2013.05.31 - Nyhetsbrev

Det er oppdaget et sikkerhetshull i Apache som kan gjøre det mulig for utenforstående å ta kontroll. PayPal har fikset sikkerhetshull. Evernote har kommet med nye sikkerhetsmekanismer. Hviterussland er nå på spamtoppen og Ruby on Rails benyttes til DDoS.

Ruby on Rails brukes til DDoS-botnet

I januar ble det utgitt en sikkerhetsoppdatering for rammeverket Ruby on Rails, men svært mange har latt være å oppdatere. Dette benyttes aktivt i oppbygningen av et botnet som benyttes i DDoS-angrep.
Referanser
http://www.theregister.co.uk/2013/05/30/rails_botnet_threat/

Loggfil-sårbarhet i Apache server

Et sikkerhetshull gjør at angripere kan ta over Apache-servere. Funksjonen do_rewritelog() i mod_rewrite filtrerer ikke data i filen godt nok. Angripere kan bruke spesielle HTTP-forespørsler for å legge til escape-sekvenser i logg-filen, disse kjøres hvis loggfilen åpnes. Det er kjent at dette gjelder 2.2.x, men andre versjoner kan også være sårbare.
Referanser
http://www.h-online.com/security/news/item/Log-file-vulnerability-in-Apache-server-1873651.html

PayPal stenger sikkerhetshull

Natt til torsdag norsk tid stengte PayPal det velkjente sikkerhetshullet i portalen sin. Det hadde da vært offentlig kjent i fem dager, og kjent for PayPal i to uker. Det var et kritisk hull som tillot angripere å sprøyte inn JavaScript-kode i PayPal-nettstedet. Det gjorde det mulig å stjele brukerinformasjon.
Referanser
http://www.h-online.com/security/news/item/PayPal-vulnerability-finally-closed-1873322.html

Evernote med sikkerhetsoppdatering

Evernote introduserer tre nye sikkerhetsfunksjoner. Den første er totrinns verifisering, som krever passord og en sikkerhetskode som blir sendt til mobiltelefonen. Det skjer bare hvis Evernote er installert på en enhet med nettilgang, og funksjonen er frivillig. Denne er kun tilgjengelig for betalende kunder. Den andre funksjonen viser når og hvor brukerkontoen ble logget inn på. Den siste funksjonen er stenging av tilgang til enheter man eksempelvis ikke bruker lenger.
Referanser
http://news.cnet.com/8301-1035_3-57586857-94/evernote-locks-down-three-new-security-features

Hviterussland på spamtoppen

Hviterussland nådde førsteplassen i verden for utsending av søppelpost. 13. april var gjennomsnittet 12,3 millioner spam-meldinger per dag ifølge sikkerhetsforskere hos AppRiver, og det tallet øker.
Referanser
http://www.theregister.co.uk/2013/05/30/belarus_surprise_worlds_spam_relaying_top_dog/

2013.05.30 - Nyhetsbrev

Indonesia oppretter "Cyber Army". Google endret anbefaling om fiks av svakheter innen 7 dager. Nesten 1 million brukernavn og passord er på avveien fra Drupal.org

Google oppfordrer til fiks av 0-days svakheter innen 7 dager.

Googles standard anbefaling er at svakheter bør fikses iløpet av 60 dager. Nå snakkes det om at slike feil burde vært fikset innen 7 dager. For de feil som ikke kan fikses på så kort tid, bør man komme med en Advisory, som omhandler midlertidige fikser og tiltak.
Referanser
http://googleonlinesecurity.blogspot.co.uk/2013/05/disclosure-timeline-for-vulnerabilities.html

Nesten 1 million brukernavn hos Drupal.org må byttes etter tap av sensitive data.

Holly Ross, direktør hos Drupal Association skriver i en blogpost om oppdagelsen av uautorisert tilgang til kontoinformasjon. Brukernavn, epostaddresser og passordhasher er på avveie. Dette medfører at alle blir oppfordret til å endre passord. Angrepet benyttet en svakhet i 3.parts programvare installert på Drupal sine servere.
Referanser
https://drupal.org/news/130529SecurityUpdate

Indonesia oppretter egen "cyber army"

Indonesia, verdens 4.største land i folketall ruster opp med egen militærenhet som skal beskytte landet mot nettangrep.
Referanser
http://www.theregister.co.uk/2013/05/30/indonesia_military_unit_defends_cyber_attack/

2013.05.29 - Nyhetsbrev

4 norske ungdommer tatt for hacking

4 norske ungdommer er blitt tiltalt for å hacke seg inn på flere nettsider. 3 av de 4 skal ha vært med på å hacke Hemmelig.com og kopiere brukeropplysningene for så å slippe dem ut på The Pirate Bay. De skal også ha hacket nettsiden til en støttegruppe for de pårørende av narkomane. De tiltalte kan ende opp med å måtte betalte erstatning til flere av disse firmaene.
Referanser
http://www.tv2.no/nyheter/innenriks/fire-ungdommer-tiltalt-for-hacking-av-sexnettsted-4053958.html#.UaS6Bs0FjJM.twitter

Slik kan Norge bli cyber-angrepet

I det kommende nummeret av Innsats, Forsvarets eget magasin, skisserer astrofysiker og fremtidsforsker Eirik Newth hvordan Oslo kan rammes av et omfattende cyber-angrep.
Referanser
http://www.vg.no/nyheter/innenriks/artikkel.php?artid=10103585

NSM rapporterer om stadig mer virus på norske nettsider.

