Kannattaa sitten varmaankin unohtaa koko saitti, jos puuhaa jotain epämääräistä leikepöydän kanssa..Jahas, vedetään takaisin, rikkoo jotain saitteja, mulla ainakin feedly.com ei toimi jos tuo säätö on ublockissa.
Tietoturvauutiset ja blogipostaukset
- Keskustelun aloittaja Sampsa
- Aloitettu
- Liittynyt
- 19.10.2016
- Viestejä
- 4 714
No ei sen kovin epämääräistä tarvitse puuhata, että tuollainen sääntö blokkkaa sen.
( )
- Liittynyt
- 17.10.2016
- Viestejä
- 2 513
Mistä keksit, että tekee jotain epämääräistä leikepöydän kanssa? Eikä ole kyse mistään ihan pikkusaitista. Joidenkin statsien perusteella paljon suositumpi kuin esim. joku aika iso Evernote.com. En lähtisi jakelemaan tuomioita saiteille yhden lavean blokkisäännön takia.
Ei sillä ole väiliä, miten suosittu joku sivu on. Se voi jokatapauksessa puuhailla epämääräisiä asioita tai voi olla paskasti tehty ja aiheuttaa pahimmillaan esim tietoturvan vaarantumisen.
- Liittynyt
- 17.10.2016
- Viestejä
- 2 513
Ei sitten muuta kuin *-blokkisääntö vaan sitten adblockeriin.
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 467
Samsung on kokenut jonkinlaisen tietovuodon:
news.samsung.com
www.reviewgeek.com
An important notice regarding U.S. customer information
Today, we are taking a moment to inform our customers that we recently discovered a cybersecurity incident that affected some of their information. We want to assure our customers that the issue did not impact Social Security numbers or credit and debit card numbers, but in some cases, may have...
news.samsung.com
Samsung Data Breach Exposed Customers' Personal Information
Hackers are on a roll this month.
www.reviewgeek.com
leripe
Ehdotuksia otetaan vastaan
- Liittynyt
- 19.10.2016
- Viestejä
- 1 646
Jep, vuosia ollut jo se tilanne, että firmat on todennäköisemmin korkattu kuin ei. Kaikki eivät vain ole tietoisia, että heidät on korkattu.
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 286
Jotain häikkää Microsoftilla Defender päivitysten kanssa.
www.bleepingcomputer.com
Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps
A bad Microsoft Defender signature update mistakenly detects Google Chrome, Microsoft Edge, Discord, and other Electron apps as 'Win32/Hive.ZY' each time the apps are opened in Windows.
- Liittynyt
- 27.08.2020
- Viestejä
- 283
Joo tänään hetikun puolenpäivän aikaan käynnisti koneen niin rupes tuleen ilmoituksia, olen nyt hetkellisesti korjannu ongelman asentamalla AVG free version.Jotain häikkää Microsoftilla Defender päivitysten kanssa.
Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps
A bad Microsoft Defender signature update mistakenly detects Google Chrome, Microsoft Edge, Discord, and other Electron apps as 'Win32/Hive.ZY' each time the apps are opened in Windows.
Tuossa versiossa tuo päivitys tullu joka sen aiheuttaa
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 286
Jotain häikkää Microsoftilla Defender päivitysten kanssa.
Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps
A bad Microsoft Defender signature update mistakenly detects Google Chrome, Microsoft Edge, Discord, and other Electron apps as 'Win32/Hive.ZY' each time the apps are opened in Windows.
Ongelmaan julkaistu päivitys. (1.373.1537.0)
Update 6:47 PM EST:
Microsoft has released Microsoft Defender security intelligence update version 1.373.1537.0, which from reports, appears to resolve the Win32/Hive.ZY false positive experienced by Windows users today.
You can follow the instructions at the end of this article to update to this version.
Update 9:25 PM EST:
Microsoft shared the following statement with BleepingComputer:
In addition Microsoft shared that enterprise customers managing their updates should ensure they are using detection build 1.373.1537.0 or newer.
Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps
A bad Microsoft Defender signature update mistakenly detects Google Chrome, Microsoft Edge, Discord, and other Electron apps as 'Win32/Hive.ZY' each time the apps are opened in Windows.
- Liittynyt
- 17.10.2016
- Viestejä
- 2 291
Ei nyt ihan tietoturvajuttu, mutta sivuaa aihetta kuitenkin: Turussa on kähvelletty yleisavain, jota käyttämällä pääsee useimpien taloyhtiöiden yleisiin tiloihin.
yle.fi
Onkohan se ihan asianmukaista ja tarpeellista, että tällainen yleisavain on ylipäätään olemassa?
TS: Rikolliset ovat saaneet haltuunsa lähes kaikkien kerrostaloyhtiöiden putkilukkojen avaimen Turussa
Turun Sanomien tietojen mukaan rikollisilla on pääsy ainakin kyseisten taloyhtiöiden yleisiin tiloihin ja huoltotiloihin, mutta ei ilmeisesti asuntoihin.
yle.fi
Onkohan se ihan asianmukaista ja tarpeellista, että tällainen yleisavain on ylipäätään olemassa?
neko
ᓚᘏᗢ
- Liittynyt
- 18.10.2016
- Viestejä
- 3 818
On, esim. pelastuslaitos saattaa tarvita, ei tarvitse rikkoa paikkoja päästäkseen vaikka sammuttamaan paloa. Luulisin.
Noissakin kai on erilaisia toteutuksia. Mekaaninen avain, joka sopii lähes koko kaupunkiin on hieman heikolta tuntuva idea.
Sille on hyvä syynsä. Taloyhtiöissä/julkisissa rakennuksissa on putkilukko tai useampi avainsäilöille, jonka sisällä on yleisavain kaikkii teknisiin ja/tai yleisiin tiloihin. Tuota avainta käyttää mm. pelastuslaitos, sähköyhtiöt ja operaattorit tai heidän alihankkijansa.Ei nyt ihan tietoturvajuttu, mutta sivuaa aihetta kuitenkin: Turussa on kähvelletty yleisavain, jota käyttämällä pääsee useimpien taloyhtiöiden yleisiin tiloihin.
TS: Rikolliset ovat saaneet haltuunsa lähes kaikkien kerrostaloyhtiöiden putkilukkojen avaimen Turussa
Turun Sanomien tietojen mukaan rikollisilla on pääsy ainakin kyseisten taloyhtiöiden yleisiin tiloihin ja huoltotiloihin, mutta ei ilmeisesti asuntoihin.
Onkohan se ihan asianmukaista ja tarpeellista, että tällainen yleisavain on ylipäätään olemassa?
Tuo kadoksissa oleva avain on siis yleisavain näille putkilukoille eikä suoraan kaikkiin noihin alueen taloyhtiöiden lukkoihin. Aiheutti kyllä aikoinaan itsellä pientä stressiä avaimista, että pysyy avainnippu tallessa.
Viimeksi muokattu:
- Liittynyt
- 17.10.2016
- Viestejä
- 2 291
On, esim. pelastuslaitos saattaa tarvita, ei tarvitse rikkoa paikkoja päästäkseen vaikka sammuttamaan paloa. Luulisin.
Noissakin kai on erilaisia toteutuksia. Mekaaninen avain, joka sopii lähes koko kaupunkiin on hieman heikolta tuntuva idea.
Käteväähän tuollainen tietysti on, mutta sitä voi sitten miettiä, onko se kätevyys riskien arvoista. Ehkä onkin. Sähköyhtiöillä ja operaattoreilla olisi kyllä yleensä aikaa odottaa isännöitsijää. Pelastuslaitoksella on kiire, mutta onko ulko-oven rikkominen sitten kovin paha juttu tulipalon rinnalla?
Nykyään näissä on ainakin Tampereella ja Helsingissä sähköistä avainta vaativa putkilukko. Avain ladataan kuukauden välein, jos laturille ei pääse ei avain toimi.
