Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 8. juni 2015

Oppsummering av nyhetsbildet for mai 2015

Antallet håndterte hendelser i forbindelse med sikkerhetsovervåking gikk noe opp i mai. Vi håndterte 137 alvorlige hendelser, mot 103 i april. Vi ser at mange maskiner blir infisert av forskjellige typer “bank-trojanere” som primært er utformet for å lure penger fra offeret. Selv om det har vært mye informasjon i media, er det også en del infeksjoner med ransomware. Det gjelder å ha god backup!

I mai håndterte TSOC 227 DDoS-angrep, mot 105 i april. Det er SSDP-reflection som er den mest populære angrepsprotokollen. Det er også en del angrep som benytter seg av DNS-reflection samt fragmenterte UDP-pakker. Totalt var det 590 angrep der angrepstrafikken utgjorde mer enn 500 Mbps.

Microsoft lanserte en del nye sikkerhetsprodukter denne måneden. Verktøyet LAPS kan brukes til å administrere admin-passord på PCer i et nettverk. Mange Windows-nettverk har samme lokale admin-passord på alle PCer på nettverket. Dette kan gjøre det lettere for angripere å flytte seg fra PC til PC etter å ha kompromittert én PC. Applikasjonen LAPS (Local Administrator Password Solution) fra Microsoft genererer tilfeldige passord for lokale admin-kontoer på PCer og tilbyr en sentral måte å administrere dette. Firmaet lanserte også verktøyet ATA (Advanced Threat Analytics) som skal kunne detektere tilsynelatende legitim, men unormal aktivitet på en PC. Microsoft har også opplyst at Windows 10 vil kunne motta sikkerhetsoppdateringer fortløpende. For bedrifter vil det bli tilbud om å fortsatt ha en fast patchedag slik at driften blir mer forutsigbar.

I mai kom det fram at Lånekassen var blant ofrene under bølgen av ransomware mot skandinaviske virksomheter i begynnelsen av året. En brukers PC ble infisert, og alle delte filområder som brukeren hadde tilgang til ble kryptert. Lånekassen anmeldte forholdet, men saken ble raskt henlagt. Politiet anbefaler likevel alle virksomheter om å anmelde for å synliggjøre problemet. Lånekassen hadde gode backup-rutiner og kom raskt opp igjen etter hendelsen.

Det har blitt opprettet et Github-prosjekt som ønsker å demonstrere/teste mulighetene til GPU-basert (skjermkortet i PCen) malware. Foreløpig har prosjektet implementert et rootkit og en keylogger. Det vil ikke være mulig å detektere hva som skjer på tradisjonelle måter som antivirus og lignende. Malware på GPU vil ha direkte tilgang til minnet på maskinen via DMA (Direct Memory Access).

Dell Secureworks hadde denne måneden en bloggpost om utviklingen innen banktrojanere etter at flere botnett ble tatt ned i 2014 og i starten av 2015. Disse var ofte basert på varianter av malwaren Zeus. I etterkant har det dukket opp flere mer avanserte varianter som Dyre, Bugat v5/Dridex, and Vawtrak. De nye variantene er vanskeligere å oppdage, og botnettene er vanskeligere å ta ned. Malware av denne typen ser vi nesten daglig hos Telenor SOC.

Det var mye skriverier i media om sikkerhetsforskeren Chris Roberts. Han klarte i følge en rapport fra FBI å endre kursen på et rutefly en kort periode. Det skal han ha klart ved å ta seg inn gjennom flyets underholdningssystem mens han var om bord på flyet. Boing, som har produsert flyet det var snakk om, nekter for at det er noen forbindelse mellom underholdningssystemet og flyets styringssystemer. Foreløpig virker det mest sannsynlig at saken er overdrevet og at Chris Roberts heller snakket om ting han mente kunne være mulig og ikke ting han faktisk hadde gjort.

