2016.01.29 - Nyhetsbrev

OpenSSL slipper oppdatering som fikser en svakhet ved gjenbruk av primtall.

OpenSSL slipper oppdatering som fikser en svakhet grunnet gjenbruk av primtall

OpenSSL har sluppet en oppdatering som fikser en svakhet som kan føre til gjenbruk av usikre primtall ved nye sesjoner ved gitte innstillinger. Se OpenSSL advisory for detaljer.
Referanser
https://mta.openssl.org/pipermail/openssl-ann[...]

2016.01.28 - Nyhetsbrev

NSAs gruppe for datainnbrudd (TAO) kommer med gode råd, VirusTotal kan nå analysere fastvare (firmware) og tre ansatte hos TalkTalks call-center er arrestert.

NSAs gruppe for datainnbrudd (TAO) kommer med gode råd

Sjefen for NSAs TAO-gruppe (Tailored Access Operations) har kommet med gode råd for hvordan en kan unngå å få APT-hackere i nettet sit. Blant annet anbefaler han å kjenne nettet sitt godt, bruke white-listing av applikasjoner og å dele nettet inn i ulike soner. Han tilbakeviser også myten om at NSA og andre lignende organisasjoner ofte benytter seg av zero-day svakheter, da dette i de fleste tilfeller ikke er nødvendig. Les artikkelen for flere gode tips.
Referanser
http://www.theregister.co.uk/2016/01/28/nsas_[...]

VirusTotal kan nå analysere fastvare (firmware)

VirusTotal skriver i en blogpost at de nå aksepterer og analyserer fastvare, som f.eks EFI. Dette kommer som et resultat av flere rapporter og eksempler på ondsinnede fastvare som distribueres på Internett.
Referanser
http://blog.virustotal.com/2016/01/putting-sp[...]

Tre ansatte hos TalkTalks call-center er arrestert

Det britiske teleselskapet TalkTalk ble i oktober utsatt for et angrep der detaljerte kundedata om 157.000 kunder ble stjålet. Tre ansatte i firmaet Wipro i India har nå blitt arrestert, etter at politiet fikk opplysninger om policy-brudd. TalkTalk har benyttet seg av Wipros tjenester. TalkTalk opplyser at dette er en ny sak og ikke har forbindelser til saken i oktober.
Referanser
http://www.bbc.com/news/technology-35425275

2016.01.27 - Nyhetsbrev

Israels energidepartement angrepet og Mozilla gir ut sikkerhetsoppdateringer.

Mozilla har gitt ut Firefox 44 og FireFox ESR 38.6

Mozilla har nå gitt ut Firefox 44, og med den fikses flere svakheter. I Firefox er det fikset tre kritiske svakheter som blant annet gjorde det mulig for angripere å ta over nettleseren. I Firefox ESR 38.6 er det fikset 2 kritiske svakheter som kunne føre til at applikasjonen kræsjet eller at angripere kunne gjøre arbitrær kildekode.
Referanser
https://www.mozilla.org/en-US/security/known-[...]

Israels energidepartement angrepet

Arstechnica rapporterer om at en underseksjon av Israels energidepartement har fått malware på flere PCer. Energiministeren i Israel forklarer at viruset har allerede blitt identifisert og at programvare for å nøytralisere dette allerede var forberedt. Han forsetter med å fortelle at de måtte slå av flere maskiner, hvor noen av dem har vært nede i to dager. Det er ingen indikasjoner på at Israels strømnett har blitt angrepet eller at angrepet har ført til nedetid på strømnettet. Noen snakker om at det er ransomware som har infisert maskinene.
Referanser
http://arstechnica.com/security/2016/01/israe[...]

2016.01.26 - Nyhetsbrev

Rettighetseskalering i Android-versjoner eldre enn versjon 5.1.

Rettighetseskalering i Android

En bloggpost redegjør detaljert for to feil i Android. Til sammen lar disse svakhetene en app eskalere sin rettigheter fra ingenting til samme rettigheter som media server-prosessen. Svakheten er rettet i Android versjon 5.1. For å utnytte svakheten må brukeren først lures til å installere en app som utnytter den.
Referanser
http://bits-please.blogspot.no/2016/01/androi[...]

2016.01.25 - Nyhetsbrev

Cisco rapporterer at mye nettverksutstyr er utdatert og fullt av sikkerhetshull. Fortinet-bakdør rammer flere av deres produkter. Sjef for NSA står fast på at sterk kryptering er fremtiden.

Cisco rapporterer at mye nettverksutstyr er utdatert og fullt av sikkerhetshull

Cisco har i en rapport avdekket at 92 prosent av 115 000 Cisco-enheter som er koblet til internett kjører med programvare som har kjente sårbarheter. Noe av forklaringen er gammelt og utdatert utstyr, men hovedårsaken er at enhetene ikke blir oppdatert med sikkerhetsfikser.
Referanser
http://www.digi.no/sikkerhet/2016/01/22/nettv[...] http://www.cisco.com/c/m/en_us/offers/sc04/20[...]

