Tietoturvauutiset ja blogipostaukset

fokkusu sanoi:
Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.
Napsauta laajentaaksesi...


Ei hemmetti, tuollahan on korkattu melkein kaikki palvelut jos pitää paikkansa :nb:

Näin päästy nähtävästi sisään useisiin paikkoihin. Hyvä muistutus, että tunnareita ei kannata hardkoodata :hmm:
Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.



Mutta mikähän tässä on ollut ideana, kun hyökkääjä on heti ilmoittanut asiasta? For the lulz?
Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.


Edit:
Olihan tästä jo ihan uutisiakin tarjolla. Esim: Uber korkattu – hakkeri nappasi järjestelmät haltuunsa ja laittoi yhtiön sivuille pornoa

Hakkeri on kertonut päässeensä sisään erään työntekijän hyväuskoisuuden avulla. Hakkeri lähetti työntekijälle tekstiviestin, jossa hän kertoi olevansa firman it-osastolla töissä, ja sen avulla sai työntekijän kertomaan hakkerille käyttäjätunnuksensa ja salasanansa.

Hakkeri on kertonut olevansa vain 18-vuotias. Tietomurron motiivina ei vaikuttaisi olevan raha, vaan hauskanpito: hakkeri kertoo murtautuneensa Uberiin, koska yhtiöllä oli niin surkea tietoturva.
Napsauta laajentaaksesi...
 
Viimeksi muokattu:
Aina kun tulee näitä hype firmoja niin kannattaa miettiä pitkän aikaan, että tekeekö tunnarin.
Kaikki energia noilla yrityksillä menee muuhun kuin tietoturvaan.
 
Twitterissä ollut versio tuosa Uber hakkeroinnista on, että hakkeri pommitti työntekijän kännykkään satoja MFA Push authentication pyyntöjä. Sitten laittoi WhatsAppilla viestin "IT tuesta", että jos käyttäjä haluaa niiden loppuvan pitää hyväksyä. Se, että saa ladattua sen käyttäjän oikeuksilla skriptin missä on kovakoodattuna korkean tason tunnukset, on sitten jo huolimattomuutta.
 
2K:n tukipalveluun on murtauduttu ja 2K pyytää käyttäjiä vaihtamaan salasanansa:

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.
 
www.theregister.com

Oracle Cloud fixes ‘critical’ data-access vulnerability

chmod a+rw at hyperscale
www.theregister.com www.theregister.com
A "critical" Oracle Cloud Infrastructure vulnerability could have been exploited by any customer to read and write data belonging to any other OCI customer without any permission checks, according to Wiz security researchers.

Luckily, upon disclosing the bug to Oracle, the IT giant patched the security hole "within 24 hours," according to Wiz's Elad Gabay.
Napsauta laajentaaksesi...
 
www.bleepingcomputer.com

Unpatched 15-year old Python bug allows code execution in 350k projects

A vulnerability in the Python programming language that has been overlooked for 15 years is now back in the spotlight as it likely affects more than 350,000 open-source repositories and can lead to code execution.
www.bleepingcomputer.com www.bleepingcomputer.com
Disclosed in 2007 and tagged as CVE-2007-4559, the security issue never received a patch, the only mitigation provided being a documentation update warning developers about the risk.
...
Technical details for CVE-2007-4559 have been available since the initial report in August 2007. While there are no reports about the bug being leveraged in attacks, it represents a risk in the software supply chain.
Napsauta laajentaaksesi...
 
Jotenkin hämmentävää että Pythonilla toteutettuja tar-paketteja käyttäviä projekteja on pelkästään Githubissa 588 840

Toisaalta ehkä se sitten ei ole niin ihmeellistä jos projekteja on yli 100 miljoonaa ja Pythonin käyttäjiä on n. 15% käyttäjistä.
 
Grez sanoi:
Jotenkin hämmentävää että Pythonilla toteutettuja tar-paketteja käyttäviä projekteja on pelkästään Githubissa 588 840
Napsauta laajentaaksesi...
Ehkä myös helpottavaa, että suuri osa noista ei toimi nykyisin käytettävillä Python-versioilla lainkaan
 
BGP-kaappauksen avulla vietiin viime kuussa Amazonilta 255 IP-osoitetta kolmeksi tunniksi. Näiden IP-osoitteiden myötä saadun TLS-sertifikaatin avulla toteutettiin hyökkäys Celer Bridge -kryptopalvelua vastaan, jonka seurauksena ohjattiin yli 230 000 dollarin edestä kryptovaluuttoja hyökkääjien huomaan.
arstechnica.com

How 3 hours of inaction from Amazon cost cryptocurrency holders $235,000

For 2nd time in 4 years, Amazon loses control of its IP space in BGP hijacking.
arstechnica.com arstechnica.com
 
Microsoft Exchange sähköpostipalvelimessa nollapäivähaavoittuvuus. Vaatii palvelimelle tunnistautumisen joka pienentää haavoittuvuuden käytön mahdollisuutta ja lieventää kokonaisriskiä.
www.kyberturvallisuuskeskus.fi