Denne månedens svakhet i SSL/TLS-kryptering fikk navnet LogJam. Dette er en svakhet i TLS som gjør at nøkkel-utvekslingen, som utføres ved hjelp av Diffie-Hellman-protokollen, kan degraderes til 512 bits. Dette er en veldig kort nøkkel-lengde og gjør at senere kommunikasjon kan avlyttes relativt enkelt. Svakheten gjøres mulig ved hjelp av såkalte "export ciphers" (svake kryptonøkler) som ble introdusert på 90-tallet for at USA skulle kunne avlytte kryptert kommunikasjon i utlandet.

Google publiserte forskningsmateriale rundt effektiviteten av sikkerhetsspørsmål ved innlogging. Mange tjenester ber deg f.eks. skrive inn mors pikenavn for å få tilgang til kontoen din, dersom du har glemt passordet. Google konkluderer med at det er nesten umulig å lage sikkerhetsspørsmål som det er vanskelig å gjette og som samtidig er lette å huske. Nullstilling av passord via SMS er en mye bedre løsning.

torsdag 7. mai 2015

Oppsummering av nyhetsbildet for april 2015

I april håndterte TSOC 103 hendelser i forbindelse med sikkerhetsovervåking mot 165 i mars. Det er for tiden ingen svakheter som benyttes til massespredning av malware. Som ofteste er angriperne avhengig av at brukeren selv gjør noe for å infisere maskinen, f.eks. åpne vedlegg i e-poster med malware. Påsken bidro også til nedgangen.

Det ble håndtert 105 DDoS-angrep mot 59 i mars. Fortsatt er det reflection-angrep av typen SSDP som vi ser hyppigst, men mot slutten av måneden var det også en del reflection-angrep basert på DNS. Totalt så vi litt over 650 angrep i våre nett på over 500Mbps.

Like etter påske var det mye oppmerksomhet i media rundt et tilleggsprogram til Google Chrome. Over én million brukere hadde hentet ned programmet som benyttes til å gjøre om websider til bilder. Programmet oppførte seg som forventet i én uke etter installasjon. Deretter ble ny kode lastet ned og programmet sendte oversikt over alle websider brukeren har besøkt hver minutt. Utvidelsesprogrammet ble fjernet fra Chrome Web Store etter saken.

Det hvite hus meldte at russiske hackere hadde fått tilgang til systemer på deres ugraderte nett. Her skal de blant annet ha klart å hente ut informasjon om presidentens tidsplan. De skal også inndirekte ha fått tilgang til ugraderte e-poster sendt til og fra president Obama. Selv om dette er informasjon som ikke er gradert, er det likevel ikke offentlig og kan derfor være av stor interesse for utenlandske etterretningsbyåer opplyste CNN.

Den franske TV-kanalen TV5Monde gikk i april i svart i tre timer. Den islamistiske gruppen "CyberCaliphate" tok på seg ansvaret for angrepet. Hackerne tok også over kanalens kontoer i sosiale medier, og kanalens websider ble nede i mange timer. Det tok flere døgn før kanalen kunne returnere til normal sendeplan. I intervjuer og reportasjer etter hendelsen ble det flere ganger avslørt passord til sosiale medier og interne systemer hos kanalen som var skrevet ned på Post-it lapper. Dette kan tyde på dårlige sikkerhetsrutiner hos selskapet.

I USA har måneden vært preget av diskusjoner rundt krypto-bakdører. Amerikanske myndigheter opplyser at de stadig oftere blir hindret av kryptering når de skal etterforske alvorlige lovbrudd. De vil derfor ha lovgivning som gjør at de kan få tilgang også til kryptert informasjon. Det diskuteres om dette er ønskelig og også hvordan det rent teknisk kan gjøres. Amerikanske teknologifirmaer er forståelig nok kritiske til myndighetenes planer, siden dette vil gjøre dem mindre attraktive for utenlandske kunder.

