Surullisinta näissä jutuissa on kenties se, että tuon tapaisia ympäristöjä on varmasti vaikka kuinka paljon. Toivottavasti median kautta eri ympäristöjen ylläpitäjät heräävät todellisuuteen, mutta pahoin pelkään että sama meno tulee jatkumaan niin kauan kun ylläpidon vastuussa ovat henkilöt joita nuo asiat eivät kiinnosta, tai ne eivät pitäisi alunperinkään kuulua heille. Osaamattomuuskaan ei pitäisi olla erityinen peruste, koska jos jokin asia kiinnostaa niin ihminen jättää vaikka unet väliin ja opettelee sen asian.
Juu, vastaavia tai lähes vastaavia ympäristöjä varmaan edelleenkin löytyy paljon. Tästä on jo vuosia aikaa mutta eräässä aiemmassa työpaikassa oli meininki liki tuota tasoa, ei oikein mistään tietoturvasta välitetty, oli post-it -lapuilla näytön laidassa tai näppiksen alla salasanoja jne. Nykyisessä duunissa sentään tilanne on parempi, parannettavaa tietty aina on mutta on sentään suurimmassa osassa asioista 2FA käytössä jne ja omissa hommissa palomuureja sun muita käydään säännöllisesti läpi ja suljetaan kaikki ylimääräiset pois, osassa palveluita on geoblokkausta, automaattisesti tapetaan tietyn aikaa käyttämättömät tunnukset pois järjestelmästä jne. Ja tälläkin hetkellä taas suunnitellaan lisää parannuksia tietoturvaan, kuitenkaan hankaloittamatta kohtuuttomasti käyttäjien elämää. Tuo kun on se ongelma, jos liikaa hankaloittaa käyttäjien elämää niin sitten käyttäjät yrittävät keksiä jotain kiertoteitä noille suojauksille.
Tätä se on about jokaisessa firmassa, jopa sellaisissa, jotka hetkuttaa tietoturvaa.
Kannattaa antaa mm. Shodanille ja Quad9:lle mahdollisuden. Kumpikaan ei näy loppukäyttäjille suoraan ja pahimmassa tapauksessa saattavat pelastaa katastrofin tapahtumasta. Käyttäjiä voi (ja kannattaakin) kiusata (ellette ole jo
) MDR:lla ja AppLockerilla. Itse olen sitä mieltä että kumpikin noista pitäisi nykypäivänä olla de-facto-suoja työasemalla kuin työasemalla.
Tämähän se, tietoturva nähdä monesti vain ikävänä kuluna kunnes...... siitä tulee oikeasti vitun kallis katastrofi jos huonosti käy. Lisäksi ainakin omien havaintojen perusteella sitä johtavaa ja rahoista päättävää tasoa voi pienissä ja keskisuurissakin yrityksissä olla vaikea saada tajuamaan tietoturvan tärkeyttä varsinkin jos firmalla ei ole erityistä lakiosastoa josta joku sanoo että tämä on vielä halpa vrt. Mahd. Sanktiot.
Soppaa sekoittavat myös satunnaiset tietoturvavakuutukset joihin uskotaan pelastavan tilanteen kuin tilanteen, samaan aikaan kun X määrä ehtoja paukkuu niin ettei vakuutuksesta ole välttämättä minkälaista hyötyä.
Juu, tuon takia tuota asiaa pistinkin Elisalle tietoon. Näköjään ainakin Elisan palstalla on muutkin aktivoituneet ja ruvelleet kyselemään asian perään. Aluksi toki Elisalta tuli vastaus että uusin heidän puskema firmis olisi turvallinen mutta siinä oli vain korjailtu vähän tuohon haavaan liittyviä asioita mutta ei itse haavoittuvuutta joten keskustelu jatkuu. Toista kautta itselleni tuli vain vastaus tyyliin "selvitellään ja ihmetellään asiaa".
Jos vain tarvitset välillä jonkin kertakäyttöisen selaimen, niin hanki jostain edukas VPS (varmista vaatimukset kuitenkin) ja asenna:Tuli tälläinen projekti vastaan, jossa on selaimen/selaimen välilehtien eristäminen on tehty varsin käyttäjäystävälliseen muotoon. Huonona puolena maksullisuus, joka tosin toimii myös lisävakuutena, sille ettei käyttäjiä seurata ja heidän tietoja myydä eteenpäin kulujen kattamiseen.
