Nämnvärt

DNSChanger - Game Over 8'e Mars

2012-02-19T19:42:04Z

DNSChanger har de senaste åren varit en av de absolut vanligaste trojanerna ute på internet. En av nyckelfunktionerna i trojanen är att klientens DNS-serverinformation pekas om. När amerikanska myndigheter förra året slog till mot personerna bakom denna ljusskygga verksamhet ersattes de skadliga DNS-servrarna med legitima sådana så användare som var infekterade kunde fortsätta surfa på internet. Nu kommer dock dessa servrar förmodligen att stängas ner den 8'e Mars. Detta kommer leda till att infekterade maskiner inte kommer kunna slå upp DNS-information och kommer då inte heller kunna användas för internet. Uppskattningsvis finns det fortfarande miljontals klienter som är smittade.

Mer information:

http://krebsonsecurity.com/tag/dns-changer-working-group/

http://reviews.cnet.com/8301-13727_7-57322316-263/fbi-tackles-dnschanger-malware-scam/

För den mer avancerade användaren kan vi rekommendera följande länkar:

http://nlnetlabs.nl/projects/dnssec-trigger/

http://www.opendns.com/

CERT-SE:s veckobrev v.7

2012-02-17T15:39:00Z

Nyheter i veckan

Testa vår nya kartapplikation vilken visualiserar infekterade datorer i Sverige

https://www.cert.se/megamap

DNSChanger, har du koll på dina DNS-data?

http://www.dslreports.com/shownews/March-8-DDay-for-DNSChanger-Infected-PCs-118413

Svagheter hittat i hur X.509 certifikat genereras

http://podcasts.infoworld.com/d/security/crypto-experts-call-rsa-certificates-flawed-186480

Mozilla på krigsstigen mot CA

http://www.net-security.org/secworld.php?id=12403

Apple får svara på frågor vad för användardata en app får skicka

news.cnet.com/8301-27080_3-57378450-245/lawmakers-ask-apple-to-explain-iphone-app-privacy-policies/

Apples nästa version av OSX ska få bättre säkerhet

http://www.net-security.org/secworld.php?id=12417

Anonymous sköt ned NASDAQs webbsida

http://www.informationweek.com/news/security/attacks/232600975

Iran blockar krypterad trafik

http://arstechnica.com/tech-policy/news/2012/02/iran-reportedly-blocking-encrypted-internet-traffic.ars

FBI letar verktyg för att monitorera sociala nätverk

http://images.infoworld.com/d/security/fbi-seeks-social-media-monitoring-tool-186392

6 sätt att skydda sin organisation mot drive-by-downloads

http://images.infoworld.com/d/security/6-defenses-against-drive-downloads-186226

Cryptome hackat

http://www.f-secure.com/weblog/archives/00002313.html

Stratfor varnar för phishing-mail till sina kunder

http://www.net-security.org/malware_news.php?id=1996

CERT-SE i veckan

SR12-030 Adobe - Kritiska sårbarheter i Flash
SR12-029 Cisco - Nexus-familjen sårbar
SR12-028 Oracle - Kritiska sårbarheter i JDK, JRE och JavaFX
SR12-027 Microsoft - Säkerhetsbulletiner för februari 2012
SR12-026 Mozilla - Firefox, Thunderbird m.fl. sårbara

Vikten av att vara förberedd vid en överbelastningsattack

Ny tjänst från CERT-SE visar infekterade datorer

Microsoft släpper uppdateringar på tisdag

Vikten av att vara förberedd vid en överbelastningsattack

2012-02-16T13:20:00Z

Ämnet överbelastningsattacker har på senaste tiden aktualiserats. Som organisation är det av stor vikt att man är väl förberedd om man skulle bli utsatt för en attack. CERT-SE har tidigare skrivet en enkel manual vad man kan göra för att vara förberedd.

Mer information finns här:

https://www.cert.se/incidenthantering/steg-1-foerebygga/foerebygga-ddos

Ny tjänst från CERT-SE visar infekterade datorer

2012-02-16T07:28:08Z

CERT-SE samlar kontinuerligt in data över illasinnade datorer i Sverige och filtrera ut de som tillhör myndigheter, kommuner, landsting och andra samhällsviktga organisationer. Då en illasinnad dator upptäcks skickar CERT-SE ut ett e-post till organisationen där de uppmanas att undersöka om deras nät innehåller exempelvis en Conficker-infekterad maskin.

