Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 11. desember 2017

Oppsummering av nyhetsbildet innen datasikkerhet for november 2017

I november håndterte vi 157 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 139 i oktober. Det er ingen spesielle svakheter eller hendelser som skiller seg ut denne måneden.

Det var 537 bekreftede DDoS-angrep i november. 156 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,62 Gbps og varte typisk en halv time. Det største angrepet observert i denne perioden var på 12.8 Gbps og varte i 26 minutter. Tre av TSOCs kunder ble utsatt for angrep denne måneden.

En svakhet i macOS High Sierra, eller macOS 10.13, gjorde det mulig å logge på systemet uten passord lokalt, og i noen tilfeller også via fjerninnlogging. For å utnytte svakheten, holder det å legge inn root som brukernavn i påloggingsskjermen og la passordet være blankt. Deretter trykker man noen ganger på lås opp, og brukeren vil bli logget inn på systemet som root. Det vil i bakgrunnen bli opprettet en root-bruker uten passord. Svakheten ble patchet i macOS v10.13.2.

Intel Management Engine er en innebygget funksjon for administrasjon av Intel-baserte PCer og servere. Plattformen er innbygget i Intel-chipsets/CPUer og kan ofte nås selv om PCen er slått av. Den brukes for administrasjon og feilsøking av PCer. Etter rapporter om flere sårbarheter i systemet, har nå Intel foretatt en full sikkerhetsgjennomgang og oppdaget flere svakheter. Feilene er funnet i Intel Management Engine, Intel Trusted Execution Engine (TXE) og Intel Server Platform Services (SPS). Intel opplyser at svakheten kan brukes til å late som om en er ME/SPS/TXE-systemet, laste opp og kjøre valgfri kode på et sårbart system uten at det egentlige operativsystemet vet om det eller å krasje systemet. Flere leverandører av maskinvare har siden kommet oppdatert firmware til flere av sine PCer og servere.

Svensk radio avslørte at flere tusen svenske it-systemer tilhørende myndigheter, kommuner og bedrifter ligger åpent tilgjengelig på internett, med ingen eller lav grad av sikkerhet. Som eksempler nevnes systemer for styring av avløpssystemer, fjernvarme og brannalarmer. Flere av systemene skal også tilhøre samfunnskritisk infrastruktur.

USA har tiltalt tre kinesiske borgere for industrispionasje mot firmaene Trimble, Siemens og Moodys Analytics. De tre tiltalte oppholder seg antakeligvis i Kina og har jobbet for firmaet Guangzhou Bo Yu Information Technology Co., kjent som Boyusec. Mange mener at dette firmaet blir brukt av kinesiske myndigheter til å gjennomføre industrispionasje.

I forbindelse med den årlige Pwn2Own-konferansen, klarte sikkerhetsforskere å ta kontroll over både en iPhone og en Galaxy S8 som begge var fullt oppdaterte. iPhonen ble tatt kontroll over via lokal WiFi ved hjelp av fire forskjellige svakheter som ble brukt etter hverandre. Galaxy-telefonen ble angrepet ved hjelp av 11 svakheter i 6 forskjellige apper. Konkurransen viser igjen at mobiltelefoner av alle typer kan kompromitteres dersom en har tilgang til nok penger eller ekspertise.

Nettstedet Quartz avslørte at Google har samlet inn posisjonsdata fra Android-enheter selv om man har slått av lokasjonstjenesten. Posisjonene til omkringliggende basestasjoner i forhold til mobilen blir sendt inn. Praksisen skal ha pågått siden januar i år, iflg. Google for å forbedre levering av meldinger og push-meldinger. Etter å ha blitt kontaktet av Quartz sier Google at praksisen skal avvikles i løpet av november.

mandag 6. november 2017

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2017

I oktober håndterte vi 139 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 97 i september. Mange av hendelsene gjelder nettlesere som har blitt infisert av forskjellige tillegg (extensions) som stjeler data eller viser annonser. Det er også mange forsøk på å logge inn ved hjelp av å prøve mange forskjellige brukernavn og passord mot forskjellige nett-tjenester.

Det var 561 bekreftede DDoS-angrep i oktober. 140 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,83 Gbps og varte typisk i én time. Det største angrepet observert i denne perioden var på 27.7 Gbps og varte i 2 timer. Seks av TSOCs kunder ble utsatt for angrep denne måneden.