- Liittynyt
- 07.11.2016
- Viestejä
- 678
Monesti on kyllä saanut huomata että nykyiset isännöitsijät ei ole kovin nopeita liikkeissään.
neko
ᓚᘏᗢ
- Liittynyt
- 18.10.2016
- Viestejä
- 3 818
Nuo kai käyvät yleensä kaikkiin tiloihin, asuntoja lukuun ottamatta, eli esim. kellarit, jotka saattaa olla useamman raskaan oven takana.
Mutta en tosin näistä tiedä enempää kuin mitä kommentteja nyt lukenut ja aikoinaan talon kokouksessa tätä asiaa sivuttiin. Asiasta tietävät jatkavat.
Sitä odottelua tulisi kohtuuttomasti jollekkin operaattorin alihankinta asennus kaverille, jos jokaisessa kohteessa joutuu venailemaan isännöitsijää. Minuutti aikataulua kun ei etukäteen voi tehdä.
Sähköyhtiöiden ja operaattoreiden työntekijöitä voi olla yllättävänkin paljon liikenteessä varsinkin kaupungeissa. Hukattua työaikaa voi kasaantua aika paljon riskiin nähden ja se onko isännöintiyhtiöillä riittävästä työntekijöitä juoksemassa ympäri kaupunkia. En kyllä uskalla sanoa.
Joskus muistan, että joutunut odottamaan isännöitsijää tai huoltoyhtiötä kun jossain ei ollut putkilukkoa, niin kyllä siinä aikaa meni aikaa hukkaan aika paljon. Olen siis käyttänyt tällaisia avaimia joskus lähes 20 vuotta sitten.
Juu, onneksi nuo ovat siirtymässä noihin sähköisiin avaimiin. Ensinnäkin avain tosiaan pitää olla aktiivinen, lukkoon jää jälki millä avaimella on avattu ja nykyään putkilukkoon laitetaan monesti jo mikrokytkin joka antaa ilmoituksen eteenpäin kun putkilukko avataan joten ihan salassa noita ei enää pääse räpeltämään. Toki noissa vanhoissa tavallisen avaimen kohteissakin tuo mikrokytkin putkilukossa auttaisi jo paljon, kiinteistöhuolto, vartiointiliike tai joku mu taho saisi aina ilmoituksen kun putkilukkoa käytetään niin päästäisiin aika äkkiä jäljille että joku asiaton on käynyt paikalla.
Juu, itsekin aikanaan asentajana ollessani olen monesti odotellut "ikuisuuden" kun asiakas ei olekaan muistanut järjestää kulkua kaikkiin paikkoihin kun joku huoltomies tulee toiselta puolelta kaupunkia avaamaan ovea. Voisin sanoa että alle puolen tunnin ei paljon voi laskea tuota menetettyä työaikaa, kyllä siinä aina vähintään sen verran kesti kun joku tuli jostain availemaan ovia. Kyllä noihin itselläkin tuhrautui turhaa odotteluaikaa varmaan työpäivän verran vuodessa.
- Liittynyt
- 10.01.2019
- Viestejä
- 26 248
On, turvallisuus juttu.
Avaimia tarvitsevalla ei tarvitse olla kuin yksi tai muutama avain, helpompi, turvallisempi hallita, helpompi, turvallisempi pitää ajantasalla.
Ja katoamistapauksisa varsinkin, helpompi ja halvempia päivittää. Riskikohteissa joissa tärkeää suojata, niin voidaan nopeasti tiedon saatua putki tyhjentää , tai niiden voimassa olo katkaista.
Putkilukon avaimen hallinta voi olla moderni, vaikka itse putkessa olevat avaimet olisi vanhoja. Eli toimii vanhoissa että moderneissa.
Yllättävän vähän aikaa on siitä kun eräässä taajamassa uutisointien mukaan katosi viranomaispuolen (* avain, "karmeus" oli siinä että se mekaaninen avain itsessään oli yleisavain joka oli varsin laajasti toimiva mm alueen kerrostaloissa.
(*
Mielikuva että pelastupuolella.
- Liittynyt
- 17.10.2016
- Viestejä
- 2 291
Operaattorien ja sähköyhtiöiden työntekijät voisivat tietysti ilmoittaa isännöitsijälle ennakkoon, että oven avaus tarvitaan. Ylimääräinen odotus sitten laskun loppusummaan.
