Nämnvärt

Microsoft rättar .LNK-sårbarheten nu på måndag

2010-07-31T09:30:28Z

Sårbarheten som vi skrev om i SR10-131 har bland annat utnyttjas av den uppmärksammade trojanen Stuxnet. Efter att sårbarheten blev allmänt känd så har flera typer av skadlig kod implementerat stöd för att utnyttja den och Microsoft har beslutat sig för att släppa en rättning utanför den ordinarie uppdateringscykeln.

MSRC annonserade rättning här: http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx

Microsoft Malware Protection Center (MMPC) beskriver närmare vilka typer av skadlig kod som har stöd för att utnyttja sårbarheten här: http://blogs.technet.com/b/mmpc/archive/2010/07/30/stuxnet-malicious-lnks-and-then-there-was-sality.aspx

Microsoft skriver att uppdateringen ska släppas någon gång runt "10 AM PDT" vilken blir någon gång runt klockan 19.00 för oss i Sverige.

Sitics veckobrev v.30

2010-07-30T12:42:32Z

Nyheter i veckan

Barnaby Jack visade bankomat-hack på Black Hat-konferensen
http://www.theregister.co.uk/2010/07/28/atm_hacking_demo

Mer från Black Hat: Forskare om hur lättillgänglig utrustning kan användas för att spåra mobiltelefonanvändare

http://mobile.venturebeat.com/2010/07/29/project-carmen-sandiego-can-track-down-your-cell-phone-and-your-whereabouts

Symantec om hur Stuxnet kommunicerar och hur C&C-infrastrukturen ser ut

http://www.symantec.com/connect/blogs/w32stuxnet-network-operations

Mer från Symantec om de olika Stuxnet-varianter som har analyserats och vad som skiljer dem åt

http://www.symantec.com/connect/blogs/w32stuxnet-variants

Graham Cluley om BitTorrent-filen innehållande (redan publika) Facebook-användarkonton

http://www.sophos.com/blogs/gc/g/2010/07/29/details-100-million-facebook-users-exposed-internet

Intressant analys av lösenordshantering (del 1/3)
http://www.lightbluetouchpaper.org/2010/07/27/passwords-in-the-wild-part-i-the-gap-between-theory-and-implementation

Intressant analys av lösenordshantering (del 2/3)

http://www.lightbluetouchpaper.org/2010/07/28/passwords-in-the-wild-part-ii-failures-in-the-marke

Intressant analys av lösenordshantering (del 3/3)

http://www.lightbluetouchpaper.org/2010/07/29/web-password-standards-2

Mariposa-utvecklaren "Iserdo" gripen i Slovenien

http://www.bbc.co.uk/news/technology-10786701

Lenny Zeltser om hur olika dokumenttyper som innehåller skadlig kod kan analyseras

http://zeltser.com/reverse-malware/analyzing-malicious-documents.html

Statistik visar att få anmäler att de blivit lurade att köpa falska antivirus-produkter
http://krebsonsecurity.com/2010/07/rogue-antivirus-victims-seldom-fight-back

Verizon släppte rapporten: "2010 Data Breach Investigations Report" (pdf)

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

Cisco 2010 Midyear Security Report (pdf)

http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_mid2010.pdf

Förteckning över kommersiella och gratisvarianter av diverse honungsfällor

http://glasblog.1durch0.de/?page_id=101

Sitic i veckan

SR10-142 Apple - Ett flertal sårbarheter i Safari

SR10-141 IBM - Sårbarheter i Lotus Notes

SR10-140 Google - Flera sårbarheter i Google Chrome

SR10-139 Apple - Sårbarhet i QuickTime Player

SR10-138 Symantec - Sårbarhet i Alert Management Service

SR10-137 GnuPG - Sårbarhet i GPGSM

SR10-136 Mozilla - Sårbarhet i Firefox

Nya versioner av Snort

2010-07-29T14:13:12Z

Bland nyheterna i beta-versionen finns bland annat stöd för hårdvaruaccelerering. Det är mycket välkommet och kan höja prestandan markant på system som har stöd för detta.

För mer information, se: http://www.snort.org/news/2010/07/28/snort-2-8-6-1-and-snort-2-9-beta-released

OWASP-konferensen nu på video

2010-07-24T17:38:50Z

OWASP (Open Web Application Security Project) är en organisation som arbetar med att höja säkerheten för webbapplikationer. Varje år anordnar de en större konferens i Europa, och i år hade turen kommit till Stockholm. Nu finns videoupptagningar från konferensen tillgängliga på OWASP:s webbplats:

En bra föreläsning är "Busting Frame Busting" av Gustav Rydstedt.

