2015.01.30 - Nyhetsbrev

Kripos og Arbor Networks er ute med rapporter som sier noe om trusselbildet på nett. Zeus-trojaneren og ZeroAccess-botnettet er stadig trusler for PC-er verden over. Kina iverksetter strengere regler for vestlige selskaper som skal levere programvare og IT-utstyr i landet. Amerikanske forskere jobber med kognitive fingeravtrykk.

Kvartalsrapport fra Arbor Networks: 400 Gbps DDoS-angrep

Arbor Networks er ute med ny kvartalsrapport om DDoS-angrep, basert på informasjon samlet inn fra hele verden. Rapporten inneholder blant annet en undersøkelse blant 300 kunder, hvor 38% svarer at de nå ser mer enn 21 DDoS-angrep i måneden. Det rapporteres også om et angrep rapportert fra en tredjepart på rundt 400 Gbps. Dette skal være det største DDoS-angrepet som er observert til nå.
Referanser
http://www.arbornetworks.com/resources/infras[...] http://krebsonsecurity.com/2015/01/the-intern[...] http://www.techworld.com/news/security/worlds[...]

Trendrapport fra Kripos: Hovedutfordringer innen digital kriminalitet

Kripos' trendrapport for 2015 er ute, med antatte hovedutfordringer for 2015. Blant disse nevnes dataspionasje mot både nasjonale interesser, bedrifter og privatpersoner. Det blir også mer svindel og ID-tyverier over nettet. Politiet tror antall tradisjonelle lovbrudd vil synke.
Referanser
http://www.vg.no/nyheter/innenriks/politi-hve[...] https://www.politi.no/vedlegg/lokale_vedlegg/[...]

Ny avansert variant av Zeus-trojaneren

Security Affairs har en artikkel om en ny variant av bank-trojaneren Zeus. Trojaneren har nye måter å skjule seg på, samt et avansert kontrollpanel.
Referanser
http://securityaffairs.co/wordpress/32875/cyb[...]

ZeroAccess-botnettet gjenoppstår

Botnettet ZeroAccess ble hovedsaklig benyttet til click-fraud frem til det ble tatt ned av Microsoft i 2013. Det rapporteres nå at botnettet er tilbake i gammel form.
Referanser
http://www.zdnet.com/article/click-fraud-zero[...]

Autentisering via gjenkjennelse av bruksmønster

Forskere tilknyttet det amerikanske forsvaret jobber med å utvikle et rammeverk for såkalte biometriske fingeravtrykk, basert på unike bruksmønster av en enhet. Måten musepekeren beveges, bruk av tastatur og touch-skjerm er med på å differensiere en bruker fra en annen. Tanken er at dette kan bli en erstatter eller supplement til passord, men kan også misbrukes til overvåking av aktivitet på nettet.
Referanser
https://uk.finance.yahoo.com/news/military-si[...]

Nye IT-sikkerhetsregler i Kina

Utenlandske selskaper som selger programvare og IT-utstyr til kinesiske banker må nå overlevere kildekode for gjennomgang. Det må også bygges inn bakdører i programvare slik at myndighetene kan overvåke kommunikasjon. Det spekuleres i at de nye reglene kan skyldes frykt for spionasje fra vestlige land og kan ha til hensikt å gjøre det vanskeligere for vestlige aktører å konkurrere med kinesiske selskaper.
Referanser
http://www.nytimes.com/2015/01/29/technology/[...]

2015.01.29 - Nyhetsbrev

Bloggen Insinuator beskriver hvordan IPv6 extension headers og fragmenter kan misbrukes for å omgå Cisco IPv6 aksesslister.

En ny angrepsmetode rettet mot bedrifter krypterer filer på web-servere, og krever deretter løsepenger. Angrepet har fått navnet "RansomWeb"

Omgåelse av IPv6 aksesslister på Cisco routere.

Bloggen Insinuator beskriver hvordan IPv6 extension headers og fragmenter kan misbrukes av angripere for å omgå IPv6 aksesslister (ACLs) på Cisco routere.
Referanser
http://www.insinuator.net/2015/01/evasion-of-[...]

RansomWeb: Ny utpressingsmedtode rettet mot bedrifter

forbes.com bringer nyheten om en ny trend innen datakriminalitet. Angrepet har fått navnet "RansomWeb", og går ut på å kompromittere web servere til bedrifter, kryptere web-sidene og deretter kreve løsepenger av de berørte selskapene for å frigi dekrypteringsnøkler.
Referanser
http://www.forbes.com/sites/thomasbrewster/20[...]

2015.01.28 - Nyhetsbrev

Siste døgns svakheter omtalt i dagens nyhetsbrev omhandler en kritisk svakhet i biblioteket glibc og telefonen BlackPhone. Apple er også ute med oppdatering til OS X Yosemite. Kaspersky har gjort undersøkelser som viser at NSA sin QWERTY-malware trolig er en komponent til trojaneren Regin. Det er også verdt å nevne at Arbor er ute med sin årlige rapport om sikkerhetstrusler og at bloggeren Haroon Meer (thinkst) har skrevet et interessant blogginnlegg om NSA og hvorfor ingen oppdaget noe før Snowden kom med sine avsløringer. Til slutt tar vi med at videotjenesten Youtube nå har gått over til å bruke HTML5 som standard i stedet for Flash.

