Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 15 December 2017

2017.12.15 - Nyhetsbrev

Ny malware manipulerer industrielle sikkerhetssystemer. Fox-IT utsatt for kyber-angrep. Google ute med sikkerhetsoppdatering til Chrome. Kaspersky Lab oppdaget 85 apper som stjeler innloggings informasjon.

Ny malware manipulerer industrielle sikkerhetssystemer

FireEye Mandiant oppdaget nylig en ny malware ved navn TRITON i forbindelse med en hendelse hos en organisasjon innenfor kritisk infrastruktur i midtøsten. Malwaren er designet for å manipulere det industrielle sikkerhetssystemet Triconex Safety Instrumented System (SIS), som blant annet sørger for nødstans kapabilitet for industrielle prosesser.

I dette tilfellet førte angrepet bare til stans i produksjonen, men det kan tenkes at malwaren også kan brukes til å forårsake lekkasjer, eksplosjoner osv. ved andre industrianlegg.
Referanser
https://www.fireeye.com/blog/threat-research/[...]
https://www.wired.com/story/triton-malware-ta[...]

Fox-IT utsatt for kyber-angrep

Det nederlandske selskapet Fox-IT, som tilbyr tjenester innenfor kybersikkerhet, ble nylig utsatt for et Man-in-the-Middle angrep. Angriperne tilegnet seg tilgang til DNS-pekerne for Fox-IT.com-domenet hos deres domene-registrator. De endret DNS-innstillingene til å peke til en server som angriperne kontrollerte, for dermed å kunne fange opp data og sende disse videre til den egentlige serveren. Serveren som ble rammet håndterer klientportalen til Fox-IT hvor de utveksler data med kundene. På denne måten fikk angriperne tak i informasjon tilhørende en del kunder.

Fox-IT sin DNS-leverandør tilbyr ikke to-faktor innlogging. Det er uklart hvordan angriperne fikk tak i Fox-ITs brukernavn og passord til tjensten.
Referanser
https://www.fox-it.com/en/insights/blogs/blog[...]

Google ute med sikkerhetsoppdatering til Chrome

Google har gitt ut sikkerhetsoppdateringer til Chrome som retter opp i flere svakheter tilknyttet desktop-versjonen av nettleseren.
Referanser
https://chromereleases.googleblog.com/search/[...]
https://www.us-cert.gov/ncas/current-activity[...]

Kaspersky Lab har oppdaget 85 applikasjoner i Google Store som stjeler innloggingsinformasjon

Kaspersky Lab har avdekket en mengde applikasjoner som stjeler innloggings-informasjon for VK.com, en russisk tjeneste som minner mye om Facebook.
Referanser
http://www.hackread.com/85-credential-stealin[...]

Thursday, 14 December 2017

2017.12.14 - Nyhetsbrev

Tre men har sagt seg skyldige i å laget Mirai-botnettet. Google-ansatt offentliggjør jailbreak-exploit for iPhone. Sårbarhet i implementasjoner av RSA som benyttes i TLS.

Tre men har sagt seg skyldige i å laget Mirai-botnettet

I 2016 stod botnettet Mirai bak flere store DDoS-angrep. I oktober 2016 ble DNS-levrandøren DYN for eksempel utsatt for et angrep som igjen tok ned kjente firmaer som Twitter, GitHub, Sony og mange flere. Mirai-botnettet bestod for det meste av infiserte IP-kameraer, enheter for video-opptak og hjemmeroutere. Tre amerikanere har nå sagt seg skyldig i å ha opprettet og styrt botnettet. Mennene har også drevet med click-fraud, altså å simulere klikk på annonser for å genere inntekter til seg selv.
Referanser
https://arstechnica.com/tech-policy/2017/12/c[...]
https://krebsonsecurity.com/2017/12/mirai-iot[...]
https://www.digi.no/artikler/det-beryktede-mi[...]

