Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 21 July 2017

2017.07.21 - Nyhetsbrev

Ether verdt 32 millioner dollar stjelt av hackere. Nederlandsk politi har stengt darkweb markedsplassen Hansa.

Ether verdt 32 millioner dollar stjelt av hackere

Tidligere denne uken skrev vi om en hacker som klarte å lure til seg rundt 7,4 millioner dollar verdt av kryptovalutaen Ether. Nå har hackere utnyttet en svakhet til å stjele Ether til en verdi av 32 millioner dollar. Angrepet foregikk over tre transaksjoner.
Referanser
https://www.cyberscoop.com/ether-hack-32-mill[...]

Nederlandsk politi har stengt darkweb markedsplassen Hansa

Etter at AlphaBay ble lagt ned av amerikanske myndigheter tidligere denne måneden, har et stort antall brukere migrert til en tilsvarende markedsplass kalt Hansa. Forsvarsdepartementet i USA meldte i går at Hansa har vært operert av nederlandsk politi den siste måneden, for å registrere brukere som kommer fra AlphaBay for videre etterforskning.
Referanser
https://krebsonsecurity.com/2017/07/after-alp[...]

Thursday, 20 July 2017

2017.07.20 - Nyhetsbrev

Apple fikser en rekke sikkerhetshull for flere av sine produkter.

Apple fikser en rekke sikkerhetshull for flere av sine produkter

Oppdateringen iOS 10.3.3 fikser 47 svakheter som rammer flere av Apples produkter. Det er også gitt ut oppdateringer til WatchOS, tvOS og windows versjoner av iCloud og iTunes. Apple produkter og applikasjoner bør oppdateres til siste versjon.
Referanser
https://www.theregister.co.uk/2017/07/19/appl[...]
https://support.apple.com/en-us/HT207923

Wednesday, 19 July 2017

2017.07.19 - Nyhetsbrev

Millioner av IoT-enheter potensielt sårbare for ny svakhet i utbredt tredjeparts-bibliotek.

Devil's Ivy - Ny svakhet i open-source bibliotek påvirker trolig millioner av IoT-enheter.

Sikkerhetsselskapet Senrio har oppdaget en ny svakhet som trolig gjør millioner av IoT-enheter sårbare for ekstern kjøring av ondsinnet kode. Svakheten har blitt gitt navnet "Devil's Ivy", og ble først oppdaget i web-kameraer fra Axis, men selve sårbarheten som utnyttes befinner seg i et underliggende open-source bibliotek i gSOAP. gSOAP er et utvikler-rammeverk som benyttes av utviklere for å bl.a. gi IoT-enheter internett-tilgang. Pga. den store utbredelsen av gSOAP antyder Senrio at flere ti-talls millioner IoT-enheter kan være påvirket av Devil's Ivy-svakheten på en eller annen måte. Genivia, som står bak gSOAP, har nå patchet svakheten. Axis skal ha fjernet sårbarheten fra 249 kamera-modeller vha. ny firmware.
Anbefaling
Oppdatèr til patchet versjon av gSOAP ihht. https://www.genivia.com/changelog.html#Version_2.8.48_upd_(06/21/2017)
Installer patchet firmware på Axis-kameraer.
Referanser
https://www.darkreading.com/cloud/zero-day-ex[...]
http://blog.senr.io/blog/devils-ivy-flaw-in-w[...]
http://blog.senr.io/devilsivy.html

Tuesday, 18 July 2017

2017.07.18 - Nyhetsbrev

Sikkerhetsoppdatering fra Oracle. Ether verdt 7,4 millioner dollar på avveie etter kronerulling. Sårbarhet i Cisco WebEx nettleserutvidelse.

Sikkerhetsoppdatering fra Oracle

Kritisk sikkerhetsoppdatering fra Oracle 18 Juli. Oppdateringen fikser 315 svakheter fordelt på en rekke av Oracles produkter. Det anbefales å oppdatere så fort som mulig
Referanser
http://www.oracle.com/technetwork/security-ad[...]

Ether verdt 7,4 millioner dollar på avveie etter kronerulling

En hacker klarte å lure til seg rundt 7,4 millioner dollar verdt av krypto-valutaen Ether, etter en Ethereum Initial Coin Offering. Angriperen skal ha tatt kontroll over nettsiden til Coindash, som holdt innsamling. Adressen hvor donasjonene skulle sendes til skal så ha blitt endret slik at alle donasjoner gikk til angriperens egen konto.
Referanser
https://motherboard.vice.com/en_us/article/zm[...]

Sårbarhet i Cisco WebEx nettleserutvidelse.

En sårbarhet i nettleserutvidelsen Cisco WebEx for Google Chrome og Mozilla Firefox åpner for ekstern eksekvering av kode med like rettigheter som nettleseren. Cisco har sluppet en oppdatering for begge nettlesere som fikser sårbarheten.
Anbefaling
Oppdater til nyeste versjon
Referanser
https://tools.cisco.com/security/center/conte[...]

Friday, 14 July 2017

2017.07.14 - Nyhetsbrev

Cisco ute med sikkerhetsoppdateringer

Cisco ute med sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer som fikser flere sårbarheter knyttet til Simple Network Management Protocol (SNMP) i IOS- og IOS XE-programvare. Sårbarhetene kan gjøre at en angriper kan få kontroll over det utsatte systemet.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
https://tools.cisco.com/security/center/conte[...]

Thursday, 13 July 2017

2017.07.13 - Nyhetsbrev

Sikkerhetseksperter advarer om at Verizon-kundeinformasjon fortsatt kan være utsatt. Adobe Security Bulletin for juli 2017

Adobe Security Bulletin for juli 2017

Adobe har kommet med sin Security Bulletin for juli, som fikser flere kritiske sårbarheter i Adobe Flash player. Sårbarhetene kan gjøre at en angriper kan få kontroll over det utsatte systemet.
Referanser
https://helpx.adobe.com/security/products/fla[...]

Sikkerhetseksperter advarer om at Verizon-kundeinformasjon fortsatt kan være utsatt

Sikkerhetseksperter advarer om at brukerinformasjon til flere millioner Verizon-kunder fortsatt kan være utsatt etter at kundedataen ble funnet ubeskyttet og eksponert på en Amazon skytjeneste i slutten av juni. Kundeinformasjonen bestod av blant annet kundenavn, telefonnummer og brukerens PIN-kode, som er alt en angriper trenger for å få tilgang til en persons konto, ifølge ZDNet. Dette kan igjen føre til en angriper kan få tilgang til personens e-post og sosiale medier, selv om kontoene er beskyttet med to-faktor autentisering.
Referanser
http://www.zdnet.com/article/security-experts[...]

Wednesday, 12 July 2017

2017.07.12 - Nyhetsbrev

Microsoft med månedlige oppdateringer og svakhet funnet i Apache Struts 2.

