Tietoturvauutiset ja blogipostaukset

[Special Once]

Tulossa mielenkiintoinen ominaisuus Firefoxiin seuraavassa versiossa, joka julkaistaan näillä näkymin ensi kuussa.

Firefox to ship 'network partitioning' as a new anti-tracking defense

Firefox's "network partitioning" feature to ship in v85, scheduled for January 2021.

www.zdnet.com

The difference is that Network Partitioning will allow Firefox to save resources like the cache, favicons, CSS files, images, and more, on a per-website basis, rather than together, in the same pool.
This makes it harder for websites and third-parties like ad and web analytics companies to track users since they can't probe for the presence of other sites' data in this shared pool.

Tätä on tullut mietittyä jo vuosikausien ajan, että miksei yksikään selain (käsittääkseni?) ole tämmöistä ominaisuutta tarjonnut. Todella kaivattu lisä.

 

[TenderBeef]

miksei yksikään selain (käsittääkseni?) ole tämmöistä ominaisuutta tarjonnut

Ghacks kertoo, että "While Firefox is not the first web browser to support network partitioning, that honor goes to Apple and the company's Safari web browser"

 

[A Lake Elk]

Tää mun postaus toisessa ketjussa saattaa kiinnostaa myös täällä, kun asiaan liittyy: eettinen hakkerointi, ddos, salasanan murtaminen, CCNA opastusta, jne.

Youtuben ja muiden videopalveluiden helmiä

Paras SpeceX dokkari mitä tullut vastaan.

bbs.io-tech.fi

 

[Agent_007]

Zyxelin tietyistä verkkolaitteista on löytynyt piilossa oleva käyttäjätili, jonka käyttäjätunnus on zyfwp ja salasana on tiedossa. Kyseisiin laitteisiin voi noilla tiedoilla kirjautua sisään sekä SSH:n että web-käyttöliittymän kautta ja tilillä on admin-oikeudet. Tiliä ei voi poistaa oletuskäyttöliittymän kautta. Päivitys on saatavilla.

Undocumented user account in Zyxel products (CVE-2020-29583) | EYE

Zyxel is a popular brand for firewalls that are marketed towards small and medium businesses. Their Unified Security Gateway (USG) product line is often used as a firewall or VPN gateway. As a lot of us are working from home, VPN-capable devices have been quite selling well lately.

www.eyecontrol.nl

 

[=JP=]

Tässä kun monillakin on aikaa välipäivinä, niin tuossa olisi "pieni" dokumentti (päivitetty juuri, edelleen työn alla myöskin), jossa käsitellään laajasti yksityisyyteen liittyvistä asioista:

The Hitchhiker’s Guide to Online Anonymity

The Hitchhiker’s Guide to Online Anonymity

anonymousplanet.github.io

Ja jos haluaa ihan PDF muodossa: https://github.com/AnonymousPlanet/thgtoa/raw/main/guide.pdf

This updated guide aims to provide introduction to various tracking techniques, id verification techniques and guidance to creating and maintaining reasonably anonymous identities online including social media accounts safely.
Will this guide help you protect yourself from the NSA, the FSB, Mark Zuckerberg or the Mossad if they’re out to find you? Probably not … Mossad will be doing “Mossad things” and will probably find you no matter how hard you try to hide.
You have to consider your threat model before going further.

 

[=JP=]

Noniin, nyt se on alkanut (aikaisemmin kirjoitinkin jo asiasta), eli Youtube saattaa yhtäkkiä vaatia käyttäjää todistamaan ikänsä, joko antamalla luottokortti tiedot taikka henkkarit...

Helvata menee hermot tohon imgur -systeemiin, ku tää Xenforo yrittää, niin olkoon tää teksti linkkinä sitten kuviin.

 

[Algron28]

Noniin, nyt se on alkanut (aikaisemmin kirjoitinkin jo asiasta), eli Youtube saattaa yhtäkkiä vaatia käyttäjää todistamaan ikänsä, joko antamalla luottokortti tiedot taikka henkkarit...

Helvata menee hermot tohon imgur -systeemiin, ku tää Xenforo yrittää, niin olkoon tää teksti linkkinä sitten kuviin.

Ilmeisesti liittyy johonkin byrokratiakiimaiseen EU-pykälään

YouTube will launch a new age-verification requirement for some European users

In a blog post announcing the upcoming change, YouTube said the age-verification policy is in compliance with the European Union’s Audiovisual Media Services Directive. That means some users in the region must submit proof of age when they try to watch videos with age limitations in cases where YouTube is unable to confirm that they're of the right age.

Youtubessa tosin on viime aikoina pistetty rahantekovaihde päälle sillä ilman mainosten estoa tai maksullista tiliä palvelu on käyttökelvotonta paskaa nykyisin.

 

[KoneenKokoaja]

KRP pitää mahdollisena, että eduskunnan kyberhyökkäyksen taustalla on valtiollinen toimija

KRP kertoo, että eduskunnan tietojärjestelmiin kohdistuneen tietomurron esitutkinta aloitettiin loppusyksystä. Poliisi selvittää tietomurron tekotapaa ja sitä, kuka tai ketkä murron ovat tehneet. Asiaa tutkitaan epäiltynä törkeänä tietomurtona ja vakoiluna. – Teko ei ole sattumanvarainen tai...

demokraatti.fi

Olisi mielenkiintoista tietää miten syvälle järjestelmiin on menty onko esim. puolustusvaliokunnan salaiset maanpuolustusta koskevat salaiset dokumentit vuotaneet tai muut turvallisuuteen liittyvät salaiset dokumentit.

 

[dot1q]

Epäilen hyvin vahvasti, että on sen verran monta kerrosta verkossa, jottei PV matskuun pääse tuolla jutun kuvauksen mukaisella tekotavalla käsiksi.