Sitics veckobrev v.29

2010-07-23T08:45:22Z

Nyheter i veckan

Kortfattad sammfattning av SCADA-trojanen Stuxnet (se även "Sitic i veckan")

http://www.auscert.org.au/render.html?it=13084

Symantec spekulerar i vilka som kan ligga bakom Stuxnet

http://www.symantec.com/connect/blogs/hackers-behind-stuxnet

Safaris "AutoFill"-funktion ger bort ditt namn och din adress

http://jeremiahgrossman.blogspot.com/2010/07/i-know-who-your-name-where-you-work-and.html

Google om "full disclosure" kontra "responsible disclosure"

http://googleonlinesecurity.blogspot.com/2010/07/rebooting-responsible-disclosure-focus.html

...och Microsoft pratar om "Coordinated Vulnerability Disclosure (CVD)"

http://blogs.technet.com/b/msrc/archive/2010/07/22/announcing-coordinated-vulnerability-disclosure.aspx

Facebook har nu 500 miljoner användare...

http://www.guardian.co.uk/technology/2010/jul/21/facebook-500-million-users

...vilket får oss att rekommendera följande läsning om riskerna

http://www.cpni.gov.uk/Docs/Online_Social_Networking-Good_Practice_Guide.pdf

Dell skeppade moderkort med skadlig kod i flash-minnet

http://taosecurity.blogspot.com/2010/07/dell-needs-psirt.html

Mozilla och Google erbjuder nu $3,000 respektive $3133.70 per kritisk sårbarhet

http://threatpost.com/en_us/blogs/google-ups-bug-bounty-ante-311370-072010

Hacktivism: Turk publicerade login-uppgifter för drygt 32 000 israeler

http://www.ynetnews.com/articles/0,7340,L-3920999,00.html

Veckans "låter-för-bra-för-att-vara-sant": Lösenord som är både enkla och säkra

http://www.technologyreview.com/computing/25826/

Skräppostare använder nu JavaScript i sina alster

http://www.networkworld.com/news/2010/071910-google-spam.html

Adobe Reader "biffar" upp säkerheten med en sandlåda

http://blogs.adobe.com/asset/2010/07/introducing-adobe-reader-protected-mode.html

IRC som C&C-server (command-and-control server) är såååå ute

http://rsa.com/blog/blog_entry.aspx?id=1684

Identifiering av skadlig kod

http://blogs.cisco.com/security/comments/malware_validation_techniques/

USA i skriande behov av kompetenta säkerhetsarbetare

http://csis.org/files/publication/A%20Human%20Capital%20Crisis%20in%20Cybersecurity.pdf

Ingen skadlig kod i "Apple App Store" under de två år den varit igång

http://www.computerworld.com/s/article/9179424/Apple_App_Store_s_security_track_record_unblemished_after_two_years

Sitic i veckan

SR10-135 HP - OpenView Network Node Manager sårbart
SR10-134 Novell - Teaming sårbart
SR10-133 Mozilla - Flertalet sårbarheter i Firefox, Thunderbird och SeaMonkey
SR10-132 Apple - iTunes sårbar för riggad itpc-URL
SR10-131 Microsoft - Genvägar kan trigga 0-day

Truecrypt 7.0 släppt

SCADA-trojan utnyttjar 0-day i Windows
Damn Vulnerable Linux (DVL) - en distribution gjord för att hackas
DNSSEC - Slutligen är root-zonen signerad

Truecrypt 7.0 släppt

2010-07-20T12:27:21Z

Truecrypt är en applikation med öppen källkod som krypterar diskar, inklusive USB-stickor. Version 7.0 av produkten släpptes igår:

http://www.truecrypt.org/docs/?s=version-history

SCADA-trojan utnyttjar 0-day i Windows

2010-07-19T13:14:00Z

Sitic rapporterade förra veckan att det fanns misstankar om att en trojan uttnyttjade sig av en "0-day" i Windows, det vill säga en sårbarhet som det ännu inte finns någon uppdatering till. Trojanen, vilken döpts till Stuxnet av vissa leverantörer, sticker ut på följande sätt:

Angriper SCADA-system: Trojanen försöker koppla upp sig mot databasen till SCADA-systemet WinCC från Siemens genom att utnyttja samma användarnamn och lösenord som används vid en standardinstallation. Trojanen sprider sig via USB-stickor, vilket kan vara effektivt i SCADA-sammanhang då dessa system ofta har ingen eller begränsad tillgång till nätverk.
Signerat "rootkit": Trojan är ett "rootkit" och försöker alltså dölja sig. För att uppnå detta har angriparen lyckats signera trojanen med ett certifikat från Realtek Semiconductor. Hur detta har gått till har inte rapporterats.
0-day: Trojanen utnyttjar en "0-day" i Windows. Ett uppdaterat system med Windows 7 är sårbart, liksom alla andra Windows-versioner.