Microsoft med månedlige oppdateringer

Tirsdag offentliggjorde Microsoft sine månedlige sikkerhetsoppdateringer. Microsoft kommer med 54 oppdateringer der 19 av disse anses som kritiske. De mest alvorlige sikkerhetshullene finner vi i Microsoft Scripting Engine som kan føre til at en angriper kan kjøre uautorisert kode fra suspekte nettsider. Det er også oppdateringer til Microsoft Edge som tetter sikkerhetsrelaterte hull.
Referanser
https://www.trustwave.com/Resources/SpiderLab[...]

Kritisk sikkerhetshull i Apache Struts 2

Det ble nylig oppdaget en svakhet i Java MVC-rammeverket Apache Struts 2 der en angriper kan kjøre uautorisert kode via et input felt om meldingen ikke er riktig sanitert. Svakheten er å finne i Struts 1 utvidelse til Struts 2.
Anbefaling
Vi anbefaler å ta kontakt med ansvarlige utviklere for å undersøke om programvaren er rammet.
Referanser
https://cwiki.apache.org/confluence/display/W[...]
https://cve.mitre.org/cgi-bin/cvename.cgi?nam[...]

Tuesday, 11 July 2017

2017.07.11 - Nyhetsbrev

Aktørene bak NotPetya vil selge dekrypteringsnøkkelen

Aktørene bak NotPetya vil selge dekrypteringsnøkkelen

Vice Motherboard har vært i kontakt med en gruppe som hevder å stå bak NotPetya-skadevaren. Gruppen har bevist at de er i besittelse av en fungerende nøkkel ved å dekryptere en fil som ble utlevert av Motherboard. For å gi ut nøkkelen krever gruppen rundt 2 millioner kroner.

Selv om det nå viser seg at det finnes en nøkkel, er det ikke noen garanti for at den fungerer. Metoden for kryptering gjør at ingen filer må være endret eller slettet på disken, og at det bare er utført en omgang med kryptering for å kunne dekryptere.
Referanser
https://www.digi.no/artikler/notpetya-bakmenn[...]

Monday, 10 July 2017

2017.07.10 - Nyhetsbrev

Master-nøkkelen til Petya-skadevaren sluppet. USA varsler om phishing-angrep mot energiindustrien deres og Android ute med oppdatering for kritiske sårbarheter.

Personen bak den opprinnelige Petya-skadevaren har gitt ut master-nøkkelen

Janus, som er kjent for å være personen bak den opprinnelige Petya-skadevaren (må ikke forveksles med det nylige NotPetya-skadevaren), har gjort master-nøkkelen tilgjengelig online. Dette betyr at ofre for angrepet nå kan dekryptere filene sine uten å betale løsepenger. Forskere fra KasperskyLab har bekreftet at dekrypteringsnøkkelen fungerer på filer kryptert av Petya-skadevaren, samt tidlige versjoner av GoldenEye-skadevaren.
Referanser
http://securityaffairs.co/wordpress/60776/mal[...]

FBI og sikkerhetsdepartementet i USA varsler om phishing-angrep mot energiindustrien

FBI og sikkerhetsdepartementet i USA har sendt ut en fellesrapport som opplyser om phishing-angrep rettet mot ansatte i atomkraftverkselskaper i USA, melder nyhetsbyrået New York Times. Angrepene skal ha holdt på siden mai, og har bestått av e-poster som inneholdt jobbsøknader knyttet til spesifikke stillinger innenfor atomkraftverkene.
Referanser
https://arstechnica.com/security/2017/07/dhs-[...]

Android Security Bulletin for juli 2017

Android har kommet med sin Security Bulletin for juli, hvor de fikser en rekke kritiske sårbarheter. Den mest alvorlige svakheten gjør det mulig for en ekstern angriper og kjøre uautorisert kode på enheten via en spesiallaget fil. Google har allerede gitt ut sikkerhetsoppdatering til sine enheter, blant annet, Nexus og Pixel. Oppdateringene er også tilgjengelig for alle partnerne.
Anbefaling
Oppdater Android baserte enheter om mulig.
Referanser
https://source.android.com/security/bulletin/[...]

Friday, 7 July 2017

2017.07.07 - Nyhetsbrev

Flere sikkerhetshull i Joomla tettes. Cisco med oppdatering for flere alvorlige sikkerhetshull. NotPetya bakmenn har hentet ut bitcoins. NotPetya bakmenn skal ha dekryptert filer. Cisco Talos med analyse av hendelsesforløpet til Petya.

Joomla! ute med ny versjon

Joomla! har sluppet versjon 3.7.3 som inneholder flere sikkerhetsoppdateringer og bug-fixes. Brukere rådes til å oppdatere så fort som mulig.
Referanser
https://www.joomla.org/announcements/release-[...]

Cisco ute med oppdateringer

Cisco har sluppet sikkerhetsoppdateringer som fikser ulike svakheter i flere av sine produkter. Svakhetene kan gi en angriper full kontroll over det utsatte systemet.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Ukrainsk politi har tatt beslag i utstyr tilhørende regnskapsbyrået MeDoc

Ukrainske myndigheter beslagla servere og annet utstyr fra det nettbaserte regnskapsbyrået MeDoc, som mistenkes å ha hatt en betydelig rolle i det nylige NotPetya-angrepet. Det ukrainske politiet oppdaget ny og mistenkelig aktivitet, og valgte derfor å beslaglegge utstyret i frykt for nye angrep.
Referanser
http://securityaffairs.co/wordpress/60708/hac[...]

NotPetya-bakmenn tok ut penger fra Bitcoin-konto

Personene bak NotPetya-angrepet har tatt ut rundt 3.97 Bitcoin, som tilsvarer omtrent 10382 USD, fra en konto knyttet til angrepet. Dette er det første uttaket som er registrert i forbindelse med NotPetya-angrepet.
Referanser
http://securityaffairs.co/wordpress/60708/hac[...]

Påståtte bakmenn bak NotPetya skal ha dekryptert en infisert fil

En gruppe hackere som hevder de står bak skadevaren NotPetya skal ha dekryptert en infisert fil. Det hevdes at personer knyttet til skadevaren tilbyr en nøkkel som åpner alle NotPetya-krypterte filer. Dette strider i mot informasjon om at bakmennene ikke skal ha hatt økonomiske motiver.
Referanser
https://motherboard.vice.com/en_us/article/ev[...]

Cisco Talos publiserte rapport som beskriver hendelsesforløpet til Petya-skadevaren

Cisco Talos publiserte nylig en rapport som beskriver hendelsesforløpet rundt løsepenge-skadevaren Petya, som spredde seg i stor skala i juni. Landet som ble hardest truffet var Ukraina, der over 2000 bedrifter skal ha blitt rammet.
Referanser
http://blog.talosintelligence.com/2017/07/the[...]

Thursday, 6 July 2017

2017.07.06 - Nyhetsbrev

Storbritannia har satt igang en etterforskning rundt skadene gjort av ransomware-skadevaren WannaCry.