Google-ansatt offentliggjør jailbreak-exploit for iPhone

Ian Beer, som jobber i Googles Project Zero, har offentliggjort programkode for å utnytte en svakhet i iOS versjon 11.1.2 og tidligere. Denne kan kan brukes til å ta full kontroll over systemet. Svakheten ligger i kjernen. Svakheten ble patchet i versjon 11.2 av iOS.
Referanser
http://securityaffairs.co/wordpress/66641/hac[...]

Sårbarhet i implementasjoner av RSA som benyttes i TLS

Sårbarheten er tilstede på HTTPS-tjenere som er konfigurert til å benytte RSA-kryptering for nøkkelutveksling i TLS. Ved vellykket utnyttelse vil angriper kunne dekryptere meldinger sendt over HTTPS som er beskyttet med RSA. Sikkerhetsoppdateringer er gjort tilgjengelige fra en rekke aktører: F5, Citrix, Radware, Cisco ACE, Bouncy Castle, Erlang, WolfSSL, MatrixSSL,
Java / JSSE.

Det skal også være mulig å forfalske signaturer generert av den private nøkkelen til en TLS-server. Tjenere konfigurert til å benytte Diffi-Hellman (DHE) eller Elliptic Curve Diffie Hellman (EDCHE) for nøkkelutveksling vil ikke være sårbare for dekryptering av meldinger. Ofte benyttes også RSA for digitale signaturer i slike konfigurasjoner av TLS. Disse signaturene skal altså kunne forfalskes, men det skal ikke være trivielt å utnytte dette i et man-in-the-middle angrep.
Anbefaling
Oppdater de berørte systemene.
Referanser
https://robotattack.org/

Wednesday, 13 December 2017

2017.12.13 - Nyhetsbrev

Fil med 1,4 milliarder brukernavn og passord lekket. Russisk hacker har innrømmet å hacket demokratene på ordre fra FSB. Microsoft har gitt ut sine månedlige oppdateringer og Apple har gitt ut en firmware oppdatering til AirPort Base station. Grupperingen MoneyTaker stjeler penger fra banker. Internett-trafikk ble rutet om til Russland.

Hacker innrømmet for russisk domstol å ha hacket Demokratene på ordre fra FSB

Den russiske hackeren Konstantin Kozlovsky skal allerede i august i år ha fortalt byretten i Moskva at han ble beordret av FSB-agenter om å hacke Democratic National Comitte (DNC). Informasjonen skal stamme fra Facebook kontoen til Kozlovsky, hvor det har blitt lagt ut dokumenter og lydopptak fra rettshøringen. Dette har blitt bekreftet av to personer, blant annet en som var tilstede under høringen. Dersom samarbeidet mellom Kozlovsky og FSB blir bekreftet, vil det ifølge Business Insider kunne bidra til å undergrave de russiske myndighetenes påstander om at de ikke hadde noe med hackingen av det Demokratiske partiet under den amerikanske presidentvalgkampen i fjor.
Referanser
https://www.digi.no/artikler/hacker-innrommet[...]

Grupperingen MoneyTaker stjeler penger fra banker

Group-IB har oppdaget en sofistikert gruppering som de kaller MoneyTaker. Disse har spesialisert seg på å stjele penger fra banker og andre finansielle institusjoner ved hjelp av datainnbrudd. Så langt har det kommet unna med over 10 millioner dollar, hovedsaklig fra banker i Russland og USA.
Referanser
https://www.hackread.com/moneytaker-stole-mil[...]

Internett-trafikk ble rutet om til Russland

I går oppdaget BGPMON at Internett trafikk til og fra flere større Internet-aktører ble rutet via Russland. Over 80 nettverks-prefikser ble rutet om. Disse tilhører blant annet Google, Apple, Facebook, Microsoft, Twitch, NTT og Riot Games. Dette skjedde to ganger og varigheten var rundt 3 minutter hver gang.
Referanser
https://bgpmon.net/popular-destinations-rerou[...]

