Tietoturvauutiset ja blogipostaukset

[ztec]

Menee jo vähän vaikeaksi jos erillisella ohjelma purkaa saalaa, tarkistaa, varsinkin kun ne kuvat, teksti, video ohjelmatkaan ei suorilta tue.

Tuossa oli jo hyvä pointti nuo kuvat, video, jne. Kuvat ja varsinkin video olisi hyvä jättää heti pois jos halutaan pienentää hyökkäyspinta-alaa. Monet video-kodekit ja ajurit jne, on niin monimutkaisia, että ne ovat myös haavoittuvia. Varsinkin silloin jos otetaan mitään vastaan ei 100% luotetusta lähteestä. Samoin PDF, DOCX jne, melkein kaikki formaatit jotka on mitä tahansa muuta kuin ASCII tekstiä ovat tietoturvan kannalta vaarallisia. Vähintään sisällöt pitäisi käsitellä vahvasti eristettynä, eli eri virtuaalikoneessa tai mielummin kokonaan eri laitteella.
Vrt. Ota vastaan viestit laitteella A. Pura sisältö laitteella B, katso sisältö laitteella C. Huolehdi siitä, että ympäristöt B ja C resetoidaan täysin eri kontekstien välillä, eikä liikenne paluusuuntaan ole mahdollista. Jos näin ei tehdä, saattaa tietovuoto mahdolistua paluusuuntaan. - Mutta ei jaksa toistella itsestäänselvyyksiä. Nämä on kaikki varsin hyvin dokumentoitu ja selvitetty tietoturvan perusteissa.

 

[=JP=]

Ihmisen laiskuus, sitä ei korjaa mikään tietoturvaratkaisu nyt tai tulevaisuudessa. Suurin osa ihmisistä haluaa tehdä asiat mahdollisimman helposti, minkä takia sitten aina välillä napsahtaa ikävästi eri tilanteissa...

 

[Obi-Lan]

PGP ongelma on se, että avaimia pitää hallita manuaalisesti ja julkiset,yksityiset avaimet jne menevät jo konseptina todella korkealta ymmärryksen yli melkein kaikilta. IT orientoituneen helppo voi olla toiselle jo äärimmäisen vaikea ja turhauttava toimenpide.

 

[=JP=]

Mielenkiintoinen projekti...

We've Teamed Up With Mullvad VPN to Launch the Mullvad Browser | Tor Project

We have partnered with Mullvad VPN to develop the Mullvad Browser - a Tor Browser without Tor

blog.torproject.org

the Mullvad Browser, a free, privacy-preserving web browser to challenge the all-too-prevalent business model of exploiting people's data for profit.

In short: the Mullvad Browser is Tor Browser without the Tor Network -- a browser that allows anyone to take advantage of all the browser privacy features the Tor Project has created. If people want to connect the browser with a VPN they trust, they can easily do so.

Mullvad Browser applies a "hide-in-the-crowd" approach to online privacy by creating a similar fingerprint for all of its users. The browser's 'out-of-the-box' configurations and settings will mask many parameters and features commonly used to extract information from a person's device that can make them identifiable, including fonts, rendered content, and several hardware APIs. By default, Mullvad Browser has private mode enabled, blocks third-party trackers and cookies, and makes it easy to delete cookies between visiting pages during the same session.

 

[JiiPee]

IETF hyväksyi uuden MLS standardin viestien salaukseen.

Nähtäväksi jää yleistyykö tuo. Tarkoituksena olisi tietysti saavuttaa se, mitä PGP:n oli tarkoitus tehdä. Eli että salatut viestit toimivat ristiin eri alustojen kanssa. Ja toimiihan se PGP:llä ihan mainiosti, mutta ihmiset eivät vain viitsi välittää ja käyttää sitä.

PGP aivan liian monimutkainen härveli tavan tallaajalle. Kyllähän se sähköpostin end to end salaus vaatisi sen että SMTP:stä julkaistaisiin 2.0 jossa moiset kikottimet olisi pakollisena eli natiivisti koko roskassa.

 

[ojisama]

vaatisi sen että SMTP:stä julkaistaisiin 2.0

NSMTP 1.0

 

[pulatunnus]

Ihmisen laiskuus, sitä ei korjaa mikään tietoturvaratkaisu nyt tai tulevaisuudessa. Suurin osa ihmisistä haluaa tehdä asiat mahdollisimman helposti, minkä takia sitten aina välillä napsahtaa ikävästi eri tilanteissa...

