I november håndterte vi 124 hendelser i forbindelse med tjenesten Sikkerhetsovervåking. Dette var omtrent på samme nivå som oktober. Fortsatt er det mange maskiner som er infisert av informasjons-stjelende trojanere som Dyre, Zeus og Upatre. Vi har også sett et ytterligere oppsving i maskiner infisert av utpressingsprogramvare i november. Det har vært stor spredning av denne typen malware via e-post. Husk å være forsiktig med å åpne vedlegg du er usikker på!
I november håndterte TSOC 146 DDoS-angrep, mot 202 i oktober. Denne måneden er det DNS-reflection-angrep som har dominert, med 4 angrep på 60-70Gbps. Dette er uvanlig mange store angrep. Gjennomsnittlig størrelse på et angrep gikk opp fra 4.7Gbps i oktober til 6.3 i november.
Den første helgen i november ble både Swedbank og Nordea rammet av DDoS-angrep. Begge nettstedene var nede i flere timer. Ifølge Aftonbladet krevde angriperen et beløp tilsvarende 10.000 USD i Bitcoins for å slutte med angrepene. Mot slutten av måneden ble en tenåring arrestert i Sverige. Han ble siktet for å ha gjennomført angrepene og utpressing mot bankene. Tenåringen benyttet seg av et botnett på rundt 20.000 maskiner for å gjennomføre angrepet.
I november ble det avslørt at mange PCer fra Dell har et stort sikkerhetshull. De er utstyrt med et såkalt "root-sertifikat" som gjør det lett å overvåke trafikk til og fra PCen. En angriper kan også lett lage nettsteder som bruker sertifikatet til å tro at du besøker Google eller banken din, mens du egentlig er på en svindel-side. Denne saken minner mye om den såkalte "Superfish"-saken som tidligere rammet Lenovo. På Dell PCer brukes imidlertid sertifikatet til kundestøtte, mens hos Lenovo ble sertifikatet brukt til å servere reklame. Dell kom etter et par dager med oppdateringer som slettet sertifikatet.
Hackere har klart å ta full kontroll over en iPhone kun ved å få brukeren til å besøke en spesiell nettside. For å få tilgang til programkoden som muliggjør dette, betaler firmaet Zerodium en million dollar. Firmaet driver med handel av ferske sikkerhetssvakheter. Apple vil ikke bli informert om hvordan hacket ble utført og fremgangsmåten vil bli solgt til interesserte land.
Checkpoint offentliggjorde nye detaljer om APT-aktøren Rocket Kitten. Personene bak grupperingen holder til i Iran og det virker som om de jobber med spionasje for staten. På grunn av dårlig sikkerhet i gruppens operasjoner, har Checkpoint klart å ta seg inn i gruppens servere og hentet ut informasjon. De har blant annet identifisert flere av medlemmene og mange av målene.
Microsoft vil snarlig gjøre det mulig for kundene å velge å lagre dataene sine i Tyskland. Med dette tilvalget vil tjenestene antakeligvis bli noe dyrere. Selskapet T-Systems skal ha ansvaret for lagring av dataene, og Microsoft skal ikke selv ha tilgang til dem. Dette gjøres for ikke å komme i konflikt med europeiske personvernlover etter at Safe Harbor-avtalen falt bort.
Ved å analysere mer enn 4000 produkter fra over 70 leverandører har forskere ved SEC Consult funnet utstrakt gjenbruk av HTTPS-sertifikater og SSH-nøkler. De private nøklene som er gjenbrukt, kan i mange tilfeller hentes ut fra enhetenes firmware. Produktene dette gjelder er blant annet rutere, modem og IP-kamera fra så godt som alle kjente leverandører. Problemet ved dette er at alle enhetene som bruker samme firmware, også vil ha samme krypto-nøkler og sertifikat. Dette kan da misbrukes til blant annet man-in-the-middle angrep. Mange millioner enheter er sårbare for angrep.
Regjeringens digitale sårbarhetsutvalg publiserte på månedens siste dag en omfattende rapport, der de peker på digitale svakheter i samfunnet og foreslår tiltak. Blant konklusjonene er at det er for lite sikkerhetskunnskap på en rekke områder. De mener også at politiet bør bruke betydelig mer krefter på digitale lovbrudd. I henhold til utvalget er også Telenors kjernenett involvert i en for stor andel av Norges kritiske infrastruktur og tjenester.
onsdag 2. desember 2015
Oppsummering av nyhetsbildet for november 2015
fredag 6. november 2015
Oppsummering av nyhetsbildet for oktober 2015
I oktober hadde vi nesten en dobling i hendelser håndtert gjennom tjenesten Sikkerhetsovervåking sammenlignet med september; 127 hendelser, mot 68 i september. Denne måneden fortsatte med maskiner infisert av trojanere som Dyre, Zeus og Upatre. Noen blir dessverre også fortsatt lurt til å installere utpressingsprogramvaren CryptoWall. Vi så også flere iPhone-enheter som var infisert med spionprogrammet XCodeGhost.