Tunnistautumista vaativa etäkäytön mahdollistava haavoittuvuus Microsoft Exchangessa | Kyberturvallisuuskeskus

Microsoft Exchange-sähköpostipalvelimessa on havaittu haavoittuvuuksia, jotka mahdollistavat mielivaltaisen koodin suorittamisen. Haavoittuvuuksia käytetään aktiivisesti hyväksi. Microsoft on julkaissut korjaavat päivitykset.
www.kyberturvallisuuskeskus.fi www.kyberturvallisuuskeskus.fi

customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server

msrc-blog.microsoft.com
 
Agent_007 sanoi:
BGP-kaappauksen avulla vietiin viime kuussa Amazonilta 255 IP-osoitetta kolmeksi tunniksi. Näiden IP-osoitteiden myötä saadun TLS-sertifikaatin avulla toteutettiin hyökkäys Celer Bridge -kryptopalvelua vastaan, jonka seurauksena ohjattiin yli 230 000 dollarin edestä kryptovaluuttoja hyökkääjien huomaan.
arstechnica.com

How 3 hours of inaction from Amazon cost cryptocurrency holders $235,000

For 2nd time in 4 years, Amazon loses control of its IP space in BGP hijacking.
arstechnica.com arstechnica.com
Napsauta laajentaaksesi...
Jännää että tässä ei nostettu sen suuremmin esille tuon kyrptopalvelun haavoittuvaisuutta. Se, että joku saa reititettyä liikenteen tietystä IP-lohkosta itselleen ei hyvin suunnitellussa järjestelmässä vielä pitäisi mahdollistaa kryptovaluuttojen pöllimistä.
 
Ormu sanoi:
Ei nyt ihan tietoturvajuttu, mutta sivuaa aihetta kuitenkin: Turussa on kähvelletty yleisavain, jota käyttämällä pääsee useimpien taloyhtiöiden yleisiin tiloihin.

yle.fi

TS: Rikolliset ovat saaneet haltuunsa lähes kaikkien kerrostaloyhtiöiden putkilukkojen avaimen Turussa

Turun Sanomien tietojen mukaan rikollisilla on pääsy ainakin kyseisten taloyhtiöiden yleisiin tiloihin ja huoltotiloihin, mutta ei ilmeisesti asuntoihin.
yle.fi yle.fi

Onkohan se ihan asianmukaista ja tarpeellista, että tällainen yleisavain on ylipäätään olemassa?
Napsauta laajentaaksesi...
Hilaan nyt tän vanhan uutisen esiin, kun vasta nyt luin tätä.

Mä raahasin mukanani aiemmin tuollaista teleasentajan avainnippua, ja sen systeemin turvallisuus oli hyllä hämmästyttävällä tasolla.

Jonkinlaisesta turvallosuudesta pystyi puhumaan vain uusimpien taloyhtiöiden tapauksessa, joihin mulla ei juuri ollut asiaa. Vähintään 90% vanhemmista, sanotaan yli 15 vuotta vanhoista taloyhtiöistä käytti lukkoa/avainta jonka kopiointi onnistui missä tahansa suutarilla, eikä kukaan tiedä montako noita avaimia on liikenteessä. Yleisin putkilukko oli abloy classic avaimella. Lisäksi, perstuntumalta kolmasosa putkilukoista paljasti yleisavaimen, jolla pääsi myös asuntoihin sisään.

Ts, tuo uutinen jossa avainnippu on hävinnyt ja ei tiedetä kenellä avain on, on lisännyt tuntemattoman henkilön avattavissa olevia lukkoja ehkä 5%.

Tästä on tietysti jo useampi vuosi aikaa, mutta hyvin vahvasti epäilen että noita olisi valtavalla innolla ruvettu uusimaan. Mun kokemuksen mukaan se turvallisuustaso paranee vain siinä yhteydessä koko taloyhtiön lukot uusitaan ja sinne putkilukkoon jää vanha avain.
 
Verkkorikolliset ovat oivaltaneet jakaamaan ransomwarea OneDriven DLL-puukotuksen avulla:

www.bitdefender.com

Side-Loading OneDrive for profit – Cryptojacking campaign detected in the wild

Cryptojackers have become very lucrative for cybercriminals in recent years as the price of cryptocurrency soared.
www.bitdefender.com www.bitdefender.com

The attackers write a fake secure32.dll to %LocalAppData%\Microsoft\OneDrive\ as non-elevated users that will be loaded by one of the OneDrive processes (OneDrive.exe or OneDriveStandaloneUpdater.exe).

Threat actors use one of OneDrive’s dll files to easily achieve persistence, because %LocalAppData%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe is scheduled to run every day, by default.

To make persistence even more robust, the droppers of the fake secure32.dll also set%LocalAppData%\Microsoft\OneDrive\OneDrive.exe to run at every reboot using the Windows Registry.

Once loaded into one of the OneDrive processes, the fake secur32.dll downloads open-source cryptocurrency mining software and injects it into legitimate Windows processes.

Although the article presents DLL Side-Loading used for cryptojacking, this method can be used to achieve various other goals, like deploying spyware or ransomware.

