Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 11. desember 2017

Oppsummering av nyhetsbildet innen datasikkerhet for november 2017

I november håndterte vi 157 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 139 i oktober. Det er ingen spesielle svakheter eller hendelser som skiller seg ut denne måneden.

Det var 537 bekreftede DDoS-angrep i november. 156 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,62 Gbps og varte typisk en halv time. Det største angrepet observert i denne perioden var på 12.8 Gbps og varte i 26 minutter. Tre av TSOCs kunder ble utsatt for angrep denne måneden.

En svakhet i macOS High Sierra, eller macOS 10.13, gjorde det mulig å logge på systemet uten passord lokalt, og i noen tilfeller også via fjerninnlogging. For å utnytte svakheten, holder det å legge inn root som brukernavn i påloggingsskjermen og la passordet være blankt. Deretter trykker man noen ganger på lås opp, og brukeren vil bli logget inn på systemet som root. Det vil i bakgrunnen bli opprettet en root-bruker uten passord. Svakheten ble patchet i macOS v10.13.2.

Intel Management Engine er en innebygget funksjon for administrasjon av Intel-baserte PCer og servere. Plattformen er innbygget i Intel-chipsets/CPUer og kan ofte nås selv om PCen er slått av. Den brukes for administrasjon og feilsøking av PCer. Etter rapporter om flere sårbarheter i systemet, har nå Intel foretatt en full sikkerhetsgjennomgang og oppdaget flere svakheter. Feilene er funnet i Intel Management Engine, Intel Trusted Execution Engine (TXE) og Intel Server Platform Services (SPS). Intel opplyser at svakheten kan brukes til å late som om en er ME/SPS/TXE-systemet, laste opp og kjøre valgfri kode på et sårbart system uten at det egentlige operativsystemet vet om det eller å krasje systemet. Flere leverandører av maskinvare har siden kommet oppdatert firmware til flere av sine PCer og servere.

Svensk radio avslørte at flere tusen svenske it-systemer tilhørende myndigheter, kommuner og bedrifter ligger åpent tilgjengelig på internett, med ingen eller lav grad av sikkerhet. Som eksempler nevnes systemer for styring av avløpssystemer, fjernvarme og brannalarmer. Flere av systemene skal også tilhøre samfunnskritisk infrastruktur.

USA har tiltalt tre kinesiske borgere for industrispionasje mot firmaene Trimble, Siemens og Moodys Analytics. De tre tiltalte oppholder seg antakeligvis i Kina og har jobbet for firmaet Guangzhou Bo Yu Information Technology Co., kjent som Boyusec. Mange mener at dette firmaet blir brukt av kinesiske myndigheter til å gjennomføre industrispionasje.

I forbindelse med den årlige Pwn2Own-konferansen, klarte sikkerhetsforskere å ta kontroll over både en iPhone og en Galaxy S8 som begge var fullt oppdaterte. iPhonen ble tatt kontroll over via lokal WiFi ved hjelp av fire forskjellige svakheter som ble brukt etter hverandre. Galaxy-telefonen ble angrepet ved hjelp av 11 svakheter i 6 forskjellige apper. Konkurransen viser igjen at mobiltelefoner av alle typer kan kompromitteres dersom en har tilgang til nok penger eller ekspertise.

Nettstedet Quartz avslørte at Google har samlet inn posisjonsdata fra Android-enheter selv om man har slått av lokasjonstjenesten. Posisjonene til omkringliggende basestasjoner i forhold til mobilen blir sendt inn. Praksisen skal ha pågått siden januar i år, iflg. Google for å forbedre levering av meldinger og push-meldinger. Etter å ha blitt kontaktet av Quartz sier Google at praksisen skal avvikles i løpet av november.

mandag 6. november 2017

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2017

I oktober håndterte vi 139 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, opp fra 97 i september. Mange av hendelsene gjelder nettlesere som har blitt infisert av forskjellige tillegg (extensions) som stjeler data eller viser annonser. Det er også mange forsøk på å logge inn ved hjelp av å prøve mange forskjellige brukernavn og passord mot forskjellige nett-tjenester.

Det var 561 bekreftede DDoS-angrep i oktober. 140 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,83 Gbps og varte typisk i én time. Det største angrepet observert i denne perioden var på 27.7 Gbps og varte i 2 timer. Seks av TSOCs kunder ble utsatt for angrep denne måneden.

Kaspersky Lab har vært i søkelyset i oktober. Anonyme kilder hevdet i en artikkel i The Wall Street Journal at programvare fra Kaspersky Lab ble brukt til å stjele hemmeligheter fra NSA. Hemmelighetene skal ha blitt tatt fra en privat PC tilhørende en ansatt, etter at den ansatte tok med seg gradert informasjon hjem ulovlig. Den ansatte hadde hjemme-utgaven av anti-virus-programvaren fra Kaspersky installert på denne PCen. AV-programmet oppdaget NSA-programvaren under en scanning av PCen, og sendte denne inn for analyse. Russiske myndigheter skal så ha fått tilgang til programvaren. Hendelsesforløpet ble overvåket av israelske agenter som hadde brutt seg inn i det interne nettverket til Kaspersky i 2015, da saken pågikk. Agentene skal også ha sett at ansatte hos Kaspersky gjorde søk relatert til NSA-kodenavn. Opplysningene ble meldt videre til NSA av Israel.

Etter avsløringene rundt Kaspersky Lab, ble det denne måneden forbudt for offentlige kontorer å bruke programvare fra firmaet. Som tilsvar, meldte Kaspersky Lab at de vil gi myndigheter og private firmaer innsyn i kildekoden til programvaren.

Kaspersky innrømmet mot slutten av måneden at de hadde fått tak i NSA sin malware, men at det ikke skjedde med overlegg. Kaspersky sin CEO, Eugene Kaspersky, ble gitt beskjed om funnet og han ba straks de ansatte slette alt som ble lastet opp. Kaspersky mener også at NSA-programvaren kan ha blitt stjålet av en annen gruppering, siden de også fant en bakdør på den NSA-ansatte sin PC. Denne bakdøren lå gjemt i piratkopiert materiale på PCen.

I oktober kom det fram at russiske interesser kjøpte annonser hos Google, Facebook og Twitter i forbindelse med den amerikanske presidentvalgkampen. Etter interne etterforskninger kom det fram at titusenvis av dollar hadde blitt brukt på annonser. Annonsene prøvde primært å sette forskjellige befolkningsgrupper opp mot hverandre for å skape intern splid. Over 126 millioner amerikanere skal ha blitt utsatt for de russiske annonsene.

Det har blitt oppdaget en svakhet i krypteringsbrikker fra selskapet Infineon kalt ROCA. Brikkene og nøkler laget med dem brukes i ID-kort, til signering av eposter/applikasjoner og TPM-moduler i PCer. På grunn av en implementeringsfeil, har RSA-nøklene som blir generert av brikkene svakere sikkerhet enn det nøkkellengden normalt skulle tilsi. Svakheten er over 5 år gammel og det finnes millioner av svake nøkler i bruk. Ved å ta utgangspunkt i den offentlige nøkkelen, kan den private nøkkelen beregnes. En 1024-bits RSA-nøkkel skal koste rundt $40-80 i datakraft å beregne, mens en 2048-bits nøkkel skal koste rundt $20.000-40.000 (henholdsvis 97 og 1400 vCPU-dager).