Antall håndterte DDoS-angrep gikk noe opp til 202 i oktober, mot 191 i september. Reflection-angrep basert på DNS var det mest vanlige, med NTP og Chargen på de neste plassene. Vi ser nå også angrep basert på den gamle routing-protokollen RIPv1, noe som er relativt nytt. Gjennomsnittlig angrepsstørrelse var på 4.7Gbps og det største angrepet var på 32.8Gbps! Flere av TSOCs betalende DDoS-kunder ble angrepet i perioden.
Som i september, fikk Apple også denne måneden problemer med stor spredning av malware til iOS-enheter. Skadevaren YiSpecter omtales som den første skadevaren som infiserer ikke-jailbreakede iOS-enheter. Skadevaren installeres via Apples "Enterprise App Provisioning framework" - et rammeverk som lar bedrifter installere apper på ansattes mobiler uten å måtte legge dem åpent ut i App Store. Dette gjør det mulig for skadevaren å omgå screeningen som Apple gjør før publisering. Malwaren bruker også API-kall som normalt bare er tilgjengelig for Apple. Skadevaren var signert med et gyldig utviklersertifikat og lot seg dermed installere som om den var legitim programvare. Skadevaren så ut til å rette seg mot brukere i Kina og Taiwan. I siste versjon av iOS har Apple nå lagt inn en ekstra sperre for å installere apper via denne teknikken. Brukeren må nå først slå på muligheten for slik installasjon i telefonens innstillinger.
I starten av Oktober ble det avdekket enda flere kritiske svakheter i Android. Svakhetene fikk navnet StageFright 2.0, siden de finnes i det samme biblioteket som de opprinnelige StageFright-svakhetene. Svakheten skal være i forbindelse med tolkning av metadata til lyd og videofiler, slik at man trenger ikke nødvendigvis åpne filene for å bli utnyttet. Google patchet svakhetene 7. oktober, men underleverandører som Samsung og LG bruker nok noe tid på å få dem ut til telefoner.
14. oktober slapp Adobe en oppdatering til Flash som utbedret en rekke svakheter. Samme dag ble det også kjent at trusselaktøren PawnStorm/APT28 brukte en zero-day svakhet i Adobe Flash til å angripe utenriksdepartementer rundt i verden. Oppdateringen til Flash rettet ikke svakheten som hadde blitt benyttet. Angrepsmetoden skal ha vært målrettede phishing-mail som inneholdt linker til exploit-koden. Adobe patchet svakheten allerede 17. oktober. Senere i måneden kom det også fram at PawnStorm forsøkte å få tilgang til nettverket brukt av undersøkelseskommisjonen etter MH17-flyulykken.
Hashing-algoritmen SHA-1 er mye brukt i blant annet SSL-sertifikater på nettet. Den har kjente svakheter og det planlegges å slutte å bruke den i januar 2017. Noen forskere mener nå at dette kan være for lenge til og at algoritmen snart lett kan knekkes. Det anbefales å fornye alle sertifikater som bruker SHA-1.
NetCraft rapporterte at det i løpet av en periode på 30 dager ble utstedet hundrevis av SSL-sertifikater til tvilsomme/falske domener som benyttes til phishing og svindel. Slepphendt håndtering av regelverket for utstedelse av sertifikater pekes på som en medvirkende årsak til at dette skjer, og utstederen CloudFlare/Comodo fremheves som verstingen. Sertifikatene benyttes for å gi phishingsider og lignende høyere troverdighet overfor besøkende. Denne utviklingen kan føre til at signering av nettsteder snart ikke kan tilleges særlig vekt for å identifisere hvem som står bak dem.
I september avdekket Google at Symantec hadde utstedet flere falske sertifikater for Google-domener. Google har nå avdekket at problemet er større enn først antatt. Symantec har også utstedt 164 andre falske sertifikater for reelle domener. Google forlanger nå at Symantec begynner å legge ut en offentlig logg over alle domener de lager sertifikater for. Symantec må også leie inn en tredjepart for å gå igjennom sikkerheten. Symantec gikk med på kravene til Google.
