Tietoturvauutiset ja blogipostaukset

[=JP=]

Eipä se TPM nyt sitten olekaan niin kauhean turvallinen, kuin annetaan ymmärtää, tottakai tämä hyökkäys vaatii todellakin fyysisen pääsyn koneelle, mutta monesti juurikin läppäri pöllitään ja sillä selvä. Tietenkin tämä on isompi vaara tuolla liike-elämä sun muissa ympäristöissä, jossa liikkuu rahaa pikkasen enemmän kuin jonkun yksityisen nörtin koneen sisällön takana. Mutta tämähän siis vaikka mahdollistaa viranomaisten pääsyn koneelle yllättävän helposti, jos epäillään sisältävän jotain laitonta jne...

From Stolen Laptop to Inside the Company Network — Dolos Group

What can you do with a stolen laptop? Can you get access to our internal network? That was the question a client wanted answered recently. Spoiler alert: Yes, yes you can. This post will walk you through how we took a “stolen” corporate laptop and chained several exploits together to get inside the

dolosgroup.io

The laptop was locked down well, with full disk encryption via a Trusted Platform Module (TPM) and Bitlocker being the cherry on top.
The laptop wasn’t configured to require a password or PIN to boot (default for BitLocker). In this configuration, the TPM automatically sends the encryption key to the boot loader during boot. This key is sent over an SPI interface in plaintext. All that is needed is to probe the SPI bus during boot. While the TPM is physically small enough to make this quite difficult, the SPI interface is a bus, meaning that it connects to multiple chips on the board. One of which is a CMOS chip, with much larger pins. The capture was successful, and they soon had access to the filesystem on the encrypted drive.
A pre-equipped attacker can perform this entire attack chain in less than 30 minutes with no soldering, simple and relatively cheap hardware, and publicly available tools.

 

[Sulava]

Eipä se TPM nyt sitten olekaan niin kauhean turvallinen, kuin annetaan ymmärtää, tottakai tämä hyökkäys vaatii todellakin fyysisen pääsyn koneelle, mutta monesti juurikin läppäri pöllitään ja sillä selvä. Tietenkin tämä on isompi vaara tuolla liike-elämä sun muissa ympäristöissä, jossa liikkuu rahaa pikkasen enemmän kuin jonkun yksityisen nörtin koneen sisällön takana. Mutta tämähän siis vaikka mahdollistaa viranomaisten pääsyn koneelle yllättävän helposti, jos epäillään sisältävän jotain laitonta jne...

Suositeltava tapa salauksessakin on käyttää multifactoria. Microsoftin Bitlocker-guidessa selvästi sanotaan, että TPM only voi altistaa hardware-tason haavoittuvuuksille ja best practice olisi käyttää PIN tai jotain muuta lisäauthentikaatiota. PIN olisi estänyt tämänkin hyökkäyksen. Eli kyllä oikein käytettynä TPM on varsin hyödyllinen.

 

[=JP=]

Suositeltava tapa salauksessakin on käyttää multifactoria. Microsoftin Bitlocker-guidessa selvästi sanotaan, että TPM only voi altistaa hardware-tason haavoittuvuuksille ja best practice olisi käyttää PIN tai jotain muuta lisäauthentikaatiota. PIN olisi estänyt tämänkin hyökkäyksen. Eli kyllä oikein käytettynä TPM on varsin hyödyllinen.

Ja siinähän se jutun ydin onkin, ikävä kyllä vaan tuntuu aina ne default asetukset jäävän voimaan suurimmalla osalla, vaikka onkin ohjeistukset/suositukset sitten jossain olemassa...

 

[KoneenKokoaja]

Suositeltava tapa salauksessakin on käyttää multifactoria. Microsoftin Bitlocker-guidessa selvästi sanotaan, että TPM only voi altistaa hardware-tason haavoittuvuuksille ja best practice olisi käyttää PIN tai jotain muuta lisäauthentikaatiota. PIN olisi estänyt tämänkin hyökkäyksen. Eli kyllä oikein käytettynä TPM on varsin hyödyllinen.

Ainakin itse olen nähnyt joissakin firmoissa käytettävän sellaisia USB porttiin kiinnitettäviä härpäkkeitä, jotka syöttävät yksilöllisen salausavaimen koneelle (en tiedä miksi niitä kutsutaan). Siihen päälle tarvitaan vielä käyttäjän näppäilemä PIN tai salausavain ja TPM ladattava salausavain, jotta se lopullinen salausavain, jolla levynsalaus aukeaa voidaan laskea. Jos mikä tahansa näistä puuttuu ei salausta pysty avaamaan. Vaikka hyökkääjä saisi TPM salausavaimen haltuunsa hän tarvitsee vielä sen USB portti härpäkkeen ja käyttäjän PIN, jotta pääsee levylle.

 

[ztec]

USB device on todnäk HSM eli Hardware Security Module, se on ihan se sama, mitä TPM tekee, tai SIM kortti tai muu älykortti kuten sirullinen maksukortti. Itse käytän useita vastaavia ja pidän niistä kovasti. Joskin nekin on hyvin haavoittuvaisia ja sen takia tarvitsevat myös jopa second tai third factorin. Esim. biometrinen tunnistus on todella huono idea valitettavain usein, vaikka sitä niin kovasti hehkutetaan. Samoin HSM modulit on osoitettu useita kertoja haavoittuvaisiksi puutteellisen suojauksen vuoksi.

Aina kun tehdään suojauksia, pitäisi miettiä, millaiset hyökkäysvektorit jää jäljelle. Paljon parempi kun syötetään kunnolliset salausavaimet joita ei ole tallennettu miihinkään vielä TPM:n lisäksi. Titeysti epäkäytännöllistä, mutta jos tiedot on tärkeitä, niin on varmaan sen arvoista.

Sivuviitteenä vaan biometrisestä kun puhuttiin - Amazon will pay you $10 in credit for your palm print biometrics – TechCrunch

Sitten toisenlaisesta tietoturva-aspektista asiaa katsoen, tämä voi kiinnostaa osaa käyttäjistä. Eli verkon anonyymi ja pimeä tulevaisuus: Nym - nymtech.net

 

[pulatunnus]

Ja siinähän se jutun ydin onkin, ikävä kyllä vaan tuntuu aina ne default asetukset jäävän voimaan suurimmalla osalla, vaikka onkin ohjeistukset/suositukset sitten jossain olemassa...

