Nämnvärt

CERT-SE:s veckobrev v.5

2012-02-03T13:08:00Z

Nyheter i veckan

SpiderLabs analyserar HOIC (High Orbit Ion Cannon): ett verktyg som används vid överbelastningsattacker
http://blog.spiderlabs.com/2012/01/hoic-ddos-analysis-and-detection.html

Android-telefoner kan läcka känslig information om trådlösa nät, via specialkonstruerade applikationer
http://blog.mywarwithentropy.com/2012/02/8021x-password-exploit-on-many-htc.html

Säkerhetsföretag påstår sig kunna knäcka FileVault 2 på ~40 minuter med hjälp av minnesanalys

http://reviews.cnet.com/8301-13727_7-57369983-263/filevault-2-easily-decrypted-warns-passware

Kristin Paget visade på årets "Shmoocon" hur kreditkort med RFID-chip kan attackeras

http://www.forbes.com/sites/andygreenberg/2012/01/30/hackers-demo-shows-how-easily-credit-cards-can-be-read-through-clothes-and-wallets

"PDF-slides" från ovan presentation

http://www.tombom.co.uk/Paget-shmoocon-credit-cards.pdf (PDF)

S4: Ralph Lagner presenterade sina bevis för att Stuxnet var ämnat för "Natanz" (video)
http://www.digitalbond.com/2012/01/31/langners-stuxnet-deep-dive-s4-video

Google om en ny tjänst som söker efter skadlig kod bland applikationerna på Android Market
http://googlemobile.blogspot.com/2012/02/android-and-security.html

Modifierad variant av botnätet Kelihos/Hlux är tillbaka..
http://www.securelist.com/en/blog/655/Kelihos_Hlux_botnet_returns_with_new_techniques

Verisign utsattes för dataintrång under 2010

http://threatpost.com/en_us/blogs/update-verisign-admits-security-breaches-2010-020212

Verisign uttalar sig själva om intrången

http://verisigninc.com/en_US/news-events/press-room/articles/index.xhtml?artLink=aHR0cHM...

Ökat antal e-postmeddelanden med skadliga .htm-filer bifogade enligt Symantec
http://www.symantec.com/connect/blogs/email-malicious-html-attachments

Infektera någon med skadliga fraktaler inpräntade i skelettet = winning!
http://www.f-secure.com/weblog/archives/00002307.html

CERT-SE i veckan

SR12-023 PHP - Sårbarhet i PHP version 5.3.9
SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server

SR12-021 Apple - Ett flertal sårbarheter i OS X
SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey

SR12-019 VMware - Uppdateringar till ESXi och ESX

SR12-018 HP - Sårbarhet i HP Network Automation

SR12-017 FFmpeg - Ett flertal sårbarheter i FFmpeg

SR12-016 Cisco - IronPort-produkter sårbara

Ny "single-block collision"-attack mot MD5

Malwr.com: Ny webbaserad tjänst för analys av skadlig kod

Färggranna tidslinjer i log2timeline

Ny "single-block collision"-attack mot MD5

2012-01-30T14:04:24Z

Säkerhetsforskaren Marc Stevens har publicerat en forskningsrapport i vilken han redogör för ett nytt sätt att attackera den kryptografiska hashfunktionen MD5.

Rapporten är ett svar på den utmaning som Tao Xie och Dengguo Feng formulerade efter att själva ha attackerat MD5 i en så kallad "single-block collision"-attack.

Information om utmaningen finns här: http://eprint.iacr.org/2010/643

Marc Stevens forskningsrapport finns här: http://marc-stevens.nl/research/md5-1block-collision/md5-1block-collision.pdf (PDF).

Malwr.com: Ny webbaserad tjänst för analys av skadlig kod

2012-01-29T17:32:43Z

Malwr.com är ny webbaserad tjänst för analys av skadlig kod. Projektet stöds av Shadowserver och är baserad på "Cuckoo Sandbox". Som grädde på moset är tjänsten gratis.