Mer information
http://support.automation.siemens.com/WW/view/en/43876783
http://www.f-secure.com/weblog/archives/00001987.html
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://www.symantec.com/connect/blogs/w32temphid-commonly-asked-questions
http://www.theregister.co.uk/2010/07/19/win_shortcut_vuln/

Se NV från förra veckan för fler länkar.

Uppdatering 2010-07-20

SANS har höjt sin beredskapskod till "gul". Eftersom exempelkod finns tillgänglig är det är enligt SANS bara en tidsfråga innan ny skadlig kod börjar spridas som utnyttjar sårbarheten. Mer information: http://isc.sans.edu/diary.html?storyid=9190
Verisign har revokerat Realteks certifikat som användes för signering av Stuxnet-trojanen: http://threatpost.com/en_us/blogs/verisign-revokes-certificate-used-sign-stuxnet-malware-071710
Ny variant av Stuxnet är signerad med ett giltigt certifikat från JMicron: http://www.f-secure.com/weblog/archives/00001993.html

Uppdatering 2010-07-21

Siemens bekräftar att en av sina kunder i Tyskland har blivit infekterad av Stuxnet:

http://www.computerworld.com/s/article/9179459/Siemens_German_customer_hit_by_industrial_worm

Uppdatering 2010-07-22

Säkerhetsforskare har börjat nysta i trojanens funktionalitet:

Uppdatering 2010-07-23

Nätverkstrafiken mot Stuxnets två C&C-servrar kartlagd. Knappt 14 000 unika IP-adresser kontaktade de två servrarna under 72 timmarna. Mest trafik kom från Iran, Indonesien och Indien. Hela artikeln:

http://www.symantec.com/connect/blogs/w32stuxnet-network-information

Damn Vulnerable Linux (DVL) - en distribution gjord för att hackas

2010-07-18T10:43:33Z

DVL är ett verktyg - skapat av Dr. Thorsten Schneider - för studenter som studerar IT-säkerhet.

För vidare läsning:

http://linux.slashdot.org/story/10/07/17/2136237/Damn-Vulnerable-Linux-mdash-Most-Vulnerable-Linux-Ever?art_pos=6

http://www.damnvulnerablelinux.org/index.html

DNSSEC - Slutligen är root-zonen signerad

2010-07-17T20:49:00Z

Efter flera år av insatster - bland annat från svenska resurser så som Jakob Schlyter och Fredrik Ljunggren - så har root-zonen äntligen signerats och DNSSEC fått ett riktigt skutt framåt.

För de riktigt intresserade: dig @a.root-servers.net DNSKEY . +multiline +noall +answer

För mer information:

http://www.root-dnssec.org/

Sitics veckobrev v. 28

2010-07-16T13:29:00Z

Nyheter i veckan

Nytt nummer av CRYPTO-GRAM ute

http://www.schneier.com/crypto-gram-1007.html

Fejkade phising-attacker säljer medicin på nätet

http://www.symantec.com/connect/blogs/fake-phishing-attacks-increase-sell-meds

Hacka elnätet - du och vem mer...?

http://m.wired.com/dangerroom/2010/07/hacking-the-electric-grid-you-and-what-army/

Ökat antal scanningar för SIP, botnet utnyttjas för att öka effektiviten

http://www.usken.no/2010/07/using-botnets-to-do-sip-scanning/

ENISA:s generella rapport för 2010 finns att läsa

http://www.enisa.europa.eu/about-enisa/activities/programmes-reports/general-report-2009 (länk till extern PDF)

Dags för polisen att sätta sig in i brottsligheten i cyber-rymden

http://www.epolitix.com/latestnews/article-detail/newsarticle/century-of-the-cybercop/

iPhone underlättar för forensiska undersökningar

http://www.freep.com/apps/pbcs.dll/article?AID=/20100707/NEWS06/7070336/iPhone-makes-great-snitch-for-savvy-cops&template=fullarticle

McAffe släpper rapport om hoten i sociala nätverk

http://feedproxy.google.com/~r/McafeeAvertLabsBlog/~3/9wW8P6tvlq4/

Hur bakdörr upptäcktes i Firefox-plugin

http://news.slashdot.org/story/10/07/15/1223234/How-the-Mozilla-Sniffer-Backdoor-Was-Discovered