 

[=JP=]

Tässä vähän parempi artikkeli asiasta:

KRP tutkii äärimmäisen harvinaista rikosta: Eduskuntaan kohdistunut tietomurto voi olla vakoilua ja kansanedustajien sähköposteja vaarantunut

Vääriin käsiin on päätynyt esimerkiksi kansanedustajien sähköposteja.

yle.fi

Liekkö tässä yhteyttä tuohon laajaan SolarWinds asiaan, mitä on käsitelty etenkin USA yhteydessä laajoissa hakkerointi operaatioissa. Myöskin Microsoft on ollut kohteena tässä asiassa ja sitten voikin lukea tälläisen uutisen menneisyydestä:

Kansanedustajat siirtyivät Outlookiin

Kansanedustajat ovat tämän viikon ajan harjoitelleet Microsoftin Exchange –sähköpostijärjestelmän ja Outlook-ohjelman käyttöä.

www.is.fi

Onneksi kuitenkin: Eduskunta on ulkoistanut sähköpostijärjestelmän ylläpidon Tiedolle. Palvelimet ovat eduskunnan omassa hallinnassa. Eduskunnalla on myös oma konesali.
Mutta, miten itse hallinta on toteutettu, niin voidaan vaan arvailla...

Ja täällä on juttua, miten esimerkiksi Exchangen MFA (Multi-Factor Authentication) on ohitettu ja päästy käsiksi sähköpostiin:

Dark Halo Leverages SolarWinds Compromise to Breach Organizations

Volexity is releasing additional research and indicators associated with compromises impacting customers of the SolarWinds Orion software platform. Volexity has also published a guide for responding to the SolarWinds breach, […]

www.volexity.com

exploiting a vulnerability in the organization’s Microsoft Exchange Control Panel. Near the end of this incident, Volexity observed the threat actor using a novel technique to bypass Duo multi-factor authentication (MFA) to access the mailbox of a user via the organization’s Outlook Web App (OWA) service.

Syvemmälle en jaksanut alkaa foliopipoa vetämään päähän

Ja pelottaa ajatella, josko siellä on eduskunnassakin joku WhatsApp käytössä kommunikointiin, sen helppokäyttöisyyden takia jne... Johan sitä Zoomiakin käytetäään monen maan hallituksessa ja saanut lukea ku ministerit twiitanneet salasanat noihin "vahingossa", että kuka vaan päässyt kuuntelemaan salaisia tapaamisia.

Vedän foliopipoa vähän syvemmälle siis

 

[debuggeri]

Tässähän tuo oleellisin on: "Eduskunta on ulkoistanut sähköpostijärjestelmän ylläpidon Tiedolle."

 

[ztec]

Tätä on tullut mietittyä jo vuosikausien ajan, että miksei yksikään selain (käsittääkseni?) ole tämmöistä ominaisuutta tarjonnut. Todella kaivattu lisä.

Toinen ominaisuus on tab-isolation, sitä mäkin olen kysellyt vuosikausia. Mutta sekin järjesyy Firefoxissa temp containerien avulla. Esimerkiksi tämä tabi on nyt sessiossa numero #13. Eli jokainen tabi avaa oman session, ja sitten niitä voi yhdistellä tai eritellä.

 

[Desgorr]

Hyvin on yksityisyys ainakin hoidettu Zoomissa:

Jaahas: Zoomin työntekijä lähetti käyttäjätiedot suoraan Kiinan tiedustelupalvelulle

Videoneuvottelupalvelua tarjoavan Zoomin työntekijä jäi kiinni käyttäjien sensuroimisesta. Kiinaa kritisoivia käyttäjiä syytettiin monista eri rikkeistä.

www.mikrobitti.fi

 

[Ormu]

Youtubessa tosin on viime aikoina pistetty rahantekovaihde päälle sillä ilman mainosten estoa tai maksullista tiliä palvelu on käyttökelvotonta paskaa nykyisin.

Ublock Origin hoitelee onneksi niin mainokset, sisäänkirjautumiskehotukset kuin GDPR-käyttöehtojen kyselytkin.

Ikätarkistuksiin se tuskin tulee tehoamaan, mutta katsotaan.

 

[Sulava]

Solarwinds haavaan liittyen päivitystä Microsoftilta: Microsoft Internal Solorigate Investigation Update – Microsoft Security Response Center
Päästy lukemaan Microsoftin tuotteiden lähdekoodia, mutta tunnuksilla ei onneksi ollut oikeutta tehdä muutoksia.

We detected unusual activity with a small number of internal accounts and upon review, we discovered one account had been used to view source code in a number of source code repositories. The account did not have permissions to modify any code or engineering systems and our investigation further confirmed no changes were made. These accounts were investigated and remediated.

[..]we do not rely on the secrecy of source code for the security of products, and our threat models assume that attackers have knowledge of source code. So viewing source code isn’t tied to elevation of risk.

Microsoft tosiaan jakaa ainakin osaa lähdekoodista NDA:n alaisille partnereille, joten ei tässä mitään kovin suurta vahinkoa tapahtunut, vaikka varmasti lähdekoodin perusteella on helpompaa löytää haavoittuvuuksia. Mutta onhan tässä ollut ainekset Solarwindsiä paljon pahempaan backdooriin, kun ei tule montaa paikkaa mieleen missä ei olisi Microsoftin tuotteita käytössä. Backdoor jossain Windowsin komponentissa olisi ollut aika mielenkiintoinen tilanne.

 

[KoneenKokoaja]

Solarwinds haavaan liittyen päivitystä Microsoftilta: Microsoft Internal Solorigate Investigation Update – Microsoft Security Response Center
Päästy lukemaan Microsoftin tuotteiden lähdekoodia, mutta tunnuksilla ei onneksi ollut oikeutta tehdä muutoksia.



Microsoft tosiaan jakaa ainakin osaa lähdekoodista NDA:n alaisille partnereille, joten ei tässä mitään kovin suurta vahinkoa tapahtunut, vaikka varmasti lähdekoodin perusteella on helpompaa löytää haavoittuvuuksia. Mutta onhan tässä ollut ainekset Solarwindsiä paljon pahempaan backdooriin, kun ei tule montaa paikkaa mieleen missä ei olisi Microsoftin tuotteita käytössä. Backdoor jossain Windowsin komponentissa olisi ollut aika mielenkiintoinen tilanne.

Jos hakkerit on saaneet johonkin mikrosoftin viralliseen komponenttiin ujutettua oman etähallintasoftansa koodin sitä ei huomaa mikään virustorjuntakaan, koska viralliset komponentit, jotka on allekirjoitettu virallisilla microsoftin salausavaimilla on white listattu kaikissa tietoturvaohjelmissa ja käyttöjärjestelmä tasolla 100% turvallisena koodina jota saa ajaa ja joka saa ottaa verkkoyhteyksiä niin paljon kuin haluaa.

