Tietoturvauutiset ja blogipostaukset

[Rollerix]

[

Luin. Mutta mitä kautta nämä tunnukset vuotivat? Jonkin toisen Nortonin ohjelman, vai mitä kautta kolmannella osapuolella oli pääsy tunnuksiin? Liikaa epäselviä asioita. Myös LastPass jatkaa edelleen radiohiljaisuutta.

Voi olla joku phishingjuttu tai vaikka selaimessa haitallinen lisäke tai mitä vaan. En usko että Nortonilla olisi syytä valehdella siitä ettei heidän järjestelmiinsä ole päästy. Valheella on lyhyet jäljet ja tuolla alalla rankat seuraukset.

 

[root]

Lähinnä toivoisin aivoimempaa selitystä ja yksityiskohtia. Nyt ei ole edes varmaa onko vuoto tapahtunut jonkin toisen Nortonin tuotteen kautta.

Sama ajatus tuli täällä, onko kuitenkin jostain Nortonin palvelusta onnistuttu nuuskimaan tunnuksia. Toisaalta, vaikea sanoa mitä "our customers" aina tarkoittaa. Bleeping Computer kirjoittaa että omistaja olisi Gen Digital, aiemmin SymantecCorporation ja NortonLifeLock. Noista jälkimmäinen on kai aiemmin ostanut Avastin ja Aviran. Linkissä on päivitys, jonka mukaan aika iso määrä tilejä hyökkäyksen kohteena.

Gen’s family of brands offers products and services to approximately 500 million users. We have secured 925,000 inactive and active accounts that may have been targeted by credential-stuffing attacks.

 

[Rollerix]

Sama ajatus tuli täällä, onko kuitenkin jostain Nortonin palvelusta onnistuttu nuuskimaan tunnuksia. Toisaalta, vaikea sanoa mitä "our customers" aina tarkoittaa. Bleeping Computer kirjoittaa että omistaja olisi Gen Digital, aiemmin SymantecCorporation ja NortonLifeLock. Noista jälkimmäinen on kai aiemmin ostanut Avastin ja Aviran. Linkissä on päivitys, jonka mukaan aika iso määrä tilejä hyökkäyksen kohteena.

Norton on näköjään itse sanonut, että kyseessä on credential stuffing -hyökkäys. Eli tuossahan ei Nortonin tunnukset ja salasanat ole vuotaneet minnekään, vaan hyökkääjä on saanut jostain haltuunsa tunnus/salasana-pareja ja on niitä tunkemalla yrittänyt päästä Nortonin palveluun sisälle. Parit voivat olla peräisin mistä hyvänsä muun saitin tietomurrosta, sillä moni käyttäjä käyttää samaa tunnusta ja salasanaa monessa saitissa, joten osa toimii sitten myös Nortonin sivustossa.

Toki olisi hyvä jos nämä tiedotteet löytyisivät myös Nortonin omasta sivustosta. En ainakaan heti löytänyt.

NortonLifeLock warns that hackers breached Password Manager accounts

Gen Digital, formerly Symantec Corporation and NortonLifeLock, is sending data breach notifications to customers, informing them that hackers have successfully breached Norton Password Manager accounts in credential-stuffing attacks.

www.bleepingcomputer.com

 

[root]

Norton on näköjään itse sanonut, että kyseessä on credential stuffing -hyökkäys. Eli tuossahan ei Nortonin tunnukset ja salasanat ole vuotaneet minnekään, vaan hyökkääjä on saanut jostain haltuunsa tunnus/salasana-pareja ja on niitä tunkemalla yrittänyt päästä Nortonin palveluun sisälle. Parit voivat olla peräisin mistä hyvänsä muun saitin tietomurrosta, sillä moni käyttäjä käyttää samaa tunnusta ja salasanaa monessa saitissa, joten osa toimii sitten myös Nortonin sivustossa.

Tässä tapauksessa saattaisi jollain todennäköisyydellä odottaa credential stuffing hyökkäystä myös muihin palveluihin. Vastaavasti jos tiedot ovat alun perin peräisin jostain Gen Digitalin/Nortonin muusta palvelusta, olisi järkevää yrittää hyökätä juuri Nortonin palveluita vastaan. Ja lisäksi hyökkäyksessä kokeilluista tunnuksista varsin huomattava osa olisi joko entisiä tai aktiivisia Nortonin asiakkaiden tunnuksia. Tämän selvittämiseksi lisätieto olisi mukavaa. Ja siksi Bleeping Computerkin on yrittänyt saada vastausta kuinka moneen Norton käyttäjään hyökkäys kohdistui.

