Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 7. desember 2016

Oppsummering av nyhetsbildet innen datasikkerhet for november 2016

I november håndterte vi 153 hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking. Vi ser at mange brukere lar seg lure til å installere nettlesertillegg, spesielt til Google Chrome. Denne måneden var det også en sak med malware som spredte seg via chat-funksjonen i Facebook. Det var et nettlesertillegg til Chrome som var årsaken til spredningen. Vi ser også at en del maskiner som blir infisert av Zeus-beslektede trojanere, som prøver å stjele finansiell informasjon og passord fra ofrene. Det er også et oppsving i falske nettsider for å logge inn på bedrifters e-posttjenester, såkalt Outlook Web Access. Kriminelle bruker dette for å få tilgang til bedrifters e-post, og i noen tilfeller også til videre innbrudd i bedriftens nettverk.

I november var det 631 bekreftede DDoS-angrep mot våre nettverk. 185 av disse ble håndtert/mitigert. Et gjennomsnittlig angrep var på 1.90 Gbps og varte i 24 minutter. Det største angrepet var på 56.9Gbps og varte i to timer. De fleste angrepene skjer på ettermiddag/kveld.

Måneden startet brått med at Google varslet om alvorlige svakheter i både Adobe Flash og Windows som ble utnyttet aktivt. Svakheten i Flash ble patchet i slutten av oktober, mens svakhet i Windows fantes det ingen patch for. 2. november slapp Microsoft mer informasjon rundt svakheten. Windows versjoner fra Vista til til Windows 10 november Update var sårbare. Det kom også fram at svakheten ble utnyttet av grupperingen Sofacy/APT28/Fancy Bear/STRONTIUM. Den åttende november ble svakheten i Windows patchet som en del av den månedlige oppdateringen. Det er bekreftet at svakhetene ble brukt i forbindelse med spearphishing-angrep mot flere myndigheter og ambassader.

20.000 kunder av den britiske banken Tesco Bank ble frastjålet mindre pengebeløp i starten av november. Ledelsen i banken skyldte på et avansert hack. Betalingskort utstedt av banken ble i en periode sperret fra online-bruk. Etter kort tid fikk kundene tilbakebetalt pengene sine. Ranerne kom seg unna med £2.5 millioner. Det er fortsatt ukjent hvordan angrepet ble utført.

Ved hjelp av en Raspberry Pi Zero til $5 med programvaren PoisonTap, kan man stjele informasjon til å kunne logge på private kontoer. Angrepet kan utføres mot en låst PC eller Mac. Dette gjøres ved at enheten presenterer seg som et nettverkskort, og får all nettverkstrafikk rutet over sitt interface. PoisonTap-enheten oppfører seg som en proxy, og når en HTTP request utføres, vil den injisere en iframe til nettsider fra Alexas topp 1 million liste. Den vil så kunne stjele (autentiserings) cookies som serveren sender til klienten.

Googles Deepmind AI har nå klart å slå erfarne mennesker i leppelesning. Google har sammen med Oxford Universitetet utviklet AI-programmet. Resultatene er slående, og kan i fremtiden bli til god hjelp innen utvikling av hjelpeverktøy for personer med nedsatt hørsel. En kan også se for seg at overvåkingsvideo uten lyd nå i større grad kan tolkes.

En ny trend hos kriminelle er å tømme minibanker ved et såkalt jackpot-angrep. Angriperne kommer seg først inn i bankens interne nettverk, gjerne ved hjelp av phishing-eposter. De får deretter tilgang til bankens minibanker og installerer sin egen programvare. De instruerer så minibanken om å betale ut alle penger på et spesielt tidspunkt og står klar til å hente pengene. I oktober ble dette gjort i Taiwan og Thailand. Også banker i 12 europeiske land har blitt rammet det siste året.

Mot slutten av måneden begynte hackere å utnytte en svakhet i tjenesten “TR-069” som er en tjeneste for fjernadministrasjon av routere. Dette førte blant annet til at 900.000 kunder av det tyske teleselskapet Deutsche Telekom ble ustabile den siste helgen i oktober. Det viste seg etter hvert at disse routerne ikke var sårbare, men bare krasjet på grunn av store mengder skanninger etter svakheten. Flere routere tilhørende andre ISPer er imidlertid sårbare, og blir meldt inn i DDoS-botnett.

På månedens siste dag kom det fram at en ny 0-dags svakhet i Firefox ble utnyttet aktivt for å identifisere brukere av anonymiseringsnettverket TOR. Exploit-koden var nesten identisk til koden som i 2013 ble brukt av FBI for å identifisere brukere av TOR-beskyttede barneporno-sider. Svakheten rammet Firefox versjon 41 til 50, og utgjorde derfor en alvorlig sikkerhetsrisiko for vanlige brukere av Firefox også, ikke bare TorBrowser-brukere. Mozilla slapp heldigvis en patch til svakheten allerede dagen etter, og det er ikke meldt om storstilt utnyttelse av sårbarheten i etterkant.

 
>