Kritisk svakhet i glibc kalt Ghost

En kritisk svakhet i GNU C Library (glibc), som berører de fleste Linux distribusjoner, gjør det mulig for en angriper å kjøre ondsinnet kode på et sårbart system. Sårbarheten "Ghost" ble forøvrig patchet for to år siden, men de fleste produksjonssystemer fremdeles sårbare, siden patchen ikke ble regnet som en sikkerhetspatch. Svakheten ligger i gethostbyname*()-funksjonen som brukes ved DNS-oppslag. Firmaet Qualys har laget en demonstrasjon av svakheten som fungerer mot e-post-serveren Exim på Linux der de også omgår flere andre sikkerhetsmekanismer i systemet.
Referanser
http://arstechnica.com/security/2015/01/highl[...] https://community.qualys.com/blogs/laws-of-vu[...]

Europeisk rapport om masseovervåkingen

Europarådets parlamentariske forsamling har gitt ut en rapport hvor de beskriver masseovervåkingen som utføres av USA og UK som en trussel mot menneskerettighetene.
Referanser
http://www.theguardian.com/world/2015/jan/26/[...]

YouTube går over til å bruke HTML5-video som standard

Google, som lenge har jobbet med å kvitte seg med Adobe Flash, mener nå at HTML5 video er klar for jobben og setter det nå som standard. Flash har i det siste vært plaget med mange sikkerhetsproblemer.
Referanser
http://arstechnica.com/gadgets/2015/01/youtub[...]

Apple har sluppet oppdatering for OS X Yosemite

Apple har sluppet den andre, store oppdateringen av OS X Yosemite, OS X 10.10.2, siden lanseringen. Oppdateringen adresserer flere problemer for WiFi, sikkerhet og personvern.
Referanser
http://arstechnica.com/apple/2015/01/apple-re[...]

Thinkst tenker rundt NSA-hackingen

I et nytt blogginnlegg prøver thinkst å finne svaret på hvorfor NSA i liten grad ble avslørt før Snowden-lekkasjene. Blant annet kommer det fram at de kan gjemme data for eksfiltrering i vanlig brukte protokoller. Dataene kan så bli hentet ut fra et av de mange passive sniffe-punktene som NSA har tilgang til over hele verden.
Referanser
http://blog.thinkst.com/p/if-nsa-has-been-hac[...]

Arbor har utgitt sin årlige rapport om DDoS-angrep

Arbor har gitt ut sin årlige Worldwide Infrastructure Security Report. Her tar de for seg utviklingen innen DDoS-angrep det siste året. Angrepene øker både i frekvens, størrelse og kompleksitet. Nesten halvparten av større bedrifter ble utsatt for DDoS-angrep i fjor.
Referanser
http://www.arbornetworks.com/resources/infras[...]

Snowden-dokumenter viser angivelig at Regin er skrevet av NSA

Tidligere i år publiserte Spiegel.de en stor artikkel basert på Edward Snowdens avsløringer der fokuset var på NSA sin satsing på og bruk av cybervåpen. Artikkelen var basert på flere dokumenter og kildekode til malware som den gang ble døpt QWERTY. Det russiske sikkerhetsselskapet Kaspersky har sammenlignet QWERTY med annen kjent malware og funnet ut at denne antakeligvis er en keylogger-komponent til Regin. Regin har vært kjent i ti år og skal ha blitt brukt angrep mot en rekke land, blant annet Tyskland, Belgia, Brazil og India. Den er kjent for å inneholde funksjonalitet spesielt rettet mot å hente ut informasjon.
Referanser
http://www.spiegel.de/media/media-35668.pdf http://www.spiegel.de/international/world/reg[...] http://securelist.com/blog/research/68525/com[...]

Kritisk svakhet i BlackPhone

BlackPhone er en Android-basert telefon med høyt fokus på sikkerhet. Den skal blant annet ta i bruk ende til ende kryptering for SMS og for telefonsamtaler. En minnekorrupsjonssvakhet i BlackPhone sin meldings-applikasjon kan gjøre det mulig for en angriper å få tilgang til dekryptering av meldinger, lokasjonsinformasjon osv. Angrepet krever ikke at brukeren gjør noe aktivt og kan enkelt utføres ved å sende en spesielt utformet melding til den sårbare telefonen. Alt en trenger for å utnytte svakheten er telefonnummeret eller SilentCircle-brukernavnet til offeret. Svakheten er nå patchet.
Anbefaling
Oppdater til siste versjon av SilentCircle. Prosjektet ligger på github: https://github.com/SilentCircle
Referanser
http://blog.azimuthsecurity.com/2015/01/black[...]

2015.01.27 - Nyhetsbrev

Nedetid i diverse sosiale medier etter interne endringer hos Facebook. Kinesisk nettsensur fører antakeligvis til DoS-angrep.

Nedetid i diverse sosiale medier etter interne endringer hos Facebook

Tirsdag morgen var det nedetid hos flere sosiale medier, blant annet Facebook og Instagram. Lizard Squad var raske til å ta på seg skylden for nedetiden, men dette er nå dementert av Facebook. De sier nedetiden skyldtes en feil hos dem som skjedde under konfigurasjonendringer.
Referanser
http://www.bbc.com/news/technology-30996928 http://www.theverge.com/2015/1/27/7920161/fac[...]

Kinesisk nettsensur fører antakeligvis til DoS-angrep.