Jos tuo oli kommentti tuolle PGPlle.

Niin en pistä sen käyttämättömyyttä laiskuudeksi tai viitseliäisyyden puutteeksi.

Kyse on enemmän siitä mitä palveluntarjoajilta vaaditaan, jos viestisovellusten asiaksohjelmissa olisi pakko olla tuki PGPlle, niin sekin vasta mahdollistaisti, mutta siitä vielä pitkä matka siihen että kyse olisi pelkästään viitseliäisyydestä.

Jos miettii viestipalveluden ominaisuuksia, palveluita, niin niiden täysi toiminnallisuus vaatii sitä että palveluntarjoajan palvelimilla pitää ne viestit olla purettuna.

Kannatan kyllä eriviestipalveluiden pakottavaa tukea 3. osapuolen salauksilla, joilla esim PGP käyttö olisi jouhevaa. Tosin se olisi kyllä myös uusi turvallisuus riski.

Pitäs olla myös joku luotettu taho tai menetelmä millä ne varmennetaan, tarve aika kirjava. Taho/mentelmä miten ne privaatit hallitaan. Ei mikään tämä nyt 10-15v ja hups tilalle joku toinen.

Joo, on meilla henkilökortti, mutta kuka sitäkään käyttää, ja sen lisäksi tarve "virtaalisten" identtiteettien varmentamiseen.

Suurin osa ihmisistä haluaa tehdä asiat mahdollisimman helposti, minkä takia sitten aina välillä napsahtaa ikävästi eri tilanteissa...

Ehdottomasti haluaa tehdä asiat mahdollisimman helposti, ihan ykkös juttu.

Jos kyse vain "rahasta" niin se lasketaan kuinka paljon kannattaa ottaa riskiä helppouden takia. Esim maksukortit , kannattanut tehdä käytöstä helpopa, vaikka välistä hävisi rahaa.

Näissä sisältö riskeissä, missä kaikkia menetettävä on "yhdessä paikkaa", niin kyse ei ole enään siitä että menetetään joku prosentti, vaan menetettään kaikki tai ei mitään.


Edit:
Sori, en vaan osaa, tarkoitus olla iloinen, positiivinen, ja kiittää postauttasi, mutta en vaan osaa, kuullostaa tylyltä.

 

[=JP=]

Western Digital tietoihin on päästy käsiksi reilu viikko sitten, pilvipalvelut ainakin nurin tällä hetkellä...

Western Digital discloses network breach, My Cloud service down

Western Digital announced today that its network has been breached and an unauthorized party gained access to multiple company systems.

www.bleepingcomputer.com

- Western Digital announced today that its network has been breached and an unauthorized party gained access to multiple company systems.
- security incident was identified last Sunday, on March 26.
- Based on evidence found so far, the company believes that the intruder had access to some of the company data.
- My Cloud service down, service status page notes that the issue is affecting the following products: My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi, SanDisk Ixpand Wireless Charger.

 

[SamCer]

Western Digital tietoihin on päästy käsiksi reilu viikko sitten, pilvipalvelut ainakin nurin tällä hetkellä...

Western Digital discloses network breach, My Cloud service down

Western Digital announced today that its network has been breached and an unauthorized party gained access to multiple company systems.

www.bleepingcomputer.com

- Western Digital announced today that its network has been breached and an unauthorized party gained access to multiple company systems.
- security incident was identified last Sunday, on March 26.
- Based on evidence found so far, the company believes that the intruder had access to some of the company data.
- My Cloud service down, service status page notes that the issue is affecting the following products: My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi, SanDisk Ixpand Wireless Charger.

Tää viikko/kuukausi tuntuu olevan jotain reikien aikaa... Toki hyvä sinänsä, että ne löydetään ja rapoirtoidaan, mutta nyt on ollut IMHO pahoja, esim. @ztec linkkaama Microsoftin reikä, josta media ei oman tiedon mukaan pahemmin pitäny ääntä.

Pelkästään tätä ketjua seuraamalla, niin tuntuu et joka päivä tulee ilmi uusi vuoto/aukko/uhka.

