2014.07.31 - Nyhetsbrev

Venafi varsler om at kun 3% av undersøkte bedrifter har byttet SSL-sertifikater etter Heartbleed oppdateringen, og Offensive Security varsler om flere nulldagssårbarheter i Symantec Endpoint Protection.

"Heartbleed": OpenSSL oppdatering er ikke tilstrekkelig

Det amerikanske IT-sikkerhetsselskapet Venafi har undersøkt de 2000 største bedriftene i verden, og funnet ut at kun 3% har sørget for å bytte ut SSL-sertifikatene sine. Det er ikke tilstrekkelig å oppdatere OpenSSL, man må også endre de private krypteringsnøklene, utstede nye SSL-sertifikater og trekke tilbake de gamle.
Referanser
http://www.digi.no/929756/heartbleed-feilfiks-holder-ikke https://www.venafi.com/assets/pdf/wp/Venafi_Labs_Q3_Heartbleed_Threat_Research_Analysis.pdf

Offensive Security har funnet flere nulldagssårbarheter i Symantec Endpoint Protection

IT-sikkerhetsselskapet Offensive Security har nylig oppdaget flere nulldagssårbarheter i Symantec Endpoint Protection. Oppdagelsen skal ha skjedd under en penetrasjonstest, og noen av sårbarhetene skal ha blitt varslet til CERT-er. Symantec sier de er klar over sårbarhetene og har iverksatt tiltak.
Referanser
http://www.digi.no/929763/fant-nulldagshull-i-symantec http://www.offensive-security.com/vulndev/symantec-endpoint-protection-0day/

2014.07.30 - Nyhetsbrev

Ny svakhet i Android. Sikkerhetssystemet Blackforrest skal kunne forutse fremtidige cyberangrep.

Sikkerhetsselskapet Bluebox Security har offentliggjort en alvorlig svakhet på Android plattformen

Det viser seg at gamle versjoner av Android sitt pakkehåndteringssystem ikke sjekker sertifikatkjeder ordentlig og vil derfor aldri sjekke videre opp i kjeden om sertifikatet validerer. Dette gjør det mulig for en ondsinnet applikasjon å påstå at den har blitt signert av et selskap uten at Android sjekker denne påstanden. På denne måten kan den ondsinnede applikasjonen tilegne seg rettigheter den ellers ikke skulle hatt.
Referanser
https://securityledger.com/2014/07/old-apache-code-at-root-of-android-fakeid-mess/

GTRI har utviklet Blackforest som skal kunne advare mot fremtidige cyberangrep

GTRI (Georgia Tech Research Institute) har utviklet et nytt verktøy som skal kunne advare mot fremtidige cyberangrep. Systemet gjør dette ved å hente informasjon fra blant annet hacker forumer og andre nettsteder hvor malware omtales og averteres. Denne informasjonen blir så sammenlignet med tidligere hendelser i et forsøk på å forutsi om man har fremtidige angrep i vente.
Referanser
http://threatpost.com/threat-intelligence-tool-connects-dots-on-pre-attack-data/107483 http://gtri.gatech.edu/casestudy/blackforest-gtri-aggregates-cyber-threat-informati

2014.07.29 - Nyhetsbrev

Hackere skal ha eksfiltrert store mengder informasjon fra tre av Israels våpenleverandører.

Israelske våpenleverandører hacket

Krebs on security melder i dag at sikkerhetsselskapet CyberESI har gitt ut en rapport som beskriver et omfattende hackerangrep mot tre store israelske våpenleverandører. Selskapene skal blant annet ha stått for utviklingen av rakettforsvarssystemet "Iron Dome". Den israelske regjeringen har tidligere gitt dette systemet æren for å ha stoppet en femtedel av de over 2000 rakettene som palestinske militanter skal ha avfyrt mot dem og CyberESI mener at det er stor sannsynlighet for at det var denne teknologien angriperne var interessert i. Angrepet skal ha skjedd mellom oktober 2011 og august 2012 og hackerne skal i løpet av tidsperioden ha hentet ut store mengder data, inkludert informasjon om flere våpensystemer.
Referanser
http://krebsonsecurity.com/2014/07/hackers-plundered-israeli-defense-firms-that-built-iron-dome-missile-defense-system/

2014.07.28 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.

2014.07.25 - Nyhetsbrev

F-Secure skriver om Mayhem, ESB utsatt for datainnbrudd, flere titusentalls WordPress-sider infisert, og svakheter i IE økt med 100% i følge rapport.