Denne måneden avslørte FireEye at den russiske grupperingen APT28 har utnyttet ferske zero-day svakheter i Adobe Flash og Windows i en operasjon døpt RussianDoll. APT28 har lang fartstid og det sies at den er sponset av den russiske regjeringen. Svakheten i Windows brukes for å få lokal administrator-tilgang, etter først å ha fått tilgang til maskinen gjennom Flash-exploiten. Flash-svakheten ble patchet i april, mens Windows-svakhten er fortsatt ikke patchet.

F-Secure slapp også en omfattende rapport som beskriver trojaneren CozyDuke, en verktøykasse brukt av flere trusselaktører i angrep mot en rekke organisasjoner. Cozyduke skal i følge F-Secure ha vært under utvikling siden 2011 og inneholde verktøy for å infisere maskiner, informasjonsuthenting og videre spredning. Det mistenkes at Russiske interesser står bak CozyDuke.

I april kom det fram at malware bl.a. prøver å gjøre videoer på Internett virale, ved å øke antall klikk og visninger av videoen. Dette gjøres i bakgrunnen i gjemte nettleser-vinduer slik at brukeren ikke merker hva som skjer. Så langt har man sett at det er pro-russiske videoer som er målet for denne aktiviteten.

En tysk sikkerhetsblogger fant ut at Anti-Virus applikasjoner fra Avast, Kaspersky og ESET alle senker sikkerheten i krypterte web-sesjoner. For å kunne inspisere kryptert trafikk for ondsinnet aktivitet bryter AV-applikasjonene fra de nevnte produsenter "inn" i TLS-sesjonene. Dette er imidlertid ofte ikke implementert på en god nok måte, og som en følge av dette er f.eks. Kaspersky-brukere sårbare for det tidligere omtalte "FREAK"-angrepet.

torsdag 9. april 2015

Oppsummering av nyhetsbildet for mars 2015

I mars hadde vi en liten oppgang i alvorlige hendelser i forbindelse med sikkerhetsovervåking. TSOC håndterte 165 hendelser, mot 143 i februar. Oppgangen skyldes i stor grad innmelding av maskiner som hadde den mye omtalte spionprogramvaren SuperFish installert. Ellers er det mange maskiner som er infisert av forskjellige banktrojanere og også et oppsving i aggressiv adware/spyware.


Håndterte DDoS-angrep gikk videre ned i mars til 59, mot 102 i februar. Den videre nedgangen skyldes hovedsaklig bedre filtrering/rate-limiting av visse typer angrep på Telenors border-rutere. Dette medfører at færre av angrepene må håndteres manuelt. Det var seks større angrep mot våre kunder på DDoS-beskyttelse. Det største av disse var på 5Gbps. Ellers kan vi legge til at det i mars var over 650 DDoS-angrep mot Telenors nett i Norge/Sverige som var større enn 500Mbps.

Måneden startet med enda en svakhet i SSL/TLS kalt FREAK. Svakheten gjør det mulig for en angriper å avlytte krypterte forbindelser vha. et Man-In-The-Middle (MITM) angrep. Dette er mulig ved å utnytte en bug som finnes i enkelte SSL/TLS-klienter og som går ut på å fremtvinge nedgradering til en gammel, svak krypteringsalgoritme mellom klient og server ved oppsett av en sikker sesjon. Nøklene som da benyttes (såkalte 512-bits RSA export nøkler), kan så knekkes for en lav kostnad ila. få timer vha. skybaserte tjenester.

Microsoft meldte at innlogging ved hjelp av biometri skal være en integrert del av Windows 10. De kaller systemet for Windows Hello. Det skal gi brukeren tilgang til autentisering via fingeravtrykk, ansiktsgjenkjenning og iris-scanning. Disse autentiseringsmekanismene vil bli støttet av hardware utviklet av Microsoft sine samarbeidpartnere til dette formålet. Autentiseringen vil også kunne brukes av web-sider og tredjepartsapplikasjoner.