Sähköinen avain ja oikeuksien hallinta on tähän tarkoitukseen ihan hyvä juttu. Nähtävästi Turussa ei vielä sellaista harrastettu.
Sähköinen avain ja oikeuksien hallinta on tähän tarkoitukseen ihan hyvä juttu. Nähtävästi Turussa ei vielä sellaista harrastettu.
Sähköinen systeemi ei ole lopulta kovin vanha juttu, joten uusiminen aiheuttaisi kuluja. Niihin varmasti siirrytään pikkuhiljaa uudisrakennuksissa ja suurissa remonteissa.
TOSIN
Sähköisessäkin järjestelmässä on heikkoutensa ja mahdolliset ongelmat hankalissa tilanteissa (esim jos palvelu on nurin tai netti poikki pidempään...). En oikein pidä fiksuna, jos kriittinen asia riippuu netin / ulkoisen palvelun toimivuudesta.
Nämä sähköiset putket eivät tarvitse nettiyhteyttä. Avain tosiaankin ladataan määräajoin, jonka jälkeen avaimessa on kaikki tieto myös putki otaa virtansa avaimesta.
- Liittynyt
- 10.01.2019
- Viestejä
- 26 248
Jossain "korkeantuotarvaluokittelun" kohteissa voidaan tarvita saattaja, etukäteis ilmoitukset jne. Mutta eiköhän niissä tuollaiset tilat mihin tarvitsee operaattorin tai sähköyhtiön päästä ole järjestetty omat turvalliset reitit.
Nuo tuossa aiemmin keskustelu putkilukuista, se on varsin näppärä ja turvallinen juttu tavaomainaisuudet rakennuksiin, joissa tuollaisia tiloja.
Putkilukot voi olla näppäriä myös huotofirmoille, isännöitsijälle, isännöitsijän ei tarvi huolehtia joka kohteen yleisavaimista, vaan vahtia sitä putkilukon avainta. Jos se avain katoaa, niin nopeasti reagoitavissa, eikä tarvi järjestää vartiointia joka kohteeseen.
Sähköinen lukitus on kohdekohtaista, jopa yhden omistajan kiinteistömassassa voi mennä vuosikausia että lukitussaadaan yhdenmukaiseksi, ja usein ei edes järkevää tehdä kaikkiin samanlaista.
Sille pitäisi vielä löytyä maksaja. Ja vähän huono heitto näinä aikoina jollin kipuillaan muutenkin sähkölaskujen kanssa.
Eli ehkä mennään kuitekin se tehokkuus ja turvallisuus edellä, vs se että tilaillaan jotain ovenaukaisija, jotka enemmenkin heikentää turvallisuutta.
Niijn, avain pitää ladata ja eikös se ainankin osassa järjestelmiä vaadi nettiyhteyden valmistajan servereille? Vai onko kaikissa mahdollista olla TÄYSIN paikallinen se latausasema?
Latausasema tarvitsee nettiyhteyden, mutta itse avain tai lukko ei. Näin ainakin kolmessa eri avaimessa, jota työssäni käytän.
Ja jos lataus ei onnistukkaan, niin sitten mennään ovesta sorkkaraudalla..
- Liittynyt
- 10.01.2019
- Viestejä
- 26 248
Ei.
Yleensä jos ovesta on pakko päästä ja avainta ei ole, niin silloin mennään voi / lukko / molemmat rikkoen. Ja jos avainta ei saa ladattua, niin ainankin omien kokemusten mukaan sillä ei sitten saa sitä lukkoa auki.
Yleensä harvemmin käytettyjä lataillaan juuri ennen käyttötarvetta. Harvemmin joku käy niitä käyttämässä päivitysasemassa esim 2 kertaa viikossa..
- Liittynyt
- 10.01.2019
- Viestejä
- 26 248
Jos se duunari tulee konttorille ja päivittää avaimensa valtuuksia, jos se ei onnistu, niin saa olla aika kiire jos sorkkarauta on seuraava väline. Jos kuitenkin kiire, ja konttorilta ei löydy käypää avainta, niin ehkä siinä kiireessä konttorilta joku alkaa soitteleen löytystkö joku avaan ovea, tai antaan avainta.
