Tietoturvauutiset ja blogipostaukset

[runboy93]

Eiköhän siellä ole melkoinen resetointispämmi meneillään. Päivällä ehdin vaihtaa oman tilin salasanaa, ilman mitään ongelmia. Onneksi kyseinen salasana oli Bitwardenin generoima, joten pahimmassakin tapauksessa menetys olisi varsin mitätön.

Kyllä mä uskon että vaikka olisi tukos, niin kyllä sen viestin olisi pitänyt jo tulla jos olisi ollut tunnus mutta ilmeisesti sitten muistin väärin. Eikä missään muualla ole ainakaan vielä moisesta ongelmasta kirjoitettu niin ehkä ei sitten ole mitään tukosta.

 

[JokuHullu]

Tästä heräsi kiinnostus miten tuo tuolla toimii.

Jos hakee sopimuksettoman prepaidin, niin se ei ole siirettävissä ja numeron pitäminen vaatii huolellisuutta. Niin onko tuo välttämätön, eli jos numeron menettää, niin tili pysyy edelleen käytettävissä ? ja halutessaan voi antaa uuden numeron ja/tai poistaa vanhan kuolleen numeron. (tarkennus, siinä vaiheessa kun numeron on jo menettänyt)



Ei tietenkään prepaid ominaisuus, voi jonkin muunkin liittymän numeron menettää.

Tuon aiemman kuvan perusteella voisin kuvitella että tuo SMS autentikointi ei ole pakollinen joten luulisin että numeroa ei tarvita 2FA käyttöönoton jälkeen. Jos myöhemmin jostain syystä haluaa 2FA pois päältä tai vaihtaa puhelinnumeroa niin eiköhän se sitten kysy vaan OTP:n ja tyytyy siihen.

Mutta tämä perustuu täysin omiin kuvitelmiin ja luuloihin, ei faktoihin.

Ajattelin itse ainakin hankkia sen prepaidin taikka latausliittymän, ei tuo Twitch kuitenkaan ole ainoa joka puhelinnumeroa kyselee. Tarvitsee vaan laittaa kalenteriin muistutus että latailee sitä liittymää vaikkapa 11kk välein ettei se mene kiinni.

 

[=JP=]

Suosittelen jatkamaan tuota 2FA keskustelua tuonne:

Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

Kaksivaiheisen vahistuksen perusidea on varmentaa käyttäjän identiteetti kahdella tai useammalla tavalla. Tällä halutaan vahvistaa käyttäjätilien turvallisuutta, ja kaksivaiheisen tunnistuksen ansiosta pelkkä salasanan/pinkoodin urkinta ei johda puustapitkälle. Kaikista simppelein sovellus on...

bbs.io-tech.fi

 

[ztec]

Tämä on kyllä suoraan sanottuna aivan perseestä. Kaikki tietävät ettei SMS:n kautta tapahtuva 2FA-autentikointi ole edes turvallista. Varmuuskoodit olisivat parempi vaihtoehto, mutta niitä ei edes tarjottu.

FIDO2 / WebAuthn on myös aivan mainio moderni tapa hoitaa vahva autentikointi. Vahvempi kuin backup koodit / TOTP.

 

[user9999]

Julkaistu iOS 15.0.2 ja iPadOS 15.0.2 päivitykset.

Apple julkaisi korjaavan ohjelmistopäivityksen iOS ja iPadOS -käyttöjärjestelmien haavoittuvuuteen joka voi mahdollistaa laitteen täydellisen haltuunoton. Haavoittuvuutta on Applen mukaan jo havaittu hyväksikäytettävän rikollisten toimesta, joten haavoittuvat ohjelmistot tulee päivittää ensi tilassa.

Muistin korruptoitumishaavoittuvuus iOS- ja iPadOS-käyttöjärjestelmissä | Kyberturvallisuuskeskus

Apple julkaisi korjaavan ohjelmistopäivityksen iOS ja iPadOS -käyttöjärjestelmien haavoittuvuuteen joka voi mahdollistaa laitteen täydellisen haltuunoton. Haavoittuvuutta on Applen mukaan jo havaittu hyväksikäytettävän rikollisten toimesta, joten haavoittuvat ohjelmistot tulee päivittää ensi...

www.kyberturvallisuuskeskus.fi

 

[user9999]

Windows haavoittuvuus, joka korjattu eilen.

Win32k-komponentissa aktiivisesti hyväksikäytetty haavoittuvuus | Kyberturvallisuuskeskus

Win32k-komponentissa on haavoittuvuus, joka löytyy lähestulkoon kaikista Windows-laitteista. Haavoittuvuutta on myös alettu jo käyttää hyväksi. Suosittelemme päivittämään mahdollisimman nopeasti!

www.kyberturvallisuuskeskus.fi

 

[Jorsetti]

Hikvisionin kameroissa paljastunut iso ongelma. Mikäli kamera on netissä "tarjolla" tai jos hyökkääjä on samassa verkossa, niin hyökkääjä saa rootin oikeudet. Cve 9.8/10

Unauthenticated Remote Code Execution (RCE) vulnerability in Hikvision IP camera/NVR firmware (CVE-2021-36260)

watchfulip.github.io

E: Olikin jo, voi poistaa tämän.