En tenåring hacket seg inn i CIA-sjefens private AOL e-postkonto. Der hentet han ut flere personlige dokumenter, blant annet et skjema som var fyllt ut i forbindelse med sikkerhetsklarering. Hacket skal ha blitt utført ved sosial manipulasjon av mobiloperatøren og AOL. Hackeren ga seg ut for å være en ansatt og lurte til seg informasjon han trengte for å nullstille passordet.
torsdag 8. oktober 2015
Oppsummering av nyhetsbildet for september 2015
Etter sommeren har vi sett en oppgang i alvorlige hendelser håndtert gjennom tjenesten Sikkerhetsovervåking. Vi håndterte i september 68 saker, opp fra 50 i august. Denne måneden så vi fortsatt mange trojaner-infeksjoner forårsaket av bank-trojaneren Dyre. Det er dessverre også fortsatt en del som blir utsatt for utpressingsprogramvare og får hele harddisken kryptert.
I september håndterte vi 191 alvorlige DDoS-angrep, mot 233 i august. Gjennomsnittlig størrelse på disse angrepene var 6.73Gbps. De to største angrepene var på henholdsvis 25 og 30Gbps, kraftig opp sammenlignet med forrige måned. De fleste angrepene er reflection-angrep utført ved brukt av protokollene chargen og DNS.
September var en dårlig måned sikkerhetsmessig for Apple. Denne måneden ble det oppdaget hundrevis av applikasjoner i App Store som inneholdt uønsket kode (adware) som viste annonser og kartla brukere. Appene ble infisert ved at utviklere av Iphone-apps har blitt lurt til å installere en uoffisiell versjon av Apples programvare for utvikling, Xcode. Denne versjonen inneholdt skadevare som igjen infiserte utviklernes apper. Disse appene ble ikke avvist av Apples sikkerhetsmekanismer. For det meste ble apper brukt spesielt i Kina rammet, men også kjente apper som WeChat og WinZip var infisert. Dette er første gangen noen har klart å få malware inn i App Store på dette nivået.
OS X ble også rammet av adware kalt Genieo. Denne adwaren blir installert sammen med ellers uskyldige programmer. Etter at adwaren har blitt installert, gir den seg selv tilgang til OS X Keychain. Dette gjør den for å kunne installere en ny extention til Safari, kalt Leperdvil. Normalt kreves det at brukeren gir sitt samtykke for at apper skal få tilgang til Keychain. Genieo gir imidlertid seg selv tilgang ved å emulere et museklikk der "godta" knappen på dialogboksen er når den dukker opp. Keychain kan også inneholde passord til andre tjenester som adwaren kan hente ut.
Google har også hatt problemer med malware i Google Play. Dette har rammet opp mot en halv million brukere av spillet “Brain Test”. Checkpoint har avdekket at spillet, etter installasjon, laster ned et exploit-kit, i den hensikt å installere et rootkit på enheten og gi angriper full kontroll. I likhet med malwaren i Apples App Store var også denne rettet hovedsaklig mot brukere i Kina. Malwaren ble brukt til å installere flere apps på rammede mobiler. Bakmennene har benyttet seg av flere triks for å omgå Googles sikkerhetssjekker av apper som blir lastet opp til Google Play.
Googles Project Zero team oppdaget i september at sårbarheter i Kaspersky Antivirus kan benyttes til å ta kontroll over en maskin. Sårbarhetene skyldes blant annet feil i håndtering av pakkede filer og arkiver. Google anbefaler at prosessen som utfører sjekken blir kjørt i en sandkasse og uten SYSTEM-privilegier. Kaspersky fikset svakhetene i løpet av 24 timer. Google har funnet en mengde kritiske sårbarheter i antivirus-programvare fra flere leverandører.
En sikkerhetsforsker oppdaget også flere svakheter i en sikkerhets-appliance fra FireEye. Én av svakhetene gir tilgang til å laste ned filer fra boksen uten å autentisere seg. Det opplyses også at web-serveren kjører med root-tilgang, noe som ikke er regnet som et sikkert oppsett. FireEye slapp kort tid etter en oppdatering for svakhetene.
Cisco meldte at at det var funnet spesialtilpasset firmware i routere ute hos kunder. Selskapet Mandiant fant 14 routere av typen 1841, 2811 og 3825 med kompromittert programvare. Disse routerne ble funnet i Mexico, Filippinene, India og Ukraina. Senere scannet forskere hele Internett etter infiserte routere og fant totalt 79 enheter, de fleste i USA og Libanon. Angriperne får tilgang til routerne ved hjelp av fysisk tilgang eller gyldige administrator-kontoer. Når programvaren er installert, kan den laste inn moduler med forskjellig funksjonalitet. Når en router er kompromittert, kan i teorien all trafikk som går gjennom den avlyttes eller endres.
