Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 5. februar 2018

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 91 alvorlige hendelser i januar. Dette var en oppgang fra 61 i desember. Hendelsene er en blanding av scanning etter sårbarheter, forsøk på innlogging med store mengder brukernavn og passord, maskiner infisert av adware og en del trojaner-infiseringer.

Det var 403 bekreftede DDoS-angrep i januar. 93 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,49 Gbps og varte typisk 24 minutter. Det største angrepet observert i denne perioden var på 18.1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden.

Den 4. januar ble svakhetene kalt Spectre og Meltdown offentliggjort. Dette dreier seg om svakheter i teknikker som CPUer bruker for å øke hastigheten ved kjøring av kode, såkalt spekulativ eksekvering. Feilen gjør at upriviligerte programmer på en datamaskin/mobil kan få tilgang til å lese dataene til andre programmer eller selve operativsystemet. Problemet gjelder CPUer fra Intel, AMD og ARM, Intel er imidlertid hardest rammet. Feilen rammer virtualiserte miljøer med flere brukere hardest, for eksempel skyleverandører. I slike miljøer er det ofte mange forskjellige brukere på delt hardware. Disse kan få tilgang til å lese hverandres data eller også data fra operativsystemet. Gjennom svakheten Spectre kan også én nettleserfane i teorien lese data fra andre nettleserfaner, eller nettleseren selv, ved hjelp av spesielt utformet Javascript.

Utover i januar begynte leverandører av programvare å slippe patcher for Meltdown- og Spectre-svakhetene. Det viste seg at patchene i mange tilfeller kunne føre til ytelsestap, spesielt for litt eldre CPUer. Ytelsestapet varierer avhengig av typen last på CPUen, men kan typisk bli på 5-30 prosent. Nettleserprodusentene fikset Spectre-svakheten ved å sørge for at javascript på nettsider fikk tilgang til mindre nøyaktig tid, samt bedre isolering mellom faner i nettleseren. Sistnevnte fiks fører til at nettlesere kan bruke vesentlig mer minne enn tidligere.

Meltdown-svakheten lot seg patche kun ved å oppdatere programvare i operativsystemet. Spectre-svakheten krever at både mikrokoden i CPUen og operativsystemet patches. Den 22. januar meldte Intel at flere kunder hadde opplevd ustabile PCer og servere etter at patcher for både CPU og OS var installert, uten at noen var sikre på grunnen til dette. Den 29. januar deaktiverte Microsoft patcher for Spectre-svakheten i Windows, etter mange meldinger om ustabilitet. Foreløpig er det usikkert når det kommer en fullt fungerende patch for Intel-CPUer for Spectre. Enda har det ikke blitt rapportert om at svakhetene har blitt utnyttet i relle angrep.

Mandag 8. januar ble det oppdaget at en ukjent aktør hadde brutt seg inn datasystemene til Helse Sør-Øst. Angriperne hadde hatt tilgang til flere servere og hadde allerede hatt tilgang i noe tid. Det er så langt ikke konkludert hvem som står bak, men angrepet var avansert og det kan være en nasjonalstat som står bak. Nasjonal sikkerhetsmyndighet, Etterretningstjenesten, PST og Kripos jobber sammen i denne saken med hendelseshåndtering, teknisk analyse og aktøranalyse. Det er fortsatt uklart hva slags data angriperne kom seg unna med og det kan være at de fikk med seg pasientinformasjon.

En anonym ansatt hos NSA har uttalt seg til Yahoo Finance angående lekkasjene fra grupperingen The Shadow Brokers. Disse slapp blant annet verktøyene som ble brukt til å spre ransomware i to omganger i fjor (WannaCry og NotPetya) ved hjelp av en kritisk svakhet i Windows.
Den NSA-ansatte mener at The Shadow Brokers fikk tilgang til NSAs interne verktøy ved hjelp av antivirus-programvare fra Kaspersky Labs. Programvaren fra Kaspersky Labs ble installert på en PC til en ansatt som hadde tatt med seg verktøyene hjem uten tillatelse.

