Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 28 February 2017

2017.02.28 - Nyhetsbrev

En gjennomgang av sikkerheten i passordmanagere for Android gir et nedslående bilde. ESET Endpoint Antivirus for Mac har en sårbarhet som kan gi ekstern kodeeksekvering og rettighetseskalering.

Avdekket 26 svakheter i passordmanagere

Et team av sikkerhetsforskere har gjennomgått sikkerheten i de mest populære passordmanagerene til Android. Resultatet er en liste over 26 svakheter, deriblant hardkodede krypteringsnøkler og master-passord lagret som ren tekst.
Referanser
https://team-sik.org/trent_portfolio/password[...]

Alvorlig sårbarhet i ESET Antivirus for Mac

Ved å gjennomføre et mellommannsangrep mot ESETs kommunikasjon med egne servere er det mulig å misbruke en sårbarhet i XML-biblioteket som brukes av ESET og tilegne seg root-rettigheter på en Mac. Sårbarheten er rettet i ESET Endpoint Antivirus version 6.4.168.0.
Anbefaling
Brukere av ESET Antivirus på OSX bør oppdatere så snart som mulig.
Referanser
http://securityaffairs.co/wordpress/56744/hac[...]

Monday, 27 February 2017

2017.02.27 - Nyhetsbrev

Russland har opprettet en gruppering i forsvaret som skal drive med informasjonskrig.

Russland har opprettet en gruppering i forsvaret som skal drive med informasjonskrig

Dette skrev infosecurity magazine i en artikkel i helgen. Russland skal ha investert mye i denne avdelingen og de skal kunne gjøre alt fra å utføre hackerangrep til å spre falsk informasjon på sosiale medier.
Referanser
https://www.infosecurity-magazine.com/news/ru[...]

Friday, 24 February 2017

2017.02.24 - Nyhetsbrev

Ny runde med Torrentlocker, denne gangen med makroer i Word-dokument. CloudFlare har lekket private data gjennom minnelekkasje. Mnemonic har sluppet Security Report 2017. Google presenterer alvorlig svakhet i SHA-1 algoritmen.

Ny runde med Torrentlocker, denne gangen med makroer i Word-dokument

Siden starten av februar har det vært svært stor spredning av spam-eposter som forsøker å infisere mottakerne med ransomwaren Torrentlocker. Angriperne skifter stadig teknikk. I dagens bølge er malwaren kamuflert som et Word-dokument med en bestillingsliste. Word-dokumentet ber brukeren skru på makroer, og laster deretter ned løsepengeviruset. Se vår Facebook-side for skjermskudd!
Referanser
https://nb-no.facebook.com/TelenorSOC/posts/1[...]

CloudFlare har lekket private data gjennom minnelekkasje

Cloudflare har hatt en bug i sin spesialskrevne programvare for proxy-serverne sine. Dette har ført til at tilfeldig minne fra serveren har blitt sendt med i svar på HTTP-forespørsler. Heldigvis har dette bare skjedd i en forsvinnende liten andel av forespørslene.

Det sikkerhetsforskeren Tavis Ormandy som har oppdaget svakheten. I Googles forespørsler mot sider hostet hos Cloudflare, fant han blant annet private meldinger, passord, cookies osv. Svakheten er nå fikset. Uber, Fitbit og TheRegister er eksempler på kunder av Cloudflare.
Referanser
https://www.theregister.co.uk/2017/02/24/clou[...]
https://bugs.chromium.org/p/project-zero/issu[...]
https://blog.cloudflare.com/incident-report-o[...]

Mnemonic har sluppet Security Report 2017

Norske Mnemonic har sluppet en sikkerhetsrapport med tilbakeblikk på 2016 og spådommer for 2017.
Referanser
https://www.mnemonic.no/globalassets/noindex/[...]

Google presenterer alvorlig svakhet i SHA-1 algoritmen

Google har oppdaget en teknikk som gjør det langt lettere å finne kollisjoner mellom SHA-1 hasher. En hash-algoritme har som eneste egenskap å lage unike fingeravtrykk (hasher) for unike filer. Google har imidlertid publisert et eksempel der to ulike filer generer samme fingeravtrykk og skaper en kollisjon. Dette støtter opp om tidligere antagelser der det var spådd at SHA-1 algoritmen ikke er sikker. Det anbefales å gå over til sikrere algoritmer som SHA-256.