Mozilla meldte om at deres Bugzilla-installasjon, et system for å håndtere feil og svakheter i deres programvare, ble kompromittert. Informasjon stjålet om svakheter i FireFox, skal ha blitt brukt til å kompromittere klienter gjennom målrettede angrep. En oppdatering for FireFox, sluppet 27. august, skal ha fikset alle svakheter som ble avslørt gjennom angrepet.
F-Secure meldte om at sikkerhetsmiljøet blir forsøkt kartlagt ved hjelp av falske LinkedIn-kontoer som gir seg ut for å drive med rekruttering. Personene bak kontoene, samt selskapet de representerer finnes ikke.
mandag 7. september 2015
Oppsummering av nyhetsbildet for august 2015
August var også en måned med relativt få infiserte maskiner oppdaget gjennom tjenesten Sikkerhetsovervåking. Vi håndterte 50 alvorlige saker, mot 49 i juli. Denne måneden så vi en oppblomstring av infeksjoner forårsaket av nettbank-trojaneren Dyre. Denne blir gjerne distribuert som vedlegg til e-poster pakket i Zip-filer og offeret blir lurt til selv å kjøre malwaren. Vær varsom med å åpne vedlegg i e-post!
Telenor SOC håndterte 233 alvorlige DDoS-angrep, mot 215 i juli. Med alvorlige angrep mener vi angrep som er så store at de blir mitigert eller at eier av sambandet blir varslet. Gjennomsnittlig angrepstørrelse på disse var 4.73Gbps, mens gjennomsnittlig varighet på et angrep var 30 minutter. Det største angrepet denne måneden var på 30Gbps.
I august avslørte sikkerhetsforskere ved Malwarebytes at flere populære nettsider inneholdt annonser som videresendte nettleseren til sider som inneholdt Angler Exploit Kit. Der ble maskinen infisert dersom den hadde eldre versjoner av Flash eller Java installert. Det første nettstedet der annonsene ble avdekket var Yahoo. Senere i måneden ble også Drudge Report og Weather.com rammet. Det er uvisst hvor mange som ble infisert av annonsene, men nettstedene har flere hundre millioner brukere hver måned.
Sikkerhetsselskapet Check Point avslørte i august at over halvparten av alle Android-mobiler er sårbare for svakheter de har kalt “Certifigate”. Dette er en samlebetegnelse på flere sårbarheter i fjernsupport som brukes av de fleste Android-enheter. Programmer for fjernsupport, som TeamViewer og Rsupport, kan lastes ned fra Google Play. Slike verktøy krever ikke utvidet tilgang til systemet for å installere selve appen, men appen får utvidet tilgang ved å autentisere seg mot spesielle biblioteker i operativsystemet. Måten denne autentiseringen gjøres på er dessverre i mange tilfeller mangelfull. Konsekvensen av svakhetene er at vanlige applikasjoner kan få utvidet tilgang til systemet, på lik linje med en applikasjon for fjernsupport (lokal rettighetseskalering). For å utnytte svakheten må en lure en bruker til å installere en skadelig applikasjon. Senere i måneden ble oppdaget at en app i Play Store utnytter Certfigate-svakheten. Appen gjorde dette for å ta opp filmer av ting som skjer på enheten. Det er så langt ingenting som tyder på at svakheten har blitt utnyttet til noe uhederlig, men saken viser at apper i Google Play kan utnytte Certifigate-svakheten uten at Google oppdager dette..
I de siste månedene har det blitt avdekket flere alvorlige svakheter i Android-plattformen, som Certifigate-svakhetene og svakhetene i libStageFright. Som et svar på dette har Google, Samsung og LG sagt at de fra nå av skal slippe månedlige sikkerhetsoppdateringer for sine Android-telefoner. Fram til nå har det tatt flere måneder før oppdateringer når telefonene. Det er tydelig at mobilprodusentene nå har innsett at dette ikke lenger holder mot Apples mye kjappere patching.
En gruppe som Dell Secureworks har kalt "Emissary Panda", jobber med å stjele industrihemmeligheter fra hundrevis av firmaer i bransjer som bil, elektronikk, fly, energi og medisin. Gruppen har kontroll over flere legitime nettsteder med mange besøkende. Etter at gruppen har sett seg ut et offer, vil besøkende til det legitime nettstedet fra den utvalgte bedriften få servert malware. Andre besøkende til nettstedet vil ikke merke noe unormalt. Denne angrepsteknikken kalles vannhullsangrep. Etter at de har fått kontroll over en PC i bedriften de har valgt ut, vil de så hacke seg videre i nettverket for å få kontroll over domeneservere og filservere og begynne å hente ut relevant informasjon.
