Tietoturvauutiset ja blogipostaukset

[user9999]

Tuosta tuli haavoittuvuustiedote.

Kriittinen haavoittuvuus Linux-jakeluissa XZ Utils -tiedonpakkausohjelmistossa | Kyberturvallisuuskeskus

Linux-jakeluiden XZ Utils -tiedostonpakkausohjelman 5.6.0 ja 5.6.1 versiot sisältävät haitallista koodia, joka sallii luvattoman pääsyn luoden takaportin järjestelmään. Haitallinen koodi on käytössä useissa Linux-jakeluissa. Valmistaja suosittelee ottamaan käyttöön vanhemman version (5.4.6) XZ...

www.kyberturvallisuuskeskus.fi

 

[Agent_007]

Hackernewsistä poiminta, jonka mukaan kyseinen henkilö koetti saada tuon xz-version mukaan Fedoraan
"the apparent author of the backdoor was in communication with me over several weeks trying to get xz 5.6.x added to Fedora 40 & 41 because of it's "great new features". We even worked with him to fix the valgrind issue (which it turns out now was caused by the backdoor he had added)"
"He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise."

Very annoying - the apparent author of the backdoor was in communication with me... | Hacker News

news.ycombinator.com

 

[Barbarossa]

Tuota xz-utilsin takaovea saatu jo jonkin verran tutkittua, vaikuttaisi että kyseessä on RCE (=Remote Code Execution) takaovi, jossa sopivalla tavalla muotoiltuun SSH:n asiakaspään julkiseen avaimeen piilotetaan koodinpätkä jonka tuo peukaloitu liblzma-kirjasto suorittaa serverillä.

Jos avaimessa ei ole tunnistetta jonka koodi odottaa löytävänsä niin suoritus jatkuukin normaalisti, eli korkattu SSH-palvelin toimisi muutoin normaalisti.

Filippo Valsorda (@filippo.abyssdomain.expert)

I'm watching some folks reverse engineer the xz backdoor, sharing some *preliminary* analysis with permission. The hooked RSA_public_decrypt verifies a signature on the server's host key by a fixed Ed448 key, and then passes a payload to system(). It's RCE, not auth bypass, and...

bsky.app

Ja tämä koko komeus paljastui tässä vaiheessa ilmeisesti ainoastaan sen vuoksi että joku alkoi ihmettelemään miksi SSH yhteyksien muodostus hidastui...

 

[Desgorr]

Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.

 

[leripe]

Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.

Jos on vähääkään seurannut viimeisen 10v aikana paikattuja haavoja, niin niitähän on joka puolella ja todennäköisesti loputtomasti löytämättä.

 

[user9999]

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen uutiskoosteessa linkki, jossa käyty läpi tuota xz/liblzma kuviota.

Daily NCSC-FI news followup 2024-03-31

xz/liblzma: Bash-stage Obfuscation Explained

gynvael.coldwind.pl

Summary
Someone put a lot of effort for this to be pretty innocent looking and decently hidden. From binary test files used to store payload, to file carving, substitution ciphers, and an RC4 variant implemented in AWK all done with just standard command line tools. And all this in 3 stages of execution, and with an "extension" system to future-proof things and not have to change the binary test files again. I can't help but wonder (as I'm sure is the rest of our security community) – if this was found by accident, how many things still remain undiscovered.

 

[jase]

Herää kyllä väkisinkin kysymys, että paljonhan näitä takaovia on löytämättömänä? Tämäkin tosiaan aika tuurilla huomattiin.

Toisaalta taas tuuri on parempi aina kun koetetaan ujuttaa johonkin näinkin yleisesti käytettyyn kirjastoon backdooria. Aina löytyy joku joka tekee jotain ihme niche juttua ja kiinnittää huomion johonkin pikku muutokseen, joka on merkittävä hänen kontekstissaan.

Luulen että pisimmälle pääsisi backdoorinsa kanssa jossain domain spesifisessä kirjastossa, jota käytetään laajalti, muttei kuitenkaan ihan joka palvelimelta löydy. Toki jos se ei riitä niin sitten pitää vaan yrittää isosti ja suoraan kaikkialle, niin kuin nyt tehtiin.

Neljästä miljoonasta npm paketista varmaan löytyy yhtä jos toista

 

[Pah0lain3]

Kuinkahan pitkä väli on ollu edellisellä puhtaalla versiolla ja saastuneella? Mutta nyt paikkaukset tulevat varmaan omilla aikatauluillaan eri distroille.
Ymmärsin että tuo takaovi on olemassa ihan tavallisissa jakeluissa lähes kaikissa. Mikähän todennäköisyys on sille että omaa konetta on käyttäny joku muu kuin minä kun on tälläinen perus työpöytäsurffailija? Tuolla varmaan on melkein loputtomasti paljon mielekkäämpiä kohteita.

Ja entäs tuon ongelman rajaaminen? Jos on ssh pois käytöstä ollu, portit tukittu niin mikäs sen vierailevan tähden visiitin todennäköisyys koneella on silloin? Ymmärsin että tuohon ei välttämättä kaikille ole paikkaustakaan, mutta eiköhän nyt pääsiäisen aikana viimeistään useimmat sen tule saamaan tai alkuviikosta heti kun kaikki palaavat töihin pikkulomalta luulis että keskiviikkoon mennessä valtaosa olis jo paikattuna eri jakeluista.

Eikö tuo haitallinen koodi/takaovi nyt tarkoita että hyökkääjällä olis takaoven myötä ollu tai on kulku ihan minne vain halutessaan? Modeemit reitittimet ym. & ja niissä kiinni oleviin laitteisiin? Voiko se olla mahdollista? Eikai tuo takaovi kuitenkaan itsestään mitään hämärää tee vaan vaatii että joku tulee avulla tekmään pahojaan ja ssh:llako ainoastaan?

Edit. Pystyiskö käytännössä estämään takaoven avulla uuden puhtaan päivityksen päivittymisen ja varmistamaan että puuhaa itselleen riittää vielä "hetkeksi"?

Takaoven tekijää tuskin tavallinen surffailija kiinnostaa kun ei tiedä osoitteitakaan, mutta pystyiskö esimerkiksi joku pahantahtoinen vaikka netflixin työntekijä käyttämään tätä hyväkseen? Tai jos vierailen jonkun foorumilla/kotisivuillasi jolloin saat ip osoitteeni niin silloinhan sitä kautta jää hyväksikäyttökohde tietoon?

