkasje kan få store følger

Ashley Madison passord var i hovedsak hashet ved bruk av bcrypt, en standard som er regnet som rimelig sikker. Det har vist seg at ett subset av disse var hashet med MD5, som er betydelig enklere å knekke enn bcrypt. Det fryktes nå, etterhvert som denne informasjonen blir offentlig, at den skal brukes til å logge seg inn på kontoer disse personene har på andre nettsider. Dette da det er et velkjent problem at mange bruker den samme login informasjonen flere steder.
Referanser
http://arstechnica.com/security/2015/09/ashle[...]
http://arstechnica.com/security/2015/09/once-[...]

Google ute med månedlige sikkerhetsoppdateringer til Android

Google skal nå ha kommet med det som skal være den første oppdateringen i det nye systemet der de skal tilby sikkersoppdateringer til Android hver måned. Nå er det opp til hver enkelt mobiltelefonleverandør og deretter hver enkelt mobilnettoperatør å levere disse oppdateringene til sluttbrukeren.
Referanser
http://arstechnica.com/gadgets/2015/09/first-[...]

Thursday, 10 September 2015

2015.09.10 - Nyhetsbrev

Eksempelkode for alvorlig Stagefright-svakhet har blitt publisert. NSM har lagt fram sitt sikkerhetsfaglige råd til forsvarsministeren. Sofistikert APT-aktør benytter kaprede satelitt-baserte IP'er som C&C i sine angrep.

Eksempelkode for alvorlig Stagefright-svakhet har blitt publisert

Proof-of-concept (PoC) kode for utnyttelse av en av de mest alvorlige svakhetene (CVE-2015-1538) i det mye omtalte Android-biblioteket libstagefright har blitt publisert.

PoCen er sluppet som et Python-script som generer en .mp4-fil. Denne filen kan kompromittere en Nexus-telefon med Android v4.0.4. Den kan tilpasses til å kompromitter også andre telefoner, men vil ikke fungere mot Android 5.0 og nyere. Dette skyldes en sikkerhetsoppdatering til kompilatoren GCC som er brukt til å kompilere Android.
Referanser
https://blog.zimperium.com/the-latest-on-stag[...]

NSM har lagt fram sitt sikkerhetsfaglige råd til forsvarsministeren

Sikkerhetsfaglig råd er NSMs vurdering av hvordan Norge bør innrette arbeidet med forebyggende sikkerhet frem mot 2020. Vurderingen omfatter områdene IKT-sikkerhet, personellsikkerhet og fysisk sikkerhet. NSM foreslår i rådet til sammen 73 ulike tiltak for å styrke arbeidet i årene fremover.
Referanser
https://www.regjeringen.no/globalassets/depar[...]

Sofistikert APT-aktør benytter satellitt-kommunikasjon for å skjule seg

Kaspersky Labs avslører i en interessant bloggpost hvordan APT-aktøren kjent under navnet Turla i enkelte tilfeller benytter kaprede satelitt-baserte IP-adresser som Command & Control server (C&C) ved angrep mot viktige mål. Iflg. Kaspersky skal Turla ha benyttet dette siden 2007 (minst), og hele poenget med metoden er å gjøre det ytterst vanskelig for sikkerhetsmiljøer, politi og myndigheter å spore og stenge ned C&C-infrastrukturen deres.

Ved å bruke enveis satellitt-teknologi, kan de sende data ut fra infiserte maskiner til C&C til et stort område fra satellitter. Mottakeren kan sitte i hele satellittens nedslagsfelt og plukke opp dataene. Det blir dermed svært vanskelig å finne den fysiske plasseringen til C&C.
Referanser
http://www.wired.com/2015/09/turla-russian-es[...]
https://blog.kaspersky.com/turla-apt-exploiti[...]

Wednesday, 9 September 2015

2015.09.09 - Nyhetsbrev

Microsoft har sluppet oppdateringer for september. Adobe med oppdatering til kritiske sårbarheter i Shockwave Player.

Microsoft har sluppet oppdateringer for september

Microsoft slapp i går kveld 12 oppdateringer som retter hele 56 svakheter. Fem av oppdateringene er rangert som kritiske, og disse omfatter Windows, Edge, Office, Lync, SharePoint og Internet Explorer 7 til 11. Én av svakhetene som blir patchet utnyttes allerede aktivt i angrep.
Referanser
https://technet.microsoft.com/en-us/library/s[...]
http://krebsonsecurity.com/2015/09/microsoft-[...]