Mer information:

http://malwr.com/about/

http://www.cuckoobox.org/

http://www.shadowserver.org/

Färggranna tidslinjer i log2timeline

2012-01-28T19:18:47Z

log2timeline är ett verktyg skrivet i Perl som skapar en tidslinje från filer som kan vara i en mängd olika format, exempelvis Apache-loggfiler, Windows event-loggar, PCAP-filer eller Internet Explorer historik. Tanken är att log2timeline ska kunna extrahera tidsstämplar och viss meta-data från alla sorters olika filer och generera en kombinerad tidslinje. På så sätt kan en händelse som är spridd över många loggfiler lätt analyseras. En rad olika utdataformat stöds också, till exempel CSV och SQLite.

I veckan publicerade SANS Excel-mallar som färgkodar den genererade tidslinjen vilket underlättar analysen.

Mer information:

http://log2timeline.net/

http://computer-forensics.sans.org/blog/2012/01/25/digital-forensic-sifting-colorized-super-timeline-template-for-log2timeline-output-files

CERT-SE:s veckobrev v.4

2012-01-27T13:21:08Z

Nyheter i veckan

Tjänst med mänskliga CAPTCHA-knäckare i låglöneländer testad

http://www.troyhunt.com/2012/01/breaking-captcha-with-automated-humans.html

Dan Kaminsky om sårbarheter i WPS (Wi-Fi Protected Setup)

http://dankaminsky.com/2012/01/26/wps2/

Rapport över de 50 mest illasinnade AS-numrerna på internet

http://hostexploit.com/downloads/viewdownload/7/35.html

Google ger förslag på hur TCP kan snabbas upp

http://googlecode.blogspot.com/2012/01/lets-make-tcp-faster.html?m=1

Konferensrum kan buggas genom att videokonferensutrustningen hackas

https://community.rapid7.com/community/solutions/metasploit/blog/2012/01/23/video-conferencing-and-self-selecting-targets

Lätt att hitta hackers med svart färg på hatten

http://online.wsj.com/article/SB10001424052970203471004577145140543496380.html

DNSSEC-trubbel för nasa.gov

http://www.internetsociety.org/deploy360/blog/2012/01/comcast-releases-detailed-analysis-of-nasa-gov-dnssec-validation-failure/

Lavineffekten testad för olika hashfunktioner

http://secworks.se/2012/01/bittester-av-kryptografiska-hashfunktioner/

Åtalade i USA kan tvingas att lämna över lösenordet till krypterade hårddiskar

http://news.cnet.com/8301-31921_3-57364330-281/judge-americans-can-be-forced-to-decrypt-their-laptops/

Tåget försenat på grund av hackat signalsystem

http://www.wired.com/threatlevel/2012/01/railyway-hack/

Vilka lösenord används vid en ssh-gissa-lösenords-attack?

http://www.lightbluetouchpaper.org/2012/01/25/observations-from-two-weeks-of-ssh-brute-force-attacks/

Gameover: Ny variant av Zeus

http://www.computerworld.com/s/article/9223642/Researcher_traces_Gameover_malware_to_maker_of_Zeus

Europaparlamentets webbplats utsatt för en tillgänglighetsattack

http://www.networkworld.com/news/2012/012612-european-parliament-says-its-website-255359.html

10 000 industrisystem åtkomliga via internet enligt forskare

http://www.wired.com/threatlevel/2012/01/10000-control-systems-online/

Världens sämsta, men kanske ärligaste, sekretesspolicy

http://www.forbes.com/sites/andygreenberg/2012/01/25/the-worlds-worst-privacy-policy/

Blygsam och smakfull är inga egenskaper som kan förknippas med Megauploads grundare Kim Dotcom

http://arstechnica.com/tech-policy/news/2012/01/mega-man-the-bizarre-rise-and-sudden-downfall-of-kim-dotcom.ars

CERT-SE i veckan

SR12-015 Symantec - Allvarlig sårbarhet i pcAnywhere

SR12-014 Opera - Två sårbarheter

SR12-013 Google - Flertalet sårbarheter i Chrome

SR12-012 Apache - Struts innehåller allvarlig sårbarhet

SR12-011 Xorg - Innehåller sårbarhet i skärmlåsningsprogram

SR12-010 OpenSSL - Rättning av DTLS innehåller ny sårbarhet

Säkerhetsrekommendationer för pcAnywhere

2012-01-26T09:26:47Z

CERT-SE har tidigare rapporterat om en sårbarhet i pcAnywhere där en extern angripare kan exekvera godtycklig kod genom att skicka riggade paket till port 5631. Scanningar på denna port har ökat enligt ISC Diary. Till denna sårbarhet finns en rättning publicerad som snarast bör läggas på.