F-Secure går dypt inn i detaljer om "Mayhem"

I nyhetsbrevet vårt på tirsdag (22/07/2014) skrev vi om "Mayhem", en relativt ny malware som sprer seg gjennom Linux og FreeBSD servere ved å bruke et PHP script. F-Secure går nå dypt inn i detaljer om malware, i en artikkelen hvor de skriver om hvordan "Mayhem" infiserer servere, hvordan det er bygget opp og hva den kompromitterte serveren brukes til.
Referanser
http://www.f-secure.com/weblog/archives/00002727.html

Den Europeiske Sentralbank utsatt for datainnbrudd

ZDNet forteller at den nettstedet til Den Europeiske Sentralbank har blitt kompromittert og at personlig informasjon har blitt stjålet av angripere. Angriperne har i følge banken fått tilgang til en database som inneholdt informasjon om personer som hadde registrert seg på konferanser og andre arrangementer. Rundt 20 000 email adresser og en lavere antall telefonnummer og adresser skal ha vært stjålet, i følge BBC.
Referanser
http://www.zdnet.com/european-central-bank-suffers-security-breach-personal-data-stolen-7000031958/#ftag=RSS4d2198e http://www.bbc.com/news/business-28458323

Flere tusen WordPress sider kompromitert gjennom MailPoet

Sikkerhetseksperter hos selskapet Sucuri form ser at det er har vært en stor økning i antall angrep mot WordPress sider som bruker en utdatert versjon av en utvidelse med navn MailPoet. MailPoet hadde for litt siden en svakhet som gjorde det mulig for angripere å laste opp en vilkårlig fil til serveren, noe som kan gjøre det mulig for angriperen å ta over serveren helt. For 3 uker siden ble det gitt ut en oppdatering til denne utvidelsen som fikset denne svakheten. På disse tre ukene har angripere utnyttet denne svakheten på mellom 30 000 til 50 000 nettsider, selv om nettstedet ikke kjørte WordPress CMS eller faktisk hadde MailPoet utvidelsen aktivert.
Referanser
http://securityaffairs.co/wordpress/26931/hacking/wordpress-mailpoet-flaw.html

Svakheter i Internet Explorer har hatt en økning på 100%

Bromium Labs har analysert svakheter i flere forskjellige programvarer fra de første seks måneden i 2014. I denne analysen har Bromium Labs kommet frem til at antall svakheter i Internet Explorer har økt med mer enn 100% siden 2013. Sikkerhetsforskerene bak rapporten forteller også det at det har vært en nedgang i antall 0-dagssvakheter i Java, men at både Internet Explorer og Flash har sett en økning i disse.
Referanser
http://www.net-security.org/secworld.php?id=17158 http://www.bromium.com/sites/default/files/bromium-h1-2014-threat_report.pdf

2014.07.24 - Nyhetsbrev

ISC melder om et kjekt triks mot Ransomware, og Apple QuickTime er sårbar for ekstern kodeeksekvering.

Windows Previous Versjon kan brukes mot Ransomware

SANS ICS melder om en lite triks som kan brukes mot Ransomware: Windows har en funksjon som heter "Previous Version", som en vanligvis bruker om en har slettet en fil eller gjort en modifikasjon som en ønsker å omgjøre. Men om Ransomware har kryptert viktige filer, kan det være en får tak i den ukrypterte versjonen via denne funksjonen.
Referanser
https://isc.sans.edu/diary/Windows+Previous+Versions+against+ransomware/18439

Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability

Apple QuickTime er sårbar for filer eller nettsteder som er utformet på en spesiell måte. Om en bruker åpner en slik side/fil, vil angriperen kunne klare å kjøre egen kode på den sårbare enheten. Det er ikke kommet ut en fiks for dette ennå.
Anbefaling
Ikke åpne filer eller nettsteder som du ikke kjenner opphavet til
Referanser
http://zerodayinitiative.com/advisories/ZDI-14-264/

2014.07.23 - Nyhetsbrev

Mozilla oppdaterer Firefox og Thunderbird, og Symantec Endpoint Protection Manager er sårbar mot bruteforce innlogging.

Mozilla oppdaterer Firefox og Thunderbird

Mozilla har nå gitt ut oppdatering for Firefox, Firefox ESR og Thunderbird. Den nye versjonen for Firefox, 31, skal ha fikset en del svakheter som gjorde det mulig for angripere å kjøre vilkårlig kode via systemet, blant annet via WebGL, gjennom et spesielt kodebiblotek. Thunderbird har også fått fikset en del slike svakheter også.
Referanser
http://www.us-cert.gov/ncas/current-activity/2014/07/22/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and https://www.mozilla.org/security/known-vulnerabilities/firefox.html https://www.mozilla.org/security/known-vulnerabilities/thunderbird.html https://www.mozilla.org/security/known-vulnerabilities/firefoxESR.html

Symantec Endpoint Protection Manager sårbar mot bruteforce innlogging

Det er funnet en sårbarhet i web innloggingen til Symantec Endpoint Protection Manager. Sårbarheten går ut på at bruker innloggingen ikke hindrer automatisk innlogging ved bruk av CAPTCHA, og er derfor sårbar mot bruteforce-angrep.
Anbefaling
Anbefaler å oppdatere når ny versjon blir lagt ut.
Referanser
http://packetstormsecurity.com/files/127569/sepm-brute.txt

2014.07.22 - Nyhetsbrev

Open Wireless Router Firmware er lansert av EFF, og en ny malware sprer seg på Linux og FreeBSD-systemer.

