2014.02.28 - Nyhetsbrev

GHCQ hentet inn bilder fra webcam-chat. FireEye har sluppet sin 2013 Advanced Threat Report.

GHCQ hentet inn bilder fra webcam-chat

Lekkede dokumenter viser at GHCQ kontinuerlig hentet inn stillbilder fra Yahoos webcam-chattetjeneste og lagret bildene på sine servere, uavhengig av om det forelå mistanke mot de avbildede. Dette skal ha pågått siden 2008 og var fortsatt aktivt i 2012. Dokumentene viser at GHCQ la ned mye arbeid i å beskytte sine ansatte mot bilder av seksuell karakter, men innrømmer at dette var en betydelig del av materialet. Yahoo reagerer kraftig på dokumentasjonen og hevder å ikke ha vært klar over GHCQ-programmet.
Referanser
http://www.theguardian.com/world/2014/feb/27/gchq-nsa-webcam-images-internet-yahoo

FireEye har sluppet sin 2013 Advanced Threat Report.

Fireeye har nettopp gitt ut sin 2013 Advanced Threat Report (ATR), som gir en oversikt over nettverksangrep som Fireeye oppdaget i fjor. Rapporten har fokus på ATP-angrep.
Referanser
http://www.fireeye.com/blog/uncategorized/2014/02/the-2013-fireeye-advanced-threat-report.html

2014.02.27 - Nyhetsbrev

Microsoft publiserer teknisk gjennomgang av EMET 5.0.
Cisco retter URL håndteringsvakhet i Prime Infrastrukturen.

Microsoft har publisert EMET 5.0 Tech Preview

Microsoft har denne uken publisert en Tech Preview av Enhanced Mitigation Experience Toolkit (EMET) 5.0. Denne versjonen inneholder blant annet en forbedret versjon av sikkerhetsmekanismen "Export Address Table Filtering". Denne vil i følge Microsoft hindre bruk av de metodene for forbigåelse av EMET som ble beskrevet i rapporten fra Bromium Labs. Nytt i denne versjonen er funksjonen "Attack Surface Reduction" som gjør det mulig å sette begrensinger for når applikasjoner som Java, Flash og nettlesertillegg kan kjøres. For mer informasjon, se referanser.
Referanser
http://www.theregister.co.uk/2014/02/26/ms_emet_revamp/ http://www.microsoft.com/en-us/download/details.aspx?id=41963

Cisco retter svakhet i programvaren Prime Infrastructure

Cisco har sluppet en oppdatering til Prime Infrastructure som retter en svakhet i håndtering av URLer. Dette kan gjøre det mulig for en angriper å eksekvere kode på berørte systemer med å modifisere URLen som blir sendt i en HTTP-spørring. Se referanse for mer informasjon og tilgjengelige oppdateringer.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140226-pi

2014.02.26 - Nyhetsbrev

Apple slipper oppdatering som fikser SSL-svakhet i OS X Mavericks. Kredittkortinfo fra flere 100-millioner av kredittkort er til salgs, samtidig som MasterCard ønsker å forbedre sikkerheten via geolokasjon.

Apple slipper oppdatering som fikser SSL-svakhet i OS X Mavericks

Apple har nå patchet den mye omtalte SSL-svakheten i OS X Mavericks. De har allerede patchet tilsvarende svakhet i iOS. Denne oppdateringen utbedrer også en alvorlig svakhet i håndteringen av fonter som kunne brukes til "drive-by" angrep. Det anbefales å patche så fort som mulig.
Referanser
http://support.apple.com/kb/DL1726 http://support.apple.com/kb/HT6150

360 millioner kontodetaljer kan være på avveie

På torsdag ble det oppdaget at 360 millioner kontodetaljer angivelig skal være til salgs på svartebørsen. Det er ukjent hvor informasjonen kommer fra og hva kontodetaljene kan brukes til å aksessere. Firmaet som har oppdaget saken mener at dataene kan komme fra flere hittil ukjente datainnbrudd.
Referanser
http://my.chicagotribune.com/#section/-1/article/p2p-79437830/

MasterCard prøver å øke sikkerheten ved bruk av telefon

MasterCard foreslår å øke sikkerheten på transaksjoner ved å ikke å tillate uttak dersom brukerens telefon ikke er i nærheten av kortet.
Referanser
http://news.cnet.com/8301-1009_3-57619532-83/mastercard-to-boost-credit-card-security-with-smartphones/

2014.02.25 - Nyhetsbrev

Forskere har avdekket svakheter i Micosofts EMET. Ny svakhet i iOS som lar tredjepart applikasjoner overvåke input. Stenging av bitcoin-børs som følge av tapping.

Forskere avdekker svakheter i Microsoft EMET

Forskere ved sikkerhetsselskapet Bromium Labs har publisert en rapport med medfølgende artikkel om hvordan de har klart å forbigå sikkerhetmekanismene i Microsofts Enhanced Mitigation Experience Toolkit (EMET). EMET er et verktøy for å lettere aktivere og konfigurere sikkerhetsmekanismer i Windows for å redusere muligheten til å utnytte svakheter. Forskerne har i tatt utgangspunkt i EMET 4.1 for Windows 7 (64-bit) og miljøet for å kjøre 32-bits applikasjoner, kjent som WOW64. Forskerne konkluderer med at det er mulig å forbigå EMET, men at det kan være mulig å legge inn mekanismer i fremtidige versjoner av EMET som oppdager og stopper de svakhetene som har blitt brukt i denne rapporten. Videre legger de vekt på at det er umulig å være fullstendig beskyttet mot ukjente svakheter og at hensikten med EMET er å gjøre svakheter vanskeligere å utnytte. For å lese artikkel og den fullstendige rapporten, se referanse.
Referanser
http://labs.bromium.com/2014/02/24/bypassing-emet-4-1/

Ny svakhet i iOS kan føre til "keylogging"

