Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 7. august 2015

Oppsummering og status anngående libStageFright-svakheten i Android

I de siste dagene har flere svakheter i biblioteket libStageFright i Android fått stor oppmerksomhet. Vi har skrevet en oppsummering på norsk som også inneholder status per i dag og tiltak for å beskytte seg selv.

Biblioteket libStageFright i Android brukes til å spille av diverse media-filer og brukes av både selve operativsystemet og mange apper. Den farligste infeksjonsvektoren så langt er trolig målrettede MMS-beskjeder. MMS-beskjeden kan inneholde en spesielt utformet media-fil som kan utnytte svakheten. En anbefaling er derfor å skru av automatisk visning av multimedia-innhold i MMS-beskjeder.

I Google Hangouts kan dette gjøres ved å disable "Auto retrieve MMS" i settings. For Samsung sin messaging-app kan det gjøres på følgende måte: "More - Settings - More settings - Multimedia messages - Auto retrieve". Dersom det er mulig å gjøre dette via en MDM-løsning er dette å anbefale, da det kan være vanskelig å få sluttbrukerne til å gjøre dette. Dersom en mottar en MMS fra en ukjent avsender bør meldingen slettes.

Selv om en Android-telefon skulle være sårbare for denne svakheten inneholder Android flere mekanismer for å gjøre det vanskeligere for en angriper:


  1. Fra Android version 4.1 (Jelly Bean) finnes det en god implementasjon av ASLR (Address Space Randomization Layout) som gjør det mye vanskeligere å faktisk utnytte svakheter til noe (få kjørt vilkårlig kode). ASLR legger viktige systemfunksjoner på tilfeldige plasser i minnet slik at det blir vanskelig å ta kontroll over telefonen, selv om den er sårbar. Det er derfor viktig å i det minste ha oppgradert OS-versjonen til v4.1. Dette bør prioriteres.
  2. Dersom en lykkes å utnytte svakheten og kommer seg forbi SLR-beskyttelsen får en allikevel bare samme tilgang til systemet som appen tilgangen er oppnådd gjennom. Dersom tilgang f.eks. er oppnådd gjennom en SMS-app vil en typisk få tilgang til alt av meldinger, kontakter, lokasjon og bilder/videoer på enheten. I noen tilfeller vil en også få tilgang til mikrofon og kamera, alt etter hvilken SMS-app som brukes. Utvidet tilgang til systemet kan oppnås ved hjelp av "local privilige escalation"-svakheter, men disse må ofte lages spesielt for hver kombinasjon av håndsett-modell og OS-versjon. Også for å unngå denne typen svakheter er det en fordel med så ny versjon av Android som mulig.

Google har allerede patchet Stagefright-svakheten og sluppet patcher for sine Nexus-enheter. Samsung har allerede sluppet patcher for noen av sine enheter. Sony, HTC og LG har opplyst at de vil slippe patcher i løpet av August. Det virker som om alle de store leverandørene tar denne svakheten alvorlig.

I noen land slippes patcher først fra mobil-leverandøren til de forskjellige mobil-operatørene. Dette kan føre til lange utsettelser, da mobil-operatørene skal legge inn egen programvare og tilpasninger i OSet. I Norge slippes heldigvis patcher direkte fra mobil-leverandøren til sluttbrukernes enheter slik at ekstra forsinkelser unngås.

Det er hittil ikke meldt om at noen faktisk har blitt utsatt for denne sårbarheten utenom lab-miljøer.

Selskapet som oppdaget har utgitt en app for å sjekke om din Android-enhet er sårbar:

https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector

torsdag 6. august 2015

Oppsummering av nyhetsbildet for juli 2015

Som forventet var juli også i år rolig når det gjaldt tjenesten sikkerhetsovervåkning. TSOC håndterte 49 alvorlige hendelser mot 78 i juni. De fleste angrep/infiseringer er i dag avhengig av at brukeren av maskinen foretar seg noe for at de skal fungere. I feriemåneden går derfor antall angrep ned.

