Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 7. august 2015

Oppsummering og status anngående libStageFright-svakheten i Android

I de siste dagene har flere svakheter i biblioteket libStageFright i Android fått stor oppmerksomhet. Vi har skrevet en oppsummering på norsk som også inneholder status per i dag og tiltak for å beskytte seg selv.

Biblioteket libStageFright i Android brukes til å spille av diverse media-filer og brukes av både selve operativsystemet og mange apper. Den farligste infeksjonsvektoren så langt er trolig målrettede MMS-beskjeder. MMS-beskjeden kan inneholde en spesielt utformet media-fil som kan utnytte svakheten. En anbefaling er derfor å skru av automatisk visning av multimedia-innhold i MMS-beskjeder.

I Google Hangouts kan dette gjøres ved å disable "Auto retrieve MMS" i settings. For Samsung sin messaging-app kan det gjøres på følgende måte: "More - Settings - More settings - Multimedia messages - Auto retrieve". Dersom det er mulig å gjøre dette via en MDM-løsning er dette å anbefale, da det kan være vanskelig å få sluttbrukerne til å gjøre dette. Dersom en mottar en MMS fra en ukjent avsender bør meldingen slettes.

Selv om en Android-telefon skulle være sårbare for denne svakheten inneholder Android flere mekanismer for å gjøre det vanskeligere for en angriper:


  1. Fra Android version 4.1 (Jelly Bean) finnes det en god implementasjon av ASLR (Address Space Randomization Layout) som gjør det mye vanskeligere å faktisk utnytte svakheter til noe (få kjørt vilkårlig kode). ASLR legger viktige systemfunksjoner på tilfeldige plasser i minnet slik at det blir vanskelig å ta kontroll over telefonen, selv om den er sårbar. Det er derfor viktig å i det minste ha oppgradert OS-versjonen til v4.1. Dette bør prioriteres.
  2. Dersom en lykkes å utnytte svakheten og kommer seg forbi SLR-beskyttelsen får en allikevel bare samme tilgang til systemet som appen tilgangen er oppnådd gjennom. Dersom tilgang f.eks. er oppnådd gjennom en SMS-app vil en typisk få tilgang til alt av meldinger, kontakter, lokasjon og bilder/videoer på enheten. I noen tilfeller vil en også få tilgang til mikrofon og kamera, alt etter hvilken SMS-app som brukes. Utvidet tilgang til systemet kan oppnås ved hjelp av "local privilige escalation"-svakheter, men disse må ofte lages spesielt for hver kombinasjon av håndsett-modell og OS-versjon. Også for å unngå denne typen svakheter er det en fordel med så ny versjon av Android som mulig.

Google har allerede patchet Stagefright-svakheten og sluppet patcher for sine Nexus-enheter. Samsung har allerede sluppet patcher for noen av sine enheter. Sony, HTC og LG har opplyst at de vil slippe patcher i løpet av August. Det virker som om alle de store leverandørene tar denne svakheten alvorlig.

I noen land slippes patcher først fra mobil-leverandøren til de forskjellige mobil-operatørene. Dette kan føre til lange utsettelser, da mobil-operatørene skal legge inn egen programvare og tilpasninger i OSet. I Norge slippes heldigvis patcher direkte fra mobil-leverandøren til sluttbrukernes enheter slik at ekstra forsinkelser unngås.

Det er hittil ikke meldt om at noen faktisk har blitt utsatt for denne sårbarheten utenom lab-miljøer.

Selskapet som oppdaget har utgitt en app for å sjekke om din Android-enhet er sårbar:

https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector

torsdag 6. august 2015

Oppsummering av nyhetsbildet for juli 2015

Som forventet var juli også i år rolig når det gjaldt tjenesten sikkerhetsovervåkning. TSOC håndterte 49 alvorlige hendelser mot 78 i juni. De fleste angrep/infiseringer er i dag avhengig av at brukeren av maskinen foretar seg noe for at de skal fungere. I feriemåneden går derfor antall angrep ned.

I juli håndterte vi gjennom vår tjeneste for DDoS-beskyttelse 215 alvorlige angrep, ned fra 307 i juni. Det største angrepet i perioden var på 42Gbps og et gjennomsnittlig angrep er på rundt 5Gbps. Det var i realiteten 1150 verifiserte angrep, men de fleste av disse er såpass små eller kortvarige at de ikke blir håndtert av systemet. Dette dreier seg typisk om mindre angrep mot private sluttbrukere.