Fortinet-bakdør rammer flere av deres produkter

For to uker siden skrev vi om en SSH-bakdør i FortiOS som ble patchet allerede i 2014. Nå viser det seg at flere av Fortinets produkter har den omtalte SSH-bakdøren. Svakheten er fikset i siste tilgjengelige versjon for alle produktene, og det anbefales å oppdatere.
Referanser
http://www.theregister.co.uk/2016/01/23/thoug[...]

Sjef for NSA mener at sterk kryptering er fremtiden

Sjef for NSA, Michael S. Rogers, forteller at sterk kryptering er kommet for å bli, og at det er bortkastet tid å diskutere den saken. Spørsmålet, i følge han selv, er heller hvordan vi skal håndtere problemstillinger rundt kryptering.
Referanser
http://www.nbcnews.com/tech/security/nsa-chie[...]

2016.01.22 - Nyhetsbrev

Harman AMX multimedia har skjult demokonto med hardkodet passord. DDoS forstyrret billettautomatene til Irlands nasjonale lotteri. Google mener at sårbarhet i Linuxkjernen er ikke så alvorlig for Android-enheter likevel.

Harman AMX multimedia-enheter har hatt skjult demo-konto med hardkodet passord

Det er funnet en skjult konto med hardkodet passord som gjør at man kan få uautorisert tilgang til flere Harman AMX enheter. Harman AMX lager systemer for videokonferanser. Svakheten kan brukes til å få bred tilgang til enheten, inkludert web-basert styring og kommandolinjegrensesnitt. En hacker vil også være i stand til å fange opp trafikkdata og dermed også lyd og bilde.
Referanser
http://blog.sec-consult.com/2016/01/deliberat[...] http://money.cnn.com/2016/01/21/technology/am[...] http://www.pcworld.com/article/3025692/backdo[...]

DDoS forstyrret nettsiden og billettautomater for Irlands nasjonale lotteri

Ett DDoS-angrep skal ha forstyrret nettsiden og billettautomater for Irlands nasjonale lotteri. Angrepet skal ha forårsaket problemer i rundt to timer i forkant av lotteritrekningen. Ifølge en talsperson for det nasjonale lotteriet, skal trenkingen ha foregått som normalt til tross for angrepet i forkant.
Referanser
http://www.theregister.co.uk/2016/01/21/irish[...]

Google: Sårbarhet i Linux-kjernen ikke så alvorlig for Android

Sårbarheten det er snakk om er relatert til svakheter i Linux-kjernen som ble avdekket tidligere denne uken. Mange Android enheter kjører en eldre versjon kjernen, noe som ikke gjør dem sårbare. Nyere enheter har implementert SE-Linux (Security Enhanced Linux) som skal forhindre av svakheten blir utnyttet. Google har patchet svakheten og den vil sendes ut ii mars-sikkerhetsoppdateringen for Android.
Referanser
https://plus.google.com/+AdrianLudwig/posts/K[...] http://www.digi.no/sikkerhet/2016/01/21/mener[...]

2016.01.21 - Nyhetsbrev

ESET skriver om nye angrep mot kraftleverandører i Ukraina.

Nye angrep mot kraftleverandører i Ukraina

ESET har sett på ny malware som blir spredd til kraftleverandører i Ukraina. Denne gangen er det en annen type malware som blir sendt ut, basert på åpen kildekode. Ofrene blir kompromittert ved hjelp av Excel-filer med makroer.
Referanser
http://www.welivesecurity.com/2016/01/20/new-[...]

2016.01.20 - Nyhetsbrev

Både Oracle og Apple er ute med ny oppdateringer. Datatilsynet mener at Arbeidsgiver ikke leser private meldinger, på tross av ny europeisk dom. Det er oppdaget nye sårbarheter i Linux-kjernen og BIND. Linux-svakheten gjelder også nyere versjoner av Android.

Oracle har gitt ut nye oppdateringer

Oracle har nå gitt ut kritiske oppdateringer til Oracle Database, Java SE og Oracle E-Business Suite. Oracle anbefaler å oppdatere disse så fort som mulig. Oracle anbefaler også hjemmebrukere som bruker Java om å besøke Java sin hjemmeside for å sjekke at de har nyeste versjon.
Referanser
https://blogs.oracle.com/security/entry/janua[...]

Apple har gitt ut oppdateringer for iOS og OS X

Apple har gitt ut nye oppdatering som skal fikse flere svakheter. Disse svakhetene kan bli utnyttet av angripere for å ta over maskinen. Apple har gitt ut oppdateringer til følgende: iOS 9.2.1, OS X El Capitan 10.11.3, OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 og El Capitan 11.10 til 10.11.2 og Safari 9.0.3.
Referanser
https://support.apple.com/en-us/HT205732 https://support.apple.com/en-us/HT205731 https://support.apple.com/en-us/HT205730 http://arstechnica.com/apple/2016/01/ios-9-2-[...] http://arstechnica.com/apple/2016/01/apple-re[...]

