av Mikael Winterkvist | aug 18, 2022 | Säkerhet
Under tisdagskvällen så släppte Apple viktiga säkerhetsuppdateringar för macOS, iOS och iPadOS – uppdateringar för åtminstone två säkerhetshål som exploateras, aktivt, ute på nätet. Så, uppdatera, nu!
Det handlar om två, synnerligen allvarliga buggar ur säkerhetssynpunkt därför att de kan exploateras på avstånd, på distans, vilket nästan alltid är den absolut farligaste typen av buggar.
WebKit
Det finns en säkerhetsbugg (RCE), CVE-20220-32893 i Apples HTML-renderingsprogram (WebKit), med hjälp av vilket en webbplats kan lura iPhones, iPads och Macs att köra otillåten och opålitlig programkod. Enkelt uttryckt så kan en hemsida prepareras med skadlig programvara , som körs när du besöker hemsidan.
WebKit är den viktiga del av Apples webbläsarmotor som används all webbrenderingsprogramvara på Apples mobila enheter. WebKit finns i webbläsaren Safari och en rad andra program och i iOS och iPadOS så används WebKit oavsett om du valt att installera och använda Firefox, Brave, Google Chrome eller DuckDuckGo. WebKit används i alla webbläsare och i en lång rad andra program och appar.
Kärnan
Det finns även en bugg i kärnan, kernel, CVE-2022-32894, som kan exploateras för att ta över din enhet. Kombineras dessa båda buggar, vilket alltså görs, aktivt, just nu ute på nätet, så kan din iPhone, din iPad eller din Mac kapas och tas över av obehöriga.
Så hur stor är risken för att just du ska råka illa ut då?
Liten, till och med mycket liten men det är ingen god idé i sammanhanget att sitta och leka med sannolikheter och vrida och vända på statistik. Situationen kan förändras mycket snabbt om det visar sig att buggarna börjar att exploateras ute på nätet. Det handlar om två, synnerligen allvarliga säkerhetsbuggar som det nu finns uppdateringar för att åtgärda problemen.
Uppdatera, nu!
av Mikael Winterkvist | aug 17, 2022 | Säkerhet
Hackare har attackerat vattenverket South Staffordshire Water i Storbritannien. Verket förser 1.6 miljoner innevånare med vatten men trots attacken så säger vattenverket att driften inte påverkats. Hackarna har sedan hävdat att de lyckats stjäla information från vattenverket Thames Water, Storbritanniens största vattenverk vilket bolaget förnekar.
När hackarna, som kallar sig The Clop, sedan ska visa upp bevis på sitt påstådda lyckade intrång i Thames Waters så visar de upp data som stulits i samband med intrånget hos South Staffordshire Water så antingen har hackarna blandat ihop vattenverket och bolagen eller så försökte de helt enkelt bluffa det betydligt större bolaget, Thames Water, med förhoppningen att kunna utkräva en lösensumma.
Tillgång
The Clop hävdade att de hade tillgång till vattenverkets system, SCADA, och att de kunde manipulera det vattnen som distribuerades och att de på det sättet kunde skada närmare 15 miljoner kunder. Thames Water är nämligen Storbritanniens största vattenleverantör och leverantör av avloppsvattenrening och betjänar Greater London och områdena kring Themsen.
Hackarna påstod sedan att de informerat Thames Water om dess brister i säkerheten och hävdar vidare att de agerat ansvarsfullt genom att inte kryptera deras data och bara plocka ut 5 TB från de komprometterade systemen.
Problemet är alltså att the Coop hela tiden har data från ett vattenverk medan de kommunicerar med ett helt annat vattenverk.
Bleeping Computer
av Mikael Winterkvist | aug 14, 2022 | Säkerhet
Zoom, det kinesiska programmet för videosamtal har gjort det igen – missat en säkerhetsbugg som gör det möjligt att kapa en Mac-dator. Kasta ut programmet – använd det inte är mitt råd.