"Mayhem" malwaren spres gjennom Linux og FreeBSD servere

Det er oppdaget en relativt ny malware, "Mayhem", sprer seg gjennom Linux og FreeBSD servere ved å bruke et PHP script. Den infiserer systemer som ikke er fullt oppdatert med dagens sikkerhets-oppdateringer. Ansatte ved den russiske Internett portalen Yandex har funnet 1400 infiserte maskiner.
Referanser
https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem http://www.theregister.co.uk/2014/07/18/malware_linux_freebsd_web_servers/

EFF utgav den 20. juli Open Wireless Router Firmware

EFF har lansert ett prøveprosjekt mot åpen ruter-firmware som er designet for å være et sikrere og mer fleksibelt alternativ til de eksisterende programvarene som kjører på hjemme- og småbedrifts-ruterne. Prosjektet baserer seg på at folk kan bidra ved utvikling og feilsøking av kildekoden som ligger tilgjengelig via Github.
Referanser
https://www.eff.org/deeplinks/2014/07/building-open-wireless-router http://threatpost.com/eff-releases-open-wireless-router-firmware/107331

2014.07.21 - Nyhetsbrev

Det er oppdaget alvrolige svakheter i både Advantech WebAccess og en rekke SoHo-routere fra Cisco. I tillegg har en gruppe cyber-kriminelle blitt arrestert etter rumensk og fransk politi har raidet flere lokasjoner.

Rumensk cyber gruppe tatt av Europol

Europol melder at en gruppe med cyber-kriminelle, bestående for det meste av rumenske statsborgere, har blitt stoppet etter at rumensk politi og fransk politi raidet flere lokasjoner. Europol forklarer at gruppen har stått bak mange angrep ved å bruke RAT (Remote Access Tool) med key-loggere for å ta over maskiner som de da brukte til å overføre penger med. Dette har skjedd for det meste i hele Europa, med fokuser rundt Norge, Østerrike, Belgia, Tyskland og Storbritannia.
Referanser
https://www.europol.europa.eu/content/international-network-romanian-cybercriminals-dismantled

Advantech WebAccess Remote Code Execution Vulnerability

Det finnes flere svakheter i Advantech WebAccess, hvor disse kan bli utnyttet av en angriper til å eksekvere kode på sårbare maskiner. Advantech har slippet ut oppdatering som fikser dette.
Anbefaling
Oppdatere programvaren
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-14-251

Svakhet i Cisco SoHo rutere

Cisco advarer om at det er kritisk svakhet i deres SoHo (small office/home office) rutere. Denne svakheten kommer av hvordan ruterene håndetere HTTP forespørseler. Cisco forteller at denne svakheten gjør det mulig for angripere å sende en spesiell HTTP forespørsel som fører til at enheten kræsjer og gir mulighet til å kjøre vilkårlig kode. Svakheten kan finnes i disse enhetene: DPC3212, DPC3825 8x4 DOCSIS 3.0, EPC3212, EPC3825 8x4 DOCSIS 3.0, DPC3010 DOCSIS 3.0 8x4, DPC3925 8x4 DOCSIS 3.0, DPQ3925 8x4 DOCSIS 3.0, EPC3010 DOCSIS 3.0 og EPC3925 8x4 DOCSIS 3.0. Cisco anbefaler å oppdatere så fort som mulig.
Anbefaling
Cisco anbefaler å oppdatere så fort som mulig.
Referanser
http://www.v3.co.uk/v3-uk/news/2356126/cisco-warns-of-critical-security-hole-in-soho-routers

2014.07.18 - Nyhetsbrev

11 000 systemer infisert av Pushdo trojaner i løpet av 24 timer. Flere sårbarheter i Apache Web server er fikset. Hackere fikk i 2010 nesten kontroll over NASDAQ.

11 000 systemer infisert av Pushdo trojaner på 24 timer

Trojaneren Pushdo har, ifølge Bitdefender, infisert 11 000 systemer i løpet av 24 timer. Trojaneren blir brukt som spam distributør, hvor selve spammingen blir utført av komponenten Cutwail som regelmessig blir installert på den kompromitterte klienten.
Referanser
http://labs.bitdefender.com/2014/07/new-pushdo-variant-surfaces/ http://www.theregister.co.uk/2014/07/17/pushdo_trojan_outbreak/

Hackere hadde nesten fått kontroll over NASDAQ

I 2010 hadde noen hackere med god erfaring brukt minst to zero-day exploits til å få tilgang til nettverket til NASDAQ. I flere måneder fikk de plassert ut skadelig malware for å lage kaos i nettverket.
Referanser
http://arstechnica.com/security/2014/07/how-elite-hackers-almost-stole-the-nasdaq/

Sårbarheter i Apache Web server fikset

Fem sårbarheter i Apache Web server har blitt fikset. Blant disse var to sårbarheter kategorisert som alvorlige, pga mulig DoS, og to som moderate. Den siste sårbarheten kunne utnyttes til å forårsake buffer overflow, og i enkelte tilfeller føre til ekstern kodeeksekvering.
Anbefaling
Oppdater til siste versjon.
Referanser
https://httpd.apache.org/security/vulnerabilities_24.html http://threatpost.com/five-vulnerabilities-fixed-in-apache-web-server/107278

2014.07.17 - Nyhetsbrev

Det er funnet en svakhet i Bitdefender GravityZone, Arbor rapporter om 100 DDoS hendelser på over 100 GB/s hittil i år, og i følge FBI infiserer botnet 18 systemer hvert sekund.

Over 100 DDoS hendelser på over 100 GB/s i år.