En sikkerhetsforsker ved det belgiske universitetet KU Leuven offentliggjorde detaljer rundt en svakhet som delvis knekker sikkerheten i WPA2-protokollen. Angrepet utnytter måten WPA2 håndterer nounces, eller tilfeldige kryptografiske tall. Disse tallene skal i utgangspunktet bare brukes én gang, men implementasjonen lar disse bli gjenbrukt. Metoden har fått navnet KRACK (Key Reinstallation Attack). Både routere, mobiltelefoner og PCer kan være sårbare. Det er imidlertid klienter som er mest sårbare, og da spesielt Linux og Android-baserte klienter. Disse har en ekstra sårbarhet, som gjør at de kan lures til å skru av WPA2-krypteringen fullstendig. Microsoft patchet svakheten allerede 10. oktober, mens iOS ble patchet 31. oktober i versjon 11.1. Google er ventet å slippe patcher tidlig i november for Android.

NRK meldte at E-tjenesten har bekreftet at Russland sto bak jamming av GPS-signaler i Finnmark i september. Russiske styrker gjorde dette i forbindelse med øving på jamming under øvelse Zapad 2017. Reuters meldte også at at Russland slo ut deler av mobilnettet i Litauen med jamming i forbindelse med samme øvelse.


torsdag 5. oktober 2017

Oppsummering av nyhetsbildet innen datasikkerhet for september 2017

Vi håndterte 97 alvorlige hendelser i september, mot 83 i august. Dette er i forbindelse med vår tjeneste Sikkerhetsovervåking. Det var ingen spesielle angrepsbølger eller angrep som skilte seg spesielt ut fra det vanlige.

Det var 365 bekreftede DDoS-angrep i september. 123 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,38 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 13,6 Gbps og varte i 8 minutter. Tre av TSOCs kunder ble utsatt for angrep denne måneden.

Revisjons- og rådgivningsfirmaet Deloitte har vært utsatt for datainnbrudd. Hackerne bak angrepet hadde tilgang til konfidensiell e-post fra noen av selskapets kunder. Dette skjedde ved at Deloittes globale epostserver ble kompromittert ved at angriperne fikk tilgang til en administratorkonto med tilgang til alle områder. Administratorkontoen hadde ikke to-faktor autentisering aktivert. Mange av firmaets kunder er ledende innenfor sektorer som bank, finans, farmasi og media. Offentlige etater er også på Deloittes kundeliste. Hackerne hadde tilgang til systemene i flere måneder før det ble oppdaget i mars tidligere i år. Hvorfor det ikke har vært kjent før nå er uklart.

Sikkerhetsfirmaet Armis avdekket åtte svakheter i Bluetooth, som blant annet gjør det mulig å eksekvere kode på enheten uten at brukeren må foreta seg noe. Bare at enheten er på og har aktivert Bluetooth er nok. Selv om enheten allerede er tilkoblet en annen enhet, er den fortsatt sårbar. En annen av svakhetene gjør det mulig å avlytte nettverkstrafikk til og fra sårbare enheter. Microsoft patchet Windows i juli, uten at de oppga detaljer rundt svakheten. Google leverte patcher til leverandører av Android-telefoner i juli. Versjoner av iOS før versjon 10 er også sårbare. Flere Linux-distribusjoner trenger også patching. Mange Android-telefoner vil ikke bli patchet på lang tid.

Et innbrudd hos kredittovervåkingsselskapet Equifax har eksponert personlig informasjon fra over 145 millioner amerikanere. Informasjon som er på avveie inkluderer navn, personnummer, fødselsdatoer og adresser. Innbruddet ble gjort gjennom en svakhet i Apache Struts. Svakheten ble patchet 8. mars, men Equifax oppdaterte ikke sine servere. Angriperne kom seg inn i nettverket den 15. mai, men angrepet ble oppdaget 29. juli. Equifaxs CEO gikk av etter innbruddet.

Versjon 5.33 av det populære verktøyet CCleaner har vært infisert av malware. Dette gjaldt den offisielle versjonen som ble distribuert av utgiveren Piriform/Avast. Den infiserte versjonen ble lagt ut 15. august og hadde godkjent/korrekt signatur. En ny versjonen uten malware ble utgitt 12. september. Kun 32-bits utgaven av programmet var infisert. Dette er et såkalt “Supply Chain Attack” og er svært vanskelig å oppdage eller forhindre. I løpet av måneden kom det fram at angrepet var svært målrettet mot spesifikke teknologifirmaer. Dersom den infiserte utgaven av CCleaner ble installert på en PC i firmaer som Microsoft, Sony, Intel, VMWare, Samsung, osv. ble sekundær malware lastet ned. Sikkerhetsfirmaet Talos mener at gruppen bak operasjonen var ute etter industrihemmeligheter. De mistenker også Kina for å stå bak.

The Department of Homeland Security har gitt amerikanske myndigheter 90 dager på å avinstallere og erstatte programvare fra Kaspersky. Dette på grunn av sterk mistanke til knytning mot russiske myndigheter. Kaspersky benekter enhver tilknytning.

Washington Post avslørte at et russisk firma, som er knyttet til propaganda fra Kremlin, skal ha kjøpt politisk reklame for over $100.000 fra Facebook i forbindelse med det amerikanske valget. Millioner av amerikanere skal ha sett annonsene. Politisk reklame på Facebook blir mer og mer populært siden den kan leveres målrettet til bestemte velgergrupper basert på etnisitet, alder, kjønn, bosted, interesser, osv.

Symantec ga ut informasjon om en ny gruppe angrep utført av en gruppe de kaller "Dragonfly 2.0". Angrepene har vært rettet mot kraftforsyningen i flere land i Europa og USA. Den siste bølgen av angrep begynte i 2015 og har økt i intensitet i 2017. Kampanjen har mange likheter med tidligere lignende kampanjer, og Russland mistenkes å stå bak. Angriperne bruker både phishing, vannhullsangrep og dokumenter med malware for å komme seg på innsiden av nettverk. I flere tilfeller i USA skal angriperne ha hatt tilgang til styringssystemer for kraftforsyningen.


onsdag 6. september 2017

Oppsummering av nyhetsbildet innen datasikkerhet for august 2017

Vår tjeneste Sikkerhetsovervåking avdekket 83 alvorlige hendelser i august, mot 64 i juli. I august var det ingen spesielle hendelser eller angrepsbølger som skilte seg spesielt ut. Hendelsene er fordelt på malware, phishing, skanning etter sårbarheter, innloggingsforsøk ved hjelp av tusenvis av forskjellige passord og adware/spyware.

Det var 388 bekreftede DDoS-angrep i juni. 103 av disse ble mitigert. Et gjennomsnittlig angrep var på 2.12 Gbps og varte typisk i 25 minutter. Det største angrepet observert i denne perioden var på 28.2 Gbps og varte i 6 minutter. To av våre betalende kunder ble utsatt for angrep denne måneden.