"0-day"-sårbahet i Microsoft Windows utnyttjas av rootkit för att komma åt SCADA-system

http://www.f-secure.com/weblog/archives/00001986.htm

http://www.wilderssecurity.com/attachment.php?attachmentid=219888&d=1279012965

http://anti-virus.by/en/tempo.shtml

http://www.kb.cert.org/vuls/id/940193

http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/

Något för den rastlöse och törstige semesterfiraren - bygga luftsolfångare av ölburkar

http://www.brunzell.com/projekt/solfangare/index.htm

Sitic i veckan

SR10-130 Novell - Flertalet sårbarheter i Groupwise SR10-129 SAP - Sårbarhet i GUI SAPWADMXHTML ActiveX-komponent SR10-128 ISC - Bind sårbart för DoS-attack SR10-127 FreeBSD - Sårbarhet i mbuf SR10-126 Apache - Struts innehåller allvarlig sårbarhet SR10-125 Winamp - Innehåller buffertöverflödessårbarhet SR10-124 IBM - Solid DB innehåller en sårbarhet SR10-123 Oracle - Säkerhetsuppdateringar för juli 2010 släppta SR10-122 Microsoft - Säkerhetsbulletiner för juli 2010 SR10-121 HP - Systems Insight Manager, innehåller flera sårbarheter SR10-120 Apache - Tomcat innehåller tillgänglighetssårbarhet Säkerhetsforskare varnar för trojan som utnyttjar en möjlig "0-day"-sårbarhet i Windows Imorgon tar supporten slut för Windows XP SP2 Secunias halvårsrapport om sårbarheter finns nu ute på nätet Oracle och Microsoft släpper uppdateringar på tisdag REMnux - En linuxdistribution för att analysera skadlig kod släppt

Säkerhetsforskare varnar för trojan som utnyttjar en möjlig "0-day"-sårbarhet i Windows

2010-07-15T11:46:00Z

Sårbarheten som utnyttjas av trojanen kan vara en möjlig "0-day"-sårbarhet i Windows. Enligt säkerhetsforskarna Kupreev Oleg och Ulasen Sergey så utnyttjas en säkerhetsbrist i Windows genvägar (.lnk). När ikonen för en genväg processas av t.ex. utforskaren, så installeras två (signerade) infekterade drivrutiner (själva rootkitet). Det räcker med att öppna ett infekterat USB-minne med utforskaren så installeras rootkitet.

Microsoft har ännu inte bekräftat sårbarheten.

För mer information:

http://anti-virus.by/en/tempo.shtml

http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/#more-4045

http://www.wilderssecurity.com/attachment.php?attachmentid=219888&d=1279012965 (länk till extern PDF)

http://www.kb.cert.org/vuls/id/940193

http://www.securelist.com/en/blog/269/Myrtus_and_Guava_Episode_1

http://www.securelist.com/en/blog/271/Myrtus_and_Guava_Episode_2

http://www.securelist.com/en/blog/272/Myrtus_and_Guava_Episode_3

Imorgon tar supporten slut för Windows XP SP2

2010-07-12T20:55:48Z

Microsoft stoppar supporten för Windows XP SP2 för 32-bitars system. Det kan innebära att många system som inte uppgraderats till SP3 kan innehålla sårbarheter som inte kommer att åtgärdas framöver. Microsoft rekommenderar uppgradering till SP3 eller Windows 7.

Värt att notera är att supporten för 64-bitars system fortfarande finns kvar fram till april 2014

För mer information, läs här:

http://tech.slashdot.org/story/10/07/12/1328205/Windows-XP-SP2-Support-Ends-Tomorrow

http://www.microsoft.com/windows/windows-xp/default.aspx

http://windows.microsoft.com/sv-se/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=other

Secunias halvårsrapport om sårbarheter finns nu ute på nätet

2010-07-12T11:23:42Z

Secunia presenterar statistik som visar att sårbarheter i vanliga program upptäcks i all snabbare takt. Rapporten fokuserar dessutom på ökade resurser för att skydda nätverk och hålla system uppdaterade.

Kan hämtas här:

http://secunia.com/gfx/pdf/Secunia_Half_Year_Report_2010.pdf (länk till extern PDF)

Oracle och Microsoft släpper uppdateringar på tisdag

2010-07-11T13:26:23Z

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html

http://www.microsoft.com/technet/security/bulletin/ms10-jul.mspx

REMnux - En linuxdistribution för att analysera skadlig kod släppt

2010-07-10T13:18:51Z

http://zeltser.com/remnux/