Det är inte ointressant att Zoom har kinesiska ägare. I min bok är det en stor, fet röd flagga och Zoom kommer inte i närheten av någon av mina enheter; inte på några villkors vis.
Nu beror det inte uteslutande på att det är kinesiska ägare utan om att Zoom har en fullständigt urusel historik när det handlar om säkerhet i kombination att du i princip inte kan lita på ett ord som Zoom skriver eller säger. Zoom ljuger, lindar in information, utelämnar information och gör allt de kan för att du ska vilseledas som användare.
Tro inte på Zoom – kasta ut programmet
Jag skrev den texten i april 2020 och det finns ingen anledning att backa på utlandet en enda millimeter.
Zoom fortsätter att skapa rubriker på grund av bristande säkerhet
Zoom ljög medvetet om sin kryptering, hur den hade implementerats och all för att du som användare skulle förledas till att tro att Zoom är ett säkert program att använda.
Chef på Zoom åtalas för censur och för att ha skickat information till kommunist-Kina
Böter:
Zoom får betala 85 miljoner dollar efter ha delat data med andra utan medgivande från användarna
Nu är det alltså dags igen – en ny allvarlig säkerhetsbugg som kan exploateras för att ta över och kapa en Mac:
En säkerhetsforskare har hittat ett sätt som en angripare kan utnyttja macOS-versionen av Zoom för att få åtkomst över hela operativsystemet.
Detaljer om utnyttjandet släpptes i en presentation som hölls av Mac-säkerhetsspecialisten Patrick Wardle vid Def Con-hackningskonferensen i Las Vegas i fredags. Några av de inblandade buggarna har redan åtgärdats av Zoom, men forskaren presenterade också en opatchad sårbarhet som fortfarande påverkar system nu.
The Verge
av Mikael Winterkvist | aug 5, 2022 | Säkerhet
Över 4 TB data har stulits från det israeliska företaget Cellebrite, ett företag som säljer produkter som kan användas för att hacka och ta sig in i mobila enheter, däribland Apple iPhone.
Den stulna informationen, drygt 4 TB data, har stulits av en okänd, anonym läcka. och har sedan lämnats över till DDoSecrets. Den läckta informationen är endast tillgänglig för forskare och journalister som kan få tillgång till informationen genom att begära att få access via Distributed Denial of Secrets (DDoSecrets), en ideell whistleblower-organisation.
Databasen och informationen finns i två delar, Cellebrite Mobilogy och Cellebrite Team Foundation Server och det kan handla dels en attack, dels att någon på insidan läckt informationen – två samtidiga incidenter. Det kan också vara så att attacken nedan möjliggjorts med hjälp av den information som läckts inifrån Cellebrite.
Knäcka
Cellebrite har gjort sig ett namn med att producera mjukvar och hårdvara som kan användas för att knäcka och ta sig in i mobilen enheter, även Apples iPhone.
Cellebrite hävdar att de kan låsa upp alla iPhone
Attack
I attacken riktad mot säkerhetskopieringsfiler för Cellebrite Team Foundation Server stals 430 GB data. Enligt uppgift har cirka 3,6 TB data läckt ut från Cellebrite Mobilogy. Den produkten används för enhetsdiagnostik, säkerhetskopiering av innehåll, överföring och återställning.
Den eller de som ligger bakom denna dataläcka är ännu inte identifierad och ingen cyberkriminell eller hackergrupp har tagit sitt ansvar. Hur datan stulits och hur attacken genomförs är inte heller känt.
av Mikael Winterkvist | aug 1, 2022 | Säkerhet
Nu har det börjat att dyka upp nya bedragarbrev på nätet med hot om att data ska raderas eller offentliggöras. Den här gången understrykas de obehagliga hoten med en tvist – en klocka som räknar ned.
Bedrägeriet är likt tidigare uppdelat i flera steg där det börjar med att mottagaren får ett epostmeddelande med innebörden att någon har försökt logga in på mottagarens konto och som en säkerhetsåtgärd så ombeds mottagaren att verifiera sin e-postadress. Så snart mottagaren kommer till den aktuella adressen, en falsk hemsida så börjar en klocka att räkna ned och sedan visas informationen att om e-postadressen inte verifieras innan tiden har runnit ut så kommer informationen att raderas.