FireEye har publisert en artikkel om en svakhet i Apples iOS som kan gi tredjeparts applikasjoner mulighet til å overvåke input fra skjerm, fysiske knapper og fingeravtrykkleser. Dette er mulig selv om applikasjonen kjører i bakgrunnen og svakheten kan potensielt brukes for å lage en keylogger. Forskerne bak FireEye skriver også at de har klart å få publisert en applikasjon i Apples appstore som demonstrerer dette. Det betyr at svakheten kan la seg utnytte på enheter som ikke er utsatt for "Jailbreaking" siden uttnyttelse av denne svakheten ikke oppdages av dagens prosess for godkjenning av applikasjoner. Det bekreftes også at svakheten er tilstedet i iOS-versjonene 6.1.x, 7.0.4, 7.0.5 og 7.0.6.
Referanser
http://www.fireeye.com/blog/technical/2014/02/background-monitoring-on-non-jailbroken-ios-7-devices-and-a-mitigation.html http://arstechnica.com/security/2014/02/new-ios-flaw-makes-devices-susceptible-to-covert-keylogging-researchers-say/

Tapping av Bitcoin-børsen Mt.Gox

I følge nettstedet Wired har bitcoin-børsen Mt.Gox blitt tappet for bitcoins til en verdi av 350 millioner amerikanske dollar. Det er enda ikke kjent hvem som har stått bak tappingen eller når dette skal ha skjedd. Med bakgrunn i dette, har selskapet bak børsen valgt å stenge børsen midlertidig. I første omgang vil stengingen vare en måned. Videre skriver Wired at selskapet står i fare for å gå konkurs, da amerikanske myndigheter tidligere har beslaglagt verdier i selskapet for over 5 millioner amerikanske dollar på grunn av manglende godkjenning for å drive med finanstransaksjoner. Selskapet bak Mt.Gox har ikke villet kommentere saken overfor Wired. for mer informasjon, se reffernase.
Referanser
http://www.wired.com/wiredenterprise/2014/02/bitcoins-mt-gox-implodes/ http://www.scribd.com/doc/209050732/MtGox-Situation-Crisis-Strategy-Draft

2014.02.24 - Nyhetsbrev

Cloudflare ser en positiv trend: 75% av sårbare NTP-servere misbrukt i DDoS-angrep var håndtert etter halvannen uke. 7 unge menn på møte i Oslo Tingrett i morgen, blant annet tilalt for DDoS-angrepet mot Arbeiderpartiets websider i 2011. Apple retter kritisk SSL-svakhet for iOS-enheter og varsler tilsvarende oppdatering for OSX. Tekniske analyser av Trend Micro, Fireeye og Avecto. Det viser seg at 92% av Windows-sårbarheter kan mitigeres ved å fjerne administrator-rettigheter.

Syv menn tiltales for DDoS-angrep, Facebook-hacking og pengeutpressing i Oslo Tingrett

Syv unge menn må i morgen møte i Oslo Tingrett, tiltalt for flere forhold innen datakriminalitet. Et av forholdene de er tiltalt for er DDoS-angrepet mot Arbeiderpartiets websider i april 2011, i kjølvannet av at Datalagringsdirektivet ble vedtatt i Stortinget.
Referanser
http://www.digi.no/927304/ddos-rettssak-starter-tirsdag

NRK-journalist lot mobilen "hackes"

Reporter Gry Veiby i NRK lot selskapet Security Partner "hacke" mobilen sin i en periode som et eksperiment. Det ble installert en app som markedsføres som programvare for foreldrekontroll, men som i realiteten gjør full overvåking, inkludert avlytting og geografisk sporing.Det hører med til historien at den aktuelle appen krevde en jailbreaket telefon. Resultatet av eksperimentet kan høres i programmet Ukeslutt.
Referanser
http://www.nrk.no/norge/slik-ble-journalisten-mobilhacket-1.11560342

Sårbare NTP-servere håndteres etter misbruk

Cloudflare blogger om oppfølgingen av sårbare NTP-servere etter et større DDoS-angrep for 14 dager siden. Cloudflare kontaktet nettverksoperatørene som sendte størsteparten av trafikken og informerte om de sårbare NTP-serverne som ble misbrukt. Etter halvannen uke viser det seg at 75% av serverne ikke lenger var sårbare.
Referanser
http://blog.cloudflare.com/good-news-vulnerable-ntp-servers-closing-down

Fireeye analyserer fire mye utnyttede Java-sårbarheter

Fireye har utført en teknisk analyse av fire ofte benyttede java-exploits (CVE-2013-2471, CVE-2013-2465, CVE-2012-4681 og CVE-2013-2423) og publisert en rapport over funnene.
Referanser
http://www.fireeye.com/blog/technical/cyber-exploits/2014/02/write-once-exploit-everywhere-fireeye-report-analyzes-four-widely-exploited-java-vulnerabilities.html

Analyse av 0-day-sårbarheten i Internet Explorer

Trend Micro har publisert en analyse av forrige ukes 0-day-sårbarhet i Internet Explorer. Exploiten benyttet em kombinasjon av sårbarheter i Flash og Javascript for å kompromittere klienten.
Referanser
http://blog.trendmicro.com/trendlabs-security-intelligence/analysis-of-the-recent-zero-day-vulnerability-in-ie9ie10/

92% av kritiske Microsoft svakheter kan unngås ved å fjerne admin-rettigheter

Avecto har gjennomført en undersøkelse av svakheter rangert som kritiske av Microsoft og har funnet at hele 92% av svakhetene kan unngås ved å å deaktivere administrator-rettigheter for den innloggede brukeren.
Referanser
http://www.darkreading.com/attacks-breaches/removing-admin-rights-mitigates-92-of-cr/240166264

Apple retter SSL-svakhet i iOS. Varsler tilsvarende oppdatering for OSX.

Apple rullet i helgen ut en oppdatering til iOS som retter en kritisk svakhet ved validering av SSL-forbindelser. Apple har ikke uttalt seg om svakheten, hvilket har fått mange til å spekulere i hvorvidt dette kan ha vært en bakdør som er lagt inn med hensikt. Apple varsler tilsvarende oppdatering for Mac i nær fremtid.
Anbefaling
Vi anbefaler at alle oppdaterer sine iOS-enheter så snart som mulig. Mac-er bør settes til å motta oppdateringer automatisk.
Referanser
http://www.engadget.com/2014/02/21/apple-ssl-update/ http://www.reuters.com/article/2014/02/22/us-apple-encryption-idUSBREA1L10220140222

2014.02.21 - Nyhetsbrev

Adobe oppdaterer Flash og Air. Tinder svakhet gorde det mulig å tringulere Tinder brukere. Forbes beskriver hendelsesforløpet som endte i at deres brukerdatabase ble publisert. Bloggpost beskriver virkemåten til en variant av ransomwaren Bitcrypt.