Datatilsynet: Arbeidsgiver kan ikke lese private meldinger

En dom i den europeiske menneskerettighetsdomstolen sist uke godtok at arbeidsgiver leste de private meldingene til en arbeidstaker i Romania. Dommen gjaldt en sak der det var et eksplisitt forbud å bruke arbeidsgivers utstyr til private formål. Datatilsynet poengterer også at "når et land blir frifunnet for menneskerettsbrudd, trenger ikke andre land å gjøre sine nasjonale regler mindre strenge."
Referanser
http://www.dn.no/tekno/2016/01/19/1638/Arbeid[...]

Svakhet i Linux-kjernen

Perception Point Research Team har funnet en svakhet i Linux-kjernen som gjør det mulig for angripere å få lokale administrator-rettigheter. Denne svakheten finnes i versjon 3.8 og senere, samt i flere nyere Android-versjoner. Verken Perception Point eller sikkerhetsteamet til Linux-kjernen har sett noe utnyttelse av denne svakheten. Flere distribusjoner av Linux har allerede fått en oppdatering som skal fikse svakheten. Disse er blant annet Ubuntu og Debian. Redhat melder at Red Hat Enterprise 4 og 6 ikke har svakheten men at versjon 7 er sårbar og vil bli oppdatert. Nyere versjoner av Android er også sårbare, men innebygde sikkerhetsmekanismer som "supervisor mode access prevention", "supervisor mode execution protection" og "security enhanced Linux" skal gjøre det vanskeligere å utnytte svakheten. Perception Point mener imidlertid at det skal være mulig å omgå disse mekanismene.
Anbefaling
Oppdater så fort som mulig
Referanser
http://perception-point.io/2016/01/14/analysi[...] https://threatpost.com/serious-linux-kernel-v[...] https://access.redhat.com/security/cve/cve-20[...] http://arstechnica.com/security/2016/01/linux[...]

Sårbarheter i BIND kan føre til denial of service

Det er oppdaget sårbarheter i BIND som kan gjøre det enkelt å utføre DoS-angrep mot sårbare servere.
Anbefaling
Oppdater til siste versjon som er: BIND 9 version 9.9.8-P3, BIND 9 version 9.10.3-P3, BIND 9 version 9.9.8-S4.
Referanser
https://www.us-cert.gov/ncas/current-activity[...] https://kb.isc.org/article/AA-01335 https://kb.isc.org/article/AA-01336

2016.01.19 - Nyhetsbrev

Sofistikert phishing-angrep mot passordmanageren LastPass. Kiev Lufthavn rammet av skadevareangrep som lammet flytrafikken. Virus rammet datasystemet til Royal Melbourne sykehus. Roar Thon om tillit i det digitale rom.

LostPass: Phishingangrep mot LastPass

Sean Cassidy demonstrerer LostPass, et verktøy laget for å etterligne passordmanager-tjenesten Lastpass, hamstre brukernavn og passord og teste dem i sanntid. Dersom det benyttes 2-faktorautentisering vil dette fanges opp, og bruker lures til å også oppgi token fra f. eks Google Authenticator. Etter vellykket phishing-angrep kan angriper logge automatisk inn via LastPass-API-et og lage bakdør til seg selv som "trusted device". LastPass har gjort en del tiltak for å mitigere angrepet. Det kreves nå verifikasjon via e-post ved hvert forsøk på innlogging fra ukjente IP-adresser, slik at angriper ikke skal kunne logge inn. Imidlertid er det fortsatt risiko for at offeret godkjenner angripers IP-adresse i tro om at det er eget innloggingsforsøk som godkjennes.
Referanser
https://www.seancassidy.me/lostpass.html https://lastpass.com/support.php?cmd=showfaq&[...]

Kiev lufthavn utsatt for skadevare-angrep

CERT-UA bekrefter at Kievs Boryspil lufthavn ble utsatt for et skadevare-angrep forrige uke, hvor maskiner som kontrollerer flytrafikken ble rammet. I følge talspersoner skal skadevarens kommando- og kontrolltjener befinne seg i Russland. Det spekuleres nå omkring likheter med BlackEnergy-angrepet som rammet flere ukrainske strømleverandører i desember.
Referanser
http://www.reuters.com/article/us-ukraine-cyb[...] http://news.sky.com/story/1624871/kiev-airpor[...]

Virus rammet datasystemet til Royal Melbourne sykehus

Et virus har angrepet datasystemet til et av Melbournes største sykehus-nettverk og skaper kaos for ansatte og pasienter som kan resultere i forsinkelser. Personalet i nettverket Melbourne Helse, som drifter Royal Melbourne sykehus, sier de nå prøver å reparere skader på sine IT-system etter at viruset rammet Windows XP-datamaskiner.
Referanser
http://www.zdnet.com/article/virus-wreaks-hav[...] http://www.theage.com.au/victoria/royal-melbo[...]