Mutta jos kiire ja oven murtaminen pienempi paha, niin se toki murretaan, mutta se ei ehkä se tyypillisin ongelma modernissa kulunvalvonnassa.
Jos ajatuksesi taustalla oli Ukrainan kriisi, ja mietit sitä että jonkin toimittajan putkien valtuutuksia ei saada päivitettyä, niin sekin putkien vahvuus, sitten aletaan päivittää putkia toimivilla.
- Liittynyt
- 07.07.2019
- Viestejä
- 1 628
Menee melkein blogi-postaukset tasoon toi mun aamun viesti:
Jos ei muuta, niin miten tärkeää on häivyttää metadata liikenteestä, huolehtia siitä, että ei käytä laajasti jaettuja identiteettejä ja tietenkin se, että data ja prosessit on osastoitu tiukasti. Jos jotain korkataan, on tarkoituksenmukaista että vahingot jäävät mahdollisimman pieneksi. Viestissä pitkä lista erilaisia ratkaisuita, miten tietoturvaa voi olennaisesti parantaa. Totuushan toki on se, että ns. normaaleissa ympäristöissä tietoturva on aivan katastrofaalisella tasolla ja kun sen vielä yhdistää normaaleihin käyttäjiin, niin senhän siitä tietää mitä siitä seuraa.
AnonymousPlanet.org sivusto on myös päivitetty uusimmilla tiedoilla tässä hiljattain.
Tor, Onion, Darknet, Anonyymit verkot
Tails versio 5.2 on julkaistu, käyttöjärjestelmän live distributio jossa viimeisimmä tietoturva ja anonymiteetti ominaisuudet mukana: https://tails.boum.org/
bbs.io-tech.fi
Jos ei muuta, niin miten tärkeää on häivyttää metadata liikenteestä, huolehtia siitä, että ei käytä laajasti jaettuja identiteettejä ja tietenkin se, että data ja prosessit on osastoitu tiukasti. Jos jotain korkataan, on tarkoituksenmukaista että vahingot jäävät mahdollisimman pieneksi. Viestissä pitkä lista erilaisia ratkaisuita, miten tietoturvaa voi olennaisesti parantaa. Totuushan toki on se, että ns. normaaleissa ympäristöissä tietoturva on aivan katastrofaalisella tasolla ja kun sen vielä yhdistää normaaleihin käyttäjiin, niin senhän siitä tietää mitä siitä seuraa.
AnonymousPlanet.org sivusto on myös päivitetty uusimmilla tiedoilla tässä hiljattain.
Nyt on äärimmäisen epämääräinen tapaus. Eli kirjautumalla on päässyt eri asiakkaan tietoihin? Ei oikein luottamusta herätä pankin kommentointi.S-Pankilla ollut pitkään hieman vakavampi ongelma verkkopankissaan:
Pankit | S-Pankissa paljastui vakava häiriö: Sadat pääsivät toisten verkkopankkeihin – ”Häiriötä hyödynnettiin väärinkäytöksiin”
Järjestelmähäiriö vaivasi pankin palveluja lähes neljä kuukautta. Pankki kertoo korvaavansa asiakkailleen kaikki häiriöstä johtuneet välittömät taloudelliset vahingot.www.hs.fi
Ainoa mitä tulee mieleen on että S-Pankki muutti kesän aikana vanhoja käyttäjätunnuksia uuteen muotoon ( itse liityin 2010 ja oli jo uudenmalllinen tunnus silloin ) ja jotain meni vikaan. Tuo voisi selittää "vähäisen" määrän asiakkaista.
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 286
Lenovon tietokoneissa vakavia haavoittuvuuksia. Satoja malleja.
mobiili.fi
Lenovon tietokoneista paljastui viisi vakavaa haavoittuvuutta – päivitä heti
Lenovon tietokoneet on nyt päivitettävä ajan tasalle nopeasti. Kiinalaisvalmistaja on paikannut mallistostaan viisi vakavaa haavoittuvuutta. Yhteensä
mobiili.fi
Iso osa tekijöistä alaikäisä. Nuoret on näppäriä?