Svakhet i Tinder kunne brukes til å triangulere brukere

Det er blitt oppdaget at man ved hjelp av triangulering kunne finne nøyaktig posisjon til tilfeldige Tinder brukere. Svakheten ble rapportert til Tinder i oktober, og dette skal ikke lenger skal være mulig å få til på samme måte.
Referanser
http://blog.includesecurity.com/2014/02/how-i-was-able-to-track-location-of-any.html

Forbes har publisert en artikkel som beskriver hvordan de ble kompromittert

Forbes har publisert en artikkel der de beskriver hendelsesforløpet som resulterte i at de ble kompromittert, og at deres brukerdatabase ble publisert.
Referanser
http://www.forbes.com/sites/andygreenberg/2014/02/20/how-the-syrian-electronic-army-hacked-us-a-detailed-timeline/

Google gir ut oppdatering til Google Chrome

Google har nå gitt ut en oppdatering for Google Chrome, version 33.0.1750.117 til både Windows, Mac og Linux. Denne oppdateringen inneholder fiks for 28 sikkerhetssvakheter.
Referanser
http://googlechromereleases.blogspot.no/2014/02/stable-channel-update_20.html

Bloggpost om knekking av kryptering til ransomware malware

Det er blitt publisert en interessant bloggpost om en variant av ransomwaren Bitcrypt. I bloggposten beskrives hvordan malwaren fungerte, og hvordan de var i stand til å knekke nøkkelen og redde filene som var blitt kryptert.
Referanser
http://blog.cassidiancybersecurity.com/post/2014/02/Bitcrypt-broken

Adobe oppdaterer Flash og Air

Adobe har publisert oppdateringer til Flash som retter svakheten som har blitt aktivt utnyttet sammen med svakheten i Internet Explorer som vi omtalte i går. I tillegg til å oppdatere Flash for Windows, oppdateres i tillegg Flash for OS X og Linux, AIR for Android og AIR SDK for Windows og OS X.
Anbefaling
Installer oppdatering
Referanser
http://helpx.adobe.com/security/products/flash-player/apsb14-07.html

2014.02.20 - Nyhetsbrev

Microsoft slipper fix-it patch for zero-day i Internet Explorer. Til nå ukjent administratorkonto i Cisco UCS Director. Cisco retter svakhet i brannmurmodul for rutere og svitsjer. Cisco retter flere svakheter i Cisco IPS.

Microsoft slipper fix-it patch for zero-day i Internet Explorer

Microsoft har i dag sluppet en fix-it patch (foreløpig patch) for zero-day svakheten i Internet Explorer 9 og 10. Svakhetene har blitt utnyttet i målrettede angrep. Vi minner om at verktøyet EMET fra Microsoft også vil hindre svakheten i å bli utnyttet.
Referanser
http://blogs.technet.com/b/msrc/archive/2014/02/19/microsoft-releases-security-advisory-2934088.aspx

Til nå ukjent administratorkonto i Cisco UCS Director

Cisco har publisert en oppdatering til Cisco UCS Director som deaktiverer en til nå ukjent administratorkonto. Denne administratorkontoen har full tilgang til systemet og passordet er antageligvis kjent. Dette kan gi en angriper full tilgang til berørte systemer, dersom SSH er tilgjengelig. For mer informasjon om oppdateringen og hvilke versjoner av UCS Director som er berørt, se referanse.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140219-ucsd

Cisco retter svakhet i brannmurmodul for rutere og svitsjer

Cisco har publisert en oppdatering for Firewall Services Module for Catalyst 6500-svitsjer og 7600-rutere. Den retter en svakhet i autentisering av brukere som kan utnyttes til å utføre et tjenestenektangrep ved å sende spesielt utformede pakker til en berørt enhet. For mer informasjon, se referanse.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140219-fwsm

Cisco retter flere svakheter i Cisco IPS

Cisco har publisert oppdateringer for flere Cisco ASA 5500 og Cisco IPS 4xxx-produkter. Oppdateringene retter flere svakheter som kan utnyttes for å utføre et DoS-angrep. for mer informasjon om berørte enheter og om oppdateringer, se referanse.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140219-ips

2014.02.19 - Nyhetsbrev

Android webview-svakhet inkludert i Metasploit-rammeverket. Ny svakhet i Linksys-routere. SANS melder om scanninger etter Symantec Endpoint Protection-svakhet. Zeus-trojaner overfører data skjult i JPEG-bilder. US Navy ble overvåket i fire måneder. Flere sikkerhetssvakheter oppdaget i Belkins WeMo hjemmeautomasjonssystemer.

Android webview-svakhet inkludert i Metasploit-rammeverket

En modul for å utnytte en gammel sårbarhet i Android har blitt inkludert i Metasploit-rammeverket. Dette gjør utnyttelse av sårbarheten lett tilgjengelig. Svakheten er over 14 måneder gammel og ble patchet i Android versjon 4.2. Den kan gi en angriper samme rettigheter som applikasjonen som blir utnyttet på den sårbare enheten. Den innebygde nettleseren er et eksempel på en sårbar og utsatt applikasjon. Vi vil derfor anbefale alle med Android-versjoner eldre enn versjon 4.2 å laste ned og bruke en alternativ nettleser, f.eks. Chrome, Firefox eller Opera.
Referanser
http://arstechnica.com/security/2014/02/e-z-2-use-attack-code-exploits-critical-bug-in-majority-of-android-phones/ https://community.rapid7.com/community/metasploit/blog/2014/02/13/weekly-metasploit-update

Ny svakhet i Linksys-routere

Linksys-routere har en svakhet som kan gi hackere fjerntilgang til routeren. Denne svakheten er ikke relatert til den tidligere meldte svakheten som ble utnyttet av Moon-worm. Routerene det gjelder er Linksys EA2700, EA3500, E4200 og EA4500. De har en svakhet under oppgradering eller installasjon som gjør at port 8083 blir åpen for angripere. Linksys jobber med en oppdatering.
Referanser
http://threatpost.com/more-trouble-for-linksys-home-small-office-routers/104322