Roar Thon om tillit i det digitale rom

Roar Thon deler noen tanker omkring bølgen av svindel-telefoner med forfalskede avsendernummer som foregår for tiden, hvorfor vi lar oss lure og hvordan vi mer effektivt kan kommunisere omkring dette.
Referanser
https://www.nsm.stat.no/blogg/et-sporsmal-om-[...]

2016.01.18 - Nyhetsbrev

Apple Gatekeeper svakhet ble ikke fikset i sikkerhetsoppdatering. MegalodonHTTP skaper ble arrestert i Kripos/Europool aksjon i forrige måned.

Apple Gatekeeper svakhet ikke fikset

I fjor ble det funnet en svakhet i Apple Gatekeeper som gjør det mulig for signerte applikasjoner å starte usignerte applikasjoner uten at brukeren varsles. Det viser seg nå at sikkerhetsoppdateringen som ble sluppet ikke fikser feilen, men kun blokkerer eksempelkoden som ble brukt til å demonstrere problemet. Apple sier at de jobber med en skikkelig fiks for problemet, men har i mellomtiden blokkert eksempelprogrammet.
Referanser
http://www.engadget.com/2016/01/15/apples-gat[...]

MegalodonHTTP skaper ble arrestert i Kripos/Europool aksjon i forrige måned

Damballa går på sin blogg ut og sier at de var medvirkende i operasjonen til Europool og Kripos der fem personer i alderen 16 til 24 år ble arrestert for datakriminalitet. Aksjonen skal ha vært relatert til skadevaren MegalodonHTTP, og dens skaper skal være blant en av de arresterte.
Referanser
https://www.damballa.com/megalodonhttp-author[...]

2016.01.15 - Nyhetsbrev

Russiske hackere trolig bak strømbrudd i Ukraina, iflg. Aftenposten.
Center for Cybersikkerhed i Danmark (CFCS) letter på sløret angående målrettede angrep mot to danske virksomheter i 2014-2015.
Sikkerhetshull i OpenSSH-klient kan utnyttes til å stjele privatnøkkel.

Russiske hackere trolig bak strømbrudd i Ukraina.

Aftenposten skriver i dag om dataangrepene mot flere strømleverandører i Ukraina den 23.desember som førte til massive strømbrudd i flere timer. Iflg. artikkelen er det mye som tyder på at angrepene er utført av en russisk hacker-gruppering kjent under navnet "Sandworm", og angrepene skal ha blitt utført vha. avansert ondsinnet programvare (malware) kjent under navnet "BlackEnergy 3".
Referanser
http://www.aftenposten.no/nyheter/uriks/De-sa[...] https://blogs.mcafee.com/mcafee-labs/updated-[...]

Center for Cybersikkerhed i Danmark (CFCS) letter på sløret angående målrettede angrep mot to danske virksomheter i 2014-2015.

Center for Cybersikkerhed i Danmark har gitt ut en rapport der de forteller i detaljer om to målrettede angrep mot et dansk it-hosting selskap og en av deres kunder. Angrepet er trolig utført av en statstøttet aktør, med spionasje for øye.
Referanser
https://fe-ddis.dk/cfcs/nyheder/arkiv/2016/Pa[...] https://fe-ddis.dk/cfcs/CFCSDocuments/Unders%[...]

Sikkerhetshull i klient-delen av OpenSSH

Det har blitt oppdaget et sikkerhetshull i OpenSSH klient versjon 5.4 til 7.1, som kan utnyttes av en ondsinnet server til å lese data i klientens minne, inkl. privatnøkkelen. Feilen skyldes støtte i klienten for en eksperimentell roaming-funksjonalitet. Oppdatering til versjon 7.1p2 anbefales. Dersom man ikke kan oppdatere til denne versjonen anbefales å sette "UseRoaming no" i den globale ssh_config filen, evt. å benytte "-UseRoaming=no" ved ssh fra kommandolinje.
Anbefaling
Oppdater til OpenSSH 7.1p2
Referanser
http://www.openssh.com/txt/release-7.1p2 https://www.kb.cert.org/vuls/id/456088 https://access.redhat.com/articles/2123781 https://cve.mitre.org/cgi-bin/cvename.cgi?nam[...] https://isc.sans.edu/diary/OpenSSH+7.1p2+rele[...] http://arstechnica.com/security/2016/01/bug-t[...]

2016.01.14 - Nyhetsbrev

Cisco publiserer sikkerhetsoppdateringer, Russisk gruppe bak hacke-kampanje i 2013, selskaper kan overvåke ansattes private online kommunikasjon og Silverlight-sårbarhet kan ha vært til salgs i lang tid.

