:: NORMAN :: Antivirus | Firewall

Hjem

Nyheter

Produkter & tjenester

Virus & sikkerhet

Support

Nedlasting

Forhandler

Kjøp

Velg land

Velg produkt

Virus & sikkerhet » Sikkerhetsinformasjon » 2006 » Sikkerhetshendelser 2006 – oversikt (II)

Sikkerhetshendelser 2006 – oversikt (II)

Legg til Mine Norman-bokmerker

Sikkerhetsinformasjon - Uke 29, 2006

Woman shade

April 2006

4. april: Microsoft: Det kommer til å bli umulig å rydde opp etter angrep fra ondsinnet programvare

“Når du blir utsatt for Rootkits og visse typer avanserte spionprogram, er den eneste løsningen å gjenoppbygge systemet fra bunnen av. I noen tilfeller er det ikke mulig å gjenopprette uten å formatere harddisken", sier Mike Danseglio, program manager i Security Solutions Group i Microsoft, på verdenskonferansen til InfoSec. Det beste et selskap kan gjøre, er å investere i automatiserte prosesser for å gjenopprette systemer som er blitt angrepet av ondsinnet programvare.

5. april: Offentlig betaprogramvare gjør det mulig å kjøre Windows XP på Intel-basert Mac

Apple har sluppet en betaversjon kalt "BootCamp", som gjør det mulig å installere Windows XP på Intel-baserte Macintosh-maskiner. Etter installasjon og en omstart, kan brukeren velge mellom å starte opp Mac OSX eller Windows XP. BootCamp er en del av "Leopard", som Apple kaller den neste versjonen av Mac OSX. Leopard vil få sin første forhåndsvisning i august 2006.

5. april: Sikkerhetshull i Cisco-utstyr

Det er blitt oppdaget flere svakheter ved Ciscos utstyr. Det første er Cisco 11500 Content Services Switch, som er sårbar ved HTTP-forespørsler. Hvis slike maskiner er konfigurert for å gjennomføre komprimering for HTTP, vil switchen være sårbar for et tjenestenektangrep (Denial of Service attack), når den behandler visse spesielle HTTP-forespørsler.

Flere svakheter ble oppdaget på Cisco Optical Networking Systems (ONS). Dette berører Multi-Service Provisioning Platforms på ONS 15310, ONS 15327, ONS 15600 og Multi-Service Transport Platforms på ONS 15454. Optical Nodes, som har Common Control Cards koblet til et datakommunikasjonsnettverk, blir påvirket når det blir brukt for IP4. Hvis dette blir utnyttet, kan det resultere i et tjenestenektangrep (Denial of Service attack (DoS)) på Common Control Cards.

Det ble også funnet svakheter i Cisco Transport Controller applet launcher. Dette kan føre til at vilkårlig programkode kan kjøres på arbeidsstasjonen.

Cisco har gjort tilgjengelig programvare som skal takle svakhetene på begge disse enhetene.

6. april: Oracle legger ut informasjon om egen feil ved et uhell

Oracle har ved et uhell publisert detaljer om en ureparert feil på deres eget MetaLink nettsted, med alle detaljer, inkludert programkode for å benytte seg av svakheten. Feilen berørte alle versjoner av Oracle Database fra og med versjon 9.2.2.0 til 10.2.0.3. Da Oracle ble klar over at denne informasjonen lå fritt tilgjengelig, ble den fjernet fra nettstedet. Feilen omfatter hvordan Oracle Database håndterer visse spesiallagde datauttrekk laget av brukere uten tilgang. Disse brukerne kunne få tilgang til SELECT og så oppdatere, slette eller innsette data i databasene.

Interessant nok er det Oracle som vanligvis kritiserer andre for å publisere detaljer om svakheter. Nå har Oracle gjort det selv, skjønt det var et uhell.

7. april: "Proof of Concept": Linux/Win32-virus

Så langt virker det som om året 2006 vil bli "Proof of Concept"-året, med allerede enda et tilfelle: et filinfiserende virus som angriper både Windows- (PE-format) og Linux-filer (ELF-format). Viruset bruker to forskjellige teknikker for å infisere filer på begge plattformene. Den bruker Kernel32.dll-funksjonen til å infisere Windows-filer, og Int 80-systemkallfunksjonen for å infisere Linux-filer. Utover å infisere begge formatene, gjør ikke dette viruset noe mer ondsinnet.

