Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 9. april 2015

Oppsummering av nyhetsbildet for mars 2015

I mars hadde vi en liten oppgang i alvorlige hendelser i forbindelse med sikkerhetsovervåking. TSOC håndterte 165 hendelser, mot 143 i februar. Oppgangen skyldes i stor grad innmelding av maskiner som hadde den mye omtalte spionprogramvaren SuperFish installert. Ellers er det mange maskiner som er infisert av forskjellige banktrojanere og også et oppsving i aggressiv adware/spyware.


Håndterte DDoS-angrep gikk videre ned i mars til 59, mot 102 i februar. Den videre nedgangen skyldes hovedsaklig bedre filtrering/rate-limiting av visse typer angrep på Telenors border-rutere. Dette medfører at færre av angrepene må håndteres manuelt. Det var seks større angrep mot våre kunder på DDoS-beskyttelse. Det største av disse var på 5Gbps. Ellers kan vi legge til at det i mars var over 650 DDoS-angrep mot Telenors nett i Norge/Sverige som var større enn 500Mbps.

Måneden startet med enda en svakhet i SSL/TLS kalt FREAK. Svakheten gjør det mulig for en angriper å avlytte krypterte forbindelser vha. et Man-In-The-Middle (MITM) angrep. Dette er mulig ved å utnytte en bug som finnes i enkelte SSL/TLS-klienter og som går ut på å fremtvinge nedgradering til en gammel, svak krypteringsalgoritme mellom klient og server ved oppsett av en sikker sesjon. Nøklene som da benyttes (såkalte 512-bits RSA export nøkler), kan så knekkes for en lav kostnad ila. få timer vha. skybaserte tjenester.

Microsoft meldte at innlogging ved hjelp av biometri skal være en integrert del av Windows 10. De kaller systemet for Windows Hello. Det skal gi brukeren tilgang til autentisering via fingeravtrykk, ansiktsgjenkjenning og iris-scanning. Disse autentiseringsmekanismene vil bli støttet av hardware utviklet av Microsoft sine samarbeidpartnere til dette formålet. Autentiseringen vil også kunne brukes av web-sider og tredjepartsapplikasjoner.

Bloomberg beskyldte i en artikkel Kaspersky for å ha nære bånd til FSB og andre i det russiske statsapparatet. De påsto også at programvare installert på kunders datamaskiner brukes til å hjelpe FSB i etterforskninger. Kaspersky avviste påstandene og mener at de er plantet etter at de har skrevet om NSA og deres metoder. Reuters meldte også om saken og balkaniseringen av sikkerhetsindustrien. De påpeker at FireEye f.eks. har bånd til NSA. De mener at sikkerhetsfirmaene helst avslører hemmelige tjenester og kampanjer fra andre land, og beskytter sine egne myndigheter fra å bli eksponert.

Microsoft lanserte denne måneden EMET 5.2. EMET er et program som skal hindre at svakheter i operativsystemet og tredjepartsprogrammer blir utnyttet. Den nye versjonen ble imidlertid omgått av en sikkerhetsforsker i løpet av bare noen dager. Vi vil allikevel understreke at EMET faktisk kan hjelpe til med å stoppe angrep og at det bør installeres dersom mulig.

I årets Pwn2Own-konkurranse ble alle de store nettleserne fullstendig kompromittert. Konkurransen ble avsluttet med å utbetale 442.000 USD til deltakere for å ha funnet 21 kritiske bugs i Chrome, IE, Safari og Mozilla Firefox. Det ble også avdekket svakheter i Windows, Adobe Flash og Adobe Reader.

PST slapp denne måneden en rapport som tilbakeviste Aftenpostens funn rundt falske basestasjoner (IMSI-catchere) i Oslo sentrum. PST konkluderer med at Aftenpostens målinger ikke tyder på at det har foregått noe utenom det vanlige i mobilnettet.

Politisjef i Europol, Rob Wainwright sier at sterk kryptering er ett av de største problemene Europol har i forbindelse med å oppdage terrorister. Mr Wainwright sier at bedrifter som implementerer kryptering og sikker kommunikasjon bør vurdere deres kryperingsprogramvare og hvilke utfordringer dette gir for politiet.

Google opplyste i en pressemelding like før påske at den kinesiske organisasjonen CNNIC i en periode hadde gått god for falske digitale sertifikater for noen av Googles domener. Dette skyldtes at CNNIC hadde delegert muligheten til å gå god for deres sertifikater til det egyptiske selskapet MCS Holdings, noe som er imot Googles retningslinjer. Etter hendelsen planlegger både Google og Firefox å fjerne all tillit til sertifikater utstedt av CNNIC, som er hoved-registraren i Kina.