Kaspersky Lab har vært i søkelyset i oktober. Anonyme kilder hevdet i en artikkel i The Wall Street Journal at programvare fra Kaspersky Lab ble brukt til å stjele hemmeligheter fra NSA. Hemmelighetene skal ha blitt tatt fra en privat PC tilhørende en ansatt, etter at den ansatte tok med seg gradert informasjon hjem ulovlig. Den ansatte hadde hjemme-utgaven av anti-virus-programvaren fra Kaspersky installert på denne PCen. AV-programmet oppdaget NSA-programvaren under en scanning av PCen, og sendte denne inn for analyse. Russiske myndigheter skal så ha fått tilgang til programvaren. Hendelsesforløpet ble overvåket av israelske agenter som hadde brutt seg inn i det interne nettverket til Kaspersky i 2015, da saken pågikk. Agentene skal også ha sett at ansatte hos Kaspersky gjorde søk relatert til NSA-kodenavn. Opplysningene ble meldt videre til NSA av Israel.

Etter avsløringene rundt Kaspersky Lab, ble det denne måneden forbudt for offentlige kontorer å bruke programvare fra firmaet. Som tilsvar, meldte Kaspersky Lab at de vil gi myndigheter og private firmaer innsyn i kildekoden til programvaren.

Kaspersky innrømmet mot slutten av måneden at de hadde fått tak i NSA sin malware, men at det ikke skjedde med overlegg. Kaspersky sin CEO, Eugene Kaspersky, ble gitt beskjed om funnet og han ba straks de ansatte slette alt som ble lastet opp. Kaspersky mener også at NSA-programvaren kan ha blitt stjålet av en annen gruppering, siden de også fant en bakdør på den NSA-ansatte sin PC. Denne bakdøren lå gjemt i piratkopiert materiale på PCen.

I oktober kom det fram at russiske interesser kjøpte annonser hos Google, Facebook og Twitter i forbindelse med den amerikanske presidentvalgkampen. Etter interne etterforskninger kom det fram at titusenvis av dollar hadde blitt brukt på annonser. Annonsene prøvde primært å sette forskjellige befolkningsgrupper opp mot hverandre for å skape intern splid. Over 126 millioner amerikanere skal ha blitt utsatt for de russiske annonsene.

Det har blitt oppdaget en svakhet i krypteringsbrikker fra selskapet Infineon kalt ROCA. Brikkene og nøkler laget med dem brukes i ID-kort, til signering av eposter/applikasjoner og TPM-moduler i PCer. På grunn av en implementeringsfeil, har RSA-nøklene som blir generert av brikkene svakere sikkerhet enn det nøkkellengden normalt skulle tilsi. Svakheten er over 5 år gammel og det finnes millioner av svake nøkler i bruk. Ved å ta utgangspunkt i den offentlige nøkkelen, kan den private nøkkelen beregnes. En 1024-bits RSA-nøkkel skal koste rundt $40-80 i datakraft å beregne, mens en 2048-bits nøkkel skal koste rundt $20.000-40.000 (henholdsvis 97 og 1400 vCPU-dager).

En sikkerhetsforsker ved det belgiske universitetet KU Leuven offentliggjorde detaljer rundt en svakhet som delvis knekker sikkerheten i WPA2-protokollen. Angrepet utnytter måten WPA2 håndterer nounces, eller tilfeldige kryptografiske tall. Disse tallene skal i utgangspunktet bare brukes én gang, men implementasjonen lar disse bli gjenbrukt. Metoden har fått navnet KRACK (Key Reinstallation Attack). Både routere, mobiltelefoner og PCer kan være sårbare. Det er imidlertid klienter som er mest sårbare, og da spesielt Linux og Android-baserte klienter. Disse har en ekstra sårbarhet, som gjør at de kan lures til å skru av WPA2-krypteringen fullstendig. Microsoft patchet svakheten allerede 10. oktober, mens iOS ble patchet 31. oktober i versjon 11.1. Google er ventet å slippe patcher tidlig i november for Android.

NRK meldte at E-tjenesten har bekreftet at Russland sto bak jamming av GPS-signaler i Finnmark i september. Russiske styrker gjorde dette i forbindelse med øving på jamming under øvelse Zapad 2017. Reuters meldte også at at Russland slo ut deler av mobilnettet i Litauen med jamming i forbindelse med samme øvelse.


torsdag 5. oktober 2017

Oppsummering av nyhetsbildet innen datasikkerhet for september 2017

Vi håndterte 97 alvorlige hendelser i september, mot 83 i august. Dette er i forbindelse med vår tjeneste Sikkerhetsovervåking. Det var ingen spesielle angrepsbølger eller angrep som skilte seg spesielt ut fra det vanlige.