10. april: SecureBlue: levert av BigBlue

IBM har laget en maskinvarebasert krypteringsenhet inspirert av stormaskinsikkerhet. Denne skal beskytte forbrukerprodukter, medisinsk utstyr, forsvarssystemer og digitale medier. Teknologien, kalt SecureBlue, kan bli anvendt på forskjellig tenkelig utstyr som inneholder verdifull, konfidensiell eller privat informasjon, som mobiltelefoner, PDAer, PCer, bærbare PCer osv.

11. april: MS06-013, Fjerneksekvering av Internet Explorer

Det ble oppdaget en svakhet i CreateTextRange API. Denne tillot fjerneksekvering av kode gjennom spesiallagde nettsteder eller e-poster. Den faktiske skaden ble begrenset, siden Microsoft har jobbet tett sammen med partnere som Norman, med å ta ned nettsteder som tilbyr ondsinnet kode og formidler URLer til ondsinnede steder.

17. april: Ytterligere to dusin sikkerhetsfeil i Firefox

Nettleseren Firefox fra Mozilla har alltid vært omtalt som sikrere enn Microsofts Internet Explorer. Men Firefox har allerede hatt flere sikkerhetsoppdateringer i år enn Internet Explorer hadde i hele fjor. Hittil har Mozilla Foundation sluppet ikke mindre enn 21 feilrettinger til Firefox. Blant annet kan disse feilene bli utnyttet til phishing-angrep og å tukle med sikkerhetsrestriksjoner eller sensitive data.

18. april: Norman under tjenestenektangrep

Kl 16.30 ble Normans populære Sandbox Information Center (http://sandbox.norman.com) utsatt for et distribuert tjenestenektangrep (DDoS). Som følge av angrep fra et Botnet, ble web/sql-tjeneren ekstremt travel. Med hjelp fra vår internettleverandør, ble DDoS blokkert ved internettilknytningen til Norge. Botneten ble stoppet, og Normans drift kunne fortsette som normalt.

Helt siden starten av Norman Sandbox Information Center, har folk prøvd å slå Sandboxen. Dette resulterer bl.a. i noen interessante henvisninger i ondsinnede programmer. Det er for eksemplet blitt listet hvilken seksuell preferanse Norman har, i følge de slemme gutta. Det burde være unødvendig å si at Normans seksuelle preferanse er hemmeligstemplet, og at alle forslag derfor vil være spekulasjoner.

19. april: Tre dusin flere feil i Oracle

Det ser ut til at dette året blir et år med mange og hyppige reparasjoner. Selv om disse reparasjonene har vært for flere Oracle-produkter, inkludert database- og tjenerprogramvare, gjør den omfattende bruken i store virksomheter at dette får stor betydning. Og sammen med sikkerhetsreparasjonene, har Oracle også gjort endringer i deres eksisterende verktøy, som kan sjekke standard innlogging og svake passord. Svake passord kan lett gjettes eller brukes i brute-force-angrep og hackere vil lett kunne få tilgang på denne måten.

Mai 2006

1. mai: American Express utsatt for falsk pop-up-vindu

Det velkjente kredittkortselskapet, American Express, er blitt utsatt for falske pop-up-vinduer. De har bedt om personlige detaljer som navn, fødselsdato, personnummer og mors pikenavn. Det er viktig å merke seg er at dette pop-up-vinduet til og med kunne dukke opp når brukeren har gått til American Express sitt eget nettsted. Pop-up-vinduet ble sannsynligvis laget av spionprogrammer som har blitt installert på datamaskinene til brukerne som har opplevd dette. Hundrevis av nye banktrojaner blir oppdaget i måneden.

2. mai: Distribuert tjenestenektangrep oppdaget på blog-nettsted

Millioner av blogger ble ikke lenger tilgjengelig etter et distribuert tjenestenenektangrep (DDoS) på Six Apart, en av de mest populære blog-tjenestene i USA. Det blir mer og mer vanlig med tjenestenektangrep på populære nettsteder.

9. mai: Velkommen til karnevalet: Ta en tur med SpyCar

EICAR-testfilen ble laget for å sikre at antivirusproduktene dine virker, finner virus og oppfører seg etter hensikten. Selv om det er en vanlig misforståelse, er oppdagelse av EICAR-testfilen IKKE en garanti for at antivirusproduktet ditt finner hvert eneste virus. Det er noen antivirusleverandører som, av egne grunner, har valgt å ikke oppdage EICAR-testfilen som et virus. Alle Norman-produkter, som innholder Normans søkemotor, oppdager EICAR-testfilen.