Arbor Networks rapporterer at det har vært over 100 angrep som har vært større enn 100 GB/s så langt i år. Det blir nevnt at det har vært dobbelt så mange angrep på over 20 GB/s sammenlignet med året 2013.
Referanser
http://www.net-security.org/secworld.php?id=17123 http://www.hacksurfer.com/posts/more-than-100-ddos-attacks-over-100-gb-slash-sec-in-2014-so-far-arbor-networks

Botnet infiserer 18 systemer hvert sekund ifølge FBI

Assisterende direktør hos FBI, Joseph Demarest, sier at botnet har medført tap på over ni milliarder amerikanske dollar for amerikanske ofre, og over 110 milliarder dollar globalt. Det nevnes også at 500 millioner maskiner blir infisert i året. Han forteller videre at FBI utvikler nye teknologier og løsninger for å kunne mitigere den økende trenden, men sier samtidig at det må bli tettere samarbeid mellom politi, det offentlige og de private sektorene.
Referanser
http://www.v3.co.uk/v3-uk/news/2355596/botnets-infecting-18-systems-per-second-warns-fbi

Sårbarhet funnet i Bitdefender GravityZone

Sårbarhet funnet i Bitdefender GravityZone (Endpoint Protection Manager), som kan gi angripere tilgang til produktets database. Dette gjør at angriperne får full tilgang til plattformen, og gir de mulighet til videre angripe andre tilkoblede produkter (Endpoints). Bitdefender siste patch retter kun deler av denne sårbarheten.
Anbefaling
Oppdatert til siste versjon, selv om det ikke retter svakheten 100%
Referanser
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20140716-3_Bitdefender_GravityZone_Multiple_critical_vulnerabilities_v10.txt http://www.theregister.co.uk/2014/07/17/flaws_found_in_bitdefender_enterprise_endpoint_manager/

2014.07.16 - Nyhetsbrev

Oracle har retter 20 feil i Java, Google har lansert Project Zero, en ny banktrojaner er oppdaget og det er funnet en svakhet i AD som lar en angriper skifte passord på brukere. I tillegg har noen stjelt en million passord fra CNET, myndighetene i USA vil ha e-poster lagret i Europa og LibreSSL (lansert i går) er utrygt å bruke på Linux, inntil videre.

CNET kompromitert av russiske hackere

I følge Nakedsecurity skal CNET ha blitt kompromitert i løpet av helgen som førte til at angriperne stjal 1 million e-postadresser, brukernavn og krypterte passord til nettstedet. CNET rapporterer at W0rm, gruppa som står bak angrepet, ikke har noen planer om å dekryptere passordene eller selge informasjonen da gruppen kun gjorde dette for oppmerksomhet.
Referanser
http://nakedsecurity.sophos.com/2014/07/15/cnet-website-and-1-million-passwords-compromised-by-russian-hacker-group

Svakhet i Active Directory lar angripere endre passord

Et svakhet i Active Directory lar angripere endre passord til brukere, og det påståes at dette skjer uten å bli loggført. Angrepet fungerer ved at et program blir kjørt for å stjele en NTLM hash fra brukerens maskin, og angriperen tvinger AD til å bruke en lavere kryptering, deretter utnytter denne svakheten for å så få muligheten til å endre passord på brukeren. I følge sikkerhetsforskerene som fant dette sa Microsoft ikke så dette som en svakhet, men at det var en del av Active Directorys design.
Referanser
http://www.darkreading.com/active-directory-flaw-lets-attackers-change-passwords/d/d-id/1297298

LibreSSL er utrygt å bruke på Linux

I gårsdagens nyhetsbrev nevnte vi at LibreSSL kom ut med sin første offisielle versjon. Arstechnica melder nå om at sikkerhetsforskere har funnet svakheter i LibreSSL som gjør den utrygt å bruke på Linux. Svakheten skal innebære en feil i PRNG (Pseudo Random Number Generator) som LibreSSL bruker for å generere nøkler. Sikkerhetsforskeren forklarte at han hadde funnet tilfeller hvor LibreSSL PRNG vil føre til at den genererer to eller tre like nøkler når den kjører på Linux systemer.
Referanser
http://arstechnica.com/security/2014/07/only-a-few-days-old-openssl-fork-libressl-is-declared-unsafe-for-linux/

Google annonserer Project Zero

Google har nå annonsert Project Zero, som er en gruppe sammensatt av dyktige hackere som har en spesiell oppgave: Finne svakheter i produkter før andre. De skal for det meste lete etter 0-dagssvakheter og de begrenser seg ikke kun til Google sine produkter.
Referanser
http://googleonlinesecurity.blogspot.no/2014/07/announcing-project-zero.html http://www.wired.com/2014/07/google-project-zero/

Regjeringen i USA krever at Microsoft gir over e-post som er lagret i utlandet

Regjeringen i USA sier at enhver bedrift som opererer innenfor USAs egne grenser må overgi data de har lagret også utenfor landegrensene, om det det forlanges av regjeringen. Dette fører til at Microsoft må overgi e-poster som er lagret i deres datasenter i Irland, noe Microsoft ikke er villig til å gjøre.
Referanser
http://arstechnica.com/tech-policy/2014/07/obama-administration-says-the-worlds-servers-are-ours/

Ny bank trojaner, Kronos, fra Russland

Eksperter fra Trusteer har nylig oppdaget en ny bank trojaner fra Russland. Kronos har blitt avantert på et russisk undergrundsforum.
Referanser
http://securityaffairs.co/wordpress/26649/cyber-crime/kronos-trojan-underground.html

Oracle har utgitt oppdateringer for Java.

