Tietoturvauutiset ja blogipostaukset

[Algron28]

Saapas nähdä, onko tällä positiivista vaikutusta tulevaisuutta ajatellen, vai ilmestyykö kohta markkinoille ties mitä "tietoturva" kouluttajia viemään rahoja...

Tietoturvaseteli tulee: Tämä siitä kannattaa tietää

Valtioneuvosto on antanut asetuksen tietoturvan kehittämisen tuesta eli niin kutsutusta tietoturvasetelistä.

www.yrittajat.fi

Määräaikaisella tuella yritykset voivat parantaa järjestelmiensä tietoturvaa ja kehittää tietoturvaosaamistaan.
Tietoturvaseteli on suunnattu yhteiskunnan toiminnan kannalta kriittisten alojen yrityksille.
Uusi asetus tulee voimaan 1. joulukuuta, jolloin tietoturvan kehittämisen tukea voi hakea Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta.

Iänkaikenhan niitä erinäisiä helppoheikkejä on konsulttipuolella ollut, ettei sinäänsä ihmetyttäisi.

Itse olen omassa työssä joutunut tekemään myös erilaisten isojen asiakkaiden pakollisia tietoturvakoulutuksia ja vuosien mittaan nuo ovat kehittyneet sisällön puolesta melko vähän. Erilaiset tekniset ratkaisut taustalla ovat kyllä vuosien mittaan parantunut mutta ilmeisesti edelleen tietoturvan pahin vihollinen on käyttäjä itse.

 

[simu2020]

Mulla kävi tällainen tapaus. Poistin maksullisen virustorjuntaohjelman ja se kertoi vielä, että meillä tulee sinua ikävä. Laitoin defenderin tilalle, niin eikö mitä virustorjunta firmalta tuli vuoden kuluttua ilmoitus, että olemme laskuttaneet luottokortilta vuoden maksun. Pankki neuvoi vaihtamaan pankkikortin uuteen, niin sitten laskutus loppuu. Tein niin ja eikö mitä, vuoden kuluttua tuli taas ilmoitus, että olemme laskuttaneet luottokorttianne. Soitin taas pankkiin, jossa sanoivat, että uusitaan kortti nyt niin, että varmasti laskutus loppuu. Kysyin, että miten ne ovat voineet löytää minun uusitun kortin tiedot. Pankin virkailija sanoin, että vanhasta kortista menee joitain tietoja uudelle kortille ja sen avulla ovat ehkä saaneet tiedon uudesta kortista. En kysynyt tarkemmin, kun pankin virkailija oli niin vaivautunut. Sanoi sitten, että nyt uusitaan kortti niin, että mitään tietoja ei siirry uuteen korttiin. Osaako täällä kukaan sanoi, miten tuon uusitun kortin virustorjunta firma on voinut selvittää? Siinä kai menee uuteen korttiin joitakin tietoja. Jotenkin kai sen avulla ovat löytäneet uuden kortin tiedot. Nyt odottelen ensi syksyä, että tuleeko taas lasku. Tuo on ulkomainen firma eikä siihen saa millään yhteyttä, vaikka linkkejä tarjoavat, mutta ne eivät johda minnekään.

 

[Algron28]

Mulla kävi tällainen tapaus. Poistin maksullisen virustorjuntaohjelman ja se kertoi vielä, että meillä tulee sinua ikävä. Laitoin defenderin tilalle, niin eikö mitä virustorjunta firmalta tuli vuoden kuluttua ilmoitus, että olemme laskuttaneet luottokortilta vuoden maksun. Pankki neuvoi vaihtamaan pankkikortin uuteen, niin sitten laskutus loppuu. Tein niin ja eikö mitä, vuoden kuluttua tuli taas ilmoitus, että olemme laskuttaneet luottokorttianne. Soitin taas pankkiin, jossa sanoivat, että uusitaan kortti nyt niin, että varmasti laskutus loppuu. Kysyin, että miten ne ovat voineet löytää minun uusitun kortin tiedot. Pankin virkailija sanoin, että vanhasta kortista menee joitain tietoja uudelle kortille ja sen avulla ovat ehkä saaneet tiedon uudesta kortista. En kysynyt tarkemmin, kun pankin virkailija oli niin vaivautunut. Sanoi sitten, että nyt uusitaan kortti niin, että mitään tietoja ei siirry uuteen korttiin. Osaako täällä kukaan sanoi, miten tuon uusitun kortin virustorjunta firma on voinut selvittää? Siinä kai menee uuteen korttiin joitakin tietoja. Jotenkin kai sen avulla ovat löytäneet uuden kortin tiedot. Nyt odottelen ensi syksyä, että tuleeko taas lasku. Tuo on ulkomainen firma eikä siihen saa millään yhteyttä, vaikka linkkejä tarjoavat, mutta ne eivät johda minnekään.

Sulta vaan unohtui kertoa että mikä ohjelma kyseessä oli. Näin niinkuin ihan vaan hyödyllisyyden kannalta.

 

[Pertti_Pasanen_Spede]

Mulla kävi tällainen tapaus. Poistin maksullisen virustorjuntaohjelman ja se kertoi vielä, että meillä tulee sinua ikävä. Laitoin defenderin tilalle, niin eikö mitä virustorjunta firmalta tuli vuoden kuluttua ilmoitus, että olemme laskuttaneet luottokortilta vuoden maksun. Pankki neuvoi vaihtamaan pankkikortin uuteen, niin sitten laskutus loppuu. Tein niin ja eikö mitä, vuoden kuluttua tuli taas ilmoitus, että olemme laskuttaneet luottokorttianne. Soitin taas pankkiin, jossa sanoivat, että uusitaan kortti nyt niin, että varmasti laskutus loppuu. Kysyin, että miten ne ovat voineet löytää minun uusitun kortin tiedot. Pankin virkailija sanoin, että vanhasta kortista menee joitain tietoja uudelle kortille ja sen avulla ovat ehkä saaneet tiedon uudesta kortista. En kysynyt tarkemmin, kun pankin virkailija oli niin vaivautunut. Sanoi sitten, että nyt uusitaan kortti niin, että mitään tietoja ei siirry uuteen korttiin. Osaako täällä kukaan sanoi, miten tuon uusitun kortin virustorjunta firma on voinut selvittää? Siinä kai menee uuteen korttiin joitakin tietoja. Jotenkin kai sen avulla ovat löytäneet uuden kortin tiedot. Nyt odottelen ensi syksyä, että tuleeko taas lasku. Tuo on ulkomainen firma eikä siihen saa millään yhteyttä, vaikka linkkejä tarjoavat, mutta ne eivät johda minnekään.