For å utnytte svakheten må en ha kontroll på begge filene som det skal lages en hash-kollisjon mellom. Selv om den nye svakheten gjør det enklere, kreves det fortsatt regnekraft for over $500.000 for å finne en kollisjon.
Anbefaling
Oppdater eventuelt berørte systemer.
Referanser
https://shattered.io/
https://security.googleblog.com/2017/02/annou[...]
https://www.theregister.co.uk/2017/02/24/clou[...]

Thursday, 23 February 2017

2017.02.23 - Nyhetsbrev

Microsoft kommer med en hasteoppdatering til Adobe Flash Player og det er funnet en ny type ransomware som angriper Mac-brukere.

Microsoft med hasteoppdatering til tross for planlagt utsettelse

Microsoft annonserte denne uken at de utsetter deres månedlige sikkerhetsoppdatering frem til midten av mars. Til tross for dette har de nå rullet ut en oppdatering av Adobe Flash Player for en rekke av deres operativsystemer. Den rettede feilen kan potensielt føre til fjerneksekvering av fiendtlig kode, og det anbefales derfor å oppdatere snarest.
Referanser
https://technet.microsoft.com/en-us/library/s[...]
http://www.theverge.com/2017/2/22/14696358/mi[...]

Ny ransomware angriper Mac-brukere

En ny type ransomware rettet mot Mac-brukere, distribuert via BitTorrent, er forkledd som "patcher" til for eks Adobe Premiere og MS Office. Det viser seg at selv om man betaler summen angriperen ber om, er det ingen mulighet for at angriperen å gå inn på maskinen og dekryptere filene igjen. Offline backup er derfor anbefalt.
Referanser
http://www.welivesecurity.com/2017/02/22/new-[...]

Wednesday, 22 February 2017

2017.02.22 - Nyhetsbrev

Norske domstoler rammet av virus. Hackergruppe angriper russiske bedrifter som bruker populært regnskapsprogram.

Norske domstoler rammet av virus

Digi.no melder om at flere norske domstoler har i løpet av tirsdagen blitt rammet av et epostvirus. Det kommer ikke frem hvilke type virus det er snakk om, men at det skal kun skal være de interne fellesområdene som er rammet. Det meldes også om at viruset ikke skal ha rammet saksbehandlingssystemet eller saksavviklingen til domstolene, så dette vil ikke merkes av publikum.

Fellesområdene er tatt ned for å hindre videre spredning og det er iverksatt rensing av de infiserte systemene.
Referanser
https://www.digi.no/artikler/norske-domstoler[...]

Hackergruppe angriper russiske bedrifter som bruker 1C: Enterprise 8

WeLiveSecurity har publisert en artikkel om en hackergruppe som angriper Russiske bedrifter ved å finne ut om bedriften bruker et populært regnskapsprogram kalt "1C: Enterprise 8". I så fall kan de hente ut en midlertidig fil med navnet "1c_to_kl.txt" som inneholder informasjon om betalingsoverføringer. Angriperne kan utnytte denne ved å blant annet endre mottaker-konto.
Referanser
http://www.welivesecurity.com/2017/02/21/rtm-[...]

Tuesday, 21 February 2017

2017.02.21 - Nyhetsbrev

Phishing-tema i dagens nyhetsbrev. CyberX forteller om Operation BugDrop, der sentrale organisasjoner i Ukraina ble avlyttet via PC-mikrofoner. Falske Swisscom-fakturaer med banktrojaner fikk god spredning via seriøs e-post-sender. Google forteller hvordan de sikrer Gmail mot phishing og skadevare. NorSIS har publisert en kronikk om phishing og sårbarhet.

