Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 25 April 2018

2018.04.25 - Nyhetsbrev

Apple patcher svakheter i iOS, Safari og MacOS. BGP-hijacking benyttet for å stjele kryptovaluta. MikroTik patcher aktivt utnyttet null-dags svakhet i ruter OS på rekordtid. Rapport fra Kaspersky Lab om APT-aktøren "Energetic Bear".

Apple gir ut sikkerhetsoppdateringer for iOS, Safari og MacOS

Apple har gitt ut sikkerhetsoppdateringer for Safari, MacOS og iOS. Oppdateringene fikser fire forskjellige svakheter knyttet til produktene, hvor to av disse er kategorisert som kritiske.
Referanser
https://isc.sans.edu/diary/rss/23587
https://www.cert.dk/da/news/2018-04-25/Apple

BGP-hijacking benyttet for å stjele kryptovaluta

BGP-hijacking ble i går benyttet til å kapre/re-route DNS-trafikk til Amazons DNS-servere via en DNS-server i Chicago. Vha. denne DNS-serveren ble besøkende til krytovaluta-siden "MyEtherWallet.com" sendt til en falsk side i Russland. Googles DNS-tjeneste plukket også opp den gale adressen. I løpet av angrepet, som pågikk i omlagt to timer, skal bakmennene ha klart å stjele Ethereum (kryptovaluta) for omlag 1.2 millioner kroner. Brukerne ble gitt en advarsel om ugyldig sertifikat fra nettleseren, men mange ignorerte denne.
Referanser
https://blog.cloudflare.com/bgp-leaks-and-cry[...]
https://doublepulsar.com/hijack-of-amazons-in[...]
https://arstechnica.com/information-technolog[...]

MikroTik patcher null-dags svakhet i ruter OS på rekordtid

MikroTik haste-utgir en firmware-oppdatering til sitt RouterOS. Oppdateringen fikser en null-dags svakhet som kan utnyttes til hente ut brukerdatabasen fra MikroTik-rutere og dermed benytte denne informasjonen til å kompromittere routere fra eksternt hold. Svakheten har blitt observert forsøkt utnyttet i begrenset skala. Patchen fra MicroTik kommer under et døgn etter at informasjon om svakheten/angrepet dukket opp på et teknologi-forum.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Rapport fra Kaspersky Lab som omhandler APT-aktøren "Energetic Bear"

En interessant rapport fra Kaspersky Lab som tar for seg APT-trusselaktøren bl.a. kjent som "Energetic Bear", og noen av deres målrettede angrep i 2016 og 2017. Rapporten beskriver blant annet hvordan grupperingen benytter seg av SMB-forespørsler til å ta kontroll over servere.
Referanser
https://securelist.com/energetic-bear-crouchi[...]

Tuesday, 24 April 2018

2018.04.24 - Nyhetsbrev

Symantec skriver om Orangeworm som sikter seg inn mot helsesektoren. Zero-day-svakhet i Internet Explorer.

Symantec skriver om Orangeworm som sikter seg inn mot helsesektoren

Symantec skriver om grupperingen Orangeworm, som spesielt sikter seg inn mot helesektoren i USA, Europa og Asia. Orangeworm installerer en spesiell bakdør. Symantec mener at gruppen foretrekker mål med dårlig sikkerhet, siden metodene for infeksjon og spredning er relativt støyende.
Referanser
https://www.symantec.com/blogs/threat-intelli[...]

Zero-day-svakhet i Internet Explorer

Et kinesisk sikkerhetsfirma har funnet en zero-day-svakhet i Internet Explorer. Svakheten blir utløst når man har et Microsoft Office-dokument som inneholder en nettside. Sikkerhetsfirmaet sier at de har sett at svakheten har blitt brukt av en APT. Svakheten er rapportert til Microsoft, men de har ikke uttalt seg om saken. Bruk av Internet Explorer bør opphøre til fordel for en mer moderne nettleser.
Anbefaling
Bytt til en mer moderne nettleser
Referanser
https://isc.sans.edu/diary/23581

Monday, 23 April 2018

2018.04.23 - Nyhetsbrev

GDPR er igjen forsinket.

GDPR er igjen forsinket

EFTAs generalsekretær kan melde om at GDPR blir forsinket igjen. Dette skyldes at den ikke kan tre i kraft før alle EFTA-landene har godkjent den og Liechtenstein har en lov som sier at det må utføres folkeavstemning og at det er en månedsfrist for dette. Dermed blir GDPR utsatt til 1. juli.
Referanser
http://rett24.no/articles/gdpr-forsinkes-igje[...]

Friday, 20 April 2018

2018.04.20 - Nyhetsbrev

Datalekkasje fra norske hotellkjeder.

Datalekkasje fra norske hotellkjeder

Anslått 1,5 millioner gjester ved Thon Hotels og Nordic Choice Hotels skal ha fått sine innsjekkingsdetaljer eksponert på nettet.
Referanser
https://nrkbeta.no/2018/04/19/gjester-ved-to-[...]

Thursday, 19 April 2018

2018.04.19 - Nyhetsbrev

Norge styrker deltagelsen i europeisk datakrim-samarbeid. Cisco ute med en rekke oppdateringer for flere produkter.

Norge styrker deltagelsen i europeisk datakrim-samarbeid

Norge har nå fått offisielt medlemskap i Joint Cybercrime Action Taskforce (J-CAT), et europeisk fellesskap av utstasjonerte liaisoner med ansvar for samarbeid og koordinering innen bekjempelse av datakriminalitet.
Referanser
https://www.politiet.no/aktuelt-tall-og-fakta[...]