Det var 365 bekreftede DDoS-angrep i september. 123 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,38 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 13,6 Gbps og varte i 8 minutter. Tre av TSOCs kunder ble utsatt for angrep denne måneden.

Revisjons- og rådgivningsfirmaet Deloitte har vært utsatt for datainnbrudd. Hackerne bak angrepet hadde tilgang til konfidensiell e-post fra noen av selskapets kunder. Dette skjedde ved at Deloittes globale epostserver ble kompromittert ved at angriperne fikk tilgang til en administratorkonto med tilgang til alle områder. Administratorkontoen hadde ikke to-faktor autentisering aktivert. Mange av firmaets kunder er ledende innenfor sektorer som bank, finans, farmasi og media. Offentlige etater er også på Deloittes kundeliste. Hackerne hadde tilgang til systemene i flere måneder før det ble oppdaget i mars tidligere i år. Hvorfor det ikke har vært kjent før nå er uklart.

Sikkerhetsfirmaet Armis avdekket åtte svakheter i Bluetooth, som blant annet gjør det mulig å eksekvere kode på enheten uten at brukeren må foreta seg noe. Bare at enheten er på og har aktivert Bluetooth er nok. Selv om enheten allerede er tilkoblet en annen enhet, er den fortsatt sårbar. En annen av svakhetene gjør det mulig å avlytte nettverkstrafikk til og fra sårbare enheter. Microsoft patchet Windows i juli, uten at de oppga detaljer rundt svakheten. Google leverte patcher til leverandører av Android-telefoner i juli. Versjoner av iOS før versjon 10 er også sårbare. Flere Linux-distribusjoner trenger også patching. Mange Android-telefoner vil ikke bli patchet på lang tid.

Et innbrudd hos kredittovervåkingsselskapet Equifax har eksponert personlig informasjon fra over 145 millioner amerikanere. Informasjon som er på avveie inkluderer navn, personnummer, fødselsdatoer og adresser. Innbruddet ble gjort gjennom en svakhet i Apache Struts. Svakheten ble patchet 8. mars, men Equifax oppdaterte ikke sine servere. Angriperne kom seg inn i nettverket den 15. mai, men angrepet ble oppdaget 29. juli. Equifaxs CEO gikk av etter innbruddet.

Versjon 5.33 av det populære verktøyet CCleaner har vært infisert av malware. Dette gjaldt den offisielle versjonen som ble distribuert av utgiveren Piriform/Avast. Den infiserte versjonen ble lagt ut 15. august og hadde godkjent/korrekt signatur. En ny versjonen uten malware ble utgitt 12. september. Kun 32-bits utgaven av programmet var infisert. Dette er et såkalt “Supply Chain Attack” og er svært vanskelig å oppdage eller forhindre. I løpet av måneden kom det fram at angrepet var svært målrettet mot spesifikke teknologifirmaer. Dersom den infiserte utgaven av CCleaner ble installert på en PC i firmaer som Microsoft, Sony, Intel, VMWare, Samsung, osv. ble sekundær malware lastet ned. Sikkerhetsfirmaet Talos mener at gruppen bak operasjonen var ute etter industrihemmeligheter. De mistenker også Kina for å stå bak.

The Department of Homeland Security har gitt amerikanske myndigheter 90 dager på å avinstallere og erstatte programvare fra Kaspersky. Dette på grunn av sterk mistanke til knytning mot russiske myndigheter. Kaspersky benekter enhver tilknytning.

Washington Post avslørte at et russisk firma, som er knyttet til propaganda fra Kremlin, skal ha kjøpt politisk reklame for over $100.000 fra Facebook i forbindelse med det amerikanske valget. Millioner av amerikanere skal ha sett annonsene. Politisk reklame på Facebook blir mer og mer populært siden den kan leveres målrettet til bestemte velgergrupper basert på etnisitet, alder, kjønn, bosted, interesser, osv.

Symantec ga ut informasjon om en ny gruppe angrep utført av en gruppe de kaller "Dragonfly 2.0". Angrepene har vært rettet mot kraftforsyningen i flere land i Europa og USA. Den siste bølgen av angrep begynte i 2015 og har økt i intensitet i 2017. Kampanjen har mange likheter med tidligere lignende kampanjer, og Russland mistenkes å stå bak. Angriperne bruker både phishing, vannhullsangrep og dokumenter med malware for å komme seg på innsiden av nettverk. I flere tilfeller i USA skal angriperne ha hatt tilgang til styringssystemer for kraftforsyningen.


onsdag 6. september 2017

Oppsummering av nyhetsbildet innen datasikkerhet for august 2017

Vår tjeneste Sikkerhetsovervåking avdekket 83 alvorlige hendelser i august, mot 64 i juli. I august var det ingen spesielle hendelser eller angrepsbølger som skilte seg spesielt ut. Hendelsene er fordelt på malware, phishing, skanning etter sårbarheter, innloggingsforsøk ved hjelp av tusenvis av forskjellige passord og adware/spyware.