 

[=JP=]

Hikvisionin kameroissa paljastunut iso ongelma. Mikäli kamera on netissä "tarjolla" tai jos hyökkääjä on samassa verkossa, niin hyökkääjä saa rootin oikeudet. Cve 9.8/10

Unauthenticated Remote Code Execution (RCE) vulnerability in Hikvision IP camera/NVR firmware (CVE-2021-36260)

watchfulip.github.io

Vanha uutinen, käsitelty täälläkin kuukausi sitten:

Tietoturvauutiset ja blogipostaukset

Tässä syy miksi itse en halua esim. älykelloa, joka jakaa tiedot jonnekin pilveen, josta ne sitten saattaa "vahingossa" levitä yleiseen tietoon... (Saisi markkinoille tulla ns. standalone laitteita, joista saisi datan helposti ulos jollain standardilla, jota paikallisesti sitten voi tarkemmin...

bbs.io-tech.fi

Noh, kertaus on opintojen äiti...

 

[escalibur]

Ransomware iski Acerin järjestelmiin $50M:n lunnaisvaatimuksella:

Computer giant Acer hit by $50 million ransomware attack

Computer giant Acer has been hit by a REvil ransomware attack where the threat actors are demanding the largest known ransom to date, $50,000,000.

www.bleepingcomputer.com

@Kaotik

Acer on jälleen otsikkoissa. Rikolliset murtautuivat Acerin Intiassa ja Taiwanissa sijaitseviin järjestelmiin. Acerin mukaan, ainoastaan Intian yksikkö sisälsi asiakkaisiin liittyvää dataa.

Miscreants break into Acer servers in India, Taiwan

Gang says it grabbed internal info, could do the same to Acer elsewhere

www.theregister.com

@Kaotik

 

[fokkusu]

Twitter suspends hacker who allegedly stole data of 45 million Argentinians

The government of Argentina has denied that the National Registry of Persons was hacked.

www.zdnet.com

Twitter has suspended a hacker who allegedly stole all of the data from Argentina's database holding the IDs and information of all 45 million citizens of the country.

A threat actor using the handle @aniballeaks said they managed to hack into Argentina's National Registry of Persons -- also known as RENAPER or Registro Nacional de las Personas -- and offered to sell the data on a cybercriminal forum.

The leaked data includes names, home addresses, birthdays, Trámite numbers, citizen numbers, government photo IDs, labor identification codes, ID card issuance and expiration dates.

Initially, the hacker began leaking the information of famous Argentines like Lionel Messi and Sergio Aguero. But in a conversation with The Record, the hacker said they planned to publish the information of "1 million or 2 million people" while looking for buyers interested in the data.

 

[escalibur]

Microsoft allekirjoitti WHQL-ajurit, jotka osoittautuivat malwareksi.

Key Findings

• Bitdefender researchers have identified a rootkit with a Microsoft-issued digital signature;
• The rootkit is used to proxy traffic to Internet addresses that interest the attackers.
• We assume that the rootkit targets online games with the main goal of credential theft and in-game-purchase hijacking
• The rootkit has been targeting computer users for more than a year now
• Rootkit spreading is limited to China and we presume that it is operated by a threat actor with significant interest in the market

The Emergence of FiveSys, a Malicious Signed Rootkit

Bitdefender security researchers have identified a new Microsoft-signed rootkit, named FiveSys, that somehow got through the verification process and ended up in the wild.

www.bitdefender.com

Microsoft WHQL-signed FiveSys driver was actually malware in disguise

A WHQL-certified driver called "FiveSys" was detected by Bitdefender which was, in reality, a malicious rootkit. After learning about it, the driver's signature has since been removed by Microsoft.

www.neowin.net

@Kaotik

 

[user9999]

Tori.fi järjestelmässä on ollut tietoturvahaavoittuvuus. Käyttäjien piilotettuja puhelinnumeroita on päässyt vuotamaan.

Tori.fi:ssä tietovuoto

Numerot, joita ei pitänyt näkyä, ovat päässeet rikollisten käsiin.

www.iltalehti.fi

 

[pagus]

Tori.fi järjestelmässä on ollut tietoturvahaavoittuvuus. Käyttäjien piilotettuja puhelinnumeroita on päässyt vuotamaan.

Tori.fi:ssä tietovuoto

Numerot, joita ei pitänyt näkyä, ovat päässeet rikollisten käsiin.

www.iltalehti.fi

Ei nyt GDPR-aikakaudella ihan näin pitäisi olla että: Tori pyytää käyttäjiä, joita on yritetty huijata, olemaan yhteydessä Torin asiakaspalveluun.

Eivät aio muuta infota käyttäjille?! Se että X määrä on nyt numeroita (ehkä myös muita tietoja) viety niin ei koeta tarpeelliseksi... ?

 

[runboy93]

Tori.fi järjestelmässä on ollut tietoturvahaavoittuvuus. Käyttäjien piilotettuja puhelinnumeroita on päässyt vuotamaan.