FireEye skrev en bloggpost om malwaren Hammertoss. De mener at det er russere som står bak malwaren og har kalt grupperingen APT29. Hammertoss kommuniserer med sin kontrollserver via Twitter og Github. Kommandoene som blir lastet ned fra Github ligger gjemt i bildefiler ved hjelp av stegonografi. Etter at en maskin har blitt undersøkt for interessant informasjon, blir dataene sendt ut av nettverk ved hjelp av kjente skytjenester for lagring. Bruken av kjente tjenester for all kommunikasjon gjør oppdagelse av malwaren svært vanskelig. Å bruke skytjenester i denne typen operasjoner vil trolig bli vanligere framover.
RSA publiserte en rapport om en kinesisk VPN-tilbyder som de har kalt Terracotta. VPN-tjenesten selger tilgang til nettet via hackede servere i forskjellige land, blant annet 572 servere i USA. Forskjellige kinesiske APT-grupperinger har benyttet seg av tjenesten for å skjule hvor de egentlig opererer fra. De hackede serverne var alle direkte eksponert mot Internett og ble kompromittert gjennom å gjette seg fram til administrator-passordet.
fredag 7. august 2015
Oppsummering og status anngående libStageFright-svakheten i Android
I de siste dagene har flere svakheter i biblioteket libStageFright i Android fått stor oppmerksomhet. Vi har skrevet en oppsummering på norsk som også inneholder status per i dag og tiltak for å beskytte seg selv.
Biblioteket libStageFright i Android brukes til å spille av diverse media-filer og brukes av både selve operativsystemet og mange apper. Den farligste infeksjonsvektoren så langt er trolig målrettede MMS-beskjeder. MMS-beskjeden kan inneholde en spesielt utformet media-fil som kan utnytte svakheten. En anbefaling er derfor å skru av automatisk visning av multimedia-innhold i MMS-beskjeder.
I Google Hangouts kan dette gjøres ved å disable "Auto retrieve MMS" i settings. For Samsung sin messaging-app kan det gjøres på følgende måte: "More - Settings - More settings - Multimedia messages - Auto retrieve". Dersom det er mulig å gjøre dette via en MDM-løsning er dette å anbefale, da det kan være vanskelig å få sluttbrukerne til å gjøre dette. Dersom en mottar en MMS fra en ukjent avsender bør meldingen slettes.
Selv om en Android-telefon skulle være sårbare for denne svakheten inneholder Android flere mekanismer for å gjøre det vanskeligere for en angriper:
- Fra Android version 4.1 (Jelly Bean) finnes det en god implementasjon av ASLR (Address Space Randomization Layout) som gjør det mye vanskeligere å faktisk utnytte svakheter til noe (få kjørt vilkårlig kode). ASLR legger viktige systemfunksjoner på tilfeldige plasser i minnet slik at det blir vanskelig å ta kontroll over telefonen, selv om den er sårbar. Det er derfor viktig å i det minste ha oppgradert OS-versjonen til v4.1. Dette bør prioriteres.
- Dersom en lykkes å utnytte svakheten og kommer seg forbi SLR-beskyttelsen får en allikevel bare samme tilgang til systemet som appen tilgangen er oppnådd gjennom. Dersom tilgang f.eks. er oppnådd gjennom en SMS-app vil en typisk få tilgang til alt av meldinger, kontakter, lokasjon og bilder/videoer på enheten. I noen tilfeller vil en også få tilgang til mikrofon og kamera, alt etter hvilken SMS-app som brukes. Utvidet tilgang til systemet kan oppnås ved hjelp av "local privilige escalation"-svakheter, men disse må ofte lages spesielt for hver kombinasjon av håndsett-modell og OS-versjon. Også for å unngå denne typen svakheter er det en fordel med så ny versjon av Android som mulig.
Google har allerede patchet Stagefright-svakheten og sluppet patcher for sine Nexus-enheter. Samsung har allerede sluppet patcher for noen av sine enheter. Sony, HTC og LG har opplyst at de vil slippe patcher i løpet av August. Det virker som om alle de store leverandørene tar denne svakheten alvorlig.
I noen land slippes patcher først fra mobil-leverandøren til de forskjellige mobil-operatørene. Dette kan føre til lange utsettelser, da mobil-operatørene skal legge inn egen programvare og tilpasninger i OSet. I Norge slippes heldigvis patcher direkte fra mobil-leverandøren til sluttbrukernes enheter slik at ekstra forsinkelser unngås.