Mutta koska linuxilla ei defaulttina taida se ssh olla päälle kytkettynä saati porttejakaan avoinna niin se on todennäköisesti erittäin pieni todennäköisyys että joku lähtee sokkona virittelemään ssh yhteyksiä? Siksi kysyin että tekeekö se haittakoodi itse automaattisesti mitään erikoista?

Pahoittelen typeriä kysymyksiä, en vain tunne alaa mutta asia kiinnostaa silti. Kyllähän se vähän pännis jos steamiin ei kukaan pääsis kirjautumaan.

Edit.. Entäs jos kuitenkin on se linux missä ssh on käytössä ja porttina vaikka 333 niin mitäs sitten? Voiko noita mahdollisia ssh yhteyksiä googlettaa jostain jossa selviää myös se avoinna oleva portti? Vaikeuttaako se salasana ssh-yhteyden luomista yhtään vai onko takaovi aina "avoinna" eli kuka vaan, koska vaan sisään?

 

[kaakau<"'\\/>]

Kuinkahan pitkä väli on ollu edellisellä puhtaalla versiolla ja saastuneella? Mutta nyt paikkaukset tulevat varmaan omilla aikatauluillaan eri distroille.

git.tukaani.org - xz.git/tag tämän ei pitäisi kai olla saastunut ja tämä on git.tukaani.org - xz.git/tag, eli 10 päivää jos se meni noin.

Ymmärsin että tuo takaovi on olemassa ihan tavallisissa jakeluissa lähes kaikissa.

Luulisin, että nopeasti päivittyvissä distroissa lähinnä, eli rolling release -tyyppisissä. Esim. mun Kubuntu 23.10:ssa xz-utils on 5.4.1, joka on 14 kk vanha.

Ja entäs tuon ongelman rajaaminen? Jos on ssh pois käytöstä ollu, portit tukittu niin mikäs sen vierailevan tähden visiitin todennäköisyys koneella on silloin?

0.

Eikö tuo haitallinen koodi/takaovi nyt tarkoita että hyökkääjällä olis takaoven myötä ollu tai on kulku ihan minne vain halutessaan? Modeemit reitittimet ym. & ja niissä kiinni oleviin laitteisiin? Voiko se olla mahdollista? Eikai tuo takaovi kuitenkaan itsestään mitään hämärää tee vaan vaatii että joku tulee avulla tekmään pahojaan ja ssh:llako ainoastaan?

Ssh:lla pääsee. Tuskinpa monikaan modeemi/reititin on haavoittuvainen, kun n. kuukausi sitten vasta ujutettu haitallinen koodi ja noiden firmwaret ei päivity kovin usein. Esim. OpenWRT ei ole haavoittuvainen ja se päivittyy suht usein verrattuna kaupallisen tekijöiden firmiksiin.

Täältä löytyy aika hyvin tietoa XZ Backdoor Attack CVE-2024-3094: All You Need To Know

 

[Pah0lain3]

git.tukaani.org - xz.git/tag tämän ei pitäisi kai olla saastunut ja tämä on git.tukaani.org - xz.git/tag, eli 10 päivää jos se meni noin.

Luulisin, että nopeasti päivittyvissä distroissa lähinnä, eli rolling release -tyyppisissä. Esim. mun Kubuntu 23.10:ssa xz-utils on 5.4.1, joka on 14 kk vanha.

Ssh:lla pääsee. Tuskinpa monikaan modeemi/reititin on haavoittuvainen, kun n. kuukausi sitten vasta ujutettu haitallinen koodi ja noiden firmwaret ei päivity kovin usein. Esim. OpenWRT ei ole haavoittuvainen ja se päivittyy suht usein verrattuna kaupallisen tekijöiden firmiksiin.

Täältä löytyy aika hyvin tietoa XZ Backdoor Attack CVE-2024-3094: All You Need To Know

Kiitos nopeasta ja hyvästä vastauksesta.

Toki maailmalla riittää muitakin uteliaita vaikka alottelevia teinihakkereita joita tämä houkuttaa kuin pelkästään tämän takaoven luonut hlö? "Yleispalveluiden" jos näin voi sanoa edes, mutta kuten foorumeilla vierailijoiden ip osoitteita tuskin salataan tietokantoihin, joten nyt se vpn olis ehkä ollu ihan pro juttu. Joku pahantahtoinen steamin työntekijä kohta korkkailee tilejä aprillipilana...

No mutta kuten sanoit se todennäköisyys on varmaan se 0 sillä perus linuxsurffailija ei avaa portteja tai ssh-yhteyksiä huvin vuoksi.

 

[ojisama]

Kiitos nopeasta ja hyvästä vastauksesta.

Toki maailmalla riittää muitakin uteliaita vaikka alottelevia teinihakkereita joita tämä houkuttaa kuin pelkästään tämän takaoven luonut hlö? "Yleispalveluiden" jos näin voi sanoa edes, mutta kuten foorumeilla vierailijoiden ip osoitteita tuskin salataan tietokantoihin, joten nyt se vpn olis ehkä ollu ihan pro juttu. Joku pahantahtoinen steamin työntekijä kohta korkkailee tilejä aprillipilana...

No mutta kuten sanoit se todennäköisyys on varmaan se 0 sillä perus linuxsurffailija ei avaa portteja tai ssh-yhteyksiä huvin vuoksi.

Ipv4 osoitteita on niin 'vähän', että kyllä ainakin se 22 portissa kuunteleva palvelin muutaman kokeilun saa osakseen ennemmin tai myöhemmin, riippumatta käyttäjän surffailuista. Ei siihen minkään firman työntekijöitä tarvita.

 

[Hyrava]

Ipv4 osoitteita on niin 'vähän', että kyllä ainakin se 22 portissa kuunteleva palvelin muutaman kokeilun saa osakseen ennemmin tai myöhemmin, riippumatta käyttäjän surffailuista. Ei siihen minkään firman työntekijöitä tarvita.