Visa ja MasterCard tarjoavat tuommoista palvelua yrityksille. Tarkoitus on se jos vaikka Netflix käyttää eikä muista päivittää korttia niin ne tiedot päivittyvät sinne automaattisesti. Identify Merchants Receiving Automatic Card Updates

 

[Leo_Greta]

Mulla kävi tällainen tapaus. Poistin maksullisen virustorjuntaohjelman ja se kertoi vielä, että meillä tulee sinua ikävä. Laitoin defenderin tilalle, niin eikö mitä virustorjunta firmalta tuli vuoden kuluttua ilmoitus, että olemme laskuttaneet luottokortilta vuoden maksun. Pankki neuvoi vaihtamaan pankkikortin uuteen, niin sitten laskutus loppuu. Tein niin ja eikö mitä, vuoden kuluttua tuli taas ilmoitus, että olemme laskuttaneet luottokorttianne. Soitin taas pankkiin, jossa sanoivat, että uusitaan kortti nyt niin, että varmasti laskutus loppuu. Kysyin, että miten ne ovat voineet löytää minun uusitun kortin tiedot. Pankin virkailija sanoin, että vanhasta kortista menee joitain tietoja uudelle kortille ja sen avulla ovat ehkä saaneet tiedon uudesta kortista. En kysynyt tarkemmin, kun pankin virkailija oli niin vaivautunut. Sanoi sitten, että nyt uusitaan kortti niin, että mitään tietoja ei siirry uuteen korttiin. Osaako täällä kukaan sanoi, miten tuon uusitun kortin virustorjunta firma on voinut selvittää? Siinä kai menee uuteen korttiin joitakin tietoja. Jotenkin kai sen avulla ovat löytäneet uuden kortin tiedot. Nyt odottelen ensi syksyä, että tuleeko taas lasku. Tuo on ulkomainen firma eikä siihen saa millään yhteyttä, vaikka linkkejä tarjoavat, mutta ne eivät johda minnekään.

Toi kuulostaa omaan korvaan siltä, että pankki mokas ja on sitä kautta korvaus velvollinen asiassa. Edellyttää tietenkin, että sulla on näyttää toteen, että tilaus on katkaistu. Ei ole pankin asiakkaan ongelma, jos pankki vuotaa tietoja firmalle ja jatkaa laskutusta sitä kautta, vaikka asiakas on katkaissut tilauksen firman tuotteesta X.

Vaaditko muuten firmalta, tai pankilta rahojen palautusta?

 

[pulatunnus]

Suositus on olla käyttämättä Microsoftin tarjoamaa sähköpostisalaus ominaisuutta.

https://labs.withsecure.com/advisor...message-encryption-insecure-mode-of-operation

Jos oikein ymmärsin niin salaus ei suoranaisesti vuoda, vaan sitä että salataan palasina, joka voi helpottaa osittaista murtamista. Ominaisuuden käyttämättä jättäminen taasen tarkoittaa että viestit on selkokielisiä.

Jos vastuussa organisaation tietoturvasta, niin kannattaa toki selivitellä riskit, ennen kuin postaa käyttäjille käyttökiellosta.
Siinä sitten onkin selviteltävää onko kukaan käyttänyt niin että GDPR alaista vuotia tullut.

 

[simu2020]

Tuo tapaus oli vain sellainen, että kun olin lopettamassa tuota virusturvaa, niin yritin löytää miten poistan sen, että ei jatku tilaus. Ajattelin sitten, että kyllä ohjelman poisto riittää. Tuo kun sitten lähettivät jatko veloituksen, niin siinä oli ruksattuna jatkuva tilaus. Sen poistamisen firma oli hoitanut niin, että kun sitä yrittää ruksia pois, niin tulee ponnahdusikkuna jossa voi ruksin poistaa. Monet selaimet taas estävät ponnahdusikkunat, joten sitä ei aina näe. Tuo käytäntöhän kertoo, että firma ei haluakaan, että asiakas pääsee sen poistamaan ja vaikka poistais sen, niin mikään ei takaa, etteikö firman ohjelma laita sitä takaisin. Tämän takia pankki ei lähtenyt viemään asiaa eteenpäin, ymmärsin, että tuota oli joskus yritetty, mutta kun firma esittää, että on jatkuva tilaus, niin ei kai siinä voi silloin mitään. Kaikkiaaan ihan rikollista toimintaa. Lisäksi sieltä ei koskaan tullut mitään vastinetta tai mitään tietoa mistään. Virusohjelma oli valmiina uudessa koneessa ja kun tarjosivat eka vuotena edullisesti, niin otin sen. Harva tavan tallaaja heti aluksi poistaa koneesta virusturvan, vaan monet ottavat sen mikä koneessa tulee mukana. Virusfirma oli McAfee, enkä enää koskaan oli missään tekemisessä ko. firmaan. Netissä on paljon kysymyksiä, että miten voi lopettaa McAfeen tilauksen eli ongelma on hyvin tiedossa.