I følge siste kvartalsrapport fra NSM har det vært en markant oppgang i antall norske nettsteder som sprer virus til besøkende i første kvartal 2013. Mens det iflg. NSM ble registrert ca. 300 saker med norske nettsteder som sprer virus i fjerde kvartal 2012, har antallet gått opp til 1700 i første kvartal 2013.
Referanser
https://www.nsm.stat.no/Aktuelt/Nytt-fra-NSM/Norske-nettstader-spreier-virus/ https://www.nsm.stat.no/Documents/NorCERT/2013/NorCERT_Q1_2013_web.pdf

Gamle mobiltelefoner er en sikkerhetstrussel for bedrifter

I en pressemelding i dag påpeker Telenor at det ligger mye sensitiv informasjon om norske bedrifter på gamle mobiltelefoner. Dette utgjør en potensiell sikkerhetsrisiko, og Telenor ber arbeidsgivere fokusere på sikker håndtering av brukte mobiler gjennom mobilretur-programmet ”Brukt mobil, nye muligheter”. Denne ordningen tilbyr bedrifter sikker innsamling og sletting av personlig innhold på telefoner.
Referanser
http://www.mynewsdesk.com/no/telenor/pressreleases/gamle-mobiltelefoner-er-en-sikkerhetstrussel-for-bedrifter-871040

2013.05.28 - Nyhetsbrev

Liberty Reserve-grunnlegger arrestert, nettside tatt ned. Kinesere har fått tilgang til opplysninger om mange hemmelige våpensystemer.

Liberty Reserve-grunnlegger arrestert, nettside tatt ned

En side for digital valutaveksling, Liberty Reserve, har blitt hyppig brukt som betalingsmiddel i cyberkrim-undergrunnen. Grunnleggeren Arthur Budovsky Belanchuk ble nettopp arrestert i Spania for hvitvasking av penger. Nettstedet libertyreserve.com har siden vært nede. I domeneregisteroppføringa for denne sida og flere andre sider for digital valuta, har det nå dukket opp henvisning til shadowserver.org, en frivillig organisasjon som kjemper mot global datakriminalitet. Les detaljer i referanser.
Referanser
http://krebsonsecurity.com/2013/05/reports-liberty-reserve-founder-arrested-site-shuttered/ http://www.bbc.co.uk/news/technology-22680297

Kinesere har fått tilgang til opplysninger om mange hemmelige våpensystemer

En rapport utarbeidet for Pentagon opplyser at detaljer for et tjuetalls amerikanske våpensystemer har blitt stjålet av kinesiske hackere. Fra Australia meldes det at tegningene til australias nye spionhovedkvarter også har blitt stjålet av kinesiske hackere.
Referanser
http://www.washingtonpost.com/world/national-security/confidential-report-lists-us-weapons-system-designs-compromised-by-chinese-cyberspies/2013/05/27/a42c3e1c-c2dd-11e2-8c3b-0b5e9247e8ca_story.html http://in.reuters.com/article/2013/05/28/usa-china-hacking-idINDEE94R01A20130528 http://www.itavisen.no/nyheter/hacket-seg-inn-i-norsk-fly-69885

2013.05.27 - Nyhetsbrev

I Kina er hacking utbredt og blir akseptert av mange.

Hacking akseptert i Kina

The New York Times skriver i en artikkel at hacking er utbredt i Kina. Det er flere firmaer som reklamerer for at de kan bryte seg inn i en rekke systemer mot betaling. Det er ikke bare militæret som driver med hacking, det blir ofte brukt i privat sektor for å vinne kontrakter eller stjele hemligheter fra konkurrenter. En av grunnene til at hacking er så stort i Kina er at regjeringen overvåker befolkningens aktivitet på Internet. Det er mange som jobber direkte for regjerningen med dette og enda flere som er innleid fra private sikkerhetsfirmaer.
Referanser
http://www.nytimes.com/2013/05/23/world/asia/in-china-hacking-has-widespread-acceptance.html

2013.05.24 - Nyhetsbrev

Forskere varsler at de vil legge frem informasjon om omgåelse av sikkerhetsmekanismer implementert i Bios. Apple har gitt ut ny versjon av QuickTime for Windows som fikser en rekke sikkerhetshull. Symantec varsler "end of life" på PCTools produkter og en ny Skype-orm sprer seg.