Onko S-pankilla omaa softakehitystä? Olis kiva tietää minkä firman bugi tämä loppujen lopuksi on (ellei sitten S-pankin oma konfiguraatiomoka tms)
- Liittynyt
- 07.07.2019
- Viestejä
- 1 628
Digi Henkarista artikkeli Hesarissa.
www.hs.fi
Käsittelevät myös tuota S-Pankin sähläystä ja digihenkkarista oli myös oma lanka.
Näköjään tuota oltais jo vuoden sisällä ajamaan käyttöön ja kaikki faktat projektista on pidetty pimennossa. Lupaa aina hyvää, kun pari propellihattua tekee salaa jotain ja sitten on "valmis".
Noi Windows patchit oli kanssa aika meheviä:
Turvallisessa koneessa ei saisi käyttää VPN:ää (IKE) haavoittuvuus, eikä TCP/IP:tä. Molemmissa remote code execution. Pisti taas raapimaan päätä, että onko noi viat istutettu järjestelmiin ihan tarkoituksella tiettyjä tahoja varten. Että pääsevät suoraan sisään koneeseen jos se ylipäätänsä on verkossa tai siinä on mikä tahansa palvelu auki tai pääset kommunikoimaan sen kanssa jotenkin.
Henkilöllisyys | Passin ja henkilökortin rinnalle tulossa kännykkäsovellus, uusista henkilötunnuksista poistuu tieto sukupuolesta
Digi- ja väestötietoviraston mukaan digitaaliseen henkilöllisyystodistukseen liittyvien mobiilisovellusten kehittäminen on jo pitkällä.
www.hs.fi
Näköjään tuota oltais jo vuoden sisällä ajamaan käyttöön ja kaikki faktat projektista on pidetty pimennossa. Lupaa aina hyvää, kun pari propellihattua tekee salaa jotain ja sitten on "valmis".
Noi Windows patchit oli kanssa aika meheviä:
Turvallisessa koneessa ei saisi käyttää VPN:ää (IKE) haavoittuvuus, eikä TCP/IP:tä. Molemmissa remote code execution. Pisti taas raapimaan päätä, että onko noi viat istutettu järjestelmiin ihan tarkoituksella tiettyjä tahoja varten. Että pääsevät suoraan sisään koneeseen jos se ylipäätänsä on verkossa tai siinä on mikä tahansa palvelu auki tai pääset kommunikoimaan sen kanssa jotenkin.
Viimeksi muokattu:
- Liittynyt
- 30.03.2021
- Viestejä
- 494
Jotain spekulaatiota kuulin että aukko olisi liittynyt johonkin S-pankin QR koodi tunnistautumiseen, ainakin ilmeisesti se oli pois kytketty nyt päältä. Itselläni ei tosin ole S-pankissa tilejä/tunnuksia mutta kiinnostaisi kyllä tekninen puoli mikä siellä on ollut vikana. Ehkä Fivan raportista aikanaan jotain voisi selvitä.Iso osa tekijöistä alaikäisä. Nuoret on näppäriä?
Onko S-pankilla omaa softakehitystä? Olis kiva tietää minkä firman bugi tämä loppujen lopuksi on (ellei sitten S-pankin oma konfiguraatiomoka tms)
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 467
Olihan heillä muutakin sekoilua aikoinaan. Tietosuojahuolet vaikuttivat - S-Pankki lopetti Googlen käytön
Muistaakseni tuolloin tilin katetiedot olivat näkyvissä verkkopankin session selaimen osoiterivissä yms ihmeellistä.