Sofistikert aktør avlyttet PC-mikrofoner i Ukraina

CyberX rapporterer om en målrettet avlyttingsoperasjon mot organisasjoner i Ukraina, tilknyttet blant annet presse, forskning, menneskerettigheter og olje/gass. Trusselaktøren har benyttet skadevare levert via Office-makroer i phishingmail, lyttet på samtaler via PC-ens innebygde mikrofon og eksfiltrert dataene via Dropbox. Dette har gitt operasjonen navnet BugDrop.
Referanser
https://arstechnica.com/security/2017/02/hack[...]
https://cyberx-labs.com/en/blog/operation-bug[...]

Falske Swisscom-fakturaer spredde banktrojaner

GovCERT.ch har publisert en rapport om falske Swisscom-fakturaer som i realiteten spredde bantrojaneren Dridex i forrige uke. Kampanjen hadde svært god spredning fordi bakmennene benyttet ESP-en SendGrid til å sende ut phishingmailen. ESP-er spesialiserer seg på å sende ut seriøse nyhetsbrev og lignende på vegne av kunder, og er ofte whitelistet hos antispam-leverandørene. Det er lite som tyder på at kampanjen er relatert til de falske Telenor-fakturaene som har spredd ransomware den siste tiden.
Referanser
https://www.govcert.admin.ch/blog/28/the-rise[...]

Google om sikring av e-post

Google har presentert hvordan de beskytter Gmail-innbokser mot spam, phishing og skadevare. Spamfiltrering via deep learning kombinert med standarder som SPF, DKIM og DMARC trekkes frem som viktig. Samtidig presiseres det at tekniske løsninger alene ikke kan beskytte fullt ut mot phishing.
Referanser
http://www.eweek.com/security/how-google-secu[...]

NorSIS om phishing-sårbarhet

NorSIS har publisert en kronikk som argumenterer for at det ikke er det menneskelige ledd alene som kan lastes etter et vellykket phishingangrep, men at det må sees som en del av et større sårbarhetsbilde. Kronikken tar utgangspunkt i Ira Winklers presentasjon om ”The Human Exploitation Kill-Chain” på RSA nylig.
Referanser
https://norsis.no/alltid-menneskets-feil-nar-[...]

Monday, 20 February 2017

2017.02.20 - Nyhetsbrev

Google har sluppet informasjon om Windows-bug. Målrettet kampanje mot Israelsk forsvar.

Google har sluppet informasjon om Windows-bug

Microsoft skullet egentlig ha patchet en minnehåndterings-bug i GDI denne måneden. Månedens sikkerhetspatcher har imidlertid blitt utsatt til neste måned. Detaljer rundt svakheten har nå blitt sluppet av ingeniøren i Google som oppdaget den, etter at fristen på 90 dager for patching har utløpt.
Referanser
https://www.theregister.co.uk/2017/02/20/goog[...]

Målrettet kampanje mot Israelsk forsvar

Securelist skriver om en målretter kampanje mot det israelske forsvaret. Trusselaktøren skal ha brukt sosial manipulering mot sine mål for lure dem til å installere Android-malware.
Referanser
https://securelist.com/blog/incidents/77562/b[...]

Friday, 17 February 2017

2017.02.17 - Nyhetsbrev

Tjenestenekt-sårbarhet i OpenSSL 1.1.0.

Tjenestenekt-sårbarhet i OpenSSL 1.1.0

En sårbarhet i OpenSSL 1.1.0 kan utnyttes til å kræsje klient og/eller server, og dermed utnyttes i et tjenestenekt-angrep.
Anbefaling
Oppdatèr til 1.1.0e eller 1.0.2
Referanser
https://www.openssl.org/news/secadv/20170216.txt
http://www.securityweek.com/high-severity-fla[...]

Thursday, 16 February 2017

2017.02.16 - Nyhetsbrev

F-Secure har sluppet State of Cyber Security report. Ny malware for MacOS knyttes til APT28.

F-Secure har sluppet State of Cyber Security report

F-Secure har sluppet en omfattende rapport om sikkerhet på nettet. Rapporten ser på hva som skjedde i 2016, hva som er tilstanden nå og hva som kan gjøres for å bedre sikkerhets-situasjonen på nettet.
Referanser
https://www.f-secure.com/documents/996508/103[...]