Allt är en bluff och har du fått ett sånt har brev så kasta det – klicka absolut inte på några länkar.
Uppmärksammats
Breven har uppmärksammats av säkerhetsföretaget Cofense som gått igenom hela processen och tittat på vilka servrar och falska hemsidor som används.
Timern delar också panikskapande information av ransomware-typ, allt utformat för att pressa mottagaren att ange sina referenser utan att gissa. Dessa detaljer raderas inte och genereras bara slumpmässigt som en del av skrämseltaktiken. Ungefär samma sak som en ”timer” för ransomware för permanent radering av filer om lösensumman inte betalas.
Klockan och nedräkningen finns där för att skrämmas och för att lura/tvinga användaren att lämna ifrån sig sina kontouppgifter men som sagt – allt är en bluff och ett försök till nätfiske (phishing).
av Mikael Winterkvist | aug 1, 2022 | Säkerhet
Det kommer att ta flera år att plöja igenom den enorma mängd data som stulits av Anonymous hittills under det digitala kriget mot Ryssland. Det handlar om mycket stora mängder epostmeddelanden, dokument och information i databaser som stulits och offentliggjorts.
Kort efter det att Ryssland anföll Ukraina så deklarerade hackarkollektivet Anonymous krig mot Ryssland.
Hundratusentals hackare anslöt sig sig och kort därefter började de första fullbordade intrången att rapporterteras. I takt med att företag, myndigheter och organisationer fick påhälsningar av Anonymous så visade det sig att det ryska cyberförsvaret var ungefär i lika dåligt skick som den ryska armen som skickades till Ukraina.
Terabyte
Sedan krigsförklaringen så har hundratals ryska datorsystem hackats och ryska myndigheter, företag och organisationer har blivit av med åtskilliga terabytes med data. Mycket av den information har sedan laddats upp till Distributed Denial of Secrets där den nu ligger och väntar på att gås igenom, bara det arbetet beräknas ta flera år.
Anonymous har även avslöjat myten om de ryska hackarnas överlägsenhet och påståenden om att ryssarna skulle vara ovanligt begåvade när det handlar om att skydda sin information. Det är en myt som inte minst upprätthållits inne i Ryssland i information till det egna folket. Även om få utanför Ryssland har trott på myten fullt ut så har Anonymous avslöjat att skyddet runt data i Ryssland är i långt sämre än vad många har trott. Anonymous har lyckats att exploatera flera år gamla, kända buggar. Kända problem som rimligen borde ha åtgärdats för länge sen. Hackarkollektivet har lyckats att hacka praktiskt taget allt som år att hacka, epostservrar, övervakningskameror, streamingtjänster, radio- och tv-stationer bara för att nämna några exempel.
Det ryska propagandamaskineriet har försökt tona ned de digitala attackerna men inte ens ryssarna själva kan bortse ifrån den skada som Anonymous åstadkommit när de exempelvis stulit information om ett mycket stort antal FSB-agenter i Moskavområdet.
Anonymous slår till mot finansbolag, övervakningsbolag och investeringsbolag
FSB är Ryssland underrättelsetjänst och vilka agenter som finns i ett visst område och var de bor är extremt känslig information.
Scanningar
Attackerna mot ryska system är i sig inte särskilt komplicerade – innan själva attacken sätts in vill säga. Det brukar starta med en scanning av IP-nummer. Ett spann av IP-nummer scannas av, information om servrar och datorer samlas in. Versionsnummer är viktig information i sammanhanget därför att de kan avslöja vilka uppdateringar som har, eller inte har installerats. Därefter kan Anonymous antingen välja mellan att attackera utvalda system eller så körs en scanning till och nu letas det efter kända säkerhetshål. Den här aktiviteten kan göras medan hackaren själv sysslar med annat, sover exempelvis. Det finns en metodik och en logik i hur en attack genomförs och även vilka system som attackeras. E-postsystem är populära mål därför att här finns meddelande och dokument i stor mängd och servrarna innehåller också mycket ofta äldre information. En snabb genomgång av Distributed Denial of Secrets visar också mycket riktigt att många av de system som har hackats är e-postsystem.