Tosin koska muuta julkista tiedotetta ei ilmeisesti ole laadittu, tuo sinun skenaariosi saattaa olla todennäköisempi. On myös mahdollista että Nortonilla on arvaus mistä palvelusta tiedot ovat peräisin ja he ovat taustalla ottaneet kyseiseen firmaan yhteyttä. Silloin julkinen tiedotus tietenkin jätettäisiin kyseisen firman tehtäväksi.

 

[kaakau<"'\\/>]

Analyticsit ja muut turhakkeet hosts-tiedostoon johtamaan ei mihinkään.

 

[Infy]

Googlen vakoiluskriptit löytyy melkein kaikkialta. Jos on käytössä Firefox, niin ETP strict asentoon, jos Edge niin Tracking protection strictiin. Jos muu selain niin uBlock Origin käyttöön.

 

[escalibur]

Jos teillä on TP-Linkin reitittimiä käytössä, kannttaa varmistaa että firmikset ovat ajan tasalla.

Impact
The two different vulnerabilities have unrelated impacts. The first vulnerability is a heap-based buffer overflow that can cause a crash or allow for arbitrary remote code execution. The second vulnerability is an information disclosure issue where the function used by the httpd process may allow an attacker to guess each byte of a username and password deterministically.

Critical Security Vulnerabilities Discovered in Netcomm and TP-Link Routers

New vulnerabilities have been found in Netcomm and TP-Link routers that could potentially lead to remote code execution attacks

thehackernews.com

CERT/CC Vulnerability Note VU#572615

Vulnerabilities in TP-Link routers, WR710N-V1-151022 and Archer C5 V2

kb.cert.org

 

[Agent_007]

Ovat kyllä aika iäkkäitä laitteita, "TP-Link router WR710N-V1-151022 running firmware published 2015-10-22 and Archer-C5-V2-160201 running firmware published 2016-02-01"

 

[Hyrava]

Näköjään taas löytynyt jostain SWM Base -kiinakamerasta reikä. Myyty muunmuassa Prismoissa.

Suomessa myyty 1 300 vaarallisen takaportin sisältänyttä nettikameraa – myynnissä myös Prismoissa

Laite on nyt vedetty pois Prismoista, mutta sitä on vielä myynnissä pienemmissä kaupoissa.

www.is.fi

 

[Desgorr]

Aktialla on ollut tänään hieman pahempi tietoturvaongelma pankkitunnistautumisen kanssa. Eli tunnistautuminen on nähtävästi mennyt läpi vääränä henkilönä.

"Pankkitunnistautumisessa suuri ongelma, väärien ihmisten vero- ja Kela-tietoja näkyvissä
Aktia-pankilla on ollut vakava häiriö pankkitunnistautumisessa, jota käytetään muun muassa Suomi.fi-tunnistuksessa."

Tietoturva | Aktian asiakkaat pääsivät näkemään muiden henkilötietoja, kun he kirjautuivat Kelan ja verottajan palveluihin

Aktia-pankin viestintäjohtajan mukaan tietoturvaongelma johtui ohjelmistopäivityksestä, ja vika on nyt korjattu.

www.hs.fi

 

[Hyrava]

Aktialla on ollut tänään hieman pahempi tietoturvaongelma pankkitunnistautumisen kanssa. Eli tunnistautuminen on nähtävästi mennyt läpi vääränä henkilönä.

"Pankkitunnistautumisessa suuri ongelma, väärien ihmisten vero- ja Kela-tietoja näkyvissä
Aktia-pankilla on ollut vakava häiriö pankkitunnistautumisessa, jota käytetään muun muassa Suomi.fi-tunnistuksessa."

Tietoturva | Aktian asiakkaat pääsivät näkemään muiden henkilötietoja, kun he kirjautuivat Kelan ja verottajan palveluihin

Aktia-pankin viestintäjohtajan mukaan tietoturvaongelma johtui ohjelmistopäivityksestä, ja vika on nyt korjattu.

www.hs.fi

Itseäni tuossa tapauksessa ihmetytti kun jossain uutisessa kerrottiin että kun yritti uudestaan niin tulikin eri henkilön tiedot näkyviin. Sen vielä jotenkin ymmärtäisin että aina tulisi saman väärän ihmisen tiedot mutta että joka kerta randomilla jonkun eri henkilön.