Cisco ute med en rekke oppdateringer for flere produkter

Cisco har utgitt en rekke oppdateringer for sine produkter de siste dagene. Totalt er det 37 oppdateringer i april i år, hvor flesteparten kom i går. De mest alvorlige tillater ekstern kodeeksekvering ved å utnytte svakhet i WebEx, omgår SSL-sertifikater og autentisering i VPN-løsninger til lokal og ekstern tjenestenektangrep.
Anbefaling
Oppdater til siste versjon.
Referanser
https://tools.cisco.com/security/center/publi[...]
https://tools.cisco.com/security/center/conte[...]
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 18 April 2018

2018.04.18 - Nyhetsbrev

Oracle gir ut flere kritiske oppdateringer, Google utgir Chrome versjon 66 med ny sikkerhetsfunksjonalitet, Storbritania betrakter ZTE som en sikkerhetsrisiko, Frankrike lanserer WhatsApp rival, KasperskyLab undersøker ukryptert trafikk fra mobilapplikasjoner, Russland blokkerer IP-adresser.

Oracle slipper månedens sikkerhetsoppdateringer

Oracle gir ut oppdateringer for å fikse flere kritiske svakheter for flere av sine produkter. Dette gjelder blant annet Database Server, Fusion, Middleware, Java SE m.m.
Referanser
http://www.oracle.com/technetwork/security-ad[...]

Google slipper Chrome versjon 66

Google Chrome slippes i versjon 66 og oppdateringen er i stor grad sikkerhetsfokusert. Den største forandringer er at Chrome vil vise sertifikat-feil for alle Symantec genererte sertifikater før 1 Juni, 2016. I tillegg er Chromes "Strict Site Isolation" slått på for enkelte brukere i påvente av en endelig versjon. Versjon 66 vil også gi brukeren beskjed når 3-parts programvare injiserer kode i Chrome prosessen.
Referanser
https://chromereleases.googleblog.com/2018/04[...]

Kinesiske ZTE betraktet som en sikkerhetsrisiko for Storbritannia

Telekommunikasjonsselskaper blir advart mot å samarbeide med det kinesiske ZTE. Det har blitt uttalt at samarbeid med ZTE kan utgjøre en risiko for den nasjonale sikkerheten til Storbritannia. Bakgrunnen er ulovlig salg av sensitiv teknologi fra ZTE sin side.
Referanser
https://www.theguardian.com/technology/2018/a[...]

Frankrike lager sin egen WhatsApp rival

Den franske regjeringen lager sin egen krypterte meldings-applikasjon på grunn av overvåkningsrisiko. Ingen av de mest populære applikasjonene, blandt annet WhatsApp og Telegram, er basert i Frankrike. Dette øker sjansen for at data kommer på avveie i utlandet. Den franske regjeringen har dermed bestemt seg for å utvikle sin egen applikasjon som til slutt skal bli obligatorisk for medlemmer av regjeringen.
Referanser
https://www.reuters.com/article/us-france-pri[...]

Millioner av apper lekker ut private data

Forskeren Roman Unuchek ved Kaspersky Lab sier antalle apper som benytter seg av ukryptert trafikk er i milliontallet. Data som navn, alder, lønn og telefon nummer kan kan bli sporet ved å se på datastrømmene. Dette kan gjøres om man sitter på samme tråløse nettverk hvor det finnes en lytter eller fra internet leverandører. Dette kan utnyttes til skadevare infeksjoner, utpressing og andre alvorlige angrepsvektorer.
Referanser
https://threatpost.com/millions-of-apps-leak-[...]

Russland blokkerer 18 millioner IP-addresser

I et forsøk på tilgangbegrensning har Russland idag blokkert 18-millioner IP-adresser. Flere brukere melder om problemer med produkter fra både Apple og Microsoft. Bakgrunnen for blokkeringene ligger i Russlands forsøk på å blant annet stenge ute meldingstjenesten Telegram.
Referanser
https://www.aftenposten.no/verden/i/rLKOEw/I-[...]

Tuesday, 17 April 2018

2018.04.17 - Nyhetsbrev

Lookout avslører malware fra statlige aktører på Google Play. Russisk-sponsede aktører angriper nettverksenheter.

Lookout avslører malware fra statlige aktører på Google Play

Forskere har funnet tre apper med avansert skadevare som har klart å komme seg inn på Google sin app-butikk, Google Play. Det ser ut til at appene kommer fra to forkskjellige grupper mAPTs, eller mobile advanced persistent threats, og var myntet på personer fra Midtøsten. Da appene ble fjernet, hadde de totalt mellom 650 og 1250 nedlastninger. Hovedsaklig ser det ut til at appene har blitt spredd ved hjelp av lenker sendt fra profiler på Facebook/Messenger.
Referanser
https://blog.lookout.com/desert-scorpion-goog[...]
https://arstechnica.com/information-technolog[...]

Russisk-sponsede aktører angriper nettverksenheter

Analyser utført av DHS, FBI og NCSC viser at russisk-sponsede aktører utnytter nettverksenheter til å utføre man-in-the-middle-angrep, overvåke trafikk og generelt legge et grunnlag for senere angrep hos statlige og private organisasjoner, samt ISPer og tilbydere av kritisk infrastruktur. Det er generiske svakheter, gammel programvare og konfigurasjonsfel som utnyttes. I varselet er det mye nyttige tips for sikkert oppsett av nettverksutstyr.

NSM Norcert sier i et varsel at det er for tidlig å si om norsk infrastruktur har blitt berørt av angrepet.

Wired har en artikkel der de mener at det kan ligge en del politikk bak varselet.
Referanser
https://www.us-cert.gov/ncas/alerts/TA18-106A
https://www.nsm.stat.no/aktuelt/cyberangrep-m[...]
https://www.wired.com/story/white-house-warns[...]