Källkoden till pcAnywhere har nyligen läckt som enligt Symantec kan härledas från ett intrång som skedde 2006. Med detta som bakgrund rekommenderar Symantec att temporärt sluta använda programmet tills uppdateringar släpps som rättar säkerhetshålen. Om pcAnywhere måste användas på grund av verksamhetskrav bör ett antal försiktighetsåtgärder vidtas, exempelvis blocka portarna 5631 och 5632. Fler andra sätt att säkra upp pcAnywhere finns beskrivet i Symantec-dokumentet. Det är oklart om Symantec känner till fler sårbarheter än de som publicerats och är rädda att angripare ska hitta dessa då källkoden läckt. Hur som helst bör extra försiktighetsåtgärder vidtas för pcAnywhere.

Mer information

http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf

http://www.reuters.com/article/2012/01/25/us-symantec-hacking-idUSTRE80O1UY20120125

http://isc.sans.edu/diary.html?storyid=12463

http://www.scmagazineuk.com/symantec-advises-users-to-stop-using-pcanywhere-as-code-hack-story-persists/article/224717/

CERT-SE:s veckobrev v.3

2012-01-20T13:04:47Z

Nyheter i veckan

FBI stänger ned Megaupload.com, Anonymous svarar tillbaka mot FBI

http://www.news.com.au/technology/fbi-shuts-down-megauploadcom-charges-seven-with-online-piracy/story-e6frfro0-1226249114650

…och här är en graf över trafiken i Sydamerika efter nedtagningen av Megaupload.com

http://i.imgur.com/qlOtw.png

Mac Malware Summary 2011 (Q2/Q3/Q4)

http://www.f-secure.com/weblog/archives/00002300.html

Gänget bakom Koobface avslöjade

http://www.nytimes.com/2012/01/17/technology/koobface-gang-uses-facebook-to-spread-powerful-worm.htm

Användbar krypto-information samlad på webbplats

http://blog.cryptographyengineering.com/p/useful-cryptography-resources.html

Verktygslådan presenterar script för att samla in flyktigt data

http://journeyintoir.blogspot.com/2012/01/dual-purpose-volatile-data-collection.html

Israeliska hackare angriper Saudiaribiska börsen

http://www.haaretz.com/news/diplomacy-defense/israeli-hackers-bring-down-saudi-uae-stock-exchange-websites-1.407846

RSA publicerar dokument som beskriver förebyggande åtgärder gällande APT

http://www.rsa.com/innovation/docs/CISO-RPT-0112.pdf (länk till extern PDF)

Hur man kan använda Snort för att analysera MODBUS-kommunikation över TCP/IP

http://www.giac.org/paper/gcia/7218/snort-intrusion-detection-modbus-tcp-ip-communications/124438

Ytterligare lite mer information om Stuxnet

http://threatpost.com/en_us/blogs/stuxnet-expert-langner-analysis-shows-design-flaw-not-vulnerability-sunk-siemens-011912

Hur malware-utvecklare tar sig förbi Antivirusskydd

http://blog.webroot.com/2012/01/18/how-malware-authors-evade-antivirus-detection/

10 år senare, hur gick det för toppdomänen .BIZ?

http://www.icir.org/vern/papers/dot-biz.pam12.pdf (länk till extern PDF)

CERT-SE i veckan

SR12-009 OpenSSL - Sårbarhet i DTLS kan orsaka tillgänglighetsattack
SR12-008 Cisco - IP Video Phone E20 innehåller sårbarhet
SR12-007 Oracle - Critical Patch Update (CPU), säkerhetsuppdateringar för januari 2012
SR12-006 McAfee - Sårbarhet i SaaS myCIOScn.dll
SR12-005 Acrobat - Sårbarheter i Adobe Reader X och Acrobat
DNSSEC och SOPA

DNSSEC och SOPA

2012-01-17T11:48:28Z

Anne-Marie Eklund-Löwinder på .SE har bloggat om SOPA och DNSSEC. Det amerikanska lagförslaget SOPA föreslår bland annat blockering av webbplatser som misstänks bryta mot amerikansk upphovsrätt. Blockeringen skulle ske på DNS-nivå vilket hotar att äventyrar DNSSEC. Lagförslaget har stött på hårt motstånd, exempelvis kommer Reddit och den engelska delen av Wikipedia protestera genom att vara "svarta" under morgondagen (2012-01-18).