Fil med 1.4 milliarder brukernavn hacket og lekkede passord funnet på the dark web

Det har vært flere høyprofilerte sikkerhetsbrudd for populære nettsider og online tjenester de siste årene, og det er veldig sannsynlig at mange brukere har blitt rammet av dette. Det er også sannsynlig at brukernavn og passord er listet i en massiv fil som ligger på the dark web. Sikkerhetsforskere hos 4iQ bruker mye av sin tid på å lete på the dark web og har nylig funnet en 41-gigabyte stor fil med 1.4 milliarder brukernavn- og passord-kombinasjoner i klartekst. Rundt 14% av filen er passord, dette vil si ca. 200 millioner. Dataene har ikke kommet fra en enkelt hendelse, men er hentet fra flere forskjellige hendelser. Dataene er hentet fra blant annet nettsider som Netflix, MySpace, LinkedIn og populære spill slik som Minecraft og Runescape.
Referanser
https://www.forbes.com/sites/leemathews/2017/[...]

Sikkerhetsoppdatering til Apple AirPort Base Station

Apple har gitt ut firmware-oppdatering til AirPort Base Station som tar for seg en svakhet i hvordan tilstander (states) blir håndtert. Dette er noe som skal forhindre utnyttelse av den nylig kjente WPA-svakheten kalt KRACK.
Anbefaling
Installer siste oppdatering.
Referanser
https://support.apple.com/en-us/HT208258

Microsofts sikkerhetsoppdateringer for desember

I går var den månedlige patche-tirsdagen til Microsoft. Det har kommet sikkerhetsoppdateringer til flere produkter, deriblant Internet Explorer, Microsoft Edge, Windows, Office, Exchange Server, Microsoft Malware Protection Engine, m.m. Oppdateringene er tilgjengelig gjennom Microsoft Update Catalog (Windows 10) eller Windows Update (Windows RT8.1) Det anbefales at man oppdaterer alle Microsoft-produkter. Les mer om oppdateringen i linken.
Anbefaling
Installer siste oppdateringer fra Microsoft.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]

Monday, 11 December 2017

2017.12.11 - Nyhetsbrev

Kaspersky Lab stenger ned kontoret i D.C. Tysk etteretning advarer mot LinkedIn-spionasje. NorSIS rapport om de største digitale truslene mot bedrifter. Keylogger funnet i HP-driver. Svakhet i Android gjør applikasjoner sårbare for kodemodifisering.

Kaspersky Lab stenger ned kontoret i Washington D.C.

I september annonserte Department of Homeland Security at den amerikanske regjeringen ikke lenger skulle bruke Kasperskys produkter, på grunn av deres tilknytning til Russland. Kaspersky Lab stenger nå ned deres kontor i D.C på grunn av at det ikke lenger er levedyktig.
Referanser
https://techcrunch.com/2017/12/08/kaspersky-l[...]

Tysk etteretning advarer mot LinkedIn-spionasje

Tysk etteretning, BfV, hevder kinesiske spioner bruker LInkedIn til å kartlegge tyske politikere og emebetsfolk. Mer enn 10.000 skal ha blitt kontaktet av falske profiler, forkledd som konsulenter, hodejegere, studenter, forskere eller representanter fra tenketanker, skriver Reuters. En mulig agenda for dette er å rekruttere dem som informanter.
Referanser
https://www.digi.no/artikler/tysk-etterretnin[...]
https://www.reuters.com/article/us-germany-se[...]

NorSIS rapport om de største digitale truslene mot bedrifter

NorSIS har sluppet rapporten "Trusler og trender i 2017 og 2018", som omtaler de største digitale truslene mot bedrifter.
Referanser
https://e24.no/digital/datakriminalitet/fersk[...]

Keylogger funnet i HP-driver

Det er blitt funnet en keylogger i en driver brukt på notebooker fra HP. Keyloggeren er en del av debug-funksjonalitet som ikke har blitt fjernet. Funksjonaliteten er skrudd av som standard, men kan potensielt bli misbrukt av en angriper. Det er utgitt oppdatering til berørte enheter.
Referanser
https://www.bleepingcomputer.com/news/hardwar[...]
https://zwclose.github.io/HP-keylogger/

Svakhet i Android gjør applikasjoner sårbare for kodemodifisering

Forskere fra sikkerhetsfirmaet GuardSquare har oppdaget en svakhet i Android som gjør det mulig å endre kildekoden til en applikasjon uten å forandre applikasjonens signatur. Svakheten tillater en angriper å endre en legitim applikasjon til å inneholde ondsinnet kode, uten å utløse noen sikkerhetsvarsler. Svakheten, som har fått navnet "Janus", skal være rettet opp i Androids månedlige sikkerhetsoppdatering (for desember), men enheter som ikke får oppdateringer direkte fra Android kan fortsatt være utsatt.