Projekti on juuri julkaistu, niin siittä ei vielä hirveänä tietoja löydy projektin ulkopuolisilta sivuilta. Itselle tyyppi on tuttu Youtubesta parin vuoden ajalta, jossa käsittelee laajasti tietotekniikkaa/tietoliikennetekniikkaa ja tietoturvaa.
Itselle hinta on turhan korkea ($7/kk), kun omassa käytössä tuon luokan eristystä äärimmäisen harvoin tarvitsen ja silloinkin starttaan vaikka tikulta TAIL:sin.
Projektin kotisivu:
Youtube-sivut:NetworkChuck Cloud Browser
browser.networkchuck.com
www.techspot.com
Potentiaalisesti merkittävät seuraukset, koska PyTorch on kuitenkin erittäin paljon käytetty mm. tutkimuksessa ja teollisuudessa.
github.com
www.kyberturvallisuuskeskus.fi
googleprojectzero.blogspot.com
www.kyberturvallisuuskeskus.fi
gizmodo.com
Jää nimenomaan siihen tiedostoon. Ohjelma tavallaan tallentaa sen muokkauksen siihen vanhan päälle mutta mitä muokkauksen ympärille jää tiedostoon, jää siihen tiedostoon. Se ei suoraan näy tavallisesti kuvaa katsomalla mutta on konsteja millä koko tiedostossa olevan kuvadatan saa näkyviin.
Eli , jos joku on GDPR alaisesta sisällöstä ottanut tuolla ohjelmalla kaappauksen josta muokannut (GDRP alaisen pois) ja muokattuun tiedostoon on voinut joku ulkopuolinen päästä käsiksi (*, pitäisi nyt tehdä ilmoitusta.
Sinänsä tuo ei mikään tavaton ominaisuus, monessa sovelluksessa ihan tarkoituksella. Ongelma tietenkin se että tiedostaako käyttäjä, ja miten tiedostava käyttäjä sen kanssa pärjää.
Ongelma: valitse jo olemassa oleva, esim megan tai isompi .png kuvatiedosto. Avaa snipping tool, ota työpöydältä esimerkiksi jostain sovelluksen ikonista kuva. Tallenna se snipping toolilla uudella nimellä ja erikseen aiemmin valitun ison . png kuvatiedoston päälle. Tarkista tiedostokoot.
Ei sopivaa testiympäristöä
OK, kiitos. Eli jos ei ole ollut tapana ensin valita joku vanha kuva, sitten ottaa kuvakaappaus ja sattumallta tallentaa aiemmin valitun kuvatiedoston päällä. Tai ei ehkä sattumalta, vaan juuri sen takia että ensin etsinyt tiedoston minkä haluaa korvata uudella kuvakaappauksella.
mobiili.fi
Pitäskö tuosta päätellä että ongelma koski Windows 10 Snip and Sketch ohjelmaa (mutta ei Snipping Tool) , eli paljon isompaa joukkoa.
msrc.microsoft.com
Eipä ole onneks tullut käytettyä koskaan snip n sketch ja win11 ollut vasta niin vähän aikaa ajossa ettei ole senkään snipparilla tullut säädettyä juurikaan.Security Update Guide - Microsoft Security Response Center
What versions of Snipping Tool are affected?
The default Snipping Tool in Windows 10 and older versions are unaffected. Only Snip & Sketch in Windows 10 and Snipping Tool in Windows 11 are affected by this vulnerability. A security update has been released for these applications, which are available through the Microsoft Store.
Eli tuosta jos arpoo, niin tuo on ollut viallinen alusta asti.
Öö.
Juurikin näin. Jos nuo asiat eivät ole oletuksena päällä, jää niiden käyttö lähinnä joidenkin organisaatioiden ja harrastajien käyttöön.
Tässä on tietysti se ongelma, että turvallisuuden nimissä tietyt varmistusprosessit ovat kyllä täysin välttämättömiä, jotta salaaminen ja autentikointi olisi turvallista ja autentikoitua Jos asioita ei tehdä oikein ja noudateta tiettyjä prosesseja ja protokolia, ne eivät ole myöskään turvallisia. Esim. vähintään se, että varmistutaan avainparin oikeellisuudesta. Lisäksi Signalin puhelinnnumero-vuoto altistaa juuri erilaisille alusta-iskuille kuiten Exynos low level backdoorit.
-----BEGIN PGP MESSAGE-----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=GQGR
-----END PGP MESSAGE-----Unohtamisesta niin tiedä, jos siis jotain kelloja lyhenne soittaa.
