fredag 5. desember 2014
Oppsummering av nyhetsbildet november 2014
Oppsummering av nyhetsbildet oktober 2014
Det kom fram at en av de største bankene i USA, JP Morgan Chase, ble angrepet i juli. 83 millioner personer og småbedrifter fikk deres persondata stjålet. Navn, adresser, telefonnumre og e-postadresser er på avveie, men det ser ikke ut til at kontonummer, passord eller penger er stjålet.
torsdag 2. oktober 2014
Oppsummering av nyhetsbildet september 2014
I september gikk antall håndterte hendelser opp til 254, fra 92 i august. Det er tydelig at aktiviteten har tatt seg kraftig opp etter sommeren. Vi ser også at flere brukere blir tatt av exploit-kits, gjerne ved hjelp av svakheter i Java eller Flash. Denne måneden så vi også en oppblomstring av maskiner infisert av trojaneren Pushdo. Vi ser også at en del maskiner igjen blir rammet av utpressingsprogramvare/ransomware.
I september håndterte vi 96 DDoS-angrep, mot 45 i august. Det største angrepet i perioden var på 33Gbps. Nesten halvparten av angrepene inneholdt trafikk av typen SSDP (Simple Service Discovery Protocol). I det siste har vi på TSOC sett en økning i bruk av protokollen SSDP i angrep. Dette er en protokoll som ofte er tilgjengelig på hjemmeroutere og andre nettverksenheter. Ellers er NTP- og DNS-reflection mye brukt som tidligere.
Den store saken i september var ShellShock, altså sårbarheten i systemet Bash på Unix, Linux og OS X-systemer. Svakheten lå i måten Bash tolket miljøvariabler som blir sendt inn til shellet. Det ble også oppdaget flere andre svakheter i Bash i kjølevannet av saken. Det var først og fremst eldre web-servere som var sårbare, men svakheten rammet også andre systemer som e-post- og VPN-servere. Klient-maskiner, som OS X, var sårbare, men det var ingen enkel måte å utnytte dem på. Det ble etter hvert oppdaget mange scanninger etter sårbare systemer på nettet og en del servere ble nok også kompromittert. Det har imidlertid ikke blitt meldt om spesielt alvorlige hendelser etter ShellShock. Det tok flere runder med patcher fra leverandørene før svakheten ble skikkelig lukket.
I september ble det også sluppet en liste med fem millioner Gmail-adresser og passord. Informasjonen kom fra en rekke ulike kilder; noe fra phishing og noe fra andre kompromitterte nettsider der Gmail-adresser var brukt til registrering. Mesteparten av informasjonen var gammel, men rundt 2% av brukernavn/passord-kombinasjonene virkert mot Googles egne tjenester på grunn av gjenbruk av passord. Ingen av Googles systemer var kompromittert i forbindelse med saken.
Det ble meldt om en svakhet i standard-nettleseren som fulgte med i Android-versjoner eldre enn versjon 4.4. Denne nettleseren oppdateres ikke lengre av Google. Svakheten gjør at en web-server som brukeren surfer til kan lese ut informasjon fra alle andre webforms og nettlesere på systemet. Det anbefales å bruke en nyere nettleser som Chrome, FireFox eller Opera som oppdateres jevnlig.
Apple kunngjorde denne måneden at de med innføringen av iOS 8 ikke lenger vil være i stand til å låse opp passord-beskyttede/krypterte iPhoner og iPader, selv om en rettkjennelse som tillater dette skulle foreligge. Google kom like etter med en tilsvarende kunngjøring om sin neste versjon av Android. I etterkant av nyhetene har justismyndigheter i USA protestert kraftig mot den oppgraderte sikkerheten.
Google's DoubleClick reklame-system eksponerte, sammen med reklamefirmaet Zedo, millioner av maskiner for den nylig oppdagede malwaren Zemot. Reklamen ble servert gjennom mange populære nettsteder. Tusenvis av maskiner ble infisert gjennom å se på reklamen. Det tok flere dager før det lyktes å fjerne den skadelige reklamen fullstendig.
I et forsøk på å stoppe ISPer, statlige etater og angripere fra å overvåke og sensurere internett, åpnet CloudFlare i slutten av september SSL uten kostnadstillegg for sine mer enn 2 milioner kunder. Dette doblet i løpet av få timer antallet SSL-krypterte nettsteder.