I de siste dagene av mars pågikk et større DDoS-angrep mot Github, som er et stort nettsted for open-source programvare. Angrepet ble utført ved at utstyr ved de kinesiske border-ruterne (Great Firewall of China) la til en noen linjer med JavaScript-kode på enkelte av forespørslene som gikk mot nettsider som bruker Baidu, som reklameleverandør. Denne JavaScripten kjørte en forespørsel mot to spesielt valgte Github-sider, Greatfire og CN-NYTimes, hvert andre sekund. Dette førte til at Github fikk utrolig mye trafikk mot deres servere. Prosjektene som ble angrepet prøver å motvirke kinesisk nettsensur.

mandag 9. mars 2015

Oppsummering av nyhetsbildet for februar 2015

Antallet håndterte alvorlige hendelser hos TSOC i forbindelse med sikkerhetsovervåking gikk videre ned i februar. Denne måneden håndterte vi 143 hendelser, mot 237 i januar.

Antall håndterte DDoS-angrep gikk også noe ned fra 221 i januar til 102 i februar. Fortsatt er det mange SSDP-angrep mot port 80. I det siste har også DNS-reflection angrep sett et oppsving. Fire av våre kunder på DDoS-beskyttelse ble angrepet denne måneden og angrepene ble stanset.

I følge dokumenter som er lekket av Edward Snowden, skal NSA/GCHQ ha hacket den største produsenten av SIM-kort, nederlandske Gemalto, og stjålet krypteringsnøkler som blir brukt for å kryptere kommunikasjonen i mobilnett. Det skal ha gitt NSA&GCHQ muligheten til å overvåke store deler av verdens mobilkommunikasjon. Gemalto bekreftet etter hvert at det hadde vært et avansert innbrudd i nettet deres, men at dette begrenset seg til kontornettet og at produksjonsnettverket var uberørt. Gemalto opplyste at store mengder nøkler til SIM-kort umulig kunne ha blitt stjålet av noen. Telenor Norge har uansett ingen leveranse av SIM-kort fra Gemalto, så dette rammer ikke våre kunder.

Denne måneden ble det avslørt at Lenovo har installert adware kalt "SuperFish" på mange av sine nye PCer. Dette programmet analyserer nettstedene du besøker for å presentere annonser. Også sider som normalt er beskyttet av kryptering (SSL) blir analysert ved at trafikken blir sendt gjennom en såkalt lokal proxy. Denne proxyen generer falske sertifikater for SSL-sikrede nettsteder automatisk og signerer dette med sin egen private nøkkel. Den private nøkkelen med tilhørende passord var imidlertid lett å hente ut fra SuperFish-programmet. Dette førte til at privat kommunikasjon som e-post og nettbank-trafikk enkelt kunne snappes opp av uvedkommende. Lenovo har publisert programvare for å fjerne og rydde opp etter programmet. De har også lovet å installere mindre adware i PCer fra nå av. Telenor SOC oppdaget SuperFish på flere av våre kunders PCer. Senere i måneden ble det også avslørt 14 andre programmer med lignende funksjonalitet som SuperFish.

I begynnelsen av måneden ble det rapportert om nok en 0-dags svakhet i Flash Player. Svakheten ble allerede utnyttet aktivt i exploit-kits til å kompromittere sårbare maskiner. Adobe begynte å sende ut patcher via auto-oppdatering allerede dagen etterpå og ga kort tid etter ut nye versjoner til alle plattformer.

Forbes er et amerikansk nyhetsmagasin med fokus på finans, industri, økonomi og markedsføring. Denne måneden ble det avslørt at kinesiske hackere i fjor skal ha kompromittert nettsidene til Forbes. De endret så nettsidene slik at besøkende fra amerikansk forsvar og finans ble videresendt til en nettside med exploit kit. Det ble brukt såkalte nulldags svakheter i både Internet Explorer og Adobe Flash for å utføre angrepet som er av typen vannhullsangrep.