NSM NorCERT og Kripos jobber med flere saker hvor ansatte i norske bedrifter har blitt utsatt for e-postsvindel. Svindlerne aktiverer automatisk videresending fra kompromitterte e-postkontoer. Slik videresending kan bli stående på i lang tid før det oppdages. Videre blir e-postkontoen brukt til å sende ut falske fakturaer og meldinger om å endre kontonummer på tidligere fakturaer.

onsdag 10. januar 2018

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2017

Desember var en rolig måned når det gjelder tjenesten Sikkerhetsovervåking. Vi håndterte kun 61 alvorlige hendelser, ned fra 157 i desember. Dette er et uvanlig lavt tall og skyldes nok lav aktivitet i fridagene i forbindelse med jul og nyttår.

Det var 496 bekreftede DDoS-angrep i november. 145 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,82 Gbps og varte typisk en halv time. Det største angrepet observert i denne perioden var på 21.5 Gbps og varte i 17 minutter. To av TSOCs kunder ble utsatt for angrep denne måneden.

To menn er dømt til fengsel i 4-5 måneder i Eidsivating lagmannsrett for en serie tjenestenektangrep (DDoS) utført våren 2015. Dette er den strengeste avgjørelsen hittil i saker hvor tjenestenektangrep er benyttet for å sette datasystemer ut av spill. Mennene ble i tillegg dømt til å betale 320.000,- kr i erstatning for tjenestenektangrepene og inndragning av over en halv million kroner.

Etterforskere har avslørt en spionvare-kampanje som siktet seg inn mot etiopiske regimekritikere i USA, Storbritannia og andre land. Operasjonen pågikk i over 14 måneder og ble utført ved hjelp av programvare fra et israelsk firma. Operasjonen ble kjent etter at loggfiler fra den ble funnet åpent på Internett etter en konfigurasjonsfeil.

Hackere kom seg unna med over 60 millioner dollar i Bitcoin etter et angrep mot mining-plattformen NiceHash. NiceHash har uttalt at de "etterforsker hendelsens natur". NiceHash har ikke selv spesifisert hvor mye Bitcoin som har blitt stjålet, men brukere av plattformen har pekt på en lommebok tilhørende plattformen til en verdi av 68 millioner dollar, som plutselig har blitt tømt. Nicehash er nå oppe igjen, og de påstår at brukerne skal få etterbetalt det de har mistet.

I september annonserte Department of Homeland Security at den amerikanske regjeringen ikke lenger skulle bruke Kasperskys produkter, på grunn av deres tilknytning til Russland. Kaspersky Lab stengte i desember ned deres kontor i D.C på grunn av at det ikke lenger er levedyktig. Etter stengningen, har selskapet opprettet et søksmål mot amerikanske myndigheter. Kaspersky har blitt beskyldt for å hjelpe russiske etterretningstjenester med spionasje, men firmaet nekter for dette.

En russisk hacker ved navn Konstantin Kozlovsky har innrømmet overfor en russisk domstol at han hacket demokoratene etter ordre fra FSB. Han skal allerede i august i fjor ha fortalt byretten i Moskva at han ble beordret av FSB-agenter til å hacke Democratic National Comittee (DNC). Informasjonen skal stamme fra Facebook-kontoen til Kozlovsky, hvor det har blitt lagt ut dokumenter og lydopptak fra rettshøringen. Dette har blitt bekreftet av to personer, blant annet en som var tilstede under høringen. Dersom samarbeidet mellom Kozlovsky og FSB blir bekreftet, vil det ifølge Business Insider kunne bidra til å undergrave de russiske myndighetenes påstander om at de ikke hadde noe å gjøre med hacker-angrepet mot Demokratene.

Det har vært flere høyprofilerte sikkerhetsbrudd hos populære nettsider og online-tjenester de siste årene. Sikkerhetsforskere hos 4iQ bruker mye av sin tid på å lete på the dark web og fant nylig en 41 gigabyte stor fil med 1.4 milliarder brukernavn- og passord-kombinasjoner i klartekst. Dataene har ikke kommet fra en enkelt hendelse, men er hentet fra flere forskjellige datainnbrudd. Dataene er hentet fra blant annet nettsider som Netflix, MySpace, LinkedIn og populære spill som Minecraft og Runescape. TSOC fikk tilgang til passordfilen og varslet sine kunder om eventuelle lekkede brukernavn og passord.

mandag 11. desember 2017

Oppsummering av nyhetsbildet innen datasikkerhet for november 2017

I november håndterte vi 157 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 139 i oktober. Det er ingen spesielle svakheter eller hendelser som skiller seg ut denne måneden.

Det var 537 bekreftede DDoS-angrep i november. 156 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,62 Gbps og varte typisk en halv time. Det største angrepet observert i denne perioden var på 12.8 Gbps og varte i 26 minutter. Tre av TSOCs kunder ble utsatt for angrep denne måneden.