I juli håndterte vi gjennom vår tjeneste for DDoS-beskyttelse 215 alvorlige angrep, ned fra 307 i juni. Det største angrepet i perioden var på 42Gbps og et gjennomsnittlig angrep er på rundt 5Gbps. Det var i realiteten 1150 verifiserte angrep, men de fleste av disse er såpass små eller kortvarige at de ikke blir håndtert av systemet. Dette dreier seg typisk om mindre angrep mot private sluttbrukere.

Den største nyheten i juli var angrepet mot det italienske firmaet Hacking Team. Firmaet selger overvåkingprogramvare til myndigheter i mange land, også land som ikke er kjent for å respektere menneskerettigheter. Hackerne slapp etter innbruddet over 400GB med data fra firmaets interne tjenere. De tok også kontroll over kontoer i sosiale medier. Intern e-post og e-post mellom ansatte og kunder ble lekket. Kildekode og programvare ble også sluppet, og her ble det etter hvert funnet flere zero-day svakheter som firmaet benyttet seg av til angrep mot sluttbrukere. I løpet av måneden slapp både Microsoft, Sun og Adobe kritiske sikkerhetsoppdateringer i forbindelse med saken. Personene bak angrepet mot Hacking Team hevder at de også stod bak angrepet mot Gamma International UK i 2014, et firma som driver i den samme bransjen.

To sikkerhetsforskere fikk mye oppmerksomhet etter en artikkel i Wired om hvordan de greide å ta kontroll over en Jeep mens den kjørte. Hackerne hadde mulighet til å kontrollere klimaanlegg, radio, bremser, motor osv. Dette var mulig siden Jeepen er koblet til mobilnettet via programvaren Uconnect. Via en svakhet i Uconnect kan angripere ta kontroll over bilen så lenge de vet IP-adressen til den og har en mobil i samme mobilnett. Jeep har siden sluppet en oppdatering. Denne må installeres via en USB-enhet, enten av sluttbrukeren selv eller hos en forhandler.

Mot slutten av måneden ble det meldt om flere svakheter i Android som rammer over 950 millioner mobiler. Svakheten finnes i biblioteket libStageFright og gjør det mulig å ta kontroll over en mobil ved f.eks. å sende den en MMS-melding med en spesielt utformet video. Google har siden fikset sårbarheten og Google, Samsung og LG har lovet å gi ut månedlige sikkerhetsoppdateringer til sine mobiler.

29. juli ble Windows 10 lansert. Den nye versjonen er gratis tilgjengelig dersom en fra før av har Windows 7 eller nyere. Windows 10 inneholder en del nye sikkerhetsteknologier for å gjøre innbrudd vanskeligere. Den nye versjonen har fått kritikk for å ta dårlig vare på personvernet, dersom du benytter deg av standard innstillinger ved installasjon. Det er imidlertid enkelt å bestemme hva som skal deles med Microsoft ved å endre på innstillingene for privacy/personvern etter installasjon.

Europol og Eurojust arresterte i juli fem personer som de mener står bak utvikling og distribusjon av banktrojanerne Zeus og SpyEye. De skal også ha vært ansvarlig for styring av sofistikerte cyberoperasjoner, med over 2 millioner euro i utbytte.

Myndigheter i en rekke land har også samarbeidet om å arrestere over 60 personer som skal ha utført hacking. Personene knyttes til det kriminelle forumet Darkode, som er et svartbørsmarked for blant annet exploit-kits og hacker-verktøy. Operasjonen har resultert i arrestasjoner i 19 land.


onsdag 5. august 2015

Oppsummering av nyhetsbildet for juni 2015


I forbindelse med tjenesten Sikkerhetsovervåking for bedriftskunder håndterte vi 78 alvorlige hendelser i juni, mot 137 i mai.

I løpet av juni har vi håndtert 307 DDoS-angrep, en økning på 74 angrep sammenlignet med forrige måned. Igjen er det reflection-angrep av type SSDP, NTP og CHARGEN som er de mest brukte angrepsmetodene. Ikke uventet er UDP-protokollen benyttet i 2/3 av alle angrep vi ser. Et typisk angrep er på 3-4Gbps og varer i rundt 30 minutter. Det største angrepet var på 28.68 Gbps. Som vanlig er det vanlige private sluttbrukere fra Telenor som blir mest angrepet.