Onko tuosta jotain tilastoa, jos siis puhutaan firmoista jotka nykyisen lainsäädännön takia joutuvat oikeasti pitämään huolen.

Oman pienen mutun perusteella osa ainakin yrittää, osa vetää sitten toista laitaa.

 

[Agent_007]

Edgeen (Canary, Dev ja Beta) tullut uusi Super Duper Secure Mode -toiminto, joka parantaa selaimen tietoturvaa ottamalla Javascriptin JIT-kääntämisen pois käytöstä, jolloin hyökkääjät eivät voi hyödyntää noita JIT-kääntäjästä löytyviä tietoturvaongelmia

Super Duper Secure Mode

Introduction

microsoftedge.github.io

 

[Ormu]

Edgeen (Canary, Dev ja Beta) tullut uusi Super Duper Secure Mode -toiminto, joka parantaa selaimen tietoturvaa ottamalla Javascriptin JIT-kääntämisen pois käytöstä, jolloin hyökkääjät eivät voi hyödyntää noita JIT-kääntäjästä löytyviä tietoturvaongelmia

Super Duper Secure Mode

Introduction

microsoftedge.github.io

Tuohan on ihan virkistävä uudistus, mutta samalla suorituskyky tulee monella nykyaikaisella javascript-hirvityssivustolla laskemaan.

 

[KoneenKokoaja]

Apple aikoo vastaisuudessa skannata jenkkien puhelimet laittoman kuvasisällön varalta. On vähän epäselvää perustuuko tuo pelkkien kuvien hashiin vai johonkin muuhun. Joka tapauksessa tuo avaa melkoisen aukon tietoturvan kannalta, jonka perään Apple on viime vuosina liputtanut.

EDIT: Toki tämä ei ole mitään uutta. Facebook on tehnyt samaa jo vuodesta 2011, eikä sovi unohtaa Microsoftia ja Googlea (2008 alkaen) ym.

Apple Plans To Scan US iPhones for Child Abuse Imagery - Slashdot

Apple intends to install software on American iPhones to scan for child abuse imagery, Financial Times is reporting citing people briefed on the plans, raising alarm among security researchers who warn that it could open the door to surveillance of millions of people's personal devices. From the...

apple.slashdot.org

Todennäköisesti se toimii niin, että kaikista laitteella olevista kuvista tehdään hash, jotka ladataan Applen pilveen, jossa laskettuja hash koodeja verrataan tiedossa olevien laittomien kuvien hash koodeihin. Tälläisessa ratkaisussa tietoturva on parempi kun käyttäjien kuvia ei siirretä minnekään lisäksi kaikkein raskain laskenta tehdään käyttäjien laitteissa eikä Applen pilvessä, jolloin kulut ovat Applelle pienemmät jos pilvessä tehdään vain hash koodien vertailua, joka on todella kevyttä laskentaa nykyaikaisille prosessoreille.

 

[user9999]

Applen "Expanded Protections for Children" linkki

Child Safety

Expanded Protections for Children

www.apple.com

Linkin lopussa PDF -tiedostoja, joissa tarkemmin miten toimii.

 

[leripe]

Applen "Expanded Protections for Children" linkki

Child Safety

Expanded Protections for Children

www.apple.com

Linkin lopussa PDF -tiedostoja, joissa tarkemmin miten toimii.

Suomessakin on tomijoita, joilla samanlaisia velvoitteita ja toimintoja ainakin työntekijöitään kohtaan.

 

[Agent_007]

Apple Privacy Letter: An Open Letter Against Apple's Privacy-Invasive Content Scanning Technology tuolla pyydetään jo Applea lopettamaan tuo skannaus ja voi myös itse allekirjoittaa tuon

 

[Agent_007]

Laitetaanko samanlainen vetoomus menemään Googlelle ja Microsoftille?

Erona tässä on se, että Google ja Microsoft taitavat tehdä tuota "vain" pilvessä, jos sinne siirtää tiedostojaan, kun nyt tämä Applen toiminto on suoraan käyttäjän luurissa.

 

[Infy]

Milloinkohan Windows ja macOS ryhtyvät skannailemaan käyttäjien kovalevyillä majailevia kuvia vastaavien laittomuuksien varalta...?

 

[Infy]

Nopeasti vilkuilin Applen dokumentaation aiheesta läpi niin kolme asiaa tapahtuu:

1. Jos laitteessa on käytössä Applen perhe ominaisuus, Applen Messages sovellus skannaa koneoppimisella siinä käytetyt kuvat
2. iCloud etsii tunnettuja haitallisia kuvia vastaavia muodostamalla kuvasta tiivisteen, eli jos vaikka kuva on skaalattu tai rajattu, se pystytään silti liittämään alkuperäiseen
3. Siri ja Finder haut suodattavat haitalliset haut automaattiesti

Koneoppimisen, eli tekoälyn käyttö, on ongelmallista kuvien luokitteluun, koska se vertaa kuvaa sen oppimismateriaalin perusteella ja luokittelu ei ole 100% luotettavaa.

 

[KoneenKokoaja]

Täällä on selitetty tarkemmin miten Applen uusi kuvien skannaus toimii. Kaikista Applen laitteisiin tallennetuista kuvista luodaan hash tiiviiste ja sen jälkeen tiivistettä verrataan suojattuun tietokantaan, joka tapahtuu tapahtuu käyttäjän laitteessa ja vasta kun tietty match ylittyy menee ilmoitus eteenpäin.

Apple julkisti lapsiin liittyviä suojaominaisuuksia – kuvien tarkistaminen lapsipornon varalta herättää myös huolia

Apple tiedottaa verkkosivuillaan uusista suojaominaisuuksista, joiden on tarkoitus tehdä esimerkiksi viestittelystä turvallisempaa lapsille. Yhteensä uud

mobiili.fi

Itseäni tässä huolestuttaa lähinnä se, että jos tämä skannailu tekniikka yleistyy muuhunkin käyttöön esim. skannaillaan muutakin sisältöä käyttäjien laitteilla ja verrataan johonkin tietokantaan ja kun tietty kynnys ylittyy aletaan käyttämään tietoa vaikka mainontaan esimerkiksi yksityisviesteissä mainittuja avainsanoja ja samalla väitetään, että kenenkään yksityisyys ei vaarannu kun siinä verrataan vain hash tiivisteitä ja kaikki tapahtuu vain käyttäjän laitteessa. Myös mainokset voidaan ladata valmiiksi käyttäjän laitteeseen etukäteen ja käyttäjän oma laite skannailujen perusteella päättää mitä mainoksia näytetään, jolloin periaatteessa mitään ei missään vaiheessa mene käyttäjän laitteen ulkopuolelle, jolloin voidaan väittää, että yksityisyys ei vaarannu ja kaikki viestit ovat edelleen end-to-end encrypted.