 

[Infy]

Uusimmissa iOS päivityksissä korjausta kriittiseen reikään Safarissa. Pelkkä pahantahtoisella web-sivulla vierailu voi altistaa hyökkäykselle. Aukkoa käytetään jo aktiivisesti iOS 15 ja sitä vanhenmilla versioilla ja Apple on poikkeuksellisesti julkaissut korjauksen jopa iki-vanhalle iOS 12:sta About the security content of iOS 12.5.7

 

[Infy]

VMware vRealize Log Insight tuotteessa kriittisiä tietoturva-aukkoja, kriittisyys 9.8 / 10 CVSS-asteikolla , mm. unauthenticated remote code execution, https://www.vmware.com/security/advisories/VMSA-2023-0001.html

 

[mikajh]

Itseäni tuossa tapauksessa ihmetytti kun jossain uutisessa kerrottiin että kun yritti uudestaan niin tulikin eri henkilön tiedot näkyviin

Satunnaisestihan se toimisi kaikkein todennäköisimmin, kun pankin päässä sekoitetaan samaan aikaan tunnistautuvien ihmisten sessiot. Eikö S-Pankilla ollut samanlainen toteutus ja varmaan samat ammattilaisetkin asialla

 

[TenderBeef]

Eikö S-Pankilla ollut samanlainen toteutus

Eikös se ollut ihan toisenlainen keissi? Se oli semmoinen, että jos joku toinen yritti kirjautua toisen tunnuksilla ja tämä toinen henkilö meni hyväksymään vahvistuksen ilman, että vahvisti sen 4-merkkisen turvatunnuksen vastaavaan omalla laitteella ja mihin oli kirjautumassa niin se 3:s osapuoli pääsi sen toisen henkilön tilille. Eikös se mennyt noin? Siinä ongelma oli käyttäjäpäässä (vaikka toki myönnän, että tuollaista toteutusta ei pitäisi tehdä), tässä aktian hommassa ongelma oli pankin päässä.

 

[8540]

Eikös se ollut ihan toisenlainen keissi? Se oli semmoinen, että jos joku toinen yritti kirjautua toisen tunnuksilla ja tämä toinen henkilö meni hyväksymään vahvistuksen ilman, että vahvisti sen 4-merkkisen turvatunnuksen vastaavaan omalla laitteella ja mihin oli kirjautumassa niin se 3:s osapuoli pääsi sen toisen henkilön tilille. Eikös se mennyt noin? Siinä ongelma oli käyttäjäpäässä (vaikka toki myönnän, että tuollaista toteutusta ei pitäisi tehdä), tässä aktian hommassa ongelma oli pankin päässä.

Onko tästä ollut jotain tarkempaa tietoa jossain? Tiedän vain nämä lauseet asiasta: "Tilisiirrot ovat onnistuneet pankin tietojärjestelmässä ollutta haavoittuvuutta hyväksi käyttäen." ja "tekoon ei ole vaadittu asianomistajien myötävaikutusta eli heidän erehdyttämistään".

 

[TenderBeef]

Onko tästä ollut jotain tarkempaa tietoa jossain? Tiedän vain nämä lauseet asiasta: "Tilisiirrot ovat onnistuneet pankin tietojärjestelmässä ollutta haavoittuvuutta hyväksi käyttäen." ja "tekoon ei ole vaadittu asianomistajien myötävaikutusta eli heidän erehdyttämistään".

Omassa muistissani oli viimeisin s-pankki-uutisointi-tapaus:

Tuntemattoman miehen tilitiedot lävähtivät Janin näytölle S-Pankissa – "Äärimmäisen epätodennäköinen sattuma"

S-pankin verkkopalvelussa on viikonloppuna tapahtunut outo sattumus. Keskisuomalaine miehen yritys avata verkkopankkinsa johtikin tuiki tuntemattoman miehen tilitietojen paljastumiseen.

www.mtvuutiset.fi

 

[Infy]

S-Pankista oli joku löytänyt jonkun keinon, jolla pystyi asioimaan toisen henkilön tilillä. Tätä oli sitten suomalainen porukka ruvennut käyttämään hyväksi ja siirtelemään rahaa omille tileilleen.