The Pirate Bays torrent-tracker, som ble lagt ned i 2009, har gjenoppstått i en slags zombie-tilstand. Den gamle DNS-adressen til trackeren blir fortsatt inkludert i mange gamle og nye torrents. Adressen til trackeren er blant nettstedene som blir sensurert av Kinas Internett-brannmur. Denne brannmuren returnerer mer eller mindre tilfeldige IP-adresser ved oppslag mot sensurerte domener. I henhold til kommentarer til artikkelen blir dette gjort for å unngå automatiske systemer som skal omgå sensuren. Trafikken mot The Pirate Bay sin torrent-tracker og andre sensurerte sider, generer store mengder trafikk mot tilfeldige adresser og kan noen ganger se ut som et DDoS-angrep. Flere nettsider har nå begynt å stenge trafikk fra Kina som en konsekvens av dette.
Referanser
http://torrentfreak.com/zombie-pirate-bay-tra[...] http://furbo.org/2015/01/22/fear-china/

2015.01.26 - Nyhetsbrev

Adobe har sluppet oppdatering som fikser kritisk Flash-svakhet som blir aktivt utnyttet. Datatilsynet kritisk til mobilregulerte soner. Malaysia Airlines hacket av Lizard Squad. Symantec skriver om gruppen Scarab som i hovedsak angriper russisk-talende.

Malaysia Airlines sin nettside har blitt hacket av Lizard Squad

Hovedsiden til Malaysia Airlines har blitt hacket av Lizard Squad. Malaysia Airlines hevder at web-serverne i seg selv ikke har blitt kompromittert. Hackerne har mest sannsynlig fått endret DNS-innslaget til web-siden til å peke på sin egen server. Lizard Squad står fra før av bak tallrike innbrudd og DDoS-angrep, spesielt mot spillsider.
Referanser
http://www.theguardian.com/world/2015/jan/26/[...] http://www.cnn.com/2015/01/25/asia/malaysia-a[...]

Gruppe som Symantec kaller Scarab angriper russisk-talende

Symantec skriver på sin blogg om en gruppe de kaller Scarab. Gruppen ser ut til å i hovedsak angripe russisk-talende personer, i og utenfor Russland. Angrepene ser ut til å være veldig rettet, og angriper ifølge Symantec gjerne bare en håndfull personer av gangen.
Referanser
http://www.symantec.com/connect/blogs/scarab-[...]

Datatilsynet kritisk til mobilregulerte soner

Datatilsynet skriver kritisk om et nytt lovforslag som kan gi politiet utvidede muligheter til å sette opp falske basestasjoner.
Referanser
http://www.datatilsynet.no/Nyheter/2015/Svart[...]

Adobe har fikset 0-dags svakheten i Flash Player

Adobe har rettet 0-dags-svakheten som ble oppdaget forrige uke, som kunne brukes til å kjøre vilkårlig kode på en sårbar klient. I første omgang rulles denne ut via Adobes automatiske oppdateringssystem, og vil i løpet av uken bli tilgjengelig som manuell nedlastning.
Anbefaling
Slå på "autoamtisk oppdatering" i Flash Player.
Referanser
http://blogs.adobe.com/psirt/?p=1160 https://isc.sans.edu/forums/diary/Stealth+Upd[...]

2015.01.23 - Nyhetsbrev

Adobe har sluppet en sikkerhetsoppdatering for Flash Player. Oppdateringen fikser imidlertid ikke gårsdagens omtalte 0-day svakhet i nevnte produkt.

Snowden-dokumenter avslører at Kina skal ha stjålet omlag 50 terabytes med data relatert til jagerfly-teknologi fra det amerikanske forvaret og deres underleverandører.

Det spekuleres i om FBI i første halvdel av 2014 benyttet en ukjent svakhet i TOR-nettverket til å få identifisert bakmennene bak nettsteder for omsetning av narkotiske stoffer.

Fujitsu Laboratories utvikler verktøy for å identifisere brukere som er sårbare for cyberangrep.

Adobe har sluppet sikkerhetsoppdatering for Flash Player

Adobe slapp i går en sikkerhetsoppdatering for en sårbarhet i Flash Player. Oppdateringen fikser et en feil som lot en angriper unngå minne-randomisering. Merk at denne oppdateringen ikke fikser gårsdagens omtalte 0-dags sårbarhet. En oppdatering som tetter denne svakheten er planlagt utgitt i løpet av neste uke.
Referanser
http://helpx.adobe.com/security/products/flas[...] https://www.us-cert.gov/ncas/current-activity[...] http://blogs.adobe.com/psirt/?p=1160

Kina skal ha stjålet 50TB med data fra forsvaret i USA

I følge lekkede Snowden-dokumenter skal Kina, iflg. NSA, ha klart å stjele rundt 50 Terabytes med data fra det amerikanske forsvaret og deres underleverandører, inkl. detaljert informasjon om flytypene f-35, B-2 og F-22.
Referanser
http://worldtribune.com/life/nsa-china-ripped[...] http://freebeacon.com/national-security/nsa-d[...]