 

[TenderBeef]

kaikki viestit ovat edelleen end-to-end encrypted

Eikös tämäkin tule kohta loppumaan? Olikos se jo esim. EU:ssä päätetty näin, vai oliko vielä esitysasteella? Ei kyllä kohta ole enää mitään yksityisyyttä jäljellä. Kohta on valtion valvontakameratkin varmaan jokaisen kodissa..

 

[=JP=]

Eikös tämäkin tule kohta loppumaan? Olikos se jo esim. EU:ssä päätetty näin, vai oliko vielä esitysasteella? Ei kyllä kohta ole enää mitään yksityisyyttä jäljellä. Kohta on valtion valvontakameratkin varmaan jokaisen kodissa..

Eipä se taida olla edennyt mihinkään, kyllä varmasti näkyisi jossain, jos tuo olisi ajettu jo läpi...
Vaikea on löytää uudempaa tietoa kuin mitä maaliskuussa tuli esiin ja täälläkin mainittiin.

 

[ztec]

Eikös tämäkin tule kohta loppumaan? Olikos se jo esim. EU:ssä päätetty näin, vai oliko vielä esitysasteella? Ei kyllä kohta ole enää mitään yksityisyyttä jäljellä. Kohta on valtion valvontakameratkin varmaan jokaisen kodissa..

Eipä tuota voi oikein mitenkään voi estää, kun teknologia on olemassa. Salausteknologia on käytettävissä, eikä sitä voi estää. Ellei sitten tehdä kokonaan laittomaksi ja riittävän kovat sanktiot, joka sekään ei auta oikeasti. Mutta tietysti saa 99% ihmistä välttelemään rikollisia asioita. Toisaalta, rikollisia se ei hetkauta pätkän vertaa. - Mutta toi tulee kestämään varmasti pitkään ja onhan tuo kädenvääntö jatkunut jo vuosikymmeniä ja tulee varmasti jatkossakin jatkumaan suuntaan jos toiseen on paineita.

 

[TenderBeef]

rikollisia se ei hetkauta pätkän vertaa

Sen verran kyyniseksi tullut, että en uskokaan, että se on tavoite vaan ei-rikollisten massavalvonta. Joku Signal-tyyppisen ohjelman käyttö loppuu kokonaan JOS haluaa pitää kiinni yksityisyydestään. Mitä suurin osa ihmisistä tekee? Lopettaa kaiken sellaisen toiminnan jota valvotaan? Ja siirtyy käyttämään jotain ei helposti saatavilla/käytettävissä olevia keinoja? Nope. Varsinkin jos nämä asiat hivutetaan hitaasti ihmisten arkeen jollain tekosyillä kuten lapo:lla joka saa ihmiset reagoimaan tunnemyrskyllä eikä järjellä.

 

[KoneenKokoaja]

Eipä tuota voi oikein mitenkään voi estää, kun teknologia on olemassa. Salausteknologia on käytettävissä, eikä sitä voi estää. Ellei sitten tehdä kokonaan laittomaksi ja riittävän kovat sanktiot, joka sekään ei auta oikeasti. Mutta tietysti saa 99% ihmistä välttelemään rikollisia asioita. Toisaalta, rikollisia se ei hetkauta pätkän vertaa. - Mutta toi tulee kestämään varmasti pitkään ja onhan tuo kädenvääntö jatkunut jo vuosikymmeniä ja tulee varmasti jatkossakin jatkumaan suuntaan jos toiseen on paineita.

Jos salaus halutaan murtaa täysin niin se pitää tehdä rauta-tasolla niin, että prossessori tallettaa jonnekin kätköönsä kaikki salausavaimet ja lähettää ne jonnekin isoveljen pilveen talteen siltä varalta, että jos niitä joskus tarvitaan. Jos rautatasolla poistetaan kaikki rajapinnat millä ohjelmistolla voi ohittaa tämän salausavaimien talteenoton ei sitä pysty mitenkään kiertämään. Tässä tosin tulee se, että samalla tulee ihan hitonmoiset tietoturvariskit jos ne salausavaimet joita on varmuuden vuoksi kerätty vuotavatkin ulospäin.

 

[TenderBeef]

Käytännössä tuo EU:n vaatimus on mahdotonta toteuttaa käytännössä, vaikk se voimaan tulisikin. Kuka tahansa voisi perustaa vaikka oman Matrix-palvelimen ja luottaa muihinkin täysin avoimen koodin ratkaisuihin. Softia kun ei voi millään bannata täysin miltään alustalta. Kehittäjät myöskään tuskin myöntyvät vaatimuksiin.

Luuletko tosiaan, että tuollaisia asioita ajetaan ilman, että niitä valvottaisiin, että ne toteutuvat käytännössäkin? Esim. kännykät joilla viestitellään valtavasti, eihän se vaadi kuin bannaamista vähänkään isoimmilta kauppapaikoilta ja rahahanojen katkaisemista jos eivät pääse lakiteknisesti kiinni sellaisiin jotka operoivat sellaisissa valtioissa jotka eivät tee yhteistyötä muun maailman kanssa. Se riittää, että valtaosa on sen massavalvonnan alaisena, ei he kaikkia yritäkään saada kiinni, se ei ole mahdollista. Enkä näe mitään sellaista miksi edes vähänkään merkittävä määrä ihmisistä siirtyisivät jonkun laittoman ja vaikeasti käyttöönotettavan ratkaisun käyttäjiksi, varsinkin kun se tarkoittaisi sitä, että iso osa omista kontakteista jäisi ulkopuolelle. Ihmiset yleisesti ovat hyvin alttiita luopumaan yksityisyydestään jos se perustellaan heille oikeilla argumenteilla ja epäkäytännöllisyyden vaaralla. Omassa elämässäkin olen nähnyt hyvinkin muuten viisaita ihmisiä jotka toistavat "ei minulla ole mitään salattavaa, ei tämä haittaa ollenkaan" mantraa kuin laumaeläimet kun heidän yksityisyyttään yritetään rajoittaa tajuamatta edes, että kyse on kahdesta eri asiasta. Oman kokemukseni mukaan ihmiset eivät ole kovin hyviä hahmottamaan pidemmän aikajakson aikana tapahtuvaa hidasta kehitystä.. jotkut eivät edes hahmota koko asiaa vaikka sitä kuinka vääntäisi rautalangasta.