Tuo "muutama kokeilu" on aika lievästi sanottu. Kun jostain osoitteesta löytyy avoin portti 22 niin siihen kyllä rupeaa tulemaan aikalailla reippaasti koputteluita ja jos on pelkkä username/password käytössä niin riski on suuri että sisäänkin joku pääsee ellei ole kunnollista salasanaa. Tuon takia publickey-auth on aikalailla suositeltava noissa. Mitä itse olen noita lokeista katsellut niin aika pitkälti yritetään mennä netistä löytyvien käyttäjätunnus/salasanalistojen kanssa sisään, ainakin yleisimpinä yritettyinä käyttäjätunnuksina on juurikin root, admin, user sun muut laitteiden vakiokäyttäjätunnukset.

Tuossa xz-haavassa ilmeisesti oli joku sellainen viritys että sopivalla payloadilla pääsisi suoraan autentikaation ohi tekemään jotain. Onneksi kovin monessa distrossa tuota kirjastoa ei keritty päivittää haavoittuvaan versioon vaan lähinnä ongelma taisi olla rolling releaseissa ja muissa bleeding edge -distroissa joissa mahdollisimman nopeasti pistetään uusimmat mahdolliset versiot jakoon. Yhdessäkään omassa koneessa ei noita haavoittuvia versioita ole eikä taida yhdessäkään duuni-serverissäkään olla mutta varmaan pitää vielä huomenissa varmistella kaikki koneet läpi.

 

[juhaa]

Kyllä vaan. Tässä omalta kohdalta tuo muutama kokeilu

 

[Pah0lain3]

Kyllä vaan. Tässä omalta kohdalta tuo muutama kokeilu

Miten nuo statsit saa kerääntymään ja näkymään?

 

[juhaa]

Miten nuo statsit saa kerääntymään ja näkymään?

Käytössä fail2ban eli yrityksiä X määrä, niin IP blokataan.

GitHub - fail2ban/fail2ban: Daemon to ban hosts that cause multiple authentication errors

Daemon to ban hosts that cause multiple authentication errors - fail2ban/fail2ban

github.com

Ja tilastot saa sitten tällä:

fail2ban-client status sshd

edit: kokeile vaikka

grep "Failed password" /var/log/auth.log

Kyllä näitä riittää. Viimeiseltä vajaalta 30 minuutilta

Paraikaa työnalla päästä tuosta SSH:sta eroon.

 

[Pah0lain3]

Käytössä fail2ban eli yrityksiä X määrä, niin IP blokataan.

GitHub - fail2ban/fail2ban: Daemon to ban hosts that cause multiple authentication errors

Daemon to ban hosts that cause multiple authentication errors - fail2ban/fail2ban

github.com

Ja tilastot saa sitten tällä:

fail2ban-client status sshd

edit: kokeile vaikka

grep "Failed password" /var/log/auth.log

Kyllä näitä riittää. Viimeiseltä vajaalta 30 minuutilta

Paraikaa työnalla päästä tuosta SSH:sta eroon.

Vähän mielessäni arvelinkin että se on varmaan fail2ban tai sen tapainen. En vain uskaltanu kehdannu suoraan kysyä. Kiitos tiedosta. Täytyy jatkaa tuohon fail2baniin tutustumista taas joskus.

 

[ojisama]

Tuo "muutama kokeilu" on aika lievästi sanottu. Kun jostain osoitteesta löytyy avoin portti 22 niin siihen kyllä rupeaa tulemaan aikalailla reippaasti koputteluita ja jos on pelkkä username/password käytössä niin riski on suuri että sisäänkin joku pääsee ellei ole kunnollista salasanaa. Tuon takia publickey-auth on aikalailla suositeltava noissa. Mitä itse olen noita lokeista katsellut niin aika pitkälti yritetään mennä netistä löytyvien käyttäjätunnus/salasanalistojen kanssa sisään, ainakin yleisimpinä yritettyinä käyttäjätunnuksina on juurikin root, admin, user sun muut laitteiden vakiokäyttäjätunnukset.

Tuossa xz-haavassa ilmeisesti oli joku sellainen viritys että sopivalla payloadilla pääsisi suoraan autentikaation ohi tekemään jotain. Onneksi kovin monessa distrossa tuota kirjastoa ei keritty päivittää haavoittuvaan versioon vaan lähinnä ongelma taisi olla rolling releaseissa ja muissa bleeding edge -distroissa joissa mahdollisimman nopeasti pistetään uusimmat mahdolliset versiot jakoon. Yhdessäkään omassa koneessa ei noita haavoittuvia versioita ole eikä taida yhdessäkään duuni-serverissäkään olla mutta varmaan pitää vielä huomenissa varmistella kaikki koneet läpi.

Juu. Eli muutama kokeilu xz payloadilla, ennemmin tai myöhemmin.

 

[JiiPee]

Juu. Eli muutama kokeilu xz payloadilla, ennemmin tai myöhemmin.

Payload on ainoastaan tuon härvelin tekijällä, eikä sitä saa oikein mitenkään selville ellei toi tekijä sitä julkaise.

While the public key is well-known, only the attackers have the corresponding Ed448 private signing key, ensuring that only the attackers can generate valid payloads for the backdoor. Furthermore, the signature is bound to the host’s public key, meaning that a valid signature for one host cannot be reused on a different host.

 

[ojisama]

Payload on ainoastaan tuon härvelin tekijällä, eikä sitä saa oikein mitenkään selville ellei toi tekijä sitä julkaise.

Hyvä tieto. Sitten noita ei kyllä melkoisen suurella todennäköisyydellä tule lainkaan.

 

[leripe]

Hyvä tieto. Sitten noita ei kyllä melkoisen suurella todennäköisyydellä tule lainkaan.

Jep, jos isolla rahalla ja vaivalla tehty, niin tuskin laitetaan jakoon huvikseen.
Käytetään uusiksi mahdollisesti modattuna seuraavassa long gamessa.

 

[user9999]

Haavoittuvuuksia LG televisioissa. Päivitykset on jo julkaistu.

Over 90,000 LG Smart TVs may be exposed to remote attacks

Security researchers at Bitdefender have discovered four vulnerabilities impacting multiple versions of WebOS, the operating system used in LG smart TVs.

www.bleepingcomputer.com

Bitdefender explains that although the vulnerable LG WebOS service is supposed to be used only in local area networks (LAN) settings, Shodan internet scans show 91,000 exposed devices that are potentially vulnerable to the flaws.