 

[ojisama]

Tuo tapaus oli vain sellainen, että kun olin lopettamassa tuota virusturvaa, niin yritin löytää miten poistan sen, että ei jatku tilaus. Ajattelin sitten, että kyllä ohjelman poisto riittää. Tuo kun sitten lähettivät jatko veloituksen, niin siinä oli ruksattuna jatkuva tilaus. Sen poistamisen firma oli hoitanut niin, että kun sitä yrittää ruksia pois, niin tulee ponnahdusikkuna jossa voi ruksin poistaa. Monet selaimet taas estävät ponnahdusikkunat, joten sitä ei aina näe. Tuo käytäntöhän kertoo, että firma ei haluakaan, että asiakas pääsee sen poistamaan ja vaikka poistais sen, niin mikään ei takaa, etteikö firman ohjelma laita sitä takaisin. Tämän takia pankki ei lähtenyt viemään asiaa eteenpäin, ymmärsin, että tuota oli joskus yritetty, mutta kun firma esittää, että on jatkuva tilaus, niin ei kai siinä voi silloin mitään. Kaikkiaaan ihan rikollista toimintaa. Lisäksi sieltä ei koskaan tullut mitään vastinetta tai mitään tietoa mistään. Virusohjelma oli valmiina uudessa koneessa ja kun tarjosivat eka vuotena edullisesti, niin otin sen. Harva tavan tallaaja heti aluksi poistaa koneesta virusturvan, vaan monet ottavat sen mikä koneessa tulee mukana. Virusfirma oli McAfee, enkä enää koskaan oli missään tekemisessä ko. firmaan. Netissä on paljon kysymyksiä, että miten voi lopettaa McAfeen tilauksen eli ongelma on hyvin tiedossa.

Ohjelman poistohan ei poista tilausta yleensäkään. Mutta mitä itse koittaisin, on ottaa yhteyttä noiden tukeen, kun nähtävästi kertovat, että sitä kautta voi hakea refundia. Siellä näytti olevan vaihtoehto "unexpected renewal" tjsp.

https://www.mcafee.com/support/?articleId=TS102797&page=shell&shell=article-view

(Ei videon perusteella muuten ole ponnahdusikkuna vaan overlay elementti, jonka selaimet kyllä näyttää)

 

[Algron28]

Tuo ohjelman poistaminen ja sen perusteella olettaminen että myös jatkuva tilaus peruuntuu on vähän sama kuin että poistaisi netflixin sovelluksen puhelimesta ja olettaisi että tilaus päättyy samalla.

 

[simu2020]

Mää en usko mihinkään, mitä McAfee kirjoittaa. Yritin todella eri vaihtoehdoilla yhteyttä, mutta mikään linkki ei johtanut mihinkään. Jos tämä toimisi, niin ei kai maailmalla olis niin paljon kysymyksiä tuon tilauksen päättämisestä. Eihän tuossa suurista summista oli kyse, mutta harmittaa, kun tulee huijatuksi. Netissä on myös ohjeita siitä, kuinka helppoa tilauksen päättäminen on, siis varmaan McAfeen kirjoittamana, mutta käytäntö on sitten toista. Nythän luottokorttien voimassaolo päättyy joskus kaikilla ja tilataan uusi ja harvoin kukaan muistaa ilmoittaa uuden kortin tietoja eli McAfee jotenkin hoitaa homman niin, että selvittävät uuden kortin tiedot ja laskutus jatkuu. Tuo olis mukava tietää, miten tuon homman tekevät, nehän tietävät tietotekniikasta kuitenkin kaiken.

 

[=JP=]

Nythän luottokorttien voimassaolo päättyy joskus kaikilla ja tilataan uusi ja harvoin kukaan muistaa ilmoittaa uuden kortin tietoja eli McAfee jotenkin hoitaa homman niin, että selvittävät uuden kortin tiedot ja laskutus jatkuu. Tuo olis mukava tietää, miten tuon homman tekevät, nehän tietävät tietotekniikasta kuitenkin kaiken.

Sinulle jo kertaalleen kerrottiin miten tuo luultavasti tapahtui, koska luottokorttiyhtiöt mahdollistavat nykyään tuollaisen palvelun...

 

[=JP=]

Sitten tälläinen uutinen, kertoo taasen miten pihalla monet päättäjätkin ovat tietoturva asioissa...

Kansanedustaja käyttää metron avointa wifiä – ”Tämän on oltava vitsi”

Vasemmistoliiton kansanedustaja Anna Kontulan Twitter-avaus on aiheuttanut kummastusta. Tietoturva-asiantuntija pitää toimintaa hälyttävänä.

www.iltalehti.fi

Mitähän päivityksiä siellä muka on ollut, jotka ei mobiilidatan yli ole onnistunut (vieläkö iPhone estää käyttöjärjestelmä päivitykset Suomessa mobiilidatan kautta?).

Mutta kyllä nyt pitäisi olla sen verta järkeä päässä, että työpuhelimella ei p*rseillä, etenkin jos kyse jostain maan hallituksen tietoturvasta. Mutta onhan näitä tapauksia nähty jatkuvasti ympäri maailmaa tapahtuvan...
Älypuhelin on kirous mielestäni, kun kyse on erittäin tärkeistä/salaisista asioista monessakin tapauksessa.

 

[pulatunnus]

Sitten tälläinen uutinen, kertoo taasen miten pihalla monet päättäjätkin ovat tietoturva asioissa...
https://www.iltalehti.fi/digiuutiset/a/4a2b8852-2674-4051-9a82-e5f99df5eb59

Mitähän päivityksiä siellä muka on ollut, jotka ei mobiilidatan yli ole onnistunut (vieläkö iPhone estää käyttöjärjestelmä päivitykset Suomessa mobiilidatan kautta?).

Mutta kyllä nyt pitäisi olla sen verta järkeä päässä, että työpuhelimella ei p*rseillä, etenkin jos kyse jostain maan hallituksen tietoturvasta. Mutta onhan näitä tapauksia nähty jatkuvasti ympäri maailmaa tapahtuvan...
Älypuhelin on kirous mielestäni, kun kyse on erittäin tärkeistä/salaisista asioista monessakin tapauksessa.

