Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 5. februar 2018

Oppsummering av nyhetsbildet innen datasikkerhet for januar 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 91 alvorlige hendelser i januar. Dette var en oppgang fra 61 i desember. Hendelsene er en blanding av scanning etter sårbarheter, forsøk på innlogging med store mengder brukernavn og passord, maskiner infisert av adware og en del trojaner-infiseringer.

Det var 403 bekreftede DDoS-angrep i januar. 93 av disse ble mitigert. Et gjennomsnittlig angrep var på 1,49 Gbps og varte typisk 24 minutter. Det største angrepet observert i denne perioden var på 18.1 Gbps og varte i 25 minutter. Fire av TSOCs kunder ble utsatt for angrep denne måneden.

Den 4. januar ble svakhetene kalt Spectre og Meltdown offentliggjort. Dette dreier seg om svakheter i teknikker som CPUer bruker for å øke hastigheten ved kjøring av kode, såkalt spekulativ eksekvering. Feilen gjør at upriviligerte programmer på en datamaskin/mobil kan få tilgang til å lese dataene til andre programmer eller selve operativsystemet. Problemet gjelder CPUer fra Intel, AMD og ARM, Intel er imidlertid hardest rammet. Feilen rammer virtualiserte miljøer med flere brukere hardest, for eksempel skyleverandører. I slike miljøer er det ofte mange forskjellige brukere på delt hardware. Disse kan få tilgang til å lese hverandres data eller også data fra operativsystemet. Gjennom svakheten Spectre kan også én nettleserfane i teorien lese data fra andre nettleserfaner, eller nettleseren selv, ved hjelp av spesielt utformet Javascript.

Utover i januar begynte leverandører av programvare å slippe patcher for Meltdown- og Spectre-svakhetene. Det viste seg at patchene i mange tilfeller kunne føre til ytelsestap, spesielt for litt eldre CPUer. Ytelsestapet varierer avhengig av typen last på CPUen, men kan typisk bli på 5-30 prosent. Nettleserprodusentene fikset Spectre-svakheten ved å sørge for at javascript på nettsider fikk tilgang til mindre nøyaktig tid, samt bedre isolering mellom faner i nettleseren. Sistnevnte fiks fører til at nettlesere kan bruke vesentlig mer minne enn tidligere.

Meltdown-svakheten lot seg patche kun ved å oppdatere programvare i operativsystemet. Spectre-svakheten krever at både mikrokoden i CPUen og operativsystemet patches. Den 22. januar meldte Intel at flere kunder hadde opplevd ustabile PCer og servere etter at patcher for både CPU og OS var installert, uten at noen var sikre på grunnen til dette. Den 29. januar deaktiverte Microsoft patcher for Spectre-svakheten i Windows, etter mange meldinger om ustabilitet. Foreløpig er det usikkert når det kommer en fullt fungerende patch for Intel-CPUer for Spectre. Enda har det ikke blitt rapportert om at svakhetene har blitt utnyttet i relle angrep.

Mandag 8. januar ble det oppdaget at en ukjent aktør hadde brutt seg inn datasystemene til Helse Sør-Øst. Angriperne hadde hatt tilgang til flere servere og hadde allerede hatt tilgang i noe tid. Det er så langt ikke konkludert hvem som står bak, men angrepet var avansert og det kan være en nasjonalstat som står bak. Nasjonal sikkerhetsmyndighet, Etterretningstjenesten, PST og Kripos jobber sammen i denne saken med hendelseshåndtering, teknisk analyse og aktøranalyse. Det er fortsatt uklart hva slags data angriperne kom seg unna med og det kan være at de fikk med seg pasientinformasjon.

En anonym ansatt hos NSA har uttalt seg til Yahoo Finance angående lekkasjene fra grupperingen The Shadow Brokers. Disse slapp blant annet verktøyene som ble brukt til å spre ransomware i to omganger i fjor (WannaCry og NotPetya) ved hjelp av en kritisk svakhet i Windows.
Den NSA-ansatte mener at The Shadow Brokers fikk tilgang til NSAs interne verktøy ved hjelp av antivirus-programvare fra Kaspersky Labs. Programvaren fra Kaspersky Labs ble installert på en PC til en ansatt som hadde tatt med seg verktøyene hjem uten tillatelse.

NSM NorCERT og Kripos jobber med flere saker hvor ansatte i norske bedrifter har blitt utsatt for e-postsvindel. Svindlerne aktiverer automatisk videresending fra kompromitterte e-postkontoer. Slik videresending kan bli stående på i lang tid før det oppdages. Videre blir e-postkontoen brukt til å sende ut falske fakturaer og meldinger om å endre kontonummer på tidligere fakturaer.

 
>