 

[ztec]

In short: the Mullvad Browser is Tor Browser without the Tor Network -- a browser that allows anyone to take advantage of all the browser privacy features the Tor Project has created. If people want to connect the browser with a VPN they trust, they can easily do so.

Ja pikaisella testauksella tuli heti hylsyä tuon suhteen. Ei kyllä yllätä, niin tulee Tor-browserillakin. Kumpikaan ei siis oikeasti aja asiaansa.

Edit: Erityistunnustus noista pulatunnuksen pulautuksista tuolla viestien lopussa. Ne on ihan mahtavia, piristänyt päivää monta kertaa. Haha.

 

[SamCer]

Ja pikaisella testauksella tuli heti hylsyä tuon suhteen. Ei kyllä yllätä, niin tulee Tor-browserillakin. Kumpikaan ei siis oikeasti aja asiaansa.

Edit: Erityistunnustus noista pulatunnuksen pulautuksista tuolla viestien lopussa. Ne on ihan mahtavia, piristänyt päivää monta kertaa. Haha.

Mistä toi testi löytyy?

 

[ztec]

Mistä toi testi löytyy?

Am I Unique ?

Check if your browser has a unique fingerprint, how identifiable you are on the Internet

www.amiunique.org

Edit, lisätään vielä toinenkin klassikko:

Cover Your Tracks

See how trackers view your browser

coveryourtracks.eff.org

Yksityisyys oppaasta on julkaistu myös uusi versio pari päivää sitten. Tämä perustietoa, joka jokaisen pitäisi lukea ja ymmärtää, ennen kuin osallistuu tietoturva keskusteluihin.
The Hitchhiker’s Guide to Online Anonymity

 

[kaakau<"'\\/>]

Ja pikaisella testauksella tuli heti hylsyä tuon suhteen. Ei kyllä yllätä, niin tulee Tor-browserillakin. Kumpikaan ei siis oikeasti aja asiaansa.

Tor-Browserille tulee jos pitää JavaScriptin päällä näköjään. Estettynä tulee no:ta. Oletus toki on, että on sallittuna ja sillä on merkitystä.

 

[SamCer]

Tor-Browserille tulee jos pitää JavaScriptin päällä näköjään. Estettynä tulee no:ta. Oletus toki on, että on sallittuna ja sillä on merkitystä.

Muistanko oikein, et Tor-browserin ikkunan kokoa ei saanu säätää, jos halus pitää tuon fingerpritin sellasena, että sitä ei voi yksilöidä?

 

[kaakau<"'\\/>]

Muistanko oikein, et Tor-browserin ikkunan kokoa ei saanu säätää, jos halus pitää tuon fingerpritin sellasena, että sitä ei voi yksilöidä?

Voi olla, ainakin mulla se aukeaa aina näköjään 1000x985-kokoisena.

 

[SamCer]

Voi olla, ainakin mulla se aukeaa aina näköjään 1000x985-kokoisena.

Itellä on joku hämärä kuva, että se antoi joskus aikoinaan jopa varoituksen, jos sitä ikkunan kokoa meni muuttamaan. Siittä on tosin todella pitkä aika kun on ollu tarvetta käyttää sitä.

 

[ojisama]

Itellä on joku hämärä kuva, että se antoi joskus aikoinaan jopa varoituksen, jos sitä ikkunan kokoa meni muuttamaan. Siittä on tosin todella pitkä aika kun on ollu tarvetta käyttää sitä.

Viewportin koko on yksi tunnistusperuste, joskin oletettavasti harvemmin itsenään uniikki.

 

[ztec]

Viewportin koko on yksi tunnistusperuste, joskin oletettavasti harvemmin itsenään uniikki.

Se voi olla hyvinkin uniikki. Esim. fonttikoko, fontti, jne kaikki vaikuttaa siihen. Millaiset tool barit on käytössä tms. Eli joo, ei välttämättä sinänsä uniikki, mutta silti kuitenkin "hyvin harvinainen", eli tyyliin alle 1% todennäköisyys. Itseasiassa, paljon pahempi kuin tuo mun heittämä arvaus 1%.

Noistakin hiteistä mitkä tohon on laskettu, saattaa olla 1-2 mun omia. Eli voi olla täysin uniikki. Ja tuollakin luvulla toi on siis yksi sadastatuhannesta käyttäjästä tms.