Tori.fi:ssä tietovuoto

Numerot, joita ei pitänyt näkyä, ovat päässeet rikollisten käsiin.

www.iltalehti.fi

Kävin vielä tarkistamassa, niin ei ilmeisesti ole ollut koskaan puhelinnumeroa näkyvillä tai asetuksissa (sinä aikana kun torissa ollut tuo schibsted tilijuttu käytössä), eli ehkä tällä kertaa safe! miljoona muuta kertaa sähköposti vuotanut muissa tapauksissa xD

Asetuksissa näkyi vain numero: - ja sitten vielä katsoin tarkemmin niin ei siellä mitään numeroa ollut, eikä ole ollut ilmoituksia ainakaan puoleen vuoteen (missä numero pakollinen kyllä), ilmoituksen tekemiseen se numero on kyllä pakollinen mutta sitä ei tarvitse ainakaan tuolla schibsted asetuksissa pitää tallennettuna.

Poistin vielä tuon schibsted tilin (+ torin) kun käytin niin harvakseltaa enää.

 

[SupremeBug]

Ikävä uhka tavallisen näköisestä usb-kaapelista ja samalla vaikuttava saavutus integroida haitallinen lisätoiminta kaapeliin.

This Seemingly Normal Lightning Cable Will Leak Everything You Type

Joko jokaisen tietoturvavastaavan työkaluarsenaalissa on radio-skannaukset ja skannauksien analysointi? Pistokokein ja jatkuvasti?

 

[escalibur]

Ikävä uhka tavallisen näköisestä usb-kaapelista ja samalla vaikuttava saavutus integroida haitallinen lisätoiminta kaapeliin.

This Seemingly Normal Lightning Cable Will Leak Everything You Type

Joko jokaisen tietoturvavastaavan työkaluarsenaalissa on radio-skannaukset ja skannauksien analysointi? Pistokokein ja jatkuvasti?

Onneksi puhelimen (varsinkin iPhonen) kytkeminen tietokoneeseen kaapelilla on kovaa vauhtia siirtymässä historiaan. Tulevista malleista ei välttämättä enää löydy koko kaapeliliitäntää.

 

[=JP=]

Onneksi puhelimen (varsinkin iPhonen) kytkeminen tietokoneeseen kaapelilla on kovaa vauhtia siirtymässä historiaan. Tulevista malleista ei välttämättä enää löydy koko kaapeliliitäntää.

USB-kaapeleista ei päästä eroon pitkään aikaan, niin monessa asiassa niitä käytetään edelleen, itse ihmetellyt, etteivät ole tehneet esim. OMG USB-jatkokaapelia, joka olisi helppo pistää koneeseen kiinni, eikä varmaan aiheuttaisi paljoa ihmettelyä monessakaan paikassa.

 

[escalibur]

USB-kaapeleista ei päästä eroon pitkään aikaan, niin monessa asiassa niitä käytetään edelleen, itse ihmetellyt, etteivät ole tehneet esim. OMG USB-jatkokaapelia, joka olisi helppo pistää koneeseen kiinni, eikä varmaan aiheuttaisi paljoa ihmettelyä monessakaan paikassa.

Onhan noita vakoilevia kaapeleita, näppiksiä yms asioita ollut vuosikausia. Sanoisin että jos ei koe olevansa haluttu vakoilukohde, ei pitäisi olla syytä huoleen. Melko harvassa on ne jotka tilaavat muutamien eurojen arvoisia kaapeleita ulkomailta asti. Siinäkin tilanteessa sanoisin että ihmetellään asiaa tarkemmin sitten kun siitä on oikeasti riesasti asti.

 

[=JP=]

Onhan noita vakoilevia kaapeleita, näppiksiä yms asioita ollut vuosikausia. Sanoisin että jos ei koe olevansa haluttu vakoilukohde, ei pitäisi olla syytä huoleen. Melko harvassa on ne jotka tilaavat muutamien eurojen arvoisia kaapeleita ulkomailta asti. Siinäkin tilanteessa sanoisin että ihmetellään asiaa tarkemmin sitten kun siitä on oikeasti riesasti asti.

Juu, siis itse pohdin tuota asiaa enemmänkin ihan "teollisuusvakoilun" näkökulmasta (nykyään myös ransomware vaarana), eli tuollaisen kaapelin saaminen johonkin firman koneeseen voipi olla jättipotti ilkeissä käsissä. Se miten se sinne saadaan onkin sitten eriasia, tapoja on monenlaisia riipuen tilanteesta.

Tavallisen ihmisen ei tarvii paljoa noita pelätä, joissain erikoistapauksissa tietenkin voi olla kohteena (esim. kumppanin vakoilut sun muut).

 

[vaalea limppu]

Melko harvassa on ne jotka tilaavat muutamien eurojen arvoisia kaapeleita ulkomailta asti.

En olisi niin varma, varsinkaan tällaisella foorumilla. Juuri kaapeleissa ja pientarvikkeissa prosentuaalinen hintaero on monesti suurimmillaan kotimaisiin kauppoihin verrattuna. Mutta itsekin suosittelen välttämään ihan halvimpia, ja lähikaupasta ostaminen on sekä turvallisempaa että helpompaa.

 

[SupremeBug]

Onhan noita vakoilevia kaapeleita, näppiksiä yms asioita ollut vuosikausia. Sanoisin että jos ei koe olevansa haluttu vakoilukohde, ei pitäisi olla syytä huoleen. Melko harvassa on ne jotka tilaavat muutamien eurojen arvoisia kaapeleita ulkomailta asti. Siinäkin tilanteessa sanoisin että ihmetellään asiaa tarkemmin sitten kun siitä on oikeasti riesasti asti.