Adobe med oppdatering til kritiske sårbarheter i Shockwave Player

Adobe slapp i går en sikkerhetsoppdatering for Adobe Shockwave Player. De to sårbarhetene er minnekorrupsjons-sårbarheter som kan la angriper ta kontroll over systemet. Dersom en ikke har behov for Shockwave Player anbefales det å avinstallere programmet.
Referanser
https://helpx.adobe.com/security/products/sho[...]

Tuesday, 8 September 2015

2015.09.08 - Nyhetsbrev

Alvorlig svakhet i Kaspersky anti-virus. Sikkerhetsforsker melder om svakheter i FireEye.

Alvorlig svakhet i Kaspersky anti-virus


I løpet av helga ble det kjent at det var en alvorlig svakhet i Kasperskys anti-virus-produkter fra 2015 og 2016. Svakheten ble patchet etter under 24 timer og oppdatering har blitt sendt ut.
Referanser
http://securityaffairs.co/wordpress/39959/hac[...]

Sikkerhetsforsker melder om svakheter i FireEye


En sikkerhetsforsker har oppdaget flere svakheter i en appliance fra FireEye. Én av svakhetene gir tilgang til å laste ned filer fra boksen uten å autentisere seg. Det opplyses også at web-serveren kjører med root-tilgang, noe som ikke er regnet som et sikkert oppsett.
Referanser
http://www.csoonline.com/article/2980937/vuln[...]

Monday, 7 September 2015

2015.09.07 - Nyhetsbrev

Mozilla melder om at en kompromittert intern Bugzilla-installasjon har blitt brukt til å tilegne seg detaljer om svakheter. Latvisk man tilstår å stå bak Gozi trojaneren. Red Hat sikkerhetsforsker melder om en rekke produkter med svakheter i RSA-implementasjon, som kan potensielt brukes til å tilegne seg privatnøkkelen. LinkedIn og falske kontoer brukt til å kartlegge sikkerhetsforskere.

LinkedIn og falske kontoer brukt til å kartlegge sikkerhetsmiljøet

Det meldes om at sikkerhetsmiljøet skal ha blitt forsøkt kartlagt ved hjelp av falske LinkedIn-kontoer som gir seg ut for å drive med rekruttering. Personene bak kontoene, samt selskapet de representerer finnes ikke.
Referanser
https://labsblog.f-secure.com/2015/09/03/link[...]

Programmerer bak Gozi-malware tilstår

En Latviske mann, tiltalt for å står bak trojaneren Gozi, tilstår å ha vært med på å lage trojaneren. Trojaneren antas å ha infisert over 1 million maskiner og ble brukt til å overføre penger fra ofrenes bankkontoer.
Referanser
http://www.hotforsecurity.com/blog/latvian-pl[...]
http://www.theregister.co.uk/2015/09/07/crim_[...]

Intern Bugzilla-installasjon hos Mozilla kompromittert

Mozilla melder om at deres Bugzilla-installasjon, et system for å håndtere feil og svakheter i deres programvare, skal ha blitt kompromittert. De opplyser at informasjon om svakheter i FireFox, som ikke var allment kjent, skal ha brukt til å kompromittere klienter. Oppdateringen som ble sluppet 27. august skal ha fikset alle svakheter som ble avslørt gjennom angrepet.
Referanser
https://blog.mozilla.org/security/2015/09/04/[...]

Svakhet kan føre til at HTTPS-nettsteder lekker privat krypteringsnøkkel

Arstechnica rapporterer om at en sikkerhetsforsker hos Red Hat, har funnet ut at flere enheter solgt av flere ulike produsenter har en svakhet pga en dårlig implementasjon av RSA-algoritmen. Dette fører til at angripere kan få tak i den private krypteringsnøkkelen til nettstedet med det defekte utstyret.

Så langt, etter en ni måneders skanning, har sikkerhetsforskeren fått lekket data om 272 forskjellige private nøkler.

Citrix load-balanserer, samt andre enheter fra selskaper som Hillstone Networks, Alteon/Nortel, Viprinet, QNO, ZyXEL, BEJY og Fortinet er blant de som skal ha svakheten.
Referanser
http://arstechnica.com/security/2015/09/serio[...]

Friday, 4 September 2015

2015.09.04 - Nyhetsbrev

Det er oppdaget og fikset 2 svakheter i BIND som kan brukes til å forårsake tjenestenekt.

Sikkerhetsoppdatering for 2 DoS svakheter i BIND

ISC har publisert to sikkerhetsoppdateringer til BIND, hvor to kritiske DoS sårbarheter har blitt oppdaget. Sårbarhet 1 (CVE-2015-5986) gjelder for versjonene 9.9.7-9.9.7-P2 og 9.10.2-9.10.2-P3. Sårbarhet 2 (CVE-2015-5722) gjelder for versjonene 9.0.0-9.8.8, 9.9.0-9.9.7-P2 og 9.10.0-9.10.2-P3.
Referanser
http://www.securityweek.com/bind-updates-patc[...]