In the two-month period from May 1 to July 1, 2022, Bitdefender detected this kind of cryptojacking of around 700 users around the globe

 
user9999 sanoi:
Joku tutkimus tehty selaimien haavoittuvuuksien määrästä..
www.tekniikkatalous.fi

Tässä ovat haavoittuvimmat selaimet – Google Chrome listan kärjessä

Yllättäen Opera-selaimessa ei ole havaittu ainuttakaan haavoittuvuutta vuoden 2022 aikana.
www.tekniikkatalous.fi www.tekniikkatalous.fi
atlasvpn.com

Real news from the cybersecurity world

At NordVPN, we believe that everyone deserves privacy and security online. Read our NordVPN blog for all the latest cybersecurity news and tech insights.
atlasvpn.com atlasvpn.com
Napsauta laajentaaksesi...
Mielestäni aika nolla-tutkimus*. Monet selaimet käyttää pohjana Chromiumia, myös tutkimuksessa mainitut Edge ja Opera. Tuolla atlasvpn:n sivulla mainitaankin:
While quite different in features, Google Chrome, Microsoft Edge, and Opera are all built on the Chromium engine. It means that Chromium vulnerabilities may impact all of these browsers.
Napsauta laajentaaksesi...
Mielestäni tuo "may impact" on aika löyhästi muotoiltu.

EDIT: * Toki tuosta voi katsoa esim. Chromen ja Firefoxin eroa... kuitenkin muistaen, että Firefoxin käyttäjiä on melkein 20x vähemmän ja markkinaosuus aika pieni, ja sillä on varmasti jotain vaikutusta miten haavoittuvuuksia tulee esiin.
 
Viimeksi muokattu:
Myöskin jännästi suosituimpaan selaimeen ja moottoriin löydetty eniten haavoja. Taitaa myös olla googlella ehkä parhaat bug bountyt ym.
 
Saksalaisen vaateverkkokaupan Zalandon suomalaiskäyttäjien asiakastileille on päästy käsiksi.
www.iltalehti.fi

Oletko tilannut Zalandolta? Tarkista heti tiliotteesi – asiakastileille on päästy tunkeutumaan

Suomalaisten Zalando-tileillä on tehty tilauksia ulkomailta.
www.iltalehti.fi www.iltalehti.fi
www.iltalehti.fi

”Jäi epäuskoinen olo”: Suomalaisten Zalando-tileille on tunkeuduttu jo keväällä – yhtiön vastaukset hämmentävät

Zalando-tilien väitettyä kaappaamista on tapahtunut jo keväällä, kertovat Iltalehden lukijat.
www.iltalehti.fi www.iltalehti.fi
www.iltalehti.fi

Suomalaisten tileille murtauduttiin, mutta miten? Näin vastaa Zalando

Zalandon mukaan yhtiön verkkokaupan turvallisuus ei ole vaarantunut.
www.iltalehti.fi www.iltalehti.fi
 
Viimeksi muokattu:
user9999 sanoi:
Saksalaisen vaateverkkokaupan Zalandon suomalaiskäyttäjien asiakastileille on päästy käsiksi.
www.iltalehti.fi

Oletko tilannut Zalandolta? Tarkista heti tiliotteesi – asiakastileille on päästy tunkeutumaan

Suomalaisten Zalando-tileillä on tehty tilauksia ulkomailta.
www.iltalehti.fi www.iltalehti.fi
www.iltalehti.fi

”Jäi epäuskoinen olo”: Suomalaisten Zalando-tileille on tunkeuduttu jo keväällä – yhtiön vastaukset hämmentävät

Zalando-tilien väitettyä kaappaamista on tapahtunut jo keväällä, kertovat Iltalehden lukijat.
www.iltalehti.fi www.iltalehti.fi
www.iltalehti.fi

Suomalaisten tileille murtauduttiin, mutta miten? Näin vastaa Zalando

Zalandon mukaan yhtiön verkkokaupan turvallisuus ei ole vaarantunut.
www.iltalehti.fi www.iltalehti.fi
Napsauta laajentaaksesi...

Zalandon mukaan syynä on käyttäjien huonot salasanat, eikä itse palvelua olisi korkattu.
 
Digiturvaviikko menossa, joten nyt ne salakalat kuntoon, jos jollakulla on vielä jotain onnetonta käytössä.
www.lyyti.fi

Digiturvaviikko 2022

Tervetuloa mukaan edistämään digitaalista turvallisuutta yhdessä Digiturvaviikolla 10.–14.10.2022! Viime vuonna 300 organisaatiota ympäri Suomen ilmoittautui mukaan ja tarjosi henkilöstölleen mahdollisuuden oppia ja kehittää digiturvaa virtuaalisen teemaviikon aikana. Osallistuminen on tänäkin...
www.lyyti.fi www.lyyti.fi
 
Intelillä on vuotanut astetta isompi satsi lähdekoodia:

The leak contains 5.97 GB of files, source code, private keys, change logs, and compilation tools, with the latest timestamp on the files being 9/30/22, likely when a hacker or insider copied the data.

BleepingComputer has been told that all the source code was developed by Insyde Software Corp, a UEFI system firmware development company.

