2016.11.11 - Nyhetsbrev

Ny versjon av OpenSSL, lovord om Signal, russiske hackere bak phisingkampanje etter valget i USA og interesant artikkel om angrep og utnyttelse av tusenvis av IoT-enheter.

OpenSSL 1.1.0c lansert, fikser kritisk feil

OpenSSL har oppdatert versjon 1.1.0 til 1.1.0c. Denne retter tre feil, hvorav den ene er kritisk - da den kunne resultere i lokal DOS for OpenSSL-biblioteket.
Referanser
https://www.openssl.org/news/secadv/20161110.txt http://securityaffairs.co/wordpress/53302/hac[...]

Signals krypteringsprotokol er uten sikkerhetshull

Flere akademikere rundt om i verden har tatt en audit av protokollen brukt av Signal, en meget populær ende-til-ende krypteringsapp. De fant ikke svakheter, og var fulle av lovord om Signal. Signals protokoll brukes også av Facebook Messenger, WhatsApp og Googles Allo.
Referanser
https://threatpost.com/signal-audit-reveals-p[...]

Russiske hackere bak phisingkampanje etter valget i USA

Den russiske hackergruppen "The Dukes"/APT 29 lanserte en phishing-kampanje mot flere amerikanske politisk organisasjoner rett etter presidentvalget. Dette var samme gruppen som har utført flere vellykkede angrep mot amerikanske politiske organisasjoner i forkant av valget, deriblant hos Demokratenes nasjonalkomitee (DNC).
Referanser
http://krebsonsecurity.com/2016/11/russian-du[...]

Ny malware sprer seg gjennom sårbare IoT-enheter

Fire forskere fra Weizmann Institute of Science har skrevet et paper og en artikkel om hvordan en kan angripe og utnytte tusenvis av IoT-enheter på veldig kort tid. De fikk dette til ved å utnytte ZigBee-protokollen som disse enhetene bruker for kommunikasjon seg i mellom for å lage et mesh-nettverk. I dette tilfellet utnyttet de en svakhet i smarte lyspærer til å lage en orm som spredde seg automatisk. Artikkelen beskriver også flere tenkte scenarier for hvordan dette kan utnyttes.
Referanser
http://www.wisdom.weizmann.ac.il/~eyalro/iotworm/ http://iotworm.eyalro.net/iotworm.pdf