Apple fikser sikkerhetshull i QuickTime

Apple har nå gitt ut versjon 7.7.4 av multimediarammeverket QuickTime for Windows. 11 av de 12 fiksede svakhetene ble oppdaga av HP sitt Zero Day-initiativ. De kunne føre til eksekvering av vilkårlig kode. Svakhetene kan bli utnyttet ved avspilling av spesiallagde mediefiler av typene QTIF, JPEG, FPX og MVHD-atom. Dette er første QuickTime-oppdatering i år.
Referanser
http://threatpost.com/new-apple-quicktime-update-patches-12-vulnerabilities/ http://www.h-online.com/security/news/item/Apple-closes-QuickTime-vulnerabilities-on-Windows-1868186.html

Symantec slutter med PC Tools sikkerhetsprodukter

Symantec har sluttet å selge PC Tools. Dette omfatter programmene Spyware Doctor, Spyware Doctor med AntiVirus og Internet Security. Kunder som bruker disse programmene vil kunne fortsette med det frem til abonnementet går ut. Symantec anbefaler kunder om å gå over til Norton Internet Security etter at abonnementet har gått ut.
Referanser
http://www.h-online.com/security/news/item/Symantec-putting-an-end-to-PC-Tools-security-products-1868413.html

Omgåelse av sikkerhetsmekanismer i Bios

Det varsles at sikkerhetsforskere på Blackhat vil vise hvordan man kan omgå sikkerhetsmekanismene i Trusted Platform Module (TPM). De vil demonstrere to ulike varianter av det som kan kunne vært ondsinnet programvare hvor den ene overlever i firmware også etter oppdateringer.
Referanser
http://www.darkreading.com/vulnerability/bios-bummer-new-malware-can-bypass-bios/240155473

Enda en Skype-orm

Nok en gang sprer en orm seg med Skype-meldinger. Brukeren blir lurt til å åpne en exe-fil som igjen blir sendt til Skype-kontaktene.
Referanser
http://bartblaze.blogspot.no/2013/05/another-skype-worm.html

2013.05.23 - Nyhetsbrev

Twitter har lansert to-faktor autentisering. Intervju med en BlackHat. Nord-Trøndelag politidistrikt utsatt for tellerskritt-svindel.

Twitter har lansert to-faktor autentisering

Twitter lanserer 2-faktor autentisering med kode sendt via SMS på mobiltelefon. Det skal ikke være mulig å bruke dette i Norge enda. Twitter gjør dette etter at mange populære Twitter-kontoer i det siste har blitt tatt over ved hjelp av phishing-angrep.
Referanser
https://blog.twitter.com/2013/getting-started-login-verification http://arstechnica.com/security/2013/05/twitter-launches-two-factor-authentication-too-late-to-save-the-onion/

Intervju med en BlackHat

WhiteHatSecurity har en interessant blogpost med et intervju med en BlackHat.
Referanser
http://blog.whitehatsec.com/interview-with-a-blackhat-part-1/

Nord-Trøndelag politidistrikt utsatt for tellerskritt-svindel.

Nord-Trøndelag politidistrikt har blitt utsatt for tellerskritt-svindel. Svindelen har skjedd ved at hackere har kommet seg inn i konferanse-utstyr koblet til Internet. De har så koblet seg opp til utlandet ved hjelp av ISDN-linjer.
Referanser
http://www.idg.no/computerworld/article272212.ece

2013.05.22 - Nyhetsbrev

CNN skal ha blitt utsatt for et hackerangrep. Google Chrome er ute i ny versjon.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.no/2013/05/stable-channel-release.html

CNN hacket

En hacker påstår via twitter å ha hacket cnn sine nettsider. Som bevis for sine ugjerninger har han lagt ut fire falske artikler på nettsidene deres. Han har også lagt ut brukernavn og passord til databasebrukerne på pastebin.
Referanser
http://www.theinquirer.net/inquirer/news/2269451/hacker-claims-successful-attack-on-cnn

2013.05.21 - Nyhetsbrev

Norman skriver om Indisk APT-gruppe som stod bak angrepet mot Telenor. De er også innvolvert i en episode med spionprogramvare på Oslo Freedom Forum. Kinesiske hackere fikk tilgang til sensitive data hos Google i 2010. Skype-kommunikasjon er ikke ende til endre-kryptert. Apple retter to svakheter i iTunes.