Applikasjoner som lastet ned direkte fra Google Play skal ikke være berørte av svakheten.
Referanser
http://www.theregister.co.uk/2017/12/08/andro[...]
https://betanews.com/2017/12/09/android-janus[...]

Friday, 8 December 2017

2017.12.08 - Nyhetsbrev

Mozilla slipper FireFox v57.0.2. Svakhet i Apple HomeKit lot angripere ta over IOT-enheter.

Mozilla slipper FireFox v57.0.2

Mozilla har sluppet versjon 57.0.2 av FireFox. Denne oppdateringen fikser én kritisk svakhet (buffer overflow) i systemet for å tegne 3D-grafikk. Svakheten finnes bare i Windows-utgaven av nettleseren.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Svakhet i Apple HomeKit lot angripere ta over IOT-enheter

En svakhet i HomeKit med iOS 11.2 tillot uautorisert kontroll over komponenter inkludert smartlåser og garasjeportåpnere. Apple har rullet ut en server-side oppdatering som skal forhindre dette, på bekostning av noe funksjonalitet. Komplett oppdatering som gjenoppretter tapt funksjonalitet kommer i løpet av neste uke.
Referanser
https://9to5mac.com/2017/12/07/homekit-vulner[...]

Thursday, 7 December 2017

2017.12.07 - Nyhetsbrev

Apple oppdaterer macOS, iOS, Safari, watchOS og tvOS. Google patcher Android og Chrome. Svakhet i Microsoft Malware Protection Engine. Etiopias spionvare-kampanje avslørt. Bitcoin til en verdi av mer enn 60 millioner dollar potensielt stjålet.

Apple oppdaterer macOS, iOS, Safari, watchOS og tvOS

Apple slipper oppdatering til macOS, iOS, Safari, watchOS, og tvOS.

Oppdateringen til macOS tetter nå for godt feilen som gjorde at en kunne logge inn som root uten passord. macOS er oppe i versjon 10.13.2 med denne oppdateringen. Ellers er det 21 andre svakheter som blir fikset i macOS.

iOS oppdateres til versjon 11.2. Her er det 14 svakheter som fjernes.
Referanser
https://www.cert.dk/da/news/2017-12-07/Apple

Android sikkerhetsoppdatering tetter 47 sikkerhetshull

Ny Android-oppdatering for desember fikser 47 sikkerhetshull, inkludert 10 rangert som kritiske.
Referanser
https://source.android.com/security/bulletin/[...]
http://www.securityweek.com/androids-december[...]

Google med sikkerhetsoppdatering til Chrome

Google lanserte natt til torsdag versjon 63.0.3239.84 av Chrome. Denne inneholder 37 sikkerhetsoppdateringer. Én av disse har fått status som kritisk og flere har også høy viktighet.
Referanser
https://chromereleases.googleblog.com/2017/12[...]

Svakhet i Microsoft Malware Protection Engine

Det har blitt funnet en svakhet i Microsoft Malware Protection Engine (MMPE). En ekstern bruker har mulighet til å lage en spesiell fil som utløser en minne-korrupsjons-feil når den blir skannet av MMPE. Når dette skjer, vil den eksterne brukeren kunne kjøre vilkårlig kode på systemet med LocalSystem privilegier. Microsoft har allerede sluppet en oppdatering for svakheten.
Referanser
http://www.securityfocus.com/bid/102070
http://borncity.com/win/2017/12/07/critical-v[...]