 

[user9999]

Vakava haavoittuvuus PuTTY-ohjelmiston ECDSA-algoritmin toteutuksessa.

Haavoittuviksi tunnistetut ohjelmistot ja versiot
PuTTY 0.68 - 0.80
FileZilla 3.24.1 - 3.66.5
WinSCP 5.9.5 - 6.3.2
TortoiseGit 2.4.0.2 - 2.15.0
TortoiseSVN 1.10.0 - 1.14.6

Vakava haavoittuvuus PuTTY-ohjelmiston ECDSA-algoritmin toteutuksessa | Kyberturvallisuuskeskus

PuTTY-tietoliikenneasiakasohjelmiston ja sen koodia käyttävien sovellusten heikko NIST P-521 ECDSA-algoritmin toteutus voi paljastaa käyttäjän yksityisen avaimen, mikäli avain on edellä mainittua tyyppiä.

www.kyberturvallisuuskeskus.fi

PuTTY vulnerability vuln-p521-bias

www.chiark.greenend.org.uk

 

[=JP=]

Aikas mielenkiintoinen 0-day oli Telegram Windows clientissa, eli jos koneelle oli myös asennettu Python, niin RCE (Remote Code Execution) oli mahdollista...

Telegram fixes Windows app zero-day used to launch Python scripts

Telegram fixed a zero-day vulnerability in its Windows desktop application that could be used to bypass security warnings and automatically launch Python scripts.

www.bleepingcomputer.com

Telegram fixed a zero-day vulnerability in its Windows desktop application that could be used to bypass security warnings and automatically launch Python scripts.

To make matters worse, the proof of concept exploit disguised the Python file as a shared video, along with a thumbnail, that could be used to trick users into clicking on the fake video to watch it.

 

[Euphemos]

Pienehkö tietoturvariski tämäkin:

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

 

[user9999]

Kyberturvallisuuskeskukselta ensimmäinen varoitus tälle vuodelle.

VAROITUS 1/2024

Tietomurtoja Palo Alto GlobalProtect-tuotteisiin – vaatii välittömiä toimia | Kyberturvallisuuskeskus

Kyberturvallisuuskeskus kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta. Tuotamme tietoturvallisuuden tilannekuvaa.

www.kyberturvallisuuskeskus.fi

 

[escalibur]

Helsingin kaupungin tietomurto on poikkeuksellisen vakava: Henkilötunnuksia viety, koskee lähes 120 000:ta ihmistä

Helsingin kasvatuksen ja koulutuksen toimialaan kohdistunut murto on vakavin Suomen kuntasektorilla ikinä.

www.is.fi

...tietovuoto pahimmassa tapauksessa yli 80 000 oppijaa ja heidän huoltajaansa. Henkilöstön osalta tietomurto koskee koko henkilöstöämme koska tekijä on saanut haltuunsa koko henkilöstön sähköpostiosoitteet ja käyttäjätunnukset..

Tietomurto tapahtui päivittämättömän verkkolaitteen kautta.

Kyseessä on kaikkien aikojen laajin tietomurto kuntasektorilla Suomessa.

Joitakin asioita ei vaan opita.

Edit: Uutista päivitettiin korvaamalla verkkolaitteen etäyhteyspalvelimella.

 

[leripe]

Helsingin kaupungin tietomurto on poikkeuksellisen vakava: Henkilötunnuksia viety, koskee lähes 120 000:ta ihmistä

Helsingin kasvatuksen ja koulutuksen toimialaan kohdistunut murto on vakavin Suomen kuntasektorilla ikinä.

www.is.fi

Joitakin asioita ei vaan opita.

Edit: Uutista päivitettiin korvaamalla verkkolaitteen etäyhteyspalvelimella.

Tässä on tänä vuonna käytännössä jokainen yritystason vpn valmistajan setit korkattu. Ei paljon auta mikään, jos remote haava löytyy uusimmastakin firmisversiosta joka ajossa..
Edit: toki ei tainnut tässä tapauksessa olla viimeisin tai sitten oli niin tuore julkaisu ettei oltu ehditty päivittää.

 

[Kautium]

Helsingin kaupungin tietomurto on poikkeuksellisen vakava: Henkilötunnuksia viety, koskee lähes 120 000:ta ihmistä

Helsingin kasvatuksen ja koulutuksen toimialaan kohdistunut murto on vakavin Suomen kuntasektorilla ikinä.

www.is.fi

Joitakin asioita ei vaan opita.

Edit: Uutista päivitettiin korvaamalla verkkolaitteen etäyhteyspalvelimella.

Kaupungin digitalisaatiojohtaja sanoi toiveikkaasti vielä viime viikolla, että "Tietomurron tekijä on päässyt tarkastelemaan sähköpostiosoitteistoa. Salasanoihin tai sähköpostien sisältöön tekijä ei kuitenkaan päässyt käsiksi. Tietomurto on saattanut saada alkunsa kalasteluviestistä".

Nyt on tosiaan paljastunut, että sisään on ilmeisesti tultu jonkin päivittämättömän etäkäyttöpalvelimen kautta ja pääsy sieltä edelleen eri verkkoresursseihin on ollut melko laaja. Tarkemmin ei ole käsittääkseni kuviota vielä kuitenkaan missään avattu, mutta toivotaan että kyse ei ole lopulta mistään vastaamo v2:sta, kun siellä on melko varmasti ollut arkaluontoista tietoa mm. lastensuojelun osalta ja tietenkin identiteettivarkauksien mahdollisuus on ilmeinen, jos ja kun sieltä on vuotanut kymmeniä tuhansia yhteystietoja hetuineen.

 

[djmake]

Tarkemmin ei ole käsittääkseni kuviota vielä kuitenkaan missään avattu, mutta toivotaan että kyse ei ole lopulta mistään vastaamo v2:sta, kun siellä on melko varmasti ollut arkaluontoista tietoa mm. lastensuojelun osalta ja tietenkin identiteettivarkauksien mahdollisuus on ilmeinen, jos ja kun sieltä on vuotanut kymmeniä tuhansia yhteystietoja hetuineen.