Suora poiminta testistä:

Screen width	0.11%	3072
Screen height	0.10%	1728

 

[=JP=]

Ihan mukava lisäys tulossa Android puolelle, eli käyttäjä voi vaatia tietojen poistoa suoraan sovelluksesta taikka jotain muuta kautta vaikka olisi jo poistanut sovelluksen.

Understanding Google Play’s app account deletion requirements - Play Console Help

Google Play’s data deletion badge and Data deletion area within the Data safety section give users a new set of transparency and controls over their user data while providing developers a way to showc

support.google.com

Our policy requires that if your app allows users to create an account from within your app, then it must also allow users to request for their account to be deleted.

Googlelta uusi vaatimus Android-sovelluksille – helpottaa käyttäjän tietojen poistamista

Android-käyttäjät voivat pian poistaa sovellusten itsestään tallentamia tietoja aiempaa helpommin. Google valmistelee sovelluskehittäjiä velvoittavaa

mobiili.fi

 

[escalibur]

USA:n hallinto on ryhtymässä jonkinlaisiin toimenpiteisiin venäläistä Kasperskyä vastaan.

US weighs action against Russian cybersecurity firm Kaspersky Lab -WSJ

The U.S. Department of Commerce is weighing an enforcement action against Russian cybersecurity company Kaspersky Lab, the Wall Street Journal reported on Friday citing people familiar with the matter.

www.reuters.com

Yritystä on aiemminkin epäilty sidoksista venäläiseen hallintoon, mutta ilmeisesti näytteet asiasta olivat aika rajalliset. Saa nähdä miten nyt käy, vaikka yrityksen tulevaisuus (ja uskottavuus) länsimaissa on enemmän kuin epävarma. Kaspersky on aiemminkin tarjonnut lähdekoodinsa tarkistamista Kaspersky Transparency Center | Kaspersky mutta kyse voi olla pelkästä näytelmästäkin.

Yhtiö on kuitenkin verovelvollinen Venäjään, joten se voi monille olla ylitsepääsemätön asia oli se kuinka ”läpinäkyvä” tahansa.

 

[leripe]

Onhan F-Securen (WithSecuren) tuotteidenkin kehitystä ja koodausta tehty osittain venäjällä. En tiedä tehdäänkö vieläkin.
Ei se silti suoraan tarkoita mitään, mutta toki hieman eri tilanne kuin Kaspersky.

 

[Algron28]

Kaspersky:n kohdalla vaan taitaa olla se että on valtiollisesti kiinnostava yritys ja Venäjällä yritysten on pakko tehdä yhteistyötä valtion kanssa tai..... Varsinkin nykyään.

 

[debuggeri]

Am I Unique ?

Check if your browser has a unique fingerprint, how identifiable you are on the Internet

www.amiunique.org

Edit, lisätään vielä toinenkin klassikko:

Cover Your Tracks

See how trackers view your browser

coveryourtracks.eff.org

Yksityisyys oppaasta on julkaistu myös uusi versio pari päivää sitten. Tämä perustietoa, joka jokaisen pitäisi lukea ja ymmärtää, ennen kuin osallistuu tietoturva keskusteluihin.
The Hitchhiker’s Guide to Online Anonymity

Lueskelin hieman tuota, peli taitaa olla menetetty.
”Wear sunglasses in addition to the facemask and baseball cap to mitigate identification from your eye’s features.”

 

[Obi-Lan]

Liekkö suurin ongelma Kasperskyn kanssa, jos se lataa koneelta palvelimelle epäilyttävän tiedoston lisätarkistusta varten ja se sattuukin olemaan vaikka US salainen asiakirja mikä ladataan venäläiselle palvelimelle "tarkistettavaksi" virusten varalta.

 

[ztec]

Lueskelin hieman tuota, peli taitaa olla menetetty.
”Wear sunglasses in addition to the facemask and baseball cap to mitigate identification from your eye’s features.”

Ei ole valitettavasti vitsi. Jo vuonna 2015 uutisoitiin, että silmän skannaus onnistuu 12 metrin päästä ja tuosta on kohta 10 vuotta, joten voisi olettaa, että nykyjään se onnistuu vielä reilusti kaueampaa paikoissa joissa em. laitteet on asennettu. Mikään ei estä tekemästä tuota suoraan valvontakameroiden yhteydessä.