Det var 388 bekreftede DDoS-angrep i juni. 103 av disse ble mitigert. Et gjennomsnittlig angrep var på 2.12 Gbps og varte typisk i 25 minutter. Det største angrepet observert i denne perioden var på 28.2 Gbps og varte i 6 minutter. To av våre betalende kunder ble utsatt for angrep denne måneden.

Forskere ved Princeton University har demonstrert i praksis hvordan de kan få utstedt SSL-sertifikater til domener de ikke kontrollerer. Dette gjøres ved hjelp av BGP-hijacking i det sertifikatutstederen sjekker domenet. Kun et lite subnett i domenet hijackes, så det er vanskelig å oppdage angrepet. For å forhindre slike angrep, foreslår forskerne at eierskapet til domenet sjekkes fra flere steder på Internett. Det blir da vanskeligere å gjennomføre BGP-hijackingen, og den blir også enklere å oppdage. Sertifikatutstederen Lets Encrypt har nå innført denne typen sjekk.

Chrome-versjonen av nettleserutvidelsen Web Developer ble kompromittert av hackere etter at utvikleren selv gikk på et phishing-angrep. Angriperne lastet opp en modifisert versjon av utvidelsen som injiserte reklame i brukerens nettleser. Det har vært en trend i det siste at populære nettleser-tillegg har blitt kompromittert og det er beregnet at rundt 5 millioner kan være rammet av hackede utvidelser. Slike utvidelser har ofte rettigheter til å avlytte trafikk og tastetrykk i nettleseren.

Et Distributed Denial of Service-botnett (DDoS) bestående av flere hundre tusen Android-telefoner er nylig oppdaget av sikkerhetsforskere. Botnettet – som har fått navnet «WireX» – skal ha blitt brukt som pressmiddel for å tilrøve seg penger fra ulike domeneeiere verden over. Android-telefonene har blitt infisert gjennom rundt 300 apper som har blitt distribuert via Google Play-markedet. Google trakk også en annen serie med 500 apper fra Play Store etter funn av en bakdør i et API som var laget for å vise reklame i apper.

Den siste tiden er det rapportert om flere skip som feilrapporterer posisjonen sin. Det mistenkes at flere av hendelsene skyldes russisk testing av et nytt system for GPS-spoofing. Slik spoofing av GPS-signaler kan misbrukes til mange formål, blant annet GPS-avhengige raketter brukt av militæret.

Zerodium, en gruppe som spesialiserer seg på kjøp og salg av 0-dags svakheter, har sagt at de tilbyr opptil en halv million dollar for svakheter i de populære krypterte meldingsapplikasjonene Signal og WhatsApp. Dette kan tyde på at appene er relativt sikre og at mange er interessert i å avlytte kommunikasjon via disse appene.

Marcus Hutchins, også kjent under aliaset MalwareTech, ble arrestert av FBI på en flyplass i Las Vegas i august. Han var på reise til USA for å delta på konferansen Black Hat. Hutchins er kjent for å være mannen som stoppet WannaCry-viruset tidligere i år. Nå er han siktet for å ha utviklet og solgt skadevaren Kronos, som tidligere har rammet finanssektoren. Mange har trodd at Kronos stammet fra Russland, men dette trekkes nå i tvil. Marcus venter nå på rettssak og har ikke lov til å forlate USA.

Troy Hunt har gjort tilgjengelig 306 millioner passord som ved tidligere hackerangrep har blitt kompromittert. Hunt anbefaler utviklere å lage systemer som nekter nye brukere å opprette kontoer med passord fra listen. Det er ikke de originale passordene som ligger i listen, men en SHA-1 basert hash av dem.

tirsdag 1. august 2017

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2017

I juli hadde vi 64 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking. Dette er en halvering fra juni, noe som er normalt i fellesferien. Antallet hendelser går ned når mange ansatte ikke er på jobb, siden mange av hendelsene krever en aktiv handling for å bli utløst.