Storbritannia starter etterforskning etter at helsesektoren ble rammet at WannaCry tidligere i år

Parlamentet i Storbritannia har satt igang en etterforskning som skal se nærmere på spørsmål rundt skadene gjort av ransomware-skadevaren WannaCry. Skadevaren førte til store problemer i den engelske helsesektoren, der blant annet datamaskiner brukt i diagnostikk ble infisert.
Referanser
https://www.theregister.co.uk/2017/07/05/nhs_[...]

Tuesday, 4 July 2017

2017.07.04 - Nyhetsbrev

Undersøkelser antyder at bakmennene bak NotPetya ikke hadde tilgang på kildekoden til Petya.

ASCII-tegning avslører at personene bak NotPetya ikke hadde Petya-kildekoden.

Ifølge en analyse gjennomført av sikkerhetsekspert "Hasherezade" for Malware Bytes, viser det seg at personene bak skadevaren NotPetya antageligvis ikke har hatt tilgang til kildekoden til utpressingsvaren Petya. Etter nærmere undersøkelser er det blitt funnet en funksjon i begge skadevarene som blir brukt til å vise en rød hodeskalle i ASCII-tegn når en infisert klient blir startet på nytt. I NotPetya er derimot kallet som kjører denne funksjonen blitt fjernet, noe som gjør at hodeskallen ikke vises ved oppstart. Dette tyder på at personene bak NotPetya har endret dette manuelt i maskinkoden, altså gjort endringer i den kompilerte koden.
Referanser
https://www.digi.no/artikler/blinkende-ascii-[...]

Monday, 3 July 2017

2017.07.03 - Nyhetsbrev

Sårbarhet oppdaget i Cisco IOS og IOS XE Software.

Sårbarhet oppdaget i Cisco IOS og IOS XE Software

Cisco advarer nå mot flere sårbarheter funnet i subsystemet forbundet med SNMP i deres Cisco IOS og IOS XE Software. Ved utnyttelse vil angriper kunne fjerneksekvere fiendtlig kode, og oppnå fullstendig kontroll over det utsatte systemet.
Referanser
https://tools.cisco.com/security/center/conte[...]

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2017

Denne måneden var det 112 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, en liten nedgang fra forrige måned. Hendelsene er typisk ansatte som blir lurt av phishing-sider, forskjellige typer uønsket programvare og også en del trojanere som f.eks. kan stjele bankopplysninger.

Det var 434 bekreftede DDoS-angrep i juni. 132 av disse ble mitigert. Et gjennomsnittlig angrep var på 2.38 Gbps og varte i 45 minutter. Det største angrepet observert i denne perioden var på 26.3 Gbps og varte 33 minutter. Flere av våre betalende kunder ble utsatt for angrep denne måneden.

Tirsdag 27. juni var det et større utbrudd av malware som rammet mange organisasjoner internasjonalt. Det dreide seg om en variant av løsepengeviruset Petya, og alle trodde også at dette var et løsepengevirus. Den initielle infeksjonsvektoren var en infisert oppdateringsmekanisme til den ukrainske programvaren M. E. Doc, som benyttes for å sende inn finansiell informasjon til myndighetene for skatteberegning. Når viruset først var på innsiden av nettverket, benyttet det seg av flere metoder for videre intern spredning. Det samlet inn brukernavn og passord fra minnet og benyttet vanlige Windows-verktøy for å fjernkjøre kommandoer. Petya-varianten benytter også svakheten Eternal Blue, den samme som ble benyttet av WannaCry-ormen. Infeksjonene startet i Ukraina, men spredde seg fort via interne nettverk i større internasjonale konsern. NorCERT meldte at et mindre antall bedrifter i Norge ble rammet, alle med internasjonale forbindelser.

To dager etter angrepet ble det klart at løsepengeviruset i virkeligheten var en såkalt “wiper”, altså programvare laget for å sabotere PCer ved å slette dataene. Malwaren oppgir en kode til brukeren, som skal sendes inn til bakmennene for å få dekryptert dataene. Koden viste seg imidlertid å være en tilfeldig rekke med tall og bokstaver. Målsettingen med angrepet var altså å gjøre størst mulig skade, ikke å tjene penger. Mange mistenker Russland for å stå bak også dette angrepet.

En underleverandør av Pentagon, Booz Allen, la 28 GB med data åpent tilgjengelig på Amazons skylagringstjenesten S3. I disse dataene var det større mengder med sensitiv informasjon, private SSH-nøkler og passord til flere statlige systemer i USA. Det er et utbredt problem at filer lagres åpent på skytjenester som Amazon S3 og Microsoft Azure. Brukerne er ofte ikke klar over at det ikke kreves autentisering for å få tilgang til filene.

Russland gjennomførte cyberangrep mot amerikansk leverandør av valgprogramvare og sendte spear-phishing e-post til mer enn 100 lokale valgtjenestemenn kun dager før forrige presidentvalg. Dette avsløres i en lekket rapport fra NSA, publisert av The Intercept. Personen som lekket NSA-rapporten, ble senere arrestert etter å ha sendt dokumentet til The Intercept. NSA fant ut at seks personer hadde skrevet ut dokumentet, og den arresterte var én av disse. The Intercept har heller ikke fjernet vannmerkene (gule prikker) i dokumentet. Ved hjelp av disse vannmerkene kan produsent av skriver, serienummer og dato for utskrift avsløres.

Sikkerhetsselskapet ESET og Dragos ga ut en detaljert analyse av skadevaren som tok ned deler av strømnettet i Ukraina i desember 2016. Aktørene plasserer skadevaren Industroyer/Crash Override i samme kategori som Stuxnet, siden den er det andre tilfellet av skadevare som er oppdaget, der målet er å forstyrre fysiske installasjoner. Skadevaren kan blant annet kommunisere med industrielle styringssystemer for kraftforsyning og slette harddisker.

I August 2016 mottok daværende president Barack Obama en beskjed fra CIA om at Russlands president, Vladimir Putin, var direkte involvert i en kampanje for å forstyrre USAs presidentvalg. Da det ble klart at Donald Trump vant presidentvalget, beordret Obama en grundig gjennomgang av Russlands faktiske innflytelse over USAs valgsystem, helt tilbake til 2008. Videre ble malware gjemt i viktige deler av Russlands nettverk som gjør det mulig for USA å forstyrre viktige Russiske systemer.


Firmaer som Cisco, IBM og SAP gjør kildekoden sin tilgjengelig for inspeksjon i Russland. Gjennomgangen blir gjort av russerne for å sjekke om det finnes bakdører eller feil i programvaren. Sikkerhetseksperter er bekymret for at inspeksjonene kan brukes til å finne feil i produktene som kan utnyttes i data-angrep.