En sofistikert hackergruppe ble i februar dokumentert av Kaspersky Labs. De har valgt å kalle gruppen "The Equation Group". Mange mener at grupperingen egentlig er NSA, basert på likheter med tidligere lekket materiale. Gruppen, som har greid å holde seg skjult i omtrent 14 år, har utviklet flere forskjellige verktøy for å stjele informasjon fra deres ofre. Disse verktøyene er svært avanserte og kan infisere maskiner uten å bli oppdaget. Et eksempel på et av deres avanserte verktøy er muligheten til å gjemme malware i firmwaren til harddisker. Dette gjør at en malware-infeksjon kan overleve en vanlig sletting av harddisken. Dette har fungert mot harddisker til tolv forskjellige harddisk-produsenter, og tyder på tilgang til kildekoden for firmwaren.

Hackere skal ha infiltrert over 100 banker i 30 land i en operasjon for å stjele penger ifølge Kaspersky. Via PC-er infisert med Carbanak-malware i bankenes nettverk iverksatte de overføringer av penger til egne kontoer og utbetaling av kontanter fra minibanker til gitte tidspunkter. Angriperne skal ha fått med seg over 300 millioner dollar.


fredag 6. februar 2015

Oppsummering av nyhetsbildet for januar 2015

Året begynte roligere når det gjaldt alvorlige håndterte hendelser hos TSOC. I årets første måned ble det håndtert 237 hendelser, mot 338 i desember.

Antallet håndterte DDoS-angrep gikk imidlertid opp fra 155 i desember til 221 denne måneden. Etter at angrep via protokollen SSDP dominerte mot slutten av fjoråret, ser vi nå en større spredning i angrepsteknikker igjen som f.eks. DNS, Chargen og NTP. Noen av våre kunder ble denne måneden utsatt for et spesielt “angrep” som antakeligvis ikke er gjort med overlegg. Kina sensurerer hele sin del av Internett ved hjelp av “The Great Firewall of China.” I det siste har dette sensur-systemet virket ved at det tildeler tilfeldige IP-adresser til sider som er sensurerte. Svært populære sider og tjenester kan dermed ved en tilfeldighet få adresser til norske selskaper i en periode. Dette skjedde i januar og førte til store mengder uønsket trafikk til noen av våre kunder.

LizardSquad har også denne måneden vært i nyhetsbildet. I starten av januar opprettet de en tjeneste der en kan betale for å få utført DDoS-angrep. Tjenesten benytter seg hovedsaklig av kompromitterte routere hos bedrifter og privatpersoner. Samtidig ble det meldt at to medlemmer av grupperingen var arrestert, henholdsvis i Storbritannia og Finland.

USA innførte nye sanksjoner mot Nord-Korea etter datainnbruddet hos Sony Pictures Entertainment. Amerikanske myndigheter opplyste at de var sikre på at Nord-Korea stod bak, etter å ha fått hemmelige opplysninger fra sine etterretningstjenester. Dette er første gangen USA straffer et land for et cyber-angrep mot et amerikansk selskap.

Mange mener at at sikkerheten i Twitter for organisasjoner, der flere brukere benytter seg av samme konto, er for dårlig. Det er for eksempel ikke mulig å tilegne flere brukere til den samme kontoen, eller å gi forskjellige tilganger. Alle må benytte det samme brukernavnet og passordet. I det siste har mange firmaer og organisasjoner mistet kontrollen over Twitter-kontoen sin.

Etter angrepene i Paris tar statsministeren i UK, David Cameron, til orde for å forby chatte-programmer der myndighetene ikke kan få tilgang til kommunikasjonen. Han mener at risikoen ved at terrorister kan bruke disse til å planlegge angrep, uten at myndighetene oppdager det, er for stor. Cameron lover å gjennomføre dette forbudet dersom han blir gjenvalgt. Chatte-systemer som kan bli forbudt ved den nye loven er f.eks. iMessage, TextSecure og Telegram. Alle disse programmene skal ha ende-til-ende kryptering uten bakdører for myndigheter. Barack Obama har støttet utsagnene fra Cameron. Kina har allerede innført et slik forbud.

I Januar var det stor spredning av spam-eposter med malware som fører til at PCer blir infisert av ransomware/utpressingsprogramvare. Denne typen ransomware kalles CTB-locker og det skal være umulig å dekryptere filene igjen uten å betale løsepengene. E-posten ga seg f.eks. ut for å inneholde en fax pakket inn i en zip-fil. Det er imidlertid malware som gjemmer seg i zip-filen. Dersom denne startes, lastes ransomware-programmet ned og alle dokumenter og bilder på PCen krypteres. Vær forsiktig med å åpne vedlegg i e-poster og ta jevnlig backup av viktige filer.