Forskere ved Princeton University har demonstrert i praksis hvordan de kan få utstedt SSL-sertifikater til domener de ikke kontrollerer. Dette gjøres ved hjelp av BGP-hijacking i det sertifikatutstederen sjekker domenet. Kun et lite subnett i domenet hijackes, så det er vanskelig å oppdage angrepet. For å forhindre slike angrep, foreslår forskerne at eierskapet til domenet sjekkes fra flere steder på Internett. Det blir da vanskeligere å gjennomføre BGP-hijackingen, og den blir også enklere å oppdage. Sertifikatutstederen Lets Encrypt har nå innført denne typen sjekk.

Chrome-versjonen av nettleserutvidelsen Web Developer ble kompromittert av hackere etter at utvikleren selv gikk på et phishing-angrep. Angriperne lastet opp en modifisert versjon av utvidelsen som injiserte reklame i brukerens nettleser. Det har vært en trend i det siste at populære nettleser-tillegg har blitt kompromittert og det er beregnet at rundt 5 millioner kan være rammet av hackede utvidelser. Slike utvidelser har ofte rettigheter til å avlytte trafikk og tastetrykk i nettleseren.

Et Distributed Denial of Service-botnett (DDoS) bestående av flere hundre tusen Android-telefoner er nylig oppdaget av sikkerhetsforskere. Botnettet – som har fått navnet «WireX» – skal ha blitt brukt som pressmiddel for å tilrøve seg penger fra ulike domeneeiere verden over. Android-telefonene har blitt infisert gjennom rundt 300 apper som har blitt distribuert via Google Play-markedet. Google trakk også en annen serie med 500 apper fra Play Store etter funn av en bakdør i et API som var laget for å vise reklame i apper.

Den siste tiden er det rapportert om flere skip som feilrapporterer posisjonen sin. Det mistenkes at flere av hendelsene skyldes russisk testing av et nytt system for GPS-spoofing. Slik spoofing av GPS-signaler kan misbrukes til mange formål, blant annet GPS-avhengige raketter brukt av militæret.

Zerodium, en gruppe som spesialiserer seg på kjøp og salg av 0-dags svakheter, har sagt at de tilbyr opptil en halv million dollar for svakheter i de populære krypterte meldingsapplikasjonene Signal og WhatsApp. Dette kan tyde på at appene er relativt sikre og at mange er interessert i å avlytte kommunikasjon via disse appene.

Marcus Hutchins, også kjent under aliaset MalwareTech, ble arrestert av FBI på en flyplass i Las Vegas i august. Han var på reise til USA for å delta på konferansen Black Hat. Hutchins er kjent for å være mannen som stoppet WannaCry-viruset tidligere i år. Nå er han siktet for å ha utviklet og solgt skadevaren Kronos, som tidligere har rammet finanssektoren. Mange har trodd at Kronos stammet fra Russland, men dette trekkes nå i tvil. Marcus venter nå på rettssak og har ikke lov til å forlate USA.

Troy Hunt har gjort tilgjengelig 306 millioner passord som ved tidligere hackerangrep har blitt kompromittert. Hunt anbefaler utviklere å lage systemer som nekter nye brukere å opprette kontoer med passord fra listen. Det er ikke de originale passordene som ligger i listen, men en SHA-1 basert hash av dem.

tirsdag 1. august 2017

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2017

I juli hadde vi 64 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking. Dette er en halvering fra juni, noe som er normalt i fellesferien. Antallet hendelser går ned når mange ansatte ikke er på jobb, siden mange av hendelsene krever en aktiv handling for å bli utløst.

Det var 416 bekreftede DDoS-angrep i juni. 111 av disse ble mitigert. Et gjennomsnittlig angrep var på 2.06 Gbps og varte i 29 minutter. Det største angrepet observert i denne perioden var på 26.7 Gbps og varte 8 minutter. Flere av våre betalende kunder ble utsatt for angrep denne måneden. Tallene for juli er veldig like til forrige måned, noe som viser at de som står bak DDoS-angrepene ikke tar ferie.

Sikkerhetsselskapet Senrio har oppdaget en ny svakhet som trolig gjør millioner av IoT-enheter sårbare for ekstern kjøring av ondsinnet kode. Svakheten har blitt gitt navnet "Devil's Ivy", og ble først oppdaget i web-kameraer fra Axis, men selve sårbarheten som utnyttes befinner seg i et underliggende open-source bibliotek i gSOAP. gSOAP er et utvikler-rammeverk som benyttes av utviklere for å bl.a. gi IoT-enheter internett-tilgang. Pga. den store utbredelsen av gSOAP antyder Senrio at flere titalls millioner IoT-enheter kan være påvirket av svakheten på en eller annen måte. Genivia, som står bak gSOAP, har nå patchet svakheten. Produsenten Axis har også fjernet sårbarheten fra 249 kamera-modeller vha. ny firmware.

Janus, som er kjent for å være personen bak den opprinnelige Petya-skadevaren (må ikke forveksles med det nylige NotPetya-skadevaren), har gjort master-nøkkelen tilgjengelig online. Dette betyr at ofre for angrepet nå kan dekryptere filene sine uten å betale løsepenger. Forskere fra Kaspersky Labs har bekreftet at dekrypteringsnøkkelen fungerer på filer kryptert av Petya-skadevaren, samt tidlige versjoner av GoldenEye-skadevaren.

Denne måneden har to store markedsplasser på det mørke nettet blitt lagt ned. Amerikanske myndigheter tok først ned AlphaBay. Etter denne hendelsen flyttet mange brukere til det konkurrerende markedet Hansa. Forsvarsdepartementet i USA meldte imidlertid at Hansa hadde vært operert av nederlandsk politi i flere uker, for å registrere brukere som kom fra AlphaBay for videre etterforskning. Det er nå få store markeder igjen på det mørke nettet og utbredt frykt blant brukerne. Det er uklart hvordan politiet har klart å spore opp markedene og bakmennene.

FBI og sikkerhetsdepartementet i USA har sendt ut en fellesrapport som opplyser om phishing-angrep rettet mot ansatte i atomkraftverkselskaper i USA, meldte nyhetsbyrået New York Times. Angrepene har holdt på siden mai, og har bestått av e-poster som inneholdt jobbsøknader knyttet til spesifikke stillinger innenfor atomkraftverkene.

Ofre for ransomware, eller løsepengevirus, har til sammen betalt ut over 25 millioner amerikanske dollar over de siste to årene, ifølge en studie gjennomført av forskere ved Google, Chainalaysis, UC San Diego og NYU Tandom School of Engineering. Funnene ble gjort ved å følge betalingene gjennom blockchain, og sammenligne dem med kjente transaksjoner. 95 prosent av pengene ble tatt ut via BTC-E, en markedsplass for Bitcoins som nå har blitt beslaglagt av amerikanske myndigheter.