Toki vakoilutekniikkaa on ollut aina ja uusia tulee, kuten tämäkin. Asiaa on vain hyvä pohtia niiden ihmisten kannalta, jotka 1) vastaavat jonkin organisaation tietoturvasta ja 2) omaavat työnsä/asemansa puolesta huomattavat oikeudet tieto- ja tietoliikennejärjestelmiin. Kuinka helppoa on ujuttaa tällainen uusi vakoilutuote näiden ihmisten saataville ja käyttöön ilman, että sitä havaitaan riittävän ajoissa? Tietysti itse usb-kaapelin lisäksi pitää saada kaapelin lähelle vielä vakoilijan hallinnoima vastaanotin.

Juttu ei minusta niinkään ole vakoilutekniikan (kaapelilähetin + vastaanotin) ujuttaminen kohteille, vaan mahdollisten kohteiden yksilöinti ja heidän ajantasaisten turvamenetelmien tarkastus tällaisten uusien uhkien varalta. Kuvittele itsesi asemaan, missä sinun pitäisi homma hoitaa. Miten tekisit sen?

 

[=JP=]

Toki vakoilutekniikkaa on ollut aina ja uusia tulee, kuten tämäkin. Asiaa on vain hyvä pohtia niiden ihmisten kannalta, jotka 1) vastaavat jonkin organisaation tietoturvasta ja 2) omaavat työnsä/asemansa puolesta huomattavat oikeudet tieto- ja tietoliikennejärjestelmiin. Kuinka helppoa on ujuttaa tällainen uusi vakoilutuote näiden ihmisten saataville ja käyttöön ilman, että sitä havaitaan riittävän ajoissa? Tietysti itse usb-kaapelin lisäksi pitää saada kaapelin lähelle vielä vakoilijan hallinnoima vastaanotin.

Juttu ei minusta niinkään ole vakoilutekniikan (kaapelilähetin + vastaanotin) ujuttaminen kohteille, vaan mahdollisten kohteiden yksilöinti ja heidän ajantasaisten turvamenetelmien tarkastus tällaisten uusien uhkien varalta. Kuvittele itsesi asemaan, missä sinun pitäisi homma hoitaa. Miten tekisit sen?

Etenkin nyt etätöiden yleistyttyä, niin tuollaisen kaapelin saaminen jonkun kotiin luulisi olevan paljon helpompaa kuin johonkin työtiloihin. Tottakai tämäkin riippuu monesta asiasta, mutta mitä on nähnyt ja lukenut, niin siellä kotona ei kyllä olla ihan niin tarkkana tietoturvan kanssa tällä hetkellä työkoneilla, kuin että istuttaisiin toimistossa joissakin tapauksissa.

 

[escalibur]

Toki vakoilutekniikkaa on ollut aina ja uusia tulee, kuten tämäkin. Asiaa on vain hyvä pohtia niiden ihmisten kannalta, jotka 1) vastaavat jonkin organisaation tietoturvasta ja 2) omaavat työnsä/asemansa puolesta huomattavat oikeudet tieto- ja tietoliikennejärjestelmiin. Kuinka helppoa on ujuttaa tällainen uusi vakoilutuote näiden ihmisten saataville ja käyttöön ilman, että sitä havaitaan riittävän ajoissa? Tietysti itse usb-kaapelin lisäksi pitää saada kaapelin lähelle vielä vakoilijan hallinnoima vastaanotin.

Juttu ei minusta niinkään ole vakoilutekniikan (kaapelilähetin + vastaanotin) ujuttaminen kohteille, vaan mahdollisten kohteiden yksilöinti ja heidän ajantasaisten turvamenetelmien tarkastus tällaisten uusien uhkien varalta. Kuvittele itsesi asemaan, missä sinun pitäisi homma hoitaa. Miten tekisit sen?

Vakoilu ja siitä torjuminen on loputon taistelu. Kuten aikaisemmin totesin, jos kyseessä ei ole henkilö jota erityisesti haluttaisiin vakoilla, en olisi hirveästi huolissaan.

Miten hoitaisin tämän? Tämä riippuu niin monesta eri asiasta, ettei tuohon pysty vastaamaan yksiselitteisesti. Henkilön vakoiluhoukuttelevuudesta riippuen, yksi yleisimmistä ratkaisuista voisi olla "kielletään kaikki ja sallitaan erikseen listatut asiat"-periaatteella. Tämä toteutus ei myöskään riipu mistään mistä saa tai ei saa ostaa yksittäistä kaapelia, vaan käytännössä kaikesta missä henkilöä tai sen käyttämiä asioita voidaan vakoilla. Taas tullaan siihen että kyse on loputtomasta taistelusta joka on jatkuvaa seurantaa ja asioiden parantamista saadun ja löydetyn kokemuksen perusteella.

 

[=JP=]

Niin se vaan pikkuhiljaa alkaa leviämään erinäisiin online palveluihin, että pitää alkaa todistamaan henkilöllisyys lähettämällä kuva henkkareista ja omasta naamasta. Mielenkiintoista tässä tapauksessa on se, että käyttäjän pitäisi todistaa olevansa yli 13 vuotias, kuinka monelta tuon ikäiseltä löytyy joku virallinen henkilöllisyystodistus. Ja mielestäni alaikäisen tietojen kysely on pikkasen arveluttavaa.