I september ble det annonsert at kraftbransjen stifter sitt eget sikkerhetsselskap, Kraftcert, som skal hjelpe med å beskytte bransjen mot dataangrep. Hafslund, Statkraft og Statnett går sammen om å opprette selskapet som skal ha 3-4 ansatte.
onsdag 10. september 2014
Oppsummering av nyhetsbildet august 2014
PST ba i august om fire endringer i loven i kampen mot terror, hvor én av disse er å samle såkalt stordata. Ved å samle enorme mengder data kan det gjøres omfattende analyser for å oppdage trender og sammenhenger, hvor målet blant annet er å avsløre mistenkelig oppførsel og terrorvirksomhet. Datatilsynet på sin side advarer mot slik innsamling og det som kan bli et overvåkningssamfunn.
tirsdag 12. august 2014
Oppsummering av nyhetsbildet juli 2014
fredag 4. juli 2014
Oppsummering av nyhetsbildet juni 2014
mandag 30. juni 2014
Oppsummering av nyhetsbildet mai 2014
Antallet alvorlige hendelser i forbindelse med nettverksovervåking (IDS) gikk noe ned forrige måned. Fortsatt er det relativt få som blir infisert ved hjelp av exploits. De fleste innfiseringer skjer ved å lure brukeren til å kjøre malware selv. Dette skjer gjerne via vedlegg i e-poster eller ved å lure brukeren til å installere forskjellige typer falsk programvare. Vi ser fortsatt at angripere logger seg inn med riktig brukernavn og passord på FTP-tjenere hos flere kunder. Login-detaljer er antakeligvis stjålet fra kompromitterte klientmaskiner. Angriperne prøver gjerne å laste opp innhold til eventuelle web-servere som måtte befinner seg på den samme serveren.
Antallet håndterte DDoS-angrep gikk nok en gang opp. Denne måneden har det hovedsaklig vært DNS-reflection-angrep. Angrep som benyttet seg av protokollen NTP har gått ned. Det største angrepet resulterte i 7.8Gbps med fragmenterte pakker, noe som betyr at den totale angrepstrafikken var på minst 11Gbps.
Andre mai ga Microsoft ut en patch til en 0-dags svakhet i Internet Explorer som ble brukt til målrettede angrep. Overraskende nok ble også Windows XP patchet, til tross for at operativsystemet er utenfor support. Dette er trolig den aller siste patchen som blir gitt ut til Windows XP. Mot slutten av måneden ble det meldt om enda en 0-dags svakhet i Internet Explorer versjon 8.
På SOC så vi denne måneden malware som spredde seg via Facebook. Brukere mottok en melding på Facebook med noe som så ut som et bilde i vedlegg. Dersom mottakeren åpnet filen, ble PCen infisert og malwaren spredde seg videre ved hjelp av private meldinger til kontakter. Det virker som om malwaren først og fremst tjener penger for bakmennene ved å utføre regneoperasjoner på PCer, såkalt "cryptocurrency mining". Dette har etter hvert blitt en vanlig måte å tjene penger på infiserte maskiner.
Det ble sluppet nye dokumenter som viser skal vise en "oppgraderings"-fabrikk tilhørende NSA. Bildene viser at NSA setter inn ekstra hardware for overvåking i en ruter fra Cisco. Ruterne blir stoppet mellom Cisco og kunden som egentlig skal motta dem.
Amerikanske påtalemyndigheter tok ut tiltale mot fem kinesiske offiserer. De fem tiltalte skal ha bedrevet spionasje mot flere amerikanske industribedrifter, blant annet innen stål- og kraftbransjen. Dette skal, i følge tiltalen, ha skjedd i perioden mellom 2006 og 2014. De tiltale tilhører, i følge amerikanske myndigheter, den 3. avdeling i Folkets Frigjøringshær, som har som hovedoppgave å bedrive etterretning mot mål utenfor Kina. Dette er første gang amerikanske myndigheter tar ut tiltale mot personer i det kinesiske militæret.
Ebay ble utsatt for et datainnbrudd som førte til at en database med personlige opplysninger og krypterte passord ble kopiert. Angriperne skal ikke ha fått tilgang til kredittkortinformasjon. Ebay ba brukerne om å skifte passord i etterkant av hendelsen. I dagene etter hendelsen ble det rapportert om flere andre svakheter i tjenesten.
Fra Australia ble det meldt at Apple-enheter plutselig ble låst. På skjermen kom det opp en melding om hvor brukeren skulle sende penger for å få den låst opp igjen. Låsingen ble gjort ved hjelp av Apples innebygde administrasjonsverktøy. Trolig har angriperne fått tilgang til brukernavn og passord til mange brukere ved hjelp av phishing-angrep.