Bloomberg beskyldte i en artikkel Kaspersky for å ha nære bånd til FSB og andre i det russiske statsapparatet. De påsto også at programvare installert på kunders datamaskiner brukes til å hjelpe FSB i etterforskninger. Kaspersky avviste påstandene og mener at de er plantet etter at de har skrevet om NSA og deres metoder. Reuters meldte også om saken og balkaniseringen av sikkerhetsindustrien. De påpeker at FireEye f.eks. har bånd til NSA. De mener at sikkerhetsfirmaene helst avslører hemmelige tjenester og kampanjer fra andre land, og beskytter sine egne myndigheter fra å bli eksponert.

Microsoft lanserte denne måneden EMET 5.2. EMET er et program som skal hindre at svakheter i operativsystemet og tredjepartsprogrammer blir utnyttet. Den nye versjonen ble imidlertid omgått av en sikkerhetsforsker i løpet av bare noen dager. Vi vil allikevel understreke at EMET faktisk kan hjelpe til med å stoppe angrep og at det bør installeres dersom mulig.

I årets Pwn2Own-konkurranse ble alle de store nettleserne fullstendig kompromittert. Konkurransen ble avsluttet med å utbetale 442.000 USD til deltakere for å ha funnet 21 kritiske bugs i Chrome, IE, Safari og Mozilla Firefox. Det ble også avdekket svakheter i Windows, Adobe Flash og Adobe Reader.

PST slapp denne måneden en rapport som tilbakeviste Aftenpostens funn rundt falske basestasjoner (IMSI-catchere) i Oslo sentrum. PST konkluderer med at Aftenpostens målinger ikke tyder på at det har foregått noe utenom det vanlige i mobilnettet.

Politisjef i Europol, Rob Wainwright sier at sterk kryptering er ett av de største problemene Europol har i forbindelse med å oppdage terrorister. Mr Wainwright sier at bedrifter som implementerer kryptering og sikker kommunikasjon bør vurdere deres kryperingsprogramvare og hvilke utfordringer dette gir for politiet.

Google opplyste i en pressemelding like før påske at den kinesiske organisasjonen CNNIC i en periode hadde gått god for falske digitale sertifikater for noen av Googles domener. Dette skyldtes at CNNIC hadde delegert muligheten til å gå god for deres sertifikater til det egyptiske selskapet MCS Holdings, noe som er imot Googles retningslinjer. Etter hendelsen planlegger både Google og Firefox å fjerne all tillit til sertifikater utstedt av CNNIC, som er hoved-registraren i Kina.

I de siste dagene av mars pågikk et større DDoS-angrep mot Github, som er et stort nettsted for open-source programvare. Angrepet ble utført ved at utstyr ved de kinesiske border-ruterne (Great Firewall of China) la til en noen linjer med JavaScript-kode på enkelte av forespørslene som gikk mot nettsider som bruker Baidu, som reklameleverandør. Denne JavaScripten kjørte en forespørsel mot to spesielt valgte Github-sider, Greatfire og CN-NYTimes, hvert andre sekund. Dette førte til at Github fikk utrolig mye trafikk mot deres servere. Prosjektene som ble angrepet prøver å motvirke kinesisk nettsensur.

mandag 9. mars 2015

Oppsummering av nyhetsbildet for februar 2015

Antallet håndterte alvorlige hendelser hos TSOC i forbindelse med sikkerhetsovervåking gikk videre ned i februar. Denne måneden håndterte vi 143 hendelser, mot 237 i januar.

Antall håndterte DDoS-angrep gikk også noe ned fra 221 i januar til 102 i februar. Fortsatt er det mange SSDP-angrep mot port 80. I det siste har også DNS-reflection angrep sett et oppsving. Fire av våre kunder på DDoS-beskyttelse ble angrepet denne måneden og angrepene ble stanset.