Adobe kunngjorde denne måneden at de planlegger å legge ned Flash-teknologien, og vil fra og med 2020 ikke lenger utgi og distribuere oppdateringer til selskapets Flash Player. De oppfordrer alle til å migrere eksisterende Flash-innhold til andre åpne formater, som for eksempel HTML5, WebGL og WebAssembly.

President Putin har signert en ny lov som forbyr bruk av VPN-programvare, proxyer og andre teknikker for å skjule Internett-trafikk. Loven trer i kraft 1. november. Denne måneden fjernet også Apple VPN-apper fra App Store i Kina. Denne typen programvare kan brukes for å omgå sensuren i landet og har vært forbudt siden januar. Apple gir nå etter for den nye loven.

En hacker klarte å lure til seg rundt 7,4 millioner dollar i verdier i krypto-valutaen Ether, etter en Ethereum Initial Coin Offering (ICO). Angriperen tok kontroll over nettsiden til Coindash, som samlet inn penger til et prosjekt. Adressen hvor donasjonene skulle sendes til ble så endret, slik at donasjonene gikk til angriperens egen konto. Hackere utnyttet også denne måneden en svakhet i lommeboken Parity, brukt for å holde Ether. En svakhet rundt signaturer for å hente ut penger, gjorde at angripere klarte å stjele Ether til en verdi av 32 millioner dollar fra tre ICO-prosjekter.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2017

Denne måneden var det 112 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking, en liten nedgang fra forrige måned. Hendelsene er typisk ansatte som blir lurt av phishing-sider, forskjellige typer uønsket programvare og også en del trojanere som f.eks. kan stjele bankopplysninger.

Det var 434 bekreftede DDoS-angrep i juni. 132 av disse ble mitigert. Et gjennomsnittlig angrep var på 2.38 Gbps og varte i 45 minutter. Det største angrepet observert i denne perioden var på 26.3 Gbps og varte 33 minutter. Flere av våre betalende kunder ble utsatt for angrep denne måneden.

Tirsdag 27. juni var det et større utbrudd av malware som rammet mange organisasjoner internasjonalt. Det dreide seg om en variant av løsepengeviruset Petya, og alle trodde også at dette var et løsepengevirus. Den initielle infeksjonsvektoren var en infisert oppdateringsmekanisme til den ukrainske programvaren M. E. Doc, som benyttes for å sende inn finansiell informasjon til myndighetene for skatteberegning. Når viruset først var på innsiden av nettverket, benyttet det seg av flere metoder for videre intern spredning. Det samlet inn brukernavn og passord fra minnet og benyttet vanlige Windows-verktøy for å fjernkjøre kommandoer. Petya-varianten benytter også svakheten Eternal Blue, den samme som ble benyttet av WannaCry-ormen. Infeksjonene startet i Ukraina, men spredde seg fort via interne nettverk i større internasjonale konsern. NorCERT meldte at et mindre antall bedrifter i Norge ble rammet, alle med internasjonale forbindelser.

To dager etter angrepet ble det klart at løsepengeviruset i virkeligheten var en såkalt “wiper”, altså programvare laget for å sabotere PCer ved å slette dataene. Malwaren oppgir en kode til brukeren, som skal sendes inn til bakmennene for å få dekryptert dataene. Koden viste seg imidlertid å være en tilfeldig rekke med tall og bokstaver. Målsettingen med angrepet var altså å gjøre størst mulig skade, ikke å tjene penger. Mange mistenker Russland for å stå bak også dette angrepet.

En underleverandør av Pentagon, Booz Allen, la 28 GB med data åpent tilgjengelig på Amazons skylagringstjenesten S3. I disse dataene var det større mengder med sensitiv informasjon, private SSH-nøkler og passord til flere statlige systemer i USA. Det er et utbredt problem at filer lagres åpent på skytjenester som Amazon S3 og Microsoft Azure. Brukerne er ofte ikke klar over at det ikke kreves autentisering for å få tilgang til filene.

Russland gjennomførte cyberangrep mot amerikansk leverandør av valgprogramvare og sendte spear-phishing e-post til mer enn 100 lokale valgtjenestemenn kun dager før forrige presidentvalg. Dette avsløres i en lekket rapport fra NSA, publisert av The Intercept. Personen som lekket NSA-rapporten, ble senere arrestert etter å ha sendt dokumentet til The Intercept. NSA fant ut at seks personer hadde skrevet ut dokumentet, og den arresterte var én av disse. The Intercept har heller ikke fjernet vannmerkene (gule prikker) i dokumentet. Ved hjelp av disse vannmerkene kan produsent av skriver, serienummer og dato for utskrift avsløres.

Sikkerhetsselskapet ESET og Dragos ga ut en detaljert analyse av skadevaren som tok ned deler av strømnettet i Ukraina i desember 2016. Aktørene plasserer skadevaren Industroyer/Crash Override i samme kategori som Stuxnet, siden den er det andre tilfellet av skadevare som er oppdaget, der målet er å forstyrre fysiske installasjoner. Skadevaren kan blant annet kommunisere med industrielle styringssystemer for kraftforsyning og slette harddisker.

I August 2016 mottok daværende president Barack Obama en beskjed fra CIA om at Russlands president, Vladimir Putin, var direkte involvert i en kampanje for å forstyrre USAs presidentvalg. Da det ble klart at Donald Trump vant presidentvalget, beordret Obama en grundig gjennomgang av Russlands faktiske innflytelse over USAs valgsystem, helt tilbake til 2008. Videre ble malware gjemt i viktige deler av Russlands nettverk som gjør det mulig for USA å forstyrre viktige Russiske systemer.

Firmaer som Cisco, IBM og SAP gjør kildekoden sin tilgjengelig for inspeksjon i Russland. Gjennomgangen blir gjort av russerne for å sjekke om det finnes bakdører eller feil i programvaren. Sikkerhetseksperter er bekymret for at inspeksjonene kan brukes til å finne feil i produktene som kan utnyttes i data-angrep.

onsdag 7. juni 2017

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2017

I mai tok antallet alvorlige hendelser registrert via tjenesten Sikkerhetsovervåking seg kraftig opp igjen. Vi registrerte 120 hendelser, nesten en dobling fra april.

Det var 802 bekreftede DDoS-angrep i mai. 108 av disse ble mitigert. Et gjennomsnittlig angrep var på 1.12 Gbps og varte i 24 minutter. Det største angrepet observert i denne perioden var på 12.3 Gbps og varte 19 minutter.

Et større antall offentlige institusjoner og firmaer ble rammet av ransomwaren kalt WannaCry som spredde seg over hele verden. I Storbritannia ble blant annet mange sykehus rammet. I Norge var spredningen heldigvis liten, og det ble kun meldt om et fåtall smittede maskiner. Malwaren spredde seg som en orm fra maskin til maskin ved hjelp av en svakhet i fildelingsprotokollen SMB. Eldre versjoner av Windows uten siste oppdateringer ble rammet. Svakheten som ble utnyttet i angrepet var en del av en større lekkasjer fra NSA og hadde det interne navnet Eternal Blue. Grupperingen Shadow Brokers har siden sommeren 2016 sluppet interne data, og denne svakheten ble sluppet 14. april. NSA har informert Microsoft på et tidligere tidspunkt, siden en patch for den ble sluppet allerede 14. mars.

