22 December 2017
Dela: Share

​Nytt Android virus kan fysiskt sabba telefonen
http://omni.se/nytt-android-virus-kan-fa-telefonen-att-fatta-eld/a/kaR5jj

2017 års värsta lösenord, nästan förvånad att Sommar2017 inte är med.
Som alltid, använd unika lösen på allt, lösenordshanterare och MFA
http://www.dailymail.co.uk/sciencetech/article-5196583/The-worst-passwords-year-revealed.html

Varför unika lösenord överallt?
https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14

Ansiktsigenkänning som skydd fungerar inte alltid
https://www.idg.se/2.1085/1.695287/ansiktsigenkanning-windows-10-lura
https://www.reuters.com/article/us-apple-vietnam-hack/vietnamese-researcher-shows-iphone-x-face-id-hack-idUSKBN1DE1TH
https://gadgets.ndtv.com/mobiles/news/iphone-x-face-id-identification-fails-between-mother-son-1775692

En liten lista på en del av alla smarta julklappar som kan användas för att spionera på dig eller för att hacka andra saker i ditt nät.
https://advocacy.mozilla.org/en-US/privacynotincluded

 

Om du inte vill bli hackad
https://assets.documentcloud.org/documents/4222455/The-Motherboard-Guide-To-Not-Getting-Hacked.pdf

https://securityplanner.org/#/

Inför 2018

https://securelist.com/ksb-threat-predictions-for-2018/83169/
1. GDPR, many companies, will be not compliance with new EU regulation by the deadline

2. Ransomware will be the most dangerous threat to businesses and organizations worldwide

3. Cyber Criminals focus on Crypto Currencies

4. APT groups from Russian and China will increase their pressure on Western organizations

5. Cloud security, a top priority for enterprises

6. A joint international effort to fight the Cyber Crime

7. IoT devices, a privileged target of hackers

8. The rise of Mobile threats

9. Cyber-Insurance proposal will explode

10. Cyber Bullying … the emergency continues

 

http://resources.infosecinstitute.com/2018-cyber-security-predictions/#gref

https://www.csoonline.com/article/3242547/security/a-few-cybersecurity-predictions-for-2018.html

https://www.csoonline.com/article/3242866/security/our-top-7-cyber-security-predictions-for-2018.html

https://www.forbes.com/sites/gilpress/2017/11/26/60-cybersecurity-predictions-for-2018/#66a50aef73ff

07 December 2017
Dela: Share

UPPDATERING: Verkar som vanliga anti-spoofing inställningar såsom SPF ska kunna skydda detta. Efter svar kommunkation med våra leverantörer

"Det handlar om hur mailen kodas och avkodas och hur olika klienter då blir sårbara för spoofing om de bara har DKIM/DMARC iom att inte mailadressen avkodas hela vägen vilket då gör att de kontrollerna blir omkringgådda. Så det verkar faktiskt finnas lite nyheter i nyheten ändå.

Oavsett så stoppar vi ju detta med hjälp av SPF idag och inte DKIM/DMARC och som jag förstår det så kommer det funka fint även framledes trots denna "sploit"  då den kontrollen ju baserar sig på godkända IP:n."

---------------------------------------------------------------------------------------------

Från:https://www.cert.se/2017/12/mailsploit-forfalskar-avsandaradressen-i-epost

Det har nu kommit till kännedom att mejlklienter går att utnyttja för att kunna uppge en falsk avsändaradress. Företeelsen har fått benämningen MailSploit [1].

Vad har hänt?

Vad som utnyttjas är att mejlklienter hanterar från-fältet på olika och ibland felaktiga sätt. Mejlet kan ha en helt korrekt avsändaradress från någon man litar på men ändå vara förfalskat. Detta kan utnyttjas för nätfiske, sprida falsk information eller för att sprida skadlig kod till mottagaren.

Även spam- och andra slags e-postfilter kan passeras av den här attacken.

Tips till användare

  • Dubbelkolla med avsändaren om du är minsta tveksam till varför du har fått mejlet.
  • Var vaksam och ännu försiktigare än tidigare med att klicka på länkar eller öppna bilagor i mejl.
  • Berätta för kollegor och vänner om den här möjliga attacken.

Åtgärder för administratörer

  • Uppdatera mejlklienter och telefonappar så snart en icke sårbar version finns tillgänglig [2].
  • Informera dina användare.

Källor

[1] https://www.mailsploit.com
[2] https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/htmlview

17 Oktober 2017
Dela: Share

Delar av det vanligast Wifi-protokollet WPA2 har blivit knäckt och påverkar alla moderna wifi uppsättningar. Denna sårbarhet gör att angriparen om den är inom räckhåll för wifi:t kan komma att kapa krypteringsnycklarna och till stor del avlyssna trafiken. Man kan även till viss del styra om trafik till falska sidor och i de fall där sidor är något sämre uppsatta så kan man kommer över lösenord m.m. i klartext. I en demonstrationsvideo så visar de hur man genomför attacken på mindre än 5 minuter.