Tämä S-Pankin tilanteesta tiedetään nyt: 150 tietomurtoa, 53 petosta, miljoonasaalis, asialla kaveriporukka

Poliisi on vanginnut kaksi epäiltyä, joiden lisäksi muutamia muita on ollut kiinniotettuna ja pidätettynä.

Tämä S-Pankin tilanteesta tiedetään nyt: 150 tietomurtoa, 53 petosta, miljoonasaalis, asialla kaveriporukka

Poliisi on vanginnut kaksi epäiltyä, joiden lisäksi muutamia muita on ollut kiinniotettuna ja pidätettynä.

www.is.fi

 

[Agent_007]

Yandexin eri palveluiden lähdekoodeja on laitettu jakoon luvatta. Firma syyttää teosta entistä työntekijää

Yandex denies hack, blames source code leak on former employee

A Yandex source code repository allegedly stolen by a former employee of the Russian technology company has been leaked as a Torrent on a popular hacking forum.

www.bleepingcomputer.com

 

[runboy93]

Älylaitteiden heikko tietoturva sääntelyllä kuriin | Traficom

Kaupan hyllystä mukaan voi tarttua laite, jonka tietoturva on heikko. Tilanne muuttuu 1.8.2024, kun tietoturvavaatimusten vastaiset laitteet voidaan poistaa myynnistä. Tulevaa sääntelyä silmällä pitäen valmistajien, maahantuojien ja myyjien pitää varmistaa tuotteiden tietoturvataso heti.

www.kyberturvallisuuskeskus.fi

Kyberturvallisuuskeskuksen havaintojen mukaan nykylaitteiden tietoturvaa usein heikentävät oletuksena olevat heikot salasanat ja tietoja suojaavan salauksen puuttuminen. Merkittävä ongelma on myös puute ohjelmistopäivityksistä, joilla korjataan laitteesta valmistamisen jälkeen löydettyjä haavoittuvuuksia. Aina tuotteet eivät edes sisällä päivitysmekanismia, joka mahdollistaisi niiden toimittamisen. Valitettavan usein tarjottavat päivitykset myös loppuvat ennen laitteen käyttöiän päättymistä.

Ihan hyviä pointteja, esimerkiksi monissa älypuhelinmalleissa ei välttämättä tule koko olemassaoloajan yhtäkään päivitystä puhelimelle. Saati sitten puhumatta laitteista, joissa ei ole päivitysmahdollisuutta tai ainakaan helpoksi tehty peruskäyttäjälle.

Valmistajien, maahantuojien ja myyjien pitää varmistaa tuotteiden tietoturvataso heti.

Siirtymävaihe on jo menossa, 1.8.2024 lähtien pitää olla käytössä.

 

[Pakana]

Yandexin eri palveluiden lähdekoodeja on laitettu jakoon luvatta. Firma syyttää teosta entistä työntekijää

Yandex denies hack, blames source code leak on former employee

A Yandex source code repository allegedly stolen by a former employee of the Russian technology company has been leaked as a Torrent on a popular hacking forum.

www.bleepingcomputer.com

Sinänsä lähdekoodin vuotaminen nettiin, ei pitäisi itsessään tuottaa minkäänlaista turvallisuusriskiä.

 

[Rollerix]

Sinänsä lähdekoodin vuotaminen nettiin, ei pitäisi itsessään tuottaa minkäänlaista turvallisuusriskiä.

Miksi ei? Onhan silloin paljon helpompi etsiä mahdollisia kohtia koodissa, joita voi hyödyntää hämäriin tarkoituksiin.

 

[kaakau<"'\\/>]

Yandexin eri palveluiden lähdekoodeja on laitettu jakoon luvatta. Firma syyttää teosta entistä työntekijää

Yandex denies hack, blames source code leak on former employee

A Yandex source code repository allegedly stolen by a former employee of the Russian technology company has been leaked as a Torrent on a popular hacking forum.

www.bleepingcomputer.com

Tosta voisi löytyä kaikkea jännää Venäjään liittyen. Millähän kielellä koodikommentit ja muu dokumentaatio on.

