Nytt angrep stjeler sensitiv informasjon fra HTTPS sider. Internasjonal undersøkelse belyser omfanget av løsepengevirus. Nytt, svært effektivt phishing-verktøy for Twitter. Apple annonserer nytt dusørprogram for funn av svakheter i deres produkter. Svakhet i HTTP/2 gjør det enkelt å utføre DoS-angrep. Apple slipper iOS v9.3.4 for å stoppe jailbreak.
Nytt angrep stjeler sensitiv informasjon fra HTTPS sider
| Et nytt angrep mot kryptert HTTPS-trafikk vil kunne få tak i sensitiv informasjon uten å lytte på trafikken som en mellommann. Det eneste som trengs er et JavaScript gjemt i for eksempel annonser på en web-side som blir besøkt. Angrepet utnytter hvordan HTTPS-svar blir sendt via TCP. Metoden som kalles HEIST finner ut størrelsen på HTTPS-svaret og kan deretter bruke andre kjente metoder for å dekryptere dette. Metoden ble presenter onsdag på årets Black Hat-konferanse. |
| Referanser |
http://arstechnica.com/security/2016/08/new-a[...]
|
Internasjonal undersøkelse belyser omfanget av løsepengevirus
| En internasjonal undersøkelse utført på vegne av sikkerhetsselskapet Malwarebytes viser at så mange som 2 av 5 virksomheter er blitt rammet av løsepengevirus. Over 500 virksomheter fra ulike land deltok i undersøkelsen, som blant annet viser at helse og finans er de mest utsatte bransjene. Det kommer også frem at drøyt 40% av de rammede virksomhetene har valgt å betale løsepenger for dekryptering av infiserte filer. I 60% av tilfellene var betalingskravet på 1000 dollar eller mer, men i nærmere 20% av tilfellene var kravet minst ti ganger så høyt. |
| Referanser |
http://www.digi.no/artikler/undersokelse-utpr[...]
|
Nytt, svært effektivt phishing verktøy for Twitter
| Under årets Black Hat messe ble det presentert et nytt verktøy som genererer og sender ut tweets med ondsinnede lenker. Verktøyet sikter seg inn på ofre i viktige stillinger og skreddersyr meldinger ut i fra deres interesser og tidligere aktivitet. Lenkene i meldingene er forkortet og det derfor ikke lett å se hva disse leder til. Opp mot 60% blir lurt i reelle tester av verktøyet. Slike angrep blir stadig mer avansert og det anbefales å ikke følge slike linker med mindre det er fra en avsender man stoler på. |
| Referanser |
http://www.theregister.co.uk/2016/08/05/hacke[...]
|
Apple annonserer nytt dusørprogram for funn av svakheter i deres produkter
| Apple annonserte i dag at de vil belønne sikkerhetsforskere som finner svakheter i deres produkter og tjenester med opptil 200 000 dollar. Andre store selskaper som Microsoft og Google har lignende program gående. Foreløpig er det bare en liten liste over kategorier hvor de vil belønne slike funn, men de ønsker å utvide denne listen med tiden. En slik belønningstjeneste vil hjelpe Apple å avdekke svakheter de selv ikke har oppdaget, samt å motvirke at noen utnytter eller selger informasjon om svakheter videre. |
| Referanser |
https://threatpost.com/apple-launches-bug-bou[...]
|
Svakhet i HTTP/2 gjør det enkelt å utføre DoS-angrep
| Sikkerhetsanalytikere ved Imperva Defence Center har funnet svakheter i implementeringen av HTTP/2 i fem webserverprogrammer. Det er snakk om fire alvorlige svakheter hvor to av dem tilsvarer kjente svakheter i HTTP/1.x. Apache HTTPD, Microsoft IIS, Nginx, Jetty og nghttp2 skal alle være berørt av minst én av disse svakhetene. Slow Read, HPACL Bomb, Dependency Cycle Attack og Stream Multiplexing Abuse er de aktuelle sårbarhetene, og er alle brukt til tjenestenektangrep. |
| Anbefaling |
| Flere av svakhetene er fikset i nyere utgaver av programvaren. Rapporten fra Imperva gir noe informasjon om dette. |
| Referanser |
http://www.digi.no/artikler/alle-de-vanligste[...]
http://www.imperva.com/docs/Imperva_HII_HTTP2.pdf
|
Apple slipper iOS v9.3.4 for å stoppe jailbreak