Denna attack kallas KRACKATTACK https://www.krackattacks.com/

Microsoft släppte patchar för sina klienter den 10:e. Så se till att ha uppdaterat era datorer

Apple Patchen är i Beta, väntar på officiell release

Android - Google släpper patch i kommande veckor!

Om du har Wifi hemma rekommenderas starkt att du vänder dig till din leverantör och be dem om en uppdatering till routern/accesspunkten hemma.

IT-Mästaren uppdaterar de hårdvaror och Operativsystem där ni har det som tjänst från oss. 

 

CERT-SE rekommenderar starkt att söka efter uppdateringar till sina produkter och operativsystem samt att skyndsamt installera dem.
Tills det är gjort finns naturligtvis alternativet att stänga av Wi-Fi på telefoner och använda mobildataanslutning istället. Använd kabelförbindelse till datorer.
Om ni måste använda en sårbar Wi-Fi-förbindelse så surfa bara till webbplatser med HTTPS. Klicka inte förbi varningar om osäkra HTTPS-certifikat.

https://www.cert.se/2017/10/wpa2-krypto-for-wifi

In some cases, a script can also force a connection to bypass HTTPS, exposing usernames, passwords and other critical data.
…. and were able to decrypt all the victim's transmitted data. They point out that this will "not work on a properly configured HTTPS site," but will work on a "significant fraction" that are poorly set up.
 
https://www.engadget.com/2017/10/16/wifi-vulnerability-krack-attack/

[MICROSOFT] While some vendors were scrambling to release updates to fix the KRACK Attack vulnerability released today, Microsoft, quietly snuck the fix into last week's Patch Tuesday. While Windows users were dutifully installing October 10th's Patch Tuesday security updates, little did they know they were also installing a fix for the KRACK vulnerability that was not publicly disclosed until today. This fix was installed via a cumulative update that included over 25 other updates, but didn't provide any useful info until you visited the associated knowledge basic article. https://www.bleepingcomputer.com/news/security/microsoft-quietly-patched-the-krack-wpa2-vulnerability-last-week/

 

[APPLE] The exploits have been addressed in the iOS, tvOS, watchOS, and macOS betas that are currently available to developers and will be rolling out to consumers soon.
https://www.macrumors.com/2017/10/16/krack-wifi-vulnerabilities-patched-apple-ios-macos/

 

Router vendors that have issued KRACK patches

As mentioned in Hildenbrand's article, the best way to protect yourself from this exploit is to not use Wi-Fi at all until a proper fix has been proven. CERT has released notes on the KRACK problem, including a list of vendors whose equipment is vulnerable.

Some security-minded companies have already worked on fixes and are offering patches. Check back often, as we will keep this list updated.

There are also a number of vendors listed as "Not affected" on the CERT website without further explanation from the vendors themselves. These include:

 

https://www.windowscentral.com/vendors-who-have-patched-krack-wpa2-wi-fi-vulnerability

https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/

 

 

05 Oktober 2017
Dela: Share

Från: https://www.cert.se/2017/10/sarbarhet-i-apache-tomcat

En sårbarhet har upptäckts i Apache Tomcat

Vad har hänt?

Apache Software Foundation har publicerat säkerhetsråd gällande en sårbarhet i Apache Tomcat.[1]
Sårbarheten möjliggör för en fjärrangripare att exekvera godtycklig kod på systemet.
CVE-2017-12617

Påverkade versioner

Apache Tomcat 9.0.0.M1 till 9.0.0
Apache Tomcat 8.5.0 till 8.5.22
Apache Tomcat 8.0.0.RC1 till 8.0.46
Apache Tomcat 7.0.0 till 7.0.81

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara versioner.

Källa:

[1] http://mail-archives.us.apache.org/mod_mbox/www-announce/201710.mbox/%3cf7229e11-5e8d-aa00-ff22-f0a795669010@apache.org%3e

27 Juni 2017
Dela: Share

Från:

https://www.cert.se/2017/06/nytt-angrepp-av-utpressningsprogram

Uppdaterad | Publicerad - ransomware, utpressningsprogram, petya

Nytt angrepp av utpressningsprogram

Vad har hänt

Under eftermiddagen den 27 juni började en ny typ av utpressningsprogram snabbt sprida sig globalt. Ett tidigare känt utpressningsprogram vid namn Petya har uppdaterats med ny funktionalitet för att snabbt kunna sprida sig till andra nätverksansluta Windows-datorer, liknande WannaCry.

Andra namn på samma utpressningsprogram är GoldenEye, NotPetya, Petrwrap, Nyetya.
I denna text används namnet Petya.

Infektionsvektorer och spridningsmetoder

En av de initiala infektionsvektorerna är en uppdatering till skatteberäkningsprogrammet MEDoc från ett ukrainskt mjukvarubolag vid namn M.E.Doc. Enligt Microsoft[1] har ett antal infektioner skett via legitima uppdateringsprocesser tillhörande MEDoc.