Den største saken denne måneden internasjonalt har vært datainnbruddet hos Office of Personnel Management i USA. OPM driver med HR-relaterte oppgaver for offentlig ansatte i USA. De har også ansvaret for å utføre bakgrunnssjekk på personell i forbindelse med sikkerhetsklareringer. Angriperne kom seg unna med store mengder personlig og sensitiv informasjon om millioner av amerikanere. Informasjon fra sikkerhetsklareringer skal også være på avveie. Det er ukjent hvem som står bak, men dette er data som er gull verdt for andre etterretningsorganisasjoner. Innbruddet ble oppdaget i april og det er ukjent hvor lenge uvedkommende har vært inne i systemene.

Nasjonal Sikkerhetsmyndighet gikk i juni ut med et varsel om at bedrifter i Norge blir utsatt for utpressing. Bedrifter i ble først utsatt for et kraftig, men kortvarig DDoS-angrep og ble så krevet for penger for å unngå nye og mer langvarige angrep. TSOC kan bekrefte at dette stemmer. Vi bidro med å håndtere og stoppe et angrep av denne typen denne uken mot en norsk bedrift.

I juni kom det fram at Kripos stanset et storangrep mot DNB ved å ta ned et botnett på rundt 2000 norske datamaskiner som var infisert av trojaneren Gozi-03. Kripos nøytraliserte botnettet ved å utgi seg for å være en kontrollserver som signaliserte den ondsinnede programvaren på de infiserte maskinene om å ikke starte opp neste gang maskinen ble slått på. Dette sendte trojaneren i dvale. En 35 år gammel mann fra Estland er tiltalt i forbinnelse med saken. Dette er første gangen et botnett er tatt ned på denne måten i Norge.

Kaspersky Labs oppdaget tidligere i år at de at de hadde blitt utsatt for et cyber-angrep. Angripere hadde vært aktive i nettet i lengre tid og hadde infisert flere maskiner. Kaspersky døpte malwaren Duqu 2.0, siden den deler mye kode med den opprinnelige Duqu. Malwaren er svært avansert og har benyttet seg av flere 0-dags svakheter og etterlot seg ikke spor på harddisken, kun i minnet. Microsoft patchet én av disse svakhetene i denne månedenes oppdateringer for Windows. Deler av malwaren var også signert med et gyldig sertifikat stjålet fra den store produsenten Foxconn. Det antas at en nasjonalstat står bak angrepet og Israel er så langt hovedmistenkt. Kaspersky og Symantec har også oppdaget andre som har blitt rammet av Duqu 2.0, blant annet har den blitt brukt til overvåking i forbindelse med forhandlinger rundt en atomavtale med Iran.

Det ble avdekket en alvorlig svakhet i alle nyere Samsung-telfoner. Svakheten ligger i tastaturapplikasjonen som er laget av SwiftKey. Applikasjonen sjekker ikke integriteten til programfilen som lastes ned ved oppdatering og dermed kan en angriper bytte denne ut i et "man-in-the-middle" angrep. Slike angrep er relativt lette å gjennomføre mot brukere av åpne trådløse nettverk. Avanserte angripere, som statlige aktører, kan også bruke denne svakheten til å ta kontroll over telefoner dersom de har tilgang til relevant Internett-trafikk. Den 23. juni lanserte Samsung en oppdatering for svakheten. Oppdateringen fungerer bare for telefoner levert med Knox og blir installert automatisk. Samsung skal etter hvert patche alle sine telfoner gjennom å oppdatere selve operativsystemet.

USA vil ha regler for omsetning av exploitkode inn under Wassenaar-avtalen. Dette er en er en omfattende handelsavtale for omsetning av våpen. Dette vil kunne medføre strenge regler for eksport og import av slik kode og teknologi, og har utløst heftige debatter i sikkerhetskretser. 

 
>