Tarkempaa en ole itsekään nähnyt. Toivottavasti pystyvät selvittämään, mihin lopulta on päästy käsiksi mutta kyllä tässä vastaamo 2 on huolestuttavan lähellä ellei jopa pahempaa. Tietoa tulisi siis saada nopeasti, onhan tuolla hs:n uutisessa mm.

Kaupunki ei voi poissulkea, etteikö tietomurron tekijä olisi voinut saada haltuunsa myös turvakiellon alaisten henkilöiden tietoja.

Toivoa sopii ketjussa nähtävän tulevaisuudessa enemmän uutisia siitä, miten on parannettu tietoturvaa. Tässä vaikuttaa menneen moni asia pieleen, oppia tulisi ottaa ja panostaa tulevaisuudessa enemmän.

 

[Ahaweli]

Kaupungin digitalisaatiojohtaja sanoi toiveikkaasti vielä viime viikolla, että "Tietomurron tekijä on päässyt tarkastelemaan sähköpostiosoitteistoa. Salasanoihin tai sähköpostien sisältöön tekijä ei kuitenkaan päässyt käsiksi. Tietomurto on saattanut saada alkunsa kalasteluviestistä".

Nyt on tosiaan paljastunut, että sisään on ilmeisesti tultu jonkin päivittämättömän etäkäyttöpalvelimen kautta ja pääsy sieltä edelleen eri verkkoresursseihin on ollut melko laaja. Tarkemmin ei ole käsittääkseni kuviota vielä kuitenkaan missään avattu, mutta toivotaan että kyse ei ole lopulta mistään vastaamo v2:sta, kun siellä on melko varmasti ollut arkaluontoista tietoa mm. lastensuojelun osalta ja tietenkin identiteettivarkauksien mahdollisuus on ilmeinen, jos ja kun sieltä on vuotanut kymmeniä tuhansia yhteystietoja hetuineen.

Tämän hetken tiedon mukaan suurin tietojoukko vuotaneita tietoja lienevät sähköpostiosoitteita ja käyttäjätunnuksia - ei hetuja. Eli ne on varmaan "kaavittu" jostain verkkohakemistosta tai Exchangesta. Jotenkin tuntuu että kenties tässä on käytetty hyväksi sekä etäyhteyspalvelun haavoittuvuutta että vääriin käsiin päätynyttä käyttäjätunnusta... Jos näin on, tähän tunnukseen liitetty sähköpostilaatikkokin lienee vaarantunut. Mahdollisesti juuri sähköpostitilin avulla on nuo tiedotkin kaavittu.

Suuri huoli on juurikin verkkolevyt, ja niiden sisältö. Tiedostoja on yhteensä kymmeniä miljoonia. Ja vielä ei tiedetä, kuinka suuri osa näistä on ehditty varastaa. Näiden joukossa olevissa asiakirjoissa on arkaluonteisia tietoja.

Varsinaiset opiskelija-asiat tallennetaan Wilmaan, ja kuraattorien ja psykologien lausunnot ym. taas Aura-järjestelmään. Tähän mennessä ei ole ilmoitettu että niihin olisi päästy käsiksi.

Sellainen twist tässä on myös, että Helsinki hoitaa myös alueensa yksityisten opetustenjärjestäjien opiskeluhuollon tietyiltä osin; terkkarit, lääkärit, kuraattorit ja psykologit... Joista kaksi jälkimmäistä ryhmää ovat opetustoimialan alaisuudessa. Onko näiden opiskelijoiden tiedot vain Aurassa, vai onko niitä tallennettu myös kaupungin verkkolevyille?

 

[Kautium]

Suuri huoli on juurikin verkkolevyt, ja niiden sisältö. Tiedostoja on yhteensä kymmeniä miljoonia. Ja vielä ei tiedetä, kuinka suuri osa näistä on ehditty varastaa. Näiden joukossa olevissa asiakirjoissa on arkaluonteisia tietoja.

Varsinaiset opiskelija-asiat tallennetaan Wilmaan, ja kuraattorien ja psykologien lausunnot ym. taas Aura-järjestelmään. Tähän mennessä ei ole ilmoitettu että niihin olisi päästy käsiksi.

Sellainen twist tässä on myös, että Helsinki hoitaa myös alueensa yksityisten opetustenjärjestäjien opiskeluhuollon tietyiltä osin; terkkarit, lääkärit, kuraattorit ja psykologit... Joista kaksi jälkimmäistä ryhmää ovat opetustoimialan alaisuudessa. Onko näiden opiskelijoiden tiedot vain Aurassa, vai onko niitä tallennettu myös kaupungin verkkolevyille?

Kun tietää miten leväperäisesti väki eri organisaatioissa yleisesti toimii ja tavoittelee yleensä helpointa mahdollista reittiä oman akuutin tarpeensa hoitamiseen, niin veikkaan että aika pitkälti kaikki arkaluontoinenkin tieto löytyy sieltä verkkolevyiltä, vaikka kuinka olisi moneen kertaan jankutettu ja vaadittu, että niin ei saa tehdä.

 

[Obi-Lan]

Jos se isku on tehty suoraan VPN Gateway palvelimeen/purkkiin (esim. toi Palo-Alton aukko sopisi ajankohdallisesti), VPN Gateway yleensä käyttää AD autentikointia joten siitä voi suoraan kaapia kasaan AD tunnukset. AD:ssa tunnukset ja osa attribuuteista ovat "julkista tietoa", ne voi mikä tahansa käyttäjätason työasema tai muu laite koska vaan kysellä. Salasanat ei ole helposti saatavilla ja hetuja toivottavasti kukaan ei lisää AD tunnuksiin. Yleensä siellä on joku service account tallennettu LDAP kyselyihin ja huonoimmassa tapauksessa sillä on vielä domain admin natsat jos asentajat on ollut laiskoja eivätkä ole toteuttaneet minimi oikeuksien periaatteita.

Ja tuosta Gatewaystä pitää toki olla verkkotason pääsy kaikkiin niihin resursseihin mihin eri tasoisten käyttäjien pitää päästä, pääsyhallinta yleensä tehdään siinä purkissa itsessään.