Tuossa osoittaisin ko laitoksen tieturvaosastoa, ne jotka ylläpitää laitteita. Jos firman laitteella sallittu avoimien wifi verkkojen käyttö, niin se on harkittu päätös, tai ainakin pitäisi olla harkittu, johon ehkä kuuluu jotain muitakin tekijöitä.

Tosin en ihan varma mitä tuossa avoimella tarkoitetaan, No jos käyttäjä voi liittyä vapaasti ns suljettuihin WLAN verkkoihin, niin se on riski, onko isoa riski eroa johonkin metroverkkoon. (en nyt osaa sano miten se metron avoin on toteutettu)

 

[Infy]

Avoimet langattomat verkot, siis salaamattomat, missä muut saman verkon käyttäjät näkevät verkkoliikenteesi, ei ole enää niin iso ongelma kuin joskus muinoin. Tänä päivänä käytönnässä kaikki verkkoliikenne on HTTPS-salattua.

 

[pulatunnus]

Avoimet langattomat verkot, siis salaamattomat, missä muut saman verkon käyttäjät näkevät verkkoliikenteesi, ei ole enää niin iso ongelma kuin joskus muinoin. Tänä päivänä käytönnässä kaikki verkkoliikenne on HTTPS-salattua.

Se salaa sisältöä, mutta paljon selkokielistä.

Tosin siihen aikaan kun liikenne sisältöineen kulki salaamatta, mm sähköpostit, niin siihen verrattuna toki eri. Ei mene läpi jos väittää twitterin tilin kaapatun tuon takia....

Noissa käyttäjä voi vapaasti liittyä verkkoihin saattaa tarkoittaa myös sitä että vihollinen voi tehtä feikki tukiasemia, esim kohteen kodin tuntumaan ja kohde liittyykin kotiverkon sijaan vihamieliseen verkkoon, jolloin paljon enemmän välineitä vs kuunelle jotain liikennettä.

Tosin lähtökohta noissa työntekijöiden kotiin kannettavissa laitteissa että ne ovat yhteydessä verkkoon jossa oletetaan olevan vihamielinen tahoa. (jos siis laitteella voi ja saa liittyä julkiseen nettiin)

 

[Agent_007]

Se salaa sisältöä, mutta paljon selkokielistä.

DNS taitaa olla suurin jäljellä oleva (DoH:ia ja DoT:ia on ainakin itselle tullut vastaan toistaiseksi aika vähän). Ja jos on työpaikan puolesta VPN aina päällä niin ongelma on aika olematon. Valtiolliset toimijat voivat kuitenkin hyökätä ihan WPA2-verkkojakin vastaan, ja WPA3:sta näkyy harmillisen vähän missään.

 

[Euphemos]

Qatar vaikuttaa olevan tiukasti Kiinan viitoittamalla tiellä:

Everyone going to the World Cup must have this app - experts are now sounding the alarm

Security experts believe Qatar's required mobile app will be like giving the World Cup country's authorities the key to your house.

www.nrk.no

 

[Agent_007]

Ensi viikolla on luvassa päivitys OpenSSL:n 3-versiolle. Päivityksessä korjataan kriittinen tietoturva-aukko, jonka tarkemmat tiedot selviävät vasta päivityksen julkaisun yhteydessä.

OpenSSL warns of critical security vulnerability with upcoming patch

We don't have the details yet, but we can safely say that come Nov. 1, everyone -- and I mean everyone -- will need to patch OpenSSL 3.x.

www.zdnet.com

 

[user9999]

Ensi viikolla on luvassa päivitys OpenSSL:n 3-versiolle. Päivityksessä korjataan kriittinen tietoturva-aukko, jonka tarkemmat tiedot selviävät vasta päivityksen julkaisun yhteydessä.

OpenSSL warns of critical security vulnerability with upcoming patch

We don't have the details yet, but we can safely say that come Nov. 1, everyone -- and I mean everyone -- will need to patch OpenSSL 3.x.

www.zdnet.com

Muutamia linkkejä (DAILY NCSC-FI NEWS FOLLOWUP 2022-10-28):

Web Application Security, Testing, & Scanning - PortSwigger

PortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities.

portswigger.net

InfoSec Handlers Diary Blog - SANS Internet Storm Center

Upcoming Critical OpenSSL Vulnerability: What will be Affected?, Author: Johannes Ullrich

isc.sans.edu

 

[Algron28]

Jahas

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

Yli 200 000 suomalaisen Linkedin-käyttäjän tietoja jaettu hakkerifoorumilla

Yli 200 000 suomalaisen Linkedin-käyttäjän tietoja on jaettu hakkerifoorumilla, kertoo F-Secure.

F-Securen mukaan tietoihin kuuluu muun muassa nimiä, puhelinnumeroita ja sähköpostiosoitteita.

F-Securen mukaan tietoja voidaan käyttää hyväksi esimerkiksi tietojenkalasteluun, jolla pyritään saamaan tilitietoja tai muita arkaluonteisia tietoja.

 

[escalibur]

Taitaa olla perus alustan raivausta ja "julkisten" tietojen indeksointia. Muistaakseni tästä oli vastaava case joskus aiemminkin.

Luultavasti tästä aiheutuu jonkinlainen kalasteluviestien hyökkäysaalto.

 

[user9999]

Muutamia linkkejä (DAILY NCSC-FI NEWS FOLLOWUP 2022-10-28):

Web Application Security, Testing, & Scanning - PortSwigger

PortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities.

portswigger.net

InfoSec Handlers Diary Blog - SANS Internet Storm Center

Upcoming Critical OpenSSL Vulnerability: What will be Affected?, Author: Johannes Ullrich

isc.sans.edu

Päivittyvä lista OpenSSL 3.0.0 - 3.0.6 haavoittuvista laitteista.