Petya sprider sig över nätverk på flera sätt.
Petya extraherar autentiseringsuppgifter som den använder sig av för att sprida sig i det lokala nätverket via WMIC och PSEXEC. Den kan också utnyttja sårbarheter i SMB-protokollet på samma sätt som WannaCry.

Råd

  • Håll mjukvara, antivirusprogram och operativsystem uppdaterade
  • Säkerhetskopiera
    *Säkerställ att ni har fungerade säkerhetskopierings- och återställningsrutiner genom att öva dessa.

Vi har även tidigare skrivit generella rekommendationer kring ransomware och hur det går att minimera effekterna samt hur en organisation kan förbereda sig[2].

CERT-SE uppmanar att man inte betalar lösensumman. Även om man betalar kommer man inte få en dekrypteringsnyckel då e-postadressen (wowsmith123456@posteo[.]net) är blockerad av den tyska e-posttjänsten Posteo vilket innebär att aktören som ligger bakom inte kan leverera någon dekrypteringsnyckel.[3]

Om ni drabbats av detta hör gärna av er till oss på cert@cert.se. Ju mer information CERT-SE får om drabbade aktörer desto snabbare kan CERT-SE få en tydlig bild av konsekvenserna.

Ytterligare läsning:

Microsoft har publicerat en detaljerade analys av hur Petya fungerar. CERT-SE rekommenderar starkt att man läser denna:
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Källor:

[1] https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
[2] https://www.cert.se/2015/11/cert-se-informerar-med-anledning-av-mangden-aokade-ransomware-attacker
[3] https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday

Vi hanterar mediafrågor via MSB:s presstjänst
E-post: kommunikation@msb.se
Telefon: 070-321 88 74



-----------

2017-06-29:

Det rapporteras friskt om ett nytt IT-angrepp som verkar utnyttja samma sårbarhet som WannaCry. Det är en variant av Petya som dök upp första gången för ett år sedan.

Spridning:
Petya verkar sprida sig på samma sätt som WannaCry, via sårbarheter i SMB1-protokollet. Har man fildelning exponerat mot Internet så är man i riskzon. Generellt så sätts inte system upp med fildelning mot Internet på detta sätt längre. Den typ av konfiguration slutade användes för ca 10 år sedan. Har man dock gamla system aktiva exponerade någonstans så är de en attackvektor. SMB används dock på insidan av olika organisationers brandväggar, detta för att från klientdatorer komma åt filytor på servrar, exempelvis hemmamappar eller gemensamma mappar. Det finns obekräftade uppgifter på att Petya sprids via mail. Sådana uppgifter cirkulerade även vid WannaCry men inget kunde bekräftas.

Åverkan:
Skulle denna skadliga kod komma in innanför skalskyddet så finns det risk för stor spridning då WannaCry/Petya verkar ha egenskaperna av en nätverksmask. Detta kräver dock att man inte avaktiverat SMB1 och inte uppdaterat sina klienter/servrar. Microsoft kom ut med en patch i mars mot denna sårbarhet. Om denna är installerad så bör infrastrukturen vara säker enligt Microsoft. SMB2 används på Windows7 och Server 2008 och uppåt medan SMB3 används på Windows 8 och Server 2012 och uppåt. De brukar dock vara bakåtkompatibla med SMB1.

Petya krypterar filsystemet istället för själva filerna själva. Detta gör att datorn ej vill starta upp överhuvudtaget till skillnad från vanliga kryptovirus som bara gör ens filer otillgängliga.
För den insatte så skriver Petya över Master Boot Record och krypterar Master File Table (detta kräver en omstart som kryptovirus verkar tvinga fram)

Det finns även obekräftade uppgifter att banktrojanen Loki Bots finns med i Petyas skadliga kod i ett försök att få ut användarnamn och lösen från de infekterade systemen

Påverkade:
Vi har än så länge ingen indikation på att någon av våra kunder ska vara påverkade av detta.
Än så länge verkar Petya slagit till med stor kraft mot Ukrainas banker, elförsörjning samt regeringsdatorer.
Andra som verkar ha blivit hårt drabbade är danska transportbolaget Maersk, ryska oljejätten Rosneft, livsmedelskoncernen Mondelez,, advokatjätten DLA Piper 

Att göra:

  • Stäng av ev filexponeringar mot internet som inte klarar en säkerhetsgranskning
  • Uppdatera dina system
  • Gör säkerhetskopieringar
  • Var vaksaksam som alltid, framför allt gällande bilagor och länkar i mail
  • Använd säkerhetslösningar såsom antivirus och gärna i flera såsom intrångs-/anomalidetektering

 

Kontakta oss

För att rätt person ska kunna kontakta dig, vänligen skriv ett relevant meddelande.