Ny Mac-spionprogram oppdaget på Oslo Freedom Forum

F-secure rapporterer om ny malware for OS X, som ser ut til å være en bakdørapplikasjon som tar skjermbilder fra brukerens maskin og så laster dem opp til servere. Malwaren blir kalt OSX/KitM.A og ble funnet på Macen til en afrikansk aktivist som var deltaker på Oslo Freedom Forum. Skjermbilder blir regelmessig tatt og lagret i en mappe i brukerens hjemmemappe kalt MacApp. Bildene blir forsøkt opplasta til securitytable.org og docsforum.info. Det som er spesielt er at malwaren er signert med en gyldig Apple Developer-ID med navnet Rajender Kumar, et vanlig indisk navn. Norman melder på sin blogg at grupperingen bak "Operation Hangover" også står bak dette angrepet.
Referanser
http://www.f-secure.com/weblog/archives/00002554.html http://reviews.cnet.com/8301-13727_7-57584804-263/new-mac-spyware-found-in-the-oslo-freedom-forum

Kinesiske hackere fikk tilgang til sensitive data hos Google i 2010

Google ble i 2010 utsatt for et datainnbrudd fra kinesiske hackere. Washington Post melder at inntrengerne fikk tilgang til en database hos Google som inneholdt opplysninger om hvem Google overvåket på vegne av amerikanske myndigheter. Operasjonen ble muligens gjennomført for å finne ut hvilke kinesiske spioner som ble overvåket av amerikanskje myndigheter.
Referanser
http://www.washingtonpost.com/world/national-security/chinese-hackers-who-breached-google-gained-access-to-sensitive-data-us-officials-say/2013/05/20/51330428-be34-11e2-89c9-3be8095fe767_story.html

Skype-kommunikasjon er ikke ende til endre-kryptert

I de siste dagene har det kommet fram at linker som blir sendt i Skype-meldinger etter kort tid blir besøkt av Microsoft. Microsoft gjør antakeligvis dette for å sjekke om det blir sendt spam over tjenesten. Dette har fått mange til å innse at kommunikasjon over Skype ikke er ende til ende-kryptert, noe Microsoft heller aldri har påstått.
Referanser
http://www.h-online.com/security/news/item/Skype-with-care-Microsoft-is-reading-everything-you-write-1862870.html http://arstechnica.com/security/2013/05/think-your-skype-messages-get-end-to-end-encryption-think-again/

Norman skriver om Indisk APT-gruppe som stod bak angrepet mot Telenor

Tidligere i år ble det rapportert om et målrettet cyber-angrep mot Telenor der sensitiv informasjon ble hentet ut. Norman brukte opplysingene Telenor slapp i forbindelse med saken til å prøve å finne ut mer om angrepet og gruppen bak. De har nå sluppet en rapport på over 100 sider med detaljer. Angrepene har sitt utspring i India, og Telenor var bare ett av mange mål. Norman har funnet flere forbindelser til det indiske firmaet Appin i forbindelse med angrepene. Firmaet tilbakeviser disse påstandene.
Referanser
http://blogs.norman.com/2013/security-research/the-hangover-report http://www.zdnet.com/aggressive-espionage-for-hire-operation-behind-new-mac-spyware-7000015613/ http://www.techweekeurope.co.uk/news/india-pakistan-cyber-attack-norman-116749 http://www.darkreading.com/attacks-breaches/commercialized-cyberespionage-attacks-ou/240155245

Apple retter to svakheter i iTunes

Apple har sluppet en ny versjon av iTunes, hvor de blant annet retter to alvorlige svakheter. Den ene svakheten ligger i håndteringen av sertifikater. Hvis denne utnyttes, kan det føre til eksponering av sensitiv informasjon. Den andre svakheten ligger i implementeringen av WebKit. Svakheten kan utnyttes til å gjennomføre et Man-in-the-middle-angrep, som igjen kan gi en angriper mulighet til å eksekvere kode på det berørte systemet.
Anbefaling
Installer oppdatering
Referanser
http://support.apple.com/kb/HT5766

2013.05.16 - Nyhetsbrev

Oracle legger om versjonsnummereringen til Java og tar høyde for patcher og nyreleaser av gamle versjoner.

Klok av skade har Oracle lagt om versjonsnummereringsregime sitt for å ta høyde for patcher i etterkant.

Oracle har lagt om versjonsnummereringsregimet sitt. Ved å ha huller i versjonsnummerene tar de høyde for patching og nyreleaser av gamle versjoner uten at dette skal skape forvirring for sluttbrukerene. Dette minner om Basic programmering i "gamledager".
Referanser
http://www.oracle.com/technetwork/java/java-update-release-numbers-change-1836624.html

2013.05.15 - Nyhetsbrev

Microsoft har kommet med denne månedens patcher. To av disse har blitt rangert som kritiske. Adobe har gitt ut patcher til sine produkter der flere av disse også er kritiske. I tillegg har også Mozilla Foundation kommet ut med patcher til både Firefox og Thunderbird.