OpenSSL-2022/software/README.md at main · NCSC-NL/OpenSSL-2022

Operational information regarding CVE-2022-3602 and CVE-2022-3786, two vulnerabilities in OpenSSL 3 - NCSC-NL/OpenSSL-2022

github.com

Tänään julkaistaan klo. 15-19 Suomen aikaa korjaus 3.0.7. Saa nähdä milloin päivitys on saatavilla esim. Ubuntu 22.04 LTS versioon.

 

[user9999]

Päivittyvä lista OpenSSL 3.0.0 - 3.0.6 haavoittuvista laitteista.

OpenSSL-2022/software/README.md at main · NCSC-NL/OpenSSL-2022

Operational information regarding CVE-2022-3602 and CVE-2022-3786, two vulnerabilities in OpenSSL 3 - NCSC-NL/OpenSSL-2022

github.com

Tänään julkaistaan klo. 15-19 Suomen aikaa korjaus 3.0.7. Saa nähdä milloin päivitys on saatavilla esim. Ubuntu 22.04 LTS versioon.

OpenSSL CVE-2022-3786 ja CVE-2022-3602

Vulnerabilities | OpenSSL Library

www.openssl.org

CVE-2022-3786 and CVE-2022-3602: X.509 Email address buffer overflows | OpenSSL Library

www.openssl.org

Kaksi vakavaa haavoittuvuutta OpenSSL 3.0 -versiossa | Kyberturvallisuuskeskus

Tietojen salaamiseen ja salattuun välittämiseen käytetyn OpenSSL-kirjaston versiosta 3.0 on löydetty kaksi vakavaa haavoittuvuutta. Uusin versio 3.0.7 on syytä päivittää mahdollisimman pian. Haavoittuvuudet eivät koske vanhempia 1.1.1 tai sitä edeltäneitä versioita.

www.kyberturvallisuuskeskus.fi

 

[Infy]

Eipä se ollutkaan niin iso reikä mitä maalailtiin.

"Actually exploiting this will be really really hard even for very competent exploit writers, and will require a large number of relatively unlikely scenarios to all align for the exploit writer for it to pan out"

OpenSSL downgrades horror bug after week of speculation

Relax, there's more chance of Babbage coming back to life to hack your system than this flaw being exploited

www.theregister.com

 

[runboy93]

Tämä ei varmaan tullut kellekään yllätyksenä, mutta TikTokilla on varsin vapaa pääsy myös eurooppalaisten dataan:

TikTok Tells European Users Its Staff in China Get Access To Their Data - Slashdot

TikTok is spelling out to its European users of the platform that their data can be accessed by employees outside the continent, including in China, amid political and regulatory concerns about Chinese access to user information on the site. From a report: The Chinese-owned social video app is...

yro.slashdot.org

Voipi olla vain että EU sanoo tähän lopulta oman sanansa, GDPR ja tiedonsäilyvyys EU:n sisällä ja sillain, tai jos on rahaa kuin roskaa niin kuukausittain voi tiktok maksaa GDPR mätkyt.

 

[JiiPee]

Varmasti sanookin. Eri asia kiinnostaako TikTokia. Ainahan he voivat vain sanoa, että homma ok, mutta taustalla se jatkuu kuten ennenkin.

Sitten null reititys toktikin palvelimille euroopan laajuisesti niin homma loppuu siihen.

 

[Pakana]

Sitten null reititys toktikin palvelimille euroopan laajuisesti niin homma loppuu siihen.

Käytännössä ei.

Aluksi riittää että tiktok vaan vakuuttaa ettei enää tehdä niin. Jos selviä todisteita datan virtaamidesta kiinaan pystytään keräämään luokkaa vuoden ajan tuon jälkeenkin, byrokratian rattaat lähtee pyörimään.

Siellä on ensin virallisia kirjeitä, vuoden oikeudessa väännön jälkeen jotain uhkasakkoja, ja uhkasakon lankeamisen jälkeen sitä koitetaan periä, jonka jälkeen oikeusruljannssi taas alusta jolla se tiktok oikeasti koitetaan piilottaa.

Käytännössähän sitä ei voida estää, mutta sinne tiktokiin pääseminen voidaan tehdä peruskäyttäjälle hankalaksi, joka tietysti tässä tapauksessa riittää.

Käytännössä tietysti koko tiktok voi olla käytännössä kuollut 5 vuoden aikana.

 

[ojisama]

Käytännössä ei.

Aluksi riittää että tiktok vaan vakuuttaa ettei enää tehdä niin. Jos selviä todisteita datan virtaamidesta kiinaan pystytään keräämään luokkaa vuoden ajan tuon jälkeenkin, byrokratian rattaat lähtee pyörimään.

Siellä on ensin virallisia kirjeitä, vuoden oikeudessa väännön jälkeen jotain uhkasakkoja, ja uhkasakon lankeamisen jälkeen sitä koitetaan periä, jonka jälkeen oikeusruljannssi taas alusta jolla se tiktok oikeasti koitetaan piilottaa.

Käytännössähän sitä ei voida estää, mutta sinne tiktokiin pääseminen voidaan tehdä peruskäyttäjälle hankalaksi, joka tietysti tässä tapauksessa riittää.

Käytännössä tietysti koko tiktok voi olla käytännössä kuollut 5 vuoden aikana.