 

[Pakana]

Miksi ei? Onhan silloin paljon helpompi etsiä mahdollisia kohtia koodissa, joita voi hyödyntää hämäriin tarkoituksiin.

Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja. Ei sitä nyt oikein turvalliseksi voi sanoa jos turvalliauus perustuu vain siihen että ei ole julkista tietoa luinka systeemi on koodattu.

 

[TenderBeef]

Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja.

JOKAISESSA (vähänkään isomman) projektin koodissa on vikaa. Eikä se, että (avoin) koodi olisi kaikkien luettavissa tarkoita, että siinä ei olisi vikaa tai aukkoja.

 

[Pakana]

JOKAISESSA (vähänkään isomman) projektin koodissa on vikaa. Eikä se, että (avoin) koodi olisi kaikkien luettavissa tarkoita, että siinä ei olisi vikaa tai aukkoja.

Tietysti.

Mutta se turva-aukko on kuitenkin itse siinä koodissa, eikä se että lähdekoodi on salaista tee siitä turvallista.

Siis jos joku murtautuu abloyn tehtaalle ja saa käsiinsä lukon piirustukset ei tee siitä sun kotiovessa olevasta lukosta sen turvattomampaa, koska "lähdekoodi" on turvallinen.

 

[TenderBeef]

se että lähdekoodi on salaista tee siitä turvallista

Eikä avoin koodi itsessään tee siitä turvallista, eli tilanne on siltä osin sama, mutta salaisella koodilla on vähemmän silmäpareja tutkailemassa sitä.

 

[ztec]

Poliisi näköjään jatkaa salttujen palvelujen korkkaamista, tuo on tietysti aika mielenkiintoinen kysymys. Kun on puhuttu siitä kuuluisasta tietoturvasta:

Poliisi mursi salatun viestipalvelun – käyttäjinä myös rikollisia | Verkkouutiset

Poliisi mursi salatun viestipalvelun – käyttäjinä myös rikollisia | Verkkouutiset

www.verkkouutiset.fi

Jos osa käyttäjistä oli rikollisia, oikeuttaako se murtamaan myös muiden salauksen ja liikenteen?

 

[ztec]

OpenSSL taas pikkasen rikki, ilmeisesti hieman paikkausta tulossa:

https://www.openssl.org/news/secadv/20230207.txt

X.400 address type confusion in X.509 GeneralName (CVE-2023-0286)
=================================================================

Severity: High

 

[runboy93]

Reddit-yhteisöpalvelu joutui tietomurron kohteeksi

Hakkerit ovat iskeneet Redditiin ja tunkeutuneet yhteisöpalvelun palvelimille. Kalasteluyritys tuotti tulosta. Yhteisöpalvelu Reddit on joutunut tietom

mobiili.fi

Siinä vielä tiedote:

Reddit - The heart of the internet

www.reddit.com

Varmuuden vuoksi vaihdoin salasanan.

 

[ztec]

TerraMaster NAS purkeissa hieno backdoori joka antaa adminin salasanan.
CVE-2022-24990 - GitHub Advisory Database

 

[Obi-Lan]

Onko tämä vielä ollut täällä? Bitlockerin voi mahdollisesti ohittaa paikallisesti. Korjauksena WinRE ympäristö pitää päivittää käsin, ei päivity automaattisesti.

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

 

[user9999]

Apple julkaissut kriittisen päivityksen.

Apple julkaisi korjaavan päivityksen kriittiseen haavoittuvuuteen tuotteissaan | Kyberturvallisuuskeskus

Applen korjaamat haavoittuvuudet koskevat useita Applen laitteita sekä Safari-selainta. Applen julkaisemat päivitykset on syytä asentaa laitteille heti.

www.kyberturvallisuuskeskus.fi

 

[pulatunnus]

Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja. Ei sitä nyt oikein turvalliseksi voi sanoa jos turvalliauus perustuu vain siihen että ei ole julkista tietoa luinka systeemi on koodattu.

No lähestytään vähän toisella tavalla.
Jos ne lähdekoodit sisältää ei julkista, tai jopa salaista tietoa, sellaista mitä voi hyödyntää, vihamielisesti.