Denne måneden dukket det også opp “ransomware” for webapplikasjoner! High-Tech Bridge rapporterte om malware for webservere som infiserer webapplikasjoner slik at data skrives kryptert til bakenforliggende databaser og dekrypteres automatisk ved henting. Bakmennene fjerner så krypteringsnøkkelen etter en. Webserveren vil da stoppe opp helt til offeret betaler penger for å få en kopi av nøkkelen.

22. januar ble det meldt om en ny svakhet i Adobe Flash. Svakheten ble allerede utnyttet aktivt til å ta kontroll over sårbare PCer gjennom exploit-kittet Angler. Adobe rettet svakheten etter få dager.


fredag 9. januar 2015

Oppsummering av nyhetsbildet for desember 2014

I desember var det en videre oppgang i håndterte hendelser; 338 hendelser ble registrert, mot 303 i november. Denne måneden er det trojanere som Emotet, Dridex, Andromeda og Asprox som dominerer. Mange av infeksjonene skjer fortsatt via e-post, og ofte er det makroer i Microsoft Office-produkter som benyttes for å infisere maskinene.

TSOC håndterte 155 DDoS-angrep i desember, ned fra 173 i november. Angrep utført ved hjelp av protokollen SSDP (Simple Service Discovery Protocol) dominerer nå, etter å ha hatt en stigning siden oktober. Denne typen angrep utnytter sårbarheter i routere og andre nettverksenheter for å generere angrepstrafikken. Denne måneden så vi også et angrep basert på DNS som har vært lite brukt i det siste. LizardSquad benyttet seg av denne angrepstypen da de angrep diverse spill-relaterte tjenester. Angrepet består i å gjøre tusenvis av DNS-oppslag fra kompromitterte hjemmeroutere. Adressen det spørres om er en tilfeldig generert adresse hos målet for angrepet, f.eks. 3rxa1ff5ot.angrepsmål.com. DNS-tjeneren som først blir spurt kjenner naturlig nok ikke til denne adressen og må spørre angrepsmålets DNS-tjener. Dette fører til at DNS-tjeneren til målet for angrepet blir overbelastet. I tillegg kan dette forårsake problemer også for DNS-serveren til ISPen, dersom den har mange kompromitterte routere i nettet som deltar i angrepet.

Hackergruppen LizardSquad har denne måneden utført DDoS-angrep mot flere spill-relaterte tjenester som X-Box Live og Playstatin Network. Angrepstrafikken ble generert ved hjelp av sårbart nettverksutstyr, og flere ISPer i norden har i desember hatt problemer da de har hatt kunder med kompromittert utstyr.

Nyhetsbildet innenfor datasikkerhet ble denne måneden preget av hackerangrepet mot Sony Pictures. Angripere kom seg inn i nettverket til Sony og kopierte ut store mengder informasjon. Blant annet ble eposten til flere av sjefene i firmaet lekket. Flere nyhetsmedier har laget saker med bakgrunn i informasjon fra lekkede eposter. Hackerne forlangte først penger for å slutte å lekke informasjon, deretter forlangte de at Sony skulle stoppe publiseringen av filmen “The Interview” som omhandlet Nord-Korea. USA har sagt at de med sikkerhet vet at Nord-Korea står bak angrepet og de har også innført nye sanksjoner mot landet med bakgrunn i angrepet. Mange sikkerhetseksperter er skeptiske til at Nord-Korea står bak.

New York Times hadde en artikkel om hvordan Sony-hacket kan ha gjort folk mer skeptiske til e-post. All e-post til flere ansatte hos Sony ble lekket i desember. Forfatteren mener at flere kan gå over til mer flyktige måter å kommunisere på som telefonsamtaler.

I Norge har Aftenposten skrevet mye om utstyr som har vært utplassert i Oslo for å overvåke mobilbrukere, såkalte IMSI-catchere. Falske basestasjoner ble blant annet oppdaget ved statsministerens bolig og stortinget. Utstyret kan brukes til å kartlegge hvem som beveger seg i området. Det er ukjent hvem som kontrollerer utstyret. NSM bekreftet at de også fant spor etter mistenkelig utstyr etter at de fortok egne undersøkelser. Noen dager etter publiseringen ble utstyret slått av.

BSI (Bundesamt für Sicherheit in der Informationstechnik) i Tyskland meldte i en rapport om et cyberangrep mot prosesstyringsanlegget i et stålverk. Angrepet førte til at en ovn ble overopphetet og dermed store fysiske skader på stålverket.