Vielä pahempi juttu jos koodiin on saatu ujutettua joku kernel tason rootkit sitä on lähes mahdoton havaita mitenkään varsinkin jos se koodi toimii vielä siten, että se ei edes aktivoidu kuin tarkkaan valituissa koneissa joita halutaan vakoilla eikä massana kaikkialla.

EDIT: Yksi mikä myös voi olla aika vittumainen tilanne on jos hakkerit ovat saaneet kaapattua Microsoftin allekirjoitusavaimet silloin hakkerit voivat tehdä omia päivityksiään, jotka asentavat etähallintasoftan koneeseen, mutta käyttöjärjestelmä luulee niitä virallisiksi Microsoftan päivityksiksi, koska ne on allekirjoitettu virallisilla salausavaimilla.

 

[KoneenKokoaja]

Pankeista on imuroitu miljoonia ehkä jopa kymmeniä miljoonia euroja euroopassa ja amerikassa käyttämällä hyväksi android puhelin emulaattoreita joilla on voitu ohittaa kaksivaiheinen tunnistautuminen. Hakkerit ovat rakentaneet automatisoituja botti farmeja, jotka siirtävät asiakkaan tunnistautumistiedot emulaattoriin esim. huijaamalla pankkia, että emulaattorin päällä pyörivä softa on asiakkaan uusi puhelin. Sitä miten hakkerit ovat saaneet käsiinsä asiakkaiden puhelinumerot ja muut simkoritin tiedot voidakseen kloonata emulaattorin päälle asiakkaan puhelimen ei tiedetä tällä hetkellä. Onko kyse tietojen kalastelusta vai esim muusta hakkeroinnista.

“Evil mobile emulator farms” used to steal millions from US and EU banks

Scale of operation is unlike anything researchers had seen before.

arstechnica.com

Eniten tässä naurattaa se, että varoittelin paljon siitä, että puhelimia ei pitäisi käyttää pankki tunnistautumisessa kun avainlukulistoista siirryttiin noihin mobiili tunnistautumiseen, mutta pankin geelitukka vakuutteli miten turvallisia ovat. No nyt se nähdään miten turvallisia muutamassa sekunnissa saadaan emulaattorilla luotua täysin automatisoidusti emulaattorin päälle asiakkaan puhelin ja automatisoidusti tyhjennettyä tili. Nykyään vielä sim-korteissakin on alettu siirtyä e-sim kortteihin, jossa sim kortin tiedot saadaan kloonattua täysin elektronisesti ilman tarvetta fyysiselle sim kortille.

 

[Special Once]

huijaamalla pankkia, että emulaattorin päällä pyörivä softa on asiakkaan uusi puhelin

Suomessa et voi huijata pankkia ja väittää että sulla on uusi puhelin. Tarvitset mobiilitunnistautumiseen ensimmäisellä kerralla aina avainlukulistan.

Eniten tässä naurattaa se, että varoittelin paljon siitä, että puhelimia ei pitäisi käyttää pankki tunnistautumisessa kun avainlukulistoista siirryttiin noihin mobiili tunnistautumiseen

Mobiilitunnistautuminen on jopa turvallisempi kuin avainlukulista, ainakin Suomessa.

 

[=JP=]

Pankeista on imuroitu miljoonia ehkä jopa kymmeniä miljoonia euroja euroopassa ja amerikassa käyttämällä hyväksi android puhelin emulaattoreita joilla on voitu ohittaa kaksivaiheinen tunnistautuminen. Hakkerit ovat rakentaneet automatisoituja botti farmeja, jotka siirtävät asiakkaan tunnistautumistiedot emulaattoriin esim. huijaamalla pankkia, että emulaattorin päällä pyörivä softa on asiakkaan uusi puhelin. Sitä miten hakkerit ovat saaneet käsiinsä asiakkaiden puhelinumerot ja muut simkoritin tiedot voidakseen kloonata emulaattorin päälle asiakkaan puhelimen ei tiedetä tällä hetkellä. Onko kyse tietojen kalastelusta vai esim muusta hakkeroinnista.

“Evil mobile emulator farms” used to steal millions from US and EU banks

Scale of operation is unlike anything researchers had seen before.

arstechnica.com

Eniten tässä naurattaa se, että varoittelin paljon siitä, että puhelimia ei pitäisi käyttää pankki tunnistautumisessa kun avainlukulistoista siirryttiin noihin mobiili tunnistautumiseen, mutta pankin geelitukka vakuutteli miten turvallisia ovat. No nyt se nähdään miten turvallisia muutamassa sekunnissa saadaan emulaattorilla luotua täysin automatisoidusti emulaattorin päälle asiakkaan puhelin ja automatisoidusti tyhjennettyä tili. Nykyään vielä sim-korteissakin on alettu siirtyä e-sim kortteihin, jossa sim kortin tiedot saadaan kloonattua täysin elektronisesti ilman tarvetta fyysiselle sim kortille.

Kannattaa lukea se uutinen ensin, eli noissa on ollut ns. SMS "multifactor" varmistus, jota ei pitäisi missään nimessä käyttää nykyään. En tiedä, onko Suomessa yhtäkään pankkia, joka käyttää tuota, vaan juurikin se oma Authentikaatio softa/avainlukulista, johon tämä hyökkäys ei toimisi.

 

[mikajh]

Nykyään vielä sim-korteissakin on alettu siirtyä e-sim kortteihin, jossa sim kortin tiedot saadaan kloonattua täysin elektronisesti ilman tarvetta fyysiselle sim kortille.

Huomattavasti eSim:iä turvattomampi on fyysinen kortti, varsinkin jos sen pin on disabloitu, 0000 tai 1234 ja on altis "tilaa uusi kortti väärään osoitteeseen" -huijaukseen.