Oracle har oppdatert Java, hvor de tetter 20 sikkerhetshull, hvor åtte av disse er svært alvorlige. Noen av disse sikkerhetshullene kan utnyttes til å eksekvere kode fra eksternt ståsted uten autorisering.
Anbefaling
Oppdater systemene til den nyeste versjonen. (Java 7 Update 65 eller Java 8 Update 11)
Referanser
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html#AppendixJAVA http://krebsonsecurity.com/2014/07/java-update-patch-it-or-pitch-it/

2014.07.15 - Nyhetsbrev

Det britiske spionbyrået GCHQ viser seg å kunne manipulere meningsmålinger på Internett, myndighetene i USA advarer å bruke felles-maskiner på hoteller og Oracle retter en rekke svakheter i sine programmer. I tillegg er LibreSSL ute i første versjon, trojaneren Zeus er kanskje tilbake og Cisco har rettet en fire år gammel svakhet i sine produkter.

Det britiske spionbyrået GCHQ manipulerer meningsmålinger på Internett

Det har kommet frem at det britiske spionbyrået GCHQ har verktøy som kan manipulere meningsmålinger og forandre på andre typer statistikker på nettet for å påvirke populæriteten/oppfatningen. Artikkelen hevder også at de kan sensurere innhold som blir regnet som ekstremt.
Referanser
https://firstlook.org/theintercept/2014/07/14/manipulating-online-polls-ways-british-spies-seek-control-internet/

USA sikkerhets tjeneste har gitt ut advarsel mot bruk av hotell datamaskiner.

USA's Secret Service og Department of Homeland Security’s National Cybersecurity and Communications Integration Center (NCCIC) har gitt ut advarsel for bruk av datamaskiner på hoteller. Grunnen for dette er at det viser seg at hackere kan ha installert key-logger på disse datamaskinene.
Referanser
http://securityaffairs.co/wordpress/26623/cyber-crime/keylogger-hotel-business-centers.html

Gameover ZeuS botnet trojaneren kan være tilbake

Seks uker etter at den ble tatt ned etter en FBI-aksjon, er en ny variant av bank trojaneren Gameover ZeuS tilbake. Trojaneren blir nå brukt til å etablere et zombie-nettverk, som sprer seg via spamkampanjer. Peter Kruse, fra det danske sikkerhetsselskapet CSIS, har estimert at rundt 1000 maskiner var infisert med den nye varianten fredag 11. juli.
Referanser
http://www.theregister.co.uk/2014/07/14/gameover_zeus_botnet_back/

Oracle gir ut oppdateringer 15 juli

Oracle gir ut oppdateringer tirsdag 15. juli som skal fikse 113 sikkerhetshull i diverse programvare og verktøy. Blant disse oppdateringen fikse 29 svakheter i Orcale's Fusion Middleware suite, hvor 27 av disse kunne utnyttes til å få tilgang over et nettverk uten passord og brukernavn. 20 oppdateringer skal også fikse svakheter i Java SE. Oracle forteller samtidig at de vil fortsette å oppdatere Java 7 for Windows XP, til tross for at Microsoft har EOL for Windows XP.
Referanser
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html http://www.theinquirer.net/inquirer/news/2355118/oracle-to-plug-113-security-holes-in-july-critical-patch-update

Cisco med ny oppdatering for 4 år gammel svakhet

Cisco har kommet ut med ny oppdatering som fikset en 4 år gammel svakhet som går ut på hvordan Apache Struts2 behandlet kommandoer gjennom Object-Graph Navigation Language. Det har kommet oppdateringer for alle produkter utenom Business Edition 3000 produktene.
Referanser
http://www.theregister.co.uk/2014/07/14/apache_patch_cisco_catches_up_with_ancient_struts2_vuln/

LibreSSL ute med første versjon

OpenBSD Foundation har gitt ut deres første versjon av LibreSSL, som skal operere på en rekke flere plattformer utover OpenBSD.
Referanser
http://threatpost.com/first-version-of-libressl-debuts/107185

2014.07.14 - Nyhetsbrev

Forskere har oppdaget svakheter i en rekke populære passordprogrammer.

Forskere har oppdaget svakheter i populære passordprogrammer

Forskere ved Berkeley-universitetet har undersøkt og oppdaget feil i seks populære passordprogrammer. Alle svakhetene er oppdaget i den delen av programmet som kjører i nettleseren. Rapporten inneholder også en gjennomgang av flere scenarier.
Referanser
http://devd.me/papers/pwdmgr-usenix14.pdf http://www.theregister.co.uk/2014/07/14/popular_web_password_vaults_blurting_codes/ http://www.itavisen.no/nyheter/passord-programmer-har-grove-feil-245661

2014.07.11 - Nyhetsbrev

En 17-åring fra Bergen tilstår de omfattende DDOS angrepene på tirsdag. Securelist har skrevet en artikkel om populære DDOS trojanere for Linux. Windows oppdatering blokkerer falske sertifikater.