Ja onko tässä otettu lainkaan huomioon, miten pian tätä asiaa aletaan hyödyntämään huijausten nimissä, porukka lähettelee tietojaan ties minne, olipa kyse minkä tahansa palvelun nimissä tehdystä huijauksesta, koska käytäntö vaan laajenee.

Introducing Age Verification | Roblox

A new way for users to access innovative social capabilities and age-appropriate content while also ensuring the safety of our community.

blog.roblox.com

Age Verification comes in two stages. First, an ID document check, and then a selfie match. On the Roblox app, users start by scanning their ID card, driver’s license, or passport. Roblox uses advanced image processing technology to validate the document’s legitimacy.

The Age Verification service is gradually rolling out to users starting today, September 21, 2021, and over the course of a few weeks. It will be available globally in over 180 countries on both mobile and desktop for anyone 13 years of age or older with a government-issued ID or passport.

 

[jarhu]

Erittäin epäilyttävää toimintaa enkä missään nimessä antaisi vanhempana alaikäisen lapsen lähetellä vaikkapa henkilökortin kuvia mihinkään palveluihin.

 

[kaakau<"'\\/>]

Ikätarkistukseen liittyen tässä on userscripti, jolla saa YouTubesta ne ohitettua. En tainnut io-techistä bongata.

 

[=JP=]

Ikätarkistukseen liittyen tässä on userscripti, jolla saa YouTubesta ne ohitettua. En tainnut io-techistä bongata.

Tuo "YouTube Account Proxy" jota saatetaan käyttää tarvittaessa, ainakin omaan korvaan vähän särähtää, että kenen palvelimelle siellä pistetään mitäkin dataa.

Itse käytän nykyään kolmannen osapuolen softia katsomaan Youtube (Freetube + mpv + yt-dlp), eipä tarvii miettiä tuollaisia, hienosti pyörii videot MPV video playerillä ja paikallisesti on Subscription, Historyt sun muut tarvittavat ominaisuudet. Saa jopa kategoriat kätevästi, että on kanavat helposti katsottavissa genren mukaan itsellä, eikä sikinsokin kaikki samassa listassa jne... Tietenkin harmina saattaa tulla, kun Google yrittää estää noiden toimintaa pieni katkos toiminassa, mutta eipä ole ollut pitkään toviin ongelmia, kunhan pitää systeemit päivitettynä.

 

[noreth]

Aika moneen paikkaan se on viranomaisten määräys, KYC know your customer. Yhteen kryptopörssiin juuri lähetin kuvan ajokortista. Henkilötunnuksen loppuosan suttasin kuvasta pois ja hyvin kelpasi.

 

[Ormu]

Amerikkalaisilta ryhdikäs teko. Urkintaohjelmia tekevä NSO Group päätyi kauppaministeriön mustalle listalle:

Vakoiluohjelma aiheutti skandaalin: tekijä joutui Yhdysvaltojen mustalle listalle

Yhdysvaltain hallitus pelkää NSO Groupin uhkaavan kansallista turvallisuutta.

www.is.fi

 

[Rollerix]

Onkohan io-tech sunnuntai-aamuisen hyökkäyksen kohteena? Kahteen ryhmään on tullut postaus, jossa joku ilmeisesti Google translatorilla tms kirjoittanut viestin ja liittänyt mukaan png-liitteen, jossa ei ole edes esikatselua? Ryhmissä Näytönohjaimet ja Prosessorit yms. Älkää klikatko linkkejä ennenkuin modet ehtii tarkastaa mistä kyse. Raportoitu.

 

[Desgorr]

Onkohan io-tech sunnuntai-aamuisen hyökkäyksen kohteena? Kahteen ryhmään on tullut postaus, jossa joku ilmeisesti Google translatorilla tms kirjoittanut viestin ja liittänyt mukaan png-liitteen, jossa ei ole edes esikatselua? Ryhmissä Näytönohjaimet ja Prosessorit yms. Älkää klikatko linkkejä ennenkuin modet ehtii tarkastaa mistä kyse. Raportoitu.

Tässä muuten PNG:stä Virustotalin linkki: VirusTotal - File - 0f311e51542c49462463bbbf8d08b63ba54596183deb63914fc4a7a25d7ccb93

PNG-kuvien käsittelystäkin on tosiaan tietoturvaongelmia löytynyt: Google Patches Critical .PNG Security Vulnerability

 

[Special Once]

Viestejä pidetään siis tallessa palvelimella eikä niitä tuhota sieltä lainkaan.

Eiköhän tuo tuhoamattomuus ole vain bugi, aika paljon bugeja on vielä tässä beta-versiossa. Viestithän on pakko säilyttää palvelimella, kun kerran WhatsAppin käyttö onnistuu vaikka puhelin on kiinni. Kryptattuna ne toivottavasti säilytetään.

 

[leripe]

Loogista juu, että beta-vaiheessa sattuu ja tapahtuu. Toivotaan, että viestit oikeasti tuhotaan sen jälkeen, kun ne on välitetty joka laitteelle. Etenkin, jos mitään backupeja ei ole käytössä.