 

[kuukie]

Liekkö niin että joidenkin pankkien käyttämät autentikaatiosovellukset on mahdollista siirtää lennosta uuteen laitteeseen? Ehkä käyttäjien puhelinten cloud backupit varastettu kierrätettyjen salasanojen takia ja palautettu emulaattoriin? Esimerkki huonosti toteutetusta autentikaattorista on Blizzardin softa joka siirtyy ongelmitta puhelimesta toiseen iOS-alustalla

 

[root]

Liekkö niin että joidenkin pankkien käyttämät autentikaatiosovellukset on mahdollista siirtää lennosta uuteen laitteeseen? Ehkä käyttäjien puhelinten cloud backupit varastettu kierrätettyjen salasanojen takia ja palautettu emulaattoriin? Esimerkki huonosti toteutetusta autentikaattorista on Blizzardin softa joka siirtyy ongelmitta puhelimesta toiseen iOS-alustalla

Minulle jäi uutisesta käsitys että noiden pankkien käytössä oli pelkkä SMS toisena vaiheena tunnistautumisessa. Jos tuo olisi parasta mitä suomalaiset pankit tarjoavat, harkitsisin vakavasti ylimääräisten rahojen säilyttämistä kotona.

 

[=JP=]

Zyxelin purkeissa on kiva "reikä", nyt julkaistu päivitys, eli jos sattuu olee käytössä, niin kannattanee päivitellä...

Secret Backdoor Account Found in Several Zyxel Firewall, VPN Products

A Secret Hard-Coded Backdoor Account Found in Several Zyxel Firewall, VPN Products

thehackernews.com

Zyxel has released a patch to address a critical vulnerability in its firmware concerning a hardcoded, undocumented secret account that could be abused by an attacker to login with administrative privileges and compromise its networking devices.

Täällä on lista laitteista, mutta tietenkin korjaus on tarjoalla vain laitteisiin, joissa on aktiivinen tuki jäljellä, eli vanhojen laitteiden käyttäjät jätetään kylmästi huomiotta (eikä edes listattu).

Zyxel security advisory for hardcoded credential vulnerability | Zyxel

Zyxel has released a patch for the hardcoded credential vulnerability of firewalls and AP controllers recently reported by researchers from Eye Control Netherlands. Users are advised to install the applicable firmware updates for optimal protection.

www.zyxel.com

we’ve identified the vulnerable products that are within their warranty and support period and are releasing firmware patches to address the issue

Tämä lausahdus kyllä ei kauhean hyvää kuvaa anna jostain firmasta, joka tekee laitteita, joissa pitäisi olla tietoturvakin kohdillaan!
Zyxel said the hardcoded credentials were put in place to deliver automatic firmware updates to connected access points through FTP.

 

[Agent_007]

Minulle jäi uutisesta käsitys että noiden pankkien käytössä oli pelkkä SMS toisena vaiheena tunnistautumisessa. Jos tuo olisi parasta mitä suomalaiset pankit tarjoavat, harkitsisin vakavasti ylimääräisten rahojen säilyttämistä kotona.

Joo toi on kyllä jännä miten esim. Yhdysvalloissa edelleen käytetään tekstiviestejä, vaikka kukaan ei sitä suosittele. esim. Applen tunnistautuminen developer-portaaliin luottaa edelleen tekstiviesteihin...

 

[Ormu]

Tämä lausahdus kyllä ei kauhean hyvää kuvaa anna jostain firmasta, joka tekee laitteita, joissa pitäisi olla tietoturvakin kohdillaan!
Zyxel said the hardcoded credentials were put in place to deliver automatic firmware updates to connected access points through FTP.

Selitys on täyttä roskaa, ja sen verran järjenvastainen, että tämä haiskahtaa jo ihan tahalliselta ja tietoiselta teolta. Automaattipäivitykset eivät vaadi takaporttitunnuksia todellakaan. Mikä on motiivi tai kuka on painostanut, sitä voidaan sitten spekuloida. Joka tapauksessa viimeistään nyt suosittelen jättämään Zyxelin laitteet kaupan hyllylle.

 

[KoneenKokoaja]

Minulle jäi uutisesta käsitys että noiden pankkien käytössä oli pelkkä SMS toisena vaiheena tunnistautumisessa. Jos tuo olisi parasta mitä suomalaiset pankit tarjoavat, harkitsisin vakavasti ylimääräisten rahojen säilyttämistä kotona.

Muutama suomalainen pankki käyttää SMS tunnistusta, mutta se toimii siten, että SMS viesti pyytää kirjoittamaan avainlukulistalta numeron. Joten pelkkä puhelimen hakkerointi tai numeron luvaton siirto toiselle sim kortille ei riitä suojauksen ohittamiseen vaan hakkerilla pitää olla myös avainlukulista hallussaan, koska muuten hän ei voi kirjoittaa pyydettyä numeroa.

 

[KoneenKokoaja]

Huomattavasti eSim:iä turvattomampi on fyysinen kortti, varsinkin jos sen pin on disabloitu, 0000 tai 1234 ja on altis "tilaa uusi kortti väärään osoitteeseen" -huijaukseen.

Ei onnistu ainakaan Elisalla, koska SIM kortti pitää aktivoida omaelisa palvelussa ennenkuin sillä voi tehdä mitään. Myöskään toisen nimissä olevan simkortin tilaaminen ei onnistu ilman kyseisen henkilön verkkopankkitunnuksia. Muista operaattoreista en tiedä kuulemma DNA tietoturva on ihan retuperällä näin olen ainakin kuullut siellä ehkä voi onnistua tuo.

Pin koodi on Elisalla vasta viimeinen suojaus ja senkin voi vaihtaa heti aktivoinin jälkeen haluamakseen.

 

[Infy]

Joulun aikaan OP:n ja S-Pankin puhelinsovellusten aktivointi tuli tehtyä. OP vaati verkkopankin käyttäjätunnuksen ja salasanan, sitten avainluku listalta ja vielä puhelimeen tullut varmistuskoodi päälle. S-Panki sovelluksen käyttäminen vaati samat asiat mutta sovelluksen pankkiosio vaati lisäksi vielä Suomi.fi tunnistautumisen.

 

[=JP=]

Telegramissa on mahdollista saada selville käyttäjän sijainti selville yksinkertaisella kolmiopaikannuksella:

Telegram publishes users' locations online.

A few years ago, while using the Line app, I noticed a feature called "People nearby." The feature lets you connect with other Line users wi...

blog.ahmed.nyc

Kuitenkin huomiona, että kyseinen ominaisuus ei ole defaultina päällä, vaan vaatii käyttäjän sen aktivoimista kuitenkin!