Tosin jos puhe Yandexista niin tässä nyt varmaan unelmoidaan että sieltä joku löytäisi jotain suunniteltuja, tarkoituksellisia rakenteita tehtynä putinin tarpeisiin.
Sotaan liittyen taasen Ukrainalais mielisia kräkkerietä kiinnostaa jos siellä olisi jotain vinkkejä heidän tarpeisiin.

Siis jos joku murtautuu abloyn tehtaalle ja saa käsiinsä lukon piirustukset ei tee siitä sun kotiovessa olevasta lukosta sen turvattomampaa, koska "lähdekoodi" on turvallinen.

Jos lukitukseen pompataan, niin voi olla eroa onko se lukitus piirustuksineen rosvoilla, vai ei.

Yritän sanoa sitä että jos se lukitus on turvalinen, mutta se on turvallisempi jos rosvo ei tunne sen toteutuksen yksitykohtia, elokuva vertaus jos siinä on kymmenen johto, ja kaksi punaista, niin jos tietää kumpi on se oikea punainen.

 

[EmDzei]

ThioJoe esittelee Youtube-videollaan aika ilkeän harhautustempun kuinka .exe päätteinen tiedosto saadaan näkymään .docx ja myös kuvake on Wordin. Jippona siis kesken tiedostonimen annon kirjoitussuunnan vaihdos oikealta vasemmalle.

Asiaa voisi käsitellä io-Techin poppoo vaikkapa viikottaisessa podcastissään ja ihan varoitusmielessä.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

 

[EmDzei]

Saa yhdistää Tietoturvauutisiin. Uutena en keksinyt tätä ja oli jo vaikeuksia päättää mihin uutiseni kirjoitan. Tarkoitus kuitenkin hyvä eli varoittaa muita. Kaipaisin ehkä suoraa kanavaa, jossa heittää uutisideoita suoraan io-Techille. Onko sellaista?

 

[Algron28]

Saa yhdistää Tietoturvauutisiin. Uutena en keksinyt tätä ja oli jo vaikeuksia päättää mihin uutiseni kirjoitan. Tarkoitus kuitenkin hyvä eli varoittaa muita. Kaipaisin ehkä suoraa kanavaa, jossa heittää uutisideoita suoraan io-Techille. Onko sellaista?

Varma @Sampsa tai @Juha Kokkonen osaisi tuohon uutisvinkki asiaan parhaiten kommentoida.

 

[Ormu]

Ei ihan uusi ongelma, mutta varmaan ajankohtainen kyllä.

Kannattaa muistaa, että myös oikeilla Word-tiedostoilla (doc, docx) on levitetty haittaohjelmia haavoittuvuuksien kautta, joten niitäkään ei kannata noin vain aukoa, oli niissä "exe" nimessä tai ei. Mitään roskapostin mukana tulevaa ei ylipäätään pidä avata.

Mitenkäs Windowsin tiedostonhallinta tarkalleen näyttää tuollaiset? Mitä näkyy tyyppi-kentässä? (En jaksa katsoa videota, aloittaja voisi vähän enemmän avata.) Siinä voisi olla Microsoftille mietittävää, olisiko tällainen mahdollista saada kuriin järkevämmällä suunnittelulla.

Toisaalta onko ylipäätään tarpeen, että tällaiset kummajaismerkit sallitaan tiedostonimissä? Ehkä jos käyttöjärjestelmän kieliasetuksista on valittu myös arabia tai heprea, tälle voi jotain käyttöä olla. Länsimaisista käyttäjistä kukaan ei tarvitse tällaista ominaisuutta.

 

[Hyrava]

Ei ihan uusi ongelma, mutta varmaan ajankohtainen kyllä.

Kannattaa muistaa, että myös oikeilla Word-tiedostoilla (doc, docx) on levitetty haittaohjelmia haavoittuvuuksien kautta, joten niitäkään ei kannata noin vain aukoa, oli niissä "exe" nimessä tai ei. Mitään roskapostin mukana tulevaa ei ylipäätään pidä avata.

Mitenkäs Windowsin tiedostonhallinta tarkalleen näyttää tuollaiset? Mitä näkyy tyyppi-kentässä? (En jaksa katsoa videota, aloittaja voisi vähän enemmän avata.) Siinä voisi olla Microsoftille mietittävää, olisiko tällainen mahdollista saada kuriin järkevämmällä suunnittelulla.

