Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 6. januar 2020

Oppsummering av nyhetsbildet innen datasikkerhet for desember 2019

Byen Pensacola i delstaten Florida ble i løpet av den første helgen i desember rammet av et cyberangrep. Flere delstater har nylig blitt offer for diverse ransomware-angrep, men borgermesteren i Pensacola ønsker ikke å uttale seg om de har mottatt noe løsepengekrav. IT-avdelingen i byen så seg nødt til å koble ut en rekke systemer etter angrepet, noe som gjorde at blant annet e-post ikke var tilgjengelig. Pensacola ble rammet av ransomware-varianten Maze, som også laster opp data til angriperne før krypteringen av dataene blir gjennomført. I slutten av måneden lastet angriperne opp 2GB med data fra kommunen som bevis for at angrepet hadde vært vellykket. Totalt skal 32GB med data ha blitt stjålet.

Maze er en form for ransomware som nylig har vært brukt i flere cyberangrep. Nå har en av aktørene bak angrepene opprettet en nettside hvor de oppgir navnet på flere bedrifter som angivelig har blitt rammet, men som har nektet å betale løsepenger. Angriperne opplyser at dersom bedriftene ikke samarbeider, kommer de til å lekke informasjonen som de hentet ut før de krypterte innholdet. KrebsOnSecurity har verifisert at minst ett av selskapene som står oppført på nettsiden, nylig har vært offer for et Maze ransomware-angrep. Sikkerhetseksperter sier at aktører i lang tid har kommet med denne typen trusler, men at de aldri faktisk har publisert informasjonen. Dersom informasjonen skulle publiseres, blir selskaper fremover nødt til å behandle ransomware-angrep på lik linje som andre former for data-lekkasje.

Forsvarsdepartementet i USA utgir nå en dusør på 5 millioner amerikanske dollar for informasjon som kan lede til arrestasjon av Maksim Yakubets. Yakubets, som er den antatte lederen bak Evil Corp, skal ha vært med å spre bank-trojaneren Dridex. De to personene som står bak spredningen av trojaneren skal ha stjålet over 100 millioner amerikanske dollar i løpet av en 10-års periode. Det antas også at Yakubets står bak Zeus-trojaneren som brle brukt til å stjele til sammen 70 millioner amerikanske dollar.

Informasjon om over 15 millioner individer har blitt eksponert som følge av et ransomware angrep mot LifeLabs, Canadas største medisinske lab. LifeLabs sier i en uttalelse til sine kunder at blant annet navn, adresser, e-post, fødselsdato, brukernavn, passord og test-resultater har kommet på avveie. Firmaet opplyser ikke hvor mye de var nødt til å betale eller hvem som mottok betalingen.

Facebook og Twitter har deaktivert hundrevis av falske profiler som la ut positive meldinger om Trump og skjulte sporene sine med AI-genererte bilder slik at de ble unike og vanskelige å avsløre. Profilene som teknologi-gigantene tok ned tilhørte BL, som er en mediabedrift i USA som jobber for at Trump skal bli gjenvalgt til President.

RuNet har gjennomført vellykkede tester med deres lands-lokale internett. Russland har i lengre tid jobbet med å gjøre deres innenlands-nett uavhengig av resten av Internet. Dette skal hjelpe de russiske myndighetene med å ha kontroll over hva deres borgere gjør på Internet og gjøre det enkelt å koble RuNet fra resten av Internet.

BMW oppdaget våren 2019 at deres nettverk var kompromittert ved at Cobalt Strike ble funnet på en intern datamaskin. BMW lot angriperen være aktiv en stund etter de ble oppdaget for å prøve å få innblikk i hvem de var, deres mål, og hva de hadde fått tilgang til. BMW tror at målet var bedriftshemmeligheter, og at de trolig ikke fikk tak i det de ville ha. Gruppen OceanLotus mistenkes for å stå bak innbruddet og settes i sammenheng med Vietnam. Hyundai og Toyota skal også ha vært utsatt for innbrudd fra den samme grupperingen tidligere.

Reddit opplyste at de mistenker at Russland står bak en lekkasje av dokumenter via Reddit-plattformen i forbindelse med Brexit-forhandlingene. De har bannlyst 61 kontoer de mistenker står bak aksjonen. Lekkasjen skal være gjort som et ledd i politisk påvirkning i UK.