Thursday, 3 September 2015

2015.09.03 - Nyhetsbrev

Dansk energiselskap (NRGi) utsatt for hacker-angrep. CSIS melder om ny variant av Carbanak.

Dansk energiselskap (NRGi) utsatt for hacker-angrep

Dansk TV2 melder at NRGi ble utsatt for et omfattende hacker-angrep. Fredag sist uke oppdaget NRGi at noen hadde fått tilgang til deres systemer. NRGi skal ha lukket ned systemene for å minske skadene. I de seneste dagene har de arbeidet for å få opp igjen systemene. Hackerne skal ikke ha fått med seg noe sensitiv kundeinformasjon.
Referanser
http://www.tv2oj.dk/artikel/270894:oestjyllan[...]

CSIS melder om ny variant av Carbanak

CSIS melder om at Carbanak har returnert i en ny variant og har blitt bekreftet rettet mot store selskaper i Europa og i USA. Angrepsmetoder er spear phishing. Carbanak er en trojaner som spesialiserer seg på å stjele informasjon for å muliggjøre tyverier av penger fra firmaer.

Som flere andre avanserte trusler, benytter Carbanak plugins. Disse er installert ved hjelp Carbanaks egen protokoll og kommuniserer med en hardkodet IP-adresse over TCP port 443. Trojaneren er digitalt signert med navnet til et russisk selskap.
Referanser
https://www.csis.dk/en/csis/blog/4710/

Wednesday, 2 September 2015

2015.09.02 - Nyhetsbrev

OSX adware bruker en hittil ukjent metode for å skaffe seg tilgang til Mac OSX Keychain. Google Chrome ute i ny versjon.

OSX Adware får tilgang til Keychain uten at brukeren er klar over det

Adwaren heter Genieo og er laget av det israelske selskapet Genieo Innovation, et selskap som har rykte på seg for å lage denne typen programmer. Ifølge sikkerhetsselskapet Malwarebytes skal Genieo i det skjulte skaffe seg tilgang til Safari extentions list i Mac OSX Keychain. Dette gjør den for å kunne installere en ny extention til Safari, kalt Leperdvil. All tilgang til Keychain skal kreve at brukeren aktivt tillater endringen ved å trykke "godta" i en dialogboks som kommer opp. Måten Genieo kommer seg rundt dette på er ved å emulere et museklikk der "godta" knappen på dialogboksen er når den dukker opp. Dette gjør at denne bare vil blinke fort, noe som den gjennomsnittlige bruker mest sannsynlig ikke vil legge merke til. Keychain kan også inneholde passord til andre tjenester som for eksempel Gmail og iCloud og det er ingenting i veien for at dette kan aksesseres ved bruk av samme metode.
Referanser
https://blog.malwarebytes.org/mac/2015/08/gen[...]
http://arstechnica.com/security/2015/09/sneak[...]

Ny oppdatering til Google Chrome

Oppdateringen retter hele 29 svakheter i den populære nettleseren fra Google.
Anbefaling
Oppdater til nyeste versjon. Dette gjør nettleseren i de fleste tilfeller autmatisk via sitt eget oppdateringssystem.
Referanser
http://googlechromereleases.blogspot.no/2015/[...]

Tuesday, 1 September 2015

2015.09.01 - Nyhetsbrev

Sårbarheter i Intel Active Management Technology. 250.000 Apple-kontoer fra jailbreakede enheter skal være på avveie.

Sårbarheter i Intel Active Management Technology (AMT)

NSM skriver om flere sårbarheter i Intel Active Management Technology. Intel AMT er en plattform som ligger under operativsystemet på noen PCer. De brukes typisk til lavnivå-administrasjon av en server. Systemet operer med egne brukernavn/passord og tilganger. Ofte er de f.eks. satt opp med standard passord. Masker med AMT kan også kompromitteres ved å sette inn en USB-minnepinne i noen sekunder. NSM oppfordrer til å følge med på nettverkstrafikken på spesifikke porter fra maskiner med AMT.
Referanser
https://www.nsm.stat.no/tjenester/handtering/[...]

225.000 Apple-kontoer på avveie

En malware som har fått navnet KeyRaider stjal 225.000 unike Apple-brukernavn og passord fra infiserte iPhone-telefoner. Telefonene det var snakk om var jailbreaket, og hadde blitt infisert via ondsinnede app-er lastet ned gjennom Cydia.
Referanser
http://gizmodo.com/hackers-stole-the-biggest-[...]