På Chaos Computer Club sin årlige konferanse, viste Jan Krissler eksempler på hvordan han ved hjelp av noen få bilder klarte å rekonstruere fingeravtrykk og åpne opp en låst telefon. Han skal også ha forklart hvordan han utførte dette mot Tysklands forsvarsminister Ursula von der Leyen ved hjelp av bilder fra pressekonferanser.

fredag 5. desember 2014

Oppsummering av nyhetsbildet november 2014

TSOC håndterte 303 hendelser i november, opp fra 203 oktober. Oppsvinget i hendelser skyldes i stor grad mange infeksjoner av bank-trojaneren Dridex i perioden. Det har også ellers vært et oppsving i maskiner infisert av forskjellige trojanere.


I november håndterte vi 173 DDoS-angrep, noe som var en oppgang fra 132 i oktober. De største angrepene i november var et par DNS-reflection-angrep på henholdsvis 27.4Gbps og 24.65 Gbps i fragmenterte pakker.


I starten av måneden avdekket svenske sikkerhetseksperter at mange svenske styringssystemer lå åpne på Internett. Dette dreie seg blant annet om varme-, ventilasjon-, tilgang- og alarmsystemer i mange offentlig bygg. I Danmark ble det lagt fram en intern rapport om sikkerheten i energinettet. Rapporten konkluderte med at datamaskinene som styrer nettet er vidåpne for angrep fra terrorister, hackere og fremmede stater.


En ny phishing-teknikk ble avdekket i november. Den benytter seg av en ondsinnet nettside som fungerer som proxy for målets hjemmeside, hvor målene er nettbutikker. Dette er en teknikk som vil gjøre det vanskeligere for offeret å oppdage at en blir phishet. Siden trafikken går gjennom en proxy, vil nettstedet brukeren besøker se helt vanlige ut og ha full funksjonalitet. Det er bare i sider for innleggelse av betalingsinformasjon osv. at angriperne endrer på utseendet til nettstedet.


FireEye rapporterte om en ny type angrep mot iOS kalt “Masque Attack”. Svakheten som angrepet utnytter går på at applikasjoner installert ved en distribusjonsløsning for større bedrifter kan utnyttes til å erstatte eksisterende applikasjoner så lenge begge applikasjonene deler samme "Bundle ID". Applikasjoner som er installert via denne distribusjonsløsningen går utenfor Apple Store og kan installeres på en enhet via trådløst nettverk. Brukeren vil få opp en advarsel før eventuell installasjon skjer og det regnes som vanskelig å utnytte svakheten i praksis.


Microsoft hadde denne måneden tre svært kritiske oppdateringer. Den ene svakheten lot en angriper kompromittere en maskin som hadde en TLS-kryptert tjeneste tilgengelig, f.eks. en epost- eller web-server. Svakhet nummer to lot en vanlig domene-bruker oppgradere seg selv til domene-admin. Svakhet nummer tre gjorde det mulig å kompromittere brukere av alle versjoner av Internet Explorer ved besøk på en spesielt utformet side. Sørg for at alle oppdateringer er på plass. Adobe ga også ut en kritisk oppdatering for Flash 11. november som ble utnyttet i exploit-kits etter få dager.


iPhone 5S, Samsung Galaxy S5, LG Nexus 5 og Amazon Fire Phone fikk alle gjennomgå under årets PacSec konferanse i Tokyo. Det ble oppdaget en såkalt "two bug attack" i iPhone 5S som resulterte i en fullstendig sandbox-escape i nettleseren Safari. Galaxy S5 og Nexus 5 hadde svakheter i NFC og Amazon Fire Phone hadde tre bugs i browseren sin.


Symantec og andre leverandører ga ut mye informasjon rundt den avanserte malwaren Regin. Verktøyet skal ha vært benyttet til digital spionasje mot statlige organisasjoner, eiere av infrastruktur og enkeltindivider i flere år. Trojaneren består av sofistikert kode og har moduler for langtidsovervåking av blant annet nettverkstrafikk og telefonsamtaler, samt fjerntilgang til maskiner. Trojanerens kompleksitet og modulære oppbygning sammenlignes med The Mask og Stuxnet, og indikerer at statlig aktør kan være ansvarlig. Mange mistenker at NSA og GCHQ står bak denne malwaren.

Sony Pictures ble mot slutten av måneden utsatt for et større angrep. Store mengder intern informasjon ble lekket ut og mange maskiner ble også slettet i angrepet. Det ble rapportert at ansatte måtte benytte seg av papir og blyant for å få gjort arbeidet sitt.

 
>