SANS melder om scanninger etter Symantec Endpoint Protection-svakhet

The Internet Storm Center (ISC), som er en del av SANS, melder om store skanninger på porter brukt av Symantec Endpoint Protection etter at det ble gjort kjent en svakhet i produktet. Svakheten ble meldt 10. februar og Symantec har allerede sluppet en oppdatering for denne svakheten.
Referanser
http://www.zdnet.com/attackers-scanning-for-symantec-endpoint-protection-manager-flaw-7000026418/#ftag=RSS14dc6a9 https://isc.sans.edu/diary/Scanning+for+Symantec+Endpoint+Manager/17657

Zeus-trojaner overfører data skjult i JPEG-bilder

Digi.no skriver om Zeus-trojaneren ZeusVM som tar i bruk JPEG-bilder for å laste ned sin konfigurasjonsfil. Denne teknikken kalles steganografi og er en teknikk for å kamuflere data i f.eks bilder. På denne måten blir det vanskeligere for IDSer og antivirusprogrammer å oppdage trusselen.
Referanser
http://www.digi.no/927240/ny-trojaner-skjult-i-jpg-bilder

US Navy ble overvåket i fire måneder

Digi.no skriver i en artikkel at det tok US Navy fire måneder å rense ut all ondsinnet kode etter at Iran kom seg inn på det ugraderte nettet til Navy Marine Corps og satte opp overvåking av det.
Referanser
digi.no/php/art.php?id=927226 http://online.wsj.com/news/articles/SB10001424052702304899704579389402826681452

Flere sikkerhetssvakheter oppdaget i Belkins WeMo hjemmeautomasjonssystemer

Sikkerhetsselskapet IOActive har identifisert flere sikkerhetssvakheter oppdaget i Belkins WeMo hjemmeautomasjonssystemer. Svakhetene kan brukes til å styre diverse enheter som strømkontakter, bevegelsessensorer osv.
Referanser
http://www.theregister.co.uk/2014/02/19/wemo_home_automation_is_insecure_ioactive/

2014.02.18 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

2014.02.17 - Nyhetsbrev

Lekkasje av brukerkontoer fra Tesco.com. Forbes-database med over 1 million brukere publisert. Kickstarter hacket. Liste med login-informasjon til ca. 7000 FTP-servere sirkuleres.

Lekkasje av brukerkontoer fra Tesco.com

Den britiske avisen The Guardian melder at over 2000 brukerkontoer fra Tesco.com er på avveie. I tillegg til brukernavn, skal også passord og personopplysninger om kunder være på avveie. The Guardian skriver videre at Tesco har låst kontoer som er berørt av denne lekasjoen.
Referanser
http://www.theguardian.com/technology/2014/feb/14/tesco-customer-accounts-suspended-hacker-attack

Forbes-database med over 1 million brukere publisert

Syrian Electronic Army har publisert Forbes sin bruker-database. Passordene skal være "kryptert", men brukere anbefales å bytte passord. Kredittkortinfo skal ikke ha blitt stjålet.
Referanser
http://direct.datalossdb.org/incident_highlights/61-forbes-data-breach-impacts-over-1-millions-accouns

Kickstarter hacket

Den populære siden for folkefinansiering, kickstarter.com, opplyser på sin blogg at uvedkommende har fått tak i brukerinformasjon. De skal ikke ha fått tak i kredittkortinformasjon, men skal ha fått tilgang til saltede passord. Det anbefales så bytte passord hos dem og eventuelt andre plasser man bruker samme passord.
Referanser
https://www.kickstarter.com/blog/important-kickstarter-security-notice

Liste med login-informasjon til ca. 7000 FTP-servere sirkuleres

Det meldes om at en liste med brukernavn og passord til FTP-servere til en rekke firmaer og organsisjoner sirkuleres på nettet. Blant annet New Tork Times og UNICEF skal være rammet. På serveren til New York Times skal det ha blitt lastet opp filer som tyder på at angripere ønsket å misbruke det kjente domenet til egen vinning.
Referanser
http://www.pcworld.com/article/2098020/hackers-circulate-thousands-of-ftp-credentials-new-york-times-among-those-hit.html http://arstechnica.com/security/2014/02/new-york-times-others-attacked-with-leaked-ftp-credentials/

2014.02.14 - Nyhetsbrev

FireEye har funnet en ny 0-dagssårbarhet i Internet Explorer, og har også skrevet en bloggpost om malwarekampanjen SnowMan. Websense har oppdaget at svakheten ble utnyttet så tidlig som 24. januar. Forskere har funnet en orm som har infisert rundt 1000 Linksys-rutere. Bruce Schneier blogger om hvordan NSA kan finne ut hvor folk befinner seg basert på internettaktiviteten deres. Cloudflare gir mer detaljer om det store NTP-tjenestenektangrepet. Forbes har blitt hacket av Syrian Electronic Army.

Forbes hacket av Syrian Electronic Army

Hackere fra Syrian Electronic Army (SEA) har hacket seg inn hos publikasjonen Forbes. Her har de fått kontroll over publiseringssystemet og lagt inn en falsk nyhetssak. De har også tatt kontroll over tre Twitter-kontoer tilhørende ansatte.
Referanser
http://news.softpedia.com/news/Forbes-Hacked-by-Syrian-Electronic-Army-426797.shtml

Cloudflare går i detaljer om NTP tjenestenektangrep

På mandag ble det utført et tjenestenektangrep mot en av kundene til CloudFlare. Dette angrepet hadde en størrelse på 400Gbps på det verste og ble utført ved bruk av 4529 NTP (Network Time Protocol) servere. CloudFlare går nå inn i detaljene rundet dette angrepet og om hvordan slike NTP tjenestenektangrep fungerer på deres blogg. De lister også opp hvilke nettverk som stod for angrepstrafikken.
Referanser
http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack http://threatpost.com/400-gbps-ntp-amplification-attack-alarmingly-simple/104256