FBI bak angrep mot TOR-nettverket?

nrk.no publiserte i går en artikkel der det spekuleres i om FBI i perioden januar - juli 2014 hadde tilgang til, og benyttet, en ukjent svakhet i anonymiseringsnettverket TOR til å avsløre bakmennene bak bl.a. omsetningssentraler for narkotika som befant seg i TOR-nettverket.
Referanser
http://www.nrk.no/verden/fbi-kan-sta-bak-angr[...] http://arstechnica.com/tech-policy/2015/01/di[...]

Fujitsu Laboratories utvikler verktøy for å identifisere brukere som er sårbare for cyberangrep

Fujitsu Laboratories utvikler et verktøy som skal identifisere og rådgi personer som er sårbare for cyberangrep, basert på hvordan de bruker epost, nettlesere og hvordan de bruker tastatur og mus. Programmet er utviklet med tanke på at de fleste cyberangrepene utnytter feil som brukere gjør, f.eks. ved å klikke på ondsinnede linker.
Referanser
http://www.itworld.com/article/2873875/fujits[...]

2015.01.22 - Nyhetsbrev

Ny Zero-Day svakhet i Adobe Flash. MS SQL server kan brukes til å forsterke trafikk fra DDoS-angrep.

Zero-day svakhet funnet i Adobe Flash

Sikkerhetsforsker Kafeine har oppdaget en ny zero-day svakhet i Adobe Flash Player som utnyttes gjennom Angler Exploit Kit. Svakheten blir med andre ord allerede utnyttet aktivt til å spre malware. Det finnes foreløpig ikke noe patch for systemer som er sårbare. Berørte systemer: - Windows XP (IE6-IE8, Flash 16.0.0.257) - Windows 7 (IE8, Flash 16.0.0.257) - Windows 8 (IE10 med Windows8-RT-KB3008925-x86, Flash 16.0.0.235) Ikke berørte: - Win 8.1 fullt oppdatert - Chrome
Anbefaling
Oppdatere Internet Explorer og Flash til siste versjon.
Referanser
http://malware.dontneedcoffee.com/2015/01/unp[...] https://blog.malwarebytes.org/exploits-2/2015[...]

MS-SQL server benyttes i DDoS-angrep

Ved å spørre en MS SQL server om status-informasjon over UDP på port 1434, har man opplevd å få opp til 440 ganger så mye informasjon i retur. Dette benyttes til å forsterke DDOS-angrep. Denne svakheten ble første gang sett utnyttet i desember 2014.
Anbefaling
For å unngå at din MS SQL server blir benyttet som forsterker i et DDOS angrep kan disse portene sperres i brannmur.
Referanser
http://kurtaubuchon.blogspot.no/2015/01/mc-sq[...]

2015.01.21 - Nyhetsbrev

Oracle er ute med oppdateringer for januar. Stort erstatningskrav mot 17-åring etter omfattende DDoS mot norske selskaper i sommer. Cisco har publisert sin årlige sikkerhetsrapport for 2015.

Oracle har sluppet oppdateringer for Januar

Oracle har publisert oppdateringer for Januar. Oppdateringene er rangert som kritiske og retter 169 svakheter og omfatter en rekke produkter, bl.a. Oracle Database Server og Oracle Fusion Middleware. Blant oppdateringene finner vi også en fiks for Java SE som retter den tidligere omtalte POODLE-svakheten.
Referanser
https://blogs.oracle.com/security/entry/janua[...] http://www.oracle.com/technetwork/topics/secu[...] http://news.softpedia.com/news/Oracle-Address[...]

Stort erstatningskrav mot 17-åring etter DDoS i sommer

En 17-åring utførte i sommer store DDoS-angrep mot flere norske selskaper som Telenor, Sparebanken Vest, Netcom, Telia Sonera, DNB, Nordea, Sparebank 1, Storebrand, Gjensidige, Norges Bank, SAS og Norwegian. Flere av selskapene krever nå erstatning for utgifter i forbindelse med angrepene og kravene kan komme opp i en halv million kroner. 17-åringen har innrømmet forholdene og sier han prøvde å sette fokus på sårbarheter i samfunnet.
Referanser
http://www.ba.no/_sane_gutt__17__f_r_gigantkr[...]

Cisco har sluppet sin årlige sikkerhetsrapport for 2015

Cisco har sluppet sin årlige sikkerhetsrapport for 2015 som redegjør for trendene i sikkerhetslandskapet for året som har vært. Blant annet fremheves det en trend hvor flere sikkerhetsansvarlige ikke oppdaterer systemene sine. Videre trender viser at spam har hatt en drastisk økning de siste året og at Silverlight fremtrer som en populær plattform for utnyttelse av svakheter.
Referanser
http://www.cisco.com/web/offer/gist_ty2_asset[...] http://threatpost.com/report-companies-still-[...]

2015.01.20 - Nyhetsbrev

Spredning av ransomware ved hjelp av spam-eposter. Arstechnica analyserer LizardSquad's Lizard Stresser.

Spredning av ransomware ved hjelp av spam-eposter

Det spres for tiden mange spam-eposter med malware som fører til at PCer blir infisert av ransomware/utpressingsprogramvare. E-posten gir seg ut for å inneholde en fax pakket inn i en zip-fil. Det er imidlertid malware som gjemmer seg i zip-filen. Dersom denne startes, lastes ransomware-programmet ned og alle dokumenter på PCen krypteres. Vær forsiktig med å åpne vedlegg i e-poster.
Referanser
http://blog.malcovery.com/blog/ctb-locker-the[...]