 

[KoneenKokoaja]

Luuletko tosiaan, että tuollaisia asioita ajetaan ilman, että niitä valvottaisiin, että ne toteutuvat käytännössäkin? Esim. kännykät joilla viestitellään valtavasti, eihän se vaadi kuin bannaamista vähänkään isoimmilta kauppapaikoilta ja rahahanojen katkaisemista jos eivät pääse lakiteknisesti kiinni sellaisiin jotka operoivat sellaisissa valtioissa jotka eivät tee yhteistyötä muun maailman kanssa. Se riittää, että valtaosa on sen massavalvonnan alaisena, ei he kaikkia yritäkään saada kiinni, se ei ole mahdollista. Enkä näe mitään sellaista miksi edes vähänkään merkittävä määrä ihmisistä siirtyisivät jonkun laittoman ja vaikeasti käyttöönotettavan ratkaisun käyttäjiksi, varsinkin kun se tarkoittaisi sitä, että iso osa omista kontakteista jäisi ulkopuolelle. Ihmiset yleisesti ovat hyvin alttiita luopumaan yksityisyydestään jos se perustellaan heille oikeilla argumenteilla ja epäkäytännöllisyyden vaaralla. Omassa elämässäkin olen nähnyt hyvinkin muuten viisaita ihmisiä jotka toistavat "ei minulla ole mitään salattavaa, ei tämä haittaa ollenkaan" mantraa kuin laumaeläimet kun heidän yksityisyyttään yritetään rajoittaa tajuamatta edes, että kyse on kahdesta eri asiasta. Oman kokemukseni mukaan ihmiset eivät ole kovin hyviä hahmottamaan pidemmän aikajakson aikana tapahtuvaa hidasta kehitystä.. jotkut eivät edes hahmota koko asiaa vaikka sitä kuinka vääntäisi rautalangasta.

Täähän se itselläni esim. avoimen lähdekoodin PGP käyttö esim. sähköpostien sisältöjen salaamiseen kaatuu aina siihen, että kukaan muu kontakteissani ei viitsi generoida itselleen public avaimia ja jakaa niitä minulle saati, että viitsisi opetella käyttämään salausovellusta sähköpostin käytössä, jolla pystyy salaamaan viestin sisällön, mutta myös varmentamaan viestin lähettäjän, sekä sen, että viestiä ei ole muutettu matkalla vahvalla digitaalisella allekirjoituksella. Jos ihmiset edes PGP allekirjoittasivat sähköpostinsa suurin osa sähköposti huijauksista estyisi, koska viestin vastaanottajat pystyisivät allekirjoituksesta PGP sovelluksella varmentamaan onko viestin lähettäjä se taho kuka väittää olevansa. Nykyäänhän kuka tahansa voi väärentää sähköpostin ja sähköposti osoitteen esiintyä kenenä tahansa, koska viestejä ei allekirjoiteta vahvalla salauksella.

 

[TenderBeef]

Takaisin vähän topikin tarkoitukseen; tätä uutista ei käsittääkseni vielä ole täällä nähty, vähän tulee myöhässä mutta ehkä on postaamisen arvoinen.

Signal fixes bug that sent random images to wrong contacts

Signal has fixed a serious bug in its Android app that, in some cases, sent random unintended pictures to contacts without an obvious explanation. Although the issue was reported in December 2020, given the difficulty of reproducing the bug, it isn't until this month that a fix was pushed out.

www.bleepingcomputer.com

"The TL;DR is that if someone had conversation trimming on, it could create a rare situation where a database ID was re-used in a way that could result in this behavior."

On pätsätty siis mutta se kesti todella kauan. Olihan tämä aika paha bugi ja iso lommo Signalille.

 

[TenderBeef]

Eli ensimmäinen vaihe massavalvonnasta on jo hyväksytty, kakkosvaihe (pakollinen viestien massaskannaus) piti jo tulla mutta lykättiin parilla kuukaudella nyt syksyyn.

So far very few media have covered the messaging and chat control plans of the EU.

Eipä ole yllätys, suomessakin valtamedia pimittää aina silloin tällöin tärkeitä asioita. Kyllä tämä on todella surullista tämä kehitys mihin ollaan menossa..

 

[KoneenKokoaja]

Takaisin vähän topikin tarkoitukseen; tätä uutista ei käsittääkseni vielä ole täällä nähty, vähän tulee myöhässä mutta ehkä on postaamisen arvoinen.

Signal fixes bug that sent random images to wrong contacts

Signal has fixed a serious bug in its Android app that, in some cases, sent random unintended pictures to contacts without an obvious explanation. Although the issue was reported in December 2020, given the difficulty of reproducing the bug, it isn't until this month that a fix was pushed out.

www.bleepingcomputer.com

On pätsätty siis mutta se kesti todella kauan. Olihan tämä aika paha bugi ja iso lommo Signalille.

Eniten tuossa ihmetyttää, että jos lähetetty kuva on end to end kryptattu vain ja ainoastaan oikean vastaanottajan salausavaimella ei väärän vastaanottajan pitäisi kyetä lukemaan kuvaa muuta kuin satunnaisena sekasotkuna. End to end salauksessa kenenkään muun kuin oikean vastaanottajan ei pitäisi kyetä purkamaan viestin salausta. Jostain syystä Signal end to end salaa lähetetyn kuvan myös muilla salausavaimilla kuin oikean vastaanottajan.