Den største nyheten i juli var angrepet mot det italienske firmaet Hacking Team. Firmaet selger overvåkingprogramvare til myndigheter i mange land, også land som ikke er kjent for å respektere menneskerettigheter. Hackerne slapp etter innbruddet over 400GB med data fra firmaets interne tjenere. De tok også kontroll over kontoer i sosiale medier. Intern e-post og e-post mellom ansatte og kunder ble lekket. Kildekode og programvare ble også sluppet, og her ble det etter hvert funnet flere zero-day svakheter som firmaet benyttet seg av til angrep mot sluttbrukere. I løpet av måneden slapp både Microsoft, Sun og Adobe kritiske sikkerhetsoppdateringer i forbindelse med saken. Personene bak angrepet mot Hacking Team hevder at de også stod bak angrepet mot Gamma International UK i 2014, et firma som driver i den samme bransjen.

To sikkerhetsforskere fikk mye oppmerksomhet etter en artikkel i Wired om hvordan de greide å ta kontroll over en Jeep mens den kjørte. Hackerne hadde mulighet til å kontrollere klimaanlegg, radio, bremser, motor osv. Dette var mulig siden Jeepen er koblet til mobilnettet via programvaren Uconnect. Via en svakhet i Uconnect kan angripere ta kontroll over bilen så lenge de vet IP-adressen til den og har en mobil i samme mobilnett. Jeep har siden sluppet en oppdatering. Denne må installeres via en USB-enhet, enten av sluttbrukeren selv eller hos en forhandler.

Mot slutten av måneden ble det meldt om flere svakheter i Android som rammer over 950 millioner mobiler. Svakheten finnes i biblioteket libStageFright og gjør det mulig å ta kontroll over en mobil ved f.eks. å sende den en MMS-melding med en spesielt utformet video. Google har siden fikset sårbarheten og Google, Samsung og LG har lovet å gi ut månedlige sikkerhetsoppdateringer til sine mobiler.

29. juli ble Windows 10 lansert. Den nye versjonen er gratis tilgjengelig dersom en fra før av har Windows 7 eller nyere. Windows 10 inneholder en del nye sikkerhetsteknologier for å gjøre innbrudd vanskeligere. Den nye versjonen har fått kritikk for å ta dårlig vare på personvernet, dersom du benytter deg av standard innstillinger ved installasjon. Det er imidlertid enkelt å bestemme hva som skal deles med Microsoft ved å endre på innstillingene for privacy/personvern etter installasjon.

Europol og Eurojust arresterte i juli fem personer som de mener står bak utvikling og distribusjon av banktrojanerne Zeus og SpyEye. De skal også ha vært ansvarlig for styring av sofistikerte cyberoperasjoner, med over 2 millioner euro i utbytte.

Myndigheter i en rekke land har også samarbeidet om å arrestere over 60 personer som skal ha utført hacking. Personene knyttes til det kriminelle forumet Darkode, som er et svartbørsmarked for blant annet exploit-kits og hacker-verktøy. Operasjonen har resultert i arrestasjoner i 19 land.


onsdag 5. august 2015

Oppsummering av nyhetsbildet for juni 2015


I forbindelse med tjenesten Sikkerhetsovervåking for bedriftskunder håndterte vi 78 alvorlige hendelser i juni, mot 137 i mai.

I løpet av juni har vi håndtert 307 DDoS-angrep, en økning på 74 angrep sammenlignet med forrige måned. Igjen er det reflection-angrep av type SSDP, NTP og CHARGEN som er de mest brukte angrepsmetodene. Ikke uventet er UDP-protokollen benyttet i 2/3 av alle angrep vi ser. Et typisk angrep er på 3-4Gbps og varer i rundt 30 minutter. Det største angrepet var på 28.68 Gbps. Som vanlig er det vanlige private sluttbrukere fra Telenor som blir mest angrepet.

Den største saken denne måneden internasjonalt har vært datainnbruddet hos Office of Personnel Management i USA. OPM driver med HR-relaterte oppgaver for offentlig ansatte i USA. De har også ansvaret for å utføre bakgrunnssjekk på personell i forbindelse med sikkerhetsklareringer. Angriperne kom seg unna med store mengder personlig og sensitiv informasjon om millioner av amerikanere. Informasjon fra sikkerhetsklareringer skal også være på avveie. Det er ukjent hvem som står bak, men dette er data som er gull verdt for andre etterretningsorganisasjoner. Innbruddet ble oppdaget i april og det er ukjent hvor lenge uvedkommende har vært inne i systemene.