En ny svakhet som har fått navnet Plundervolt, gjør det mulig å få tilgang til data som ligger lagret i Intel Software Guard eXtensions (SGX) ved å regulere spenningen og frekvensen på prosessorer. Intel SGX benyttes til å lagre data som skal være utilgjengelig for andre applikasjoner som kjører på operativsystemet. Intel har gitt ut Microcode og BIOS-oppdateringer som gjør det mulig å deaktivere spenning- og frekvensregulering. Plundervolt krever fysisk tilgang til maskinen for å kunne utnyttes.

I desember håndterte vi 261 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 204 i november. Denne måneden er det igjen forskjellige ondsinnede utvidelser til Chrome-nettleseren samt graving etter kryptovaluta som dominerer hendelsene.

Det var 367 bekreftede DDoS-angrep denne måneden, ned fra 388 i november. 150 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.62 Gbps og varte typisk i 24 minutter. Det største angrepet observert i denne perioden var på 37.8 Gbps og varte i 16 minutter. Fem av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

onsdag 4. desember 2019

Oppsummering av nyhetsbildet innen datasikkerhet for november 2019

Nasjonalt Cybersikkerhetssenter, en del av Nasjonal sikkerhetsmyndighet (NSM) åpnet i starten av november og skal bidra til å styrke den digitale sikkerheten i Norge. I tillegg til NSM, vil også en rekke samarbeidspartnere fra både privat og offentlig sektor være representert på senteret, som er lokalisert på Havnelageret i Oslo sentrum.

En ny lov som omhandler myndigheters rett til å slå av Internett har trådt i kraft i Russland. For å muliggjøre en slik avkobling fra internett, er det påkrevd at trafikk fra samtlige ISPer rutes gjennom servere eid og håndtert av landets telekomregulator. Kritikere og eksperter på russisk politikk, menneskerettigheter og personvern mener derimot at dette kun er en lov for å muliggjøre overvåking av russiske borgere og sensur av utenlandske nettsteder.

En svakhet har blitt avdekket i smart-høyttalere (Google Assistant, Alexa og Siri) samt andre enheter som benytter MEMS-mikrofoner for å utføre stemmegjenkjenning. Ved å variere lysintensiteten til en laserstråle rettet mot enheten, kan man simulere en stemme og dermed kontrollere enhetene. Dette kan for eksempel benyttes til å låse opp dører eller bekrefte kjøp på nettsteder. Forskerne klarte å utføre denne typen angrep på 110 meters avstand og samarbeider nå med produsentene for å forebygge og forhindre utnyttelse av svakheten. For å motvirke dette bør en absolutt ikke gi smarthøyttalere tilgang til å åpne dører, starte biler osv.

Det viser seg at det er en sårbarhet i mange kamera-apper på Android-mobiler. Konsulentselskapet Checkmarx har sluppet informasjon og PoC for tilgang til kamera, mikrofon og lokasjonsdata via tredjeparts programvare kun med adgang til lagringsresursene på mobilen. PoCen viser hvordan man via en annen applikasjon kan styre tilgang til telefonens ressurser med enkle kall, og med disse ta opp og hente ned bilder, video og lyd uten at brukeren legger merke til det. Google ble informert om svakheten tidligere i sommer og oppdaterte kameraprogramvaren i Android i juli. Så langt har Google og Samsung fikset problemet, men det gjenstår å se hvor fort andre leverandører tetter hullet..

Under CyberwarCon-konferansen i Arlington, Virginia, formidlet Microsofts Ned Moran at den Iranske hackergruppen APT33 (også kjent som Holmium, Refined Kitten og Elfin) ser ut til å ha oppskalert aktivitetene mot industrielle kontrollsystemer. Moran sa at passord-spray-angrep har økt kraftig i intensitet mot cirka 2000 bedrifter. Han mener også det ser ut til at gruppen går aktivt inn for å befeste seg for å kunne gjøre større fysisk skadeverk via cyber-angrep. I foredraget nevnte han hverken hvilke systemer eller bedrifter som er berørt, men at de leverer kontrollsystemer til olje-, strøm- og foredlingsbransjen.

I november ble tre personer i USA siktet for spionasje til fordel for Saudi Arabia, to tidligere ansatte i Twitter og én ekstern. De er tiltalt for spionasje mot personer som har uttrykt kritikk mot den saudiarabiske kongefamilien. "Den foreløpige siktelsen går ut på at saudiarabiske agenter har gått inn i Twitters interne systemer for å hente ut personlig informasjon om kjente saudiarabiske kritikere og tusenvis av andre Twitter-brukere", sa den amerikanske statsadvokaten David Anderson.