Förespråkarna av SOPA har de senaste dagarna backat och strykit DNS-blockering från lagförslaget samt lagt andra delar på is. DNS-blockering kommer dock vara en het potatis framöver, det visar inte minst domstolsbeslut i Finland och Nederländerna där ISP:ar har blivit ålagda att blockera The Pirate Bay.

Mer information:

CERT-SE:s veckobrev v.2

2012-01-13T13:27:29Z

Varför fångas inte internetskurkar?

http://podcasts.infoworld.com/d/security/why-internet-crime-goes-unpunished-183605?_kip_ipx=1763732649-1326215041

Kort ordlista för cyberhot

http://features.techworld.com/security/3329102/do-you-know-your-cyberthreat-terms

Wifi-routrar: Gammal är äldst

http://blogs.computerworld.com/19551/wifi_routers_oldies_are_goodies

Att kvantifiera risker för sitt anseende

http://blogs.mcafee.com/enterprise/data-center/privacy-matters

Hur Kinas stora brandvägg blockar Tor
http://threatpost.com/en_us/blogs/how-great-firewall-china-blocks-tor-010912

Visualisera DNSSEC

http://www.eweek.com/c/a/Security/New-Sandia-DNSSEC-Visualization-Tool-Simplifies-DNS-Security-for-IT-Managers-728085/

Ny version av p0f

http://threatpost.com/en_us/blogs/researcher-releases-new-version-p0f-fingerprinting-tool-011012

Distribution av metadata i it-forensik

http://computer-forensics.sans.org/blog/2012/01/11/metadata-distributions-in-computer-forensics

Cyberbrott blir mer komplexa

http://www.isssource.com/cyber-crime-grows-more-complex/

CERT-SE i veckan

SR12-005 Acrobat - Sårbarheter i Adobe Reader X och Acrobat

SR12-004 Microsoft - Säkerhetsbulletiner för januari 2012

SR12-003 Google - Webbläsaren Chrome uppdaterad

SR12-002 Apache - Sårbarheter i ramverket Struts

SR12-001 OpenSSL - Ett flertal sårbarheter rättade

SR11-237 Microsoft - Allvarlig sårbarhet i .NET

Android: Paper om inhämtning och analys av flyktigt minne

Rättningar från Microsoft och Adobe nu på tisdag (10/1)

Nmap 5.61TEST4

Ny PGP-nyckel för 2012

Presentationer från 28c3

Android: Paper om inhämtning och analys av flyktigt minne

2012-01-09T19:32:35Z

I artikeln beskrivs hur man med hjälp av en kernelmodul kan ta en fullständig minnesdump på en Android-enhet samt. Man beskriver också hur ett tillägg till analysverktyget Volatility gör att det kan användas för minnesanalys av Android.

Artikeln finns att hämta här (PDF): http://digitalforensicssolutions.com/papers/android-memory-analysis-DI.pdf

Rättningar från Microsoft och Adobe nu på tisdag (10/1)

2012-01-08T17:46:11Z

Både Microsoft och Adobe släpper uppdateringar och rättar sårbarheter i sina produkter nu på tisdag (10/1).

Microsoft har annonserat att man kommer att släppa 7 stycken säkerhetsbulletiner och rätta 8 sårbarheter i Microsoft Windows och "Microsoft Developer Tools and Software". En av bulletinerna klassificeras av Microsoft som kritisk och resten som viktiga.

För mer information, se: http://technet.microsoft.com/en-us/security/bulletin/ms12-jan

Adobe rättar sårbarheter i produkterna Acrobat och Reader för både Microsoft Windows och för Macintosh. Sårbarheterna klassificeras av Adobe som kritiska.