Friday, 30 June 2017

2017.06.30 - Nyhetsbrev

Microsoft med videre detaljer rundt NotPetya. Diverse Linux-distribusjoner sårbare ved DNS-spørringer.

Microsoft med videre detaljer rundt NotPetya

Microsoft har en bloggpost med videre detaljer rundt NotPeyta-angrepet. De går også igjennom forskjellige teknikker for å minske risikoen ved denne typen angrep.
Referanser
https://blogs.technet.microsoft.com/mmpc/2017[...]

Diverse Linux-distribusjoner sårbare ved DNS-spørringer

En svakhet i Systemd, brukt av en rekke Linux distribusjoner, kan resultere i ekstern kode-eksekvering ved hjelp av ondsinnede DNS servere. Angriperens DNS-server konfigureres til å svare på DNS-forespørsler på en måte hvor systemd-resolved blir lurt til å allokere for lite buffer. Videre svar resulterer i buffer overflow. Svakheten, CVE-2017-9445, har blitt fikset og det anbefales å oppdatere til nyeste versjon.
Anbefaling
Oppdater til nyeste versjon.
Referanser
http://www.theregister.co.uk/2017/06/29/syste[...]

Thursday, 29 June 2017

2017.06.29 - Nyhetsbrev

Gårsdagens ransomware-angrep var egentlig et wiper-angrep.

Gårsdagens ransomware-angrep var egentlig et wiper-angrep

Angrepet som tirsdag infiserte maskiner over store deler av verden, ser ut til å ha et annet formål enn først antatt. Malwaren brukt i angrepet blir omtalt som NotPetya pga. likheten med utpressingsprogrammvaren Petya.

Ut fra analyse av programvaren mener eksperter at formålet med angrepet ikke var finansielt. NotPetya viser seg å være en såkalt Wiper, som vil si at den ikke krypterer data, med ødelegger dem. Grunnen til dette er at den unike tallkoden en blir bedt om å sende inn til bakmennene etter kryptering av harddisken. Koden har ikke noe med krypteringsnøkkelen å gjøre, men er tilfeldig generert. Filene kan altså ikke dekrypteres.

Sikkerhetsanalytikere i Ukraina mener dette var et angrep rettet mot Ukraina med destruktive formål, skjult som ransomware. Det spekuleres også om at det er aktører knyttet til Russland som står bak angrepet.
Referanser
https://securelist.com/expetrpetyanotpetya-is[...]
https://www.wired.com/story/petya-ransomware-[...]

Wednesday, 28 June 2017

2017.06.28 - Nyhetsbrev

Nytt stort ransomware-angrep med ny Petya-variant. Microsoft EMET inkluderes i Windows 10 til høsten. Svakhet i Skype v7.2, v7.35 og v7.36.

Nytt stort ransomware-angrep med ny Petya-variant

I går kveld var det et større utbrudd av ransomware/løsepengevirus som rammet mange organisasjoner internasjonalt. Det dreier seg om en variant av den tidligere Petya. Den initielle infeksjonsvektoren virker å være en infisert oppdateringsmekanisme til den ukrainske programvaren MEDoc. Det kan også være flere kilder, men ingen er så langt bekreftet.

Når viruset først er på innsiden av et nettverk benytter det seg av flere metoder for videre intern spredning. Det samler inn brukernavn og passord fra minnet og benytter seg av delte kataloger og RDP-sesjoner. Vanlige Windows-verktøy for å fjernkjøre kommandoer blir videre brukt. Petya-varianten benytter også svakheten Eternal Blue, som også ble benyttet av WannaCry-ormen. I tillegg bruker den også en annen SMB-svakhet kalt Eternal Romance. Begge disse svakhetene ble patchet av Microsoft i mars.

For å få dekryptert filene, må en sende informasjon til en e-post-adresse som vises etter at filene har blitt kryptert. Denne e-postadressen ble raskt tatt ned, og det er derfor ingen kjent mulighet for å få dekryptert filene.

Infeksjonene startet mest sannsynlig i Ukraina, men spredde seg fort via interne nettverk i større internalsjonale konsern. NorCERT melder at et mindre antall bedrifter i Norge er rammet, alle med forbindelser til andre land.

Mange mener at dette angrepet minner mer om et cyber-angrep mot Ukraina, enn faktisk ransomware. Dette skyldes at den eneste hittil kjente infeksjonsvektoren er programvare som hovedsaklig brukes i Ukraina. Systemet for å betale og få låst opp filene er også veldig lite robust.
Referanser
https://blogs.technet.microsoft.com/mmpc/2017[...]
https://securelist.com/schroedingers-petya/78870/

Microsoft EMET inkluderes i Windows 10 til høsten

Microsoft Enhanced Mitigation Experience Toolkit gjennopstår til høsten. Det vil da bli en innebygget del av Windows 10. Verktøyet brukes for økt sikkerhet for Windows systemer.
Referanser
https://arstechnica.com/information-technolog[...]

Svakhet i Skype v7.2, v7.35 og v7.36

En svakhet i Skype muliggjør ekstern kodeeksekvering. Feilen er rettet i den siste versjonen. PoC (Proof of Concep)-kode er sluppet, og det kan derfor tenkes at svakheten vil bli utnyttet aktivt snart.
Anbefaling
Oppdater til nyeste versjon.
Referanser
https://www.darkreading.com/vulnerabilities--[...]
https://www.vulnerability-db.com/?q=articles/[...]

Tuesday, 27 June 2017

2017.06.27 - Nyhetsbrev

Microsoft patcher enda en kritisk svakhet i Microsoft Malware Protection Engine.

Enda en kritisk svakhet i Microsoft Malware Protection Engine

Sikkerhetsforskeren Tavis Ormandy hos Google har oppdaget enda en kritisk svakhet i Microsoft Malware Protection Engine, som blant annet brukes av innebygget anti-virus i Windows. Denne feilen lot en angriper ta kontroll over systemet, dersom det scannet en spesielt utformet exe-fil. Svakheten ble patchet i en automatisk oppdatering av Windows sist fredag.
Anbefaling
Windows oppdaterer automatisk til siste versjon
Referanser
https://threatpost.com/another-rce-vulnerabil[...]
https://portal.msrc.microsoft.com/en-US/secur[...]

Monday, 26 June 2017

2017.06.26 - Nyhetsbrev

Vestlige firmaer får kildekoden sin gjennomgått av Russland. Barack Obama autoriserte en hemmelig kyberoperasjon mot Russland. Angrep mot det britiske Parlimentet. Microsoft Windows 10-kildekode lekket.

Vestlige firmaer får kildekoden sin gjennomgått av Russland

Firmaer som Cisco, IBM og SAP gjør kildekoden sin tilgjengelig for inspeksjon i Russland. Gjennomgangen blir gjort av russerne for å sjekke om det finnes bakdører eller feil i programvaren. Sikkerhetseksperter er bekymret for at inspeksjonene kan brukes til å finne feil i produktene som kan utnyttes i data-angrep.
Referanser
http://www.reuters.com/article/us-usa-russia-[...]