Retina skanni on tehty ja testattu. Mutta se ei onnistu kaukaa vaan pitää lukea hyvin läheltä ja oikeasta kohdasta. Oli ihan mielenkiintoinen kokemus, kuvat ja fingerpritin sai myös omaan talteen.

 

[=JP=]

Tällä kertaa MSI on joutunut hakkereiden kohteeksi, mutta MSI ei ole kertonut mihin on päästy käsiksi, mutta varoittelee käyttäjiä lataamasta BIOS/firmware tiedostoja muualta kuin virallisilta sivuilta...

Taiwanese PC Company MSI Falls Victim to Ransomware Attack

Taiwanese PC company MSI confirms cyber attack on its systems and urges users to only download firmware/BIOS updates from its official website.

thehackernews.com

- MSI did not disclose any specifics about when the attack took place and if it entailed the exfiltration of any proprietary information, including source code.
- MSI is further urging users to obtain firmware/BIOS updates only from its official website, and refrain from downloading files from other sources.

MSIn oma virallinen tiedote:

MSI Global - The Leading Brand in High-end Gaming & Professional Creation

As a world leading gaming brand, MSI is the most trusted name in gaming and eSports. We stand by our principles of breakthroughs in design, and roll out the amazing gaming gear like motherboards, graphics cards, laptops and desktops.

www.msi.com

 

[Infy]

Nexx älykotilaitteista löydetty jos jonkinmoista aukkoa. Esim. kovakoodattu salasana, millä autotallin oven avaajaan pääsee käsiksi toiselta puolelta planeettaa. Valmistajaan ei ole saatu yhteyttä asian korjaamiseksi.

The Uninvited Guest: IDORs, Garage Doors, and Stolen Secrets

Uncovering Critical Security Flaws in Nexx’s Smart Devices: Garage Doors, Alarms, and Plugs at Risk

medium.com

 

[=JP=]

Applelta tullut korjauksia jotka tulisi asentaa heti, päivitykset on tullut jo viimeviikolla...

Kriittisiä haavoittuvuuksia Applen tuotteissa - päivitä heti | Kyberturvallisuuskeskus

Uusia ja kriittisiä päivityksiä Applen iOS, macOS Ventura, macOS Monterey, macOS Big sur ja iPadOS-laitteissa, sekä Safari verkkoselaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.

www.kyberturvallisuuskeskus.fi

Uusia ja kriittisiä päivityksiä Applen iOS, macOS Ventura, macOS Monterey, macOS Big sur ja iPadOS-laitteissa, sekä Safari verkkoselaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.

 

[runboy93]

Kodi Informs Forum Users of Data Breach Impacting Credentials

Kodi has informed its forum users that hackers using the account of an inactive administrator have exfiltrated user data from its servers.

restoreprivacy.com

Media streaming software vendor Kodi has informed its forum users that hackers using the account of an inactive administrator have exfiltrated user data from its servers.

The stolen data includes posts that users published on the forums, direct messages they exchanged on the platform, email addresses, and passwords in non-cleartext form.

Based on stats shared by Kodi recently, its forums had 401,000 registered members and roughly three million posts. Unfortunately, all that data is already advertised for sale on hacker forums, and Kodi’s admins confirmed that the shared data samples are authentic.

Tunnareiden salisten vaihto vasta kun uus serveri tulilla, eivät kiirettä näemmä pidä.

 

[escalibur]

Edit: Eipä mitään sittenkään...

 

[Agent_007]

Montanan osavaltio on hyväksymässä täyden Tiktok-kiellon, jonka on tarkoitus alkaa ensi vuoden alussa. Enää Kuvernööri Greg Gianfortenin allekirjoitus uupuu

https://www.npr.org/2023/04/14/1170204627/montana-becomes-1st-state-to-approve-a-full-ban-of-tiktok

Yhdysvallat | Montana kielsi Tiktokin ensimmäisenä osavaltiona Yhdysvalloissa

Yhdysvalloissa vaaditaan jopa koko maanlaajuista kieltoa Tiktokille, jonka käyttäjätietojen pelätään valuvan Kiinan valtiolle.

www.hs.fi

 

[=JP=]

Chromesta löytynyt tietoturva reikä, joka vaatii päivitystä, myös sen engineen perustuvat selaimet (esim. Opera, Vivaldi, Edge) vaatii päivitystä...