För mer information, se här: http://www.adobe.com/support/security/bulletins/apsb12-01.html

CERT-SE:s veckobrev v.1

2012-01-05T11:53:21Z

Nyheter i veckan

EFF slår ett slag för full diskkryptering
https://www.eff.org/deeplinks/2011/12/newyears-resolution-full-disk-encryption-every-computer-you-own

5 säkerhetsläxor att lära efter dataintrånget mot Stratfor

http://www.troyhunt.com/2011/12/5-website-security-lessons-courtesy-of.html

En analys av lösenorden som stals från Stratfor
http://www.thetechherald.com/articles/Report-Analysis-of-the-Stratfor-Password-List

Brian Krebs om botnätet Cutwail/Pushdo och dess ägare

http://krebsonsecurity.com/2012/01/pharma-wars-google-the-cutwail-botmaster

Överbelastningsattack mot Pastebin
http://www.theregister.co.uk/2012/01/04/pastebin_ddos_recovery

Massinfektion av webbsidor med "SQL-injection"-sårbarheter
http://www.darkreading.com/database-security/167901020/security/attacks-breaches/232301285/latest-sql-injection-campaign-infects-1-million-web-pages.html

Fujitsu tillverkar "cybervapen" på uppdrag av Japan
http://www.theregister.co.uk/2012/01/03/japan_cyber_weapon_research

Kaspersky tittar tillbaka på 2011 och listar sina topp 10 säkerhetsrelaterade händelser (pdf)
http://www.kaspersky.com/images/Article_The%20top%2010%20security%20stories%20of%202011_ENG-10-136658.pdf

Kontokortsuppgifter tillhörande 15000 Israeliska kontokortsinnehavare har publicerats
http://www.businessweek.com/news/2012-01-04/hackers-expose-details-of-15-000-israeli-credit-cards-on-web.html

Skicka kodade meddelanden med hjälp av frimärken
http://www.schneier.com/blog/archives/2012/01/sending_coded_m.html

CERT-SE i veckan

SR12-002 Apache - Sårbarheter i ramverket Struts
SR12-001 OpenSSL - Ett flertal sårbarheter rättade

SR11-237 Microsoft - Allvarlig sårbarhet i .NET

Nmap 5.61TEST4
Ny PGP-nyckel för 2012
Presentationer från 28c3

Nmap 5.61TEST4

2012-01-04T08:54:06Z

Nmap har uppgraderats till version 5.61TEST4 och bjuder på ett gäng nyheter.

Bland nyheterna finns till exempel ett nytt "lib" för att spindla webbplatser samt ett antal skript som använder sig av det. Totalt är det 51 nya skript i denna version, vilket resulterar i att Nmap nu kommer med 297 olika skript som kan användas tillsammans med verktyget.

Samtliga nyheter finns att läsa om här: http://nmap.org/changelog.html

Ny PGP-nyckel för 2012

2012-01-03T14:40:10Z

Vi har genererat och lagt upp en ny publik PGP-nyckel som bör användas när man vill skicka krypterade e-postmeddelanden och filer till oss under 2012. Vi genererar nya nycklar på årsbasis och den tidigare nyckeln (2011) är endast giltig fram till 2012-01-31.

Den nya nyckeln finns att hämta från vår webbplats (under fliken "om cert-se") och där finns även ett "fingerprint" publicerat: https://www.cert.se/om-cert-se

Vi vill även passa på att tipsa om den här artikeln från förra året, som beskriver hur man kan kommunicera krypterade filer till oss: https://www.cert.se/publikationer/namnvart/filkryptering-gnupg

Presentationer från 28c3

2012-01-02T14:46:00Z

I mellandagarna hölls som vanligt "Chaos Communication Congress" i Berlin. Årets upplaga gick under titeln "Behind Enemy Lines" och bjöd på en hel den intressanta presentationer som nu finns samlade för nerladdning.

Presentationerna i H.264/MPEG-4-kvalitet hittar du här: http://mirror.fem-net.de/CCC/28C3/mp4-h264-HQ/

Ett schema med mer detaljerad information om respektive presentation och presentatör hittar du här: http://events.ccc.de/congress/2011/Fahrplan/

Många av presentationerna (om inte alla) finns även på Youtube för den som föredrar det formatet: http://www.youtube.com/user/28c3