If you enable the feature of making yourself visible on the map, you're publishing your home address online.

Tottakai tuosta pitäisi tulla selkeä varoitus asian suhteen, jos sen menee pistämään päälle, jota tieten ei tule. Eiköhän siellä kuitenkin Terms of Service dokumentissa jossain ole sopiva pykälä, jolla kehittäjä voi sitten puolustaa tuota väitettään, että ongelmaa ei ole, koska kyseessä "ominaisuus".

Kaikki location based palvelut, joissa etenkin on tuollainen muiden käyttäjien skannaus lähistöllä ominaisuus, mahdollistaa samantyylisen "hyökkäyksen". Koska oman sijainnin voi huijata hyvinkin helposti ja täten toteuttaa ns. kolmiopaikannuksen.

 

[ojisama]

Huomiosi on oikea. Käyttäjiä täytyisi kyllä varoittaa tuollaisesta, mutta on myös Telegramin vastuulla, että tuo sijainti ilmoitettaisiin vaikkapa < 1 km, < 3 km tmv. skaalalla joka ei antaisi aivan niin tarkkoja tuloksia.

Ja tuokin pitäisi fuzzata tai tuo tekee asiasta vain vähän hankalampaa... (Oikeastaan sekään tuskin riittää, jos resursseja löytyy..?)

 

[samim]

Eilakaislaan tehty tietomurto.

Työnvälitysyhtiö Eilakaisla joutunut kyberhyökkäyksen kohteeksi – kymmenientuhansien henkilötietoja saattanut joutua vääriin käsiin

Yritys sai lyhyen englanninkielisen uhkauksen hyökkayksen yhteydessä perjantaina.

yle.fi

 

[TenderBeef]

Nyt jysähti emävuoto: hakkerit väittävät ladanneensa ”Trump-fanien twitterin” kaikki käyttäjätiedot

Parler-viestipalvelun käyttäjätietojen väitetään vuotaneen hakkereiden käsiin.

www.tivi.fi

Moni Parlerin käyttäjä on luottanut palvelun tietoturvaan. He ovat tunnistautuneet palvelun prosessin mukaisesti ja lähettäneet ajokorttinsa kuvan verkkopalvelulle. Näistä tiedoista voi olla viranomaisille paljon hyötyä Washingtonin tapahtumien tutkinnassa.

 

[=JP=]

Hakkerit ottaneet kirjaimellisesti "munista kiinni" tässä hyökkäyksessä, kertoo jälleen, miten surkeita näiden IoT laitteiden suojataso on. Tuolla oleva kartta paljastaa, että Suomessakin on ollut käyttäjiä kyseisellä tuotteella (kyseinen kartta sisältää siis ihan pienen osan käyttäjistä, kun testattu miten helposti data on ollut saatavilla ja tuossa sample tulos).

Hacker used ransomware to lock victims in their IoT chastity belt

The source code for the ChastityLock ransomware that targeted male users of a specific adult toy is now publicly available for research purposes.

www.bleepingcomputer.com

Qiui Cellmante is a connected sex toy with a companion app to control its locking/unlocking via Bluetooth that is typically managed by someone else than the person wearing the device.
They found that making a request to any API endpoint did not require authentication and that using a six-digit "friend code" would return "a huge amount of information about that user," such as location, phone number, plain text password.
Luckily, some emergency escape possibilities were available. One of them was to contact remote support and ask them to unlock and reset the Cellmate. Another involved only a screwdriver to unlock the device manually, and Qiui posted a video showing how to do it. The latter came with voiding the warranty of the product.

 

[topiv]

Sain Ubiquitin sähköpostin, jossa se kertoo, että asiakastietoja on mahdollisesti vuotanut.

Uutinen on julkaistu monessa mediassa, esim:

Ubiquiti says customer data may have been accessed in data breach | TechCrunch

The networking gear maker said it "cannot be certain" that hackers didn't take user data.

techcrunch.com

But the company confirmed that it “cannot be certain” that customer data had not been exposed.

“This data may include your name, email address, and the one-way encrypted password to your account,” said the email to customers. “The data may also include your address and phone number if you have provided that to us.”

 

[80286]

Tässähän tuo oleellisin on: "Eduskunta on ulkoistanut sähköpostijärjestelmän ylläpidon Tiedolle."

2010 tuo oli vielä Fuijtsulla, silloinhan Fujitsun tytäryhtiön vuokratyöntekijä (vaikka uutisissa puhuttiin 'Fuijtsu Services Oyn' työntekijästä) kopioi Matti Vanhasen koneelta muistitikulle jonkin 'intiimikuvan" Vanhasesta ja Merikukka Forsiuksesta Vanhasen ja Merikukan intiimikuva varastettiin! | Lehti: Matti Vanhasen ja Merikukka Forsiuksen yksityiskuva varastettiin ja koetti kaupitella sitä iltapäivälehdille. Eri firma mutta merkilliset tietoturvakäytännöt eduskunnalla silloinkin jos pääministerin koneelta lataillaan tavaraa muistitikulle miten sattuu. Ei Tiedolla mene siiis sen paremmin ainakaan.

 

[user9999]

Adobe will no longer support Flash Player after December 31 2020, and Adobe will block Flash content from running in Flash Player beginning January 12 2021
Adobe strongly recommends all users immediately uninstall Flash Player to help protect their systems.

Release Notes Flash Player 32 AIR 32

Release Notes for Flash Player 32 and AIR 32

helpx.adobe.com

 

[Special Once]

Adobe will no longer support Flash Player after December 31 2020, and Adobe will block Flash content from running in Flash Player beginning January 12 2021
Adobe strongly recommends all users immediately uninstall Flash Player to help protect their systems.

Release Notes Flash Player 32 AIR 32

Release Notes for Flash Player 32 and AIR 32

helpx.adobe.com

Onneksi vanhemmalla Flashin versiolla ja vanhemmalla Firefoxin versiolla yhä toimii. Siis jos on välttämätön tarve ennen kun joku tekee täysin toimivan open source -version.