The leaked source code also contains numerous references to Lenovo, including code for integrations with 'Lenovo String Service', 'Lenovo Secure Suite', and 'Lenovo Cloud Service.'
Napsauta laajentaaksesi...

www.bleepingcomputer.com

Intel confirms leaked Alder Lake BIOS Source Code is authentic

Intel has confirmed that a source code leak for the UEFI BIOS of Alder Lake CPUs is authentic and has been released by a third party.
www.bleepingcomputer.com www.bleepingcomputer.com

Intel Confirms Alder Lake BIOS Source Code Leak, New Details Emerge

Hack's perpetrator and origins remain unknown.
www.tomshardware.com www.tomshardware.com
 
Viimeksi muokattu:
Infy sanoi:
Zalandon mukaan syynä on käyttäjien huonot salasanat, eikä itse palvelua olisi korkattu.
Napsauta laajentaaksesi...
Iltalehti kirjoitti tarkemmin

IL sanoi:
Zalandon näkemyksen mukaan mainitut tapaukset liittynevät hyökkäyksiin, joissa huijarit yrittävät kirjautua tileille aiemmin vuotaneilla salasana-käyttäjätunnus-yhdistelmillä.
Napsauta laajentaaksesi...

Jos tosiaan tuosta kyse, niin kaupan on toki vaikeampia puuttua jos pahis tietää tunnuksen ja salasanan. Jutun mukaan jäi olo että liki järjestäin tarina meni niin että kauppa oli sulkenut tilin. Eli noihinkin pystyivät tarttumaan.

Rivien välistä jäi käsitys että kaupasta voi ostaa tuotteita tallennetuilla maksutiedoilla, ilman maksun vahvistusta vahvalla tunnistautumisella. Jos noin, niin toki näppärää, mutta silloin kyllä myyjällä vahva vastuu väärin käytöksistä.
 
ztec sanoi:
Digiturvaviikko menossa, joten nyt ne salakalat kuntoon, jos jollakulla on vielä jotain onnetonta käytössä.
https://www.lyyti.fi/p/digiturvaviikko2022
Napsauta laajentaaksesi...
Tämä (.lyyti.fi/) kai se kansalaisilla ja työntekijöille suunnattu juttu.

Sieltä se Digiturvallinen elämä -mobiilipeli (latauslinkin lainauksessa)
Digiturvallinen elämä -pelin avulla opit digiturvataitoja helpolla ja hauskalla tavalla.

Pelin ensimmäisessä osassa keskitytään työelämässä tarvittaviin digiturvataitoihin. Toimit arkipäiväisissä tilanteissa kuvitteellisen Tyrskylän kunnan työntekijöiden matkassa. Selviätkö sinä työviikosta, joka on täynnä digiturvahaasteita? Ensimmäisen osan läpäiseminen vie aikaa 30–60 minuuttia.

Pelin toisessa osassa jatketaan työelämän digiturvataitojen harjoittelemista. Tällä viikolla Tyrskylässä työskennellään etänä. Joko sinulla on etätyön digiturva hallussa? Toisen osan läpäiseminen vie aikaa 30–60 minuuttia.

Jos digiturva-asiat ovat sinulle uusia, suosittelemme käymään ensin alla olevat, organisaatioiden henkilöstölle suunnatut koulutukset.

Lataa peli sovelluskaupasta
Lataa maksuton mobiilipeli laitteellesi sovelluskaupasta:

Apple App StoreLinkki toiselle sivustolle, Avautuu uudessa välilehdessä

Google Play StoreLinkki toiselle sivustolle, Avautuu uudessa välilehdessä

Digiturvallinen elämä -peli on julkaistu suomeksi, ruotsiksi ja englanniksi. Kielen voi vaihtaa valikosta pelin oikeasta yläkulmasta. Jos olet ladannut pelin ennen eri kieliversioiden julkaisua, saat kielivalinnan näkyviin, kun lataat peliin päivityksen sovelluskaupasta.

Pelin tietosuoja
Digiturvallinen elämä -peli on tietoturva-auditoitu. Peli ei muodosta internet-yhteyksiä eikä vaadi laitteelta oikeuksia. Peli ei kerää henkilötietoja.
Napsauta laajentaaksesi...

Tuosta erikseen poiminta, minkä toivoisi olevan perus juttu monessa muussakkin sovelluksessa
Pelin tietosuoja
Digiturvallinen elämä -peli on tietoturva-auditoitu. Peli ei muodosta internet-yhteyksiä eikä vaadi laitteelta oikeuksia. Peli ei kerää henkilötietoja.
Napsauta laajentaaksesi...


ztec sanoi:
nyt ne salakalat kuntoon
Napsauta laajentaaksesi...
?
 
Ilmeisesti NordVPN:n Threat Protection-suoja konffaa oman SSL-sertin alkuperäisten tilalle.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.
 
escalibur sanoi:
Ilmeisesti NordVPN:n Threat Protection-suoja konffaa oman SSL-sertin alkuperäisten tilalle.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.
Napsauta laajentaaksesi...