Det er hittil ikke meldt om at noen faktisk har blitt utsatt for denne sårbarheten utenom lab-miljøer.
Selskapet som oppdaget har utgitt en app for å sjekke om din Android-enhet er sårbar:
https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector
torsdag 6. august 2015
Oppsummering av nyhetsbildet for juli 2015
Som forventet var juli også i år rolig når det gjaldt tjenesten sikkerhetsovervåkning. TSOC håndterte 49 alvorlige hendelser mot 78 i juni. De fleste angrep/infiseringer er i dag avhengig av at brukeren av maskinen foretar seg noe for at de skal fungere. I feriemåneden går derfor antall angrep ned.
I juli håndterte vi gjennom vår tjeneste for DDoS-beskyttelse 215 alvorlige angrep, ned fra 307 i juni. Det største angrepet i perioden var på 42Gbps og et gjennomsnittlig angrep er på rundt 5Gbps. Det var i realiteten 1150 verifiserte angrep, men de fleste av disse er såpass små eller kortvarige at de ikke blir håndtert av systemet. Dette dreier seg typisk om mindre angrep mot private sluttbrukere.
Den største nyheten i juli var angrepet mot det italienske firmaet Hacking Team. Firmaet selger overvåkingprogramvare til myndigheter i mange land, også land som ikke er kjent for å respektere menneskerettigheter. Hackerne slapp etter innbruddet over 400GB med data fra firmaets interne tjenere. De tok også kontroll over kontoer i sosiale medier. Intern e-post og e-post mellom ansatte og kunder ble lekket. Kildekode og programvare ble også sluppet, og her ble det etter hvert funnet flere zero-day svakheter som firmaet benyttet seg av til angrep mot sluttbrukere. I løpet av måneden slapp både Microsoft, Sun og Adobe kritiske sikkerhetsoppdateringer i forbindelse med saken. Personene bak angrepet mot Hacking Team hevder at de også stod bak angrepet mot Gamma International UK i 2014, et firma som driver i den samme bransjen.
To sikkerhetsforskere fikk mye oppmerksomhet etter en artikkel i Wired om hvordan de greide å ta kontroll over en Jeep mens den kjørte. Hackerne hadde mulighet til å kontrollere klimaanlegg, radio, bremser, motor osv. Dette var mulig siden Jeepen er koblet til mobilnettet via programvaren Uconnect. Via en svakhet i Uconnect kan angripere ta kontroll over bilen så lenge de vet IP-adressen til den og har en mobil i samme mobilnett. Jeep har siden sluppet en oppdatering. Denne må installeres via en USB-enhet, enten av sluttbrukeren selv eller hos en forhandler.
Mot slutten av måneden ble det meldt om flere svakheter i Android som rammer over 950 millioner mobiler. Svakheten finnes i biblioteket libStageFright og gjør det mulig å ta kontroll over en mobil ved f.eks. å sende den en MMS-melding med en spesielt utformet video. Google har siden fikset sårbarheten og Google, Samsung og LG har lovet å gi ut månedlige sikkerhetsoppdateringer til sine mobiler.
29. juli ble Windows 10 lansert. Den nye versjonen er gratis tilgjengelig dersom en fra før av har Windows 7 eller nyere. Windows 10 inneholder en del nye sikkerhetsteknologier for å gjøre innbrudd vanskeligere. Den nye versjonen har fått kritikk for å ta dårlig vare på personvernet, dersom du benytter deg av standard innstillinger ved installasjon. Det er imidlertid enkelt å bestemme hva som skal deles med Microsoft ved å endre på innstillingene for privacy/personvern etter installasjon.
Europol og Eurojust arresterte i juli fem personer som de mener står bak utvikling og distribusjon av banktrojanerne Zeus og SpyEye. De skal også ha vært ansvarlig for styring av sofistikerte cyberoperasjoner, med over 2 millioner euro i utbytte.