Toisaalta onko ylipäätään tarpeen, että tällaiset kummajaismerkit sallitaan tiedostonimissä? Ehkä jos käyttöjärjestelmän kieliasetuksista on valittu myös arabia tai heprea, tälle voi jotain käyttöä olla. Länsimaisista käyttäjistä kukaan ei tarvitse tällaista ominaisuutta.

Ja tuon (ja muidenkin tiedostonimillä kikkailevien huijausten) toimintaahan vielä edesauttaa se että windows oletuksena piilottaa tiedostopäätteet, joka on ihan älytön idea sekin. Mielestäni olisi muutenkin turvallisempaa kun käyttöjärjestelmä ei päättelisi tiedostopäätteen perusteella mikä tiedosto on suorituskelpoinen ja mikä ei, vaan oletuksena kaikki esimerkiksi sähköpostin liitetiedostot voisivat olla sellaisia että suoritus pitää erikseen sallia, vähän kuin *nix-puolella.

 

[Algron28]

Ja tuon (ja muidenkin tiedostonimillä kikkailevien huijausten) toimintaahan vielä edesauttaa se että windows oletuksena piilottaa tiedostopäätteet, joka on ihan älytön idea sekin. Mielestäni olisi muutenkin turvallisempaa kun käyttöjärjestelmä ei päättelisi tiedostopäätteen perusteella mikä tiedosto on suorituskelpoinen ja mikä ei, vaan oletuksena kaikki esimerkiksi sähköpostin liitetiedostot voisivat olla sellaisia että suoritus pitää erikseen sallia, vähän kuin *nix-puolella.

Tuo että suoritus pitää erikseen sallia tuskin hirveästi auttaa tavan käyttäjiä jotka on juuri nitä jotka näihin sähköpostin liitetiedosto viruksiin haksahtaa muutenkin. Ja eikös windows yleensä nytkin varoita kun ollaan suorittamassa jotain tuntematonta/epämääräistä sovellusta mutta todennäköisesti tämä edellä mainittu sakki vastaa kyllä lukematta tai ymmärtämättä varoitusta.

 

[EmDzei]

Tyyppinä (Rerussienhallinta) näkyy sovellus (.exe).

 

[escalibur]

Yksi keino hankaloittaa etukäteen koodattuja scripteja ja macroja, on avata liitetiedostot suoraan selaimella, eikä erillisellä Office-ohjelmalla.

ThioJoe esittelee Youtube-videollaan aika ilkeän harhautustempun kuinka .exe päätteinen tiedosto saadaan näkymään .docx ja myös kuvake on Wordin. Jippona siis kesken tiedostonimen annon kirjoitussuunnan vaihdos oikealta vasemmalle.

Asiaa voisi käsitellä io-Techin poppoo vaikkapa viikottaisessa podcastissään ja ihan varoitusmielessä.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

Kyse ei sinänsä ole mistään uutisesta, tai ennennäkemättömästä asiasta. Windowsissa on paljon muitakin hassuja toimintoja, kuten minkä tahansa tiedoston lataaminen internetistä käyttäen Windowsin omaa certutil.exeä. Downloading Files with Certutil - Red Team Notes

Certutil.exe on tarkoitettu sertifikaattien hallintaan.

Esim. Aiemmin Microsoft Teamsin Update.exe ajoi kaikki tiedostot jotka löytyivät ”current” kansiossa. Kikka on tehokas, koska tiedostojen suorittajana on Teamsin oma update.exe-prosessi.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

Juuri näiden kikkailujen vuoksi, Windowsia on syytä käyttää rajoitetulla käyttäjätilillä. Se ei pelasta ihan kaikkia tilanteita, mutta se voi silti olla hyödyllinen monessakin tilanteessa.

 

[escalibur]

Paras Microsoft-uutinen moneen kuukauteen:

These updates removed the edition checks for Windows 10, versions 2004, 20H2, and 21H1 and all versions of Windows 11. You can now deploy and enforce AppLocker policies to all of these Windows versions regardless of their edition or management method.

KB5024351—Removal of Windows edition checks for AppLocker - Microsoft Support

support.microsoft.com

Pitää väsäillä aiheesta videon näin pelikone + AppLocker-näkökulmasta.