16. og 17. november ble det gjennomført en hacker-konkurranse kalt Tanfu Cup i Chengdu, Kina. Konferansen er kun for kinesere, etter at landets borgere fikk forbud mot å delta i internasjonale hacker-konkurranser i 2018. I konkurransen lyktes det deltakerne å kompromittere blant annet Edge, Chrome, Safari, D-Link routere, Office 365 og Adobe Reader.

En gruppe forskere har vist at Intel og STMicroelectronics TPM (Trusted Platform Module) er sårbar for timing-angrep som i enkelte tilfeller kan brukes til å utlede 256-bit private nøkler som er lagret i TPM. Forskerne klarte å utlede en ECDSA-nøkkel på 4-20 minutter lokalt. Via et raskt nettverk klarte de å finne en VPN-nøkkel på fem timer ved hjelp av rundt 45.000 oppkoblinger. Intel har sluppet oppdateringer som fikser svakheten, mens STMicroelectronics TPM krever ny versjon av chipen.

Trend Micro opplyste denne måneden at en ansatt hadde solgt personlige data tilhørende ca. 100.000 kunder til svindlere som ringer opp og utgir seg for å være ulike former for teknisk support og skal "hjelpe" deg med PCen din. Den ansatte er sagt opp og er under politietterforskning.

I november håndterte vi 204 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 261 i oktober. Denne måneden er det forskjellige ondsinnede utvidelser til Chrome-nettleseren samt graving etter kryptovaluta som dominerer hendelsene.

Det var 388 bekreftede DDoS-angrep denne måneden, opp fra 306 i oktober. 151 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.85 Gbps og varte typisk i 42 minutter. Det største angrepet observert i denne perioden var på 50 Gbps og varte i 11 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

onsdag 6. november 2019

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2019

Demant, en av verdens største produsenter av høreapparater, ble i slutten av september rammet av et cyberangrep. Dansk presse har beskrevet angrepet som løsepengevirus, uten at selskapet har bekreftet dette. Selskapet anslår et inntektstap på over 800 millioner NOK. Det gjør angrepet til et av de dyreste som er kjent, inkludert cyberangrepet mot Norsk Hydro tidligere i år. Demant opplyste etter angrepet at de forventet at alle forretningskritiske systemer skulle være gjenopprettet i løpet av to til tre uker.

Pilz, en tysk gigant innen industriautomasjon med kontorer i over 70 land, har også blitt truffet hardt av et løsepengevirus. 13. oktober så de seg nødt til å ta ned alle servere, arbeidsstasjoner og hele nettverket for å unngå spredning og ytterligere skade. Deler av tjenestene deres, inkludert e-post, ble skrudd på igjen 21. oktober.

Senere i måneden ble også Pitney Bowes rammet av løsepengevirus. Selskapet hevdet at angrepet ikke berørte kundedata, men flere av deres tjenester ble utilgjengelige. Også flere sykehus i USA og Australia ble rammet av løsepengevirus og ble nødt til å avlyse operasjoner, fordi viktige systemer var rammet. Denne måneden var dessverre altså preget av en mengde utpressingsangrep, og det ser ikke ut til at denne trenden kommer til å endre seg med det første.

Crowdstrike har gitt ut en interessant rapport om en avansert og langvarig industrispionasje-operasjon mot produsenter og leverandører til flysektoren over hele verden. Operasjonen skal være iscenesatt av Kinas Ministry of State Security, og formålet skal ha vært å gjøre Kina i stand til å bygge sitt eget fly, C919, uten ekstern hjelp. Operasjonen skal ha pågått siden 2010.

17. oktober ble Dagbladets nettsider tatt ned i over tre timer etter at noen skaffet seg tilgang til nettsiden og publiserte uønsket innhold. Senere identifiserte politiet en antatt gjerningsperson i saken som viste seg å være en ungdom bosatt utenfor Oslo. Rune Skjold, seksjonssjef for finans- og spesialetterretning i Oslo politidistrikt sier i en uttalelse til NRK at politiet har gjort beslag av ungdommens datautstyr og vil etterforske saken videre. Politiet mistenker at den mistenkte skal ha fått tilgang til nettsidene ved at kritiske passord har havnet på avveie.

