Oppsummering av nyhetsbildet innen datasikkerhet for november 2019

Nasjonalt Cybersikkerhetssenter, en del av Nasjonal sikkerhetsmyndighet (NSM) åpnet i starten av november og skal bidra til å styrke den digitale sikkerheten i Norge. I tillegg til NSM, vil også en rekke samarbeidspartnere fra både privat og offentlig sektor være representert på senteret, som er lokalisert på Havnelageret i Oslo sentrum.

En ny lov som omhandler myndigheters rett til å slå av Internett har trådt i kraft i Russland. For å muliggjøre en slik avkobling fra internett, er det påkrevd at trafikk fra samtlige ISPer rutes gjennom servere eid og håndtert av landets telekomregulator. Kritikere og eksperter på russisk politikk, menneskerettigheter og personvern mener derimot at dette kun er en lov for å muliggjøre overvåking av russiske borgere og sensur av utenlandske nettsteder.

En svakhet har blitt avdekket i smart-høyttalere (Google Assistant, Alexa og Siri) samt andre enheter som benytter MEMS-mikrofoner for å utføre stemmegjenkjenning. Ved å variere lysintensiteten til en laserstråle rettet mot enheten, kan man simulere en stemme og dermed kontrollere enhetene. Dette kan for eksempel benyttes til å låse opp dører eller bekrefte kjøp på nettsteder. Forskerne klarte å utføre denne typen angrep på 110 meters avstand og samarbeider nå med produsentene for å forebygge og forhindre utnyttelse av svakheten. For å motvirke dette bør en absolutt ikke gi smarthøyttalere tilgang til å åpne dører, starte biler osv.

Det viser seg at det er en sårbarhet i mange kamera-apper på Android-mobiler. Konsulentselskapet Checkmarx har sluppet informasjon og PoC for tilgang til kamera, mikrofon og lokasjonsdata via tredjeparts programvare kun med adgang til lagringsresursene på mobilen. PoCen viser hvordan man via en annen applikasjon kan styre tilgang til telefonens ressurser med enkle kall, og med disse ta opp og hente ned bilder, video og lyd uten at brukeren legger merke til det. Google ble informert om svakheten tidligere i sommer og oppdaterte kameraprogramvaren i Android i juli. Så langt har Google og Samsung fikset problemet, men det gjenstår å se hvor fort andre leverandører tetter hullet..

Under CyberwarCon-konferansen i Arlington, Virginia, formidlet Microsofts Ned Moran at den Iranske hackergruppen APT33 (også kjent som Holmium, Refined Kitten og Elfin) ser ut til å ha oppskalert aktivitetene mot industrielle kontrollsystemer. Moran sa at passord-spray-angrep har økt kraftig i intensitet mot cirka 2000 bedrifter. Han mener også det ser ut til at gruppen går aktivt inn for å befeste seg for å kunne gjøre større fysisk skadeverk via cyber-angrep. I foredraget nevnte han hverken hvilke systemer eller bedrifter som er berørt, men at de leverer kontrollsystemer til olje-, strøm- og foredlingsbransjen.

I november ble tre personer i USA siktet for spionasje til fordel for Saudi Arabia, to tidligere ansatte i Twitter og én ekstern. De er tiltalt for spionasje mot personer som har uttrykt kritikk mot den saudiarabiske kongefamilien. "Den foreløpige siktelsen går ut på at saudiarabiske agenter har gått inn i Twitters interne systemer for å hente ut personlig informasjon om kjente saudiarabiske kritikere og tusenvis av andre Twitter-brukere", sa den amerikanske statsadvokaten David Anderson.

16. og 17. november ble det gjennomført en hacker-konkurranse kalt Tanfu Cup i Chengdu, Kina. Konferansen er kun for kinesere, etter at landets borgere fikk forbud mot å delta i internasjonale hacker-konkurranser i 2018. I konkurransen lyktes det deltakerne å kompromittere blant annet Edge, Chrome, Safari, D-Link routere, Office 365 og Adobe Reader.

En gruppe forskere har vist at Intel og STMicroelectronics TPM (Trusted Platform Module) er sårbar for timing-angrep som i enkelte tilfeller kan brukes til å utlede 256-bit private nøkler som er lagret i TPM. Forskerne klarte å utlede en ECDSA-nøkkel på 4-20 minutter lokalt. Via et raskt nettverk klarte de å finne en VPN-nøkkel på fem timer ved hjelp av rundt 45.000 oppkoblinger. Intel har sluppet oppdateringer som fikser svakheten, mens STMicroelectronics TPM krever ny versjon av chipen.

Trend Micro opplyste denne måneden at en ansatt hadde solgt personlige data tilhørende ca. 100.000 kunder til svindlere som ringer opp og utgir seg for å være ulike former for teknisk support og skal "hjelpe" deg med PCen din. Den ansatte er sagt opp og er under politietterforskning.

I november håndterte vi 204 alvorlige hendelser i forbindelse med tjenesten Sikkerhetsovervåking, ned fra 261 i oktober. Denne måneden er det forskjellige ondsinnede utvidelser til Chrome-nettleseren samt graving etter kryptovaluta som dominerer hendelsene.

Det var 388 bekreftede DDoS-angrep denne måneden, opp fra 306 i oktober. 151 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 1.85 Gbps og varte typisk i 42 minutter. Det største angrepet observert i denne perioden var på 50 Gbps og varte i 11 minutter. Seks av TSOCs bedriftskunder ble utsatt for angrep denne måneden.