Arstechnica analyserer LizardSquad's Lizard Stresser

Lizard Stresser, en nettside som tilbyr å utføre DDoS-angrep mot penger, har nylig blitt hacket og fått deres database lagt ut på Internett. Arstechnica har gått igjennom dataeneog analysert hva slags data som er i databasen. De har blant annet funnet ut hva slags personer som kjøper slike ulovlige tjenester og hvem som har blitt angrepet.
Referanser
http://arstechnica.com/security/2015/01/a-hac[...]

2015.01.19 - Nyhetsbrev

Google og Microsoft er uenige om offentliggjøring av 0-dagssårbarheter. Problematisk for pressen å skrive om hendelser i det digitale rom. Avsløringer viser angivelig at USA ruster opp mot digital krigføring, og skal ha brutt seg inn i Nord-Koreanske systemer allerede i 2010.

Google publiserer info om flere 0-dags svakheter i Windows

For andre gang på kort tid har Google publisert informasjon om svakheter i Windows før Microsoft har rukket å gi ut en patch. Google mener 90 dager er mer mer enn nok tid, men Microsoft ønsker å kunne utsette oppdateringer til neste patchetirsdag når det oppdages kompatibilitetsproblemer eller lignende. De to svakhetene som er publisert denne gang er ikke kritiske, og det er ikke kjente angrepsvektorer for dem.
Referanser
https://code.google.com/p/google-security-res[...] http://arstechnica.com/information-technology[...]

Utfordrende for media å dekke cyber-hendelser

BBC har en artikkel om utfordringene ved å dekke hendelser i det digtale rom. Hendelsene er som oftest umulige å se, og det er vamskelig å stille parter til ansvar når en ikke vet hvem som står bak.
Referanser
http://www.bbc.com/news/technology-30813585

Nye dokumenter skal vise hvordan NSA ruster opp for digital krigføring

Der Spiegel publiserer nye Snowden-dokumenter som angivelig viser hvordan NSA ruster opp for digital krigføring. Dokumentene omhandler alt fra kontroll av botnett til bruk av egenutviklede systemer for overvåking og dekryptering av nettverkstrafikk. Hensikten skal være å få kontroll over så mye trafikk som mulig for å kunne forutse og selv utføre angrep.
Referanser
http://www.spiegel.de/international/world/new[...] http://arstechnica.com/information-technology[...]

USA hacket Nord-Korea før Sony-angrepet

I etterkant av Sony-angrepet uttalte Obama at det var "ingen tvil" om at det var Nord-Korea som står bak. Eksperter mener at det nødvendigvis må være kunnskap samlet inn under tidligere datainnbrudd i Nord-Koreanske systemer som måtte ligge til grunn for denne konklusjonen. Kritikere påpeker imidlertid at det ikke ville være umulig for en annen angriper å skjule sine spor ved å fremstå som nettopp Nord-Korea.
Referanser
http://www.nytimes.com/2015/01/19/world/asia/[...] http://www.vg.no/nyheter/utenriks/usa/new-yor[...]

2015.01.16 - Nyhetsbrev

Terrorangrepene i Paris fører til økt ondsinnet aktivitet på nett. Nytt lovforslag mot cyberkriminalitet i USA kan medføre at det blir forbudt å etterforske eller rapportere om det dersom et selskap lekker data om kundene sine.

Amerikansk lovforslag vil forby henting eller spredning av fritt tilgjengelig informasjon på nett

Amerikanske myndigheters nye offensiv mot cyberkriminalitet, som skal presenteres under Obamas SOU-tale neste uke, inneholder forslag som vil gjøre det forbudt å aksessere og spre ikke-autorisert informasjon på nett, til tross for at det ligger fritt tilgjengelig. Mange frykter at det i praksis kan bli forbudt å avdekke og etterforske datalekkasjer i USA.
Referanser
http://www.wired.com/2015/01/president-obama-[...]

Siden 7. Jan har 19 000 franske nettsider blitt angrepet

Siden skyteepisoden i Paris den 7. Jan, har rundt 19 000 franske nettsider blitt angrepet, de fleste ved hjelp av DDoS. Angrepene er utført av grupperinger som Middle East Cyber Army, Fallaga team og Cyber Caliphate.
Referanser
http://www.darkreading.com/in-wake-of-violenc[...] http://www.usatoday.com/story/tech/2015/01/15[...]

Hashtaggen #jesuischarlie misbrukes til spredning av malware

Opportunistiske kriminelle har de siste dagene benyttet hashtaggen #jesuischarlie i sosiale medier til å spre linker som leder til installasjon av RAT-verktøyet DarkComet. Den store trafikken mot hashtaggen er perfekt for de som ønsker å infisere flest mulig maskiner og dermed utvide størrelsen på et botnett.
Referanser
http://www.cbronline.com/news/jesuischarlie-e[...]

2015.01.15 - Nyhetsbrev

Mer om TOR-alternativet I2P. Ny rapport: For dårlig datasikkerhet hos DHS i USA.

Mer om TOR-alternativet I2P

I det siste har mange TOR-brukere og nettsteder på TOR blitt avslørt av myndighetene. Det går derfor rykter om at TOR kan ha grunnlegende ukjente svakheter som gjør den usikker. Den siste varianten av nettstedet Silk Road og utpressingsprogramvaren CryptoLocker bruker i stedet anonymiseringstjenesten I2P. Dette er en enklere tjeneste enn TOR.
Referanser
http://arstechnica.com/information-technology[...] http://www.theregister.co.uk/2015/01/15/crypt[...]