Med hjälp av den data som samlas in får vi en bra överblick över skräpet på internet i Sverige. För att göra denna data tillgänglig och lättare att förstå skapade vi en kartapplikation vilken visualiserar datat.

Testa vår nya kartapplikation:

https://www.cert.se/megamap

Microsoft släpper uppdateringar på tisdag

2012-02-11T13:43:51Z

Denna uppdatering innehåller 9 rättningar, varav 4 bedöms som kritiska och fem som viktiga.

http://technet.microsoft.com/en-us/security/bulletin/ms12-feb

CERT-SE:s veckobrev v.6

2012-02-10T13:41:04Z

Nyheter i veckan

Rapport om säkerhetshot från Sophos 2012
http://isc.sans.edu/diary.html?storyid=12526

Diskussioner om CA:s trovärdighet
http://www.securelist.com/en/blog/208193386/When_Certificate_Authority_Business_Models_and_Vendor_Certificate_Policies_Clash

Små DDoS-attacker kan vara svårare än stora
http://feedproxy.google.com/~r/HelpNetSecurity/~3/AAnCILdWw9M/secworld.php

Path laddar upp hela din iPhones adressbok till sina servrar
http://mclov.in/2012/02/08/path-uploads-your-entire-address-book-to-their-servers.html

Knäckta krypton gör satellittelefoner sårbara för avlyssning
http://arstechnica.com/business/news/2012/02/crypto-crack-makes-satellite-phones-vulnerable-to-eavesdropping.ars

Lärdomar från en ett år gammal sårbarhet
http://www.breakingpointsystems.com/community/blog/netsupport-manager-vulnerability/

"Google Wallets" pinkoder är enkla att stjäla från enheter
http://www.cybercrimesunit.com/?p=4636

Interpols nya "Cybercrime Innovation Center"
http://www.fastcompany.com/1814963/inside-interpols-new-cybercrime-innovation-center

Ditt botnät är mitt botnät
http://www.cyberwarzone.com/cyberwarfare/pdf-your-botnet-my-botnet-analysis-botnet-takeover

En Alla hjärtans dag-present till SCADA-företagen
http://arstechnica.com/business/news/2012/02/a-valentines-day-present-for-scada-companies-new-exploit-tools.ars

CERT-SE i veckan

SR12-025 Novell - iPrint sårbart

SR12-024 Google - Chrome uppdaterad

Oracle släpper säkerhetsuppdateringar tisdag 14 februari

Internetkameror en säkerhetsfara?

Oracle släpper säkerhetsuppdateringar tisdag 14 februari

2012-02-10T10:24:41Z

Denna uppdatering kommer att innehålla 14 nya säkerhetsrättningar. Alla dessa sårbarheter som rättas kan utnyttjas av en angripare utan autenticering och kan även användas över ett nätverk utan att användarnamn och lösenord behövs.

http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

Internetkameror en säkerhetsfara?

2012-02-07T15:28:29Z

Mer information:

http://www.bbc.co.uk/news/technology-16919664

CERT-SE:s veckobrev v.5

2012-02-03T13:08:00Z

Nyheter i veckan

SpiderLabs analyserar HOIC (High Orbit Ion Cannon): ett verktyg som används vid överbelastningsattacker
http://blog.spiderlabs.com/2012/01/hoic-ddos-analysis-and-detection.html

Android-telefoner kan läcka känslig information om trådlösa nät, via specialkonstruerade applikationer
http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html

Säkerhetsföretag påstår sig kunna knäcka FileVault 2 på ~40 minuter med hjälp av minnesanalys

http://reviews.cnet.com/8301-13727_7-57369983-263/filevault-2-easily-decrypted-warns-passware

Kristin Paget visade på årets "Shmoocon" hur kreditkort med RFID-chip kan attackeras

http://www.forbes.com/sites/andygreenberg/2012/01/30/hackers-demo-shows-how-easily-credit-cards-can-be-read-through-clothes-and-wallets

"PDF-slides" från ovan presentation

http://www.tombom.co.uk/Paget-shmoocon-credit-cards.pdf (PDF)