Ny malware for MacOS knyttes til APT28

Bitdefender har sett på en versjon av malwaren Xagent skrevet for MacOS. Xagent kan blant annet hente ut hardware-info, stjele passord og ta screenshots. Den kan også laste ned iOS-backups som er lagret på Macen, noe som vil kunne gi bakmennene tilgang til mye ekstra informasjon.
Referanser
https://labs.bitdefender.com/2017/02/new-xage[...]
https://arstechnica.com/security/2017/02/new-[...]

Wednesday, 15 February 2017

2017.02.15 - Nyhetsbrev

Ciscos SMI-protokoll kan misbrukes. Adobe gir ut oppdateringer. Microsoft utsetter patche-tirsdag. ASLR kan bli forbigått ved hjelp av JavaScript. Myndighetene brukte falske basestasjoner 71 ganger i fjor.

Ciscos SMI-protokoll kan misbrukes

Ciscos Smart Install (SMI)-protokoll brukes til å auto-konfiguere switcher. Dette kan misbrukes ved å endre startup-config-filen til å kjøre priviligerte kommandoer uten å være autentisert. Cisco selv sier at dette er en feature, ikke en bug. Denne protokollen bør skrus av, spesielt dersom det ikke benyttes et separat management-nettverk.
Referanser
https://tools.cisco.com/security/center/conte[...]
http://www.securityfocus.com/archive/1/540130
https://www.theregister.co.uk/2017/02/15/cisc[...]

Adobe gir ut oppdateringer

Adobe har gitt ut oppdateringer til Adobe Flash Player, Digital Editions og Campaign som skal fikse flere svakheter. Utnyttelse av noen av disse svakhetene kunne gjøre det mulig for en angriper å ta over systemet.

For Adobe Flash player er det publisert 13 svakheter. Alle disse har fått høyeste alvorlighetsgrad. Det er ikke meldt om at noen av svakhetene har blitt utnyttet i angrep enda.
Referanser
https://helpx.adobe.com/security/products/fla[...]
https://helpx.adobe.com/security/products/Dig[...]
https://helpx.adobe.com/security/products/cam[...]
https://threatpost.com/adobe-patches-13-code-[...]

Microsoft utsetter patche-tirsdag

Microsoft har uttalt at de oppdaget en feil i siste minutter som kunne ha effekt på deres kunder og valgte derfor å utsette denne månedens oppdatering.

Microsoft har, i skrivende stund, ikke gitt noen estimat på når oppdateringene for denne måneden vil bli gitt ut.
Referanser
https://blogs.technet.microsoft.com/msrc/2017[...]
https://arstechnica.com/information-technolog[...]

ASLR kan bli forbigått ved hjelp av JavaScript

Address space layout randomization, eller ASLR, er en teknikk som flytter om på minnelokasjonene til koden som operativsystemet og applikasjoner kjører og er kjent for å beskytte mot malware-angrep. Forskere har funnet en måte å finne disse minneadressene ved hjelp av JavaScript og et "side channel"-angrep mot hurtigminnet til moderne CPUer. De har hittil identifisert 22 forskjellige sårbare CPUer.

Teknikken vil kunne føre til at svakheter i operativystemer og tredjepartsprogrammer lettere vil kunne utnyttes fra en nettleser. Apple har allerede lagt inn kode i Safari for å prøve å beskytte mot denne typen angrep.
Referanser
https://blogs.technet.microsoft.com/msrc/2017[...]
https://www.vusec.net/projects/anc/
http://www.cs.vu.nl//~herbertb/download/paper[...]

Myndighetene brukte falske basestasjoner 71 ganger i fjor

Politiet og PST har rapportert til NKom at de benyttet seg av falske basestasjoner, eller mobilregulerte soner, 71 ganger i fjor. Dette er en oppgang fra 35 tilfeller i 2015.
Referanser
http://www.aftenposten.no/norge/I-flere-ar-ho[...]

Tuesday, 14 February 2017

2017.02.14 - Nyhetsbrev

Trusselaktøren Lazarus knyttes til vannhullsangrep mot flere titalls banker. Forskere har utarbeidet en metode for å fingerprinte og tracke ulike nettlesere på samme maskin.