Cisco publiserer sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer som fikser flere svaheter i Wireless LAN Controller, Identity Services Engine og Aironet 1800 Series Access Point. To av oppdateringene er rangert som kritiske og kan gi en angriper kontroll over et sårbart system.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Russisk gruppe sto bak hacke-kampanje i 2013

Den russiske gruppen Turla skal trolig ha stått bak hacke-kampanjen mot flere statlige mål i nesten 50 forskjellige land i 2013.
Referanser
http://yle.fi/uutiset/russian_group_behind_20[...]

Selskaper kan overvåke ansattes private online kommunikasjon ifølge EMD

Den europeiske menneskerettsdomstolen (EMD) har avvist anklagene om personvernsbrud mot et rumensk selskap som overvåket sine ansattes private online kommunikasjon.
Referanser
http://www.theguardian.com/technology/2016/ja[...]

Silverlight-sårbarhet kan ha vært til salgs i lang tid.

I går ga Microsoft ut sine månedlige sikkerhetsoppdateringer, blant svakhetene som skal ha blitt var en svakhet i Silverlight og ut fra tidligere lekkasjer kan det vise seg at denne svakheten kan ha vært til salgs i lang tid.
Referanser
http://www.digi.no/sikkerhet/2016/01/13/silve[...] https://technet.microsoft.com/library/securit[...]

2016.01.13 - Nyhetsbrev

Microsoft ute med oppdateringer for januar. Adobe har publisert sikkerhetsoppdateringer for Acrobat. Bakdør i eldre Fortigate-produkter. Europol har arrestert to medlemmer av DD4BC. SC Magazine: Russisk hacker har brutt seg inn hos Citrix.

Microsoft ute med oppdateringer for januar

Microsoft slapp i går kveld 9 oppdateringer som retter 25 svakheter. Seks av oppdateringene er rangert som kritiske og tre er rangert som viktige. Disse omfatter Microsoft Windows, Internet Explorer, Edge, Visual Basic, Office, Exchange Server og Silverlight. For både Internet Explorer og Edge er det sårbarheter som lar en angriper ta kontroll over en sårbar maskin dersom brukeren besøker en spesielt utformet web-side. Det er også tilsvarende sårbarheter for Office, dersom brukeren åpner et spesielt utformet dokument. Det lukkes også en sårbarhet som gjør det mulig å logge inn via RDP (Remote Desktop Protocol) via kontoer som ikke har passord i Windows 10. Dette har ikke vært mulig i tidligere versjoner av Windows, men i Win 10 ble dette endret.
Referanser
https://technet.microsoft.com/library/securit[...] http://www.symantec.com/connect/blogs/microso[...]

Adobe har publisert sikkerhetsoppdateringer for Acrobat

Adobe lanserte i går en sikkerhetsoppdatering som adresserer flere kritiske sårbarheter i Adobe Acrobat og Reader. Totalt er det patches det 17 svakheter. Heldigvis er det ikke raportert at noen av disse utnyttes av angripere enda. Oppdateringen gjelder både Windows og OS X.
Referanser
https://helpx.adobe.com/security/products/rea[...] https://threatpost.com/adobe-patches-code-exe[...]

Bakdør i eldre Fortigate-produkter

Det er oppdaget en hardkodet bakdør i eldre versjon av FortiOS fra versjon 4.x opp til 5.0.7. Svakheten ble patchet i juli 2014 etter at den ble oppdaget internt hos Fortigate. Firmaet opplyser også at bakdøren ikke har blitt lagt inn med onde hensikter. Antakeligvis har den blitt brukt til innlogging mellom forskjellig utstyr fra Fortigate.
Referanser
http://arstechnica.com/security/2016/01/et-tu[...] http://blog.fortinet.com/post/brief-statement[...] http://seclists.org/fulldisclosure/2016/Jan/26

Europol har arrestert to medlemmer av DD4BC

Europol opplyser i en pressemelding at de har arrestert to medlemmer av hackergruppen DD4BC i Bosnia-Hercegovina. DD4BC står bak mange DDoS-angrep med tilhørende pengeutpressing fra bedrifter. Gruppen har også drevet utpressing mot flere firmaer i Norge.
Referanser
https://www.europol.europa.eu/content/interna[...] http://www.dn.no/nyheter/politikkSamfunn/2015[...]

SC Magazine: Russisk hacker har brutt seg inn hos Citrix

SC Magazine har intervjuet en russisk hacker som påstår at han har hacket seg inn hos Citrix. Historien blir underbygget av et israelsk sikkerhetsfirma. I henhold til artikkelen hadde hackeren tilgang til alle Ciscos kunder gjennom et system for brukerstøtte. Citrix har ikke kommentert saken så langt.
Referanser
http://www.scmagazineuk.com/i-hacked-citrix-s[...]

2016.01.12 - Nyhetsbrev

Alvorlig sårbarhet oppdaget i Trend Micro Antivirus.