2 kritiske og 8 viktige opdpateringer fra Microsoft

Microsoft har i dag kommet med 10 sikkerhetsoppdateringer der av 2 er rangert som kritiske. Den ene kritiske svakheten som blir rettet er 0-day sårbarheten i Internet Explorer 8 som vi skrev om 6. Mai. Denne sårbarheten har blitt aktivt utnyttet i vannhullsangrep. Den andre kritiske svakheten som blir rettet er også i Internet Explorer. Denne kan brukes til å ta kontroll over maskiner dersom de besøker spesielt utformede websider med Internet Explorer. De resterende 8 svakhetene er rangert som viktige og finnes i Microsoft Windows, Microsoft Office, Microsoft Windows Essentials, Microsoft Lync og Microsoft .NET Framework.
Referanser
http://blogs.technet.com/b/msrc/archive/2013/05/13/microsoft-customer-protections-for-may-2013.aspx http://technet.microsoft.com/en-us/security/bulletin/ms13-may

Mozilla Foundation oppdaterer Firefox og Thunderbird

Mozilla Foundation har sluppet oppdateringer til Mozilla Firefox og Thunderbird. Den nye versjonen av Firefox retter 8 svakheter, der 3 regnes som kritiske. I Thunderbird ble det rettet 6 svakheter, der 3 regnes som kritiske. Svakhetene kan blant annet utnyttes til å kjøre vilkårlig kode på systemet. Det anbefales å oppdatere Firefox til versjon 21 og Thunderbird til versjon 17.0.6.
Referanser
https://www.mozilla.org/security/known-vulnerabilities/firefox.html http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html#thunderbird17.0.6

Adobe har publisert sikkerhetspatcher

Adobe har publisert sikkerhetspatcher for ColdFusion, Flash Player, Reader og Acrobat. Svakhetene i samtlige produkter kan medføre at en angriper får kontroll over systemet. Adobe rapporterer også at en svakhet i Coldfusion blir aktivt utnyttet av angripere til å kopiere filer fra servere.
Anbefaling
Installer patcher
Referanser
http://blogs.adobe.com/psirt/2013/05/adobe-security-bulletins-posted-7.html

2013.05.14 - Nyhetsbrev

Angripere utnytter fortsatt gamle Java-svakheter. Økning i cyber-angrep mot amerikanske bedrifter.

Angripere sikter på gamle Java-feil

Forskning hos Microsoft viser at angripere ikke kun tar for seg de nyeste svakhetene i Java. De utnytter gjerne gamle svakheter, som nå er fikset, fra tiden helt tilbake til slutten av 2011. Grunnen er at mange brukere stadig benytter så gamle versjoner av Java.
Referanser
https://threatpost.com/attackers-target-older-java-bugs/

Økning i cyber-angrep mot amerikanske bedrifter

The New York Times skriver at en rekke nye cyber-angrep har blitt rettet mot flere amerikanske bedrifter. Målet for angrepene ser ut til å være sabotasje i stedet for spionasje. Angrepene ser ut til å komme fra Midtøsten og det virker som de prøver å få kontroll over systemene til flere energi-selskaper. Personell i president Obama's administrasjon har uttalt at dette er bekymringsfullt og det arbeides med å forhindre at disse angrepene gjør skade.
Referanser
http://www.nytimes.com/2013/05/13/us/cyberattacks-on-rise-against-us-corporations.html?_r=2& http://www.aftenposten.no/okonomi/Hackere-gar-fra-spionasje-til-sabotasje-7200187.html

2013.05.13 - Nyhetsbrev

Flere detaljer rundt vannhullsangrepet mot arbeidsdepartementet i USA. Svindelnettside med telefonnummer til falsk Microsoftsupport. Analyse av RedKit. DDoS-tjenester annonseres åpent.

Detaljer rundt vannhullsangrepet mot arbeidsdepartementet i USA

Eric Romang har har en bloggpost med detaljer rundt vannhullsangrepet mot arbeidsdepartementet i USA. Angrepet smittet besøkende til nettstedet gjennom en 0-day svakhet i IE 8.
Referanser
http://eromang.zataz.com/2013/05/10/department-of-labor-watering-hole-campaign-review/

Svindelnettside med telefonnummer til falsk Microsoftsupport

Nettsider med meldinger som påstår at PCen er infisert og svindlere som ringer og påstår at PCen er infisert, har eksistert en stund. Sophos har nå blitt oppmerksomme på en kombinasjon der nettsiden først prøver å lure brukeren til å tro at han er infisert, for så å tilby et telefonnummer med falsk support. Det er vanlig for svindlere å si at de jobber MED Microsoft i stedet for FOR Microsoft.
Referanser
http://nakedsecurity.sophos.com/2013/05/11/an-unholy-alliance-fake-anti-virus-meet-bogus-support-call/

Analyse av RedKit

Bloggen Kahu Security har skrevet om exploit-kittet RedKit. Normalt spres selve malwaren i forbindelse med drive-by-angrep fra servere som personene bak malwaren selv kontrollerer. For å unngå at disse blir tatt ned, bruker nå RedKit kompromitterte web-servere også for å servere malwaren. Dette gjør det vanskeligere å stenge ned operasjonen.
Referanser
http://www.kahusecurity.com/2013/digging-deeper-into-redkit/