Sporing av webbrukere på tvers av nettlesere

Forskere har funnet en måte å fingerprinte og korrelere ulike nettlesere på samme maskin med over 99% sikkerhet. Det vil si at brukere av samme maskin vil kunne trackes på nett til tross for at nettlesere byttes, reinstalleres eller lignende.
Referanser
https://arstechnica.com/security/2017/02/now-[...]
http://yinzhicao.org/TrackingFree/crossbrowse[...]

Mange titalls banker rammet av vannhull-angrep

En ny bølge av skadevare skal være rettet spesifikt mot bank- og telecomsektoren i 31 land iflg Symantec. Skadevaren knyttes til grupperingen Lazarus, som tidligere har vært knyttet til angrep mot finans og myndigheter i Asia. I Polen ble flere banker infisert av skadevare etter å ha besøkt nettsidene til det polske finanstilsyet, som angriperne hadde klart å kompromittere.
Referanser
https://www.digi.no/artikler/mange-titalls-ba[...]
https://www.symantec.com/connect/blogs/attack[...]

Monday, 13 February 2017

2017.02.13 - Nyhetsbrev

Bruce Schneier demonstrerer hvordan knytte anonymiserte data opp mot enkeltbrukere. Amerikanske sikkerhetsmyndigheter med rapport om Grizzly Steppe aktører. VG har sjekket politikeres adresser opp mot lekkasjer.

Rapport viser hvordan en kan knytte surfehistorikk opp mot enkeltindivider ved hjelp av sosiale medier

En akademisk publikasjon viser hvordan en kan knytte anonym surfehistorikk mot ekte personer ved hjelp av sosiale-medier. Dette gjøres ved å matche surfevanene med hvem du følger på sosiale medier. Ved å se hvilke linker du besøker, kan en f.eks. finne en matchene Twitter-profil. Av 400 stykker som donerte sin surfe-historikk, klarte forskerne å finne identiteten på 70%.
Referanser
https://www.schneier.com/blog/archives/2017/0[...]
http://randomwalker.info/publications/browsin[...]

Amerikanske sikkerhetsmyndigheter med forbedret rapport rundt GRIZZLY STEPPE-aktører

Department of Homeland Security og andre amerikanske aktører lanserte fredag 10. februar en utvidet analyse av GRIZZLY STEPPE-relaterte hendelser. Rapporten inneholder spesifikke signaturer og anbefalinger for deteksjon og mitigering av trusler fra aktørene. Den oppdaterte rapporten kommer etter mye kritikk av den første versjonen.
Referanser
https://www.us-cert.gov/sites/default/files/p[...]

VG har sjekket politikeres adresser opp mot lekkasjer

VG har sjekket 1500 e-postadresser tilhørende politikere, regjeringsmedlemmer og departementer opp mot større passord-lekkasjer fra de siste årene. De har blant annet brukt tjenester som "Have i been pwned?" og rådata fra lekkasjene. De lekkede dataene er i flere tilfeller flere år gamle og stammer fra store tjenester som LinkedIn, Dropbox, Yahoo osv.

Det viser seg at det er ofte lite sentral varsling fra arbeidsgiver i forbindelse med disse sakene. Artikkelen viser at det er smart å ha forskjellig e-post-adresse for privat- og jobb-bruk, spesielt dersom du har en jobb der du håndterer sensitiv informasjon.

Vi vil anbefale å registrere e-post-adresser hos haveibeenpwned.com for å bli varslet dersom din informasjon blir lekket. Organisasjoner kan også registrere seg for å få varsel dersom informasjon tilhørende organisasjonen blir lekket.
Referanser
http://www.vg.no/nyheter/innenriks/erna-solbe[...]
https://haveibeenpwned.com/

Friday, 10 February 2017

2017.02.10 - Nyhetsbrev

Cylance skriver om malwaren StreamEx. Kaspersky advarer mot skadevare som kjøres rett fra RAM. Svakheter i Cisco Cisco ASA Clientless SSL VPN og Cisco AnyConnect Secure Mobility Client. Kombinasjoner av DNS64 og RPZ åpner opp for svakhet i BIND.