 

[KoneenKokoaja]

Tästä EU:n muutoksesta ihan hyvää tiivistelmää:

Messaging and Chat Control

The End of the Privacy of Digital Correspondence The EU decided to let providers search all private chats, messages, and emails automatically for suspicious content - generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance by means of fu

www.patrick-breyer.de

Itse voisin hyväksyä tämän viestien skannailun jos se koskisi pelkästään alaikäisten puhelimiin tulevia viestejä esim. etsittäisiin merkkejä mahdollisista pedofiilien lapsille lähettämistä viesteistä. Voisin myös hyväksyä ryhmä chattien joissa on kymmeniä osallistuja skannailun, koska en ovat jo aika julkisia keskusteluja. En kuitenkaan pysty missään tilanteessa hyväksymään kahden aikuisen välillä tapahtuvien yksityisviestien skannailua varmuuden vuoksi tai muustakaan syystä. Kai tämä menee vähän siihen suuntaan, että mikään minkä digilaitteisiin laittaa ei ole oikeasti yksityistä. Aina siellä on linjoilla joku ulkopuolinen tarkastamassa niitä "varmuuden" vuoksi.

 

[ztec]

Jos salaus halutaan murtaa täysin niin se pitää tehdä rauta-tasolla niin, että prossessori tallettaa jonnekin kätköönsä kaikki salausavaimet ja lähettää ne jonnekin isoveljen pilveen talteen siltä varalta, että jos niitä joskus tarvitaan. Jos rautatasolla poistetaan kaikki rajapinnat millä ohjelmistolla voi ohittaa tämän salausavaimien talteenoton ei sitä pysty mitenkään kiertämään. Tässä tosin tulee se, että samalla tulee ihan hitonmoiset tietoturvariskit jos ne salausavaimet joita on varmuuden vuoksi kerätty vuotavatkin ulospäin.

Se onkin hyvä kysymys, mistä prosessori tietää mikä on salausavain. Jos ei käytä esimerkiksi kiihdytettyjä salauskutsuja. Tietysti tämä tarkoittaa sitä, että hypätään pois mainstream kelkasta. Käytetään vaikka salaukseen jotain sellaista prosessoria / alustaa jota ei ole siihen koskaan suunniteltu. The Hacker Way.

Täähän se itselläni esim. avoimen lähdekoodin PGP käyttö esim. sähköpostien sisältöjen salaamiseen kaatuu aina siihen, että kukaan muu kontakteissani ei viitsi generoida itselleen public avaimia ja jakaa niitä minulle saati, että viitsisi opetella käyttämään salausovellusta sähköpostin käytössä, jolla pystyy salaamaan viestin sisällön, mutta myös varmentamaan viestin lähettäjän, sekä sen, että viestiä ei ole muutettu matkalla vahvalla digitaalisella allekirjoituksella. Jos ihmiset edes PGP allekirjoittasivat sähköpostinsa suurin osa sähköposti huijauksista estyisi, koska viestin vastaanottajat pystyisivät allekirjoituksesta PGP sovelluksella varmentamaan onko viestin lähettäjä se taho kuka väittää olevansa. Nykyäänhän kuka tahansa voi väärentää sähköpostin ja sähköposti osoitteen esiintyä kenenä tahansa, koska viestejä ei allekirjoiteta vahvalla salauksella.

Tämä. Joku juuri ulisi tänään isoon ääneen, että eikö ole keksitty mitään tapaa estää spammia? Miten niin ei ole? Mulla on mun domainissa osoite openpgp@ ja important-openpgp@ ...
1) Openpgp osoite tarkistaa, viesti on salattu niin, että sen pystyy purkamaan mun salausavaimella.
2) Important osoite tarkistaa, että viesti on allekirjoitettu avaimella jonka olen merkinnyt luotetuksi.

Ei muuten ole tullut koskaan yhtään spammia läpi, kumpaankaan osoitteista, vaikka olen yli 10v odotellut sitä ihmettä. (Edit: 15 vuotta)

Kukaan ei siis selvästi geneerisesti lataa kaikkia pgp avaimia jotka on julkisesti esillä netissä ja lähetä niihin spammia. Toisaalta, voisin ihan itse tehdä sen, mutta jollain sellaisella viestillä joka vaan herättää hilpeyttä ja keskustelua. Voisi olla kivaa, ihan verkottumisen nimissä. Kun laittas vaan morot, löysin sun avaimen, mitä kuuluu viestin bulkkina kaikille.

 

[KoneenKokoaja]

Se onkin hyvä kysymys, mistä prosessori tietää mikä on salausavain. Jos ei käytä esimerkiksi kiihdytettyjä salauskutsuja. Tietysti tämä tarkoittaa sitä, että hypätään pois mainstream kelkasta. Käytetään vaikka salaukseen jotain sellaista prosessoria / alustaa jota ei ole siihen koskaan suunniteltu. The Hacker Way.

Tämä on kyllä totta. En tullut ajatelluksi, että salausovelluksen ei ole pakko käyttää salaukseen tehtyjä käskykantoja vaan se salausavain voidaan generoida vaikka satunnaisesta valokuvasta, tietokoneen nimestä, sarjanumerosta, äänitiedoston patkästä ja vaikka mistä. Ei se CPU mistään tiedä, että noita tietoja käytetään salaukseen jos koodissa käytetään vain normaaleja luku ja kirjoitusoperaatioita eikä mitään salauskäskykantoja. Joten periaatteessa tällä tavalla voi aina tehdä ohjelmiston jolla kiertää johonkin normaaleihin käskykantoihin sisällytetyt toiminnot, jotka ovattavat niillä tehdyt salausavaimet talteen.

 

[KoneenKokoaja]

Gigabyten toimintoja alhaalla RansomEXX hakkeriryhmän iskettyä ransomwarella palvelimiin. Gigabyten tukisivut ja kotisivut ovat olleet poissa käytöstä ja dataa on varastettu 112Gt.

Häikäilemätön kiristäjäkopla iski Gigabyten kimppuun – vaativat lunnaita, tai muuten...

Gigabyte on joutunut kiristyshaittaohjelman kohteeksi.

www.mikrobitti.fi

 

[TenderBeef]

Eniten tuossa ihmetyttää, että jos lähetetty kuva on end to end kryptattu vain ja ainoastaan oikean vastaanottajan salausavaimella ei väärän vastaanottajan pitäisi kyetä lukemaan kuvaa muuta kuin satunnaisena sekasotkuna. End to end salauksessa kenenkään muun kuin oikean vastaanottajan ei pitäisi kyetä purkamaan viestin salausta. Jostain syystä Signal end to end salaa lähetetyn kuvan myös muilla salausavaimilla kuin oikean vastaanottajan.