No kyllä noita näemmä maaliin asti saadaan ('vastikään' Instagram):

Record fine for Instagram following EDPB intervention | European Data Protection Board

edpb.europa.eu

Instagram fined ~$403M in EU over children's privacy

A fat fine -- of €405 million -- is headed Instagram's way after European Union privacy regulators came to a decision on a long-running complaint related

techcrunch.com

TikTokinkin tutkinta on käynnissä, vaikka siinä toki vielä kestää

Ireland probes TikTok's handling of kids' data and transfers to China | TechCrunch

Ireland's Data Protection Commission (DPC) has yet another Big Tech GDPR probe to add to its pile: The regulator said yesterday it has opened two

techcrunch.com

 

[escalibur]

Jos joku teistä käyttää uutta tai uudehkoa Lenovon konetta, kannattaa varmistaa että siinä on uusin BIOS/UEFI käytössä.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

Lenovo Notebook BIOS Vulnerabilities - Lenovo Support US

support.lenovo.com

 

[root]

Tarina sattumalta löytyneestä Googlen Pixel puhelinten lukitusruudun ohituksesta (lock screen bypass). Löytäjä sai monen kuukauden jälkeen $70k palkkion.

Accidental $70k Google Pixel Lock Screen Bypass

David Schütz's bug bounty writeups

bugs.xdavidhu.me

Ikävänä yksityiskohtana: joku muu oli aiemmin raportoinut saman bugin, mutta Google ei ollut ryhtynyt toimenpiteisiin.

 

[Desgorr]

Googlelta on tullut hyvä dokumenttisarja tietoturvasta ja siitä miten Google turvaa omia palveluitaan. Jokainen jakso liittyy yhteen Googlella työskentelevään tiimiin ja samoin noissa käydään isompia keissejä läpi. Vahvat suosittelut.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

 

[TenderBeef]

Security Incident December 2022 Update - LastPass

We are working diligently to understand the scope of the incident and identify what specific information has been accessed.

blog.lastpass.com

We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information. Our customers’ passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture.

 

[teppomies]

Ilmeisesti Androidin certejä vuotanu ja niitä käytetty malwaren allekirjoittamiseen. Jos nyt oikein ymmärsin niin vuotaneilla certeillä allekirjotetut ohjelmat voivat ajaa itseään käyttöjärjestelmän oikeuksin.

100 - apvi - Android Partner Vulnerability Initiative - Monorail

bugs.chromium.org

Edit: Jos tuosta bugisivulta nyt oikein ymmärtää, on tämä vissiin ollut jo joitakin kuukausia sisäisesti tiedossa ja nyt vasta julkaistu, eli ehkä on korjattukkin jo nykyisistä android versioista, jos vaan päivitykset on ihmisillä ajantasalla.

 

[pulatunnus]

Ilmeisesti Androidin certejä vuotanu ja niitä käytetty malwaren allekirjoittamiseen. Jos nyt oikein ymmärsin niin vuotaneilla certeillä allekirjotetut ohjelmat voivat ajaa itseään käyttöjärjestelmän oikeuksin.

Tämähän kuullostaa ihan siltä millä devaajat voisi tehdä oikeita älypuhelin sovelluksia.


Edit, io-tech oli tehnyt asiasta uutisen jossa kerrottu seikkaperäisemmin mistä kyse

Googlen palveluksessa työskentelevä insinööri Łukasz Siewierski on havainnut joidenkin OEM-valmistajien käyttämien Android-alustan allekirjoitusvarmenteiden vuotaneen vääriin käsiin. Vuoto on mahdollistanut haittaohjelmien allekirjoittamisen OEM-valmistajien varmententeilla, mikä on tehnyt haitallisten sovellusten tunnistamisesta haastavaa. Koska kyseessä on koko Android-alustan allekirjoitusvarmenne, voidaan samalla varmenteella allekirjoitetulle haittaohjelmalle myöntää koko järjestelmätason käyttöoikeudet. Alla on lueteltu vuodetuilla varmenteilla allekirjoitettuja haittaohjelmia mutta periaatteessa vuoto mahdollistaa myös OEM-valmistajien omien sovellusten saastuttamisen. Allekirjoituksen jälkeen sovellus vaikuttaa turvalliselta ja asentuu päivityksenä edellisen version päälle, minkä jälkeen käyttäjän on liki mahdotonta havaita saastunutta sovellusta.

• com.russian.signato.renewis
• com.sledsdffsjkh.Search
• com.android.power
• com.management.propaganda
• com.sec.android.musicplayer
• com.houla.quicken
• com.attd.da
• com.arlo.fappx
• com.metasploit.stage
• com.vantage.ectronic.cornmuni

Toistaiseksi vuodettuja varmenteita on havaittu muun muassa Samsungilta, LG:ltä ja MediaTekiltä. Google on ollut valmistajiin jo yhteydessä ja pyytänyt heitä uusimaan kyseiset varmenteet. APKMirrorin tietokannan perusteella esimerkiksi Samsung on kuitenkin jatkanut vuodettujen varmenteiden käyttämistä viime päiviin asti. Lisäksi Google kehottaa valmistajia harkitsemaan jatkossa tarkemmin, kuinka usein koko Android-alustan allekirjoitusvarmenteita käytetään yksittäisten sovellusten kohdalla.

Googlen mukaan Play Kaupasta ladatut sovellukset ovat turvallisia mutta OEM-valmistajien tai muiden osapuolten kauppapaikoista ladatut sovellukset saattavat olla saastuneita, sillä varmenteen perusteella sovellukseen ei voida enää luottaa. Esimerkiksi APKMirrror luokittelee sovelluksen turvalliseksi käytetyn allekirjoitusvarmenteen perusteella. Jatkossa käyttäjän tuleekin pitää kaikkia vuodetuilla varmenteilla allekirjoitettuja sovelluksia potentiaalisesti saastuneina.

Spoileri: Kuvakaappaus APKMirrorista

Lähteet:

• Major Android security leak left Samsung and other devices vulnerable to dangerous malware apps
• Samsung, LG, Mediatek certificates compromised to sign Android malware

No hyvis ilmeisesti joutuu ne certit kaivaan hämäriltä kujilta.

 

[user9999]

Apple parantaa iCloud palvelujensa tietoturvaa. Lähinnä lisää end-to-end salausta iCloudin eri juttuihin.