Nasjonal Sikkerhetsmyndighet gikk i juni ut med et varsel om at bedrifter i Norge blir utsatt for utpressing. Bedrifter i ble først utsatt for et kraftig, men kortvarig DDoS-angrep og ble så krevet for penger for å unngå nye og mer langvarige angrep. TSOC kan bekrefte at dette stemmer. Vi bidro med å håndtere og stoppe et angrep av denne typen denne uken mot en norsk bedrift.

I juni kom det fram at Kripos stanset et storangrep mot DNB ved å ta ned et botnett på rundt 2000 norske datamaskiner som var infisert av trojaneren Gozi-03. Kripos nøytraliserte botnettet ved å utgi seg for å være en kontrollserver som signaliserte den ondsinnede programvaren på de infiserte maskinene om å ikke starte opp neste gang maskinen ble slått på. Dette sendte trojaneren i dvale. En 35 år gammel mann fra Estland er tiltalt i forbinnelse med saken. Dette er første gangen et botnett er tatt ned på denne måten i Norge.

Kaspersky Labs oppdaget tidligere i år at de at de hadde blitt utsatt for et cyber-angrep. Angripere hadde vært aktive i nettet i lengre tid og hadde infisert flere maskiner. Kaspersky døpte malwaren Duqu 2.0, siden den deler mye kode med den opprinnelige Duqu. Malwaren er svært avansert og har benyttet seg av flere 0-dags svakheter og etterlot seg ikke spor på harddisken, kun i minnet. Microsoft patchet én av disse svakhetene i denne månedenes oppdateringer for Windows. Deler av malwaren var også signert med et gyldig sertifikat stjålet fra den store produsenten Foxconn. Det antas at en nasjonalstat står bak angrepet og Israel er så langt hovedmistenkt. Kaspersky og Symantec har også oppdaget andre som har blitt rammet av Duqu 2.0, blant annet har den blitt brukt til overvåking i forbindelse med forhandlinger rundt en atomavtale med Iran.

Det ble avdekket en alvorlig svakhet i alle nyere Samsung-telfoner. Svakheten ligger i tastaturapplikasjonen som er laget av SwiftKey. Applikasjonen sjekker ikke integriteten til programfilen som lastes ned ved oppdatering og dermed kan en angriper bytte denne ut i et "man-in-the-middle" angrep. Slike angrep er relativt lette å gjennomføre mot brukere av åpne trådløse nettverk. Avanserte angripere, som statlige aktører, kan også bruke denne svakheten til å ta kontroll over telefoner dersom de har tilgang til relevant Internett-trafikk. Den 23. juni lanserte Samsung en oppdatering for svakheten. Oppdateringen fungerer bare for telefoner levert med Knox og blir installert automatisk. Samsung skal etter hvert patche alle sine telfoner gjennom å oppdatere selve operativsystemet.

USA vil ha regler for omsetning av exploitkode inn under Wassenaar-avtalen. Dette er en er en omfattende handelsavtale for omsetning av våpen. Dette vil kunne medføre strenge regler for eksport og import av slik kode og teknologi, og har utløst heftige debatter i sikkerhetskretser. 

mandag 8. juni 2015

Oppsummering av nyhetsbildet for mai 2015

Antallet håndterte hendelser i forbindelse med sikkerhetsovervåking gikk noe opp i mai. Vi håndterte 137 alvorlige hendelser, mot 103 i april. Vi ser at mange maskiner blir infisert av forskjellige typer “bank-trojanere” som primært er utformet for å lure penger fra offeret. Selv om det har vært mye informasjon i media, er det også en del infeksjoner med ransomware. Det gjelder å ha god backup!

I mai håndterte TSOC 227 DDoS-angrep, mot 105 i april. Det er SSDP-reflection som er den mest populære angrepsprotokollen. Det er også en del angrep som benytter seg av DNS-reflection samt fragmenterte UDP-pakker. Totalt var det 590 angrep der angrepstrafikken utgjorde mer enn 500 Mbps.