Cylance skriver om malwaren StreamEx

Sikkerhetsselskapet Cylance skriver om en familie med malware (StreamEx) som vanlig antivirus ikke klarer å gjenkjenne. Malwaren skal ha blitt mye brukt av en aktør kjent som Shell Crew.
Referanser
https://blog.cylance.com/shell-crew-variants-[...]

Kaspersky advarer mot skadevare som kjøres rett fra RAM

Kaspersky har i en nylig utgitt rapport beskrevet en trojaner som ved hjelp av innebyggde verktøy i Windows, kan legge seg inn i RAM. Dette gjør den veldig vanskelig å oppdage. Kaspersky ser en økt trend i skadevare som benytter slike metoder. Kaspersky har funnet ut at over 100 bedrifts-nettverk viser tegn til å være infisert av denne malwaren.
Referanser
https://securelist.com/blog/research/77403/fi[...]

Svakheter i Cisco Cisco ASA Clientless SSL VPN og Cisco AnyConnect Secure Mobility Client

Cisco advarer mot svakheter i to av deres produkter: Cisco Cisco ASA Clientless SSL VPN og Cisco AnyConnect Secure Mobility Client.

Svakheten i Cisco ASA gjør at en autentisert klient kan krasje brannmuren og muligens også kjøre fiendtlig kode. Brukeren kan gjøre dette ved å sende en spesielt utformet URL til branmuren.

Svakheten i Cisco AnyConnect Secure Mobility Client Software for Windows gjør at en uautentisert lokal bruker kan åpne Internet Explorer med System-rettigheter. Denne kan igjen brukes til å kjøre andre priviligerte kommandoer på systemet.
Anbefaling
Installer oppdateringer fra Cisco.
Referanser
https://tools.cisco.com/security/center/conte[...]

Kombinasjoner av DNS64 og RPZ åpner opp for svakhet i BIND

Servere som er konfigurert for bruk av både DNS64 og RPZ (Response Policy Zones) kan potensielt havne i en situasjon hvor det oppstår en "segmentation fault". Svakheten løses ved å oppdatere til siste versjon.
Anbefaling
Installer oppdatering fra BIND.
Referanser
https://kb.isc.org/article/AA-01453

Thursday, 9 February 2017

2017.02.09 - Nyhetsbrev

USA vurderer å be besøkende fra enkelte muslimske land om å oppgi passord til sosiale medier i forbindelse med sikkerhetssjekk.

En rekke F5 BIG-IP produkter kan lekke sensitiv informasjon grunnet ny svakhet kalt "TicketBleed".

USA vurderer å be besøkende fra enkelte muslimske land om å oppgi passord til sosiale medier.

Department of Homeland Security vurderer å pålegge utlendinger fra syv i hovedsak muslimske land å måtte oppgi passord til sosiale medier dersom de ønsker å søke om innreise til USA. Dette skal eventuelt brukes ifbm. en utvidet sikkerhetssjekk, og vil i første omgang gjelde landene Syria, Iraq, Iran, Somalia, Sudan, Libya og Yemen.
Referanser
http://www.nbcnews.com/news/us-news/amp/us-vi[...]

TicketBleed: Sårbarhet i en rekke F5 BIG-IP produkter.

En svakhet i TLS-stakken i en rekke BIG-IP produkter fra F5 kan utnyttes til å få hentet ut inntil 31 bytes med uinitialisert minne. Dette minnet kan inneholde tilfeldig, og potensielt sensitiv, informasjon, som. f.eks. TLS privatnøkler. Svakheten likner på velkjente HeartBleed fra 2014, og har da også fått navnet TicketBleed.
Anbefaling
Patch ihht. https://support.f5.com/csp/article/K05121675
Referanser
https://support.f5.com/csp/article/K05121675 [...]
https://filippo.io/TicketBleed/ [...]
https://blog.filippo.io/finding-ticketbleed/ [...]

Wednesday, 8 February 2017

2017.02.08 - Nyhetsbrev

Ransomware as a service har blitt mer og mer populært de senere årene.

Ransomware as a service

Computerworld har en artikkel om at det i de siste årene har blitt populært å kjøpe ransomware som en tjeneste. Dette åpner da opp for at flere kriminelle, også de med mindre IT kompetanse, kan bruke dette som et verktøy til utpressing. Locky og Cerber tas opp som eksempler.
Referanser
https://www.computerworld.dk/art/239191/ranso[...]