Itse kyllä käsitin asian ihan eri tavalla. Ongelma tapahtui käyttäjän puhelimessa, eli puhelimessa (vain Android) signalin käyttämä tietokanta uudelleenkäytti pääavaimen id:itä ja siitä johtuen johonkin lähetettyihin viesteihin signal puhelimessa lisäsi kuvia joita lähettäjä ei ollut liittänyt viestiin. Eli mitään kryptauksia ei ole murrettu, jne.

Joku juuri ulisi tänään isoon ääneen, että eikö ole keksitty mitään tapaa estää spammia?

Eikös pelkkä autentikoinnin pakollisuus postipalvelimien käytössä käytännössä vähentäisi spammia radikaalisti?

 

[teppomies]

Eikös pelkkä autentikoinnin pakollisuus postipalvelimien käytössä käytännössä vähentäisi spammia radikaalisti?

Autentikointi mitä vasten? Ainahan spammeri voi pystyttää oman palvelimen. Joskus tuli ylläpidettyä sähköpostipalvelinta ja todettua, että aika paljon spammia läheteltiin murretuilta sähköpostipalvelimilta. Jos tuohon spammin estoon olis helppoja keinoja, olis ne jo otettu käyttöön. Spoilerin sisällä spammiinkin liittyvä video, jossa scammeri sai sähköpostin näyttämään googlen lähettämältä.

Spoileri

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

 

[TenderBeef]

Ainahan spammeri voi pystyttää oman palvelimen.

Niin joo, pitäisi olla joku sertifiointisysteemi jolla rikkaruohot voisi nyhtää tarpeen tullessa. Mutta sellaista ei kyllä ainakaan enää tässä vaiheessa varmaankaan saada tehtyä.

 

[leripe]

Autentikointi mitä vasten? Ainahan spammeri voi pystyttää oman palvelimen. Joskus tuli ylläpidettyä sähköpostipalvelinta ja todettua, että aika paljon spammia läheteltiin murretuilta sähköpostipalvelimilta. Jos tuohon spammin estoon olis helppoja keinoja, olis ne jo otettu käyttöön. Spoilerin sisällä spammiinkin liittyvä video, jossa scammeri sai sähköpostin näyttämään googlen lähettämältä.

Spoileri

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

Kaikille pakolliseksi SPF softfail=delete email, niin loppuu spämmi maailmasta.

 

[Agent_007]

Kasvojentunnistusalgoritmeja voi huijata generoiduilla naamoilla. Erityisesti yli 60-vuotiaiden valkoisten miesten naamat ovat liian samankaltaisia, joten niiden tietoturva on huonompi

Researchers Create 'Master Faces' to Bypass Facial Recognition

According to the paper, their findings imply that facial recognition systems are “extremely vulnerable.”

www.vice.com

 

[KoneenKokoaja]

Kasvojentunnistusalgoritmeja voi huijata generoiduilla naamoilla. Erityisesti yli 60-vuotiaiden valkoisten miesten naamat ovat liian samankaltaisia, joten niiden tietoturva on huonompi

Researchers Create 'Master Faces' to Bypass Facial Recognition

According to the paper, their findings imply that facial recognition systems are “extremely vulnerable.”

www.vice.com

Tästä syystä esim. puhelimet,joissa voi käyttää lukituksen avaamiseen kasvojen tunnistusta yleensä vaativat pin koodia tai sormenjälkeä laitteen avaamiseen jos laitteen sensorit havaitsevat, että laite on laitettu pöydälle tai laite ei ole kenenkään ihmisen hallussa. Jos taas sensorit havaitsevat, että laite on ollut kokoajan taskussa pelkkä kasvojen tunnistusriittää avaamiseen jos laite on kerran avattu sormenjäljellä ja sen jälkeen ollut käyttäjän hallussa kokoajan. Ilman, että kasvojentunnistusta rajoitetaan sensoreilla, jotka havaitsevat onko laite ollut käyttäjänsä hallussa kokoajan ei se ole kovinkaan turvallinen tapa avata lukituksia.

 

[ztec]

Lisäksi nyt on ohjelma, jola niitä identtisiä hasheja voi tuottaa ihan sujuvasti lisää:

GitHub - anishathalye/neural-hash-collider: Preimage attack against NeuralHash 💣

Preimage attack against NeuralHash 💣. Contribute to anishathalye/neural-hash-collider development by creating an account on GitHub.

github.com

Perus trollaus, jatkossa jokainen kuva jonka postaa, voi olla niin että se tuottaa törmäyksen. Voisin kuvitella että jossain 4chanilla tai Twitterissä toi olisi viihdettä rölläys mielessä. Kuka ikinä tallentaakaan kuvan laitteeseen, triggaa hälyn.

 

[=JP=]

Hauska ominaisuus Razer laitteiden ajureiden asennuksessa, mahdollistaa Admin oikeuksien saannin, kunhan vaan isket Razer laitteen koneeseen, eli vaatii fyysisen pääsyn koneelle. Windows siis alkaa automaattisesti hakea "ajureita" (Razer Synapse software ohjelmiston, jolla hallitaan laitteita) kun kytket laitteen koneeseen ja käynnistää kyseisen prosessin SYSTEM tasolla. Ongelma syntyy siinä, että se kysyy minne asennetaan ja siinä kohtaa käyttäjän on mahdollista avata Powershell admin oikeuksilla...

Razer bug lets you become a Windows 10 admin by plugging in a mouse

A Razer Synapse zero-day vulnerability has been disclosed on Twitter, allowing you to gain Windows admin privileges simply by plugging in a Razer mouse or keyboard.

www.bleepingcomputer.com

When the Razer Synapse software is installed, the setup wizard allows you to specify the folder where you wish to install it. The ability to select your installation folder is where everything goes wrong.
When you change the location of your folder, a 'Choose a Folder' dialog will appear. If you press Shift and right-click on the dialog, you will be prompted to open 'Open PowerShell window here,' which will open a PowerShell prompt in the folder shown in the dialog.

Teoriassa sama voi onnistua muillakin uuden laitteen asennuksissa, mikäli Windows asentaa automaattisesti jonkun ohjelmiston, joka kyselee käyttäjältä esimerkiksi polkua asennuksen aikana...