Google Releases Urgent Chrome Update to Fix Actively Exploited Zero-Day Vulnerability

Google addresses actively exploited Chrome zero-day flaw (CVE-2023-2033) in an out-of-band update

thehackernews.com

- Tracked as CVE-2023-2033, the high-severity vulnerability has been described as a type confusion issue in the V8 JavaScript engine.
- The tech giant acknowledged that "an exploit for CVE-2023-2033 exists in the wild,"
- Users are recommended to upgrade to version 112.0.5615.121 for Windows, macOS, and Linux to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.

 

[runboy93]

Tullut juuri tänään Vivaldi androidiin ainakin päivitys, ja myös ilmeisesti työpöytäversioon (työpöydäl itse käytän LibreWolf)

Minor update(4) for Vivaldi Android Browser 5.7 | Vivaldi Browser

This update includes a security fix for CVE-2023-2033 from the Chromium project.

vivaldi.com

Minor update (4) for Vivaldi Desktop Browser 5.7 | Vivaldi Browser

This update includes a security fix for CVE-2023-2033 from the Chromium project.

vivaldi.com

 

[user9999]

Microsoft Edge selaimeen löytyy päivitys.

Release notes for Microsoft Edge Security Updates

Release notes for Microsoft Edge Security Updates

learn.microsoft.com

April 14, 2023
Microsoft has released the latest Microsoft Edge Stable Channel (Version 112.0.1722.48). This update contains a fix for CVE-2023-2033, which has been reported by the Chromium team as having an exploit in the wild. For more information, see the Security Update Guide.

 

[Infy]

Tässä esillä olleet Apple-laitteiden ja Chromium-selainten tietoturva-aukot ovatkin juuri sellaisia, mitä kaupallisesti saatavilla olevat vakoiluohjelmat käyttävät hyväkseen. Tuommoiset ohjelmat ottavat haltuun käyttäjän puhelimen antaen pääsyyn kaikkeen siinä oleviin tietoihin ja mahdollistavat reaaliaikaisen vakoilun kameran ja mikrofonin kautta. Kaappaus voi tapahtua esim. tekstiviestillä, jossa on linkki sivulle joka hyödyntää selaimessa olevaa tietoturva-aukkoa. On myös mahdollista, että kaappaus voidaan tehdä täysin käyttäjän sitä havaitsematta, esim. viime kuussa esiin tullut Samsung Exynos modeemien haavoittuvuus oli tällainen.

Ylellä aiheesta dokkari Vakoilija puhelimessa

Dokkarin mukaan NSO Groupin Pegasus vakoiluohjelma myytiin viiteentoista EU-maahan. Ainakin Espanja, Puola ja Unkari mainittu. Espanja ilmeisesti vakoili sillä Katalonian itsenäisyyttä kannattavia poliitikkoja. EU-parlamentissa muutamat mepit nostivat asian esille, mutta kiinnostus asiaan oli laimeaa, ja heille tultiin heristelemään sormea, että tekevät asiasta liian suuren numeron.

Vaikka tuosta NSO-jutusta on pari vuotta, ei tilanne ole parantunut. Vaikka NSO Group on ilmeisesti lopettanut toimintansa, on uusia toimijoita tullut tilalle: DEV-0196: QuaDream’s “KingsPawn” malware used to target civil society in Europe, North America, the Middle East, and Southeast Asia - Microsoft Security Blog

Hiljattain esim. Kreikan valtiota syytettiin vakoilusta kansalaisiaan vastaan Greek government faces confidence vote over spying row jossa käytettiin kaupallista Israelilaista Predator -vakoiluohjelmaa.

 

[runboy93]

Chromesta löytynyt tietoturva reikä, joka vaatii päivitystä, myös sen engineen perustuvat selaimet (esim. Opera, Vivaldi, Edge) vaatii päivitystä...

Google Releases Urgent Chrome Update to Fix Actively Exploited Zero-Day Vulnerability

Google addresses actively exploited Chrome zero-day flaw (CVE-2023-2033) in an out-of-band update

thehackernews.com

- Tracked as CVE-2023-2033, the high-severity vulnerability has been described as a type confusion issue in the V8 JavaScript engine.
- The tech giant acknowledged that "an exploit for CVE-2023-2033 exists in the wild,"
- Users are recommended to upgrade to version 112.0.5615.121 for Windows, macOS, and Linux to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.