I månedens siste dag ble det mye oppstyr rundt at diskkrypteringsverktøyet TrueCrypt plutselig ble lagt ned. Det er ukjent hvem som står bak verktøyet og det er også fortsatt ukjent hva som er motivet for nedleggelsen.
mandag 12. mai 2014
Oppsummering av nyhetsbildet april 2014
Antallet alvorlige hendelser i forbindelse med nettverksovervåking (IDS) på TSOC gikk noe opp forrige måned. Det var ingen store nyheter når det gjelder type malware eller infeksjonsvektor.
Antall håndterte DDoS-angrep gikk også noe opp. Det største angrepet var på rundt 14Gbps.
Den store nyheten i april var Heartbleed-svakheten som rammet hundretusener av servere på Internet. Svakheten ble funnet i krypterings-biblioteket OpenSSL og lot angripere hente ut 64KB-biter av minnet ved å sende en spesielt utformet datapakke. For hver ny pakke fikk en tilgang til et nytt område av minnet. Svakheten hadde forskjellige konsekvenser alt etter hvilket system det dreide seg om. For mange web-servere var det mulig å hente ut den private krypteringsnøkkelen til serveren, noe som førte til at et stort antall firmaer har måttet bestille nye nøkler til serverne sine. Det ble etter hvert sluppet automatiserte verktøy for å hente ut disse nøklene fra sårbare servere. Telenor hadde også denne svakheten i noen tjenester og patchet disse i løpet av kort tid.
I etterkant av Heartbleed-svakheten gikk en sammenslutning av store teknologiselskaper sammen om finansiering av OpenSSL-prosjektet, i regi av The Linux Foundation. Prosjektet, som har blitt omtalt som kritisk for to tredjedeler av internett, har hittil blitt finansiert ved hjelp av rundt $2000 per år i donasjoner. Blant selskapene som skal bidra med finansielle midler er IBM, Intel, Microsoft, Facebook og Google.
Denne måneden slapp Microsoft den siste runden med månedlige oppdateringer til Windows XP, Office 2003 og Exchange 2003. Disse produktene får ikke lengre support fra Microsoft. Brukere av disse gamle systemene bør oppgradere så fort som mulig.
Security Research Labs og GSMMaps.org ga ut en rapport om mobilsikkerhet i forskjellige land. Norge er det landet i verden som har best sikkerhet på nettverk for mobil tale. Rapporten kartla tiltak mot sporing av abonnenter, oppfanging av samtaler og mulighet til å utgi seg for å være andre. Telenor kom aller best ut blant de norske operatørene.
New York Times' IT-blogg hadde en sak om DDoS-utpressing av internettbaserte selskaper. Representanter fra tjenesten Meetup fortalte om hvordan de får e-post med trusler om nedetid, dersom de ikke betaler noen hundre dollar i Bitcoins innen en viss tid. Sannsynligvis er den lave prisen en metode for å få selskaper "på kroken". Dersom man betaler risikerer man å havne på en liste over betalingsvillige selskaper, og påfølgende henvendelser vil gjerne inneholde et høyere beløp.
Mot slutten av måneden ble det oppdaget nok en svakhet i alle versjoner av Internet Explorer. Sikkerhetsverktøyet EMET fra Microsoft beskyttet mot angrepene. Microsoft har nå sluppet en patch for sårbarheten, også for Windows XP. To dager senere ble det også sluppet en oppdatering til Flash Player fra Adobe som også ble brukt til målrettede angrep.
I april ble fem personer dømt til betinget fengsel etter et tjenestenektangrep mot Arbeiderpartiets nettside i april 2011. Denne dommen viser at DDoS blir sett på som en ulovlig handling av det norske rettsvesenet. En tidligere høyrepolitiker ble i en annen sak dømt til 60 dagers fengsel for datainnbrudd som ble avdekket i juli 2013. Personen ble dømt for å ha brutt seg inn på e-post- og iCloud-kontoene til en rekke kvinner, i den hensikt å hente ut nakenbilder og annet sensitivt materiale.
fredag 4. april 2014
Oppsummering av nyhetsbildet mars 2014
I denne månedens NSA-avsløringer kom det fram at NSA skal ha et system som kan ta opp alle telefonsamtaler i minst ett land og lagre disse i 30 dager. Det ble også avslørt at NSA har hacket seg inn i interne nettverk hos Huawei. Hensikten skal ha vært å tilegne seg kunnskap om selskapet og eventuelle knytninger motl myndighetene. De skal også ha ønsket å finne ut hvordan man kan utnytte svakheter i Huawei-produkter, for således å kunne tilegne seg tilgang til Huawei-baserte nettverk.