En svakhet i macOS High Sierra, eller macOS 10.13, gjorde det mulig å logge på systemet uten passord lokalt, og i noen tilfeller også via fjerninnlogging. For å utnytte svakheten, holder det å legge inn root som brukernavn i påloggingsskjermen og la passordet være blankt. Deretter trykker man noen ganger på lås opp, og brukeren vil bli logget inn på systemet som root. Det vil i bakgrunnen bli opprettet en root-bruker uten passord. Svakheten ble patchet i macOS v10.13.2.

Intel Management Engine er en innebygget funksjon for administrasjon av Intel-baserte PCer og servere. Plattformen er innbygget i Intel-chipsets/CPUer og kan ofte nås selv om PCen er slått av. Den brukes for administrasjon og feilsøking av PCer. Etter rapporter om flere sårbarheter i systemet, har nå Intel foretatt en full sikkerhetsgjennomgang og oppdaget flere svakheter. Feilene er funnet i Intel Management Engine, Intel Trusted Execution Engine (TXE) og Intel Server Platform Services (SPS). Intel opplyser at svakheten kan brukes til å late som om en er ME/SPS/TXE-systemet, laste opp og kjøre valgfri kode på et sårbart system uten at det egentlige operativsystemet vet om det eller å krasje systemet. Flere leverandører av maskinvare har siden kommet oppdatert firmware til flere av sine PCer og servere.

Svensk radio avslørte at flere tusen svenske it-systemer tilhørende myndigheter, kommuner og bedrifter ligger åpent tilgjengelig på internett, med ingen eller lav grad av sikkerhet. Som eksempler nevnes systemer for styring av avløpssystemer, fjernvarme og brannalarmer. Flere av systemene skal også tilhøre samfunnskritisk infrastruktur.

USA har tiltalt tre kinesiske borgere for industrispionasje mot firmaene Trimble, Siemens og Moodys Analytics. De tre tiltalte oppholder seg antakeligvis i Kina og har jobbet for firmaet Guangzhou Bo Yu Information Technology Co., kjent som Boyusec. Mange mener at dette firmaet blir brukt av kinesiske myndigheter til å gjennomføre industrispionasje.

I forbindelse med den årlige Pwn2Own-konferansen, klarte sikkerhetsforskere å ta kontroll over både en iPhone og en Galaxy S8 som begge var fullt oppdaterte. iPhonen ble tatt kontroll over via lokal WiFi ved hjelp av fire forskjellige svakheter som ble brukt etter hverandre. Galaxy-telefonen ble angrepet ved hjelp av 11 svakheter i 6 forskjellige apper. Konkurransen viser igjen at mobiltelefoner av alle typer kan kompromitteres dersom en har tilgang til nok penger eller ekspertise.

Nettstedet Quartz avslørte at Google har samlet inn posisjonsdata fra Android-enheter selv om man har slått av lokasjonstjenesten. Posisjonene til omkringliggende basestasjoner i forhold til mobilen blir sendt inn. Praksisen skal ha pågått siden januar i år, iflg. Google for å forbedre levering av meldinger og push-meldinger. Etter å ha blitt kontaktet av Quartz sier Google at praksisen skal avvikles i løpet av november.

mandag 6. november 2017

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2017

I oktober håndterte vi 139 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 97 i september. Mange av hendelsene gjelder nettlesere som har blitt infisert av forskjellige tillegg (extensions) som stjeler data eller viser annonser. Det er også mange forsøk på å logge inn ved hjelp av å prøve mange forskjellige brukernavn og passord mot forskjellige nett-tjenester.

Det var 561 bekreftede DDoS-angrep i oktober. 140 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,83 Gbps og varte typisk i én time. Det største angrepet observert i denne perioden var på 27.7 Gbps og varte i 2 timer. Seks av TSOCs kunder ble utsatt for angrep denne måneden.