Lisää hätäkorjauksia chromelle:

https://www.ghacks.net/2023/04/19/google-releases-another-emergency-security-update-for-chrome/

Once updated, the following versions should be listed on the About Google Chrome page:

• Google Chrome for Windows: 112.0.5615.137 or 112.0.5615.138
• Google Chrome for Mac or Linux: 112.0.5615.137
• Google Chrome for Android: 112.0.5615.135 or 112.0.5615.136

Security issue CVE-2023-2136 is exploited in the wild, according to Google. Public information is limited at this point, but Skia refers to a component of Chrome that is responsible for "nearly all graphics operations, including text rendering" according to the Chromium design documents.

 

[Ormu]

Mielenkiintoinen aukko löydetty WiFi standardista, etenkin yrityksille paha, teollisuusvakoilu jne...

WiFi protocol flaw allows attackers to hijack network traffic

Cybersecurity researchers have discovered a fundamental security flaw in the design of the IEEE 802.11 WiFi protocol standard, allowing attackers to trick access points into leaking network frames in plaintext form.

www.bleepingcomputer.com

Cybersecurity researchers have discovered a fundamental security flaw in the design of the IEEE 802.11 WiFi protocol standard, allowing attackers to trick access points into leaking network frames in plaintext form.

The researchers report that network device models from Lancom, Aruba, Cisco, Asus, and D-Link are known to be affected by these attacks

The researchers warn that these attacks could be used to inject malicious content, such as JavaScript, into TCP packets.

While this attack could also be used to snoop on traffic, as most web traffic is encrypted using TLS, there would be a limited impact.

Koko wifi-standardi tuntuu olevan melkoista kuraa, kun näitä haavoittuvuuksia on ollut aika paljon.

 

[ztec]

Olin ihan varma, että joku olis jo postannut tän tänne, mutta ei näköjään. Meinasin jo eilen postata etukäteen. Katsaus Suomen kyberturvallisuuteen. Tosin eipä tuossa mitään uutta niille ole jotka on asioita seurannut aktiivisesti vuosikymmenen tai useammankin.

> Traficomin Kyberturvallisuuskeskuksen ja Suojelupoliisin mediatilaisuus. Traficomin pääjohtaja Kirsi Karlamaa ja Suojelupoliisin päällikkö Antti Pelttari kertovat ajankohtaisista kyberturvallisuuden asioista Suomessa ja lähialueilla. Paikalla on myös kyberturvallisuuden asiantuntijoita Traficomin Kyberturvallisuuskeskuksesta.

Mikä on Suomen kyberturvallisuuden taso? | Yle Uutiset suora

Traficomin Kyberturvallisuuskeskuksen ja Suojelupoliisin mediatilaisuus. Traficomin pääjohtaja Kirsi Karlamaa ja Suojelupoliisin päällikkö Antti Pelttari kertovat ajankohtaisista kyberturvallisuuden asioista Suomessa ja lähialueilla. Paikalla on myös kyberturvallisuuden asiantuntijoita...

areena.yle.fi

 

[=JP=]

Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...

The Most Dangerous Codec in the World: Finding and Exploiting Vulnerabilities in H.264 Decoders | USENIX

www.usenix.org

Modern video encoding standards such as H.264 are a marvel of hidden complexity. But with hidden complexity comes hidden security risk. Decoding video in practice means interacting with dedicated hardware accelerators and the proprietary, privileged software components used to drive them. The video decoder ecosystem is obscure, opaque, diverse, highly privileged, largely untested, and highly exposed—a dangerous combination.

We introduce and evaluate H26FORGE, domain-specific infrastructure for analyzing, generating, and manipulating syntactically correct but semantically spec-non-compliant video files. Using H26FORGE, we uncover insecurity in depth across the video decoder ecosystem, including kernel memory corruption bugs in iOS, memory corruption bugs in Firefox and VLC for Windows, and video accelerator and application processor kernel memory bugs in multiple Android devices.

Suurin osa jo löydetyistä ongelmista on korjattu päivityksillä kyseisiin ohjelmiin/laitteisiin, mutta tottakai riski löytää uusia on jatkuva.

Aikas pelottava ajatus on, että vain katsomalla jokin video, voidaan saada aikaan jotain ilkeää...