Orm infiserer Linksys-rutere

Forskere har nå funnet en orm som har infisert rundt 1000 Linksys-rutere av typen E100, E1200 og E2400. Ormen infiserer ruteren ved at den misbruker svakheter funnet i ruterens firmware. Når ruteren er blitt infisert søker den etter andre lignende rutere for å infisere disse. I tilegg til dette kan ormen også endre på DNS-innstillingene til ruteren og endre dette til Google sine DNS-server (IP 8.8.8.8 og 8.8.4.4). Noen ISPer har opplevd problemer på grunn av store mengder scanne-trafikk fra infiserte rutere. Ruteren kan bli kvitt infeksjonen ved at den blir restartet.
Referanser
http://arstechnica.com/security/2014/02/bizarre-attack-infects-linksys-routers-with-self-replicating-malware/

Hvordan NSA kan finne ut hvor folk er

Bruce Schneier går inn på hvordan NSA kan finne ut hvor personer befinner seg basert på data fra mobiltelefoner og internettbruk. Dette gjøres på to forskjellige måter. Den ene er ved å bruke basestasjoner i mobilnett. Den andre metoden går ut på å avlytte trafikk fra mobilen. Mange applikasjoner på mobilen lekker ut GPS-informasjon som NSA kan plukke opp for å spore brukeren. Les mer i referansen under om mer detaljer rundt dette.
Referanser
https://www.schneier.com/blog/archives/2014/02/finding_peoples.html

Ny zero-day i Internet Explorer 9 og 10 utnyttes aktivt

FireEye har i en bloggpost gitt en analyse av en malwarekampanje som de har døpt Operation SnowMan. En angriper har spredd malware ved å kompromittere et nettsted for amerikanske soldater som har tjenestegjort utenfor USA. (vtw[.]org) Malwaren utnytter en til nå ukjent svakhet i Internet Explorer 9 og 10 sammen med Adobe Flash. (CVE-2014-0322) I følge FireEye så kjører ikke malwaren dersom den oppdager at EMET (Enhanced Mitigation Experience Toolkit) eller Internet Explorer 11 er installert. Vi vil igjen oppfordre brukere av Windows til å installere EMET dersom mulig for å unngå at svakheter som dette blir utnyttet.
Referanser
http://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html

Ny Internet Explorer 9/10 0-day i bruk allerede 24. januar

Websense har sett nærmere på den nyoppdagede 0-day svakheten i Internet Explorer 9/10. Det viser seg at svakheten var brukt allerede 24 januar i et angrep mot fransk forsvarsindustri.
Referanser
community.websense.com/blogs/securitylabs/archive/2014/02/14/msie-0-day-exploit-cve-2014-0322-possibly-targeting-french-aerospace-organization.aspx

2014.02.13 - Nyhetsbrev

Det har blitt sluppet en white-paper om hvordan TFTP kan bli misbrukt i DDoS-angrep. Artikkel med statistikk over misbruk av Windowskomponenter i 2013.

Misbruk av Windows-komponenter gjennom 2013

Welivesecurity har en interessant artikkel om hvordan svakheter i windows har blitt utnyttet gjennom 2013. Artikkelen går igjennom hvilke komponenter som har hatt svakheter, hvordan de har blitt utnyttet og hvilke av dem som var 0-days.
Referanser
http://www.welivesecurity.com/2014/02/11/windows-exploitation-in-2013/

Artikkel om TFTP brukt i DDoS-angrep

Interessant artikkel om hvordan TFTP (Trivial File Transfer Protocol) kan bli misbrukt for å generere trafikk ved DDoS angrep. For tiden er det for det meste protokollene DNS og NTP som blir brukt for å generere store DDoS reflection-angrep på nettet. TFTP kan bli neste protokoll som blir misbrukt. Det er rundt 130.000 TFPT-tjenere offentlig tilgjengelig på nettet.
Referanser
http://brownhatsecurity.com/tftp-reflection-whitepaper.pdf

2014.02.12 - Nyhetsbrev

Microsoft har sluppet oppdateringer for februar. Adobe oppdaterer Shockwave Player.

Microsoft har sluppet oppdateringer for februar

Microsoft slapp i går kveld 7 oppdateringer som retter 32 svakheter. 4 av oppdateringene er rangert som kritiske. De kritiske oppdateringene omfatter Internet Explorer (MS14-010), Windows (MS14-011 og MS14-007) og Microsoft Forefront Protection for Exchange (MS14-008). Spesielt er det viktig å få patchet Internet Explorer så fort som mulig denne gangen, da over 30 svakheter har blitt fikset.
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms14-feb

Adobe oppdaterer Shockwave Player

Adobe har sluppet en oppdatering for Shockwave Player. Oppdateringen omfatter både Windows og Mac og retter svakheter som kan gi en angriper full kontroll over det rammede systemet. For mer informasjon, se referanser. Vi anbefaler å oppdatere så fort som mulig.
Referanser
http://helpx.adobe.com/security/products/shockwave/apsb14-06.html

2014.02.11 - Nyhetsbrev

Kaspersky Labs skriver om "The Mask" - den mest sofistikerte malware kampanjen så langt. Microsoft har Norge på en tredjeplass over land med lite malware-infeksjoner. Cloudflare angrepet av gigantisk DDOS angrep. I dag blir det protestert mot masseovervåking på Internett på forskjellige måter.