DDoS-sercrets innehåller nu enorma mängder data – stulen av Anonymous
Datorsystem
En genomgång av olika uppgifter pekar mot att Anonymous kan ha lyckats att hacka så många som drygt 2500 ryska datorsystem. Uppgifterna är hart när omöjliga att verifiera men historisk så har Anonymous aldrig ljugit om intrång, vilket inte är helt ovanligt i hackarkretsar. I flera fall så har Ryssland tillbakavisat uppgifter om intrång vilket bara resulterat i att Anonymous då har publicerat och offentliggjort information som stulits, som bevis.
WebSitePlanet har kontrollerat 100 utvalda system som påstods vara hackade och kunde verifiera 92 av dem.
Anonymous har inte bara attackerat ryska system utan även system tillhörande företag som fortsatt att göra affärer med Ryssland. Schweiziska Nestle har attackerats liksom advokatbyråer och revisionsbyråer, utanför Ryssland, bland andra.
Förutom intrång så har ryska webbplatser blockerats med överbelastningsattacker och Anonymous lyckades fördröja Putins tal i samband med St. Petersburg International Economic Forum i juni i år. Den typen av attacker har lett till att flera ryska webbplatser bara går att nå inifrån Ryssland. All trafik utifrån blockeras.
Styrka
Här i ligger Anonymous styrka. Hackarkollektivet, som är mycket löst sammansatt utan någon uttalad ledare, anfaller på bred front med att till buds stående medel. Det betyder att ryska system utsätts för allt från enklare övmerbelastningsattacker till mer sofistikerade och avancerade attacker från individer med verklig spetskompetens. Detta från ett stort kollektiv, det beräknas handla om drygt 360 000 hackare, som opererar i form av oberoende enskilda celler som består av allt från en enda person till en mindre grupp.
Förutom skadan i form av att känslig intern information offentliggjorts så har Anonymous också orsakat direkt skada på hackade system. Filer har krypterats, gjorts oläsliga, raderats och ersatts med slogans och protester mot kriget. Filer har döpts om till ”Stop-the-War” och ”Stop-Putins-Lies” för att ta några exempel.
Hackade system har infekterats med trojaner och andra skadliga program vilket lett till att skadorna blivit omfattande – utöver hackade e-postservrar.
Ryssland
I sammanhanget ska sägas att Ryssland har slagit tillbaka, digitalt, och även lyckats att hacka Ukrainska system, och system i andra länder. Ska vi tro att antalet rapporter ger en någorlunda hygglig bild över hur många system det kan handla om så ser det ut som att Anonymous varit långt mera framgångsrika än ryska hackare. Nu ska understrykas att den typen av information, från Ryssland, dels är allt annat ön pålitlig, dels har svårt att nå ut. Det finns en klar och tydlig slagsida här där informationen från Anonymous snabbt publiceras medan den andra sidans eventuella framgångar knappt rapporteras alls.
På senare tid så har antalet rapporter om lyckade intrång gjorde av Anonymous, mot ryska system, minskat betydligt. Vilket kan förklaras av flera anledningar – ryska system har stegvis fått ett bättre skydd och Anonymous har hackat ett mycket stort antal system. Det finns inte helt enkelt inte särskilt många system kvar att hacka. Ryska myndigheter har hjälpt tydliga måltavlor för attacker, radio- och tv-stationer, andra medier, företag som hanterar känslig information med konsulthjälp för att förbättra säkerheten. I takt med att system hackats så har även de egna IT-avdelningarna vaknat och gjort det de borde ha gjort – uppdaterat sina system.
Kriget, det digitala ute på nätet, har dock inte tagit paus. Det pågår timme för dimme, dygnet runt.