17 åring tilstår omfattende DDOS angrep mot norske virksomheter

En 17-åring ifra Bergen skal ha blitt pågrepet, og skal ha tilstått de omfattende DDOS angrepene mot norske virksomheter på tirsdag.
Referanser
http://www.digi.no/929566/17-aaring-tilstaar-tidenes-ddos-angrep http://www.dagbladet.no/2014/07/10/nyheter/datakriminalitet/dataangrep/innenriks/34291503/

Windows oppdatering blokkerer Google, Yahoo SSL sertifikater

Windows har sluppet en nød-oppdatering for å blokkere falske Google og Yahoo SSL sertifikater.
Referanser
http://arstechnica.com/security/2014/07/emergency-windows-update-revokes-dozens-of-bogus-google-yahoo-ssl-certificates/

En artikkel om DDoS trojanere for Linux

Mikhail Kuzin hos Securelist har skrevet en artikkel som ser nærmere på populære DDoS trojanere for Linux.
Referanser
https://securelist.com/analysis/publications/64361/versatile-ddos-trojan-for-linux/

2014.07.10 - Nyhetsbrev

Google skal ha fikset en feil som kunne lekke brukeres filer til 3. part.

Sikkerhetshull i Google Drive

Google har når fikset sikkerhetshull i Google Drive som lekket brukerens filer.
Referanser
nakedsecurity.sophos.com/2014/07/10/google-drive-security-hole-leaks-users-files/

2014.07.09 - Nyhetsbrev

Massive DDoS-angrep rammer norske bank- og finansselskaper, telekom-operatører og flyselskaper. Microsoft har sluppet 6 oppdateringer for blant annet Windows og Internet Explorer. Adobe har sluppet en oppdatering til Flash for flere plattformer. Google melder at en tredjepart har fått utstedt sertifikater for flere Google-domener gjennom en indisk sertifikatutsteder.

Adobe oppdaterer Adobe Flash Player

Adobe har sluppet oppdatering for Adobe Flash Player. Oppdateringen omfatter alle plattformer og retter 3 svakheter. Svakhetene er rangert som kritiske.
Referanser
http://helpx.adobe.com/security/products/flash-player/apsb14-17.html

Microsoft har sluppet oppdateringer for juli

Microsoft slapp i går kveld 6 oppdateringer som retter 27 svakheter. To av oppdateringene er rangert som kritiske og omfatter Internet Explorer og Microsoft Windows.
Referanser
https://technet.microsoft.com/library/security/ms14-jul

Google-sertifikater utstedt til 3.part

Google melder at en indisk sertifikatutsteder har utstedt sertifikater for flere Google-domener til en tredjepart. Dette ble gjort 2. juli, men alle ble tilbakekalt 3. juli da utstederen og indiske myndigheter ble informert om dette. Indiske myndigheter etterforsker saken, men har ikke gitt ut noen informasjon om hvordan en 3.part kunne få utstedt disse sertifikatene.
Referanser
http://googleonlinesecurity.blogspot.no/2014/07/maintaining-digital-certificate-security.html

Massive DDoS-angrep rammer norske bank- og finansselskaper, telekom-operatører og flyselskaper

DNB, Norges Bank, Nordea og flere andre finansselskaper ble i går rammet av omfattende tjenestenektangrep. Angrepene rettet seg også mot Telenor, Netcom og flyselskapene SAS, Norwegian og Widerøe. Grupperingen Anonymous Norway tar på seg ansvaret for angrepene, og sier de ble utført som en protest mot det de mener er myndighetenes manglende fokus på IT-sikkerhet.
Referanser
http://www.digi.no/929531/flere-banker-rammet-av-massivt-angrep http://www.digi.no/929538/derfor-angriper-vi http://www.dn.no/nyheter/naringsliv/2014/07/09/0937/norges-bank-bekrefter-dette-har-ingen-klart-for http://www.dn.no/nyheter/2014/07/08/2218/dataangrep-mot-norske-flyselskaper

2014.07.08 - Nyhetsbrev

Flere amerikanske tenketanker som jobber med utenrikspolitiske sikkerhetsspørsmål skal i forrige måned ha blitt kompromittert av en kinesisk hackergruppe kalt "Deep Panda".

Amerikanske "tenketanker" angrepet og kompromittert av den kinesiske hackergrupperingen "Deep Panda"

Iflg. en bloggpost fra Crowdstrike skal flere amerikanske tenketanker som bl.a. jobber med utenrikspolitiske sikkerhetsspørsmål i juni ha blitt kompromittert av den kinesiske grupperingen kalt Deep Panda, som antas å være statsstøttet.
Referanser
http://www.darkreading.com/chinese-attackers-targeting-us-think-tanks-researchers-say/d/d-id/1279178 http://www.crowdstrike.com/blog/deep-thought-chinese-targeting-national-security-think-tanks/index.html

2014.07.07 - Nyhetsbrev

Analyse av den lekkede XKeyScore-koden fra NSA tyder på at den kan være delvis forfalsket. 900 000 danske personnumre lå fritt tilgjengelig på nett i en time. Rapport viser økning i antall phishing-sider på nett i år. Sårbarhet i Facebooks SDK for Android og iOS kan gi tredjepartsprogrammer tilgang til kontoen.