Kaspersky Lab har vært i søkelyset i oktober. Anonyme kilder hevdet i en artikkel i The Wall Street Journal at programvare fra Kaspersky Lab ble brukt til å stjele hemmeligheter fra NSA. Hemmelighetene skal ha blitt tatt fra en privat PC tilhørende en ansatt, etter at den ansatte tok med seg gradert informasjon hjem ulovlig. Den ansatte hadde hjemme-utgaven av anti-virus-programvaren fra Kaspersky installert på denne PCen. AV-programmet oppdaget NSA-programvaren under en scanning av PCen, og sendte denne inn for analyse. Russiske myndigheter skal så ha fått tilgang til programvaren. Hendelsesforløpet ble overvåket av israelske agenter som hadde brutt seg inn i det interne nettverket til Kaspersky i 2015, da saken pågikk. Agentene skal også ha sett at ansatte hos Kaspersky gjorde søk relatert til NSA-kodenavn. Opplysningene ble meldt videre til NSA av Israel.

Etter avsløringene rundt Kaspersky Lab, ble det denne måneden forbudt for offentlige kontorer å bruke programvare fra firmaet. Som tilsvar, meldte Kaspersky Lab at de vil gi myndigheter og private firmaer innsyn i kildekoden til programvaren.

Kaspersky innrømmet mot slutten av måneden at de hadde fått tak i NSA sin malware, men at det ikke skjedde med overlegg. Kaspersky sin CEO, Eugene Kaspersky, ble gitt beskjed om funnet og han ba straks de ansatte slette alt som ble lastet opp. Kaspersky mener også at NSA-programvaren kan ha blitt stjålet av en annen gruppering, siden de også fant en bakdør på den NSA-ansatte sin PC. Denne bakdøren lå gjemt i piratkopiert materiale på PCen.

I oktober kom det fram at russiske interesser kjøpte annonser hos Google, Facebook og Twitter i forbindelse med den amerikanske presidentvalgkampen. Etter interne etterforskninger kom det fram at titusenvis av dollar hadde blitt brukt på annonser. Annonsene prøvde primært å sette forskjellige befolkningsgrupper opp mot hverandre for å skape intern splid. Over 126 millioner amerikanere skal ha blitt utsatt for de russiske annonsene.

Det har blitt oppdaget en svakhet i krypteringsbrikker fra selskapet Infineon kalt ROCA. Brikkene og nøkler laget med dem brukes i ID-kort, til signering av eposter/applikasjoner og TPM-moduler i PCer. På grunn av en implementeringsfeil, har RSA-nøklene som blir generert av brikkene svakere sikkerhet enn det nøkkellengden normalt skulle tilsi. Svakheten er over 5 år gammel og det finnes millioner av svake nøkler i bruk. Ved å ta utgangspunkt i den offentlige nøkkelen, kan den private nøkkelen beregnes. En 1024-bits RSA-nøkkel skal koste rundt $40-80 i datakraft å beregne, mens en 2048-bits nøkkel skal koste rundt $20.000-40.000 (henholdsvis 97 og 1400 vCPU-dager).

En sikkerhetsforsker ved det belgiske universitetet KU Leuven offentliggjorde detaljer rundt en svakhet som delvis knekker sikkerheten i WPA2-protokollen. Angrepet utnytter måten WPA2 håndterer nounces, eller tilfeldige kryptografiske tall. Disse tallene skal i utgangspunktet bare brukes én gang, men implementasjonen lar disse bli gjenbrukt. Metoden har fått navnet KRACK (Key Reinstallation Attack). Både routere, mobiltelefoner og PCer kan være sårbare. Det er imidlertid klienter som er mest sårbare, og da spesielt Linux og Android-baserte klienter. Disse har en ekstra sårbarhet, som gjør at de kan lures til å skru av WPA2-krypteringen fullstendig. Microsoft patchet svakheten allerede 10. oktober, mens iOS ble patchet 31. oktober i versjon 11.1. Google er ventet å slippe patcher tidlig i november for Android.

NRK meldte at E-tjenesten har bekreftet at Russland sto bak jamming av GPS-signaler i Finnmark i september. Russiske styrker gjorde dette i forbindelse med øving på jamming under øvelse Zapad 2017. Reuters meldte også at at Russland slo ut deler av mobilnettet i Litauen med jamming i forbindelse med samme øvelse.


torsdag 5. oktober 2017

Oppsummering av nyhetsbildet innen datasikkerhet for september 2017

Vi håndterte 97 alvorlige hendelser i september, mot 83 i august. Dette er i forbindelse med vår tjeneste Sikkerhetsovervåking. Det var ingen spesielle angrepsbølger eller angrep som skilte seg spesielt ut fra det vanlige.

Det var 365 bekreftede DDoS-angrep i september. 123 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,38 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 13,6 Gbps og varte i 8 minutter. Tre av TSOCs kunder ble utsatt for angrep denne måneden.