Microsoft lanserte en del nye sikkerhetsprodukter denne måneden. Verktøyet LAPS kan brukes til å administrere admin-passord på PCer i et nettverk. Mange Windows-nettverk har samme lokale admin-passord på alle PCer på nettverket. Dette kan gjøre det lettere for angripere å flytte seg fra PC til PC etter å ha kompromittert én PC. Applikasjonen LAPS (Local Administrator Password Solution) fra Microsoft genererer tilfeldige passord for lokale admin-kontoer på PCer og tilbyr en sentral måte å administrere dette. Firmaet lanserte også verktøyet ATA (Advanced Threat Analytics) som skal kunne detektere tilsynelatende legitim, men unormal aktivitet på en PC. Microsoft har også opplyst at Windows 10 vil kunne motta sikkerhetsoppdateringer fortløpende. For bedrifter vil det bli tilbud om å fortsatt ha en fast patchedag slik at driften blir mer forutsigbar.

I mai kom det fram at Lånekassen var blant ofrene under bølgen av ransomware mot skandinaviske virksomheter i begynnelsen av året. En brukers PC ble infisert, og alle delte filområder som brukeren hadde tilgang til ble kryptert. Lånekassen anmeldte forholdet, men saken ble raskt henlagt. Politiet anbefaler likevel alle virksomheter om å anmelde for å synliggjøre problemet. Lånekassen hadde gode backup-rutiner og kom raskt opp igjen etter hendelsen.

Det har blitt opprettet et Github-prosjekt som ønsker å demonstrere/teste mulighetene til GPU-basert (skjermkortet i PCen) malware. Foreløpig har prosjektet implementert et rootkit og en keylogger. Det vil ikke være mulig å detektere hva som skjer på tradisjonelle måter som antivirus og lignende. Malware på GPU vil ha direkte tilgang til minnet på maskinen via DMA (Direct Memory Access).

Dell Secureworks hadde denne måneden en bloggpost om utviklingen innen banktrojanere etter at flere botnett ble tatt ned i 2014 og i starten av 2015. Disse var ofte basert på varianter av malwaren Zeus. I etterkant har det dukket opp flere mer avanserte varianter som Dyre, Bugat v5/Dridex, and Vawtrak. De nye variantene er vanskeligere å oppdage, og botnettene er vanskeligere å ta ned. Malware av denne typen ser vi nesten daglig hos Telenor SOC.

Det var mye skriverier i media om sikkerhetsforskeren Chris Roberts. Han klarte i følge en rapport fra FBI å endre kursen på et rutefly en kort periode. Det skal han ha klart ved å ta seg inn gjennom flyets underholdningssystem mens han var om bord på flyet. Boing, som har produsert flyet det var snakk om, nekter for at det er noen forbindelse mellom underholdningssystemet og flyets styringssystemer. Foreløpig virker det mest sannsynlig at saken er overdrevet og at Chris Roberts heller snakket om ting han mente kunne være mulig og ikke ting han faktisk hadde gjort.

Denne månedens svakhet i SSL/TLS-kryptering fikk navnet LogJam. Dette er en svakhet i TLS som gjør at nøkkel-utvekslingen, som utføres ved hjelp av Diffie-Hellman-protokollen, kan degraderes til 512 bits. Dette er en veldig kort nøkkel-lengde og gjør at senere kommunikasjon kan avlyttes relativt enkelt. Svakheten gjøres mulig ved hjelp av såkalte "export ciphers" (svake kryptonøkler) som ble introdusert på 90-tallet for at USA skulle kunne avlytte kryptert kommunikasjon i utlandet.

Google publiserte forskningsmateriale rundt effektiviteten av sikkerhetsspørsmål ved innlogging. Mange tjenester ber deg f.eks. skrive inn mors pikenavn for å få tilgang til kontoen din, dersom du har glemt passordet. Google konkluderer med at det er nesten umulig å lage sikkerhetsspørsmål som det er vanskelig å gjette og som samtidig er lette å huske. Nullstilling av passord via SMS er en mye bedre løsning.

torsdag 7. mai 2015

Oppsummering av nyhetsbildet for april 2015

I april håndterte TSOC 103 hendelser i forbindelse med sikkerhetsovervåking mot 165 i mars. Det er for tiden ingen svakheter som benyttes til massespredning av malware. Som ofteste er angriperne avhengig av at brukeren selv gjør noe for å infisere maskinen, f.eks. åpne vedlegg i e-poster med malware. Påsken bidro også til nedgangen.