The Mask, den mest sofistikerte malware-kampanjen så langt

Sikkerhetsforskere fra Kaspersky Lab har funnet en ny malware kalt The Mask, som er svært avansert. Malwaren infiserer maskinen via e-poster som fører brukeren til en side som kan være veldig lik legitime sider som YouTube, Guardian og The Washington Post. Når brukeren besøker siden blir maskinen utsatt for et exploit-kit som utnytter svakheter funnet i Adobe Flash Player for å infisere maskinen. Når maskinen er infisert har den muligheter for å få tak i nettverkstrafikk, tastetrykk, Skype-samtaler, PGP-nøkkler, analysere WiFi-trafikken, ta skjermbilder m.m. I tilegg til dette samler Malwaren opp en stor liste med dokumenter som kan inneholde krypteringsnøkkler, VPN konfigurasjoner, SSH-nøkkler og RDP-filer. Malwaren kan infisere flere typer systemer. Kaspersky Labs forklarer at malwaren kan infisere Windows 32- og 64-bit systemer, Mac OS X, flere Linux-versjoner og muligens noen versjoner av Android og iOS. The Mask har infisert flere enn 380 unike maskiner i 31 land. The Mask har også holdt på siden 2007, som betyr at den har holdt seg i skjul i nesten 7 år. Kaspersky Labs oppdaget den da de så den prøve å utnytte en tidligere svakhet i deres anti-virus programvare. Les mer i referansene under. Vedlagt ligger også en link til PDF-rapporten fra Kaspersky Labs som forteller mye mer om The Mask.
Referanser
http://arstechnica.com/security/2014/02/meet-mask-posssibly-the-most-sophisticated-malware-campaign-ever-seen/ http://threatpost.com/new-mask-apt-campaign-called-most-sophisticated-yet/104148 http://www.zdnet.com/washington-post-guardian-links-used-to-infect-the-mask-malware-victims-7000026153/ http://www.symantec.com/connect/blogs/mask http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf

Cloudflare angrepet av gigantisk DDoS-angrep

Cloudflare ble utsatt for det som sannsynligvis er det største DDOS-angrepet registrert. Angrepet, som var et NTP reflection-angrep, var på over 400Gbps som er over 100Gbps større enn det mye omtalte Spamhaus-angrepet i 2013. På TSOC ser vi også stadig store DDoS-angrep som bruker NTP-reflection.
Referanser
http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-europe.aspx

Microsoft har Norge på en tredjeplass over land med lite malware-infeksjoner

Ifølge Microsoft Security Intelligence Report for 2. kvartal av 2013 er Norge på en tredjeplass på deres liste over land med lite malware-infeksjoner. Ifølge denne artikkelen har bare 7,3% av alle landets pc'er blitt infisert av malware i 2. kvartal av 2013, mot et snitt på 21,7% på verdensbasis.
Referanser
http://blogs.technet.com/b/security/archive/2014/02/10/norway-sweeps-in-with-bronze-medal.aspx

Dagen for å kjempe mot masse-overvåkning

Tirsdag 11. Februar er blitt dagen flere store bedrifter og organisasjoner har bestemt seg for å kjempe imot masse overvåkning. Dagen har fått flere støttespillere bl.a. Electronic Frontier Foundation, Greenpeace, American Civil Liberties Union, ThoughtWorks, tumblr, Colt og Mozilla.
Referanser
http://www.theregister.co.uk/2014/02/10/tuesday_declared_the_day_we_fight_back_against_nsa_et_al/

2014.02.10 - Nyhetsbrev

Den britiske banken Barclays har fått sensitiv informasjon om 27.000 kunder på avveie. Masseutsendelse av Snapchat-meldinger kan benyttes til tjenestenektangrep mot iPhone. BitCoin-stjelende trojaner for Mac oppdaget.

Personlig informasjon om tusenvis av kunder stjålet fra storbank.

The Daily Mail meldte i helgen om datatyveri hos den britiske storbanken Barclays. Interne dokumenter om 27.000 av bankens kunder skal være på avveie. Ca 1000 kunder skal allerede være svindlet som følge av kompromitteringen. Kundedokumentene som har havnet på avveie inkluderte informasjon som kontonummer, passnummer, forsikringsnummer og informasjon om vedkommendes helse og økonomi. Hver dokument skal være på ca 20 sider.
Referanser
http://www.dailymail.co.uk/news/article-2554875/Barclays-account-details-sale-gold-27-000-files-leaked.html http://e24.no/naeringsliv/personlig-informasjon-om-tusenvis-av-kunder-stjaalet-fra-storbank/22757797

Tjenestenektangrep mot iPhone via Snapchat

Sikkerhetsforskeren Jaime Sanchez har funnet en svakhet i Snapchat som gjør at man kan masseutsende meldinger til brukere, via gjenbruk av såkalte security tokens. Dette kan misbrukes til å sende spam eller til å utføre tjenestenektangrep mot enkeltbrukere. En iPhone som blir utsatt for dette angrepet vil gå i heng for så å reboote. Når den kommer opp igjen vil den fortsatt ha problemer, helt til angrepet er over. Android-telefoner som har blitt utsatt for samme angrep har fått ytelsesproblemer. Snapchats eneste respons så langt har vært å etterlyse mer informasjon og stenge kontoen til Sanchez.
Referanser
http://www.seguridadofensiva.com/2014/02/how-to-use-snapchat-to-dos-attack-your.html http://thehackernews.com/2014/02/hack-Snapchat-denial-of-service-attack-vulnerability.html

BitCoin-stjelende trojaner for Mac

SecureMac melder om en nyoppdaget trojaner for Mac. Trojaneren kunne lastes ned fra Github, forkledd som en betalingsapp for BitCoin. Trojaneren monitorerer nettlesertrafikk og snapper opp innlogginger til populære BitCoin-tjenester. Trojaneren har fått betegnelsen OSX/CoinThief.A.
Referanser
http://www.securemac.com/CoinThief-BitCoin-Trojan-Horse-MacOSX.php

2014.02.07 - Nyhetsbrev

Årlig rapport over sikkerhetshendelser fra HP. Google Chrome gjør det vanskeligere for tredjepartsprogramvare å kapre trafikk og innstillinger. Månedsoppdateringer fra Microsoft. Rykter om massiv organisert tapping av informasjon fra smarttelefoner i Sochi avlives.