Myndigheter i en rekke land har også samarbeidet om å arrestere over 60 personer som skal ha utført hacking. Personene knyttes til det kriminelle forumet Darkode, som er et svartbørsmarked for blant annet exploit-kits og hacker-verktøy. Operasjonen har resultert i arrestasjoner i 19 land.
onsdag 5. august 2015
Oppsummering av nyhetsbildet for juni 2015
mandag 8. juni 2015
Oppsummering av nyhetsbildet for mai 2015
torsdag 7. mai 2015
Oppsummering av nyhetsbildet for april 2015
torsdag 9. april 2015
Oppsummering av nyhetsbildet for mars 2015
I mars hadde vi en liten oppgang i alvorlige hendelser i forbindelse med sikkerhetsovervåking. TSOC håndterte 165 hendelser, mot 143 i februar. Oppgangen skyldes i stor grad innmelding av maskiner som hadde den mye omtalte spionprogramvaren SuperFish installert. Ellers er det mange maskiner som er infisert av forskjellige banktrojanere og også et oppsving i aggressiv adware/spyware.
mandag 9. mars 2015
Oppsummering av nyhetsbildet for februar 2015
Antallet håndterte alvorlige hendelser hos TSOC i forbindelse med sikkerhetsovervåking gikk videre ned i februar. Denne måneden håndterte vi 143 hendelser, mot 237 i januar.
Antall håndterte DDoS-angrep gikk også noe ned fra 221 i januar til 102 i februar. Fortsatt er det mange SSDP-angrep mot port 80. I det siste har også DNS-reflection angrep sett et oppsving. Fire av våre kunder på DDoS-beskyttelse ble angrepet denne måneden og angrepene ble stanset.
I følge dokumenter som er lekket av Edward Snowden, skal NSA/GCHQ ha hacket den største produsenten av SIM-kort, nederlandske Gemalto, og stjålet krypteringsnøkler som blir brukt for å kryptere kommunikasjonen i mobilnett. Det skal ha gitt NSA&GCHQ muligheten til å overvåke store deler av verdens mobilkommunikasjon. Gemalto bekreftet etter hvert at det hadde vært et avansert innbrudd i nettet deres, men at dette begrenset seg til kontornettet og at produksjonsnettverket var uberørt. Gemalto opplyste at store mengder nøkler til SIM-kort umulig kunne ha blitt stjålet av noen. Telenor Norge har uansett ingen leveranse av SIM-kort fra Gemalto, så dette rammer ikke våre kunder.
Denne måneden ble det avslørt at Lenovo har installert adware kalt "SuperFish" på mange av sine nye PCer. Dette programmet analyserer nettstedene du besøker for å presentere annonser. Også sider som normalt er beskyttet av kryptering (SSL) blir analysert ved at trafikken blir sendt gjennom en såkalt lokal proxy. Denne proxyen generer falske sertifikater for SSL-sikrede nettsteder automatisk og signerer dette med sin egen private nøkkel. Den private nøkkelen med tilhørende passord var imidlertid lett å hente ut fra SuperFish-programmet. Dette førte til at privat kommunikasjon som e-post og nettbank-trafikk enkelt kunne snappes opp av uvedkommende. Lenovo har publisert programvare for å fjerne og rydde opp etter programmet. De har også lovet å installere mindre adware i PCer fra nå av. Telenor SOC oppdaget SuperFish på flere av våre kunders PCer. Senere i måneden ble det også avslørt 14 andre programmer med lignende funksjonalitet som SuperFish.
I begynnelsen av måneden ble det rapportert om nok en 0-dags svakhet i Flash Player. Svakheten ble allerede utnyttet aktivt i exploit-kits til å kompromittere sårbare maskiner. Adobe begynte å sende ut patcher via auto-oppdatering allerede dagen etterpå og ga kort tid etter ut nye versjoner til alle plattformer.
Forbes er et amerikansk nyhetsmagasin med fokus på finans, industri, økonomi og markedsføring. Denne måneden ble det avslørt at kinesiske hackere i fjor skal ha kompromittert nettsidene til Forbes. De endret så nettsidene slik at besøkende fra amerikansk forsvar og finans ble videresendt til en nettside med exploit kit. Det ble brukt såkalte nulldags svakheter i både Internet Explorer og Adobe Flash for å utføre angrepet som er av typen vannhullsangrep.
En sofistikert hackergruppe ble i februar dokumentert av Kaspersky Labs. De har valgt å kalle gruppen "The Equation Group". Mange mener at grupperingen egentlig er NSA, basert på likheter med tidligere lekket materiale. Gruppen, som har greid å holde seg skjult i omtrent 14 år, har utviklet flere forskjellige verktøy for å stjele informasjon fra deres ofre. Disse verktøyene er svært avanserte og kan infisere maskiner uten å bli oppdaget. Et eksempel på et av deres avanserte verktøy er muligheten til å gjemme malware i firmwaren til harddisker. Dette gjør at en malware-infeksjon kan overleve en vanlig sletting av harddisken. Dette har fungert mot harddisker til tolv forskjellige harddisk-produsenter, og tyder på tilgang til kildekoden for firmwaren.