 

[user9999]

Microsoft Defender -tietoturvaohjelmistossa haavoittuvuus | Kyberturvallisuuskeskus

Päivitystiistaina julkaistujen haavoittuvuuksien joukosta nousee esiin erityisesti Microsoft Defenderin haavoittuvuus CVE-2021-1647. Microsoft Defender päivittää yleisesti itsensä automaattisesti, mutta on syytä tarkastaa päivityksen tapahtuneen.

www.kyberturvallisuuskeskus.fi

Microsoft Defenderin haavoittuvuus CVE-2021-1647 mahdollistaa etänä suoritettavat komennot kohteena oleviin laitteisiin. Haavoittuvuuden hyväksikäyttö on mahdollista hyökkääjän luoman haitallisen tiedoston avulla. Suosittelemme tarkistamaan päivityksen asentuneen välittömästi, koska Microsoft on kertonut havainneensa jo haavoittuvuuden hyväksikäyttöä maailmalla.

 

[user9999]

Alkaa olemaan Applen laitteidenkin osalta tilanne se, että yksityisyydestä on turha puhua.

Jeffrey Paul: Your Computer Isn't Yours

Lyhyesti:

Lisäksi:

Apple apps on macOS Big Sur bypass firewall and VPN connections • Apple Terminal

Since the original publication of this article, macOS Big Sur has exited beta and been released to the public. Despite this, there is no indication that Apple

appleterm.com

Jännä nähdä onko kyseessä bugi vai ihan ominaisuus.

Tähän tullut näköjään muutos eilen julkaistussa macOS Big Sur 11.2 Beta 2 versiossa.

macOS Big Sur 11.2 beta 2 removes filter that lets Apple apps bypass third-party firewalls - 9to5Mac

Back in November, some developers raised concerns due to a change in macOS Big Sur, which allowed Apple apps to...

9to5mac.com

An internal file has been added on macOS Big Sur with something called “ContentFilterExclusionList,” which is a list of several Apple apps and services that can bypass any firewall installed on the Mac. This includes the App Store, FaceTime, the software update service, and even the Music app.

Since these apps and services were bypassing the firewalls, users could no longer block them or even monitor them to see how much data Apple apps were transferring or what IP addresses they were communicating with. Worse than that, it was revealed that hackers could create malware that abuses these “excluded items” to bypass the firewall.

Luckily, security researcher Patrick Wardle revealed today that Apple has removed these exceptions for its apps with macOS Big Sur 11.2 beta 2 — which was released today for developers and users registered in the Public Beta program.

 

[=JP=]

Windowsista (ehkä kaikista versioista) löydetty NTFS-tiedostojärjestelmästä haavoittuvuus, joka pahimmassa tapauksessa korruptoi koko levyn datan. Tästä on vähän ristiriitaisia raportteja, oletettavasti riippuu monestakin eri asiasta, miten vakava ongelma tuosta syntyy loppujen lopuksi. Joissakin tapauksissa selviää säikähdyksellä, kun CHKDSK ajo korjaa ongelman hetkessä uudelleenkäynnistyksen jälkeen.

Windows 10 bug corrupts your hard drive on seeing this file's icon

An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.

www.bleepingcomputer.com

In multiple tests by BleepingComputer, this one-liner can be delivered hidden inside a Windows shortcut file, a ZIP archive, batch files, or various other vectors to trigger hard drive errors that corrupt the filesystem index instantly.

Eli aikas ilkeä juttu ja nyt kannattaa olla tarkkana, ettei esimerkiksi lataile ihan mitä tahansa ZIP -tiedostoja, joissa ilkeä yllätys sisällä. Ikävä kyllä Internet on täynnä näitä "hauskoja ihmisiä", jotka saattaa huvikseen noita levitellä esimerkiksi.
Lisäksi kovasti testaillaan, että voisiko tuon bugin triggeröidä jopa selaimen sisältä pahimmassa tapauksessa!

Katsellaan tilannetta, varmuuskopiot kuntoon varulta...

 

[Special Once]

voisiko tuon bugin triggeröidä jopa selaimen sisältä pahimmassa tapauksessa

Voi vallan hyvin. Testasin virtuaalikoneella, jokseenkin välittömästi green screen. Bootin jälkeen kyllä toimi taas, eli ainakaan uusimmassa Windowsin Insider-versiossa mitään ei tapahdu.

Ja tosiaan tuo ei vaadi edes adminin oikeuksia. Toimii ihan normikäyttäjällä.

 

[=JP=]

Voi vallan hyvin. Testasin virtuaalikoneella, jokseenkin välittömästi green screen. Bootin jälkeen kyllä toimi taas, eli ainakaan uusimmassa Windowsin Insider-versiossa mitään ei tapahdu.

Ja tosiaan tuo ei vaadi edes adminin oikeuksia. Toimii ihan normikäyttäjällä.

Tässä tiete sekoittaa pakkaa myöskin tuo pari viikkoa sitten ollut CHKDSK bugi, jos sekin osuu kohdalle, niin saattaa olla isommat seuraamukset käyttäjälle Windows 10 ympäristössä, jos ei ole päivitykset kohdillaan.

 

[Pah0lain3]

Tuo vastaamon keissi on vielä liiankin tuoreessa muistissa ja miettiny sitä silloin tällöin, mutta nyt hoksasin että tässä saattaa kyteä vielä suurempi aikapommi. Nimittäin vakuutusyhtiöt. Tarkennetaan vielä vähän, ja otetaan esimerkiksi eläkeyhtiöt. Tuo vastaamokeissi oli vielä aika kevyttä tavaraa verrattuna tuohon kytevään aikapommiin jota kukaan ei taida valvoa. Muutenkin vakuutusyhtiöillä on jo pitkään ollut "vapaat kädet" toimia miten haluaa ja kun mietitään miten laajasti heillä on dokumenttiä kaikista ja kaikesta.

Vastaamon terapeutit ei varmaankaan pitänyt mitenkään tarkkoja potilaskertomuksia kannassaan, ehkä suuntaa antavia en tiedä varmuudella tietenkään sanoa kun ei ole sitä kokemusta vastaamon toiminnasta. Mutta eläkeyhtiöt jotka myöntävät esimerkiksi sairaseläkkeitä, saavat kaikki paperit kaikesta ja kaikista. Siellä on niissä tarkat diagnoosit ja potilaskertomukset, lääkärien lausunnot ihan kaikki mitä voi vaan olla olemassa. Ja kyllä, se on ihan ymmärrettävää että näin on jos ihmiset haluaa hakea sairaseläkettä tai jotain muuta vastaavaa että heille pitää dokumenttia lähettää käsiteltäväksi. Suomessa on sairaseläkkeellä tai sairaseläkkeen hakijoita tai muuta hakijoita aivan käsittämätön määrä joka tekee tuosta vastaamon keissistä kevyen oloisen jos vakuutusyhtiöiltä alkaa tietoja vuotamaan.