Ransomwaren WannaCry er forholdsvis amatørmessig laget, og mangler blant annet muligheten for å spore betalinger på en skikkelig måte. Flere mistenker at Nord Korea står bak, mye på grunn av gjenbruk av kode fra tidligere angrep utført av Lazarus Group, som er satt i sammenheng med Nord Korea. Andre mener at det mest sannsynlig dreier seg om et angrep utført av mindre dyktige cyberkriminelle med et økonomisk motiv. Etter hvert ble det utviklet et verktøy som kan dekryptere rammede maskiner, dersom maskinen enda ikke har blitt omstartet.

Det franske partiet "En marche!", ledet av Emmanuel Macron, ble utsatt for et hackerangrep kort tid før presidentvalget. Data som ble stjålet i angrepet inneholder informasjon fra e-postkontoer til en rekke av partiets medlemmer. Opp mot 9GB med data skal ha blitt delt via nettstedet Pastebin. Spor etter angrepet tyder på at den russiske hackergrupperingen APT28 står bak angrepet. Dette er den samme gruppen som ble mistenkt for hacking mot det amerikanske valget, og mange mistenker russiske sikkerhetstjenester for å stå bak. Gruppen registrerte domener med navn relatert til det franske partiet i mars, deriblant onedrive-en-marche.fr og mail-en-marche.fr. Medlemmer av Macron sitt kampanjeteam brukte falske e-postkontoer fylt med falsk informasjon for å hindre hackerne som angrep dem like før valget. Dette ble gjort for å forsinke angriperne, som dermed måtte prøve å skille mellom ekte og falske brukere. Angrepet ser ikke ut til å ha hatt noen vesentlig innvirkning på valget.

En rekke CPU-brikkesett utgitt av Intel de siste 9 årene lider av en sårbarhet som kan gi angriper tilgang til konsoll utenfra mot den sårbare maskinen. Ettersom tilgangen skjer på hardware-nivå, kan det være mulig å installere skadevare som ikke kan oppdages av operativsystemet. Sårbarheten berører systemer der man har aktivert Active Management Technology (AMT), Standard Manageability (ISM) eller Small Business Technology (SBT). Intel har utgitt patcher som tetter sårbarhetene. Sårbarheten rammer spesielt servere, og angripere kan logge inn på disse uten å autentisere seg.

Samsung Galaxy S8 er den første flaggskip-telefonen som bruker biometrisk iris-verifikasjon for autentisering av brukere. I mai kom det fram at iris-skanneren i S8 enkelt kan bli lurt av et bilde av en person tatt med et digitalkamera med nattmodus. Det var hackere hos hos Chaos Computer Club (CCC) som kom med avsløringen. Samsung bruker iris for autentisering i deres betalingsløsning Samsung Pay og det er også ventet at iris-skanning kommer til å bli brukt til å aksessere mange andre systemer i nær fremtid, eks flyplasser, telefoner, IoT-enheter og betalingsløsninger. En talsmann fra CCC sier at den tradisjonelle PIN-koden fortsatt er sikrere.

tirsdag 9. mai 2017

Oppsummering av nyhetsbildet innen datasikkerhet for april 2017

April var en uvanlig stille måned når det gjelder tjenesten Sikkerhetsovervåking. Vi hadde kun 59 alvorlige hendelser, noe som var en nedgang fra 98 i mars. Det var heldigvis ingen kampanjer med større spredning av malware.

I april var det 452 bekreftede DDoS-angrep i våre nett, mot 984 i mars. Et gjennomsnittlig angrep var på 1.06 Gbps og varte i 25 minutter. Det største angrepet observert i denne perioden var på 12.5 Gbps og varte 15 minutter. Flere av våre kunder som abonnerer på DDoS-beskyttelse ble angrepet.

På langfredag i påsken offentliggjorde gruppen ShadowBrokers flere exploit-verktøy som opprinnelig stammer fra NSA. Sikkerhetsmiljøet trodde først at flere av svakhetene ville fungere mot fullt oppdaterte Windows-installasjoner, men det viste seg snart at Microsoft hadde patchet svakhetene tidligere. Noen ble adressert for flere år siden, andre så nylig som i mars. Den mest kritiske sårbarheten kunne kompromittere Windows-maskiner som var direkte eksponert mot Internett via tjenesten SMB. Etter hvert som hackere fikk tilgang til verktøyene, ble over 100.000 maskiner infisert av NSA-bakdøren DoublePulsar via denne svakheten. Også flere norske virksomheter ble rammet.

Googles Project Zero meldte på sin blogg at de hadde funnet en svakhet i Broadcoms WiFi-brikker som blir brukt i Nexus-telefoner, flaggskipene til Samsung og alle iPhoner siden iPhone 4, samt mange rutere. Svakheten utnytter TDSL-standarden, som brukes til å kommunisere med andre enheter innen WiFi-rekkevidde uten å involvere operativsystemet eller rutere. Dette kan potensielt føre til at angriperen kan kjøre vilkårlig kode på enheten, få økte privilegier og bruke dette til å angripe selve operativsystemet. Både Apple og Google lanserte patcher like etter at svakheten ble offentliggjort.

I en presentasjon på Kasperskys Security Analyst Summit demonstrerer Mark Dowd hvor vanskelig det er å utnytte svakheter i operativsystemer og applikasjoner for tiden. Moderne operativsystemer har innebygde teknologier for å motvirke korrupsjon av minneområder. Dette, kombinert med isolerte "sandkasser" i nettleserne, gjør at en ofte må må utnytte mange separate svakheter i kjeder. Dette kan være en av grunnene til at phishing-angrep, som utnytter brukeren i stedet for programvare, blir mer og mer populært.

PWC ga ut en rapport om den kinesisk-tilknyttede trusselaktøren APT10, også kjent som Red Apollo, menuPass Team eller Stone Panda. I rapporten fremgår det at aktøren gikk over fra Poison Ivy til PlugX som foretrukket verktøy etter FireEyes rapport om dem i 2013. Blant aktørens taktikker nevnes infiltrering av målets eksterne IT-leverandører. Japan fremheves som hovedmål, men også Norge nevnes som et interessant mål for aktøren.

Breakdev viste frem et prosjekt kalt Evilginx på sin nettside. Dette er en ny måte å lage phising-angrep på, som kan hente ut gyldige brukernavn, passord og tokens som angriperen kan bruke til å logge inn på offerets kontoer uten videre autentisering. Offeret blir sendt til en tilsynelatende ekte Google innloggings-side, logger inn på vanlig måte og blir deretter sendt videre uten å vite at all innloggingsinformasjon har blitt logget hos angriperen. I virkeligheten er det angriperen som får informasjonen først, men den blir så videresendt til Google i bakgrunnen.