Ingen grunn til å tro at telefonen din blir "umiddelbart hacket" i Sochi

De siste dagene har det versert rykter i nyhetsbildet om at russiske hackere vil begynne å tappe smarttelefonen din for informasjon så snart den kobler seg opp mot et nettverk i Sochi. Ryktene stammer fra en reportasje på NBC News for to dager siden. Errata Security følger opp saken i en bloggpost og påpeker hvordan det angivelige angrepet i reportasjen i realiteten bestod i nedlasting av en ondsinnet Android-app på fra et ondsinnet nettsted, på en cafe i Moskva. Den eneste sammenhengen med Sochi var at det ondsinnede nettstedet hadde olympisk design. NSM har publisert en god bloggpost med realitetsorienteringer rundt denne typen sensasjonspregede nyhetssaker og gode råd om informasjonssikkerhet på reise. Bloggpostene kan leses i lenkene nedenfor.
Referanser
http://blog.erratasec.com/2014/02/that-nbc-story-100-fraudulent.html http://blogg.nsm.stat.no/archives/4668

HP har publisert rapport over sikkerhetshendelser i 2013

HP har gitt ut sin årlige rapport over sikkerhetshendelser. Den gir blant annet en oversikt over fjorårets mest vanlige svakheter og mest brukte angrepsvektorer. Se referanse for å få tilgang til hele rapporten.
Referanser
http://info.hpenterprisesecurity.com/register_hpenterprisesecurity_cyber_risk_report_2013

Microsoft har gitt ut forhåndsvarsel for oppdatering i februar

Microsoft har gitt ut ny informasjon om oppdateringene som kommer tirsdag 11. februar. Oppdateringene vil fikse sårbarheter i Windows, .NET og Security Software.
Referanser
http://blogs.technet.com/b/msrc/archive/2014/02/06/advance-notification-service-for-february-2014-security-bulletin-release.aspx

Google Chrome gir advarsel dersom nettleseren blir kapret

Google Chrome på Windows vil nå gi advarsel dersom tredjepartsprogramvare som skjermsparere eller lignende skulle endre på instillingene i nettleseren. Dette gjøres ofte av useriøse aktører som ønsker å tjene penger på uvitende brukeres trafikk, for eksempel ved å bombardere brukeren med reklame eller lede brukeren til ondsinnede nettsteder. Frustrasjon over endrede startsider og søkemotorer er blant de hyppigst registrerte klagene fra nettleserens brukere. Man vil nå enkelt kunne resette nettleseren tilbake til standardinstillinger.
Referanser
http://chrome.blogspot.no/2014/01/clean-up-your-hijacked-settings.html http://nakedsecurity.sophos.com/2014/02/06/google-chrome-will-warn-you-when-its-been-hijacked

2014.02.06 - Nyhetsbrev

Hackere som angrep Target kom seg inn via HVAC-underleverandør, og ThreatPost har skrevet om Flash-angrepet som nylig ble oppdaget. Aftonbladet har serverte falsk anti-virus til leserne.

Hackere som angrep Target kom seg inn via VVS-underleverandør

KrebsOnSecurity har fått vite via kilder at hackerne som angrep Target kom seg inn via en underleverandør som har levert oppvarming, kjøling og lufteanlegg til deler av Targets lokasjoner. Det er uvisst hvorfor selskapet hadde ekstern tilgang til Target sitt nettverk og hvorfor det ikke var adskilt fra nettverket til betalingssystemet.
Referanser
http://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/

ThreatPost har skrevet en oppsummering om Flash-angrepet som nylig ble oppdaget.

ThreatPost har skrevet en oppsummering med nye detaljer om Flash-sårbarheten og angrepet som nylig ble oppdaget. Det er sterkt anbefalt å oppdatere Flash.
Referanser
http://threatpost.com/details-emerge-on-latest-adobe-flash-zero-day-exploit/104068

Aftonbladet.se har serverte falsk anti-virus til leserne

Aftonbladet.se, sveriges største nettsted, har i løpet av det siste døgnet servert falsk anti-virus til sine lesere. Dette skal ha skjedd via en spesielt utformet annonse på nettsiden. Problemet skal nå være ryddet opp i. Det er usikkert hvor mange som ble infisert.
Referanser
http://www.securelist.com/en/blog/208216070/Largest_Website_in_Sweden_Spreading_Malicious_Code

2014.02.05 - Nyhetsbrev

Adobe Flash Player Integer Underflow Vulnerability. Google oppdaterer Chrome. GameOver Zeus har nå begynt å kryptere sine .exe filer. Mozilla oppdaterer Firefox. Chrome-utvidelser injiserer reklame. Facebook åpner kildekoden til sitt nye sikkerhetsverktøy Conceal. Amerikanske etterretningsorganisasjoner advarer om at Helthcare.gov kan være kompromittert. GCHQ har angrepet Anonymous ved hjelp av DDoS.

Adobe Flash Player Integer Underflow Vulnerability

Adobe har sluppet en oppdatering til Adobe Flash Player som klassifiseres som kritisk. Oppdateringen fikser en svakhet som kan brukes til å ta kontroll over sårbare datamaskiner. Oppdateringen er sluppet utenom den vanlige patche-datoen til Adobe. Kaspersky rapporterer om at denne svakheten allerede utnyttes i angrep.
Referanser
http://helpx.adobe.com/security/products/flash-player/apsb14-04.html http://www.securelist.com/en/blog/208216046/A_Glimpse_Behind_The_Mask http://www.secunia.com/advisories/56737

Google oppdaterer Chrome

Google har sluppet en oppdatert versjon av Chrome som blant annet oppdaterer Flash som leveres sammen med nettleseren.
Referanser
http://googlechromereleases.blogspot.no/2014/02/stable-channel-update.html

GameOver Zeus har nå begynt å kryptere sine .exe filer

Malware distribusjonssystemet GameOver Zeus har nå begynt å kryptere sine .exe-filer og sender dem som ikke eksekverbare .enc filer. Dette gjør at den lettere passerer gjennom en brannmur og eventuelle andre filtreringsløsninger som måtte være på plass.
Referanser
http://garwarner.blogspot.no/2014/02/gameover-zeus-now-uses-encryption-to.html

Mozilla oppdaterer Firefox

Mozilla har oppdatert nettleseren Firefox, hvor blant annet støtte for TLS versjon 1.1 og 1.2 har blitt slått på som standard. Det er også flere andre viktige sikkerhetsoppdateringer.
Referanser
http://www.mozilla.org/en-US/firefox/27.0/releasenotes/

Chrome-utvidelser injiserer reklame

12 tilsynplatende legitime utvidelser for Chrome funnet på den offisielle Chrome Web Store viser seg å injisere reklame på flere web sider. Utvidelsene skal ha blitt installert av mer en 180 000 brukere og injiserer reklame på 44 populære websider.
Referanser
http://threatpost.com/chrome-web-store-beset-by-spammy-extensions/104031