FireEye melder at hackere ofte bruker falske meldinger om oppdateringer for nettlesere for å infisere større bedrifter. Meldingene dukker opp som pop-ups i nettleseren og påstår at den må oppdateres. Dersom brukeren blir lurt til å laste ned den falske oppdateringen, installeres forskjellig malware. Dersom PCen står i en større bedrift, tar også angriperne noen ganger manuell kontroll for å installere ransomware på flere av maskinene i det interne nettverket ved hjelp av Windows-kommandoen PSExec.

En  gruppering har fått tilgang til sikkerhetsselskapet Avast sin interne infrastruktur gjennom en kompromittert ansatt-konto på deres VPN. Dette er andre gangen noen har kompromittert Avast for å manipulere CCleaner som et ledd i et forsyningskjedeangrep. Kina mistenkes for å stå bak begge angrepene. CCleaner er et forholdsvis mye brukt program, og blir brukt av angriperne som et brohode inn i forskjellige organisasjoner.

Microsoft opplyste at Gruppen Phosphorus, med antatt iransk tilknytning, i perioden august til september har gjort forsøk på å skaffe seg tilgang til private Microsoft sky-kontoer tilhørende journalister, valgmedarbeidere og eksil-iranere. Kontoene ble overtatt ved å få tak i flest mulig opplysninger om ofrene og resette passordene ved hjelp av passord-spørsmål. Målet med kampanjen er sannsynligvis politisk påvirkning.

NSA og GCHQ melder at den russiske APTen Turla (del av den russiske militære utenlandsetterretningen GRU) har tatt i bruk infrastrukturen til en annen gruppe, APT34/Oilrig/Crambus, som er knyttet til Iran. Oilrig sine C2 servere ser ut til å ha blitt kompromittert av Turla, og leverer nå deres malware til infiserte klienter. 35 land skal ha blitt rammet av operasjonen. Ved å bruke Iransk infrastruktur, kan Russland lettere benekte kjennskap til operasjonene.

Facebook har levert et søksmål mot det israelske firmaet NSO Group etter deres bruk av en null-dags sårbarhet i WhatsApp for å overvåke 1400 advokater, journalister, diplomater og politiske dissidenter på vegne av en nasjonalstat. Dagen etter at søksmålet ble levert, slettet Facebook kontoene til ansatte i det israelske selskapet.

I oktober håndterte vi 261 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 452 i september. I september påvirket en mengde PCer med programvare PremierOpinion statistikken. Denne måneden har denne aktiviteten avtatt, men til gjengjeld har en mengde installasjoner av den ondsinnede nettleser-utvidelsen “Lnkr Adware” tatt over.

Det var 306 bekreftede DDoS-angrep denne måneden, opp fra 202 i september. 134 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.67 Gbps og varte typisk i 20 minutter. Det største angrepet observert i denne perioden var på 45 Gbps og varte i 19 minutter. Fire av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

fredag 4. oktober 2019

Oppsummering av nyhetsbildet innen datasikkerhet for september 2019

Sikkerhetsforskere har oppdaget en angrepsmetode for SIM-kapring. Angrepet går ut på at det sendes en SMS med en skjult STK-kommando (SIM Toolkit) som kan utnytte applikasjonen "S@T browser". Telenor Norges SIM-kort (UICC) er ikke sårbare for denne typen angrep. Angrepet er avhengig av at "S@T-browser" finnes på SIM-kortet, noe som ikke er tilfellet på våre kort. I Vest-Europa er det også få operatører som fortsatt bruker denne eldre teknologien.

Senere i måneden ble enda en SIM-sårbarhet offentliggjort kalt "WIBattack". Svakheten benytter seg av WIB (Wireless Internet Browser), som er programvare som ligger i noen SIM-kort. Den utnyttes ved å sende spoofede meldinger til SIM-kortet. Telenor Norge har WIB på noen SIM-kort. Så langt vi har kunnet fastslå i samarbeid med vår leverandør, er det imidlertid kun kort produsert i tidsrommet 2002 til 2010 som har denne sårbarheten. Det er relativt få av disse som fortsatt er aktive, og vi arbeider nå med videre håndtering av dem. Telenor har i tillegg SMS hjem-ruting og restriksjoner på sending av OTA SMS, noe som ytterligere reduserer sannsynligheten for utnyttelse av sårbarheten – og lignende sårbarheter.

I september var det nok en gang en bølge med telefonsvindel mot Norge, spesielt mange oppringninger kommer fra Algerie og Seychellene. Vi anbefaler å ikke ta telefonen dersom man ikke kjenner igjen nummeret som ringer, selv om dette ikke koster penger. Det er også viktig å ikke ringe tilbake igjen til slike numre, da dette kan koste penger. Det pågår også andre typer svindel der oppringere påstår å ringe fra Microsoft, banker og andre kredittinstitusjoner.