Alvorlig sårbarhet oppdaget i Trend Micro Antivirus

Sikkerhetsforsker og "Google Project Zero"-medlem Tavis Ormandy har oppdaget en alvorlig sårbarhet i Trend Micros Antivirus-løsning. Sårbarheten ligger i passord-manageren som følger med antivirus-produktet, og åpner for at maskiner med programmet installert kan kapres, infiseres med malware eller tappes for data, kun ved å besøke en nettside som utnytter sårbarheten. Trend Micro har utgitt oppdatering som tetter sårbarheten. Brukere bør oppdatere programvaren så raskt som mulig. Tavis rapporterer at det også finnes andre tvilsomme sikkerhetsløsninger i produktet, blant annet en "Secure Browser" basert på en gammel utgave av Chromium, med viktige sikkerhetsmekanismer deaktivert.
Referanser
https://code.google.com/p/google-security-res[...] http://arstechnica.com/security/2016/01/googl[...] http://m.digi.no/sikkerhet/2016/01/12/superpi[...]

2016.01.11 - Nyhetsbrev

SANS-sak om angrepet mot energisektoren i Ukraina. Juniper fjerner NSA-utviklede algoritmer i Screen OS.

Juniper fjerner NSA-utviklede algoritmer i Screen OS

Juniper fjerner Dual_EC og ANSI X9.31 fra Screen OS 6.3. Grunnen er at det skal ha vært gjort endringer i koden i 2008 som innførte svakheter som gjorde det mulig å avlytte VPN-trafikk der disse algoritmene ble brukt, som vi også har omtalt tidligere. I tillegg er det i Snowden avsløringene, samt forsknings-artikler fra tidligere, grunnlag for mistenke om "bakdører" i slumptall-generatoren Dual Elliptic Curve ved bruk av NSA-anbefalte parametre.
Referanser
http://securityaffairs.co/wordpress/43468/int[...] http://www.digi.no/sikkerhet/2016/01/11/nsa-k[...]

SANS-sak om angrepet mot energisektoren i Ukraina

SANS har publisert en sak om strømstansen i Ukraina 23. Desember, som bekrefter at strømstansen ble forårsaket av et koordinert cyberangrep mot energisystemene. Angriperen har infisert SCADA-systemer for å påvirke driften, for så å aktivt sabotere/vanskeliggjøre forsøk på å reetablere normal drift.
Referanser
https://ics.sans.org/blog/2016/01/09/confirma[...] http://arstechnica.com/security/2016/01/analy[...]

2016.01.08 - Nyhetsbrev

Oppdatering til VMware verktøy for Windows. Amerikansk sikkerhetsfirma: Russisk hackergruppe stod bak strømbrudd i Ukraina. FBI avslørte 1500 barnepornobrukere ved hjelp av Firefox-exploit. Brain Test malware igjen funnet i apper i Google Play. Eksempel på Phishing mail internt hos bedrift.

Eksempel på Phishing-mail i forbindelse med CEO-svindel

The Internet Storm Center har en blogpost med et eksempel på en type phishing som kan virke veldig troverdig. Målet med phishingen i dette eksemplet er å få mottakeren til å overføre penger til svindlerne. Denne typen svindel kalles også CEO-svindel, siden e-postene ofte utgir seg fra å komme fra CEO i firmaet. Artikkelen går inn i detaljer på hvordan phishingen ser ut og hva som ble gjort for å prøve å overtale mottakerne av disse e-postene.
Referanser
https://isc.sans.edu/forums/diary/A+recent+ex[...]

Oppdatering til VMware-verktøy for Windows

VMware har nå gitt ut nye oppdateringer til diverse VMware-produkter som fikser en svakhet som gjorde det mulig for angripere å få høyere rettigheter. Oppdateringene er for følgende produkter: VMWare Windows Workstation versjoner som er lavere enn 11.1.2, Player og Fusion før 7.1.2 og følgende ESXi produkter (basert på versjon): 6.0, 5.5, 5.1, 5.0. Mer informasjon om disse kan finnes i referansene under.
Referanser
http://www.theregister.co.uk/2016/01/08/vmwar[...] http://lists.vmware.com/pipermail/security-an[...]

Amerikansk sikkerhetsfirma: Russisk hackergruppe stod bak strømbrudd i Ukraina

Det amerikanske sikkerhetsfirmaet iSight Partners nærmest bekrefter at det var russere som stod bak strømbruddet som rammet store deler av Ukraina den 23. desember. Analyser gjort av firmaet viser at det var den russiske hackergruppen Sandworm som stod bak. Ifølge iSight har Sandworm også tidligere stått bak en rekke store angrep mot Ukrainske interesser.
Referanser
http://www.reuters.com/article/us-ukraine-cyb[...]

Brain Test malware igjen funnet i apper i Google Play

Ved flere anledninger høst 2015 ble det funnet Brain Test malware i apper i Google Play. Flere av disse ble lastet ned flere hundre tusen ganger før de ble fjernet. En ny rapport fra Lookout Security Cloud viser at 13 nye apper i Google Play inneholder denne malwaren. Appene er nok en gang fjernet..
Referanser
https://blog.lookout.com/blog/2016/01/06/brai[...]