 

[Kautium]

Jos se isku on tehty suoraan VPN Gateway palvelimeen/purkkiin (esim. toi Palo-Alton aukko sopisi ajankohdallisesti), VPN Gateway yleensä käyttää AD autentikointia joten siitä voi suoraan kaapia kasaan AD tunnukset. AD:ssa tunnukset ja osa attribuuteista ovat "julkista tietoa", ne voi mikä tahansa käyttäjätason työasema tai muu laite koska vaan kysellä. Salasanat ei ole helposti saatavilla ja hetuja toivottavasti kukaan ei lisää AD tunnuksiin. Yleensä siellä on joku service account tallennettu LDAP kyselyihin ja huonoimmassa tapauksessa sillä on vielä domain admin natsat jos asentajat on ollut laiskoja eivätkä ole toteuttaneet minimi oikeuksien periaatteita.

Ja tuosta Gatewaystä pitää toki olla verkkotason pääsy kaikkiin niihin resursseihin mihin eri tasoisten käyttäjien pitää päästä, pääsyhallinta yleensä tehdään siinä purkissa itsessään.

En tiedä mitä järjestelmää siellä on käytetty, mutta tuota Palo Alton CVE-2024-3400 -reikää minäkin epäilen. Siitä on toitotettu kaikissa mahdollisissa kanavissa sen verran näkyvästi, että jotain pitää olla pielessä järjestelmähallinnassa, jos jossakin organisaatiossa on niitä vielä käytössä päivittämättömänä.

 

[escalibur]

Nyt vuorossaan murtauduttiin (Akira ransomware?) Fiskars konsernin USA:n yksikköön. Ilmeisesti rikolliset varastivat kahden teran verran dataa omistajan kiristämistä varten.

Fiskars-konserniin on kohdistunut tietomurto Yhdysvalloissa – ei vaikutusta yhtiön toimintaan

Fiskars Oyj Abp Uutinen 15.5.2024 klo 8.15 Fiskars-konserniin on kohdistunut tietomurto Yhdysvalloissa – ei vaikutusta yhtiön toimintaan Fiskars-konserniin on kohdistunut tietomurto…

fiskarsgroup.com

Suomalainen miljardifirma joutui tietomurron kohteeksi

Murtautuja väittää varastaneensa tietoja teratavujen edestä.

www.is.fi

 

[Ahaweli]

Traficomilta ja positiivisesta luottorekisteristä on haettu tietoja oikein urakalla rajapintojen kautta, kun jollakin 'luottolaitoksella' on ollut tietoturva-ongelma järjestelmässään.

Positiivisesta luottotietorekisteristä kysytty luottotietorekisteriotteita väärin perustein :

Tämänhetkisten tietojen mukaan luotonantajan käyttämään ohjelmistoon on tehty tietomurto, jonka seurauksena positiiviselta luottotietorekisteriltä on kysytty luottotietorekisteriotteita ilman perustetta. Positiiviseen luottotietorekisteriin itseensä ei ole kohdistunut tietomurtoa.
Varotoimenpiteenä ohjelmistorajapinta luotonantajalle on väliaikaisesti suljettu. Selvitämme parhaillaan, kuinka suurta asiakasjoukkoa tilanne koskee. Väärinkäytöksessä on mahdollisesti käytetty aikaisemmin muihin organisaatioihin tehtyjen tietomurtojen seurauksena saatuja henkilötunnuksia.

Traficomin ajoneuvorekisterin tietoja käytetty väärin :

Väärinkäyttö koskee ajoneuvojen omistajia ja haltijoita, joiden tietoja on kysytty palvelusta ilman perustetta. Kyseessä on tämänhetkisen tiedon mukaan noin 65 000 omistajaa ja haltijaa, joiden ajoneuvon rekisteritunnus alkaa A-kirjaimella rekisteritunnusvälillä AAA-xxx - ALJ-xxx. Väärinkäytön johdosta ajoneuvojen omistajien ja haltijoiden henkilötunnuksia on päätynyt asiakkaan järjestelmästä kolmannen osapuolen haltuun. Lisäksi väärinkäytön yhteydessä palvelusta on haettu julkisesti saatavilla olevia nimiä, osoitteita ja ajoneuvojen teknisiä tietoja. Traficom on estänyt tietojen luovuttamisen asiakkaan palveluun.

Jos kaikissa 65000 tiedossa on ollut hetu mukana, on tuo sitten jo tuplamäärä Vastaamosta karanneiden hetujen määrään verraten... Herää myös kysymys, koska murrot on tehty ja kauanko esim. noiden 65000 tiedon imurointiin on mennyt? Onko luottorekisterillä ja Traficomilla ollut mitään rajoitusta, kuinka nopeasti ja paljon kerralla saa rajapinnan kautta tehtyä kyselyitä?

 

[ShavedSasquatch]

Traficomilta ja positiivisesta luottorekisteristä on haettu tietoja oikein urakalla rajapintojen kautta, kun jollakin 'luottolaitoksella' on ollut tietoturva-ongelma järjestelmässään.

Positiivisesta luottotietorekisteristä kysytty luottotietorekisteriotteita väärin perustein :



Traficomin ajoneuvorekisterin tietoja käytetty väärin :


Jos kaikissa 65000 tiedossa on ollut hetu mukana, on tuo sitten jo tuplamäärä Vastaamosta karanneiden hetujen määrään verraten... Herää myös kysymys, koska murrot on tehty ja kauanko esim. noiden 65000 tiedon imurointiin on mennyt? Onko luottorekisterillä ja Traficomilla ollut mitään rajoitusta, kuinka nopeasti ja paljon kerralla saa rajapinnan kautta tehtyä kyselyitä?

Jokohan näiden jatkuvien tietomurtojen jälkeen valtiovalta vihdoin herää ja kieltää henkilötunnuksen käytön ”asiakkaan” tunnistamisessa. Tähän tarkoitukseen esim. EU:n digitaalinen indentiteetti voisi olla paikallaan, jos kaikille ei pankkitunnuksia tai mobiilivarmennetta annetta.

Täällä on juttua EU:n digitaalisesta identiteetistä:

Eurooppalainen digitaalinen identiteetti

EU haluaa luoda kaikille EU-kansalaisille henkilökohtaisen digitaalisen lompakon, jota voi käyttää sekä verkossa että sen ulkopuolella niin julkisissa kuin yksityisissäkin palveluissa kaikkialla EU:ssa.

commission.europa.eu

.