Vaikeahan sitä on salatun liikenteen kautta liikkuvia uhkia suojata, jos et näe liikenteen sisälle. Tai ainakin ekana tuosta tulee mieleen ssl purku.
 
leripe sanoi:
Vaikeahan sitä on salatun liikenteen kautta liikkuvia uhkia suojata, jos et näe liikenteen sisälle. Tai ainakin ekana tuosta tulee mieleen ssl purku.
Napsauta laajentaaksesi...
En kyllä ymmärrä miksi pankki sun muita maksuliikennettä saa joku hiton NordVPN siinä välissä purkaa ja skannata läpi. Tuntuu yleistyneen koko ajan, että halutaan jatkuvasti pitää VPN yhteyttä päällä, ku kaikkialla sitä mainostetaan ja pelotellaan (etenkin sossu mediassa)...

Itsehän siis en ikinä suosittele käyttämään mitään VPN palveluita, kun hoitaa raha-asioita taikka käyttää muita henkilökohtaisia palveluita (ellei ole pakottavaa syytä)!
 
=JP= sanoi:
En kyllä ymmärrä miksi pankki sun muita maksuliikennettä saa joku hiton NordVPN siinä välissä purkaa ja skannata läpi.
Napsauta laajentaaksesi...
Samalla laillahan (ainakin jossain) virustorjuntatuotteissa on tuollainen MITM. Vaikea tehdä tuote/palvelu joka ei oikeasti tekisi mitään. Käsittääkseni nordvpn tekee sen lokaalisti kuten AV:t. Itse en tuollaisia MITM-kikkuroita ole ikinä suostunut käyttämään, aikoinaan lähti koko AV vaihtoon, tai pelkkä se komponentti siitä joka teki tuollaisen MITM:in (silloin kun vielä käytin virustorjuntasoftia).
 
TenderBeef sanoi:
Samalla laillahan (ainakin jossain) virustorjuntatuotteissa on tuollainen MITM. Vaikea tehdä tuote/palvelu joka ei oikeasti tekisi mitään. Käsittääkseni nordvpn tekee sen lokaalisti kuten AV:t. Itse en tuollaisia MITM-kikkuroita ole ikinä suostunut käyttämään, aikoinaan lähti koko AV vaihtoon, tai pelkkä se komponentti siitä joka teki tuollaisen MITM:in (silloin kun vielä käytin virustorjuntasoftia).
Napsauta laajentaaksesi...
Jep ja tämä on ihan perus huttua työelämässä.
Yrityksen muurilla puretaan vastaavalla tavalla liikenne ja vastaavanlainen sertihomma ilmenee kuin tuossa nordvpn, jonka takia ssl purku tuli ensimmäisenä mieleen.
Himassa ehkä kannattaa tomia erilaisesti saati haluaako antaa minkään vpn tarjoajan tehdä tuollaista.
 
leripe sanoi:
Vaikeahan sitä on salatun liikenteen kautta liikkuvia uhkia suojata, jos et näe liikenteen sisälle. Tai ainakin ekana tuosta tulee mieleen ssl purku.
Napsauta laajentaaksesi...
Niinhän se onkin. Ironista että yksityisyyttä hehkuttava "hämäräpalvelu" vaihtaa oman sertin tilalle kaikessa hiljaisuudessaan.

Bitdefender teki juuri tuota ja mielestäni se oli/on yhä täysin käyttökelvoton. Moni serttiriippuvainen palvelu ei toiminut kunnolla ja räpeltäminen ulkopuolisella sertillä on loputonta säätöä ja riesaa.
 
escalibur sanoi:
Niinhän se onkin. Ironista että yksityisyyttä hehkuttava "hämäräpalvelu" vaihtaa oman sertin tilalle kaikessa hiljaisuudessaan.

Bitdefender teki juuri tuota ja mielestäni se oli/on yhä täysin käyttökelvoton. Moni serttiriippuvainen palvelu ei toiminut kunnolla ja räpeltäminen ulkopuolisella sertillä on loputonta säätöä ja riesaa.
Napsauta laajentaaksesi...
No eihän tuo tee mistään hämäräpalvelua, vaan tuo lienee ainut keino tehdä tuota asiaa eli suojata ja tutkia salatun liikenteen kautta meneviä asioita.
Oudointa lienee vain, että tuollaista lisäpalvelua tarjoaa vpn tarjooja, mutta tietoturvayhtiöiltä tuo on ihan normaali suojamekanismi tiettyyn käyttötapaukseen.
 
leripe sanoi:
Vaikeahan sitä on salatun liikenteen kautta liikkuvia uhkia suojata, jos et näe liikenteen sisälle. Tai ainakin ekana tuosta tulee mieleen ssl purku.
Napsauta laajentaaksesi...
Niinhän se onkin. Ironista että yksityisyyttä hehkuttava "hämäräpalvelu" vaihtaa oman sertin tilalle kaikessa hiljaisuudessaan.

