Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 2. mars 2016

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2016

Alvorlige hendelser håndtert i vår tjeneste Sikkerhetsovervåkning var i februar hele 226, en økning på nesten 100% fra januar. Den viktigste grunnen til oppgangen var at mange brukere ble lurt til å klikke seg inn på en nedlastingsside for malware, kamuflert som en hentelapp fra Posten. Se egen sak om dette under.

I februar håndterte vi 138 DDoS-angrep, noe ned fra 171 i januar. Som tidligere er det fortsatt DNS som er den foretrukne protokollen for angrep. NTP og CHARGEN kommer som nummer to og tre. Totalt så vi 427 angrep over 1 Gbps og 30 angrep over 10 Gbps. Det største registrerte angrepet i måneden var på hele 40 Gbps. Mange angrep er såpass kortvarige eller små at de ikke blir håndtert.

Gjennom februar måned ble det spredt store mengder e-poster som ga seg ut for å komme fra Posten. Mottakeren ble forsøkt lurt til å laste ned ransomware forkledd som en hentelapp. Blant bedrifter som ble rammet var blant annet Schibsted og Teknisk Ukeblad. Heldigvis hadde bedriftene god backup av sine data.

I februar ble Telenors merkenavn utnyttet i forbindelse med svindel på nettet. Også her ble store mengder falske e-poster sendt ut. Innholdet gikk ut på at abonnenten hadde betalt sin siste regning to ganger. Lenken i e-posten førte til et refusjonsskjema. Her prøvde svindlerne å lure til seg kredittkort-informasjonen til offeret.

PSTs trusselvurdering for 2016 ble lagt fram i februar. Den slår fast at etterretningsvirksomheten fra utenlandske stater i Norge stadig øker. Russland trekkes spesielt fram. Justisminister Anders Anundsen mener at nordmenn, norske bedrifter og offentlige organer er ekstremt dårlige til å beskytte informasjonen sin mot denne typen trusler.

Danske CSIS meldte om en bølge med Android malware som ble forsøkt spredd via SMS i Danmark. SMSen inneholder en lenke til en ondsinnet Android-applikasjon, som vil bli installert på telefonen dersom bruker aksepterer dette, og tillater installasjon av applikasjoner fra ukjente kilder. En må regne med at tilsvarende angrep snart kan spre seg til Norge.

USA hadde planer om å ta i bruk cyberangrep dersom deres forsøk på å begrense Irans utvikling av atomvåpen ikke hadde nådd frem. Planen inkluderte å uskadeliggjøre antiluftskyts, kommunikasjonssystemer, samt å skru av deler av strømnettet i landet. Dette kom fram i en ny dokumentarfilm der flere personer fra det amerikanske militæret ble intervjuet.

Etter terroraksjonen i San Bernardino fikk FBI tak i en mobiltelefon av typen iPhone 5s som ble brukt av en av terroristene. Telefonen er låst med PIN-kode. FBI har derfor, via retten, bedt Apple om å lage programvare som de kan laste inn i minnet på telefonen. Denne skal gi mulighet til å bruteforce PIN-koden fra en ekstern PC så fort hardwaren tillater det. Apple har via en pressemelding uttalt at dette er noe de absolutt ikke ønsker å gjøre, da dette vil være det samme som å bygge inn en bakdør  i iOS-operativsystemet. De frykter at dette kan få store konsekvenser hvis det skulle havne i feil hender. Den rettslige kampen har fortsatt gjennom februar.

Bloggeren Troy Hunt avslørte at dersom du kjenner rammenummeret til en Nissan Leaf, kan du skru av/på klima-anlegget, starte/stoppe lading, samt få en detaljert oversikt over kjøreturer og energiforbruk. Normalt skal dette bare kunne gjøres via en app tilknyttet din egen konto, men det viste seg at man kun trenger en PC med internett-tilgang og bilens rammenummer. Rammenummeret kan med enkelthet få tak i, om en har registreringsnummeret. Heldigvis er det ingen sikkerhetskritiske funksjoner som kan fjernstyres. Batteriet kan imidlertid tappes gjennom å skru på "forvarming" gjentatte ganger. Saken viser nok en gang at "tingenes Internett" ofte er dårlig sikret. Nissan slo av muligheten til å bruke appen etter få timer.

I februar ble det avslørt en alvorlige svakhet i getaddrinfo()-funksjonen i Glibc-biblioteket som kan gjøre det mulig for en angriper å få eksekvert kode på sårbare maskiner. Dette biblioteket brukes blant annet av samtlige Linux-varianter. Getaddrinfo()-funksjonen brukes under DNS-oppslag. En DNS-tjener kan utnytte svakheten ved å returnere spesielt store pakker med fiendtlig kode. Utnyttelse av svakheten er derimot ikke helt rett frem, da dette krever at man omgår flere sikkerhetsmekanismer på systemet.

 
>