FBI avslørte 1500 barnepornobrukere ved hjelp av Firefox-exploit

FBI har tatt eiere og brukere av et nettverk for deling av barnepornografisk materiale ved hjelp av en exploit rettet mot Firefox. Hendelsen skjedde i 2014 og har ført til over 1500 saker. Ved å utnytte svakheter i utdaterte TOR weblesere klarte FBI å hente ut informasjon om brukerne, blant annet brukernes faktiske IP-adresse.
Referanser
http://www.businessinsider.com/fbi-busts-1500[...]

2016.01.07 - Nyhetsbrev

Blokkering av SHA-1 i Firefox skaper problemer med (utdaterte) sikkerhetssystemer, liste over passord til SCADA-systemer er utgitt, Lets Encrypt sertifikater blir brukt av malvertisers, Dansk Center for Cybersikkerhet har hevet trusselnivå til høyeste nivå og David Chaum forteller om PrivaTegrity.

Blokkering av SHA-1 i Firefox skaper problemer med (utdaterte) sikkerhetssystemer

Mozilla har nylig utgitt Firefox 43, hvor en av nyhetene var at nyere SHA-1 sertifikater ikke blir godtatt. Dette har gått smertefritt for de fleste, men i nettverk som er utstyrt med enkelte inline antivirus- og sikkerhetsskannere har det oppstått problemer. For å fungere må disse "overta" HTTPS oppkoblingen, og starter en egen HTTPS oppkobling mot klienten, og denne baserer seg noen ganger på SHA-1. Dermed blir hele oppkoblingen blokkert av Firefox.
Referanser
https://blog.mozilla.org/security/2016/01/06/[...]

SCADAPASS - En liste over standard brukernavn og passord for en rekke ICA og SCADA systemer

Gruppen SCADA StrangeLove har utgitt SCADAPASS, en liste over standard brukernavn og passord for en rekke ICA og SCADA systemer. Listen inneholder langt over 100 produkter, som trådløse rutere, nettverksmoduler og logiske kontrollere.
Referanser
http://securityaffairs.co/wordpress/43344/hac[...]

Lets Encrypt sertifikater blir brukt av malvertisers

Trend Micro skriver om hvordan malvertisers har begynt å bruke Lets Encrypt sine sikkerhetssertifikater for å kryptere deres trafikk. De gjøre dette via en teknikk kalt "Domain shadowing".
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

Dansk Center for Cybersikkerhet: Trusselnivå hevet til høyeste nivå

Center for Cybersikkerhet i Danmark har kommet med en ny trusselvurdering som viser at danske virksomheter og myndigheter blir utsatt for cyberkriminalitet og spionasje. På bakgrunn av funn, etterforskning og vurderinger, har de satt trusselnivået til "Meget høy" - som er det høyeste nivå de operer med.
Referanser
https://fe-ddis.dk/cfcs/nyheder/arkiv/2016/Pa[...]

PrivaTegrity - Et krypteringssystem for sikker privat kommunikasjon

David Chaum, som har jobbet mye med anonymitet på Internett, jobber med et nytt prosjekt: PrivaTegrity. Prosjektet, et krypteringssystem, er lagd for å kommunisere sikkert uten at det skal være mulig å knekke, og samtidig være så effektivt at selv mobiltelefoner kan kjøre dette. Systemet skal også ha støtte for dekryptering og de-anonymisering av innholdet dersom dette trengs. Prosjektet blir utviklet i samarbeid med akademikere fra bl.a. universiteter i Nederland og England.
Referanser
http://www.wired.com/2016/01/david-chaum-fath[...]

2016.01.06 - Nyhetsbrev

Hostingselskapet Linode hacket. Google ute med nye oppdateringer til Android.

Linode Manager passord på avveie

Linode, et selskap som blant annet tilbyr hosting-tjenester, har etter etter en sikkerhetsetterforskning funnet ut at informasjon til to brukere av Linode Manager lå på en ekstern maskin. Som følge av dette antar de at brukerinformasjon kan ha blitt lest fra databasen deres. Blant annet skal informasjon som brukernavn, epost-adresser, hashet passord og krypterte to-faktor seeds være på avveie. Linode krever nå passordbytte av alle brukere av Linode Manager.
Referanser
https://blog.linode.com/2016/01/05/security-n[...]

Google ute med nye oppdateringer til Android

De skal ha rettet opp i en rekke svakheter i Android 5.0 og senere. Deriblant en ny kritisk svakhet i den beryktede mediaserver-tjenesten. Svakhetene er rettet av Google og blir gitt ut som en månedlig oppdatering. Det er Googles egne Nexus-modeller som får denne først.
Referanser
http://www.zdnet.com/article/google-fixes-fiv[...]

2016.01.05 - Nyhetsbrev

Apples operativsystemer hadde flest oppdagede sårbarheter i 2015. Ny krypto-malware benytter javascript-rammeverk til å infisere maskiner.