Bitdefender teki juuri tuota ja mielestäni se oli/on yhä täysin käyttökelvoton. Moni serttiriippuvainen palvelu ei toiminut kunnolla ja räpeltäminen ulkopuolisella sertillä on loputonta säätöä ja riesaa.
leripe sanoi:
No eihän tuo tee mistään hämäräpalvelua, vaan tuo lienee ainut keino tehdä tuota asiaa eli suojata ja tutkia salatun liikenteen kautta meneviä asioita.
Oudointa lienee vain, että tuollaista lisäpalvelua tarjoaa vpn tarjooja, mutta tietoturvayhtiöiltä tuo on ihan normaali suojamekanismi tiettyyn käyttötapaukseen.
Napsauta laajentaaksesi...
Hämäräpalvelulla tarkoitin NordVPN:ää.
 
petapixel.com

Thermal Cameras and AI Can Be Used to Crack Passwords, New Study Warns

Passwords can be cracked up to a minute after typing them.
petapixel.com petapixel.com
A password may not be enough to protect a device from hackers. A new study has revealed how criminals can use thermal cameras to retrace the password an individual has typed into a smartphone, computer keyboard, or even an ATM.
Napsauta laajentaaksesi...
“Backlit keyboards also produce more heat, making accurate thermal readings more challenging, so a backlit keyboard with PBT plastics could be inherently more secure,”
Napsauta laajentaaksesi...
:D

 
Kohdennetussa hyökkäyksessä on lennätetty droneilla yrityksen katolle mm. Wi-Fi Pineapple ja Raspberry Pi, joiden avulla on sitten päästy yrityksen WLAN-verkkoon sisälle ja koetettu sitten murtautua Confluenceen.
www.theregister.com

Wi-Fi spy drones used to snoop on financial firm

Check your rooftops: Flying gear caught carrying network-intrusion kit
www.theregister.com www.theregister.com
 
Oli juttua eri autentikointijärjestelmien lapsuksista ja puutteista, niin tänään Mobile ID:tä käyttävä softa, ei kerinnyt näyttämään event id:tä, ennen kuin PIN prompti peitti sen. Ihan klassista kuraa. Pitää siis sokkona vahvistaa login. Aika epätodennäköistä, että menis väärälle käyttäjälle, mutta jos on täydellinen ajoitus, niin hyvin voi mennä.
 
Viimeksi muokattu:
Suomi.fi tunnistautumisessa on tietoturva ongelma, jos se on toteutettu NodeJS/NPM kirjastoa käyttämällä.

Kun Suomi.fi tunnistautumista käyttäviä tahoja on yli 700, niin varmasti riittää myös haavoittuvia järjestelmiä. Tämä siis vaatii toimenpiteitä niiltä, jotka ovat omaan järjestelmäänsä toteuttaneet Suomi.fi tunnistautumisen.

Digi- ja väestötietoviraston ylläpitämässä suomifi-passport-saml -kirjastossa on havaittu vakava tietoturvahaavoittuvuus, joka voi vaarantaa asiointipalvelun tietoturvallisen käytön. Haavoittuvuuden korjaaminen edellyttää organisaatioilta välittömiä korjaustoimenpiteitä.

palveluhallinta.suomi.fi

Löydät Suomi.fi-palveluiden ohjeet Suomi.fi kehittäjille-sivustolta 30.10.2024 alkaen - Suomi.fi kehittäjille

palveluhallinta.suomi.fi palveluhallinta.suomi.fi
 
Infy sanoi:
Suomi.fi tunnistautumisessa on tietoturva ongelma, jos se on toteutettu NodeJS/NPM kirjastoa käyttämällä.

Kun Suomi.fi tunnistautumista käyttäviä tahoja on yli 700, niin varmasti riittää myös haavoittuvia järjestelmiä. Tämä siis vaatii toimenpiteitä niiltä, jotka ovat omaan järjestelmäänsä toteuttaneet Suomi.fi tunnistautumisen.

Digi- ja väestötietoviraston ylläpitämässä suomifi-passport-saml -kirjastossa on havaittu vakava tietoturvahaavoittuvuus, joka voi vaarantaa asiointipalvelun tietoturvallisen käytön. Haavoittuvuuden korjaaminen edellyttää organisaatioilta välittömiä korjaustoimenpiteitä.

palveluhallinta.suomi.fi

Löydät Suomi.fi-palveluiden ohjeet Suomi.fi kehittäjille-sivustolta 30.10.2024 alkaen - Suomi.fi kehittäjille

palveluhallinta.suomi.fi palveluhallinta.suomi.fi
Napsauta laajentaaksesi...

On related note, noihan aikoo luopua tuosta omasta forkista.

We are trying to get away from this fork and move to use upstream 'passport-saml' because it currently has almost all features which this fork has offered.
Napsauta laajentaaksesi...

Toivon mukaan aikovat ylläpitää jotain ohjeita (ja tietoturvapuoltakin) Suomi.fin käytön helpottamiseksi (jatkossakin).
 
