Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 4. oktober 2019

Oppsummering av nyhetsbildet innen datasikkerhet for september 2019

Sikkerhetsforskere har oppdaget en angrepsmetode for SIM-kapring. Angrepet går ut på at det sendes en SMS med en skjult STK-kommando (SIM Toolkit) som kan utnytte applikasjonen "S@T browser". Telenor Norges SIM-kort (UICC) er ikke sårbare for denne typen angrep. Angrepet er avhengig av at "S@T-browser" finnes på SIM-kortet, noe som ikke er tilfellet på våre kort. I Vest-Europa er det også få operatører som fortsatt bruker denne eldre teknologien.

Senere i måneden ble enda en SIM-sårbarhet offentliggjort kalt "WIBattack". Svakheten benytter seg av WIB (Wireless Internet Browser), som er programvare som ligger i noen SIM-kort. Den utnyttes ved å sende spoofede meldinger til SIM-kortet. Telenor Norge har WIB på noen SIM-kort. Så langt vi har kunnet fastslå i samarbeid med vår leverandør, er det imidlertid kun kort produsert i tidsrommet 2002 til 2010 som har denne sårbarheten. Det er relativt få av disse som fortsatt er aktive, og vi arbeider nå med videre håndtering av dem. Telenor har i tillegg SMS hjem-ruting og restriksjoner på sending av OTA SMS, noe som ytterligere reduserer sannsynligheten for utnyttelse av sårbarheten – og lignende sårbarheter.

I september var det nok en gang en bølge med telefonsvindel mot Norge, spesielt mange oppringninger kommer fra Algerie og Seychellene. Vi anbefaler å ikke ta telefonen dersom man ikke kjenner igjen nummeret som ringer, selv om dette ikke koster penger. Det er også viktig å ikke ringe tilbake igjen til slike numre, da dette kan koste penger. Det pågår også andre typer svindel der oppringere påstår å ringe fra Microsoft, banker og andre kredittinstitusjoner.

DNS-over-HTTPS vil snart være på som standard i Firefox. CloudFlare er valgt som DNS-leverandør initielt. Nettleseren vil håndtere DNS-oppslag kryptert på applikasjonsnivå, og i de fleste tilfeller overstyre operativsystemets DNS-innstillinger. Dersom nettleseren håndterer DNS-oppslag via DoH, vil ISPer få mindre mulighet for innsikt i trafikken og muligheter for å beskytte sine brukere ved hjelp av DNS-filter. Mozilla påpeker at det vil foreligge mekanismer som oppdager at foreldrekontroll eller sikkerhetsfiltre er i bruk, og deaktiverer DoH i slike tilfeller.

En ny boot-rom exploit med kallenavnet Checkm8 har blitt publisert for litt eldre iPhone-telefoner. Sårbarheten gjelder iPhone 4S til og med iPhone X. Svakheten innebærer at en angriper med fysisk tilgang til en telefon kan oppnå root-rettigheter til enheten. Etter reboot av enheten vil denne tilgangen forsvinne. Feilen ligger i hardware og skal være umulig å patche. Vi anbefaler å holde fysisk kontroll over telefonen sin dersom den er sårbar, spesielt dersom en reiser til utlandet.

Den iranske grupperingen "Cobalt Dickens" har siden juli sendt phishing-eposter til ansatte ved 60 universiteter i USA, Canada, Storbritannia, Sveits og Australia. Phishing-epostene inneholder en videresending til en forfalsket nettside. Det antas av SecureWorks at rundt 8% av ca 100000 angrepne konti har blitt kompromittert. "Fangsten" av informasjon består i ca 32 terrabyte med forskningsdata.

Massachusetts General Hospital har sendt ut info til 10.000 pasienter, som deltok i en studie ved nevrologisk avdeling, om at et datainnbrudd kan ha eksponert deres lagrede genetiske informasjon. Dette inkluderer blant annet pasientenes eventuelle diagnoser, genetisk informasjon, medisinske historie og biologiske markører.

Denne måneden vant Google en sak i The European Court of Justice som slo fast at Google ikke trenger å følge GDPRs bestemmelser om "right to be forgotten" i et globalt bilde. Dermed må alle data fjernes innenfor EUs grenser om man velger å "bli glemt" av Google, men utenfor EU gjelder ikke de samme reglene.

Mot slutten av måneden sendte Microsoft ut en hasteoppdatering for Internet Explorer som beskytter brukerne mot en svakhet som gjør at angripere kan kjøre ekstern kode hos brukeren. Svakheten ble allerede utnyttet til aktive angrep. Svakheten gjorde at angriperen kunne oppnå samme rettigheter som brukeren selv. Vi anbefaler alle å slutte å bruke Internet Explorer, men heller benytte seg av moderne nettlesere som FireFox, Edge eller Chrome.

I september håndterte vi 452 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, opp fra 135 i august. Den store økningen i antall hendelser skyldes i hovedsak en mengde PCer som har hatt programvare PremierOpinion installert. Denne programvaren installerer et eget root-sertifikat på PCen og overvåker trafikk som ellers skulle vært kryptert.

Det var 202 bekreftede DDoS-angrep denne måneden, ned fra 284 i august. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.90 Gbps og varte typisk i 38 minutter. Det største angrepet observert i denne perioden var på 11.6 Gbps og varte i én timer. To av TSOCs bedriftskunder ble utsatt for angrep denne måneden.

 
>