Ai että koko palvelu pyörisi ilman backuppeja?

 

[Agent_007]

Noissa kannattaa huomioida, että 1-1 -keskusteluissa ja ryhmäkeskusteluissa tuo logiikka toiminee erilailla. Eli 1-1 -keskusteluissa palvelin voi heittää viestin heti mäkeen, kun vastaanottaja on sen kuitannut vastaanotetuksi, ja se ei varsinaisesti haittaa, jos viesti jää palvelimelle talteen pitkäksikin aikaa, koska vain viestin vastaanottaja voi purkaa sen salauksen (olettaen siis että asymmetrisestä salauksesta kyse). Ryhmäkeskusteluissa homma meneekin sitten vaikeammaksi, koska periaatteessa jokaisen ryhmässä on kuitattava viesti vastaanotetuksi ennen kuin viesti voidaan poistaa ja teoriassa kenen tahansa ryhmässä pitää pystyä avaamaan se viesti.

 

[Agent_007]

Blacksmith on uusi tapa toteuttaa Rowhammer-hyökkäys. Onnistumisprosentti vaihtelee DRAM-tuotteiden välillä runsaasti, ja huonoimmat tuotteet kestävät hyökkäystä vain pari sekuntia, jonka jälkeen hyökkääjä saa ajettua omaa koodia tai luettua esim. RSA-avaimia.

Blacksmith – Computer Security Group

comsec.ethz.ch

 

[KoneenKokoaja]

Täällä on lisää juttua rautatason haavoittuvuudesta kaikissa DRAM käyttävissä laitteilla. Eli tää toimii jotenkin silleen mitä itse ymmärsin, että haittaohjelma voi omaa varaamaansa muistialuetta manipuloimalla sopivalla tavalla vaikuttaa bitteihin oman muistialueensa ulkopuolella, joka johtaa tilanteeseen, jossa voidaan ajaa koneella mitä tahansa koodia. Tämä johtuu DRAM piirien rakenteesta, jossa muuttelemalla bitteja tietyllä tavalla DRAM muistissa voi vaikutta viereisiin bitteihin DRAM muistissa rauta-tason kautta, joka ohittaa kaikki käyttöjärjestelmän ohjelmalliset suojaukset. Normaalista sovellusohjelma ei saisi pystyä manipuloimaan muistia oman varaamansa muistialueen ulkopuolella. Tarkemmat selitykset tästä jätän suosiolla itseäni osavimmille.

Serious security vulnerabilities in DRAM memory devices

Researchers at ETH Zurich have discovered major vulnerabilities in DRAM memory devices, which are widely used in computers, tablets and smartphones. The vulnerabilities have now been published together with the National Cyber Security Centre, which for the first time has assigned an...

techxplore.com

 

[Agent_007]

Apple on haastanut NSO Groupin oikeuteen noiden vakoiluohjelmien takia

Apple sues NSO Group to curb the abuse of state-sponsored spyware

Apple today filed a lawsuit against NSO Group to hold it accountable for abusive surveillance and the targeting of a small number of Apple users.

www.apple.com

 

[user9999]

Apple on haastanut NSO Groupin oikeuteen noiden vakoiluohjelmien takia

Apple sues NSO Group to curb the abuse of state-sponsored spyware

Apple today filed a lawsuit against NSO Group to hold it accountable for abusive surveillance and the targeting of a small number of Apple users.

www.apple.com

Yhdysvallat on myös laittanut tuon NSO Groupin kieltolistalle.

Yhdysvallat asetti iPhone-hakkerointityökaluista tunnetun NSO Groupin kieltolistalle – uhka kansalliselle turvallisuudelle

Yhdysvallat on asettanut hakkerointityökaluistaan tunnetun NSO Groupin kieltolistalle, 9to5Mac uutisoi. Firman ohjelmiston tiedetään ohittavan iPhonen su

mobiili.fi

Edit: Olikin jo mainittu tässä ketjussa.

 

[FinMaky]

HAAVOITTUVUUS 36/2021
CVSS ei vielä julkaistu
Julkaistu 24.11.2021

Microsoft Windows nollapäivähaavoittuvuus | Kyberturvallisuuskeskus

Tietoturvatutkija on löytänyt Microsoftin Windows-käyttöjärjestelmästä nollapäivähaavoittuvuuden, joka mahdollistaa mielivaltaisen ohjelmistokoodin ajamisen korotetuin valtuuksin.

Microsoftin Windows-käyttöjärjestelmästä on löytynyt haavoittuvuus, jonka avulla voidaan suorittaa mielivaltaista ohjelmistokoodia korotetuin valtuuksin. Haavoittuvuus on hyödynnettävissä paikallisesti. Haavoittuvuus koskee kaikkia Windowsin versioita, joissa on käytössä Elevation service -palvelu.

Haavoittuvuus löytyi CVE-2021-41379-haavoittuvuuden korjaavan päivityksen tutkinnassa. Tietoturvatutkija on julkaissut luotettavasti toimivan haavoittuvuuden hyväksikäyttömenetelmän (Proof of Concept).

Haavoittuvuuteen ei ole tällä hetkellä korjaavaa päivitystä ja sen hyväksikäyttöä on jo havaittu.