S-pankissa "äärimmäisen epätodennäköinen mutta mahdollinen sattuma" – Janin näytölle lävähti tuntemattoman miehen tilitiedot
www.mtvuutiset.fi

Tuntemattoman miehen tilitiedot lävähtivät Janin näytölle S-Pankissa – "Äärimmäisen epätodennäköinen sattuma"

S-pankin verkkopalvelussa on viikonloppuna tapahtunut outo sattumus. Keskisuomalaine miehen yritys avata verkkopankkinsa johtikin tuiki tuntemattoman miehen tilitietojen paljastumiseen.
www.mtvuutiset.fi www.mtvuutiset.fi

Jotenkin tuossa uutisen selityksessä haiskahtaa joku. Ettei olisi taas joku reikä S-Pankin järjestelmissä.
 
Hyrava sanoi:
Jotenkin tuossa uutisen selityksessä haiskahtaa joku. Ettei olisi taas joku reikä S-Pankin järjestelmissä.
Napsauta laajentaaksesi...
Pankin selitys:

– Yrittäessään kirjautua verkkopankkiin asiakkaamme oli näppäillyt käyttäjätunnuksensa väärin, kuten voi käydä kenelle tahansa. Tuo näppäilty numerosarja sattui valitettavasti olemaan toisen asiakkaan käyttäjätunnus. Toinen asiakas oli puolestaan saanut S-mobiili-sovellukseensa vahvistuspyynnön verkkopankkiin kirjautumisesta, jonka tämä oli epähuomiossa hyväksynyt, Holmberg kertoo sähköpostitse.
Napsauta laajentaaksesi...
Ihan mahdollinen harvinainen tilanne. Se toinen asiakas oli toiminut harkitsemattomasti kun oli hyväksynyt väärän vahvistuspyynnön (molemmissa näkyy sellainen lyhyt merkkijono jotka pitää katsoa että ne mätsää ennen vahvistusta).
 
  • Tykkää
Reactions: hmb
Pankin selitys:
Ihan mahdollinen harvinainen tilanne. Se toinen asiakas oli toiminut harkitsemattomasti kun oli hyväksynyt väärän vahvistuspyynnön (molemmissa näkyy sellainen lyhyt merkkijono jotka pitää katsoa että ne mätsää ennen vahvistusta).

Siis kirjaudutaanko S-pankkiin muka vain käyttäjätunnuksella, jonka jälkeen tulee sitten vahvistuspyyntö kirjautumisesta luuriin?
Ainakin Danske Bankissa pitää olla sekä käyttäjätunnus, että lisäksi salasana, jonka jälkeen vasta aletaan pyytelee vahvistuksia (riippuen valinnasta, joko mobiili appiin pelkkä vahvistus, taikka sitten erillisellä 2FA laitteella kolmas koodi vielä), eli tuollainen ei ole lähes mitenkään mahdollista silloin... Luulin että kaikki toimisi tällei järkevästi.
 
=JP= sanoi:
Siis kirjaudutaanko S-pankkiin muka vain käyttäjätunnuksella, jonka jälkeen tulee sitten vahvistuspyyntö kirjautumisesta luuriin?
Ainakin Danske Bankissa pitää olla sekä käyttäjätunnus, että lisäksi salasana, jonka jälkeen vasta aletaan pyytelee vahvistuksia (riippuen valinnasta, joko mobiili appiin pelkkä vahvistus, taikka sitten erillisellä 2FA laitteella kolmas koodi vielä), eli tuollainen ei ole lähes mitenkään mahdollista silloin... Luulin että kaikki toimisi tällei järkevästi.
Napsauta laajentaaksesi...
Täältä voi käydä katsomassa. Vaihtoehtoina: S-mobiili tunnistus (QR-koodi TAI käyttäjätunnus (tässä ei salasanaa kysytä)), tai tunnuslukutaulukolla (käyttis+salasana+tunnuslukutaulukon tunnus+mahdollinen txtviestivahvistus).
 
=JP= sanoi:
Pankin selitys:
Ihan mahdollinen harvinainen tilanne. Se toinen asiakas oli toiminut harkitsemattomasti kun oli hyväksynyt väärän vahvistuspyynnön (molemmissa näkyy sellainen lyhyt merkkijono jotka pitää katsoa että ne mätsää ennen vahvistusta).

Siis kirjaudutaanko S-pankkiin muka vain käyttäjätunnuksella, jonka jälkeen tulee sitten vahvistuspyyntö kirjautumisesta luuriin?
Ainakin Danske Bankissa pitää olla sekä käyttäjätunnus, että lisäksi salasana, jonka jälkeen vasta aletaan pyytelee vahvistuksia (riippuen valinnasta, joko mobiili appiin pelkkä vahvistus, taikka sitten erillisellä 2FA laitteella kolmas koodi vielä), eli tuollainen ei ole lähes mitenkään mahdollista silloin... Luulin että kaikki toimisi tällei järkevästi.
Napsauta laajentaaksesi...
Samaa itsekin ihmettelin kun mielestäni Osuuspankillakin oli mobiilisovelluksen käyttöönotossa oli muistaakseni käyttäjätunnus+salasana ja olikohan avainlukulista ja/tai tekstarivarmennus tms. Ihan pelkällä väärällä käyttäjätunnuksella kuitenkaan tuollainen ei onnistuisi.
 