Barack Obama autoriserte en hemmelig kyberoperasjon mot Russland

I August 2016 mottok daværende president Barack Obama en beskjed fra CIA om at Russlands president, Vladimir Putin, var direkte involvert i en kampanje for å forstyrre USAs presidentvalg. Da det ble klart at Donald Trump vant presidentvalget, beordret Obama en grundig gjennomgang av Russlands faktiske innflytelse over USAs valgsystem, helt tilbake til 2008. Videre ble malware gjemt i viktige deler av Russlands nettverk som gjør det mulig for USA å forstyrre viktige Russiske systemer.
Referanser
https://www.engadget.com/2017/06/23/report-ob[...]
https://www.washingtonpost.com/graphics/2017/[...]

Angrep mot det britiske parlamentet

Lørdag ble deler av kommunikasjonssystemet til Parlamentet i Storbritannia tatt ned for å avverge et cyberangrep. Det ble oppdaget at uvedkommende prøvde å få tilgang til epost-kontoer gjennom å gjette seg fram til passord. For å begrense angrepet, ble alle eksterne forsøk på å logge seg inn på epost-kontoer blokkert. To dager tidligere ble det varslet at 8000 passord tilhørende offentlige ansatte i Storbritannia ble lagt ut for salg på russiske hacker-sider.
Referanser
https://www.bloomberg.com/news/articles/2017-[...]
http://www.dn.no/nyheter/2017/06/25/1044/Tekn[...]

Deler av Microsoft Windows 10-kildekode lekket

The Verge melder at deler av kildekoden til Windows 10 har blitt postet til Beta Archive, et Windows-entusiast-nettsted. Den lekkede koden er en del av Microsofts Shared Source Kit og omfatter USB, lagring og WiFi-drivere i Windows 10. Det meste har vært tilgjengelig over en lengre periode, men noen deler av Shared Source Kit ble lekket ved en feil. Sikkerhetseksperter er redd for at dette kan bli brukt til å finne og utnytte svakheter i Windows 10.
Referanser
https://www.theverge.com/2017/6/24/15867350/m[...]
https://www.engadget.com/2017/06/24/windows-1[...]

Friday, 23 June 2017

2017.06.23 - Nyhetsbrev

Wikileaks: Hvordan CIA infiserer nettverk som ikke er koblet til Internett.

Hvordan CIA infiserer nettverk som ikke er koblet til Internett

Wikileaks har sluppet en ny runde med dokumentasjon lekket fra CIA. I denne runden er det store mengder dokumentasjon rundt verktøy som brukes for å infisere ekstra sikre nett, som ikke er koblet til Internett. Dette gjøres gjerne ved hjelp av USB-enheter og intern spredning.

Microsoft opplyser at alle svakheter som er omtalt i dokumentene allerede er patchet i alle støttede versjoner av Windows.
Referanser
https://arstechnica.com/security/2017/06/leak[...]

Thursday, 22 June 2017

2017.06.22 - Nyhetsbrev

Norge på topp 3 i Europa på datasikkerhet. Honda-fabrikk rammet av WannaCry. Microsoft utvider Edge Bounty-program. OpenVPN patcher kritisk svakhet. Cisco har sluppet sikkerhetsoppdateringer. Drupal patcher svakheter i nye versjoner.

Norge på topp 3 i Europa på datasikkerhet

Global Cybersecurity Index 2017, som er utarbeidet av FN, rangerer Norge som det tredje beste landet i Europa på datasikkerhet. Rapporten tar for seg faktorer som lovverk, håndtering av trusler og samarbeid mellom organisasjoner. Estland og Frankrike tar henholdsvis første- og andre-plassen i rangeringen.
Referanser
https://www.itu.int/en/ITU-D/Cybersecurity/Pa[...]

Honda-fabrikk rammet av WannaCry

En av Hondas fabrikker i Japan stoppet produksjonen etter funn av WannaCry-infeksjoner i nettverket deres. Det er uvisst hvorfor dette ble oppdaget eller skjedde først 5 uker etter spredningen av utpressingsprogramvaren.
Referanser
https://threatpost.com/honda-shut-down-plant-[...]
https://arstechnica.com/security/2017/06/5-we[...]

Microsoft utvider Edge Bounty-program

Microsoft utvider sitt belønningsprogram for funn av svakheter i deres nettleser Microsoft Edge. Microsoft har utbetalt over 200 000 dollar i løpet av de siste 10 månedene. De ønsker nå å utvide tilbudet for å motivere forskere til å avdekke svakheter ved nettleseren. Belønningene for å oppdage slike svakheter varier fra 500 til 15 000 dollar.
Referanser
https://blogs.technet.microsoft.com/msrc/2017[...]

OpenVPN patcher kritisk svakhet

OpenVPN har sluppet en ny versjon som fikser 4 svakheter. Én av disse svakhetene kan brukes av en VPN-klient til å kompromittere serveren han er tilkoblet. Svakheten er funnet ved hjelp av fuzzing.
Anbefaling
Oppdater til siste versjon
Referanser
https://threatpost.com/openvpn-patches-critic[...]

Cisco har sluppet sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer for Prime Infrastructure and Evolved Programmable Network Manager, Virtualized Packet Core og WebEx Network Recording Player.
Anbefaling
Oppdater relevant programvare.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Drupal patcher svakheter i nye versjoner

Drupal har sluppet versjon 8.3.4 og 7.56 som fikser en rekke sikkerhetssvakheter i programvaren.
Anbefaling
Oppdater til versjon 8.3.4 eller 7.56.
Referanser
https://www.drupal.org/SA-CORE-2017-003

Wednesday, 21 June 2017

2017.06.21 - Nyhetsbrev

Artikkel om kyber-angrepet Russland utførte mot Ukraina i desember. Nasjonal Sikkerhetsmyndighet advarer om hackerangrep under årets valgkamp. 76 arrestert for nettsvindel av Europol. Nye bølger av malware i Googles app-butikk.

Artikkel om kyber-angrepet Russland utførte mot Ukraina i desember

Wired har publisert en artikkel som forteller historien om kyber-angrepet Russland utførte mot Ukraina i desember i fjor. Wired mener at Russland bruker Ukraina som et "test-land" for å prøve ut sine cybervåpen.
Referanser
https://www.wired.com/story/russian-hackers-a[...]

Nasjonal Sikkerhetsmyndighet advarer om hackerangrep under årets valgkamp

Nasjonal sikkerhetsmyndighet advarer om hackerangrep mot politiske partier for å påvirke utfallet under årets valgkamp. Det har blitt iverksatt en beredskapsordning for partiene på Stortinget.
Referanser
http://www.klassekampen.no/article/20170621/A[...]