Et annet initiativ lansert for å "hjelpe" sluttbrukerne teste sine spionprogrammer, er SpyCar-prosjektet. SpyCar har definert seg selv som et sett med verktøy som skal etterligne spionprogramlignende oppførsel, men i en godartet form. Intelguardians laget SpyCar slik at hvem som helst kan teste det oppførselsbaserte forsvaret til et antispionvareverktøy. Men SpyCar fungerer nokså generelt. Det er veldig vanlig at sluttbrukere med vilje endrer oppstartsside i Internet Explorer automatisk, ved å klikke på en lenke på deres favoritthjemmeside. Det samme skjer for å endre standard søkeside. Disse handlingene er ikke nødvendigvis gjort av spionprogrammer eller reklameprogrammer.

En av bakdelene med SpyCar er at den kun konsentrerer seg om Internet Explorer, og fokuserer ikke på andre populære nettlesere som Firefox og Opera. EICAR-testfilen er plattformuavhengig. Etterspørselen etter en testfil for antispionprogrammer har økt i den senere tid. EICAR vil endre beskrivelsen til EICAR-testfilen fra en testfil for antivirus til en testfil mot ondsinnede programmer generelt. Definisjonen og innholdet til den 68 byte-filen forblir den samme. Dette kan ikke endres uten å skape store problemer verden rundt i antivirusindustrien.

11. mai: Sikre Mac OSX, 43 feil fikset

Det antatt mye sikrere Mac OSX, er ikke så sikkert likevel. Det var først etter BootCamp at Macintosh-maskiner ble mer populære. De nye Macintosh-maskinene er Intel-prosessorbaserte, og BootCamp gjør at du kan velge mellom Mac OSX og Windows, når du starter Macen. Siden målgruppen har økt, har folk plutselig blitt mer interesserte i Mac OSX, og dermed er det oppdaget flere svakheter enn det som tidligere var tenkelig. Ikke mindre enn 31 OSX- og 12 Safari-svakheter ble fikset. Safari er nettleseren til Mac OSX.

12. mai: ContextPlus RootKit biter i gresset

ContextPlus har stoppet aktiviteten. Firmaets mest kjente programmer er PeopleOnPage og Apropos. Blir de installert, vil de overvåke nettleseratferden og sende ervervet informasjon til ContextPlus-tjenere. Basert på nettleserbruken, vil brukeren bli møtt med pop-up-vinduer som nokså beleilig gjenspeiler brukerens interesser. Det er selvfølgelig ganske irriterende hvis vinduene popper opp hele tiden. Under installasjonen av disse programmene, tar den i bruk kjernemodus-Rootkit-teknologi, for å gjemme seg for antispionprogrammer. Som kjent er det langt fra enkelt å oppdage programmer som er gjemt med denne typen teknologi.

25. mai: Den nye "reklamen"

Uansett begivenhet, er det alltid noen som vil prøve å oppnå penger fra den. Det kommende verdensmesterskapet i fotball i Tyskland er offeret denne gangen. En ny orm, kalt W32/Banwarum, sender ut tyskspråklige e-poster, som ved noen tilfeller tilbyr utskrivbare billetter til kampene. I virkeligheten sender ormen ut et passordbeskyttet filarkiv, som igjen inneholder en kopi av ormen, hvor passordet er inni e-posten. Det burde være unødvendig å si at det ikke er noen billetter i dette arkivet (som om gyldige billetter lett kan skrives ut).

Juni 2006

6. juni: Angrepet av tall

Siden 6. juni har en stor mengde firmaer lagt merke til rare e-poster, hvor mottakeradressen er den samme som avsenderadressen. Emnefeltet og selve e-postteksten har begge bestått av vekslende numre mellom 3 til 7 sifre lange, og det har ikke vært vedlegg eller integrerte skript. Når man ser på e-posthodet, kan man se at frafeltet er tuklet med. Det er visse ondsinnet program,, som sender ut disse "test"e-postene. Det spekuleres i om det er forsøk på å rense en e-postliste for ugyldige oppføringer, og kanskje bekrefte nye. Andre sier at dette vil bli brukt til søppelpost eller phishing. Til slutt viste det seg at det var meldinger sendt ut av en ny Bagle-variant.