DNS-over-HTTPS vil snart være på som standard i Firefox. CloudFlare er valgt som DNS-leverandør initielt. Nettleseren vil håndtere DNS-oppslag kryptert på applikasjonsnivå, og i de fleste tilfeller overstyre operativsystemets DNS-innstillinger. Dersom nettleseren håndterer DNS-oppslag via DoH, vil ISPer få mindre mulighet for innsikt i trafikken og muligheter for å beskytte sine brukere ved hjelp av DNS-filter. Mozilla påpeker at det vil foreligge mekanismer som oppdager at foreldrekontroll eller sikkerhetsfiltre er i bruk, og deaktiverer DoH i slike tilfeller.

En ny boot-rom exploit med kallenavnet Checkm8 har blitt publisert for litt eldre iPhone-telefoner. Sårbarheten gjelder iPhone 4S til og med iPhone X. Svakheten innebærer at en angriper med fysisk tilgang til en telefon kan oppnå root-rettigheter til enheten. Etter reboot av enheten vil denne tilgangen forsvinne. Feilen ligger i hardware og skal være umulig å patche. Vi anbefaler å holde fysisk kontroll over telefonen sin dersom den er sårbar, spesielt dersom en reiser til utlandet.

Den iranske grupperingen "Cobalt Dickens" har siden juli sendt phishing-eposter til ansatte ved 60 universiteter i USA, Canada, Storbritannia, Sveits og Australia. Phishing-epostene inneholder en videresending til en forfalsket nettside. Det antas av SecureWorks at rundt 8% av ca 100000 angrepne konti har blitt kompromittert. "Fangsten" av informasjon består i ca 32 terrabyte med forskningsdata.

Massachusetts General Hospital har sendt ut info til 10.000 pasienter, som deltok i en studie ved nevrologisk avdeling, om at et datainnbrudd kan ha eksponert deres lagrede genetiske informasjon. Dette inkluderer blant annet pasientenes eventuelle diagnoser, genetisk informasjon, medisinske historie og biologiske markører.

Denne måneden vant Google en sak i The European Court of Justice som slo fast at Google ikke trenger å følge GDPRs bestemmelser om "right to be forgotten" i et globalt bilde. Dermed må alle data fjernes innenfor EUs grenser om man velger å "bli glemt" av Google, men utenfor EU gjelder ikke de samme reglene.

Mot slutten av måneden sendte Microsoft ut en hasteoppdatering for Internet Explorer som beskytter brukerne mot en svakhet som gjør at angripere kan kjøre ekstern kode hos brukeren. Svakheten ble allerede utnyttet til aktive angrep. Svakheten gjorde at angriperen kunne oppnå samme rettigheter som brukeren selv. Vi anbefaler alle å slutte å bruke Internet Explorer, men heller benytte seg av moderne nettlesere som FireFox, Edge eller Chrome.

I september håndterte vi 452 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 135 i august. Den store økningen i antall hendelser skyldes i hovedsak en mengde PCer som har hatt programvare PremierOpinion installert. Denne programvaren installerer et eget root-sertifikat på PCen og overvåker trafikk som ellers skulle vært kryptert.

Det var 202 bekreftede DDoS-angrep denne måneden, ned fra 284 i august. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.90 Gbps og varte typisk i 38 minutter. Det største angrepet observert i denne perioden var på 11.6 Gbps og varte i én timer. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

onsdag 4. september 2019

Oppsummering av nyhetsbildet innen datasikkerhet for august 2019

Google Project Zero meldte om en serie med iOS 0-dags svakheter funnet på en rekke kompromitterte nettsider. Nettstedene brukte fem forskjellige sårbarhets-kjeder satt sammen fra 14 svakheter for å kompromittere telefonene uten at brukeren merket noe. Tusenvis av enheter fikk installert overvåkingsprogramvare over en periode på to år. Google meldte fra om svakhetene til Apple og disse ble fikset i februar med iOS versjon 12.1.4. TechCrunch meldte senere at Kina brukte de mye omtalte svakhetene i iPhones til å installere malware for å overvåke Uighurer, en folkegruppe som blant annet har tilhold i Kina.

