Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 8. juni 2015

Oppsummering av nyhetsbildet for mai 2015

Antallet håndterte hendelser i forbindelse med sikkerhetsovervåking gikk noe opp i mai. Vi håndterte 137 alvorlige hendelser, mot 103 i april. Vi ser at mange maskiner blir infisert av forskjellige typer “bank-trojanere” som primært er utformet for å lure penger fra offeret. Selv om det har vært mye informasjon i media, er det også en del infeksjoner med ransomware. Det gjelder å ha god backup!

I mai håndterte TSOC 227 DDoS-angrep, mot 105 i april. Det er SSDP-reflection som er den mest populære angrepsprotokollen. Det er også en del angrep som benytter seg av DNS-reflection samt fragmenterte UDP-pakker. Totalt var det 590 angrep der angrepstrafikken utgjorde mer enn 500 Mbps.

Microsoft lanserte en del nye sikkerhetsprodukter denne måneden. Verktøyet LAPS kan brukes til å administrere admin-passord på PCer i et nettverk. Mange Windows-nettverk har samme lokale admin-passord på alle PCer på nettverket. Dette kan gjøre det lettere for angripere å flytte seg fra PC til PC etter å ha kompromittert én PC. Applikasjonen LAPS (Local Administrator Password Solution) fra Microsoft genererer tilfeldige passord for lokale admin-kontoer på PCer og tilbyr en sentral måte å administrere dette. Firmaet lanserte også verktøyet ATA (Advanced Threat Analytics) som skal kunne detektere tilsynelatende legitim, men unormal aktivitet på en PC. Microsoft har også opplyst at Windows 10 vil kunne motta sikkerhetsoppdateringer fortløpende. For bedrifter vil det bli tilbud om å fortsatt ha en fast patchedag slik at driften blir mer forutsigbar.

I mai kom det fram at Lånekassen var blant ofrene under bølgen av ransomware mot skandinaviske virksomheter i begynnelsen av året. En brukers PC ble infisert, og alle delte filområder som brukeren hadde tilgang til ble kryptert. Lånekassen anmeldte forholdet, men saken ble raskt henlagt. Politiet anbefaler likevel alle virksomheter om å anmelde for å synliggjøre problemet. Lånekassen hadde gode backup-rutiner og kom raskt opp igjen etter hendelsen.

Det har blitt opprettet et Github-prosjekt som ønsker å demonstrere/teste mulighetene til GPU-basert (skjermkortet i PCen) malware. Foreløpig har prosjektet implementert et rootkit og en keylogger. Det vil ikke være mulig å detektere hva som skjer på tradisjonelle måter som antivirus og lignende. Malware på GPU vil ha direkte tilgang til minnet på maskinen via DMA (Direct Memory Access).

Dell Secureworks hadde denne måneden en bloggpost om utviklingen innen banktrojanere etter at flere botnett ble tatt ned i 2014 og i starten av 2015. Disse var ofte basert på varianter av malwaren Zeus. I etterkant har det dukket opp flere mer avanserte varianter som Dyre, Bugat v5/Dridex, and Vawtrak. De nye variantene er vanskeligere å oppdage, og botnettene er vanskeligere å ta ned. Malware av denne typen ser vi nesten daglig hos Telenor SOC.

Det var mye skriverier i media om sikkerhetsforskeren Chris Roberts. Han klarte i følge en rapport fra FBI å endre kursen på et rutefly en kort periode. Det skal han ha klart ved å ta seg inn gjennom flyets underholdningssystem mens han var om bord på flyet. Boing, som har produsert flyet det var snakk om, nekter for at det er noen forbindelse mellom underholdningssystemet og flyets styringssystemer. Foreløpig virker det mest sannsynlig at saken er overdrevet og at Chris Roberts heller snakket om ting han mente kunne være mulig og ikke ting han faktisk hadde gjort.

Denne månedens svakhet i SSL/TLS-kryptering fikk navnet LogJam. Dette er en svakhet i TLS som gjør at nøkkel-utvekslingen, som utføres ved hjelp av Diffie-Hellman-protokollen, kan degraderes til 512 bits. Dette er en veldig kort nøkkel-lengde og gjør at senere kommunikasjon kan avlyttes relativt enkelt. Svakheten gjøres mulig ved hjelp av såkalte "export ciphers" (svake kryptonøkler) som ble introdusert på 90-tallet for at USA skulle kunne avlytte kryptert kommunikasjon i utlandet.

Google publiserte forskningsmateriale rundt effektiviteten av sikkerhetsspørsmål ved innlogging. Mange tjenester ber deg f.eks. skrive inn mors pikenavn for å få tilgang til kontoen din, dersom du har glemt passordet. Google konkluderer med at det er nesten umulig å lage sikkerhetsspørsmål som det er vanskelig å gjette og som samtidig er lette å huske. Nullstilling av passord via SMS er en mye bedre løsning.

 
>