Ny rapport: For dårlig datasikkerhet hos DHS i USA

Ny rapport viser at praksis og programmer vedrørende datasikkerhet hos DHS (Department of Homeland Security, USA) er så dårlig at de mest sannsynlig ikke vil klare å beskytte verken staten eller befolkningen mot angrep. Rapporten viser at de også feiler på grunnleggende kunnskap om datasikkerhet.
Referanser
http://www.zdnet.com/article/new-report-the-d[...]

2015.01.14 - Nyhetsbrev

Microsoft og Adobe er ute med sine månedlige sikkerhetsoppdateringer. Dell SecureWorks har oppdaget bakdør for Active Directory.

Microsoft har sluppet oppdateringer for januar

Microsoft slapp i går kveld 8 oppdateringer som retter 8 svakheter. Én av oppdateringene er rangert som kritisk og gjelder en svakhet i Telnet.
Referanser
https://technet.microsoft.com/en-us/library/s[...]

Adobe med sikkerhetsoppdatering til Flash Player

I går kveld slapp Adobe en sikkerhetsoppdatering som retter 9 sårbarheter i Adobe Flash Player. Disse sårbarhetene er rangert som kritiske og skal ha gjort det mulig for en angriper å ta kontroll over systemet.
Referanser
http://helpx.adobe.com/security/products/flas[...]

Dell SecureWorks har oppdaget bakdør for Active Directory

Dell Secureworks har oppdaget en bakdør for Active Directory-servere som de har kalt Skeleton Key. Malwaren lastes inn i minnet på serveren og forsvinner ved neste reboot. Den gir brukere tilgang til administrator-kontoer uten at de trenger å bruke passord. Angriperne må fra før ha fått administrator-tilgang til serveren for å installere bakdøren.
Referanser
http://www.secureworks.com/cyber-threat-intel[...]

2015.01.13 - Nyhetsbrev

The Next Web mener at sikkerheten i Twitter er for dårlig. Det konservative partiet i UK vil forby sikre chatte-apps. Blue Coat forteller om hvordan små enheter kan brukes til DDoS. Twitter og Youtube-kontoene til CENTCOM hacket av ISIS-supportere.

The Next Web mener at sikkerheten i Twitter er for dårlig

The Next Web har en artikkel om at sikkerheten i Twitter for organisasjoner, der flere brukere benytter seg av samme konto, er for dårlig. Det er for eksempel ikke mulig å tilegne flere brukere til den samme kontoen, eller å gi forskjellige tilganger. Alle må benytte den samme innloggingen og passordet. I det siste har mange firmaer og organisasjoner mistet kontrollen oevr Twitter-kontoen sin.
Referanser
http://thenextweb.com/twitter/2015/01/12/slew[...]

Det konservative partiet i UK vil forby sikre chatte-apps

Etter angrepene i Paris tar statsministeren i UK, David Cameron, til orde for å forby chatte-programmer der myndighetene ikke kan få tilgang til kommunikasjonen. Han mener at risikoen ved at terrorister kan bruke disse til å planlegge angrep, uten at myndighetene oppdager det, er for stor. Cameron lover å gjennomføre dette dersom han blir gjenvalgt. Chatte-systemer som kan bli forbudt ved den nye loven er f.eks. iMessage, TextSecure og Telegram. Alle disse programmene skal ha ende-til-ende kryptering uten bakdører for myndigheter.
Referanser
http://www.bbc.com/news/uk-politics-30778424 http://arstechnica.com/tech-policy/2015/01/uk[...]

Blue Coat forteller om hvordan små enheter kan brukes til DDoS

Blue Coat, et amerikansk sikkerhetsselskap, forteller om hvordan en honeypot de satte opp, fort ble kompromittert av malware ved å kun være åpen mot Internett. Personen bak artikkelen, Waylon Grange, forteller at han satt opp en lite system som kjørte en veldig minimalistisk versjon av Linux på en ARM-prosessor, noe som er vanlig for mange enheter som er koblet til Internett. Dette gjelder f.eks. rutere, web-kamera, elektronikk i huset osv. Såkalte embedded devices. Grange hadde gjort denne enheten veldig usikker med vilje, da han håpte på at han kunne se hva slags type malware som var designet for å ta over slike enheter. I løpet to uker ble enheten kompromittert fra over 150 unike IP-addresser, fra tre forskjellige botnet-familier. Mange av disse botnettene sprer seg ved å scanne etter andre sårbare enheter fra allerede kompromitterte dingser. Formålet med å kompromittere slike enheter er veldig ofte å utnytte disse til å utføre DDoS-angrep. Les mer i artikkelen om hvordan enheten ble kompromittert.
Referanser
https://www.bluecoat.com/security-blog/2015-0[...]