 

[TenderBeef]

Digitaaliset palvelut jatkuvasti tietomurtojen kohteina. Ratkaisu? Uusi digitaalinen palvelu?

 

[Pah0lain3]

Vuosia aikaisemmin poistetut kuvat pomppii takaisin iphonella uusimman päivityksen myötä.

Eräs käyttäjä kertoo yllättäen havainneensa vuonna 2010 hävittämiään sisältöjä älypuhelimensa kansioissa. Toinen taas kuvailee, kuinka hyvin arkaluontoisia, aikanaan poistettuja kuvia on yhtäkkiä jälleen ilmaantunut näkyviin.

iPhone-päivityksessä järkyttävä bugi: jopa vuosia sitten poistetut kuvat palaavat takaisin

Omituinen bugi vaivaa nyt osaa iPhone-käyttäjistä. Uusi ohjelmistopäivitys tuo takaisin aikoja sitten poistettuja valokuvia. Apple julkaisi älypuhel

mobiili.fi

Kerran netissä aina netissä. Ihan hyvä vaan jos melkeen 15v vanhat "poistetut" kuvat alkaa pomppiin takas.

 

[Ahaweli]

Jokohan näiden jatkuvien tietomurtojen jälkeen valtiovalta vihdoin herää ja kieltää henkilötunnuksen käytön ”asiakkaan” tunnistamisessa. Tähän tarkoitukseen esim. EU:n digitaalinen indentiteetti voisi olla paikallaan, jos kaikille ei pankkitunnuksia tai mobiilivarmennetta annetta.

Täällä on juttua EU:n digitaalisesta identiteetistä:

Eurooppalainen digitaalinen identiteetti

EU haluaa luoda kaikille EU-kansalaisille henkilökohtaisen digitaalisen lompakon, jota voi käyttää sekä verkossa että sen ulkopuolella niin julkisissa kuin yksityisissäkin palveluissa kaikkialla EU:ssa.

commission.europa.eu

.

Niin, olen tuosta hetusta kanssasi samaa mieltä. Ei sen pitäisi olla muuta kuin meidän "sarjanumero". Nythän tilanne on käytännössä, että nimi on käyttäjätunnus, ja hetu taas on kovakoodattu salasana, jota ei voi vaihtaa...

 

[demu]

Jouduin muutama viikko sitten käyttämään työsähköpostiin (O365) Outlookin selainversiota, kun Outlook -sovellus olin jonkin verran juntturassa.

Ja arvatkaas, se selain-Outlook kaivoi deleted -kansiosta kaikki aikapäiviä sitten poistetut sähköpostit (vuodesta 2010 asti, jolloin siirryin nykyiseen työpaikkaani). Ja niitä oli todella paljon.

Olen säännöllisesti tyhjentänyt nuo deleted -kansiot, mutta näköjään mikkisofta ne kuitenkin on arkistoinut jonnekin palvelimensa ja pilvensä syövereihin.
Aikaisemmin meillä oli pitkään käytössä dedikoitu Exchange -palvelin, sitten oman firman O365 ja nykyisin kansainvälisen emoyhtiön O365 (tai M365, mikä on tältä osin aivan sama asia).
Kuitenkin ne 14 vuotta sitten tuhotut sähköpostit ovat jollakin ilveellä kulkeutuneet tähän kolmanteenkin sähköpostitoteutukseen.

Tein tästä toiminnasta tietoturvailmoituksen, mutta eipä siitä mitään palautetta ole vielä tullut. Ja tuskin tuleekaan.

 

[Obi-Lan]

Jouduin muutama viikko sitten käyttämään työsähköpostiin (O365) Outlookin selainversiota, kun Outlook -sovellus olin jonkin verran juntturassa.

Ja arvatkaas, se selain-Outlook kaivoi deleted -kansiosta kaikki aikapäiviä sitten poistetut sähköpostit (vuodesta 2010 asti, jolloin siirryin nykyiseen työpaikkaani). Ja niitä oli todella paljon.

Olen säännöllisesti tyhjentänyt nuo deleted -kansiot, mutta näköjään mikkisofta ne kuitenkin on arkistoinut jonnekin palvelimensa ja pilvensä syövereihin.
Aikaisemmin meillä oli pitkään käytössä dedikoitu Exchange -palvelin, sitten oman firman O365 ja nykyisin kansainvälisen emoyhtiön O365 (tai M365, mikä on tältä osin aivan sama asia).
Kuitenkin ne 14 vuotta sitten tuhotut sähköpostit ovat jollakin ilveellä kulkeutuneet tähän kolmanteenkin sähköpostitoteutukseen.

Tein tästä toiminnasta tietoturvailmoituksen, mutta eipä siitä mitään palautetta ole vielä tullut. Ja tuskin tuleekaan.

Tai työnantaja on määrittänyt vähän pidempiä säilytyskäytäntöjä.. 365 on kattavat työkalut poistaa dataa tai säilyttää dataa riippumatta siitä mitä työntekijä tekee.

 

[djmake]

Vuosia aikaisemmin poistetut kuvat pomppii takaisin iphonella uusimman päivityksen myötä.

iPhone-päivityksessä järkyttävä bugi: jopa vuosia sitten poistetut kuvat palaavat takaisin

Omituinen bugi vaivaa nyt osaa iPhone-käyttäjistä. Uusi ohjelmistopäivitys tuo takaisin aikoja sitten poistettuja valokuvia. Apple julkaisi älypuhel

mobiili.fi

Kerran netissä aina netissä. Ihan hyvä vaan jos melkeen 15v vanhat "poistetut" kuvat alkaa pomppiin takas.

Toimittaja ei ole tainnut ymmärtää koko asiaa. Eihän tuota voi kutsua päivityksen bugiksi ja se järkyttävä osuus on, että Apple säilöö käyttäjien dataa ilmeisesti määrättömän pitkän ajan.

Nyt päivitys toi syystä tai toisesta tämän säilyttämisen esille ja toivoa sopii asiaan puututtavan. Toki johonkin pakkohyväksyttävään, loputtoman pitkään soppariin voidaan laittaa melkein mitä tahansa mutta aivan varmasti asia olisi pinnalla ollut jos suoraan kerrottaisiin, ettei edes käyttäjän poistamaa dataa todellisuudessa poisteta.