Etiopias spionvare-kampanje avslørt

Etterforskere har avslørt en spionvare-kampanje som siktet seg inn på etiopiske regimekritikere i USA, Storbrittania og andre land. Operasjonen pågikk i over 14 måneder og er utført ved hjelp av programvare fra et israelsk firma. Operasjonen ble kjent etter at loggfiler fra den ble funnet åpent på Internett etter en konfigurasjonsfeil.
Referanser
https://arstechnica.com/tech-policy/2017/12/e[...]

Bitcoin til en verdi av mer enn 60 millioner dollar potensielt stjålet

Hackere kan ha sluppet unna med over 60 millioner dollar i Bitcoin etter et angrep mot mining-plattformen NiceHash. NiceHash har uttalt at de "etterforsker hendelsens natur". NiceHash har ikke selv spesifisert hvor mye Bitcoin som har blitt stjålet, men brukere av plattformen har pekt på en lommebok tilhørende plattformen til en verdi av 68 millioner dollar, som plutselig har blitt tømt.
Referanser
https://www.cnbc.com/2017/12/07/bitcoin-stole[...]
https://www.dn.no/nyheter/2017/12/07/1341/Tek[...]

Wednesday, 6 December 2017

2017.12.06 - Nyhetsbrev

Google tvinger apper til å opplyse om bruk av personlig info. Politi og Microsoft tar ned Gamarue/Andromeda-botnettet. Mozilla med sikkerhetsoppdatering til Firefox.

Google tvinger apper til å opplyse om bruk av personlig info

Google skal begynne å advare brukere om apper og nettsteder som samler inn og benytter seg av personlig informasjon, uten at de opplyser brukeren om dette. Dette skal skje i slutten av januar. Dette kan f.eks. dreie seg om telefonnummer og epost-adresser. Apper som bruker denne typen opplysninger må også begynne å opplyse om dette og ha en egen personvernerklæring i appen.
Referanser
https://threatpost.com/google-cracks-down-on-[...]

Microsoft samarbeider med myndigheter for å stoppe Gamarue

Ved hjelp av Micrsoft har myndigheter i flere land fått stoppet Gamarue, et malware som videre infiserer i det såkalte Andromeda botnettet. Arbeidet startet først i desember 2015 og de kan nå endelig se resultater.
Referanser
https://blogs.technet.microsoft.com/mmpc/2017[...]

Person bak botnettet Andromeda har blitt identifisert og arrestert

Microsoft og politi fra flere land tok denne uken ned Andromeda-botnettet. Én av bakmennene har nå blitt identifisert og arrestert. Vedkommende ble avslørt ved hjelp av ICQ login-nummeret hans.
Referanser
https://arstechnica.com/tech-policy/2017/12/m[...]

Mailsploit lar hvem som helst lage spoofede eposter

Noen har oppdaget flere svakheter i epost-systemer som gjør det lett å forfalske avsender-adressen i eposter. Disse svakhetene har blitt samlet på en side der en kan sende test-eposter for å sjekke hvilke systemer som er sårbare. Filene finnes i rundt 30 forskjellige systemer, blant annet Apple Mail, Mozilla Thunderbird, forskjellige Microsoft-klienter, Yahoo! Mail og ProtonMail. Systemene blir lurt ved å kode om ASCII-tegn til BASE64 sammen med andre teknikker. DKIM hjelper ikke med angrepene. Alle leverandørene har blitt kontaktet for over tre måneder siden.
Referanser
https://www.wired.com/story/mailsploit-lets-h[...]
https://www.mailsploit.com/index

Mozilla med sikkerhetsoppdatering til Firefox

Mozilla lanserte nylig en oppdatering til den populære browseren Firefox som fikser svakheter i versjon 57. Disse oppdateringene tetter blant annet en svakhet som gjør det mulig for en ekstern angriper å ta kontroll over den sårbare klienter. Denne svakheten har blitt kategorisert som kritisk.
Anbefaling
Vi anbefaler å oppdatere Mozilla Firefox til nyeste versjon
Referanser
https://www.mozilla.org/en-US/security/adviso[...]