Det var 416 bekreftede DDoS-angrep i juni. 111 av disse ble mitigert. Et gjennomsnittlig angrep var på 2.06 Gbps og varte i 29 minutter. Det største angrepet observert i denne perioden var på 26.7 Gbps og varte 8 minutter. Flere av våre betalende kunder ble utsatt for angrep denne måneden. Tallene for juli er veldig like til forrige måned, noe som viser at de som står bak DDoS-angrepene ikke tar ferie.

Sikkerhetsselskapet Senrio har oppdaget en ny svakhet som trolig gjør millioner av IoT-enheter sårbare for ekstern kjøring av ondsinnet kode. Svakheten har blitt gitt navnet "Devil's Ivy", og ble først oppdaget i web-kameraer fra Axis, men selve sårbarheten som utnyttes befinner seg i et underliggende open-source bibliotek i gSOAP. gSOAP er et utvikler-rammeverk som benyttes av utviklere for å bl.a. gi IoT-enheter internett-tilgang. Pga. den store utbredelsen av gSOAP antyder Senrio at flere titalls millioner IoT-enheter kan være påvirket av svakheten på en eller annen måte. Genivia, som står bak gSOAP, har nå patchet svakheten. Produsenten Axis har også fjernet sårbarheten fra 249 kamera-modeller vha. ny firmware.

Janus, som er kjent for å være personen bak den opprinnelige Petya-skadevaren (må ikke forveksles med det nylige NotPetya-skadevaren), har gjort master-nøkkelen tilgjengelig online. Dette betyr at ofre for angrepet nå kan dekryptere filene sine uten å betale løsepenger. Forskere fra Kaspersky Labs har bekreftet at dekrypteringsnøkkelen fungerer på filer kryptert av Petya-skadevaren, samt tidlige versjoner av GoldenEye-skadevaren.

Denne måneden har to store markedsplasser på det mørke nettet blitt lagt ned. Amerikanske myndigheter tok først ned AlphaBay. Etter denne hendelsen flyttet mange brukere til det konkurrerende markedet Hansa. Forsvarsdepartementet i USA meldte imidlertid at Hansa hadde vært operert av nederlandsk politi i flere uker, for å registrere brukere som kom fra AlphaBay for videre etterforskning. Det er nå få store markeder igjen på det mørke nettet og utbredt frykt blant brukerne. Det er uklart hvordan politiet har klart å spore opp markedene og bakmennene.

FBI og sikkerhetsdepartementet i USA har sendt ut en fellesrapport som opplyser om phishing-angrep rettet mot ansatte i atomkraftverkselskaper i USA, meldte nyhetsbyrået New York Times. Angrepene har holdt på siden mai, og har bestått av e-poster som inneholdt jobbsøknader knyttet til spesifikke stillinger innenfor atomkraftverkene.

Ofre for ransomware, eller løsepengevirus, har til sammen betalt ut over 25 millioner amerikanske dollar over de siste to årene, ifølge en studie gjennomført av forskere ved Google, Chainalaysis, UC San Diego og NYU Tandom School of Engineering. Funnene ble gjort ved å følge betalingene gjennom blockchain, og sammenligne dem med kjente transaksjoner. 95 prosent av pengene ble tatt ut via BTC-E, en markedsplass for Bitcoins som nå har blitt beslaglagt av amerikanske myndigheter.

Adobe kunngjorde denne måneden at de planlegger å legge ned Flash-teknologien, og vil fra og med 2020 ikke lenger utgi og distribuere oppdateringer til selskapets Flash Player. De oppfordrer alle til å migrere eksisterende Flash-innhold til andre åpne formater, som for eksempel HTML5, WebGL og WebAssembly.

President Putin har signert en ny lov som forbyr bruk av VPN-programvare, proxyer og andre teknikker for å skjule Internett-trafikk. Loven trer i kraft 1. november. Denne måneden fjernet også Apple VPN-apper fra App Store i Kina. Denne typen programvare kan brukes for å omgå sensuren i landet og har vært forbudt siden januar. Apple gir nå etter for den nye loven.

En hacker klarte å lure til seg rundt 7,4 millioner dollar i verdier i krypto-valutaen Ether, etter en Ethereum Initial Coin Offering (ICO). Angriperen tok kontroll over nettsiden til Coindash, som samlet inn penger til et prosjekt. Adressen hvor donasjonene skulle sendes til ble så endret, slik at donasjonene gikk til angriperens egen konto. Hackere utnyttet også denne måneden en svakhet i lommeboken Parity, brukt for å holde Ether. En svakhet rundt signaturer for å hente ut penger, gjorde at angripere klarte å stjele Ether til en verdi av 32 millioner dollar fra tre ICO-prosjekter.

 
>