Revisjons- og rådgivningsfirmaet Deloitte har vært utsatt for datainnbrudd. Hackerne bak angrepet hadde tilgang til konfidensiell e-post fra noen av selskapets kunder. Dette skjedde ved at Deloittes globale epostserver ble kompromittert ved at angriperne fikk tilgang til en administratorkonto med tilgang til alle områder. Administratorkontoen hadde ikke to-faktor autentisering aktivert. Mange av firmaets kunder er ledende innenfor sektorer som bank, finans, farmasi og media. Offentlige etater er også på Deloittes kundeliste. Hackerne hadde tilgang til systemene i flere måneder før det ble oppdaget i mars tidligere i år. Hvorfor det ikke har vært kjent før nå er uklart.

Sikkerhetsfirmaet Armis avdekket åtte svakheter i Bluetooth, som blant annet gjør det mulig å eksekvere kode på enheten uten at brukeren må foreta seg noe. Bare at enheten er på og har aktivert Bluetooth er nok. Selv om enheten allerede er tilkoblet en annen enhet, er den fortsatt sårbar. En annen av svakhetene gjør det mulig å avlytte nettverkstrafikk til og fra sårbare enheter. Microsoft patchet Windows i juli, uten at de oppga detaljer rundt svakheten. Google leverte patcher til leverandører av Android-telefoner i juli. Versjoner av iOS før versjon 10 er også sårbare. Flere Linux-distribusjoner trenger også patching. Mange Android-telefoner vil ikke bli patchet på lang tid.

Et innbrudd hos kredittovervåkingsselskapet Equifax har eksponert personlig informasjon fra over 145 millioner amerikanere. Informasjon som er på avveie inkluderer navn, personnummer, fødselsdatoer og adresser. Innbruddet ble gjort gjennom en svakhet i Apache Struts. Svakheten ble patchet 8. mars, men Equifax oppdaterte ikke sine servere. Angriperne kom seg inn i nettverket den 15. mai, men angrepet ble oppdaget 29. juli. Equifaxs CEO gikk av etter innbruddet.

Versjon 5.33 av det populære verktøyet CCleaner har vært infisert av malware. Dette gjaldt den offisielle versjonen som ble distribuert av utgiveren Piriform/Avast. Den infiserte versjonen ble lagt ut 15. august og hadde godkjent/korrekt signatur. En ny versjonen uten malware ble utgitt 12. september. Kun 32-bits utgaven av programmet var infisert. Dette er et såkalt “Supply Chain Attack” og er svært vanskelig å oppdage eller forhindre. I løpet av måneden kom det fram at angrepet var svært målrettet mot spesifikke teknologifirmaer. Dersom den infiserte utgaven av CCleaner ble installert på en PC i firmaer som Microsoft, Sony, Intel, VMWare, Samsung, osv. ble sekundær malware lastet ned. Sikkerhetsfirmaet Talos mener at gruppen bak operasjonen var ute etter industrihemmeligheter. De mistenker også Kina for å stå bak.

The Department of Homeland Security har gitt amerikanske myndigheter 90 dager på å avinstallere og erstatte programvare fra Kaspersky. Dette på grunn av sterk mistanke til knytning mot russiske myndigheter. Kaspersky benekter enhver tilknytning.

Washington Post avslørte at et russisk firma, som er knyttet til propaganda fra Kremlin, skal ha kjøpt politisk reklame for over $100.000 fra Facebook i forbindelse med det amerikanske valget. Millioner av amerikanere skal ha sett annonsene. Politisk reklame på Facebook blir mer og mer populært siden den kan leveres målrettet til bestemte velgergrupper basert på etnisitet, alder, kjønn, bosted, interesser, osv.

Symantec ga ut informasjon om en ny gruppe angrep utført av en gruppe de kaller "Dragonfly 2.0". Angrepene har vært rettet mot kraftforsyningen i flere land i Europa og USA. Den siste bølgen av angrep begynte i 2015 og har økt i intensitet i 2017. Kampanjen har mange likheter med tidligere lignende kampanjer, og Russland mistenkes å stå bak. Angriperne bruker både phishing, vannhullsangrep og dokumenter med malware for å komme seg på innsiden av nettverk. I flere tilfeller i USA skal angriperne ha hatt tilgang til styringssystemer for kraftforsyningen.


 
>