Det ble håndtert 105 DDoS-angrep mot 59 i mars. Fortsatt er det reflection-angrep av typen SSDP som vi ser hyppigst, men mot slutten av måneden var det også en del reflection-angrep basert på DNS. Totalt så vi litt over 650 angrep i våre nett på over 500Mbps.

Like etter påske var det mye oppmerksomhet i media rundt et tilleggsprogram til Google Chrome. Over én million brukere hadde hentet ned programmet som benyttes til å gjøre om websider til bilder. Programmet oppførte seg som forventet i én uke etter installasjon. Deretter ble ny kode lastet ned og programmet sendte oversikt over alle websider brukeren har besøkt hver minutt. Utvidelsesprogrammet ble fjernet fra Chrome Web Store etter saken.

Det hvite hus meldte at russiske hackere hadde fått tilgang til systemer på deres ugraderte nett. Her skal de blant annet ha klart å hente ut informasjon om presidentens tidsplan. De skal også inndirekte ha fått tilgang til ugraderte e-poster sendt til og fra president Obama. Selv om dette er informasjon som ikke er gradert, er det likevel ikke offentlig og kan derfor være av stor interesse for utenlandske etterretningsbyåer opplyste CNN.

Den franske TV-kanalen TV5Monde gikk i april i svart i tre timer. Den islamistiske gruppen "CyberCaliphate" tok på seg ansvaret for angrepet. Hackerne tok også over kanalens kontoer i sosiale medier, og kanalens websider ble nede i mange timer. Det tok flere døgn før kanalen kunne returnere til normal sendeplan. I intervjuer og reportasjer etter hendelsen ble det flere ganger avslørt passord til sosiale medier og interne systemer hos kanalen som var skrevet ned på Post-it lapper. Dette kan tyde på dårlige sikkerhetsrutiner hos selskapet.

I USA har måneden vært preget av diskusjoner rundt krypto-bakdører. Amerikanske myndigheter opplyser at de stadig oftere blir hindret av kryptering når de skal etterforske alvorlige lovbrudd. De vil derfor ha lovgivning som gjør at de kan få tilgang også til kryptert informasjon. Det diskuteres om dette er ønskelig og også hvordan det rent teknisk kan gjøres. Amerikanske teknologifirmaer er forståelig nok kritiske til myndighetenes planer, siden dette vil gjøre dem mindre attraktive for utenlandske kunder.

Denne måneden avslørte FireEye at den russiske grupperingen APT28 har utnyttet ferske zero-day svakheter i Adobe Flash og Windows i en operasjon døpt RussianDoll. APT28 har lang fartstid og det sies at den er sponset av den russiske regjeringen. Svakheten i Windows brukes for å få lokal administrator-tilgang, etter først å ha fått tilgang til maskinen gjennom Flash-exploiten. Flash-svakheten ble patchet i april, mens Windows-svakhten er fortsatt ikke patchet.

F-Secure slapp også en omfattende rapport som beskriver trojaneren CozyDuke, en verktøykasse brukt av flere trusselaktører i angrep mot en rekke organisasjoner. Cozyduke skal i følge F-Secure ha vært under utvikling siden 2011 og inneholde verktøy for å infisere maskiner, informasjonsuthenting og videre spredning. Det mistenkes at Russiske interesser står bak CozyDuke.

I april kom det fram at malware bl.a. prøver å gjøre videoer på Internett virale, ved å øke antall klikk og visninger av videoen. Dette gjøres i bakgrunnen i gjemte nettleser-vinduer slik at brukeren ikke merker hva som skjer. Så langt har man sett at det er pro-russiske videoer som er målet for denne aktiviteten.

En tysk sikkerhetsblogger fant ut at Anti-Virus applikasjoner fra Avast, Kaspersky og ESET alle senker sikkerheten i krypterte web-sesjoner. For å kunne inspisere kryptert trafikk for ondsinnet aktivitet bryter AV-applikasjonene fra de nevnte produsenter "inn" i TLS-sesjonene. Dette er imidlertid ofte ikke implementert på en god nok måte, og som en følge av dette er f.eks. Kaspersky-brukere sårbare for det tidligere omtalte "FREAK"-angrepet.

 
>