76 arrestert for nettsvindel av Europol

Europol har aksjonert mot nettsvindel i 26 land fra 6. til 16. juni. Dette resulterte i 76 arrestasjoner. De arresterte var ansvarlige for over 20.000 pengeoverføringer i forbindelse med svindel. Les flere detaljer i Europols rapport.
Referanser
https://www.europol.europa.eu/newsroom/news/7[...]

Nye bølger av malware i Googles app-butikk

For andre gang denne måneden fjerner Google grupper med applikasjoner som er infisert av malware. Denne gangen var det "Ztorg" som var inkludert sammen med flere apper. Denne kan ta kontroll over eldre telefoner ved å oppnå root-tilgang. Sørg for å holde deg til kjente leverandører og apper ved nedlasting fra Google Play.
Referanser
https://arstechnica.com/security/2017/06/more[...]

Tuesday, 20 June 2017

2017.06.20 - Nyhetsbrev

Personopplysninger til nesten 200 millioner amerikanske velgere eksponert. Stack Clash sårbarhet i Linux, BSD og Solaris.

Stack Clash sårbarhet i Linux, BSD og Solaris

Linux, BSD, Solaris og andre open source systemer er sårbare for en lokal rettighetseskaleringssvakhet kjent som Stack Clash. Sårbarheten gjør at en angriper kan utnytte en svakhet i minnehåndteringen, og kan kjøre kode som root. Foreløpig ser det ut til at det kreves en lokal bruker på systemet for å utnytte svakheten. Flere Linux-distribusjoner har allerede sluppet oppdateringer.
Referanser
https://blog.qualys.com/securitylabs/2017/06/[...]
https://threatpost.com/stack-clash-vulnerabil[...]

Personopplysninger til nesten 200 millioner amerikanske velgere eksponert

Sensitiv persondata til nesten 200 millioner amerikanske velgere var eksponert på internett over en lengre periode. Dataene lå ubeskyttet og offentlig tilgjengelig i en skylagringstjeneste.

Personopplysningene ble innhentet av et markedsføringsfirma leid inn av det republikanskje partiet i forbindelse med presidentvalget i USA. I dataene er det fødselsdatoer, hjemmeadresser og telefonnumre, samt personenes politiske og religiøse tilknytning.
Referanser
https://www.upguard.com/breaches/the-rnc-files
http://www.bbc.com/news/technology-40331215

Friday, 16 June 2017

2017.06.16 - Nyhetsbrev

Avansert CIA-firmware har infisert Wi-Fi-rutere i flere år. Google har gitt ut oppdateringer for Google Chrome.

Google har gitt ut oppdateringer for Google Chrome

Google har gitt ut oppdateringer som fikser flere svakheter i Google Chrome. Det anbefales å oppdatere til siste versjon så snart oppdateringen er tilgjengelig. Dette vil skje i løpet av de kommende dagene/ukene. Mer informasjon angående svakhetene vil bli publisert etter at oppdateringen har blitt rullet ut.
Referanser
https://chromereleases.googleblog.com/2017/06[...]

Avansert CIA-firmware har infisert Wi-Fi-rutere i flere år

Hjemmerutere fra ti forskjellige produsenter kan bli brukt som et skjult lyttepunkt som gjør det mulig for CIA å overvåke og manipulere nettverkstrafikk, samt infisere tilkoblede enheter. Dette kommer frem i et lekket dokument som ble publisert på WikiLeaks, og dateres tilbake til 2007. Linksys, DLink og Belkin er blant produsentene som blir omtalt i dokumentet.
Referanser
https://arstechnica.com/security/2017/06/adva[...]

Thursday, 15 June 2017

2017.06.15 - Nyhetsbrev

Jaff ransomware kan nå dekrypteres. Svakheter i BIND.

Jaff ransomware kan nå dekrypteres

Kaspersky Labs har sluppet et verktøy som kan dekryptere maskiner som har blitt kryptert av ransomwaren Jaff. En teknikker hos Kaspersky har heldigvis funnet en svakhet i måten krypteringen er implementert på.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Svakheter i BIND

ISC har sluppet informasjon om svakheter i BIND. Svakhetene kan brukes til å ta kontroll over et sårbart system. Det anbefales å slå av støtte for biblioteket LMDB (libmdb) inntil versjon 9.11.2 slippes av ISC senere i sommer.
Anbefaling
Implementer workaround i påvente av neste versjon
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 14 June 2017

2017.06.14 - Nyhetsbrev

Produkter fra Microsoft, Adobe, SAP og Mozilla blir patchet. US-CERT har en detaljert beskrivelse av Nord-Koreas DDoS botnet-infrastruktur. Fortinet har oppdaget "Ransomware-as-a-Service" rettet mot OSX.

Adobe patcher Flash og andre produkter

Adobe har sluppet oppdateringer for Flash Player, Shockwave Player, Captivate og Digital Editions. I Flash er det to kritiske svakheter som patches.
Referanser
https://helpx.adobe.com/security.html

SAP tetter en rekke sårbarheter i månedlig sikkerhetsoppdatering

SAP gir ut 18 oppdateringer ifbm. deres månedlige patche-tirsdag.
Referanser
https://blogs.sap.com/2017/06/13/sap-security[...]

Mozilla fjerner en rekke alvorlige svakheter i Firefox

Mozilla gir ut Firefox 54, der de fjerner en lang rekke sårbarheter, hvorav flere er å anse som alvorlig.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Stor sikkerhetsoppdatering fra Microsoft

I denne månedens patche-tirsdag lanseres oppdateringer for flere kritiske sikkerhetshull. Av totalt 98 bulletiner er 16 vurdert som kritiske. En sårbarhet navngitt CVE-2017-8543 trekkes spesielt frem. Sårbarheten finnes i Windows Search Service, og kan gi en angriper eskalerte privilegier. Sårbarheten kan også utnyttes over SMB.

Microsoft slipper også enkelte oppdateringer til eldre plattformer som i utgangspunktet ikke lenger mottar sikkerhetsoppdateringer. Disse patcher flere svakheter i SMB som ble avslørt gjennom lekkasjer fra NSA.
Referanser
https://technet.microsoft.com/en-us/library/s[...]
https://support.microsoft.com/en-us/help/4025[...]
https://krebsonsecurity.com/2017/06/microsoft[...]

OSX Ransomware som kan tilpasses angripers ønske

Fortinet oppdaget nylig ransomware rettet mot OSX / Mac brukere. Skadevaren ble annonsert gjennom TOR-nettverket som en RaaS-tjeneste (ransomware as a service) og utvikleren tilbyr spesiallagde versjoner av ransomwaren til potensielle kjøpere.
Referanser
https://blog.fortinet.com/2017/06/09/macranso[...]
https://objective-see.com/blog/blog_0x1E.html

US-CERT gir ut detaljert beskrivelse av Nord-Koreas DDoS botnet-infrastruktur

US-CERT har gitt ut en detaljert beskrivelse som definerer tekniske detaljer om ulike verktøy og infrastruktur brukt av Nord Korea, også kjent som Lazarus Group.
Referanser
https://www.us-cert.gov/ncas/alerts/TA17-164A

Tuesday, 13 June 2017

2017.06.13 - Nyhetsbrev

Amerikanske cyber-våpen har vært lite effektive mot ISIS. Analyse av skadevaren som tok ned deler av strømnettet i Ukraina.