Applelta toivottu parannus tietoturvaan: iCloud-pilvipalvelussa saa pian laajemmin käyttöön päästä päähän -salauksen – kohuttu ”lapsipornoskannaus” kuopattiin samalla

Apple on tänään julkistanut tietoturvaa parantavia uudistuksia palveluihinsa ja ohjelmistoihinsa. Tärkein uudistuksista on valinnainen iCloud-pilvipa

mobiili.fi

Apple advances user security with powerful new data protections

iMessage Contact Key Verification, Security Keys, and Advanced Data Protection for iCloud provide users important new tools to protect data.

www.apple.com

iCloud already protects 14 sensitive data categories using end-to-end encryption by default, including passwords in iCloud Keychain and Health data. For users who enable Advanced Data Protection, the total number of data categories protected using end-to-end encryption rises to 23, including iCloud Backup, Notes, and Photos. The only major iCloud data categories that are not covered are iCloud Mail, Contacts, and Calendar because of the need to interoperate with the global email, contacts, and calendar systems.

Edit: Päivitetty iCloudin suojaus artikkeli (Standard ja Advanced data protection)

iCloud data security overview

iCloud uses strong security methods, employs strict policies to protect your information, and leads the industry in using privacy-preserving security technologies like end-to-end encryption for your data.

support.apple.com

 

[Euphemos]

Linux kernelissä pientä viilattavaa, osa CVE-2022-4378:

oss-security - CVE-2022-4378: Linux kernel stack-based buffer overflow

www.openwall.com

 

[ztec]

Niin monta kertaa kun tässäkin keskustelussa on jauhettu salasanoista, niin nyt ne on vihdoinkin historiaa? Chromeen tuli login manageri, jolla kirjautuminen on helppoa ja turvallista:

Introducing passkeys in Chrome

We announced in October that passkey support was available in Chrome Canary. Today, we are pleased to announce that passkey support is now ...

blog.chromium.org

Sekä keskustelu aiheesta, joka on pyörinyt jo kolmisen vuotta. Mutta tämän verran se vaati aikaa, että saatiin tuotua suoraan selaimeen nuo ominaisuudet laajasti tuettuna:

FIDO2, WebAuthn, Passwordless ja Passkeys

Tetasin tässä päivänä eräänä uusia FIDO2 tokeneita, sekä SoloKeyssiltä, että eWBM:ltä ja nuo parantavat kyllä käyttäjätunnusten hallintaa ja tietoturvaa merkittävästi. Kirjautuminen palveluihin helpottuu olennaisesti ja tietoturva paranee. Jos suinkin mahdollista unohdan vanhentuneet tekniikat...

bbs.io-tech.fi

Ja vielä Iltasanomissakin:
Chrome-selain aloitti salasanojen hylkäämisen: Tämä tulee tilalle

 

[escalibur]

Niin monta kertaa kun tässäkin keskustelussa on jauhettu salasanoista, niin nyt ne on vihdoinkin historiaa?

Mahdollisesti joskus vielä monen monen vuoden päästä. Tämän idea ja kehityssuunta ovat oikeita, mutta niin kauan kuin tuotannossa olevat järjestelmät ja ohjelmistot eivät tue tätä, salasanoista ei olla pääsemässä eroon. Niin ärsyttäviä kuun ne ovatkin.

Microsoftin passwordless-kirjautuminenkaan ei vaikuta aiheutaneen kovinkaan suurta buumia yritysten keskuudessa. Toivotaan parasta ja sitä rataa.

 

[Agent_007]

Microsoftin passwordless-kirjautuminenkaan ei vaikuta aiheutaneen kovinkaan suurta buumia yritysten keskuudessa. Toivotaan parasta ja sitä rataa.

Microsoftin ongelma on se, että tietoturvalla koetetaan tehdä rahaa. esim. Azure Active Directory Premium P1 / P2 maksavat molemmat, ja ovat vaatimus MFA:lle. Ymmärrän kyllä, että tuotesegmenttejä pitää olla, mutta itse en koskaan rahastaisi asiakkaita tietoturvalla, vaan muilla ominaisuuksilla.

 

[Pakana]

Tietoturva on aika iso osa it teollisuutta ja sen rahantekoa.

 

[escalibur]

Tietoturva on aika iso osa it teollisuutta ja sen rahantekoa.

Juurikin näin. Lisäksi tuotekehitys ja asioiden pyörittäminen uskottavalla tavalla, ei vaan ole ilmaista vaikka miten kääntelisi ja ajattelisi. Ymmärrän että paremmalla tietoturvalla kaikki voittaa pitkässä juoksussa, mutta kultaisen keskitien löytäminen vasta tehtävä onkin.

 

[TenderBeef]

SafeBreach Labs Discovers New Zero-Day Vulnerabilities | New Research

See how the vulnerabilities were used to develop an undetectable, next-generation wiper with the potential to impact hundreds of millions of endpoints.

www.safebreach.com

I uncovered multiple zero-day vulnerabilities that I was able to use to turn endpoint detection and response (EDR) and antivirus (AV) tools into next-generation wipers with the potential to impact hundreds of millions of endpoints all around the world.

This wiper runs with the permissions of an unprivileged user yet has the ability to wipe almost any file on a system, including system files, and make a computer completely unbootable. It does all that without implementing code that touches the target files, making it fully undetectable.

 

[=JP=]

SafeBreach Labs Discovers New Zero-Day Vulnerabilities | New Research

See how the vulnerabilities were used to develop an undetectable, next-generation wiper with the potential to impact hundreds of millions of endpoints.

www.safebreach.com

Tähän olisi kannattanut loppuun laittaa vielä, että tuo on korjattu jo ainakin kolmen valmistajan osalta...