S4: Ralph Lagner presenterade sina bevis för att Stuxnet var ämnat för "Natanz" (video)
http://www.digitalbond.com/2012/01/31/langners-stuxnet-deep-dive-s4-video

Google om en ny tjänst som söker efter skadlig kod bland applikationerna på Android Market
http://googlemobile.blogspot.com/2012/02/android-and-security.html

Modifierad variant av botnätet Kelihos/Hlux är tillbaka..
http://www.securelist.com/en/blog/655/Kelihos_Hlux_botnet_returns_with_new_techniques

Verisign utsattes för dataintrång under 2010

http://threatpost.com/en_us/blogs/update-verisign-admits-security-breaches-2010-020212

Verisign uttalar sig själva om intrången

http://verisigninc.com/en_US/news-events/press-room/articles/index.xhtml?artLink=aHR0cHM...

Ökat antal e-postmeddelanden med skadliga .htm-filer bifogade enligt Symantec
http://www.symantec.com/connect/blogs/email-malicious-html-attachments

Infektera någon med skadliga fraktaler inpräntade i skelettet = winning!
http://www.f-secure.com/weblog/archives/00002307.html

CERT-SE i veckan

SR12-023 PHP - Sårbarhet i PHP version 5.3.9
SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server

SR12-021 Apple - Ett flertal sårbarheter i OS X
SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey

SR12-019 VMware - Uppdateringar till ESXi och ESX

SR12-018 HP - Sårbarhet i HP Network Automation

SR12-017 FFmpeg - Ett flertal sårbarheter i FFmpeg

SR12-016 Cisco - IronPort-produkter sårbara

Ny "single-block collision"-attack mot MD5

Malwr.com: Ny webbaserad tjänst för analys av skadlig kod

Färggranna tidslinjer i log2timeline

Ny "single-block collision"-attack mot MD5

2012-01-30T14:04:24Z

Säkerhetsforskaren Marc Stevens har publicerat en forskningsrapport i vilken han redogör för ett nytt sätt att attackera den kryptografiska hashfunktionen MD5.

Rapporten är ett svar på den utmaning som Tao Xie och Dengguo Feng formulerade efter att själva ha attackerat MD5 i en så kallad "single-block collision"-attack.

Information om utmaningen finns här: http://eprint.iacr.org/2010/643

Marc Stevens forskningsrapport finns här: http://marc-stevens.nl/research/md5-1block-collision/md5-1block-collision.pdf (PDF).

Malwr.com: Ny webbaserad tjänst för analys av skadlig kod

2012-01-29T17:32:43Z

Malwr.com är ny webbaserad tjänst för analys av skadlig kod. Projektet stöds av Shadowserver och är baserad på "Cuckoo Sandbox". Som grädde på moset är tjänsten gratis.

Mer information:

http://malwr.com/about/

http://www.cuckoobox.org/

http://www.shadowserver.org/

Färggranna tidslinjer i log2timeline

2012-01-28T19:18:47Z

log2timeline är ett verktyg skrivet i Perl som skapar en tidslinje från filer som kan vara i en mängd olika format, exempelvis Apache-loggfiler, Windows event-loggar, PCAP-filer eller Internet Explorer historik. Tanken är att log2timeline ska kunna extrahera tidsstämplar och viss meta-data från alla sorters olika filer och generera en kombinerad tidslinje. På så sätt kan en händelse som är spridd över många loggfiler lätt analyseras. En rad olika utdataformat stöds också, till exempel CSV och SQLite.

I veckan publicerade SANS Excel-mallar som färgkodar den genererade tidslinjen vilket underlättar analysen.

Mer information:

http://log2timeline.net/

http://computer-forensics.sans.org/blog/2012/01/25/digital-forensic-sifting-colorized-super-timeline-template-for-log2timeline-output-files

CERT-SE:s veckobrev v.4

2012-01-27T13:21:08Z

Nyheter i veckan

Tjänst med mänskliga CAPTCHA-knäckare i låglöneländer testad

http://www.troyhunt.com/2012/01/breaking-captcha-with-automated-humans.html

Dan Kaminsky om sårbarheter i WPS (Wi-Fi Protected Setup)

http://dankaminsky.com/2012/01/26/wps2/

Rapport över de 50 mest illasinnade AS-numrerna på internet

http://hostexploit.com/downloads/viewdownload/7/35.html

Google ger förslag på hur TCP kan snabbas upp

http://googlecode.blogspot.com/2012/01/lets-make-tcp-faster.html?m=1

Konferensrum kan buggas genom att videokonferensutrustningen hackas

https://community.rapid7.com/community/solutions/metasploit/blog/2012/01/23/video-conferencing-and-self-selecting-targets