Det amerikanske justisdepartementet kunngjorde i går hvilke tiltak de har gjort for å gjøre ende på det omfattende Kelihos botnettet. Botnettet har stått for utsendelse av millioner av e-poster forbundet med bedrageri, tyveri av kontolegitimasjon og spredning av ransomware. I hovedsak bestod tiltakene av å blokkere domener tilknyttet botnettet. Forespørsler mot domenene vil bli redirigert til servere der IP-adressen til kilden for forespørselen blir notert. Dette vil kunne føre til at infiserte maskiner blir oppdaget, og kan få riktig behandling.

onsdag 5. april 2017

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2017

I mars håndterte vi 98 alvorlige hendelser i forbindelse med vår tjeneste Sikkerhetsovervåking. Dette var en nedgang fra 153 i februar. Nedgangen skyldes hovedsakelig at spredningen av ransomware/løsepengevirus roet seg ned utover i mars måned.

Det var 984 registrerte DDoS-angrep i vårt nett, mot 335 i februar. Et gjennomsnittlig angrep var på 634 Mbps og varte i 34 minutter. Månedens største angrep var på 10 Gbps og varte i 10 minutter. Den store oppgangen siden februar skyldes at angriperne har blitt flinkere til å utnytte åpne NTP-servere. Disse har blitt brukt til et stort antall mindre angrep.

Første mars publiserte Google Project Zero detaljer om en alvorlig og da upatchet sårbarhet i Internet Explorer 11 og Windows 10 Edge. Sårbarheten kunne utnyttes til å få kjørt vilkårlig kode fra eksternt hold. Google informerte Microsoft om problemet den 25/11-16, med beskjed om at de ville frigi informasjonen etter 90 dager, uavhengig av om svakheten var patchet eller ikke. Sammen med publiseringen følger en PoC-kode, der enkelte vitale deler var utelatt. Microsoft rakk ikke å patche svakhetene før 90 dager var gått, siden patche-tirsdagen i februar ble avlyst grunnet problemer.

28. februar gikk deler av Amazons S3 lagringstjeneste ned. Flere tusen nettsteder og andre tjenester var nede i fire timer. 3. mars forklarte Amazon at feilen skyldtes en tastefeil utført av en tekniker som gjorde at mange servere ble tatt ut av tjenesten.

Wikileaks presenterte i starten av mars en stor lekkasje fra CIA. Lekkasjen er navngitt "Vault7" og data skal slippes i flere omganger. Lekkasjen skal bestå av 8 761 dokumenter som omtaler CIAs metoder og verktøy i forbindelse med datainnbrudd. Det er rapportert om skadevare rettet mot et bredt spekter av produkter som Android, iOS og Windows. Lekkasjen inneholder ikke selve skadevaren, men bare omtale av den, metodikk, Wiki-sider, osv. Det er uvisst hvordan Wikileaks har fått tak i dataene.

Justisdepartementet i USA kunngjorde at de har koblet fire personer til hackingen av Yahoo tidlig i 2014. To offiserer fra russisk sikkerhetstjeneste er blant de anklagede. Over 500 millioner Yahoo-kontoer ble berørt i den omtalte hackingen. Informasjonen som ble hentet ut ble blant annet brukt til å oppnå uautorisert tilgang til kontoer tilhørende russiske journalister, samt både russiske og amerikanske embetsmenn.

Deltakere på hacke-konkurransen Pwn2Own i Vancouver klarte å bryte ut av virtuell maskin i VMware Workstation og få kontroll over host-maskinen. Dette klarte de ved hjelp av en svakheter i Microsoft Edge og i Windows 10-kjernen som gjorde at de kunne simulere en hardware-feil, samt to svakheter i VMware. Alt ble initiert fra en nettside. Gruppen som utførte angrepet vant $105,000.

VG hadde i mars en interessant sak om "Operasjon Jackpot". Norsk politi spilte rollen som økonomidirektør for å lure bakmennene. Etterforskningen ledet til slutt til en razzia og flere arrestasjoner i Israel.

Den russiske statsborgeren Mark Vartanyan, kjent som hackeren Kolypto, erklærte seg skyldig i en amerikansk domstol for utvikling og deling av malwaren Citadel. Vartanyan ble arrestert i Norge og utlevert til USA i 2016. Citadel har som hensikt å stjele bankkonto-informasjon og det har blitt estimert at malwaren har svindlet mer enn fem millioner mennesker for totalt over en halv milliard dollar.

I begynnelsen av 2016 ble sentralbanken i Bangladesh angrepet og bakmenn klarte å stjele 81 millioner USD. Justisdepartementet i USA har nå beskyldt fire kinesiske statsborgere, som alle har tilknytninger til Nord-Korea, for å hjelpe til med tyveriet. Med dette mener USA at Nord-Korea står bak tyveriet, noe flere sikkerhetseksperter allerede har ment i lang tid.

Veldig mange smart-TV enheter er sårbare for angrep via falske TV-signaler. Disse kan leveres via luft, kabel eller IPTV. Tidligere kunne slike enheter være sårbare dersom man hadde fysisk tilgang, men nå viser det seg at angripere kan få tilgang gjennom TV-sendinger ved hjelp av HbbTV-standarden. I denne standarden ligger det en mulighet for å be nettleseren på TVen om å åpne en spesiell URL. Den innebygde nettleseren i en TV er ofte gammel og sårbar. En sikkerhetsforsker har klart å ta kontroll over TVer ved hjelp av svakheter i Flash og JavaScript.

torsdag 2. mars 2017

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2017

Alvorlige hendelser registrert ved hjelp av vår tjeneste Sikkerhetsovervåking tok seg opp igjen i februar. Det ble registrert 153 hendelser, mot 120 i januar. Fra den andre uken i februar og ut måneden har det vært stor spredning av ransomware/løsepengevirus av typen Torrentlocker i Norge. E-postene har kommet i bølger med stadig nye avsender-adresser, emnefelt og innhold. Noen av e-postene har også gitt seg ut for å være fakturaer fra Telenor. Teknikken for å spre malwaren har også endret seg jevnlig, f.eks. har det vært brukt fil-vedlegg til e-posten, linker til nedlasting via Dropbox og Word-filer med makroer. Vær forsiktig med å følge lenker og åpne vedlegg i e-poster! Skru aldri på kjøring av makroer i Office-filer lastet ned fra nettet.

I februar var det 335 registrerte DDoS-angrep i vårt nett, mot 488 i januar. Et gjennomsnittlig angrep var på like under 1Gbps og varte i 45 minutter. Månedens største angrep var på 16Gbps og varte i 18 minutter.

Både PST og E-tjenesten slapp sine trusselvurderinger for 2017 denne måneden. PST mener at spionasje er den største langsiktige trusselen mot Norge. De nevner Russland og Kina som spesielt aktive. Begge land har ifølge PST forsøkt å kompromittere datasystemer hos virksomheter som forvalter «grunnleggende nasjonale verdier og store kommersielle interesser». E-tjenesten oppsummerer truslene mot det digitale rom på følgende måte: “Truslene [...] er økende. Vi kan forvente omfattende etterretningsoperasjoner mot Norge i året som kommer. Russland gjennomførte omfattende digitale operasjoner for å påvirke valgkampen i USA, og en kan ikke se bort ifra at fremmede makter også kan forsøke å påvirke valget på ulike måter her i Norge og andre steder i Europa i 2017.”

