Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 2. oktober 2014

Oppsummering av nyhetsbildet september 2014

I september gikk antall håndterte hendelser opp til 254, fra 92 i august. Det er tydelig at aktiviteten har tatt seg kraftig opp etter sommeren. Vi ser også at flere brukere blir tatt av exploit-kits, gjerne ved hjelp av svakheter i Java eller Flash. Denne måneden så vi også en oppblomstring av maskiner infisert av trojaneren Pushdo. Vi ser også at en del maskiner igjen blir rammet av utpressingsprogramvare/ransomware.

I september håndterte vi 96 DDoS-angrep, mot 45 i august. Det største angrepet i perioden var på 33Gbps. Nesten halvparten av angrepene inneholdt trafikk av typen SSDP (Simple Service Discovery Protocol). I det siste har vi på TSOC sett en økning i bruk av protokollen SSDP i angrep. Dette er en protokoll som ofte er tilgjengelig på hjemmeroutere og andre nettverksenheter. Ellers er NTP- og DNS-reflection mye brukt som tidligere.

Den store saken i september var ShellShock, altså sårbarheten i systemet Bash på Unix, Linux og OS X-systemer. Svakheten lå i måten Bash tolket miljøvariabler som blir sendt inn til shellet. Det ble også oppdaget flere andre svakheter i Bash i kjølevannet av saken. Det var først og fremst eldre web-servere som var sårbare, men svakheten rammet også andre systemer som e-post- og VPN-servere. Klient-maskiner, som OS X, var sårbare, men det var ingen enkel måte å utnytte dem på. Det ble etter hvert oppdaget mange scanninger etter sårbare systemer på nettet og en del servere ble nok også kompromittert. Det har imidlertid ikke blitt meldt om spesielt alvorlige hendelser etter ShellShock. Det tok flere runder med patcher fra leverandørene før svakheten ble skikkelig lukket.

I september ble det også sluppet en liste med fem millioner Gmail-adresser og passord. Informasjonen kom fra en rekke ulike kilder; noe fra phishing og noe fra andre kompromitterte nettsider der Gmail-adresser var brukt til registrering. Mesteparten av informasjonen var gammel, men rundt 2% av brukernavn/passord-kombinasjonene virkert mot Googles egne tjenester på grunn av gjenbruk av passord. Ingen av Googles systemer var kompromittert i forbindelse med saken.

Det ble meldt om en svakhet i standard-nettleseren som fulgte med i Android-versjoner eldre enn versjon 4.4. Denne nettleseren oppdateres ikke lengre av Google. Svakheten gjør at en web-server som brukeren surfer til kan lese ut informasjon fra alle andre webforms og nettlesere på systemet. Det anbefales å bruke en nyere nettleser som Chrome, FireFox eller Opera som oppdateres jevnlig.

Apple kunngjorde denne måneden at de med innføringen av iOS 8 ikke lenger vil være i stand til å låse opp passord-beskyttede/krypterte iPhoner og iPader, selv om en rettkjennelse som tillater dette skulle foreligge. Google kom like etter med en tilsvarende kunngjøring om sin neste versjon av Android. I etterkant av nyhetene har justismyndigheter i USA protestert kraftig mot den oppgraderte sikkerheten.

Google's DoubleClick reklame-system eksponerte, sammen med reklamefirmaet Zedo, millioner av maskiner for den nylig oppdagede malwaren Zemot. Reklamen ble servert gjennom mange populære nettsteder. Tusenvis av maskiner ble infisert gjennom å se på reklamen. Det tok flere dager før det lyktes å fjerne den skadelige reklamen fullstendig.

I et forsøk på å stoppe ISPer, statlige etater og angripere fra å overvåke og sensurere internett, åpnet CloudFlare i slutten av september SSL uten kostnadstillegg for sine mer enn 2 milioner kunder. Dette doblet i løpet av få timer antallet SSL-krypterte nettsteder.

I september ble det annonsert at kraftbransjen stifter sitt eget sikkerhetsselskap, Kraftcert, som skal hjelpe med å beskytte bransjen mot dataangrep. Hafslund, Statkraft og Statnett går sammen om å opprette selskapet som skal ha 3-4 ansatte.

 
>