lørdag 1. mars 2014
Oppsummering av nyhetsbildet februar 2014
Hackere fra Syrian Electronic Army (SEA) hacket seg inn hos publikasjonen Forbes. Her fikk de kontroll over publiseringssystemet og la inn en falsk nyhetssak. De tok også kontroll over tre Twitter-kontoer tilhørende ansatte. Syrian Electronic Army publiserte etter angrepet Forbes sin bruker-database med tilhørende krypterte passord. Kredittkortinfo skal ikke ha blitt stjålet. SEA vandaliserte også nettsidene til PayPal UK og eBay.
lørdag 1. februar 2014
Oppsummering av nyhetsbildet januar 2014
onsdag 15. januar 2014
Oppsummering av nyhetsbildet desember 2013
DDoS-angrepene som TSOC observerte i desember bestod fortsatt for det meste av DNS-reflection-angrep og var ofte rettet mot privat-brukere. Denne måneden observerte vi et angrep på over 110Gbps, noe som er ny rekord i Telenors nett. Fra 23. desember og utover så vi også flere angrep som benyttet seg av NTP-reflection. Dette er en ny form for DDoS-angrep som misbruker tjenesten Network Time Protocol. Det er bare gamle installasjoner av NTP som lar seg utnytte til denne typen angrep.
Tre unge menn ble i desember dømt for grovt skadeverk etter å ha utført DDoS-angrep mot nettsteder som DnB, PST, It-avisen, digi.no, Norsk Tipping m.fl. våren 2012. Angrepene gjorde flere av sidene utilgjengelig i timesvis. Angrepene ble utført ved å kjøpe DDoS-tjenester på nettet og krevde ingen teknisk innsikt. Dommen er viktig da den avklarer at DDoS-angrep er et alvorlig lovbrudd i Norge.
TSOC observerte medio desember en formidabel økning i scanninger etter Linux-maskiner med sårbar installasjon av Apache / PHP 5.x. Dersom en maskin er sårbar, lastes det ned en IRC-basert DDoS-bot.
Microsoft slapp denne måneden 11 oppdateringer som rettet 22 svakheter. Blant disse var en oppdatering for GDI+ som rettet en svakhet som rammet Office 2007 og Lync. Denne svakheten ble brukt i målrettede angrep for å kompromittere maskiner.
Forskere i Tyskland har klart å bruke den innebygde mikrofonen og høyttaleren i bærbare PCer for å sende informasjon til andre PCer opptil 20 meter unna. Denne informasjonen kan være passord, kommandoer og andre typer data av mindre størrelse. Kommunikasjonen skjer over 20KHz og er dermed ikke mulig å høre for mennesker. Denne utviklingen utgjør en trussel mot spesielt sikrede nettverk uten vanlig nettforbindelse (air-gapped).
Flere teleoperatører i Sverige har opplevd press fra myndighetene for å gi automatisk tilgang til brukerdata. De har samtidig blitt lovet at kundene ikke skal få vite om tilgangen. Bahnhof og Tele2 bekrefter dette. Lederen for Bahnhof har også gjort flere timer med hemmelige lydopptak av samtelene. Säpo argumenterer med at det kan være tidskritisk å få tak i informasjonen fort i tilfelle et forestående terrorangrep.
I følge Reuters skal NSA ha betalt sikkerhetsselskapet RSA rundt 60 millioner kroner for å bruke en spesiell krypteringsalgoritme (Dual_EC_DRBG) som har en bakdør som NSA kunne bruke. Saken har ført til at flere foredragsholdere har meldt avbud til årets RSA-konferanse.
En komité nedsatt av Obama for å se på NSAs overvåking er kritisk på flere punkter. Blant annet foreslår de at metadata om telefonsamtaler ikke samles inn sentralt, men blir liggende hos hvert enkelt teleselskap. Gruppen er også kritisk til at NSA jobber for å legge inn bakdører i krypteringsalgoritmer. Rapporten kommer også med forslag til over 40 andre endringer.
Før jul ble det rapportert om at kredittkortdata fra millioner av kunder av den amerikanske butikkjeden Target var på avveie. Det er nå klart at 70 millioner kunder har blitt frastjålet ikke bare kredittkortdata, men også personlig informasjon som navn, adresse og telefonnummer. Target bekrefter at lekkasjen skyldtes malware på betalingsautomater i forretningene.