Kohde
*Työasemat ja loppukäyttäjäsovellukset
*Palvelimet ja palvelinsovellukset

Hyökkäystapa
*Paikallisesti

Vaikutukset
*Komentojen mielivaltainen suorittaminen *Suojauksen ohittaminen *Käyttövaltuuksien laajentaminen *Tietojen muokkaaminen

Hyväksikäyttömenetelmä tiedossa
*Rikollisessa käytössä
*Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu
*Ei päivitystä

Haavoittuvat ohjelmistot
*Kaikki Windowsin versiot, joissa on käytössä Elevation service -palvelu. (Myös Windows 11 ja Server 2022).
*Windows Server 2022
*Windows Server, version 20H2
*Windows Server, version 2004
*Windows Server, version 1909
*Windows Server 2019 (version 1809)
*Windows Server 2016 (version 1607)

Windows 10 -versiot:
*21H2
*21H1
*20H2
*2004
*1909
*1809
*1607
*1507

*Windows 11

Lisätietoja

Ulkoinen linkki uutiseen New Windows zero-day with public exploit lets you become an admin

 

[Special Once]

HAAVOITTUVUUS 36/2021
CVSS ei vielä julkaistu
Julkaistu 24.11.2021

Microsoft Windows nollapäivähaavoittuvuus | Kyberturvallisuuskeskus

Testasin tuota ja toimii. Toivottavasti korjataan äkkiä...

 

[ztec]

Näköjän tää edellinen Microsofin Exchange exploitti jäi kokonaan tuon toisen varjoon:
Hyväksikäytetty ja kriittinen Microsoft Exchange-haavoittuvuus

Mutta kyllä näitä riittää.

Noissa kannattaa huomioida, että 1-1 -keskusteluissa ja ryhmäkeskusteluissa tuo logiikka toiminee erilailla. Eli 1-1 -keskusteluissa palvelin voi heittää viestin heti mäkeen, kun vastaanottaja on sen kuitannut vastaanotetuksi, ja se ei varsinaisesti haittaa, jos viesti jää palvelimelle talteen pitkäksikin aikaa, koska vain viestin vastaanottaja voi purkaa sen salauksen (olettaen siis että asymmetrisestä salauksesta kyse). Ryhmäkeskusteluissa homma meneekin sitten vaikeammaksi, koska periaatteessa jokaisen ryhmässä on kuitattava viesti vastaanotetuksi ennen kuin viesti voidaan poistaa ja teoriassa kenen tahansa ryhmässä pitää pystyä avaamaan se viesti.

Tämä on väärä foorumi tälle, mutta on noista puhuttu toisaalla aivan super paljon. Itseasiassa WhatsApp:lla on tästä dokumentaatio. 1:1 keskusteluissa on oma viestijono jokaiselle laittelle WhatsAppin mukaan. Eli viesti heitetään veke, kun se on jokainen vastaanottajan laite kuitannut. Eli ei siis poikkea mitenkään ryhmäkeskustelusta. Kun jokaisen vastaanottajan jokainen laite on kuitannut viestin, se on toimitettu perille onnistuneesti. Lisäksi tulee se haaste, että kun toinen laite tarvitsee vanhoja viestejä eli tarvitaan back filliä, niin mistä se tulee. Jos tiedot on pilvessä niin sieltähän se tulee. Eli viestejä ei voi kadottaa senkään jälkeen, vaikka ne olisi jo kertaalleen toimitettu kaikille laitteille, koska niitä silti voi tarvita myöhemmin. Tavallaan yksinkertaista, mutta kun huomioi kaikki poikkeustilanteet, niin ei sittenkään aivan triviaalia. Paljon on ongelmia kaikilla muillakin vastaavissa ratkaisuissa.

Mutta eihän tässä asiassa nyt todellakaan mitään uutta ole...

 

[KoneenKokoaja]

Testasin tuota ja toimii. Toivottavasti korjataan äkkiä...

Onneksi tuon hyväksikäyttäminen vaatii paikallista pääsyä koneelle eikä netin kautta voi hyväksikäyttää.

 

[pulatunnus]

Haavoittuvuus koskee kaikkia Windowsin versioita, joissa on käytössä Elevation service -palvelu.
...

Ratkaisu
*Ei päivitystä

Mikä palvelu toi on, siis tarviiko se olla käytössä ?
Hakukone toi tarjosi lähinnä Google Chromen liittyvää, jos siis käsitys että olisi sen asentama ?

Tässä nyt kai kyse jostain muusta ?

 

[Agent_007]

Tässä nyt kai kyse jostain muusta ?

Tuo varsinainen hyökkäys käyttää tuota uuden Edge-selaimen vastaavaa toimintoa
"The code Naceri released leverages the discretionary access control list (DACL) for Microsoft Edge Elevation Service to replace any executable file on the system with an MSI file, allowing an attacker to run code as an administrator. "

Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage

Cisco Talos is releasing new SNORTⓇ rules to protect against the exploitation of a zero-day elevation of privilege vulnerability in Microsoft Windows Installer. This vulnerability allows an attacker with a limited user account to elevate their privileges to become an administrator. This...

blog.talosintelligence.com

 

[Agent_007]

Luulisi, että noin laaja datamäärä säilytettäisiin ihan "paikallisesti".