Lätt att hitta hackers med svart färg på hatten

http://online.wsj.com/article/SB10001424052970203471004577145140543496380.html

DNSSEC-trubbel för nasa.gov

http://www.internetsociety.org/deploy360/blog/2012/01/comcast-releases-detailed-analysis-of-nasa-gov-dnssec-validation-failure/

Lavineffekten testad för olika hashfunktioner

http://secworks.se/2012/01/bittester-av-kryptografiska-hashfunktioner/

Åtalade i USA kan tvingas att lämna över lösenordet till krypterade hårddiskar

http://news.cnet.com/8301-31921_3-57364330-281/judge-americans-can-be-forced-to-decrypt-their-laptops/

Tåget försenat på grund av hackat signalsystem

http://www.wired.com/threatlevel/2012/01/railyway-hack/

Vilka lösenord används vid en ssh-gissa-lösenords-attack?

http://www.lightbluetouchpaper.org/2012/01/25/observations-from-two-weeks-of-ssh-brute-force-attacks/

Gameover: Ny variant av Zeus

http://www.computerworld.com/s/article/9223642/Researcher_traces_Gameover_malware_to_maker_of_Zeus

Europaparlamentets webbplats utsatt för en tillgänglighetsattack

http://www.networkworld.com/news/2012/012612-european-parliament-says-its-website-255359.html

10 000 industrisystem åtkomliga via internet enligt forskare

http://www.wired.com/threatlevel/2012/01/10000-control-systems-online/

Världens sämsta, men kanske ärligaste, sekretesspolicy

http://www.forbes.com/sites/andygreenberg/2012/01/25/the-worlds-worst-privacy-policy/

Blygsam och smakfull är inga egenskaper som kan förknippas med Megauploads grundare Kim Dotcom

http://arstechnica.com/tech-policy/news/2012/01/mega-man-the-bizarre-rise-and-sudden-downfall-of-kim-dotcom.ars

CERT-SE i veckan

SR12-015 Symantec - Allvarlig sårbarhet i pcAnywhere

SR12-014 Opera - Två sårbarheter

SR12-013 Google - Flertalet sårbarheter i Chrome

SR12-012 Apache - Struts innehåller allvarlig sårbarhet

SR12-011 Xorg - Innehåller sårbarhet i skärmlåsningsprogram

SR12-010 OpenSSL - Rättning av DTLS innehåller ny sårbarhet

Säkerhetsrekommendationer för pcAnywhere

2012-01-26T09:26:47Z

CERT-SE har tidigare rapporterat om en sårbarhet i pcAnywhere där en extern angripare kan exekvera godtycklig kod genom att skicka riggade paket till port 5631. Scanningar på denna port har ökat enligt ISC Diary. Till denna sårbarhet finns en rättning publicerad som snarast bör läggas på.

Källkoden till pcAnywhere har nyligen läckt som enligt Symantec kan härledas från ett intrång som skedde 2006. Med detta som bakgrund rekommenderar Symantec att temporärt sluta använda programmet tills uppdateringar släpps som rättar säkerhetshålen. Om pcAnywhere måste användas på grund av verksamhetskrav bör ett antal försiktighetsåtgärder vidtas, exempelvis blocka portarna 5631 och 5632. Fler andra sätt att säkra upp pcAnywhere finns beskrivet i Symantec-dokumentet. Det är oklart om Symantec känner till fler sårbarheter än de som publicerats och är rädda att angripare ska hitta dessa då källkoden läckt. Hur som helst bör extra försiktighetsåtgärder vidtas för pcAnywhere.

Mer information

http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf

http://www.reuters.com/article/2012/01/25/us-symantec-hacking-idUSTRE80O1UY20120125

http://isc.sans.edu/diary.html?storyid=12463

http://www.scmagazineuk.com/symantec-advises-users-to-stop-using-pcanywhere-as-code-hack-story-persists/article/224717/