DDoS-tjeneste annonseres åpent

Brian Krebs har skrevet en bloggpost om forskjellige DDoS-leverandører som nå annonserer åpenlyst på nettet om sine tjenester. Fellesnevneren er at de fraskriver seg ansvar, og godtar kun PayPal som betaling.
Referanser
http://krebsonsecurity.com/2013/05/ddos-services-advertise-openly-take-paypal/

2013.05.10 - Nyhetsbrev

Microsoft kommer til å slippe 10 oppdateringer neste uke, men har alt nå kommet med en FixIt for IE8 0-day-svakheten. Adobe ColdFusion og Cisco Unifed CVP har også svakheter som bør taes hånd om. Videre har Wired en artikkel om et stort digitalt bankran, og Name.com har blitt frastjålet en (kryptert) brukerdatabase.

Microsoft publiserer forhåndsvarsel av oppdateringer for mai

Microsoft melder at de kommer til å slippe 10 oppdateringer tirsdag 12. mars. Oppdateringene som slippes vil rette svakheter i Windows, Windows Server, Windows RT, Office, Visio og Lync/Communicator, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 2 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-may

Microsoft gir ut "fix it", nødfiks til IE8-hull

Microsoft gir ut en såkalt "fix it", en nødfiks for det nylig oppdagede hullet i Internet Exporer 8. Det gjør en liten endring i mshtml.dll hver gang IE8 blir lasta. En full oppdatering for å tette hullet er ifølge Microsoft under testing og vil bli tilgjengelig så fort den er klar.
Referanser
http://www.h-online.com/security/news/item/Microsoft-releases-Fix-It-for-IE8-hole-1859776.html

8 personer siktet for et digitalt bankran på 45 millioner dollar

En gruppe kriminelle har ved to forsøk klart å bryte seg inn i bedrifter som prosesserer forhåndsbetalte kreditkort, og dermed lure til seg totalt 45 millioner dollar. 8 av disse er nå siktet av FBI.
Referanser
http://www.wired.com/threatlevel/2013/05/eight-charged-in-bank-heist/

Brukerdatabase fra Name.com stjålet

Name.com, en populær domene-registrator og hosting-selskap, har hatt et innbrudd der brukernavn, epost-adresser, passord og kredittkortinformasjon ble stålet. Heldigvis var passordene og kredittkortinformasjonen kryptert og trolig ubrukelig for angriperene, da de ikke har funnet indikasjoner på at nøklene ble kompromitert.
Referanser
http://nakedsecurity.sophos.com/2013/05/08/name-dot-com-suffers-breach/

Kritisk hull i Adobe ColdFusion

Adobe har funnet en kritisk sårbarhet i ColdFusion 10, 9.0.2, 9.0.1 og tidligere versjoner. Feilen fører til at uautoriserte brukere kan hente filer fra en server, og svakheten skal allerede bli aktivt utnyttet.
Anbefaling
Administrator bør begrense tilgang til mappene CFIDE/administrator, CFIDE/adminapi og CFIDE/gettingstarted. Les detaljer i advisoryen til Adobe under referanser.
Referanser
http://www.adobe.com/support/security/advisories/apsa13-03.html http://www.h-online.com/security/news/item/Adobe-acknowledges-critical-hole-in-ColdFusion-1859798.html

Cisco retter flere svakheter i Unified CVP

Cisco har sluppet en oppdatering til Unified Customer Voice Portal som retter flere svakheter. De mest alvorlige svakhetene kan utnyttes til å utføre blant annet tjenesteknektangrep, forbigå autentiseringsmekanismer og eksekvere kommandoer.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130508-cvp

2013.05.08 - Nyhetsbrev

Vi har publisert en blogg-post som oppsummerer nyhetsbildet innen datasikkerhet for april. Arstechnica har en artikkel om trojaneren Cdorked.

Bakdøren Cdorked infiserer nå også Lightttpd og nginx

Bakdøren Linux/ Cdorked har i den siste tiden blitt brukt til å infisere flere Apache-webservere på Linux-plattformen. Bakdøren bruker så webserveren til å spre ondsinnet kode til besøkende. Bakdøren har nå fått støtte for to nye typer web-servere, nemlig Lightttp og nginx. I tillegg til å ha mekanismer for å skjule seg på systemet, kan det virke som om de som står bak også har lagt ned en god del arbeid i å unngå analyse fra eksterne. De har blant annet en intern svartelisting (av sikkerhetsfirmaer), midlertidig svarteliste for maskiner som nettopp har blitt infisert og sjekk av hvilket operativsystem den besøkende bruker.
Referanser
http://arstechnica.com/security/2013/05/attack-hitting-apache-sites-goes-mainstream-hacks-nginx-lighttpd-too/

Oppsummering av nyhetsbildet for April

Vi har publisert en blogg-post som oppsummerer nyhetsbildet innen datasikkerhet for april.
Referanser
http://telenorsoc.blogspot.no/2013/05/oppsummering-av-nyhetsbildet-april-2013.html

2013.05.07 - Nyhetsbrev

IE8-vannhullsangrep sprer seg til ni andre nettsteder. D-Link har oppdatert firmware til fem rutere og åtte IP-kamera. Pentagon beskylder Kinas regjering og forsvar for spionasje mot USA via Internett.
Hackermagasinet Hack the Planet #5 er ute.