Twitter og Youtube-kontoene til CENTCOM hacket av ISIS-supportere

Twitter og Youtube kontoen til U.S. Central Command (CENTCOM), ble igår hacket av hackere som støttet ISIS. Hackerne brukte denne sjansen til å spre propaganda om ISIS via CENTCOM sine tweets og YouTube-filmer. I etterkant av dette satte GSA (General Services Administration) i gang en sjekk av alle statlige sosiale media kontoer. Det ble også sluppet tips for å høyne sikkerheten og respondere på eventuelle innbrudd i kontoer til sosiale medier. I en pressemelding fra CENTCOM opplyses det at ingen klassifiserte opplysninger ble lekket. CENTCOM har nå kontroll over kontoene sine igjen.
Referanser
http://www.buzzfeed.com/buzzfeednews/us-milit[...] http://www.buzzfeed.com/evanmcsan/federal-gov[...] http://tablet.dagbladet.no/2015/01/12/nyheter[...] http://arstechnica.com/security/2015/01/real-[...] http://www.centcom.mil/en/news/articles/state[...]

2015.01.12 - Nyhetsbrev

Oppsummering av nyhetsbildet for desember. Adware og malware i gratisprogrammer. Lizard Stresser utnytter kompromitterte hjemmerutere. Danmark oppretter avdeling for cyberangrep

Oppsummering av nyhetsbildet for desember

Oppsummering av nyhetsbildet innen datasikkerhet for desember med blant annet mer info om DDoS-angrepene fra LizardSquad.
Referanser
http://telenorsoc.blogspot.no/2015/01/oppsumm[...]

Adware og malware i gratisprogrammer

Nettstedet How-To Geek har prøvd å installere de ti mest populære programmene fra download.com for å se hva som skjer med PCen. Resulatet er ikke veldig oppløftende, og viser hvor lett det er å få infisert PCen sin med en mengde uønskede programmer som prøver å presse deg for penger.
Referanser
http://www.howtogeek.com/198622/heres-what-ha[...]

"Lizard Stresser" utnytter kompromitterte hjemmerutere

"Lizard Squad", som ble omtalt i vårt nyhetsbrev tidligere angående DDoS-angrep mot Playstation Network og Xbox Live i romjulen, har sagt at angrepene var for å reklamere for deres nye tjeneste, "Lizard Stresser". Tjenesten skal blant annet benytte kompromitterte hjemmerutere for å generere angreps-trafikken. Spredning skal skje blant annet ved å benytte seg av standardpassord på sårbare enheter. Infiserte enheter vil skanne etter nye enheter, og på den måten spre seg videre.
Referanser
http://krebsonsecurity.com/2015/01/lizard-str[...]

Danmark oppretter avdeling for cyberangrep

Danmark har fra før av en avdeling for cyberforsvar. Ytterligere penger er nå bevilget for også å opprette en avdeling for cyberangrep. $74 millioner er satt i budsjettet for 2015-2017 for å bygge opp og drive avdelingen. Den nye avdelingen skal ligge under Forsvarets Efterretningstjeneste.
Referanser
http://www.defensenews.com/story/defense/poli[...]

2015.01.09 - Nyhetsbrev

OpenSSL er ute med viktige oppdateringer. Microsoft gjør endringer i sin tjeneste for forhåndsvarsling av sikkerhetsoppdateringer.

Microsoft endrer forhåndsvarsling av sikkerhetsoppdateringer

Microsoft annonserer erndringer i Advance Notification Service, også kjent som forhåndsvarsel til patchetirsdag. I mer enn et tiår har Microsoft annonsert web hvilke oppdateringer som vil komme til deres produkter første tirsdag i måneden. Fra nå av vil dette kun tilbys til Premier-kunder eller organisasjoner involvert i deres sikkerhetsprogrammer. Microsoft legger også vekt på at tjenesten myBulletins vil erstatte mye. Her kan kunder legge til egen programvare og få varsel om relevante oppdateringer til denne.
Referanser
http://blogs.technet.com/b/msrc/archive/2015/[...]

Oppdateringer for OpenSSL

OpenSSL har sluppet oppdateringer som retter 8 svakheter. To av svakhetene er rangert som "moderate" og kan potensielt tillate en tredjepart å utføre et DoS (Denial of Service) angrep.
Referanser
https://www.openssl.org/news/secadv_20150108.txt

2015.01.08 - Nyhetsbrev

F-Secure skriver om sammenhegen mellom MiniDuke, CosmicDuke og OnionDuke. Ny teknikk omgår privatmodus i nettlesere.

Sammenhengen mellom MiniDuke, CosmicDuke og OnionDuke

F-Secure skriver om sammenhegen mellom MiniDuke, CosmicDuke og OnionDuke. F-Secure konkluderer med at russiske myndigheter står bak disse angrepene, noe mange tidligere også har antatt.
Referanser
https://www.f-secure.com/weblog/archives/0000[...]

Ny teknikk omgår privatmodus i nettlesere

Websider kan utnytte den nye "HTTP Strict Transport Security"-mekanismen til å omgå privatmodus i nettlesere. Dermed kan man likevel i noen tilfeller spores når man surfer i safe-mode. FireFox har sluppet versjon 34.0.5 der svakheten er utbedret ved at HSTS-data ikke deles mellom vanlig og privatmodus. Heller ikke IE er sårbar, da den ikke har implementert HSTS enda. Chrome og Safari er sårbare.
Referanser
http://arstechnica.com/security/2015/01/brows[...]

2015.01.07 - Nyhetsbrev

Dark Mail ønsker å gjøre kryptering av epost til standard-opsjon.

Kaspersky Lab forsøker seg på spådommer innenfor APT-trender for 2015.