I følge dokumenter som er lekket av Edward Snowden, skal NSA/GCHQ ha hacket den største produsenten av SIM-kort, nederlandske Gemalto, og stjålet krypteringsnøkler som blir brukt for å kryptere kommunikasjonen i mobilnett. Det skal ha gitt NSA&GCHQ muligheten til å overvåke store deler av verdens mobilkommunikasjon. Gemalto bekreftet etter hvert at det hadde vært et avansert innbrudd i nettet deres, men at dette begrenset seg til kontornettet og at produksjonsnettverket var uberørt. Gemalto opplyste at store mengder nøkler til SIM-kort umulig kunne ha blitt stjålet av noen. Telenor Norge har uansett ingen leveranse av SIM-kort fra Gemalto, så dette rammer ikke våre kunder.

Denne måneden ble det avslørt at Lenovo har installert adware kalt "SuperFish" på mange av sine nye PCer. Dette programmet analyserer nettstedene du besøker for å presentere annonser. Også sider som normalt er beskyttet av kryptering (SSL) blir analysert ved at trafikken blir sendt gjennom en såkalt lokal proxy. Denne proxyen generer falske sertifikater for SSL-sikrede nettsteder automatisk og signerer dette med sin egen private nøkkel. Den private nøkkelen med tilhørende passord var imidlertid lett å hente ut fra SuperFish-programmet. Dette førte til at privat kommunikasjon som e-post og nettbank-trafikk enkelt kunne snappes opp av uvedkommende. Lenovo har publisert programvare for å fjerne og rydde opp etter programmet. De har også lovet å installere mindre adware i PCer fra nå av. Telenor SOC oppdaget SuperFish på flere av våre kunders PCer. Senere i måneden ble det også avslørt 14 andre programmer med lignende funksjonalitet som SuperFish.

I begynnelsen av måneden ble det rapportert om nok en 0-dags svakhet i Flash Player. Svakheten ble allerede utnyttet aktivt i exploit-kits til å kompromittere sårbare maskiner. Adobe begynte å sende ut patcher via auto-oppdatering allerede dagen etterpå og ga kort tid etter ut nye versjoner til alle plattformer.

Forbes er et amerikansk nyhetsmagasin med fokus på finans, industri, økonomi og markedsføring. Denne måneden ble det avslørt at kinesiske hackere i fjor skal ha kompromittert nettsidene til Forbes. De endret så nettsidene slik at besøkende fra amerikansk forsvar og finans ble videresendt til en nettside med exploit kit. Det ble brukt såkalte nulldags svakheter i både Internet Explorer og Adobe Flash for å utføre angrepet som er av typen vannhullsangrep.

En sofistikert hackergruppe ble i februar dokumentert av Kaspersky Labs. De har valgt å kalle gruppen "The Equation Group". Mange mener at grupperingen egentlig er NSA, basert på likheter med tidligere lekket materiale. Gruppen, som har greid å holde seg skjult i omtrent 14 år, har utviklet flere forskjellige verktøy for å stjele informasjon fra deres ofre. Disse verktøyene er svært avanserte og kan infisere maskiner uten å bli oppdaget. Et eksempel på et av deres avanserte verktøy er muligheten til å gjemme malware i firmwaren til harddisker. Dette gjør at en malware-infeksjon kan overleve en vanlig sletting av harddisken. Dette har fungert mot harddisker til tolv forskjellige harddisk-produsenter, og tyder på tilgang til kildekoden for firmwaren.

Hackere skal ha infiltrert over 100 banker i 30 land i en operasjon for å stjele penger ifølge Kaspersky. Via PC-er infisert med Carbanak-malware i bankenes nettverk iverksatte de overføringer av penger til egne kontoer og utbetaling av kontanter fra minibanker til gitte tidspunkter. Angriperne skal ha fått med seg over 300 millioner dollar.


fredag 6. februar 2015

Oppsummering av nyhetsbildet for januar 2015

Året begynte roligere når det gjaldt alvorlige håndterte hendelser hos TSOC. I årets første måned ble det håndtert 237 hendelser, mot 338 i desember.

