Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 6. november 2015

Oppsummering av nyhetsbildet for oktober 2015

I oktober hadde vi nesten en dobling i hendelser håndtert gjennom tjenesten Sikkerhetsovervåking sammenlignet med september; 127 hendelser, mot 68 i september. Denne måneden fortsatte med maskiner infisert av trojanere som Dyre, Zeus og Upatre. Noen blir dessverre også fortsatt lurt til å installere utpressingsprogramvaren CryptoWall. Vi så også flere iPhone-enheter som var infisert med spionprogrammet XCodeGhost.

Antall håndterte DDoS-angrep gikk noe opp til 202 i oktober, mot 191 i september. Reflection-angrep basert på DNS var det mest vanlige, med NTP og Chargen på de neste plassene. Vi ser nå også angrep basert på den gamle routing-protokollen RIPv1, noe som er relativt nytt. Gjennomsnittlig angrepsstørrelse var på 4.7Gbps og det største angrepet var på 32.8Gbps! Flere av TSOCs betalende DDoS-kunder ble angrepet i perioden.

Som i september, fikk Apple også denne måneden problemer med stor spredning av malware til iOS-enheter. Skadevaren YiSpecter omtales som den første skadevaren som infiserer ikke-jailbreakede iOS-enheter. Skadevaren installeres via Apples "Enterprise App Provisioning framework" - et rammeverk som lar bedrifter installere apper på ansattes mobiler uten å måtte legge dem åpent ut i App Store. Dette gjør det mulig for skadevaren å omgå screeningen som Apple gjør før publisering. Malwaren bruker også API-kall som normalt bare er tilgjengelig for Apple. Skadevaren var signert med et gyldig utviklersertifikat og lot seg dermed installere som om den var legitim programvare. Skadevaren så ut til å rette seg mot brukere i Kina og Taiwan. I siste versjon av iOS har Apple nå lagt inn en ekstra sperre for å installere apper via denne teknikken. Brukeren må nå først slå på muligheten for slik installasjon i telefonens innstillinger.

I starten av Oktober ble det avdekket enda flere kritiske svakheter i Android. Svakhetene fikk navnet StageFright 2.0, siden de finnes i det samme biblioteket som de opprinnelige StageFright-svakhetene. Svakheten skal være i forbindelse med tolkning av metadata til lyd og videofiler, slik at man trenger ikke nødvendigvis åpne filene for å bli utnyttet. Google patchet svakhetene 7. oktober, men underleverandører som Samsung og LG bruker nok noe tid på å få dem ut til telefoner.

14. oktober slapp Adobe en oppdatering til Flash som utbedret en rekke svakheter. Samme dag ble det også kjent at trusselaktøren PawnStorm/APT28 brukte en zero-day svakhet i Adobe Flash til å angripe utenriksdepartementer rundt i verden. Oppdateringen til Flash rettet ikke svakheten som hadde blitt benyttet. Angrepsmetoden skal ha vært målrettede phishing-mail som inneholdt linker til exploit-koden. Adobe patchet svakheten allerede 17. oktober. Senere i måneden kom det også fram at PawnStorm forsøkte å få tilgang til nettverket brukt av undersøkelseskommisjonen etter MH17-flyulykken.

Hashing-algoritmen SHA-1 er mye brukt i blant annet SSL-sertifikater på nettet. Den har kjente svakheter og det planlegges å slutte å bruke den i januar 2017. Noen forskere mener nå at dette kan være for lenge til og at algoritmen snart lett kan knekkes. Det anbefales å fornye alle sertifikater som bruker SHA-1.

NetCraft rapporterte at det i løpet av en periode på 30 dager ble utstedet hundrevis av SSL-sertifikater til tvilsomme/falske domener som benyttes til phishing og svindel. Slepphendt håndtering av regelverket for utstedelse av sertifikater pekes på som en medvirkende årsak til at dette skjer, og utstederen CloudFlare/Comodo fremheves som verstingen. Sertifikatene benyttes for å gi phishingsider og lignende høyere troverdighet overfor besøkende. Denne utviklingen kan føre til at signering av nettsteder snart ikke kan tilleges særlig vekt for å identifisere hvem som står bak dem.

I september avdekket Google at Symantec hadde utstedet flere falske sertifikater for Google-domener. Google har nå avdekket at problemet er større enn først antatt. Symantec har også utstedt 164 andre falske sertifikater for reelle domener. Google forlanger nå at Symantec begynner å legge ut en offentlig logg over alle domener de lager sertifikater for. Symantec må også leie inn en tredjepart for å gå igjennom sikkerheten. Symantec gikk med på kravene til Google.

En tenåring hacket seg inn i CIA-sjefens private AOL e-postkonto. Der hentet han ut flere personlige dokumenter, blant annet et skjema som var fyllt ut i forbindelse med sikkerhetsklarering. Hacket skal ha blitt utført ved sosial manipulasjon av mobiloperatøren og AOL. Hackeren ga seg ut for å være en ansatt og lurte til seg informasjon han trengte for å nullstille passordet.


Ingen kommentarer:

 
>