=JP= sanoi:
Pankin selitys:
Ihan mahdollinen harvinainen tilanne. Se toinen asiakas oli toiminut harkitsemattomasti kun oli hyväksynyt väärän vahvistuspyynnön (molemmissa näkyy sellainen lyhyt merkkijono jotka pitää katsoa että ne mätsää ennen vahvistusta).

Siis kirjaudutaanko S-pankkiin muka vain käyttäjätunnuksella, jonka jälkeen tulee sitten vahvistuspyyntö kirjautumisesta luuriin?
Ainakin Danske Bankissa pitää olla sekä käyttäjätunnus, että lisäksi salasana, jonka jälkeen vasta aletaan pyytelee vahvistuksia (riippuen valinnasta, joko mobiili appiin pelkkä vahvistus, taikka sitten erillisellä 2FA laitteella kolmas koodi vielä), eli tuollainen ei ole lähes mitenkään mahdollista silloin... Luulin että kaikki toimisi tällei järkevästi.
Napsauta laajentaaksesi...
Jotkin pankit pitää käyttäjätunnusta jonain semi salaisena. Noin yleisesti käyttäjätunnus mieletään asiana joka ei ole salainen.

Mobiilivarmenteessa ainakin joskus oli puhelinnumero, joka olisi ihan luottelotieta, siihen sai halutessaan "spämmi" suodatuksen, valitsemalla jonkin lisän.
 
Aikaisemmin OP:n pankkiin pääsi sisään pelkälllä käyttäjätunnuksella ja salasanalla, sitä varmistusta kysyttiin vasta kun siellä koitti "tehdä" jotain. Absoluuttisesti yksityisyyden kannalta tuo ei tietysti ollut niin hyvä, mutta käytännössä se oli kätevä kun koodia ei tarvinnut kaivaa esim saldon takistukseen tms.
 
Microsoftilla kävi pieni "oops"-tilanne:

"This misconfiguration resulted in the potential for unauthenticated access to some business transaction data corresponding to interactions between Microsoft and prospective customers, such as the planning or potential implementation and provisioning of Microsoft services,"

In total, SOCRadar claims it was able to link this sensitive information to more than 65,000 entities from 111 countries stored in files dated from 2017 to August 2022.
Napsauta laajentaaksesi...

www.bleepingcomputer.com

Microsoft data breach exposes customers’ contact info, emails

Microsoft said today that some of its customers' sensitive information was exposed by a misconfigured Microsoft server accessible over the Internet.
www.bleepingcomputer.com www.bleepingcomputer.com

 
Microsoftin sähköpostin salaus ei toimi turvallisesti ja vuotaa tietoja salatuista sähköposteista.
Microsoft ilmoittanut, ettei aijo korjata ongelmaa.
Suositus on olla käyttämättä Microsoftin tarjoamaa sähköpostisalaus ominaisuutta.

labs.withsecure.com

Microsoft Office 365 Message Encryption Insecure Mode of Operation

Microsoft Office 365 Message Encryption (OME) utilitises Electronic Codebook (ECB) mode of operation. This mode is insecure and leaks information about the structure of the messages sent and can lead to partial or full message disclosure.
labs.withsecure.com
 
leripe sanoi:
Microsoftin sähköpostin salaus ei toimi turvallisesti ja vuotaa tietoja salatuista sähköposteista.
Microsoft ilmoittanut, ettei aijo korjata ongelmaa.
Suositus on olla käyttämättä Microsoftin tarjoamaa sähköpostisalaus ominaisuutta.

labs.withsecure.com

Microsoft Office 365 Message Encryption Insecure Mode of Operation

Microsoft Office 365 Message Encryption (OME) utilitises Electronic Codebook (ECB) mode of operation. This mode is insecure and leaks information about the structure of the messages sent and can lead to partial or full message disclosure.
labs.withsecure.com
Napsauta laajentaaksesi...

Joskin toi struktuurin teoreettinen paljastuminen tarpeeksi suurella määrällä haltuun saatuja viestejä tuskin on ongelma, jos ei lähetä raw muotoon renderöityjä jättikokoisia tekstejä, mitä tuossa aika provokatiivisesti esimerkkeinä.
 
Saapas nähdä, onko tällä positiivista vaikutusta tulevaisuutta ajatellen, vai ilmestyykö kohta markkinoille ties mitä "tietoturva" kouluttajia viemään rahoja...
www.yrittajat.fi

Tietoturvaseteli tulee: Tämä siitä kannattaa tietää

Valtioneuvosto on antanut asetuksen tietoturvan kehittämisen tuesta eli niin kutsutusta tietoturvasetelistä.
www.yrittajat.fi www.yrittajat.fi
Määräaikaisella tuella yritykset voivat parantaa järjestelmiensä tietoturvaa ja kehittää tietoturvaosaamistaan.
Tietoturvaseteli on suunnattu yhteiskunnan toiminnan kannalta kriittisten alojen yrityksille.
Uusi asetus tulee voimaan 1. joulukuuta, jolloin tietoturvan kehittämisen tukea voi hakea Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
301 152
Viestejä
5 146 286
Jäsenet
81 952
Uusin jäsen
tto

Hinta.fi

Back
Ylös Bottom