Mutta se mietityttää nyt että eläkeyhtiöitä taitaa olla suomessa 2. Ja niissä tuskin on sen paremmin tietoturvaan panostettu kuin vastaamossakaan. Tai ylipäätään missään vakuutusyhtiössä. Ihmisiä ne on siinä missä muutkin tai yrityksiä siinä missä muutkin ja raha ratkaisee aina kaiken varsinkin vakuutusyhtiöillä. Voisin kyllä väittää että tietoturva on jokaisella yhtä levällään kuin vastaamossa ja on vain ajan kysymys kun aikapommi räjähtää käsiin.

Vastaamo oli jo hyvä kenraaliharjoitus jonka jälkeen olisi pitäny tapahtua vauhdilla asioita, mutta mitään konkreettista en ole huomannut asioille tapahtuvan. Olisi kiva tietää mitä asioiden eteen tehdään ja koska. Koska nyt eletään semmoista aikaa että tietoturvaa ei ole yksinkertaisesti varaa vain ohittaa. Enää ei voi ajatella tai tuudittautua ajatukseen että "ei suomessa näin tapahdu koskaan", tai että "tää on jo vähän liian amerikkaa". Nyt muutaman vuoden sisään on niin monta kertaa toteen näytetty että se amerikkakin tapahtuu myös täällä.

Toivon tietysti että asia olisi toisin, mutta samalla pelkään pahaa että näin ei ole. Tietoturva kuitenkin maksaa, ja useimmat yritykset kuten vastaamo herää varmasti vasta siinä vaiheessa kun paska on tipahtanu jo housuun.
Toivon että olen väärässä.

Onko olemassa jokin laki joka pakottaisi yritykset satsaamaan tietoturvaan ja ylläpitämään sitä vaikka 2xvuodessa ja tekemään selontekoa tilanteesta ? Millään muullahan tuo ei tule koskaan muuttumaan kuin pakottamisella. Niin kauan siitä tullaan laistamaan kun ei ole pakko. Tehdään tarvittavat vain ja sen jälkeen se unohdetaan ja sitten käy vastaamot.

 

[Pertti_Pasanen_Spede]

Tuo vastaamon keissi on vielä liiankin tuoreessa muistissa ja miettiny sitä silloin tällöin, mutta nyt hoksasin että tässä saattaa kyteä vielä suurempi aikapommi. Nimittäin vakuutusyhtiöt. Tarkennetaan vielä vähän, ja otetaan esimerkiksi eläkeyhtiöt. Tuo vastaamokeissi oli vielä aika kevyttä tavaraa verrattuna tuohon kytevään aikapommiin jota kukaan ei taida valvoa. Muutenkin vakuutusyhtiöillä on jo pitkään ollut "vapaat kädet" toimia miten haluaa ja kun mietitään miten laajasti heillä on dokumenttiä kaikista ja kaikesta.

Vastaamon terapeutit ei varmaankaan pitänyt mitenkään tarkkoja potilaskertomuksia kannassaan, ehkä suuntaa antavia en tiedä varmuudella tietenkään sanoa kun ei ole sitä kokemusta vastaamon toiminnasta. Mutta eläkeyhtiöt jotka myöntävät esimerkiksi sairaseläkkeitä, saavat kaikki paperit kaikesta ja kaikista. Siellä on niissä tarkat diagnoosit ja potilaskertomukset, lääkärien lausunnot ihan kaikki mitä voi vaan olla olemassa. Ja kyllä, se on ihan ymmärrettävää että näin on jos ihmiset haluaa hakea sairaseläkettä tai jotain muuta vastaavaa että heille pitää dokumenttia lähettää käsiteltäväksi. Suomessa on sairaseläkkeellä tai sairaseläkkeen hakijoita tai muuta hakijoita aivan käsittämätön määrä joka tekee tuosta vastaamon keissistä kevyen oloisen jos vakuutusyhtiöiltä alkaa tietoja vuotamaan.

Mutta se mietityttää nyt että eläkeyhtiöitä taitaa olla suomessa 2. Ja niissä tuskin on sen paremmin tietoturvaan panostettu kuin vastaamossakaan. Tai ylipäätään missään vakuutusyhtiössä. Ihmisiä ne on siinä missä muutkin tai yrityksiä siinä missä muutkin ja raha ratkaisee aina kaiken varsinkin vakuutusyhtiöillä. Voisin kyllä väittää että tietoturva on jokaisella yhtä levällään kuin vastaamossa ja on vain ajan kysymys kun aikapommi räjähtää käsiin.

Vastaamo oli jo hyvä kenraaliharjoitus jonka jälkeen olisi pitäny tapahtua vauhdilla asioita, mutta mitään konkreettista en ole huomannut asioille tapahtuvan. Olisi kiva tietää mitä asioiden eteen tehdään ja koska. Koska nyt eletään semmoista aikaa että tietoturvaa ei ole yksinkertaisesti varaa vain ohittaa. Enää ei voi ajatella tai tuudittautua ajatukseen että "ei suomessa näin tapahdu koskaan", tai että "tää on jo vähän liian amerikkaa". Nyt muutaman vuoden sisään on niin monta kertaa toteen näytetty että se amerikkakin tapahtuu myös täällä.

Toivon tietysti että asia olisi toisin, mutta samalla pelkään pahaa että näin ei ole. Tietoturva kuitenkin maksaa, ja useimmat yritykset kuten vastaamo herää varmasti vasta siinä vaiheessa kun paska on tipahtanu jo housuun.
Toivon että olen väärässä.

Onko olemassa jokin laki joka pakottaisi yritykset satsaamaan tietoturvaan ja ylläpitämään sitä vaikka 2xvuodessa ja tekemään selontekoa tilanteesta ? Millään muullahan tuo ei tule koskaan muuttumaan kuin pakottamisella. Niin kauan siitä tullaan laistamaan kun ei ole pakko. Tehdään tarvittavat vain ja sen jälkeen se unohdetaan ja sitten käy vastaamot.