- Liittynyt
- 16.10.2016
- Viestejä
- 22 406
Tästä on ollut nyt kova hössötys somessa lähinnä juuri tuon bleepingcomputerin hieman överiksi vedetyn ja jopa asenteellisen "teams paha, käytä linuksia" -tyyppisen artikkelin vuoksi.Microsoft Teams tallettaa autentikaatioon tarkoitetut avaimet koneelle selkotekstinä. Näemmä vika koskee myös 2FA:han käytettyjä avaimia. Microsoftin mielestä vika ei ole tarpeeksi vakava, että sitä tarvisi korjata. Vian alkuperänä on mikäs muukaan kuin Electron jonka pohjalle ohjelmisto on rakennettu. Ensimmäistä malwarea odotellessa.
Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs
Security analysts have found a severe security vulnerability in the desktop app for Microsoft Teams that gives threat actors access to authentication tokens and accounts with multi-factor authentication (MFA) turned on.
Artikkelissa kehotetaan käyttämään Teamsin selainversiota, mutta se ei ratkaise ongelmaa. Ainakin Chrome-pohjaiset selaimet tallettavat avaimia koneelle samalla periaatteella. Oikea ratkaisua olisi käyttää käyttöjärjestelmän rajapintoja joissa avaimet talletetaan Keychainiin tmv.
Jengi ei tunnu nyt oikein hoksaavan, että MS ei ole siksi kokenut tarpeelliseksi tehdä tuolle mitään korkealla prioriteetilla, koska kyse on käyttäjän profiilihakemistoon sovellukseen kirjauduttaessa talletettavista tokeneista (joita käytetään siksi ettei tarvitse joka klikkauksella kirjautua uudestaan). Jotta noihin tokeneihin pääsee käsiksi, pitää käytännössä olla joko kirjautunut käyttäjä itse, tai sitten joku jolla on koneeseen admin-oikeudet. Ja jos taas on ne admin-oikeudet, voi koneelle ja sen muille käyttäjille tehdä muutenkin ihan mitä tahansa ja hyödyntää montaa muutakin tapaa, vaikka sitten nyysiä selaimesta käyttäjän session cookiet ja hyödyntää niitä samalla tavalla, tai korottaa omat oikeudet systeemiksi, jolloin vain taivas on rajana. Ensin pitää siis käytännössä olla jo aiemmin tavalla tai toisella mennyt sellaisen rajan yli, joka mahdollistaa ihan kaiken muunkin. Tai sitten jos kyse on siitä samaisesta käyttäjästä, niin tällä on toki muutenkin päääsy kaikkialle omilla tunnuksillaan. Jos taas kyse on haittaohjelmasta jonka käyttäjä onnistuu aktivoimaan, niin ollaan taas tuossa edellisessä vaiheessa, eli sen haittaohjelman pitää jollakin tavalla ohittaa suojaukset päästäkseen käsiksi sinne tokeniin, jolloin se voisi tehdä miljoona muutakin vastaavaa toimenpidettä.
2FA:n kanssa tuolla ei ole sinänsä tekemistä. Kyseessä on palvelussa x käytetty authentication token ja jos validi sellainen on käytettävissä, niin ei siinä välissä tarvitse enää tehdä mitään 2FA-varmennusta.
Ja kyllä, MS voisi vaikka edes kryptata sen tokenin ja mahdollisesti kohun myötä jossakin vaiheessa myös niin tekee, mutta ei se tee tässä kokonaisuudessa juuri muuta kuin yhden välivaiheen lisää. Kyllä tuo minunkin mielestäni voisi olla fiksummin toteutettu, mutta silti sanon että myrsky vesilasissa.
Viimeksi muokattu:
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 467
Tai sitten vaan keskitytään käyttämään Teamsin selainversiota. Henkilökohtaisesti en ole käyttänyt asennusversiota moneen vuoteen, vaikka käytän Teamsia päivittäin. Säästyypähän samalla koneen resurssitkin muuhun käyttöön.
Tämäkään ei olisi onnistunut selainversiolla.
Viimeksi muokattu:
- Liittynyt
- 16.10.2016
- Viestejä
- 22 406
Olennainen kohdassa 6:19, joka on sisällöllisesti käytännössä sama mitä sanoin tuossa ylempänä.
"Yes, this is a security flaw, but it is also little bit of a clickbait, because once someone has local access to the computer you have to assume you gain whatever privileges that user has." Niinpä niin.