Hackere skal ha infiltrert over 100 banker i 30 land i en operasjon for å stjele penger ifølge Kaspersky. Via PC-er infisert med Carbanak-malware i bankenes nettverk iverksatte de overføringer av penger til egne kontoer og utbetaling av kontanter fra minibanker til gitte tidspunkter. Angriperne skal ha fått med seg over 300 millioner dollar.
fredag 6. februar 2015
Oppsummering av nyhetsbildet for januar 2015
Året begynte roligere når det gjaldt alvorlige håndterte hendelser hos TSOC. I årets første måned ble det håndtert 237 hendelser, mot 338 i desember.
Antallet håndterte DDoS-angrep gikk imidlertid opp fra 155 i desember til 221 denne måneden. Etter at angrep via protokollen SSDP dominerte mot slutten av fjoråret, ser vi nå en større spredning i angrepsteknikker igjen som f.eks. DNS, Chargen og NTP. Noen av våre kunder ble denne måneden utsatt for et spesielt “angrep” som antakeligvis ikke er gjort med overlegg. Kina sensurerer hele sin del av Internett ved hjelp av “The Great Firewall of China.” I det siste har dette sensur-systemet virket ved at det tildeler tilfeldige IP-adresser til sider som er sensurerte. Svært populære sider og tjenester kan dermed ved en tilfeldighet få adresser til norske selskaper i en periode. Dette skjedde i januar og førte til store mengder uønsket trafikk til noen av våre kunder.
LizardSquad har også denne måneden vært i nyhetsbildet. I starten av januar opprettet de en tjeneste der en kan betale for å få utført DDoS-angrep. Tjenesten benytter seg hovedsaklig av kompromitterte routere hos bedrifter og privatpersoner. Samtidig ble det meldt at to medlemmer av grupperingen var arrestert, henholdsvis i Storbritannia og Finland.
USA innførte nye sanksjoner mot Nord-Korea etter datainnbruddet hos Sony Pictures Entertainment. Amerikanske myndigheter opplyste at de var sikre på at Nord-Korea stod bak, etter å ha fått hemmelige opplysninger fra sine etterretningstjenester. Dette er første gangen USA straffer et land for et cyber-angrep mot et amerikansk selskap.
Mange mener at at sikkerheten i Twitter for organisasjoner, der flere brukere benytter seg av samme konto, er for dårlig. Det er for eksempel ikke mulig å tilegne flere brukere til den samme kontoen, eller å gi forskjellige tilganger. Alle må benytte det samme brukernavnet og passordet. I det siste har mange firmaer og organisasjoner mistet kontrollen over Twitter-kontoen sin.
Etter angrepene i Paris tar statsministeren i UK, David Cameron, til orde for å forby chatte-programmer der myndighetene ikke kan få tilgang til kommunikasjonen. Han mener at risikoen ved at terrorister kan bruke disse til å planlegge angrep, uten at myndighetene oppdager det, er for stor. Cameron lover å gjennomføre dette forbudet dersom han blir gjenvalgt. Chatte-systemer som kan bli forbudt ved den nye loven er f.eks. iMessage, TextSecure og Telegram. Alle disse programmene skal ha ende-til-ende kryptering uten bakdører for myndigheter. Barack Obama har støttet utsagnene fra Cameron. Kina har allerede innført et slik forbud.
I Januar var det stor spredning av spam-eposter med malware som fører til at PCer blir infisert av ransomware/utpressingsprogramvare. Denne typen ransomware kalles CTB-locker og det skal være umulig å dekryptere filene igjen uten å betale løsepengene. E-posten ga seg f.eks. ut for å inneholde en fax pakket inn i en zip-fil. Det er imidlertid malware som gjemmer seg i zip-filen. Dersom denne startes, lastes ransomware-programmet ned og alle dokumenter og bilder på PCen krypteres. Vær forsiktig med å åpne vedlegg i e-poster og ta jevnlig backup av viktige filer.
Denne måneden dukket det også opp “ransomware” for webapplikasjoner! High-Tech Bridge rapporterte om malware for webservere som infiserer webapplikasjoner slik at data skrives kryptert til bakenforliggende databaser og dekrypteres automatisk ved henting. Bakmennene fjerner så krypteringsnøkkelen etter en. Webserveren vil da stoppe opp helt til offeret betaler penger for å få en kopi av nøkkelen.
22. januar ble det meldt om en ny svakhet i Adobe Flash. Svakheten ble allerede utnyttet aktivt til å ta kontroll over sårbare PCer gjennom exploit-kittet Angler. Adobe rettet svakheten etter få dager.