 

[Agent_007]

EU-komissio bannasi TikTokin laitteissaan

European Commission bans TikTok from corporate devices

The EU executive’s IT service has asked all Commission employees to uninstall TikTok from their corporate devices, as well as the personal devices using corporate apps, citing data protection concerns.

www.euractiv.com

 

[samim]

Arris router vulnerability could lead to complete takeover

A security researcher found an authenticated remote code execution vulnerability in very wide-spread Arris router models.

www.malwarebytes.com

Suomalaisten operaattorien myymissä kaapelimodeemeissa (Arris TG2482A, TG2492, and SBG10) haavoittuvuus. Valmistajan mukaan laitteet ovat vanhoja eikä tukea ole saatavilla.

 

[Hyrava]

Arris router vulnerability could lead to complete takeover

A security researcher found an authenticated remote code execution vulnerability in very wide-spread Arris router models.

www.malwarebytes.com

Suomalaisten operaattorien myymissä kaapelimodeemeissa (Arris TG2482A, TG2492, and SBG10) haavoittuvuus. Valmistajan mukaan laitteet ovat vanhoja eikä tukea ole saatavilla.

Näköjään omakin kaapelimodeemi on haavoittuvien listalla. Pistin asiasta viestiä kaapelimodeemiyhteyteni operaattorille eli Elisalle. Itsellä toki laittesta on tunnukset vaihdettu pois oletuksista ja perässä on verkossa palomuuria sun muuta suojausta että ihan suoraan ei sentään joku hakkeri läpi tule mutta varmaan aika paljon on ihmisiä jotka eivät noista niin paljoa ymmärrä.

 

[JiiPee]

Näköjään omakin kaapelimodeemi on haavoittuvien listalla. Pistin asiasta viestiä kaapelimodeemiyhteyteni operaattorille eli Elisalle. Itsellä toki laittesta on tunnukset vaihdettu pois oletuksista ja perässä on verkossa palomuuria sun muuta suojausta että ihan suoraan ei sentään joku hakkeri läpi tule mutta varmaan aika paljon on ihmisiä jotka eivät noista niin paljoa ymmärrä.

Eihän ne scriptipojut pääsääntöisesti läpi edes halua tulla vaan riittää että saavat korkattua kaikessa hiljaisuudessa esim. tuon purkin ja laittaavat sinne sitten jotain omaa sontaa ajoon esim. botnet zombien jolloin sinä korkeintaan saatat ihmetellä kun netti välillä takkuaa kun scriptipoju dosauttelee sillä sun purkilla jonnekin koko putken täydeltä.

 

[Hyrava]

Eihän ne scriptipojut pääsääntöisesti läpi edes halua tulla vaan riittää että saavat korkattua kaikessa hiljaisuudessa esim. tuon purkin ja laittaavat sinne sitten jotain omaa sontaa ajoon esim. botnet zombien jolloin sinä korkeintaan saatat ihmetellä kun netti välillä takkuaa kun scriptipoju dosauttelee sillä sun purkilla jonnekin koko putken täydeltä.

Juu, ja tuon takia pistinkin operaattorille viestiä että tiedostavat ongelman eikä koko kaapelimodeemikanta muutu bottifarmiksi. Itselle tuon purkin kaappauksesta tuskin tulisi suurta haittaa, jos se rupeaa liikaa tökkimään niin voin vaihtaa toiseen yhteyteen. Kattoo nyt rupeaako Elisa vaihtelemaan kaapelimodeemeitaan toiseen malliin.

 

[Infy]

Eihän ne scriptipojut pääsääntöisesti läpi edes halua tulla vaan riittää että saavat korkattua kaikessa hiljaisuudessa esim. tuon purkin ja laittaavat sinne sitten jotain omaa sontaa ajoon esim. botnet zombien jolloin sinä korkeintaan saatat ihmetellä kun netti välillä takkuaa kun scriptipoju dosauttelee sillä sun purkilla jonnekin koko putken täydeltä.

Toinen suosittu temppu on puukottaa purkin DNS-palvelinta ja ohjata käyttäjät suosittujen web-palvelujen valesivustoille.

 

[EmDzei]

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

ThioJoe jatkaa varoittamistaan tällä kertaa OneNotesta. Niksinä on siis laittaa houkuteltava painonappi, jonka alla, piilossa, onkin varsinaiset toimivat linkit. OneNote mahdollistaa siis painaa tuon houkuteltavan painonapin läpi.