AWS:llä ei ole regionia Suomessa. Edge löytyy. Suuresta kolmikosta Google taitaa olla ainoa, joka tarjoaa laajemmin pilvipalveluita Suomen sisältä käsin, mutta silläkään ei löydy koko palettia Suomesta tarjottuna.

Oma veikkaus on että kustannusperusteilla on joku konsultti kaupannut päättäjille AWS-ratkaisun, joka on sitten otettu käyttöön.

 

[ztec]

Onneksi tuon hyväksikäyttäminen vaatii paikallista pääsyä koneelle eikä netin kautta voi hyväksikäyttää.

Ei nyt ihan pidä paikkaansa. Riittää että pystyy suorittamaan komentoja koneella, riippumatta onko paikalla vai ei. Esim remote desktopilla onnistuu ihan hyvin. Sekä edelleen tärkeänä hyökkäysvektorina jos niitä ketjuttaa. Eli pääsy koneelle, muuttuukin admin / root accessiksi käden käänteessä.

 

[ztec]

AWS:llä ei ole regionia Suomessa. Edge löytyy. Suuresta kolmikosta Google taitaa olla ainoa, joka tarjoaa laajemmin pilvipalveluita Suomen sisältä käsin, mutta silläkään ei löydy koko palettia Suomesta tarjottuna.

Vihdoinkin, tuo asiahan on korjautunut osittain tänä vuonna, mutta ei vieläkään taida pitää paikkaansa edes kaikkien isojen operaattorien osalta. Ainakin näillä näkymin näyttää että Telialla palvelut tulee Suomesta, mutta Elisalla Ruotsista. Eli noi pitää aina kuitenkin tapauskohtaisesti tarkistaa ja voi muuttua ihan milloin tahansa. No kai se pikkuhiljaa on paranemaan päin.

 

[runboy93]

Traficom etsii keinoja kansainvälisten huijaussoittojen estämiseksi – operaattoreille tulossa uusi määräys

Liikenne- ja viestintävirasto Traficom kertoo valmistelevansa yhteistyössä Suomessa toimivien teleoperaattoreiden kanssa keinoja estää huijauspuheluiss

mobiili.fi

Väärennetyllä numerolla soitettujen puhelujen estäminen on yksi toimenpide huijausten ja rikollisen toiminnan karsimiseksi. Samalla valmistelemme ja teemme muita toimia huijausten estämiseksi yhteistyössä muun muassa Keskusrikospoliisin ja teleoperaattoreiden kanssa. Nämä eivät poista sitä, että edelleen meidän kaikkien on huolehdittava siitä, ettemme me tai läheisemme anna kenellekään puhelimitse esimerkiksi verkkopankkitunnuksiamme tai mahdollisuutta päästä tietokoneellemme

Traficom korostaa, että suomalaisella puhelinliittymällä ja -numerolla voi edelleen soittaa ulkomailta Suomeen. Suomessa toimivat yritykset voivat myös jatkossa ostaa ja tarjota vaihdepalveluja tai call center -palveluja yrityksen käyttöön ulkomailta käsin. Tällöin yhdysliikenne on järjestettävä teleoperaattoreiden kanssa yhteistyössä siten, että yritysvaihteesta tulevat puhelut voidaan tunnistaa ja numeroiden käyttöoikeus varmistaa. Yritysten kannattaakin varmistaa, että niiden ulkomailta ostamat puhelinpalvelut ovat järjestetty näin, sillä muutoin jatkossa puhelut voivat estyä kokonaan.

Jo nyt osin ulkomailta soitettujen puhelujen soittajan numero muutetaan tuntemattomaksi numeroksi, ellei numeron oikeellisuutta kyetä varmistamaan. Näin toimii esimerkiksi Elisa.

Nyt ne alkoivat miettiä vähän kovempia keinoa noiden huijarisoittajien estämiseksi. Voisivat samalla miettiä miten nuo roskapostiaallot voisi myös estää.

 

[Hyrava]

Traficom etsii keinoja kansainvälisten huijaussoittojen estämiseksi – operaattoreille tulossa uusi määräys

Liikenne- ja viestintävirasto Traficom kertoo valmistelevansa yhteistyössä Suomessa toimivien teleoperaattoreiden kanssa keinoja estää huijauspuheluiss

mobiili.fi

Nyt ne alkoivat miettiä vähän kovempia keinoa noiden huijarisoittajien estämiseksi. Voisivat samalla miettiä miten nuo roskapostiaallot voisi myös estää.

Seuraavaksi voisivatkin ruveta filtteroimaan tekstiviesteistä huijaus/troijalaisviestejä pois, sen verran monen "tietoteknisesti rajoittuneen" puhelimia olen putsaillut ja opastanut putsaamaan.

 

[escalibur]

Seuraavaksi voisivatkin ruveta filtteroimaan tekstiviesteistä huijaus/troijalaisviestejä pois, sen verran monen "tietoteknisesti rajoittuneen" puhelimia olen putsaillut ja opastanut putsaamaan.

Ensimmäiseksi voisivat kieltää yrityksiä käyttämästä ulkopuollisia lyhennyslinkkejä. Ota siitä selvää kun "Posti" lähettää "Vastaa kyselyyn/seuraa lähetystä https://bit.ly....-linkkejä.