IE8-vannhullsangrep sprer seg til ni andre nettsteder

Det nylig oppdagede vannhullsangrepet, som benyttet seg av en svakhet i Internet Explorer 8, har spredt seg fra arbeidsdepartementet i USA til ni andre nettsteder. Blant de angrepne er en europeisk leverandør til flyindustrien, en forsvarsleverandør samt et sikkerhetsfirma. De berørte web-sidene omdirigerte besøkende til en malware-infisert nettside. Microsoft planlegger å komme med ekstraordinær oppdatering eller en ordinær oppdatering neste Patch Tuesday for å fikse problemet.
Referanser
http://threatpost.com/ie-8-zero-day-found-as-dol-watering-hole-attack-spreads-to-nine-other-sites/

D-Link-oppdatering lukker ASCII-kikkehull i IP-kamera og svakheter i routere

D-Link har oppdatert firmware til fem rutere og åtte IP-kamera. Svakheten hos sistnevnte fører til at det er mulig å få tilgang til videostrømmen som blir sendt fra kamera, enten som HTTP- eller RSTP-strøm eller som ASCII-animasjon, uten å autentisere seg.
Referanser
http://www.h-online.com/security/news/item/D-Link-update-closes-voyeur-s-ASCII-peephole-1857578.html

Pentagon beskylder Kinas regjering og forsvar for spionasje mot USA via Internett

Pentagon har sluppet en ny rapport som har enda skarpere ordlyd enn før mot Kina. De beskylder nå Kinas forsvar for spionasje mot diverse sektorer som underbygger USAs forsvar.
Referanser
http://online.wsj.com/article/SB10001424127887323687604578467442670389684.html?mod=wsj_share_tweet

Hackermagasinet Hack the Planet #5 er ute

Hackermagasinet Hack the Planet utgave nr. 5 er sluppet. Her er det detaljer fra flere angivelige datainnbrudd mot blant annet MIT, Linode, Nmap, Sucuri, NIST (National Vulnerability Database) og Wireshark. Fra flere av angrepene er det også sluppet store mengder data. Magasinet har to nye exploits mot MoinMoin og ColdFusion som har blitt brukt i flere av angrepene.
Referanser
Link ikke tatt med av sikkerhetshensyn. Bruk Google.

2013.05.06 - Nyhetsbrev

Internet Explorer 8 har en 0-day svakhet som blir aktivt utnyttet for å ta kontroll over sårbare maskiner. Denne svakheten har allerede blitt benyttet for å angripe datamaskiner tilhørende atomforskere i USA.

I tillegg er en antatt SpyEye-utvikler utlevert til USA, og Panda Security har lagt fram sine tall for antall infiserte klienter i verden.

Antatt SpyEye-utvikler utlevert til USA

Hamza Bendelladj er arrestert for å ha vært med på å utvikle og selge banktrojaneren SpyEye. Han ble nylig utlevert til USA for å bli stilt for retten for kapring av bankkontoer hos 200 finansinstitusjoner. Mer presist er han anklagd for å ha leaset en server i Atlanta til SpyEye-botnettet.
Referanser
http://krebsonsecurity.com/2013/05/alleged-spyeye-seller-bx1-extradited-to-u-s/

Hver tredje PC infisert

Hver tredje PC i verden skal være infisert av en eller annen form for malware ifølge Panda Security. Kina bidrar mest, der halvparten av landets maskiner skal være infisert. Til sammenlikning skal en av fem PC-er i Storbritannia være infisert, og er dermed det fjerde tryggeste landet rett bak Finland, Sverige og Sveits. I Finland er infeksjonsraten 17 %. I det siste kvartalet i fjor oppdaget Panda Security 6 000 000 nye malware-varianter. 80 % av dem var trojanere.
Referanser
http://press.pandasecurity.com/news/pandalabs-q1-report-trojans-account-for-80-of-malware-infections-set-new-record/