Apples operativsystemer hadde flest oppdagede sårbarheter i 2015

Nettstedet CVE Details har publisert en oversikt over oppdagede sårbarheter i 2015, fordelt på produkt. Apple Mac OS X og iOS er på toppen av listen, med henholdsvis 384 og 375 registrerte sårbarheter. Dette er nær dobbelt så mange som i 2014. Se artikkelen for en full oversikt.
Referanser
http://www.digi.no/sikkerhet/2016/01/04/apple[...] https://www.cvedetails.com/top-50-products.ph[...]

Ransom32: Javascript-basert krypto-malware

Emisoft har analysert en krypto-malware som benytter javascript-rammeverket NW.js til å infisere maskiner. Rammeverket gjør det mulig å kjøre javascript som applikasjoner direkte i operativsystemet, utenfor nettleseren og restriksjonene den setter. Dette gjør at det er teoretisk mulig å pakke den samme malwaren som eksekverbare filer til både Windows, Linux og Mac OS X. Malwaren er foreløpig kun observert for Windows.
Referanser
http://blog.emsisoft.com/2016/01/01/meet-rans[...]

2016.01.04 - Nyhetsbrev

Windows 10 sender krypteringsnøkler til Microsoft. AVG Chrome-tillegget Web TuneUp blokkert av Google. Microsoft advarte ikke ofre for epost-hacking. BlackEnergy brukt til å angripe Ukraniske strøm- og mediaselskap. Forskere har funnet flere sikkerhetshull i moderne jernbanesystemer.

Windows 10 sender krypteringsnøkler til Microsoft

Ved standard innstillinger, vil Windows 10 Home skru på disk-kryptering, og laste opp en kopi av krypto-nøkkelen til din Microsoft-konto, dersom denne brukes til å logge på maskinen. Det er mulig å hente ned og slette nøkkelen ved å logge seg på Micrsoft sine sider.
Referanser
http://www.digi.no/sikkerhet/2015/12/30/windo[...] https://theintercept.com/2015/12/28/recently-[...]

AVG Chrome-tillegg Web TuneUp blokkert av Google

Google har blokkert AVG Chrome Web TuneUp fra å kunne bli installert automatisk av AVG. Grunnen er at tillegget hadde en rekke alvorlige svakheter. Blant annet skal det ha vært mulig å hente ut informasjon fra andre faner, samt surfe-historikk via et javascript-API som kom med tillegget.
Referanser
http://www.theregister.co.uk/2015/12/29/avg_g[...]

Microsoft advarte ikke ofre for epost-hacking

Microsoft-eksperter konkluderte for flere år siden at kinesiske myndigheter hadde hacket over tusen Hotmail-kontoer. I følge tidligere ansatte, valgte Microsoft den gang å ikke advare ofrene, noe som gjorde det mulig for hackerne å fortsette. Talsmann for Microsoft, Frank Shaw, sier at firmaet aldri var sikre på hvem som stod bak hackingen. Microsoft sier til Reuters at firmaet vil endre sin politikk og advare epost-brukere i fremtiden dersom de mistenker at hackeforsøk fra myndigheter har skjedd.
Referanser
http://mobile.reuters.com/article/idUSKBN0UE0[...]

BlackEnergy brukt til å angripe Ukrainske strøm- og mediaselskap

I en detaljert artikkel går ESET inn på hvordan malwaren BlackEnergy fungerer og hvordan den ble brukt som bakdør i angrep mot Ukraniske strøm- og mediaselskap. I hovedsak ble BlackEnergy brukt for å infisere maskiner med KillDisk, en type trojaner som prøver å ødelegge data på disken ved å skrive over dokumenter og filer på disken. Dette gjør at operativsystemet ikke kan starte opp. KillDisk varianten som ble brukt mot mediaselskapene var mer fokusert på å ødelegge visse type filer. Varianten mot strømselskapene var laget for å kunne sabotere industrisystemer. I tillegg til dette åpnet også BlackEnergy opp for at angriperene kunne logge seg inn på systemet når de ville via en SSH-bakdør. Les mer om dette i artikkelen under.
Referanser
http://www.welivesecurity.com/2016/01/03/blac[...]

Forskere har funnet flere sikkerhetshull i moderne jernbanesystemer

Forskere hos SCADA StrangeLove la fram en lang liste med svakheter som ble funnet i et moderne jernbanesystem i deres presentasjon på Choas Communication Congress i Tyskland. SIBAS er et beskyttelsesystem for tog som brukes i Europa. I et av komponentene til dette systemet, WinAC RTX, har forskerene funnet flere sikkerhetshull som kan bli utnyttet av angripere. I tillegg til dette skal forskerene også ha funnet svakheter i signalsystemet (CBI). Hacking av dette systemet kan skape store problemer, inkludert fysisk skade.
Referanser
http://securityaffairs.co/wordpress/43196/hac[...]