Tuesday, 7 February 2017

2017.02.07 - Nyhetsbrev

Falske Telenor-fakturaer leder til løsepengevirus. NRK: Nødnettet ble driftet fra India. 76 iOS-apper fra App Store sikrer data dårlig under transport. Android Security Bulletin februar 2017. TV-leverandøren Vizio kartla kundenes TV-vaner

Falske Telenor-fakturaer leder til løsepengevirus

Det går for tiden ut phishingmail til brukere over hele Norge med instruks om å betale en angivelig mobilfaktura. Mailen er profesjonelt utformet og lenkene fører til nedlasting av løsepengeviruset Torrentlocker. Telenor sender ikke ut mobilfakturaer på denne måten, og mottakere oppfordres til å slette mailen eller rapportere den som spam via mailklient. I Telenor gjør vi det vi kan for å begrense skadevirkningene for våre kunder.
Referanser
http://www.dinside.no/okonomi/telenor-advarer[...]
https://nb-no.facebook.com/TelenorSOC/

NRK: Nødnettet ble driftet fra India

I følge NRK skal Nødnettet i lengre tid ha vært driftet fra India, av indiske IT-arbeidere som ikke er sikkerhetsklarert. NRK mener at den uautoriserte og ulovlige tilgangen har pågått over tid. Broadnet forklarer at det dreier seg om en underleverandør som fikk feil tilganger.
Referanser
https://www.nrk.no/norge/driftet-nodnettet-ul[...]

76 iOS-apper fra App Store sikrer data dårlig under transport

75 populære apper i iOS App Store sikrer dataene sine dårlig under transport. Ved hjelp av en MITM (Man In The Middle)-proxy og et falskt sertifikat, kan dataene dekrypteres. Dette er en gammel og kjent svakhet, men det er dessverre mange som fortsatt ikke har utbedret dette. Appene det er snakk om har blitt lastet ned over 18 millioner ganger.
Referanser
https://arstechnica.com/security/2017/02/doze[...]
http://itavisen.no/2017/02/07/alvorlig-svakhe[...]

Android Security Bulletin februar 2017

Google har annonsert sikkerhetsoppdatering til Android for februar. En av sårbarhetene som rettes gir mulighet for kjøring av kode via mediefiler levert via web, e-post eller MMS.
Referanser
https://source.android.com/security/bulletin/[...]

TV-leverandøren Vizio kartla kundenes TV-vaner

TV-produsenten Vizio i USA har detaljert kartlag hva kundene deres har sett på TV. Dette har blitt gjort ved å analysere selve bildet på TVen og skal ha fungert uansett kilde til bildet på skjermen. Dataene som ble samlet inn ble solgt videre til annonsører. TV-produsenten Vizio har nå inngått et forlik med Federal Trade Commission (FTC) på 2,2 millioner dollar.
Referanser
https://www.ftc.gov/news-events/blogs/busines[...]
http://itavisen.no/2017/02/07/produsent-spore[...]

Monday, 6 February 2017

2017.02.06 - Nyhetsbrev

E-tjenesten har sluppet sin årlige trusselvurdering: Fokus. En hacker har tatt ned 20% av netttedene på The Dark Web.

E-tjenesten har sluppet sin årlige trusselvurdering: Fokus

E-tjenesten har sluppet sin årlige trusselvurdering: Fokus 2017. For det digitale domenet oppsummerer E-tjenesten tilstanden på denne måten: "Truslene mot det digitale rom er økende. Vi kan forvente omfattende etterretningsoperasjoner mot Norge i året som kommer. Russland gjennomførte omfattende digitale operasjoner for å påvirke valgkampen i USA, og en kan ikke se bort ifra at fremmede makter også kan forsøke å påvirke valget på ulike måter her i Norge og andre steder i Europa i 2017."
Referanser
https://forsvaret.no/fokus
http://www.aftenposten.no/norge/Slik-jobber-R[...]