Den lekkede XKeyScore-koden fra NSA kan være falsk.

Robert Graham skriver i sin blogg om hvordan den lekkede kildekoden til XKeyScore trolig er delvis falsk, eller i det minste tuklet med.
Referanser
http://blog.erratasec.com/2014/07/validating-xkeyscore-code.html

900 000 danske personnumre på avveie.

I over en time lå det ute en liste med navn og personnummer på danske borgere som hadde verget seg mot reklame i postkassa. Lekkasjen ser ut til å skyldes en feil hos en IT-leverandør til det danske Økonomi- og innenriksdepartementet.
Referanser
http://borsen.dk/nyheder/generelt/artikel/1/286225/900000_danskeres_cpr-numre_lagt_frit_frem.html http://www.forbes.com/sites/davelewis/2014/07/04/900000-danish-social-security-numbers-leaked/

Økning i phishing-aktivitet første kvartal 2014

Anti Phishing Working Group (APWG) melder at antall phishingsider på nettet har steget med 10% i 1. kvartal i år, sammenlignet med samme periode i fjor. 125,215 unike falske websider er registrert. Om lag halvparten av disse rettet seg mot finansielle tjenester.
Referanser
http://securityaffairs.co/wordpress/26375/cyber-crime/apwg-phishing-q1-2014.html

Kritisk sårbarhet i Facebook SDK til Android og IOS

Det er oppdaget en sårbarhet i Facebooks SDK, omtalt som "Social Login Session Hijacking". Sårbarheten består i at SDK-et lagrer sesjonsnøkkelen på en usikker måte, slik at den kan være tilgjengelig for alle apper som har lesetilgang til filområdet på telefonen.
Anbefaling
Sårbarheten gjelder bare dersom man benytter tredjeparts-apper som lar en autentisere via Facebook. Inntil sårbarheten er rettet anbefales man å logge inn i slike apps via egen konto hos tredjeparten.
Referanser
http://securityaffairs.co/wordpress/26348/hacking/facebook-sdk-flaw-exposes-smartphone-users-accounts-risk.html thehackernews.com/2014/07/facebook-sdk-vulnerability-puts.html

2014.07.04 - Nyhetsbrev

Google har blokkert tilgang til epost uten rettsordre. NSA flagger brukere som søker etter verktøy som kan skjule aktiviteten deres på nettet. Internettleverandører leverer rettslig klage mot GCHQ. Microsoft har gitt ut forhåndsvarsel for oppdateringer i juli.

Google har blokkert tilgang til epost uten rettsordre

Google har på oppfordring av Goldman Sachs blokkert tilgangen til en epost med sensitiv informasjon som ble sendt feil. Da Goldman Sachs først tok kontakt, ville ikke Google slette eposten uten en rettsordre. De har nå blokkert tilgangen til e-posten for brukeren som har fått den sendt til sin konto.
Referanser
http://arstechnica.com/business/2014/07/goldman-sachs-google-blocked-access-to-that-mis-sent-e-mail/

Å søke etter Tor eller operativsystemet TAILS setter deg på NSAs overvåkingsliste

Det har blitt lekket angivelig kildekode til XKeyscore-programmet som NSA bruker for å drive overvåking på Internett. I kildekoden har det blitt funnet kode som flagger personer som bor utenfor USA og som søker opp Tor eller TAILS for videre overvåking.
Referanser
http://daserste.ndr.de/panorama/aktuell/NSA-targets-the-privacy-conscious,nsa230.html http://arstechnica.com/tech-policy/2014/07/report-rare-leaked-nsa-source-code-reveals-tor-servers-targeted/ http://www.digi.no/929485/nsa-overvaaker-de-mest-sikkerhetsbevisste

Microsoft gir ut forhåndsvarsel for oppdateringer for juli

Microsoft har nå gitt ut forhåndsvarsel for oppdateringer som kommer neste uke. Totalt er det seks oppdateringer, der to er kritiske og tre er viktige. Disse oppdateringene er for Microsoft Windows og Internet Explorer.
Referanser
http://blogs.technet.com/b/msrc/archive/2014/07/03/advance-notification-service-for-the-july-2014-security-bulletin-release.aspx

Internettleverandører leverer rettslig klage mot GCHQ

Syv internettleverandører, fra USA, Storbritannia, Nederland og Sør-Korea, har levert en rettslig klage mot Storbritannias etterretningstjeneste GCHQ angående angrep på nettverksinfrastruktur. Klagen blir levert med bakgrunn i avsløringer fra Edward Snowden.
Referanser
http://www.bbc.com/news/technology-28106815

2014.07.03 - Nyhetsbrev

Kritisk svakhet i Wordpress utvidelsen Mailpoet. F-Secure analyserer sammenhengen mellom MinuDuke og Cosmu. Det finske utenriksdepartementet har blitt hacket av utenlandsk statlig aktør. Cisco informerer om hardkodet SSH-bakdør i Unified Communications. NSM slipper ny kvartalsrapport. Microsoft frigir No-IP domener.