Amerikanske cyber-våpen har vært lite effektive mot ISIS

Amerikanske cyber-våpen, som blant annet har vært brukt mot Iran og Nord-Korea, har vist seg å være lite effektive mot ISIS. Grunnen er at ISIS hovedsakelig bruker Internett til tjenester som enkelt kan settes opp på nytt hvis de skulle bli tatt ned, deriblant rekruttering og spredning av propaganda. Selve krigføringen fra denne grupperingen benytter seg i liten grad av avanserte systemer som kan hackes.
Referanser
https://mobile.nytimes.com/2017/06/12/world/m[...]

Analyse av skadevaren som tok ned deler av strømnettet i Ukraina

Sikkerhetsselskapet ESET og Dragos har sluppet en detaljert analyse av skadevaren som tok ned deler av strømnettet i Ukraina for syv måneder siden. Aktørene plasserer skadevaren "Industroyer" i samme kategori som Stuxnet, siden den er det andre tilfellet av skadevare som er oppdaget, der målet er å forstyrre fysiske installasjoner. Skadevaren kan blant annet kommunisere med industrielle styringssystemer for kraftforsyning og slette harddisker.
Referanser
https://www.wired.com/story/crash-override-malware
https://www.welivesecurity.com/2017/06/12/ind[...]

Monday, 12 June 2017

2017.06.12 - Nyhetsbrev

Google fjernet infisert Android-applikasjon fra Play Store.

Google fjernet infisert Android-applikasjon fra Play Store

Googles sikkerhetsteam fjernet Android-applikasjonen "colourblock" fra Play Store etter det kom frem at den inneholdt malware. Trojanen, som har fått navnet DVMap, inneholdt fire exploit-pakker som kan bli brukt til å få root-tilgang på enheten. Malwaren benytter seg av code-injection mot en av systemprosessene for å skjule seg.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday, 9 June 2017

2017.06.09 - Nyhetsbrev

Al Jazeera opplyser at de er under kontinuerlig cyber-angrep.

Al Jazeera opplyser at de er under kontinuerlig cyber-angrep

Det Qatar-baserte nyhetsbyrået Al Jazeera er under kontinuerlig og kraftig cyber-angrep opplyser byrået selv. Angrepene settes i sammenheng med blokkaden av Qatar innført av nabolandene på mandag. Ingen av systemene har så langt blitt kompromittert opplyses det.
Referanser
http://www.aljazeera.com/news/2017/06/al-jaze[...]
http://time.com/4811457/al-jazeera-cyber-atta[...]

Thursday, 8 June 2017

2017.06.08 - Nyhetsbrev

PLATINUM bruker ny metode for skjult kommunikasjon mellom maskiner, Cisco og VMware har sluppet oppdateringer, oppsummering av nyhetsbildet innen datasikkerhet for mai 2017 og Zusy skadevare utnytter PowerPoint sin støtte for eksterne programmer.

Oppdatering fra VMware

VMware har sluppet en oppdatering som fikser flere svakheter knyttet til vSphere Data Protection. Svakhetene gjør det mulig for en angriper å utføre kommandoer på enheten.
Referanser
http://www.vmware.com/security/advisories/VMS[...]

PLATINUM bruker ny metode for skjult kommunikasjon mellom maskiner

Hackergruppen PLATINUM har funnet en ny metode for kommunikasjon mellom maskiner som opererer uavhengig av operativsystemet. Metoden utnytter Intel Active Management Technology (AMT), som gjør at kommunikasjonen er usynlig for operativsystemet og dermed lokale overvåkningsverktøy og brannmurer.
Referanser
https://blogs.technet.microsoft.com/mmpc/2017[...]

Cisco ute med oppdateringer

Cisco har gitt ut oppdateringer som skal fikse svakheter i flere av sine produkter. Dette er svakheter knyttet til Prime Data Center Network Manager, AnyConnect og TelePresence.
Referanser
https://tools.cisco.com/security/center/conte[...]

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2017

Vi har publisert en oppsummering av nyhetsbildet for mai 2017 innenfor datasikkerhet.
Referanser
http://telenorsoc.blogspot.no/2017/06/oppsumm[...]

Zusy skadevare utnytter Powerpoint sin støtte for eksterne programmer

Endepunkt-sikkerhet selskapet Sentinel One har oppdaget en ny variant av skadevaren Zusy. Skadevaren spres via PowerPoint-filer, vedlagt i e-poster og kan eksekvere uten at brukeren har aktivert støtte for makroer. Dette skjer ved hjelp av PowerPoint sine innebygde "eksterne program" funksjonalitet. Brukeren blir behørig advart av Powerpoint om farene ved å trykke, men dette hjelper dessverre ikke alltid.
Referanser
https://sentinelone.com/blogs/zusy-powerpoint[...]

Wednesday, 7 June 2017

2017.06.07 - Nyhetsbrev

Ny oppdatering til Google Chrome. Hevder russiske hackere plantet falske nyheter i Qatars nyhetsbyrå. Kremlin-hackere utførte cyberangrep mot regjeringen i Montenegro. Google har sluppet månedlig oppdatering til Android.

Ny oppdatering til Google Chrome

Google har nå gitt ut versjon 59 av Chrome for Windows, Mac og Linux. Oppdateringen fikser flere svakheter.
Referanser
https://chromereleases.googleblog.com/2017/06[...]

Hevder russiske hackere plantet falske nyheter i Qatars nyhetsbyrå

Amerikanske etterforskere mener russiske hackere plantet falske nyheter i Qatars statlige nyhetsbyrå. Det kan ha medvirket til at fem naboland brøt de diplomatiske forbindelsene med Qatar og stengte grensene tidligere denne uken.
Referanser
http://edition.cnn.com/2017/06/06/politics/ru[...]

Kremlin-hackere utførte cyberangrep mot regjeringen i Montenegro

Kremlin-hackere skal ha utført cyberangrep mot regjering i Montenegro etter at landet kunngjorde sitt medlemskap i NATO tidligere denne uken. Dette melder selskapet FireEye.
Referanser
https://www.theregister.co.uk/2017/06/06/russ[...]

Google har sluppet månedlig oppdatering til Android

Google har sluppet sin månedlige sikkerhetsoppdatering for Android som fikser over 100 svakheter. Blant annet er det fikset en kritisk svakhet i Media Framework. Google opplyser at ingen av svakhetene så langt har blitt utnyttet i reelle angrep.
Referanser
https://source.android.com/security/bulletin/[...]