Google har tatt for seg den delen av angrepsflaten til iPhone som kan nås via mobilnettverket og der brukeren ikke trenger å gjøre noe for å bli kompromittert. Dette dreier seg om SMS, MMS, Visual Voicemail, e-post og iMessage. Denne typen svakheter har ved flere tilfeller blitt brukt av avanserte statlig aktører mot iPhoner. De mest alvorlige svakhetene ble funnet i iMessage, og gjorde at angripere kunne hente informasjon fra mobiltelefoner. Google fant til sammen 10 svakheter og rapporterte disse til Apple. Alle ble fikset i iOS versjon 12.4.

Under konferansen Black Hat i Las Vegas annonserte Ivan Krstic, lederen for Apple Security Engineering and Architecture, at Apple nå revolusjonerer sitt program for sårbarhetsrapportering. Sikkerhetsforskere som finner en svakhet som lar en angriper få fullstendig, vedvarende og fjernstyrt kontroll over et system uten handling fra slutt-brukeren mottar en dusør på hele 1 million amerikanske dollar. Alle svakheter som avdekkes i beta-platformen øker også dusøren med 50%, dermed kan man potensielt tjene 1.5 millioner amerikanske dollar for å melde inn én enkelt svakhet.

Sikkerhetsforskere har oppdaget en trojan dropper-modul i den populære Android-applikasjonen CamScanner. Dette er i utgangspunktet en legitim applikasjon som har blitt lastet ned over 100 millioner ganger. Skadevaren ble innført da utviklerne av applikasjonen la til et kompromittert bibliotek for å vise annonser. Dropper-trojaneren sørger for å infisere enheten videre ved å laste ned og installere annen skadevare. Utviklerne har gitt ut en ny versjon som fjerner det kompromitterte biblioteket, men applikasjonen ble også midlertidig fjernet fra Play Store. Den ondsinnede modulen ble oppdaget av Igor Golovin og Anton Kivva som arbeider for Kaspersky.

Under Sikkerhetsfestivalen i Lillehammer ble det på mandag informert om et nytt prosjekt som har fått navnet Kommune CSIRT (Computer Security Incident Response Team). Prosjektet går ut på å opprette et eget sikkerhetssenter for norske kommuner, ettersom de ikke er godt nok rustet mot hacking og andre digitale sårbarheter. Oppland fylkeskommune, Lillehammer- og Gjøvik kommune blir prosjekteiere og bidrar med til sammen 8 millioner kroner. Prosjektleder Jan Tore Meren sier i en uttalelse av nettkriminalitet og IKT-sikkerhet har blitt et stadig økende problem for kommunene. Senteret skal driftes fra innlandet, ettersom de har utviklet en bred kompetanse innen IKT-sikkerhet over flere år.

Hittil i år har det kommet en rekke forsyningskjede-angrep gjennom åpen kildekode-programvare, og dette ser ikke ut til å avta. Mandag ble det avslørt en ny bakdør i 11 biblioteker tilgjengelige i RubyGems-pakkebrønnen. Her ble det blant annet avdekket at koden inneholdt en kryptominer. Denne uken ble det også meldt om svakheter i det populære verktøyet Webmin. Prosjekter for åpen kildekode har ofte hundrevis av utviklere, der mange er anonyme. Ny kildekode blir sjekket av flere før den blir lagt til, men ikke alle bakdører er like lette å oppdage.

Firmaet Suprema står bak diverse biometri-systemer som fingeravtrykk og ansiktsgjenkjenning for autentisering. Disse brukes blant annet i høysikkerhets dørlåser av firmaer som britiske banker, industri og forsvaret. Firmaet hadde åpne databaser tilgjengelig på Internett som inneholdt biometri-informasjon, brukernavn, passord osv. for over 1 million brukere. Dette er spesielt problematisk med biometrisk informasjon, siden denne ikke endrer seg.

Ved utstedelse av EV (Extended Validation)-sertifikater må mottakeren av sertifikatet bevise at han representerer et spesifikt firma. Nettleseren viser så navnet på dette firmaet i nettleseren. For rundt et år siden ble Extended Validation-sertifikater usynlige i Safari. Det samme vil skje i Google Chrome og Firefox om kort tid. Det virker dermed som om det er liten nytte i å benytte seg av EV-sertifikater framover.

I august håndterte vi 135 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 69 i juni. Antall hendelser har altså tatt seg opp igjen etter sommerferien.

Det var 284 bekreftede DDoS-angrep denne måneden, opp fra 204 i juli. 84 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.23 Gbps og varte typisk i 21 minutter. Det største angrepet observert i denne perioden var på 91.4 Gbps og varte i fire timer. Tre av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

 
>