Facebook åpner kildekoden til sitt nye sikkerhetsverktøy Conceal

Facebook deler sitt nye Android sikkerhetsverktøy 'Conceal' åpent for alle å bruke. Verktøyet er et krypteringsbibliotek ment for å beskytte program-data lagret på telefonens SD-kort fra andre programmer som eventuelt skulle prøve å snoke i andre programmers data.
Referanser
http://www.wired.com/wiredenterprise/2014/02/facebook-conceal/

Amerikanske etterretningsorganisasjoner advarer om at Helthcare.gov kan være kompromittert

Flere av entreprenørene som originalt jobbet på Helthcare.gov-prosjektet for The U.S. Department of Health and Human Services er nå mistenkt for å ha kompromittert systemet ved å ha lagt inn ondsinnet kode. Mye av programmeringen ble outsourcet til Hviterussland.
Referanser
http://www.tripwire.com/state-of-security/top-security-stories/u-s-intelligence-agencies-say-healthcare-gov-may-compromised/

GCHQ har angrepet Anonymous ved hjelp av DDoS

NBC News har en sak om GCHQs kamp mot Anonymous og andre hacktivist-grupperinger. Der kommer det blant annet fram at GCHQ angrep Anonymous sine IRC-servere ved hjelp av DDoS. Det er også eksempler på infiltrasjon og hvordan medlemmer ble identifisert.
Referanser
http://nbcnews.com/news/investigations/war-anonymous-british-spies-attacked-hackers-snowden-docs-show-n21361 http://msnbcmedia.msn.com/i/msnbc/sections/news/snowden_anonymous_nbc_document.pdf

2014.02.04 - Nyhetsbrev

Orange i Frankrike utsatt for datainnbrudd. Video viser et falsk antivirus-angrep. Store internettselskaper gir ut informasjon om henvendelser fra FISA-domstolen. NSM anbefaler STARTTLS for e-post. Kreativ iFrame-injeksjonsmetode demonstrert.

Orange i Frankrike uttsatt for datainnbrudd

Mobiloperatøren Orange har blitt uttsatt for datainnbrudd. Uvedkommende har kopiert ut info om 800 000 kunders personlig data som navn, epost og telefonnummer. Abonnenter anbefales å bytte passord.
Referanser
http://securityaffairs.co/wordpress/21886/cyber-crime/orange-hacked-800000-records.html

Slik ser et falsk antivirus-angrep ut

Arstechnica har i en artikkel skrevet om hvordan et falsk antivirus-angrep kan virke når det kommer fra et vanlig nettsted. I dette eksempelet er det Dailymotion.com som har blitt infisert og gir ut malware til besøkende. Videoen i artikkelen viser hvordan det kan se ut når du besøker et nettsted som prøver å infisere deg.
Referanser
http://arstechnica.com/security/2014/02/what-a-fake-antivirus-attack-on-a-trusted-website-looks-like/

Store internettselskaper gir ut informasjon om henvendelser fra FISA-domstolen

Google, Yahoo, Microsoft, Facebook og LinkedIn har nå gitt ut detaljer om hvor mange kontoer de har gitt ut informasjon om i forbindelse med forespørsler fra FISA-domstolen. Denne domstolen godkjenner forespørsler som gjelder utenlandske statsborgere og stammer blant annet fra NSA. Tallene har tidligere vært unntatt offentligheten. I første halvår av 2013 ga firmaene til sammen ut informasjon fra minst 50.000 kontoer.
Referanser
http://arstechnica.com/tech-policy/2014/02/google-yahoo-microsoft-reveal-how-many-accounts-are-snooped-by-govt/ http://www.theguardian.com/world/2014/feb/03/microsoft-facebook-google-yahoo-fisa-surveillance-requests http://www.techdirt.com/articles/20140203/12163626079/google-yahoo-reveal-some-details-how-many-users-are-having-content-spied-nsafbi.shtml

NSM anbefaler STARTTLS

Nasjonal sikkerhetsmyndighet (NSM) anbefaler alle å ta i bruk STARTTLS for å sikre sin epost-overføring.
Referanser
http://blogg.nsm.stat.no/archives/4645

Kreativ iFrame-injeksjonsmetode

Sikkerhetsblogger Peter Gramantik skriver om en kreativ måte å injisere en iFrame i en webside på. Metoden bruker obfuskering gjennom å lese kode ut fra PNG metadata, noe som gjør at de fleste sikkerhetsprodukter ikke vil oppdage den. Teorien bak dette har blitt demonstrert før, men dette skal være første gang det er sett i praktisk bruk.
Referanser
http://blog.sucuri.net/2014/02/new-iframe-injections-leverage-png-image-metadata.html

2014.02.03 - Nyhetsbrev

PayPal og eBay skal ha blitt defacet av hackere. Nytt exploitkit som kun bruker Flash har blitt oppdaget. NSA/GCHQ kan ha hacket kjent krypto-professor.

Paypal og Ebay UK hacket av Syrian Electronic Army

Hackergruppen Syrian Electronic Army har vandalisert nettsidene som tilhører PayPal UK og eBay, ingen brukerdata skal vært berørt.
Referanser
http://www.zdnet.com/ebay-and-paypal-uk-domains-hacked-by-syrian-electronic-army-7000025854/

Flash-svakhet brukt av ukjent exploit-kit

Kafeine skriver om et nytt exploit-kit som bruker en Flash-exploit som ble patchet i november i fjor. Malwaren har blitt servert av nettstedene eHow[.]net og Livestrong[.]com. Sørg for å ha oppdatert Flash!
Referanser
http://malware.dontneedcoffee.com/2014/02/cve-2013-5330-flash-in-unknown-exploit.html

NSA/GCHQ kan ha hacket kjent krypto-professor

Fra Belgia rapporteres det at NSA/GCHQ kan ha hacket seg inn i PCen til Jean-Jacques Quisquater. Saken skal ha sammenheng med at NSA/GCHQ hacket seg inn hos Belgacom.
Referanser
http://grahamcluley.com/2014/02/nsa-gchq-hack-cryptography-professor-pc/