 

[escalibur]

Lisää tietovuotoja.

Tällä kertaa kyseessä on Microsoftin Power Apps ja sen oletuskonffit:

38 million records exposed because companies used default configs in Microsoft Power Apps portals

38 million records from multiple companies including Ford, J.B. Hunt, and American Airlines were left exposed to the public internet due to a default configuration in Microsoft Power Apps portals.

www.neowin.net

By Design: How Default Permissions on Microsoft Power Apps Exposed Millions | UpGuard

38 million records were exposed in multiple data leaks resulting from misconfigured Microsoft Power Apps portals. Data included sensitive information such as COVID-19 contact tracing data, COVID-19 vaccination appointments, social security numbers for job applicants, employee IDs, and millions...

www.upguard.com

 

[=JP=]

Päivitykset kuntoon, useita vakavia reikiä joista Google oikein varoittaa käyttäjiä ja pyytää varmistamaan että päivitykset on kunnossa.

Google issues another security threat warning - fourth time in two months - gHacks Tech News

In their most recent official blog post, Google revealed seven high-rated security threats discovered in Chrome on all major systems.

www.ghacks.net

these severe vulnerabilities:

• High — CVE-2021-30598: Reported by Manfred Paul. Type Confusion in V8.
• High — CVE-2021-30599: Reported by Manfred Paul. Type Confusion in V8.
• High — CVE-2021-30600: Reported by 360 Alpha Lab. Use after free in Printing.
• High — CVE-2021-30601: Reported by 360 Alpha Lab. Use after free in Extensions API.
• High — CVE-2021-30602: Reported by Cisco Talos. Use after free in WebRTC.
• High — CVE-2021-30603: Reported by Google Project Zero. Race in WebAudio.
• High — CVE-2021-30604: Reported by SecunologyLab. Use after free in ANGLE.

Eli tarkistakaa että Chromium , Chrome sun muut variaatit on päivitettynä noilta osin!
Ainakin Chromium kohdalla versio 92.0.4515.159 on korjattu nuo...
Edge näkyy laahaavan aikas pahasti perässä, mikäli sen versiointi on sama kuin Chromium...

 

[escalibur]

Ilmeisesti Azuressa olevat kannat saattoivat olla ”kaikkuen nähtävillä”

Microsoft (MSFT.O) on Thursday warned thousands of its cloud computing customers, including some of the world's largest companies, that intruders could have the ability to read, change or even delete their main databases, according to a copy of the email and a cyber security researcher.

EXCLUSIVE Microsoft warns thousands of cloud customers of exposed databases

Microsoft on Thursday warned thousands of its cloud computing customers, including some of the world's largest companies, that intruders could have the ability to read, change or even delete their main databases, according to a copy of the email and a cyber security researcher.

www.reuters.com

 

[demu]

Hakkerit ovat keksineet uuden keinon haittaohjelmien piilottamiseen virusscannereiden ulottumattomiin.
Haitakkeet talletetaan näytönohjaimen muistiin.
Haitakkeet hyödyntävät Windowsin OpenCL 2.0 APIa, eivätkä siis tässä vaiheessa ainakaan ole vaaraksi muita käyttöjärjestelmiä käyttäville tietokoneille.
Mutta eivätköhän virusscannerti ala kohta skannaamaan näytönohjaimen muistinkin.

Hackers found a new way to store viruses in GPU memory - VideoCardz.com

Malicious code hidden in VRAM, undetectable by antiviruses A new cyberhack featuring graphics card memory. According to Bleeping Computer, cybercriminals have found a new way to hide malware in graphics cards memory. This method of utilizing graphics card memory instead of system memory is...

videocardz.com

 

[KoneenKokoaja]

Hakkerit ovat keksineet uuden keinon haittaohjelmien piilottamiseen virusscannereiden ulottumattomiin.
Haitakkeet talletetaan näytönohjaimen muistiin.
Haitakkeet hyödyntävät Windowsin OpenCL 2.0 APIa, eivätkä siis tässä vaiheessa ainakaan ole vaaraksi muita käyttöjärjestelmiä käyttäville tietokoneille.
Mutta eivätköhän virusscannerti ala kohta skannaamaan näytönohjaimen muistinkin.

Hackers found a new way to store viruses in GPU memory - VideoCardz.com

Malicious code hidden in VRAM, undetectable by antiviruses A new cyberhack featuring graphics card memory. According to Bleeping Computer, cybercriminals have found a new way to hide malware in graphics cards memory. This method of utilizing graphics card memory instead of system memory is...

videocardz.com

Joo tämä on aika vittumainen keino kun nykyiset virustorjunta ohjelmat, jotka valvovat reaaliaikaisesti koneessa pyöriviä prosesseja eivät osaa skannata eivätkä havaita tuolla tavalla piilotettua haittaohjelmakoodia. GPU muistia ei ole oikein suojattu, koska on ajateltu, että sieltä kautta ei pysty ajamaan koodia.

 

[Agent_007]

Apple painoi jarrua CSAM:in osalta, koska tuli niin paljon huonoa palautetta

Apple delays plans to roll out CSAM detection in iOS 15 after privacy backlash | TechCrunch

The CSAM detection technology was due to launch with iOS 15.

techcrunch.com

 

[Hyrava]

Joo tämä on aika vittumainen keino kun nykyiset virustorjunta ohjelmat, jotka valvovat reaaliaikaisesti koneessa pyöriviä prosesseja eivät osaa skannata eivätkä havaita tuolla tavalla piilotettua haittaohjelmakoodia. GPU muistia ei ole oikein suojattu, koska on ajateltu, että sieltä kautta ei pysty ajamaan koodia.

Voin kuvitella kuinka raskaaksi virustorjunnat menevät jos ne rupeavat skannaamaan tuota OpenCL APIa erikseen. Saattaa olla että tuohon tulee jotain rauta- tai firmispohjaista ratkaisua tulevissa näytönohjainsukupolvissa.

Tuossahan on varmaankin melkoinen vaikutus louhintakoneisiin, niissähän taidetaan käyttää aika pitkälti näytönohjainta laskentaan eli suoritetaan siellä koodia. Ensin joku tuollainen lutikka menee sinne riehumaan ja jos antivirukset tuota APIa rupeavat skannaamaan niin soppa on valmis. Tosin, en tiedä käytetäänkö noissa louhintarigeissä windowsia taikka virustorjuntoja.