Antallet håndterte DDoS-angrep gikk imidlertid opp fra 155 i desember til 221 denne måneden. Etter at angrep via protokollen SSDP dominerte mot slutten av fjoråret, ser vi nå en større spredning i angrepsteknikker igjen som f.eks. DNS, Chargen og NTP. Noen av våre kunder ble denne måneden utsatt for et spesielt “angrep” som antakeligvis ikke er gjort med overlegg. Kina sensurerer hele sin del av Internett ved hjelp av “The Great Firewall of China.” I det siste har dette sensur-systemet virket ved at det tildeler tilfeldige IP-adresser til sider som er sensurerte. Svært populære sider og tjenester kan dermed ved en tilfeldighet få adresser til norske selskaper i en periode. Dette skjedde i januar og førte til store mengder uønsket trafikk til noen av våre kunder.

LizardSquad har også denne måneden vært i nyhetsbildet. I starten av januar opprettet de en tjeneste der en kan betale for å få utført DDoS-angrep. Tjenesten benytter seg hovedsaklig av kompromitterte routere hos bedrifter og privatpersoner. Samtidig ble det meldt at to medlemmer av grupperingen var arrestert, henholdsvis i Storbritannia og Finland.

USA innførte nye sanksjoner mot Nord-Korea etter datainnbruddet hos Sony Pictures Entertainment. Amerikanske myndigheter opplyste at de var sikre på at Nord-Korea stod bak, etter å ha fått hemmelige opplysninger fra sine etterretningstjenester. Dette er første gangen USA straffer et land for et cyber-angrep mot et amerikansk selskap.

Mange mener at at sikkerheten i Twitter for organisasjoner, der flere brukere benytter seg av samme konto, er for dårlig. Det er for eksempel ikke mulig å tilegne flere brukere til den samme kontoen, eller å gi forskjellige tilganger. Alle må benytte det samme brukernavnet og passordet. I det siste har mange firmaer og organisasjoner mistet kontrollen over Twitter-kontoen sin.

Etter angrepene i Paris tar statsministeren i UK, David Cameron, til orde for å forby chatte-programmer der myndighetene ikke kan få tilgang til kommunikasjonen. Han mener at risikoen ved at terrorister kan bruke disse til å planlegge angrep, uten at myndighetene oppdager det, er for stor. Cameron lover å gjennomføre dette forbudet dersom han blir gjenvalgt. Chatte-systemer som kan bli forbudt ved den nye loven er f.eks. iMessage, TextSecure og Telegram. Alle disse programmene skal ha ende-til-ende kryptering uten bakdører for myndigheter. Barack Obama har støttet utsagnene fra Cameron. Kina har allerede innført et slik forbud.

I Januar var det stor spredning av spam-eposter med malware som fører til at PCer blir infisert av ransomware/utpressingsprogramvare. Denne typen ransomware kalles CTB-locker og det skal være umulig å dekryptere filene igjen uten å betale løsepengene. E-posten ga seg f.eks. ut for å inneholde en fax pakket inn i en zip-fil. Det er imidlertid malware som gjemmer seg i zip-filen. Dersom denne startes, lastes ransomware-programmet ned og alle dokumenter og bilder på PCen krypteres. Vær forsiktig med å åpne vedlegg i e-poster og ta jevnlig backup av viktige filer.

Denne måneden dukket det også opp “ransomware” for webapplikasjoner! High-Tech Bridge rapporterte om malware for webservere som infiserer webapplikasjoner slik at data skrives kryptert til bakenforliggende databaser og dekrypteres automatisk ved henting. Bakmennene fjerner så krypteringsnøkkelen etter en. Webserveren vil da stoppe opp helt til offeret betaler penger for å få en kopi av nøkkelen.

22. januar ble det meldt om en ny svakhet i Adobe Flash. Svakheten ble allerede utnyttet aktivt til å ta kontroll over sårbare PCer gjennom exploit-kittet Angler. Adobe rettet svakheten etter få dager.


 
>