Kun vuotoja on jatkuvasti eri toimijoilla, sopii todella huonosti mukaan kuvaan, jollei käyttäjä voi itse päättää edes itse tuottamastaan sisällöstä.

 

[pulatunnus]

Tai työnantaja on määrittänyt vähän pidempiä säilytyskäytäntöjä.. 365 on kattavat työkalut poistaa dataa tai säilyttää dataa riippumatta siitä mitä työntekijä tekee.

Ja taustalla voi olla suositukset tai pakottava säädökset. Olisi toki hyvä että työntekijät koulutettu tietoiseksi asiasta, oli tausta syy mikä tahansa.
Mielenkiintoista kuulla että oliko tuossa tapauksessa joki tietoturva häikkä, ajatustasolla ei välttämättä hyvä jos käyttäjä pääsee poistettuihin tietoihin. (esim jos poistelaa viestejä ajatuksella esim arkaluenteisia tietoja )

 

[djmake]

Ja taustalla voi olla suositukset tai pakottava säädökset. Olisi toki hyvä että työntekijät koulutettu tietoiseksi asiasta, oli tausta syy mikä tahansa.

Kerro yksikin syy tai suositus, minkä varjolla on ok säilöä kaikki 14 vuotta työntekijän tietämättä?
Liittyy uutisiin tasan nolla mutta jokainen työntekijä tietää kyllä jos virallinen politikkka on säilöä kaikki ikuisesti. Tällaisia tahoja on harvassa eivätkä kyllä liity ketjuun.

 

[Pakana]

Jos verkkis sai 150k€ sakot siitä kun ei automaattisesti poista asiakkaan tilaushistoriasta yli 10v vanhoja tilauksia, niin jotenkin tuohon pitäisi suhteuttaa rankku jos pilvi ei poista oikeasti poistettuja tiedostoja.

 

[Algron28]

Onko muille tullut oheisia posteja tänä aamuna? Olen joskus ollut lähitapiolan asiakas ja siellä on sivujen mukaan joku huolto käynnissä. Oheisia posteja on tänä aamuna tullut jokaiseen käytössä olevan domainin sähköpostilaatikkoon 2kpl. Siis jokaiseen sähköpostiin domainissa. Niihinkin, joita ei koskaan pitäisi missään lähitapiolan järjestelmässä ollut. Onkohan kyseessä joku kohdennettu kusetusyritys vai onko siellä oikeasti joko härdelli menossa. En löytänyt lähitapiolan päästä mitään mihin asiasta voi ilmoittaa viikonloppuisin. Eli domainin sähköposteista yksi on ollut tuolla lähitapiolassa mutta ei mikään muista.

 

[jpp]

Onko muille tullut oheisia posteja tänä aamuna? Olen joskus ollut lähitapiolan asiakas ja siellä on sivujen mukaan joku huolto käynnissä. Oheisia posteja on tänä aamuna tullut jokaiseen käytössä olevan domainin sähköpostilaatikkoon 2kpl. Siis jokaiseen sähköpostiin domainissa. Niihinkin, joita ei koskaan pitäisi missään lähitapiolan järjestelmässä ollut. Onkohan kyseessä joku kohdennettu kusetusyritys vai onko siellä oikeasti joko härdelli menossa. En löytänyt lähitapiolan päästä mitään mihin asiasta voi ilmoittaa viikonloppuisin. Eli domainin sähköposteista yksi on ollut tuolla lähitapiolassa mutta ei mikään muista.

Saanut pari samanlaista postia tänään. Ja ollut aiemmin Lähitapiolan asiakas, mutta en enää.

 

[Desgorr]

Onko muille tullut oheisia posteja tänä aamuna? Olen joskus ollut lähitapiolan asiakas ja siellä on sivujen mukaan joku huolto käynnissä. Oheisia posteja on tänä aamuna tullut jokaiseen käytössä olevan domainin sähköpostilaatikkoon 2kpl. Siis jokaiseen sähköpostiin domainissa. Niihinkin, joita ei koskaan pitäisi missään lähitapiolan järjestelmässä ollut. Onkohan kyseessä joku kohdennettu kusetusyritys vai onko siellä oikeasti joko härdelli menossa. En löytänyt lähitapiolan päästä mitään mihin asiasta voi ilmoittaa viikonloppuisin. Eli domainin sähköposteista yksi on ollut tuolla lähitapiolassa mutta ei mikään muista.

Taitavat käyttää tuota Adobe Campaignia markkinointiviestien lähetykseen. Nähtävästi jotain mennyt pieleen, että nuo error viestit ovat lähteneet asiakkaille päin. Eli olisikohan siellä yritetty importata ajantasainen lista käyttäjätietoja sähköposteineen (Jossa varmaan myös vanhoja asiakkaita) ja sitä varten tehty workflow on mennyt totaalisesti pieleen.

 

[an13]

Suomen luotetuin vakuutusyhtiö | Tervetuloa | LähiTapiola sanoo nyt "LähiTapiolan nimissä on lähtenyt kalasteluviestejä. Viestejä eikä mitään linkkejä tule avata!
Verkkopalvelussa tehdään huoltotöitä lauantaina 18.5. klo 1.35 – 13 sekä lauantaina 18.5. klo 21 - sunnuntaina 19.5. klo 10, jonka aikana osa palveluista on pois käytöstä. Pahoittelemme häiriötä"

 

[jase]

Suomen luotetuin vakuutusyhtiö | Tervetuloa | LähiTapiola sanoo nyt "LähiTapiolan nimissä on lähtenyt kalasteluviestejä. Viestejä eikä mitään linkkejä tule avata!
Verkkopalvelussa tehdään huoltotöitä lauantaina 18.5. klo 1.35 – 13 sekä lauantaina 18.5. klo 21 - sunnuntaina 19.5. klo 10, jonka aikana osa palveluista on pois käytöstä. Pahoittelemme häiriötä"

Nyt taas myöntävät että oli oma moka:

LähiTapiolan nimissä on lähtenyt sähköpostiviestejä lähetysjärjestelmässä tapahtuneen virheen johdosta. Viestit ja linkit ovat vaarattomia, mutta niitä ei tule silti avata. Pahoittelemme tapahtunutta.

Ei deploy menny ihan nappiin, paljonkohan on kylmää hikeä vuodatettu...