 

[=JP=]

Voin kuvitella kuinka raskaaksi virustorjunnat menevät jos ne rupeavat skannaamaan tuota OpenCL APIa erikseen. Saattaa olla että tuohon tulee jotain rauta- tai firmispohjaista ratkaisua tulevissa näytönohjainsukupolvissa.

Tuossahan on varmaankin melkoinen vaikutus louhintakoneisiin, niissähän taidetaan käyttää aika pitkälti näytönohjainta laskentaan eli suoritetaan siellä koodia. Ensin joku tuollainen lutikka menee sinne riehumaan ja jos antivirukset tuota APIa rupeavat skannaamaan niin soppa on valmis. Tosin, en tiedä käytetäänkö noissa louhintarigeissä windowsia taikka virustorjuntoja.

Taitaa moni harrastelija louhija, jotka pelaamisen sun muun ohella välillä louhii, niin ajella Winkkarilla noita. Ja taitaa nykyään joutua laittamaan AV softan "whitelist" nuo louhintasoftat, koska ne lasketaan haittaohjelmiksi, eli jos sinne jokin malware/virus pääsee, saa se siellä rauhassa oleskella ja tehdä pahojaan...

 

[KoneenKokoaja]

Voin kuvitella kuinka raskaaksi virustorjunnat menevät jos ne rupeavat skannaamaan tuota OpenCL APIa erikseen. Saattaa olla että tuohon tulee jotain rauta- tai firmispohjaista ratkaisua tulevissa näytönohjainsukupolvissa.

Tuossahan on varmaankin melkoinen vaikutus louhintakoneisiin, niissähän taidetaan käyttää aika pitkälti näytönohjainta laskentaan eli suoritetaan siellä koodia. Ensin joku tuollainen lutikka menee sinne riehumaan ja jos antivirukset tuota APIa rupeavat skannaamaan niin soppa on valmis. Tosin, en tiedä käytetäänkö noissa louhintarigeissä windowsia taikka virustorjuntoja.

Ei taida edes pystyä virustorjunta skannailemaan tätä haavoittuvuutta, koska käsitykseni mukaan se pyörii suojatulla ajuritasolla, jonka muistialueisiin mikään konessa pyörivä sovellus ei pääse käsiksi suojausten takia. Eli tähän pitäisi löytää joku bios / firmware tason esto. Yksi keino ehkä voisi olla se, että OlenCL APIn tulee joku keino estää muita kuin hyväksyttyjä sovelluksia käyttämästä koko APIa tai sovelluksille pitää erikseen antaa lupa käyttää sitä käyttöjärjestelmä tasolla. Tosin tässäkin on se ongelma, että tavikset klikkailevat kyllä kaikkiin kysely ikkunoihin sen tarkemmin miettimättä mikä sovellus pyytää lupaa käyttää sitä.

 

[Lars_A]

Oliks tämä vaarallinen Lightning piuha jo täällä, vähän samaa kategoriaa kuin vieras USB tikku mutta ehkä vielä helpommin erehtyy.

This Seemingly Normal Lightning Cable Will Leak Everything You Type

A new version of the OMG Cable is a USB-C to Lightning Cable that hackers can use to steal your passwords or other data.

www.vice.com

 

[Hyrava]

Ei taida edes pystyä virustorjunta skannailemaan tätä haavoittuvuutta, koska käsitykseni mukaan se pyörii suojatulla ajuritasolla, jonka muistialueisiin mikään konessa pyörivä sovellus ei pääse käsiksi suojausten takia. Eli tähän pitäisi löytää joku bios / firmware tason esto. Yksi keino ehkä voisi olla se, että OlenCL APIn tulee joku keino estää muita kuin hyväksyttyjä sovelluksia käyttämästä koko APIa tai sovelluksille pitää erikseen antaa lupa käyttää sitä käyttöjärjestelmä tasolla. Tosin tässäkin on se ongelma, että tavikset klikkailevat kyllä kaikkiin kysely ikkunoihin sen tarkemmin miettimättä mikä sovellus pyytää lupaa käyttää sitä.

Jaa, itse kun en winkkaria ole käyttänyt varmaan 15 vuoteen kuin pakon edessä niin en enää tunne miten sillä puolella hommat toimii mutta olisin kuvitellut että joku virustorjunta olisi voinut tehdä jonkun hookin että kun OpenCL-rajapintaa käytetään niin päästäisiin kurkkaamaan mitä siellä siirretään GPUn muistiin. Mutta tosin tuossakin on tuo winkkarikäyttäjiin iskostettu ongelma että kaikkiin painetaan lukematta OK tai Hyväksy kun noita kyselyitä tulee ovista ja ikkunoista.

Itselle tulee jonkun verran duunissa puheluita "Tää ei toimi, tuli joku ikkuna ja nyt ei toimi mikään" ja sitten kun kysyy että mitähän siinä ikkunassa luki niin 99.99% tapauksista tosiaan vastauksena on "Emmätiiä, mä painoin OK ja sitten ei enää mikään toimi". Ja 99% näistä ongelmista on windows-käyttäjillä, meillä on linuxia käyttäviä ihmisiäkin mutta niiltä ei juurikaan tule kysymyksiä tai sitten ne ovat ihan oikeasti aiheellisia.

 

[demu]

Ei taida edes pystyä virustorjunta skannailemaan tätä haavoittuvuutta, koska käsitykseni mukaan se pyörii suojatulla ajuritasolla, jonka muistialueisiin mikään konessa pyörivä sovellus ei pääse käsiksi suojausten takia. Eli tähän pitäisi löytää joku bios / firmware tason esto. Yksi keino ehkä voisi olla se, että OlenCL APIn tulee joku keino estää muita kuin hyväksyttyjä sovelluksia käyttämästä koko APIa tai sovelluksille pitää erikseen antaa lupa käyttää sitä käyttöjärjestelmä tasolla. Tosin tässäkin on se ongelma, että tavikset klikkailevat kyllä kaikkiin kysely ikkunoihin sen tarkemmin miettimättä mikä sovellus pyytää lupaa käyttää sitä.

Jos sinne näytönohjaimen muistiin saa viruksen pyörimään, niin samalla logiikalla sinne saa myös virusskannerin pyörimään...