Three of the vendors also released new versions of their software or patches to address this vulnerability:

• Microsoft Malware Protection Engine: 1.1.19700.2
• TrendMicro Apex One: Hotfix 23573 & Patch_b11136
• Avast & AVG Antivirus: 22.10

 

[user9999]

Fortinet laitteissa kriittinen haavoittuvuus.

Kriittinen haavoittuvuus Fortinetin FortiOS-ohjelmistossa | Kyberturvallisuuskeskus

Fortinet julkaisi päivityspaketit FortiOS-ohjelmistoon, joka korjaa kriittiseksi luokitellun haavoittuvuuden.

www.kyberturvallisuuskeskus.fi

 

[Agent_007]

Microsoftin sertifikaateilla on jälleen allekirjoiteltu haittaohjelmia

Microsoft digital certificates have once again been abused to sign malware

Code-signing is supposed to make people safer. In this case, it made them less so.

arstechnica.com

 

[user9999]

Apple parantaa iCloud palvelujensa tietoturvaa. Lähinnä lisää end-to-end salausta iCloudin eri juttuihin.

Applelta toivottu parannus tietoturvaan: iCloud-pilvipalvelussa saa pian laajemmin käyttöön päästä päähän -salauksen – kohuttu ”lapsipornoskannaus” kuopattiin samalla

Apple on tänään julkistanut tietoturvaa parantavia uudistuksia palveluihinsa ja ohjelmistoihinsa. Tärkein uudistuksista on valinnainen iCloud-pilvipa

mobiili.fi

Apple advances user security with powerful new data protections

iMessage Contact Key Verification, Security Keys, and Advanced Data Protection for iCloud provide users important new tools to protect data.

www.apple.com

iCloud already protects 14 sensitive data categories using end-to-end encryption by default, including passwords in iCloud Keychain and Health data. For users who enable Advanced Data Protection, the total number of data categories protected using end-to-end encryption rises to 23, including iCloud Backup, Notes, and Photos. The only major iCloud data categories that are not covered are iCloud Mail, Contacts, and Calendar because of the need to interoperate with the global email, contacts, and calendar systems.

Edit: Päivitetty iCloudin suojaus artikkeli (Standard ja Advanced data protection)

iCloud data security overview

iCloud uses strong security methods, employs strict policies to protect your information, and leads the industry in using privacy-preserving security technologies like end-to-end encryption for your data.

support.apple.com

Tuossa jäi vähemmälle huomiolle tuo, että pystyy estämään selaimella pääsyn iCloud.com datoihin. Advanced Data Protection ei toimi vielä Suomessa, mutta tuo iCloud.com esto toimii.

Manage web access to your iCloud data – Apple Support (UK)

Starting with iOS 16.2, iPadOS 16.2 and macOS 13.1, you can choose to turn off web access to your iCloud data.

support.apple.com

Kirjautuminen onnistuu selaimella iCloud.com osoitteeseen Face tai Touch ID käyttäen, mutta datoihin ei pääse kiinni ellei luotetulla laitteella sitä salli.

Spoileri

Harvoin tullut käytettyä tuota iCloud.com selaimella eli esto meni itsellä päälle.

 

[user9999]

Netgearin reitittimissä korjattu haavoittuvuus.

Käytössä Netgearin reititin? Päivitä heti – paha haavoittuvuus korjattu

Netgearin reitittimet on nyt hyvä päivittää viipymättä. Laitevalmistaja kertoo korjatuista haavoittuvuuksista. Netgear on paikannut vakavan haavoit

mobiili.fi

Security Advisory for Pre-Authentication Buffer Overflow on Some Routers, PSV-2019-0208

Associated CVE IDs: None First published: 12/28/2022 NETGEAR has released fixes for a pre-authentication buffer overflow security vulnerability on the following product models: RAX40 fixed in firmware version 1.0.2.60 RAX35 fixed in firmware version 1.0.2.60 R6400v2 fixed in firmware version...

kb.netgear.com

 

[Pakana]

Netgearin reitittimissä korjattu haavoittuvuus.

Käytössä Netgearin reititin? Päivitä heti – paha haavoittuvuus korjattu

Netgearin reitittimet on nyt hyvä päivittää viipymättä. Laitevalmistaja kertoo korjatuista haavoittuvuuksista. Netgear on paikannut vakavan haavoit

mobiili.fi

Security Advisory for Pre-Authentication Buffer Overflow on Some Routers, PSV-2019-0208

Associated CVE IDs: None First published: 12/28/2022 NETGEAR has released fixes for a pre-authentication buffer overflow security vulnerability on the following product models: RAX40 fixed in firmware version 1.0.2.60 RAX35 fixed in firmware version 1.0.2.60 R6400v2 fixed in firmware version...

kb.netgear.com

Oliko tämä nyt se haavoittuvuus joka edellytti että on kirjautunut roottina sisään että sitä pystyi hyödyntämään?

 

[user9999]

Oliko tämä nyt se haavoittuvuus joka edellytti että on kirjautunut roottina sisään että sitä pystyi hyödyntämään?

En tarkemmin tutkinut.

Netgear warns users to patch recently fixed WiFi router bug

Netgear has fixed a high-severity vulnerability affecting multiple WiFi router models and advised customers to update their devices to the latest available firmware as soon as possible.

www.bleepingcomputer.com

Tuossa on maininta
Attackers can exploit this flaw in low-complexity attacks without requiring permissions or user interaction.

 

[Rollerix]

Ja vuorostaan Nortonin salasanamanageri murron kohteena:

https://ago.vermont.gov/wp-content/uploads/2023/01/2023-01-09-NortonLifeLock-Gen-Digital-Data-Breach-Notice-to-Consumers.pdf

Niin tai jos luit tuon tiedotteen, salasanamanageria ei ole murrettu, vaan joidenkin käyttäjien Norton-tunnukset ja salasanat ovat joutuneet jakoon jossain muualla. Ilmeisesti vain asianosaiset ovat tuon tiedotteen saaneet.