Tuesday, 6 June 2017

2017.06.06 - Nyhetsbrev

Lekket rappport fra NSA viser at Russland gjennomførte cyberangrep mot amerikansk leverandør av valgprogramvare. Vedkommende som lekket rapporten er nå arrestert.

Russland gjennomførte cyberangrep mot amerikansk leverandør av valgprogramvare

Russland gjennomførte cyberangrep mot amerikansk leverandør av valgprogramvare og sendte spear-phsihing e-post til mer enn 100 lokale valgtjenestemenn kun dager før forrige presidentvalg. Dette avsløres i en lekket rapport fra NSA, publisert av The Intercept.
Referanser
https://theintercept.com/2017/06/05/top-secre[...]

Personen som lekket NSA-rapport er arrestert

Personen som lekket NSA-rapporten som inneholder informasjon om russisk valg-hacking (den andre saken i dette nyhetsbrevet), er nå arrestert etter å ha sendt dokumentet til The Intercept. NSA fant ut at seks personer hadde skrevet ut dokumentet, og den arresterte var én av disse. The Intercept har heller ikke fjernet vannmerkene (gule prikker) i dokumentet. Ved hjelp av disse vannmerkene, kan produsent av skriver, serienummer og dato for utskrift leses.
Referanser
http://blog.erratasec.com/2017/06/how-interce[...]

Friday, 2 June 2017

2017.06.02 - Nyhetsbrev

OneLogin varsler kunder etter datainnbrudd. Putin med delvis innrømmelse om mulig russisk hacker-innblanding ifbm. presidentvalget i USA. Kinesisk malware infiserer 250 millioner maskiner.

OneLogin varsler kunder etter datainnbrudd.

Arstechnica melder at selskapet OneLogin, som tilbyr løsninger for single sign-on (SSO), har varslet sine kunder om at de har vært utsatt for datainnbrudd. OneLogin er litt vage i sin varsling, men iflg. varselet skal kundedata være på avveie, samt "muligheten til å dekryptere krypterte data".
Referanser
https://arstechnica.com/security/2017/06/onel[...]

Putin med delvis innrømmelse om mulig russisk hacker-innblanding ifbm. presidentvalget i USA.

Iflg. The New York Times skal Putin delvis ha kommet med innrømmelse om at russiske privatpersoner muligens kan ha vært involvert i hackerangrepene mot USA ifbm. presidentvalget.
Referanser
https://mobile.nytimes.com/2017/06/01/world/e[...]

Fireball - kinesisk malware infiserer 250 millioner maskiner

CheckPoint blogger on en ny kinesisk malware kalt Fireball, som skal ha infisert 250 millioner maskiner verden over. Hovedformålet til Fireball er å kapre nettlesere for å generere reklame-inntekter. Men den kan også installere, samt kjøre, ytterligere og ondsinnet kode. Fireball spres i hovedsak via bundling med legale applikasjoner.
Referanser
http://blog.checkpoint.com/2017/06/01/firebal[...]

Thursday, 1 June 2017

2017.06.01 - Nyhetsbrev

Svakhet i Linux sudo kan gi fulle rettigheter, bakmennene til WannaCry kan avsløre seg selv om de tar i bruk løsepengene, og sensistive data fra Pentagon lå åpent i lagringstjenesten Amazon S3.

Svakhet i Linux sudo kan gi fulle rettigheter

Det er oppdaget en svakhet i en av funksjonene i kommandoen "sudo" i Linux. Dersom en bruker har sudo-rettigheter for en kommando, kan vedkommende utnytte svakheten ved å enten tilegne seg full root-tilgang, eller (under et SELinux-system) overskrive enhver fil på systemet, også de eid av root. PoC vil bli utgitt etterhvert.
Referanser
http://seclists.org/oss-sec/2017/q2/358

Sensitive data fra Pentagon lå åpent på Amazon-tjensten S3

En underleverandør av Pentagon (Booz Allen) har lagt 28GB med data åpent tilgjengelig på Amazons skylagringstjenesten S3. I disse dataene var en større mengder med sensitiv informasjon, private SSH-nøkler og passord til flere statlige systemer i USA. Det er et utbredt problem at filer lagres på skytjenester som Amazon S3 og Microsoft Azure. Brukerne er ofte ikke klar over at det ikke kreves autentisering for å få tilgang til filene.
Referanser
http://gizmodo.com/top-defense-contractor-lef[...]

Angriperne bak WannaCry kan avsløre seg selv om de tar i bruk løsepengene

Etterforskere i FNs cyberkriminalitetsprogram i Wien har kommet frem til at pengene som angriperne har tilranet seg, skal være fordelt på 4 kontoer og det totale beløpet skal være på rundt 850 000 kr. Men, dersom angriperne tar ut noe av kontoene så vil det blir sporet.
Referanser
http://www.dpa-international.com/topic/un-exp[...]
http://www.vg.no/nyheter/utenriks/datasikkerh[...]

Tuesday, 30 May 2017

2017.05.30 - Nyhetsbrev

Oppdateringer fra Microsoft tetter nyoppdagede sårbarheter i Malware Protection Engine.

Ekstra oppdateringer fra Microsoft

Microsoft har utgitt oppdateringer utenfor ordinær syklus, til Malware Protection Engine. Oppdateringene skyldtes sårbarheter oppdaget via Google Project Zero, og ble publisert før sårbarhetene ble offentlig kjent.
Referanser
https://www.theregister.co.uk/2017/05/29/micr[...]
https://bugs.chromium.org/p/project-zero/issu[...]

Monday, 29 May 2017

2017.05.29 - Nyhetsbrev

Nye angrepsmetoder mot Android og sjålne dokumenter ble manipulert og lekket for å oppnå politiske mål i Russland.

Stjålne dokumeter ble manipulert og lekket for propaganda.

Dokumenter stjålet fra en journalist og kritiker av Russland gjennom et vellykket phishing angrep, ble manipulert og lekket for å oppnå spesifikke politiske mål. Videre etterforskning avdekket over 200 lignende tilfeller mot mål i hele verden.
Referanser
http://citizenlab.org/2017/05/tainted-leaks-d[...]
https://www.wired.com/2017/05/russian-hackers[...]

Nye måter å ta kontroll over Android-enheter på

Nye angrep gjør det mulig for ondsinnede applikasjoner å ta kontroll over Android-enheter og hente ut informasjon fra enheten. Dette gjøres ved å lure brukeren til å klikke på ting ved å tegne opp GUI-elementer over de egentlige dialog-boksene. Alle nyere versjoner av Android er berørt. Google vil heldigvis kunne begrense utnyttelse av svakhetene ved å ikke godkjenne apper som utnytter dem i Google Play.
Anbefaling
Det har i skrivende stund ikke blitt gjort tilgjengelig en fix.
Referanser
http://cloak-and-dagger.org/
https://www.xda-developers.com/cloak-and-dagg[...]