12. juni: Innbrudd hos energidepartementet i USA

Personlig informasjon som navn og personnummer er blitt kopiert fra en fil på systemet til Energidepartementet i USA. Informasjonen, som for det meste er om kontraktarbeidere, kan selvfølgelig bli misbrukt på mange måter. Dataene var i en ugradert del av nettverket og ikke den delen som inneholder data om atomsystemer, som er bedre sikret. Selv om tyveriet skjedde et par måneder tidligere, ble det først innrømmet på en offentlig høring. Frem til høringen ble det ikke gjort forsøk på å informere de som eide informasjonen som ble tatt.

13. juni: MS06-021: Internett Explorer gjør det igjen

Ikke mindre enn åtte kritiske og viktige svakheter ble fikset ved denne oppdateringen. Hvis en angriper utnytter en eller flere av disse sårbarhetene, kan han/hun ta full kontroll over et angrepet system. Angriperne kan da installere programmer eller tukle med verdifulle data. Videre kan angriperne opprette nye kontoer med fulle brukerrettigheter.

13. juni: MS06-027: Sårbarhet i Microsoft Word

En svakhet som er funnet i Microsoft Word, også identifisert som CVE2006-2492, gjør programmet åpent for angrep. Inni et spesiallaget Word-dokument, kan en angriper kjøre operativsystemkode, som ville tillate ham å ta full kontroll over systemet. Flere bevis på denne svakheten er publisert, men heldigvis ingen med skadelig innhold.

21. juni: WiFi som et sikkerhetshull

USA-basert forskning har klart å ta kontrollen oven en bærbar PC ved å manipulere kode i enhetsdriveren til systemets WiFi-kort. Med hjelp av åpen-kildekodeprogrammet, "Lots of Radio Connectivity" (LORCON), har de sendt mengder av trådløse pakker til forskjellige trådløskort. På denne måten har de funnet mange feil WiFi-enhetsdrivere. En av dem tillot dem å ta full kontroll over den bærbare PCen hvis de utnyttet feilen. Forskerne vil legge frem informasjonen med en demonstrasjon 2. august i år på sikkerhetskonferansen Black Hat i Las Vegas.

30. juni: Macintosh under angrep igjen

Bare en dag etter at Apple offentliggjorde oppdateringer for sine operativsystemer, inkludert OSX, er det blitt sluppet kode for å utnytte en av svakhetene. Selv om svakheten (i den "lanserte" systemkomponenten) er reparert ved oppdateringen, viser erfaring at det tar tid før alle har tatt i bruk utbedringen. Det ser ut til at Mac-verdenen vil bli like usikker som Windows sin. Dette er en sideeffekt forårsaket av den økende populariteten til Macintosh, spesielt siden de nye PowerBookene nå har Intel-prosessor og er i stand til også å kjøre Windows XP.

30. juni: WinFS utsatt igjen

Microsofts nye, avanserte filsystem, WinFS, som skulle bli offentliggjort i Windows Vista, er igjen blitt utsatt. Opprinnelig skulle det være et av hovedelementene i Windows Vista, et databasedrevet filsystem, men gjennom år har det allerede forårsaket forsinkelser. Microsoft har nå annonsert at Vista vil bli sluppet uten WinFS, og at WinFS ikke vil bli gjort tilgjengelig som et innpluggingsprogram for verken Windows Vista eller Windows XP.

Grunnen til utsettelsen er uklar. Hvis det ikke er teknisk, kan det være rettslig. Flere mennesker har brakt på banen monopolspørsmål ved WinFS-systemet siden det allerede er databasedrevet.

Security Information

Forrige oversikt over sikkerhendelser

Oversikten over sikkerhetshendelser for 1. kvartal i 2006 er tilgjengelig fra denne lenken.

AKTUELLE VIRUSTRUSLER

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Nyeste virusdefinisjonsfiler publisert

>>	2009-01-07

Sikkerhetsinformasjon

>>	Summing up 2008 and predictions for 2009
>>	Christmas time - a season to enjoy AND fear

Sikkerhetsnyheter og -anbefalinger

>>	Unscheduled update for Microsoft Internet Explorer
>>	Six critical updates for Microsoft systems in December 2008

Norman er blant verdens ledende firma innen datasikkerhet. Med produkter som antivirus (viruskontroll), antispam, antiadware og personlig brannmur, spiller selskapet en viktig rolle i dataindustrien.