Ny 0-day svakhet oppdaget i Internet Explorer 8

Microsoft melder om en ny 0-day sårbarhet i Internet Explorer 8. Svakheten ble først utnyttet i et vannhullsangrep rettet mot forskere som jobbet med atomvåpen i det amerikanske energidepartementet. Angrepskode for svakheten har nå blitt lagt inn i Metasploit-rammeverket. Det vil med andre ord mest sannsynlig komme støtte for svakheten i exploit-kits i løpet av kort tid. Det anbefales å oppgradere til en nyere versjon av IE så fort som mulig. I Windows XP er Internet Explorer 8 siste versjon. Dersom du fortsatt bruker Windows XP, anbefales det å bruke en annen nettleser inntil Microsoft slipper en oppdatering.
Anbefaling
Oppgrader til Explorer 9.x eller 10.x,
Referanser
http://blogs.technet.com/b/msrc/archive/2013/05/03/microsoft-releases-security-advisory-2847140.aspx https://community.rapid7.com/community/metasploit/blog/2013/05/05/department-of-labor-ie-0day-now-available-at-metasploit

2013.05.03 - Nyhetsbrev

DDoS-angrep fra billettvidereselgere mot arrangører. Symantec rapporterer om en kraftig økning av spam som bruker hexadesimal-obfuskerte URLer. 86 prosent av alle websider inneholder minst én alvorlig svakhet. Sikkerhetshull i McAfee ePolicy Orchestrator og IBM Lotus Notes.

DDoS-angrep fra billettvidereselgere mot arrangører

Firmaet Gartner Research har funnet eksempler på at aktører som selger videre billetter til ulike arrangement til høyere priser, bruker målretta DDoS-angrep mot arrangører og andre som selger billetter til rimelig pris. Dette blir gjort for at kunden skal gi opp å kjøpe billige billetter fordi de er utilgjengelige og i stedet kjøpe dyre billetter.
Referanser
http://news.softpedia.com/news/Ticket-Resellers-Launch-DDOS-Attacks-Against-Primary-Agents-to-Keep-Prices-High-350535.shtml

Obfuskering av URLer via hexadesimale verdier

Symantec rapporterer om en kraftig økning av spam som bruker hexadesimal-obfuskerte URL'er for å slippe igjennom tradisjonelle Spam-filtre. Selv om tenknikken er gammel, er det først nå det har blitt utbredt blant spammerne.
Referanser
http://www.symantec.com/connect/blogs/hexadecimal-url-obfuscation-resurgence

86% av alle websider inneholder minst én alvorlig svakhet

Forskere har undersøkt titusenvis av websider og funnet ut at 86% av disse inneholdt minst én alvorlig svakhet som kunne utnyttes av angripere for å ta kontroll over serveren. 61 prosent av svakhetene ble senere utbedret, men det tok gjennomsnittlig 193 dager før det skjedde. 33% av sidene var sårbare hver eneste dag i 2012.
Referanser
http://threatpost.com/nearly-nine-in-ten-websites-contain-one-serious-vulnerability/ https://blog.whitehatsec.com/the-state-of-web-security/

Sikkerhetshull i McAfee ePolicy Orchestrator

McAfee ePolicy Orchestrator 4.5.6 og tidligere, og 4.6.5 og tidligere har svakheter som tillater fjernstyrt kodekjøring og traversering av filsti. Den nye versjonen, 5.0, har ikke svakhetene. McAfee har gitt ut hotfixer for de aktuelle versjonene.
Anbefaling
Installer fixene utgitt av McAfee.
Referanser
http://www.h-online.com/security/news/item/Security-holes-in-McAfee-s-ePolicy-Orchestrator-1854555.html

Stort Java/JavaScript-sikkerhetshull i IBM Lotus Notes

IBM Lotus Notes, en e-post- og nyhetsgruppeleser brukt i mange store bedrifter, åpner JavaScript-kode og Java-appleter uten å spørre brukeren om godkjenning først. Dette skjer ved bare å se på en e-post. Det er mulig å skru av auto-innlastingen ved å gjøre manuelle endringer i notes.ini-filen. IBM har også sluppet en oppdatering som utbedrer problemet.
Anbefaling
Installer Notes 8.5.3 FP4 Interim Fix 1 og Notes 9.0 Interim Fix 1 eller implementer fiks nevnt i advisory fra IBM.
Referanser
http://seclists.org/fulldisclosure/2013/Apr/262 http://www-01.ibm.com/support/docview.wss?uid=swg21633819 http://www.h-online.com/security/news/item/Huge-Java-hole-in-Lotus-Notes-1855406.html

2013.05.02 - Nyhetsbrev

The Register melder om en stor lekasje av sensitive forsvarshemmeligheter fra det amerikanske QinetiQ til kinesisk hackergruppe "Comment Crew". Dette har pågått over en 3-års periode.

Lekasje av forsvarshemmeligheter fra Usa til Kina over en 3-års periode

Stor lekkasje av sensitive forsvarshemmeligheter fra QinetiQ til hackergruppen "Comment Crew" over en 3-års periode. Dette kan gjøre forholdet mellom USA og Kina enda vanskeligere.
Referanser
http://www.theregister.co.uk/2013/05/02/china_us_hacking_qinetiq_apt/