NRK avslørte at Nødnettet i lengre tid ha vært driftet fra India, av indiske IT-arbeidere som ikke er sikkerhetsklarert. Operatøren Broadnet forklarte at det dreier seg om en underleverandør som fikk feil tilganger. Etter avsløringen har NSM startet tilsyn og PST har startet etterforskning.

VG sjekket 1500 e-postadresser tilhørende politikere, regjeringsmedlemmer og departementer opp mot større passord-lekkasjer fra de siste årene. De har blant annet brukt tjenester som "Have I been pwned?" og rådata fra lekkasjene. De lekkede dataene er i flere tilfeller noen år gamle og stammer fra store tjenester som LinkedIn, Dropbox, Yahoo osv. Det viser seg at berørte brukere ofte ikke har blitt varslet av sine sikkerhetsavdelinger. Det er også mye sammenblanding av private og jobbrelaterte e-postadresser.

Microsoft utsatte denne måneden sin tradisjonelle patche-tirsdag. I siste øyeblikk ble det oppdaget en feil som gjorde at oppdateringene ble utsatt til neste måned. Noen dager etter at patchene skulle ha blitt utgitt, slapp Google detaljer om én av dem. Dette gjaldt en minnehåndterings-feil i Windows sitt system for grafikkhåndtering. Detaljer rundt svakheten ble sluppet automatisk 90 dager etter at Microsoft fikk beskjed om den, i henhold til Googles rutiner for frislipp av informasjon om sårbarheter.

17. februar oppdaget sikkerhetsforskeren Tavis Omandy at Cloudflare har hatt en bug i den spesialskrevne programvaren for proxy-serverne sine. Dette har ført til at tilfeldig minne fra serveren har blitt sendt med i svar på HTTP-forespørsler. Heldigvis har dette bare skjedd i en forsvinnende liten andel av forespørslene. Svakheten ble også fikset i løpet av få timer. I ettertid har det kommet fram at private data har blitt lekket i form av cookies, men at svært få  eller ingen har fått eksponert data som passord, kredittkort-info osv. Det er heller ingenting som tyder på at svakheten ble utnyttet før den ble patchet.

Google presenterte denne måneden en teknikk som gjør det langt lettere å finne kollisjoner mellom SHA-1 hasher. En hash-algoritme har som eneste egenskap å lage unike fingeravtrykk (hasher) for ulike filer. Google har imidlertid publisert et eksempel der to ulike filer generer samme fingeravtrykk og skaper en kollisjon. Det har lenge vært kjent at SHA-1-algoritmen var i ferd med å gå ut på dato, og dette var beviset. Det anbefales å gå over til sikrere algoritmer som SHA-256. For å utnytte svakheten må en imidlertid ha kontroll på begge filene som det skal lages en hash-kollisjon mellom. Selv om den nye svakheten gjør det enklere å finne hash-kollisjoner, kreves det fortsatt regnekraft for over $500.000.

Firmaet CyberX rapporterte om en målrettet avlyttingsoperasjon mot organisasjoner i Ukraina, tilknyttet blant annet presse, forskning, menneskerettigheter og olje/gass. Trusselaktøren benyttet skadevare levert via Office-makroer i phishing-eposter, lyttet på samtaler via PC-ens innebygde mikrofon og eksfiltrerte dataene via Dropbox. Dette har gitt operasjonen navnet BugDrop. Denne saken viser at det for firmaer ofte ikke er nok å bare dekke til kameraet på en PC for å forhindre at uvedkommende følger med.

torsdag 2. februar 2017

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2017

Årets første måned var ganske rolig når det gjelder alvorlige hendelser registrert av vår tjeneste Sikkerhetsovervåking. Det ble kun registrert 120 alvorlige hendelser hos våre kunder, en nedgang fra 193 i desember. I desember ble antallet alvorlige hendelser ekstra høyt grunnet stor spredning av ransomware. Vi så fortsatt noe spredning i januar, spesielt i starten av måneden.

DDoS-angrep fortsatte på omtrent samme nivå som i desember med 488 registrerte angrep. 113 av angrepene ble håndtert/mitigert. Et gjennomsnittlig angrep var på 1.56Gbps og varte i 25 minutter. Månedens største angrep var på 16.4Gbps og varte i 16 minutter.

I januar offentliggjorde sikkerhetsforskeren Tavis Ormandy i Googles Project Zero detaljer om en kritisk sårbarhet som skal ha berørt alle de 400 millioner brukerne av Kasperskys Anti-Virus-produkt. Den svekker sikkerheten når brukere besøker for eksempel nettsteder som leveres med HTTPS-protokollen, på grunn av en svak hash-funksjon.

Hackere har også plukket fra hverandre programvaren til Trend Micro og funnet over 200 feil siden slutten av juli 2016. Siden 29. juli har Roberto Suggi Liverani og Steven Seeley funnet og rapportert 223 små og store feil i til sammen 11 produkter fra Trend Micro. Dessverre viser det seg ofte at sikkerhetsprogramvare har mange sikkerhetshull.

Denne måneden har tusenvis av dårlig sikrede databaser på nettet blitt slettet eller kryptert. Dette gjelder databaser som MongoDB, ElasticSearch og Hadoop. I mange tilfeller har det også blitt fremsatt krav om løsepenger betalt i Bitcoins for å få tilgang til dataene igjen. Det er ingen direkte feil i produktene som er rammet, men brukerne har typisk ikke endret default passord, eller valgt et som er lett å gjette.

Under det amerikanske presidentvalget har hacking og informasjonskampanjer via sosiale medier fått stor oppmerksomhet. I år er det stortingsvalg i Norge. NSM publiserte denne måneden en bloggpost der de ser dette i sammenheng. De mener det er naturlig at noe lignende kan skje også i forbindelse med det norske valget, og ber folk prioritere sikkerhet. Sjefen for Etterretningstjenestens, Morten Haga Lunde, er også bekymret for hacking i forbindelse med valget. Han mener at tjenesten må få tilgang til bedre overvåking av Internett-trafikken (digitalt grenseforsvar) for å kunne forsvare Norge mot slike angrep.

Nettstedet Motherboard meldte at et strømbrudd i Ukraina den 17. desember i fjor er bekreftet å være forårsaket av et cyberangrep. Strømbruddet varte i en time, og i følge Motherboard antas det at bakmennene er de samme som forårsaket et lignende strømbrudd i Ukraina i desember 2015.

Trend Micro har analysert malwaren EyePyramid, som har blitt brukt mot høytstående personer i Italia - med stor suksess. Totalt har de som står bak operasjonen hentet ut 87 gigabyte med data, inklusive brukernavn, passord, nettleserhistorikk og filsystemstruktur. Angrepene ble utført for å få tak i konfidensiell informasjon fra firmaer og privatpersoner, som deretter ble brukt i forbindelse med handel av verdipapirer.