Kritisk svakhet i WordPress-utvidelsen MailPoet

Brukere av den populære WordPress-utvidelsen MailPoet anbefales å oppdatere øyeblikkelig grunnet en svakhet som tillater en angriper å ta over nettsider som bruker utvidelsen uten noen form for autentisering.
Referanser
http://threatpost.com/critical-vulnerability-in-wordpress-plugin-could-allow-site-takeover/106980

Microsoft frigir No-IP addresser

Microsoft gir tilbake kontrollen over domener til No-IP. Disse domenene tok Microsoft kontroll over tidligere i uken.
Referanser
http://www.forbes.com/sites/thomasbrewster/2014/07/02/microsoft-gives-up-control-of-no-ip-websites-it-wiped-off-the-web/

Det Finske utenriksdepartementet hacket to ganger.

Det finske utenriksdepartementet har to ganger blitt utsatt for avansert hacking. Dette rapporterer Supo, som tilsvarer PST i Norge. Supo sier at en utenlandsk statlig aktør står bak dette avanserte angrepet som har vært vanskelig å oppdage.
Referanser
http://yle.fi/uutiset/secret_services_cyber_spies_twice_penetrated_foreign_ministry/7334589

CosmicDuke, sammenhengen mellom MiniDuke og Cosmu

F-Secure analyserer og ser på likhetstrekk mellom bakdøren MiniDuke og malware-familien Cosmu. Gjennbruk av kode og samtidig oppdatering tyder på at det er en sammenheng mellom disse to.
Referanser
http://www.f-secure.com/weblog/archives/00002723.html

Ny kvartalsrapport fra Nasjonal sikkerhetsmyndighet

NSM har sluppet ny kvartalsrapport med oppdatert risikobilde.
Referanser
http://nsm.stat.no/aktuelt/ny-kvartalsrapport-fra-nasjonal-sikkerhetsmyndighet/

SSH-bakdør i Cisco Unified Communications

Cisco varsler kunder med Unified Communications installasjoner om at de har en hardkodet bakdør via SSH i sine systemer. Denne er kodet i software og er lik på alle systemer. Dette gir ekstern bruker mulighet til å logge på som root-bruker.
Anbefaling
Oppdatere med patch og begrense SSH tilgang til sårbare systemer.
Referanser
http://www.theregister.co.uk/2014/07/02/cisco_you_cant_just_leave_your_ssh_keys_lying_around/

2014.07.02 - Nyhetsbrev

Det har vært et rolig døgn på nyhetsfronten.

Det er ingen nye saker siden sist.

2014.07.02 - Nyhetsbrev

Det har vært et rolig døgn på nyhetsfronten.

Det er ingen nye saker siden sist.

2014.07.01 - Nyhetsbrev

Symantec har en bloggpost ang. trusselaktøren Dragonfly som bl.a. kan knyttes til Havex trojaneren og spionasje mot vestlig kraftbransje. NATO oppdaterer sine cyberforsvar-retningslinjer. Microsoft tar ned nesten 4 millioner domener tilhørende no-ip.com for å bekjempe 18400 malware-relaterte subdomener. Apple oppdaterer OS X, iOS, AppleTV og Safari.

Symantec: Trusselaktøren Dragonfly holder på med en stor cyber spionasje kampanje mot bl.a. vestlig kraftbransje.

Symantec har publisert en bloggpost der de ser mer på Havex-trojaneren og aktøren bak, kalt Dragonfly. For mer informasjon om Havex, Dragonfly og angrep mot bl.a. europeisk kraftbransje se også vårt nyhetsbrev fra 24.6.
Referanser
http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat

NATO oppdaterer sine cyberforsvar-retningslinjer

På bakgrunn av at cybertrusler har blitt en vanlig del av internasjonale konflikter har NATO oppdatert sine retningslinjer ifht. cyberforsvar.
Referanser
http://www.zdnet.com/nato-updates-cyber-defence-policy-as-digital-attacks-become-a-standard-part-of-conflict-7000031064/

Microsoft tar ned nesten 4 millioner domener tilhørende no-ip.com for å bekjempe botnett

Mandag morgen iverksatte Microsoft en "takedown" av rundt 4 millioner subdomener tilhørende no-ip.com, en leverandør av dynamiske domenenavn. Microsoft har fått rettens godkjenning til å ta midlertidig kontroll over 22 domener tilhørende no-ip.com for å kunne ta ned omlag 18000 subdomener som iflg. Microsoft er relatert til botnet og malware. Det var angivelig meningen at Microsoft skulle filtrere ut og bare blokkere de omlag 18000 malware-relaterte domenene, men iflg. no-ip.com er ikke dette tilfellet, bl.a. fordi Microsoft's systemer ikke klarer å håndtere trafikkmengden relatert til oppslag av no-ip domener.
Referanser
http://krebsonsecurity.com/2014/07/microsoft-darkens-4mm-sites-in-malware-fight/ https://www.noip.com/blog/2014/06/30/ips-formal-statement-microsoft-takedown/

Apple gir ut oppdateringer til OS X, iOS og AppleTV

Apple har gitt oppdateringer til OS X, iOS, AppleTV og Safari. Oppdateringene retter en rekke sikkerhetsfeil, og det anbefales å oppdatere.
Anbefaling
Oppdater til siste versjon.
Referanser
http://support.apple.com/kb/HT6281 http://support.apple.com/kb/HT1222