Varmaan sulla on esittää jotain todellista näyttöä tuolle sun musta tuntuu väitteelle? Pohjola vakuutus samaa firmaa Op pankin kanssa ja asiointi tapahtuu verkkopankin kautta kaikille asiakkaille jne.. eli varmaan tietoturva tosi retuperällä.

 

[Pah0lain3]

Varmaan sulla on esittää jotain todellista näyttöä tuolle sun musta tuntuu väitteelle? Pohjola vakuutus samaa firmaa Op pankin kanssa ja asiointi tapahtuu verkkopankin kautta kaikille asiakkaille jne.. eli varmaan tietoturva tosi retuperällä.

Sekö tarkoittaa että palvelimilta ei voi vuotaa koskaan vuotaa mitään ?

edit: Täytyykö nykyään olla jotain todellista näyttöä ennenkuin voi tuntemuksiaan tai ylipäätään kirjoittaa foorumille ?
En väittäinyt kirjoittamaani todeksi vaan esitin huoleni sekä kyseenalaistin asioita kai...

 

[neko]

Ehkä olen naiivi, mutta uskoisin että esim. Ilmarisella on panostettu tietoturvaan hieman eri tasolla kuin jollain kaiken maailman vastaamoilla ja virittelyillä.

Toki, kaikkeen päässee käsiksi kun on laittaa resursseja, mutta mitkään script kidsit tuskin onnistuvat.

 

[Pah0lain3]

Ehkä olen naiivi, mutta uskoisin että esim. Ilmarisella on panostettu tietoturvaan hieman eri tasolla kuin jollain kaiken maailman vastaamoilla ja virittelyillä.

Toki, kaikkeen päässee käsiksi kun on laittaa resursseja, mutta mitkään script kidsit tuskin onnistuvat.

Minäkin oletin että potilastiedot olisi turvattu suomessa mutta vastaamo pyyhki sen harhaluulon nopeasti pois. Ei vastaamokaan tarvinnut resursseja kovinpaan paljoa kun tiedot vuoti, eli huonolla tuurilla ilmarisen palvelimet on root salasanan takana ja sen löytänyt kiittää ja kumartaa kun vie ilmariselta tiedot "parempaan" talteen. Eihän se varmasti ihan näin yksinkertaista ole mutta ei voi kukaan sanoa että se on mahdotonta enää kuten vastaamo ja eduskunnan tietomurto osoitti. Keinoja on niin monia kuin on koodaajiakin.

Ilmarista ei taida mikään tehdä paremmaksi (tietoturvan osalta) kuin vastaamoa, yritys se on siinä missä muutkin ja virheitä tahallisia tai vahinkoja sattuu siinä missä muillakin. Sori että tartuin nyt ilmariseen, yritän sanoa että tietoturvassa monella kotimaisella yrityksellä on sama tilanne enkä pelkästään väitä että ilmarisella jotenkin näin siis vain olisi.

 

[Ragnarokkr]

voisin kuvitella että ketään ketä vähänkään seuraa csec maailmaa, kuten sysadminit, ovat tässä välissä tehneet omat johtopäätöksensä ja toimineet sen mukaisesti.
vähintään isot firmat ovat varmasti auditoineet omat järjestelmänsä vastaamon johdosta

 

[Pah0lain3]

voisin kuvitella että ketään ketä vähänkään seuraa csec maailmaa, kuten sysadminit, ovat tässä välissä tehneet omat johtopäätöksensä ja toimineet sen mukaisesti.
vähintään isot firmat ovat varmasti auditoineet omat järjestelmänsä vastaamon johdosta

Tai sitten ei koska se maksaa aina rahaa ja sitten luotetaan siihen oman väen it osaamiseen joka saattaa johtaa toiseen vastaamon laiseen tapahtumaan. Luotetaan vain että kyllä meidän it väki on hoitanu kaiken tarpeellisen.
Aika pelottava ajatus jos asiat on tuolla mallilla, toki siellä voi jossain ollakkin niin hyvää it porukkaa että ei tule ongelmia koskaan. Anteeksi ei ole tarkoitus tietenkään väheksyä kenenkään taitoja varsinkin kun omat taidot luokkaa nolla.

Mutta jos firma ei näytä vihreätä valoa vaikka auditoinnille niin sitä rahaa ei silloin siihen laiteta ja homma jää siihen sitten ? Ei se taida se tietoturva mitenkään halpaa lystiä olla.

Edit: Ei taida olla olemassa tarpeeksi suuria pelotteita yrityksille että tietoturvaa pidettäisiin yhtenä tärkeimmistä asioista yrityksissä ? On varmasti poikkeuksia eikä tämä päde kaikkiin tietenkään. Julkisissa sairaaloissa voisin kuvitella asioiden olevan hallussa, mutta lähes kaikki muu epäilyttää...

 

[Ragnarokkr]

tuo mitä haet takaa ei ole ihan niin mustavalkoista kuin kuvittelet.
homma ei riipu pelkästään siitä että "on hyvä it porukka" tai "rahasta kiinni", vaikka sillä on merkitys myös suuremmassa kontekstissa. tietoturva ei ole niin kallista kuin arvelet sen olevan.
arvioisin että se on enemmän työntekijöiden (rivijantterista toimariin) mentaliteetista kiinni. jos tietoturvaan suhtaudutaan välinpitämättömästi latvasta juureen ei ne pelotteetkaan hirveämmin kiinnosta, mennään aina mistä aita on matalin.
toisaalta jos yrityksessä vallitsee mielentila että tietoturva on olennainen osa päivittäistä työskentelyä, niin luonnollisesti jokainen tekee osansa. ja kaikki sektorilla työskentelevät tietää että heikon lenkki jokaisessa järjestelmässä on se ihminen.

case vastaamo oli myös suhteellisen poikkeuksellinen tapaus huomioiden datan arkaluontoisuuden, rahallisen hyödyn ja aiemman tietomurron vuoksi.
olet oikeassa että asialle pitäisi tehdä toimenpiteitä, mutta miten meinaat valvoa ja ylläpitää niitä uusia lakeja?