GoDaddy har utstedt 8850 SSL sertifikater uten å hatt en fungerende valideringsmekanisme. På grunn en programvarefeil som ble introdusert 29. juli, var det mulig å få validert et domene en ikke eier eller har tilgang til. GoDaddy har nå fikset feilen og må erstatte 6000 sertifikater til sine kunder. Som et svar på alle feilene gjort hos sertifikatutstedere, opprettet Google denne måneden en egen CA (Certificate Authority). De får nå full kontroll over sine egne sertifikater.

Open Whisper Systems forsvarer Whatsapp mot anklager om bakdør i tjenesten.
I januar beskyldte The Guardian Facebook for å ha implementert en bakdør som muliggjorde avlytting i tjenesten Whatsapp. Avisen påsto at appen håndterte bytte av nøkler på enheter på en utrygg måte. Både Facebook selv og designerne av sikkerhetsprotokollen som er i bruk, Open Whisper Systems, avviste at tjenesten hadde en bakdør. For å bedre sikkerheten ytterligere ved nøkkelbytter, anbefales det å slå på "Security notifications" under innstillinger i appen.

Facebook har lansert en mulighet for brukere av andre nettsteder til å nullstille tapte passord. Tjenesten går ut på at man lager en token på et nettsted, og lagrer denne hos Facebook. Skulle en miste passordet, kan en logge inn på Facebook og sende token tilbake til nettstedet som bevis på sin identitet. Ingen personlig informasjon skal utveksles. GitHub er første nettsted som tar dette i bruk.

Et forskningsprosjekt har sett på nesten 300 VPN-applikasjoner for Android for å finne ut hvor sikre de er. I følge prosjektet var det kun et fåtall som faktisk tilbød fungerende VPN-funksjonalitet, altså kryptering og beskyttelse mot sporing. Over halvparten av de testede applikasjonene sporet brukerne på forskjellige nivå, og hele 18% krypterte ikke trafikken i det hele tatt. Mange lekker også trafikk via IPv6. Freedome fra F-Secure får skryt i rapporten.

torsdag 5. januar 2017

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2016

Vi håndterte 193 hendelser i desember i forbindelse med vår tjeneste Sikkerhetsovervåking. Dette er en oppgang fra 153 i november. Oppgangen skyldes stor spredning av ransomware-varianten TorrentLocker fra den 8. desember og utover. Spredningen har for det meste skjedd gjennom falske e-poster som gir seg ut for å være hentelapper fra Posten. Husk å være forsiktig med å trykke på lenker i e-poster, og ikke åpne eventuelle filer som blir lastet ned.

13. desember ble det også sendt ut falske e-poster som ga seg ut for å være fra Telenor med beskjed om å oppdatere et utløpt kredittkort. Meldingene var et forsøk på å lure til seg kredittkortinformasjon fra Telenor-kunder.

I desember var det 466 bekreftede DDoS-angrep mot våre nettverk. 122 av disse ble håndtert/mitigert. Et gjennomsnittlig angrep var på 1.55 Gbps og varte i 23 minutter. Det største angrepet var på 11.5Gbps og varte i 15 minutter.

I desember ble det igjen avslørt et større datainnbrudd og tyveri av brukerinformasjon hos Yahoo. Denne gangen kom det fram at en ukjent tredjepart stjal informasjon om 1 milliard brukere i 2013. I disse brukerdataene inngår også en md5-hashet utgave av passordet. MD5-sjekksumalgoritmen har i en årrekke blitt regnet som utdatert og knekt, og Yahoo får kritikk fra sikkerhetsmiljøer for å ha benyttet denne hashing-algoritmen så sent som i 2013.

30. desember kunngjorde Obama-administrasjonen at 35 russiske diplomater måtte forlate Washington og San Francisco innen 72 timer. Bakgrunnen var hacking under den amerikanske valgkampen og trakassering av amerikanske diplomater i Moskva. Obama innførte også sanksjoner mot etterretningsorganisasjonene FSB og GRU og firmaer som understøtter GRU. USA gjentok at hacker-angrepene mot det demokratiske partiet og andre under valgkampen må ha blitt godkjent høyt oppe i det russiske statsapparatet. Russland avviste anklagene, men kom ikke med umiddelbare straffereaksjoner.

Den tyske sikkerhetstjenesten BfV advarte også mot russisk propaganda og cyber-angrep denne måneden. De rapporterte om sterk økning i propagandakampanjer og desinformasjon med destabilisering av det tyske samfunnet som formål. Det er også observert økning i målrettede angrep mot politiske partier. Grupperingen APT28, også kjent som FancyBear, Strontium eller Sofacy, er en av aktørene som skal stå bak angrepene.

Denne måneden ble det oppdaget to svakheter i flere populære Linux-distribusjoner som kunne brukes i forbindelse med “drive-by”-exploits. Dette betyr at en PC kan infiseres kun ved at brukeren besøker en bestemt nettside. Det ble demonstrert at begge svakhetene faktisk lot seg utnytte. Den første svakheten er i et software-bibliotek brukt til å emulere musikk fra eldre spill-konsoller, støttet av flere Linux-distribusjoner. Den andre svakheten er å finne i Ubuntu og er knyttet til programvaren som velger hvilke programmer som skal åpne ulike filtyper og programvare for kræsj-håndtering. Disse to svakhetene har sådd tvil rundt om Linux på desktop er særlig mye sikrere enn Windows og OS X.

Flere personer er arrestert etter “Operation Tarpit” -  en stor operasjon som tar sikte på å straffe kunder av såkalte booter-tjeneste, som er DDoS-on-demand tjenester som tar betalt for å ramme enkeltnettsted på vegne av sine kunder. Flere av kundene er arrestert eller tatt inn til avhør i USA og Europa, inkludert i Norge. “Operation Tarpit” var et stort samarbeid mellom Europol og FBI, og Europol uttaler at "Målet er å rette fokus på og forhindre at yngre mennesker lar seg lede inn i cyberkriminalitet".

To menn ble i Nedre Romerike Tingrett dømt til 11 måneder i fengsel og betaling av 320.000 kroner for å ha utført DDoS-angrep mot sin egen arbeidsgiver. De er også dømt for økonomisk utroskap mot arbeidsgiveren. Mennene skal ha aksessert en såkalt booter-tjeneste via TOR og en proxy-server i Tyskland. Ved å spore pengestrømmen, samt samarbeid med tysk politi, klarte Kripos å spore angrepene tilbake til gjerningsmenne.

Malware-distribusjonsnettverk kalt Avalanche har blitt tatt ned, etter fire års etterforskning. Nettverket var involvert i spredning av 17 malware-familier og mange phishing-angrep. Myndighetene i over 30 land har var involvert i etterforskningen. 30. november ble fem bakmenn arrestert, 39 servere og over 800.000 domener beslaglagt.

Sikkerhetsforskere fra firmaet "White Ops" har avdekket hvordan et botnet kalt "Methbot" skal ha klart å svindle til seg inntil 5 millioner dollar per dag ved å la de automatiserte maskinene i botnettet "se" video-reklame fra en rekke store amerikanske merkevarer og mediehus. White Ops antar at botnettet  har sitt opphav i Russland. Det kjører på "rene" maskiner, altså baserer det seg ikke på å infisere vanlige brukeres maskiner.

 
>