En hacker har tatt ned 20% av netttedene på The Dark Web

En hacker har kompromittert tjenesten Freedom Hosting II på The Dark Web, altså det lukkede nettet som er basert på TOR (The Onion Router). Hackeren har også lastet ned data fra de rundt 10.000 nettstedene og sluppet disse offentlig. Motherboard har en artikkel med mer detaljer rundt hvordan angrepet ble gjort.
Referanser
http://www.theverge.com/2017/2/3/14497992/fre[...]
https://motherboard.vice.com/en_us/article/ta[...]

Friday, 3 February 2017

2017.02.03 - Nyhetsbrev

0-dags svakhet i SMB-protokollen, Arbeiderpartiet utsatt for cyberangrep og Buypass vil begynne å tilby gratis HTTPS sertifikater.

0-dags svakhet i SMB-protokollen

Det har blitt oppdaget en 0-dags svakhet i SMB-protokollen som kan brukes til å krasje maskiner som kjører Windows 8.1 og 10. Ved mottak av pakken går maskinen i blåskjerm. Svakheten kan også muligens føre til at en angriper kan kjøre arbitrær kode på systemet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
http://www.kb.cert.org/vuls/id/867968
https://isc.sans.edu/forums/diary/Windows+SMB[...]

Arbeiderpartiet utsatt for cyberangrep

Arbeiderpartiet har blitt utsatt for et digitalt angrep via e-post. I følge PST er aktøren bak angrepet knyttet til fremmed etterretning. Etter det TV2 erfarer er det Russland som står bak.
Referanser
http://www.tv2.no/nyheter/8902520/

Buypass vil begynne å tilby gratis HTTPS-sertifikater

Den Norske sertifikatutstederen Buypass vil begynne å tilby gratis HTTPS-sertifikater i likhet med Lets Encrypt.
Referanser
https://www.digi.no/artikler/buypass-utfordre[...]

Thursday, 2 February 2017

2017.02.02 - Nyhetsbrev

Kritisk content injection svakhet i Wordpress.

Content Injection svakhet i WordPress

Som en del av et forskningsprosjekt ble det oppdaget en svaket i WordPress v.4.7 og 4.7.1 sitt REST-API som tillater modifisering av vilkårlige poster eller sider på et WordPress nettsted.

Feilen er rettet i versjon 4.7.2, som ble sluppet allerede 26. januar. Det var inntil i går ikke offentlig kjent at versjon 4.7.2 rettet også denne svakheten.
Anbefaling
Oppdater til versjon 4.7.2
Referanser
https://wordpress.org/news/2017/01/wordpress-[...]
https://blog.sucuri.net/2017/02/content-injec[...]

Wednesday, 1 February 2017

2017.02.01 - Nyhetsbrev

PST ute med trusselvurdering for 2017. Her slås det bl.a. fast at Russland og Kina er aktive ifht. cyberspionasje mot Norge. Rema 1000 eksponerte kundedatabase gjennom usikret Æ-app.

PST ute med trussevurdering for 2017

PST har i dag lagt fram sin årlige åpne trusselvurdering. Den største terrortrusselen kommer fra ekstrem islamisme, mens spionasje har største langsiktig skadepotensial. Russland og Kina er nevnt spesielt. Spionasjen gjennomføres både ved hjelp av klassiske metoder og datainnbrudd. Begge land har i følge PST forsøkt å kompromittere datasystemer hos virksomheter som forvalter «grunnleggende nasjonale verdier og store kommersielle interesser».
Referanser
http://www.pst.no/media/82444/PST_Trusselvurd[...]
http://www.aftenposten.no/norge/PST-Fremmede-[...]

Rema 1000 eksponerte kundedatabase gjennom usikret Æ-app

Aftenposten melder at Rema 1000 i omlag to uker har eksponert hele brukerdatabasen til handle-appen "Æ", grunnet manglende autentisering mellom appen og bakenforliggende system/database. Hvem som helst med appen installert kunne altså i denne perioden potensielt sett hente ut oversikt over alle Æ-brukere, deres handle-kvitteringer, telefonnummer og deler av betalingskortinformasjon. Tabben ble oppdaget av it-utvikler Hallvard Nygård, som varslet Rema. Appen skal nå være sikret.
Referanser
https://t.co/X3dPbsjXDT