Dark Mail kryptert som standard

Ladar Levison ønsker å gjøre Dark Mail kryptert som standard. Den tidligere grunnleggeren av Lavabit, som i 2013 ble lagt ned i et forsøk på å unngå å måtte utgi brukeres epost til den amerikanske stat, driver nå med et nytt forsøk på å beskytte folks epost. Nevnte Dark Mail består blant annet av de to protokollene DMPT (Dark Mail Transfer Protocol) og DMAP (Dark Mail Access Protocol) og ønsket er at disse protokollene skal bli kryptert som standard.
Referanser
http://arstechnica.com/security/2015/01/lavab[...]

Kaspersky Lab spår trender innen APT for 2015

Sikkerhetsselskapet Kaspersky Lab spår trender innenfor APT for 2015. Stikkord her er oppsplitting av store trusselaktører i mindre grupper, videreutvikling av tekniske egenskaper til malware, mer bruk av skytjenester til dataeksfiltrering, større grad av APT-operasjoner som forsøker å seile under "falsk flagg", mer fokus på APT via mobile enheter, samt ytterligere oppblomstring av legale, kommersielle aktører som tilbyr programvare myntet for overvåking.
Referanser
http://securelist.com/analysis/kaspersky-secu[...]

2015.01.06 - Nyhetsbrev

Malware sprer seg ved hjelp av makroer i Office-produktene fra Microsoft.

Microsoft melder om økning i makro-virus

Microsoft melder om en fortsatt økning i malware som infiserer maskiner ved hjelp av makroer. Kjøring av makroer i Office-programmene fra Microsoft er slått av som standard, men brukeren blir lurt til å slå på igjen for kjøring av makroer. Malwaren kan dermed infisere maskinen. Ved å bruke makroer kan malware infisere maskiner som ellers har patchet alle sårbarheter. TSOC kan bekrefte trenden. I det siste har vi særlig sett spredning av trojaneren Dridex, som benytter seg av makroer.
Referanser
https://threatpost.com/microsoft-reports-mass[...] http://blogs.technet.com/b/mmpc/archive/2015/[...]

2015.01.05 - Nyhetsbrev

Google slipper info om en 0-dagssvakhet i windows 8.1. Flere Finske banker rammet av DDOS-angrep. USA har innført nye sanksjoner mot Nord-Korea etter Sony-angrep.

Flere Finske banker rammet av DDOS-angrep

Flere Finske banker har vært rammet av DDOS-angrep de siste dagene. En av de største Finske bankene har hatt problemer med sine tjenester fem dager på rad siden angrepene startet nyttårsaften.
Referanser
http://yle.fi/uutiset/ops_cyber_attack_not_ov[...] http://yle.fi/uutiset/police_investigate_op_p[...]

USA har innført nye sanksjoner mot Nord-Korea

President Barack Obama signerte fredag en ordre som innfører sanksjoner mot tre nordkoreanske organisasjoner og ti individer, som en respons på angrepet mot Sony Pictures Entertainment. Dette sies å være første gangen US har gått inn for å straffe et land for cyber-angrep mot et amerikansk selskap.
Referanser
http://www.bbc.com/news/world-us-canada-30661973

Google slipper info om 0-dagssvakhet i Windows 8.1

Google slipper detaljer og exploitkode om en 0-dagssvakhet i Windows 8.1 som Microsoft ble varslet om for 90 dager siden. Exploitkode er sluppet både som kildekode og som ferdig kompilert kjørbar fil.
Referanser
https://code.google.com/p/google-security-res[...] http://www.theregister.co.uk/2015/01/03/googl[...]

2015.01.02 - Nyhetsbrev

FBI etterforsker muligheten for at bedrifter utfører hacking som hevn.
Lizard Squad lanserer DDoS-verktøy og to påståtte medlemmer av denne gruppen skal ha blitt arrestert.

Lizard Squad lanserer kommersielt DDoS-verktøy

Angrepene Lizard Squad utførte mot Xbox Live og PlayStation Network i romjulen skal ha vært for å promotere sin nye, kommersielle tjeneste LizardStresser.
Referanser
http://www.theregister.co.uk/2015/01/02/lizar[...]

FBI etterforsker muligheten for at bedrifter utfører hacking som hevn

Sikkerhetsspesialister hevder at bedrifter ønsker å ta hevn etter angrep. Det har vært en økning i bedrifter som utforsker mulighetene for å hente tilbake stjålne data eller ta ned maskiner/servere som blir brukt av angripere. Dette har ført til at FBI etterforsker flere hendelser, blant annet om hackere ble leid inn for å ta ned servere som ble brukt i angrep mot nettsidene til store banker i fjor. J.J. Thompson, grunnlegger av Rook og administrerende direktør, sier at ingen forstår alle konsekvensene på grunn av fraværet av rettspraksis.
Referanser
http://www.bloomberg.com/news/2014-12-30/fbi-[...]

To påståtte medlemmer av Lizard Squad har blitt arrestert

Etter angrepene i romjulen mot Xbox Live og Playstation Networks, har to påståtte medlemmer av Lizard Squad blitt arrestert. Den ene er 22-årige Vinnie Omari fra Storbritannia og den andre er en 17-åring i Finland som går under navnet "Ryan".
Referanser
http://www.pcworld.com/article/2863927/two-al[...] http://krebsonsecurity.com/2014/12/lizard-kid[...]