 

[=JP=]

Garmin älylaitteiden tietoturvatasossa on korjattavaa...

Compromising Garmin's Sport Watches: A Deep Dive into GarminOS and its MonkeyC Virtual Machine - Anvil Secure

I reversed the firmware of my Garmin Forerunner 245 Music back in 2022 and found a dozen or so vulnerabilities in their support for Connect IQ applications. They can be exploited…

www.anvilsecure.com

TL;DR: I reversed the firmware of my Garmin Forerunner 245 Music back in 2022 and found a dozen or so vulnerabilities in their support for Connect IQ applications. They can be exploited to bypass permissions and compromise the watch. I have published various scripts and proof-of-concept apps to a GitHub repository. Coordinating disclosure with Garmin, some of the vulnerabilities have been around since 2015 and affect over a hundred models, including fitness watches, outdoor handhelds, and GPS for bikes.

 

[Ormu]

Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...

The Most Dangerous Codec in the World: Finding and Exploiting Vulnerabilities in H.264 Decoders | USENIX

www.usenix.org

Modern video encoding standards such as H.264 are a marvel of hidden complexity. But with hidden complexity comes hidden security risk. Decoding video in practice means interacting with dedicated hardware accelerators and the proprietary, privileged software components used to drive them. The video decoder ecosystem is obscure, opaque, diverse, highly privileged, largely untested, and highly exposed—a dangerous combination.

We introduce and evaluate H26FORGE, domain-specific infrastructure for analyzing, generating, and manipulating syntactically correct but semantically spec-non-compliant video files. Using H26FORGE, we uncover insecurity in depth across the video decoder ecosystem, including kernel memory corruption bugs in iOS, memory corruption bugs in Firefox and VLC for Windows, and video accelerator and application processor kernel memory bugs in multiple Android devices.

Suurin osa jo löydetyistä ongelmista on korjattu päivityksillä kyseisiin ohjelmiin/laitteisiin, mutta tottakai riski löytää uusia on jatkuva.

Aikas pelottava ajatus on, että vain katsomalla jokin video, voidaan saada aikaan jotain ilkeää...

Jotkut, jotka asioista luulevat ymmärtävänsä, väittävät usein, ettei video- tai äänitiedoston avulla voi toimittaa haittaohjelmaa, mutta tässä taas esimerkki siitä, että kyllä se on mahdollista, kun sopiva haavoittuvuus löytyy.

 

[kaakau<"'\\/>]

Jotkut, jotka asioista luulevat ymmärtävänsä, väittävät usein, ettei video- tai äänitiedoston avulla voi toimittaa haittaohjelmaa, mutta tässä taas esimerkki siitä, että kyllä se on mahdollista, kun sopiva haavoittuvuus löytyy.

Itsellänikin on tiukat Apparmor-profiilit käyttämilleni kuva- ja video-ohjelmille, PDF-lukijoille yms.

 

[Ormu]

Ylellä aiheesta dokkari Vakoilija puhelimessa

Dokkarin mukaan NSO Groupin Pegasus vakoiluohjelma myytiin viiteentoista EU-maahan. Ainakin Espanja, Puola ja Unkari mainittu. Espanja ilmeisesti vakoili sillä Katalonian itsenäisyyttä kannattavia poliitikkoja. EU-parlamentissa muutamat mepit nostivat asian esille, mutta kiinnostus asiaan oli laimeaa, ja heille tultiin heristelemään sormea, että tekevät asiasta liian suuren numeron.

Vaikka tuosta NSO-jutusta on pari vuotta, ei tilanne ole parantunut. Vaikka NSO Group on ilmeisesti lopettanut toimintansa, on uusia toimijoita tullut tilalle: DEV-0196: QuaDream’s “KingsPawn” malware used to target civil society in Europe, North America, the Middle East, and Southeast Asia - Microsoft Security Blog

Hiljattain esim. Kreikan valtiota syytettiin vakoilusta kansalaisiaan vastaan Greek government faces confidence vote over spying row jossa käytettiin kaupallista Israelilaista Predator -vakoiluohjelmaa.

Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.

 

[Infy]

Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.

Yksi esimerkki puhelimen kaappaamisesta ilman käyttäjän toimia on StageFright haavoittuvuus vuodelta 2015. Siinä Android puhelimien mediakirjastossa oleva haavoittuvuus altisti ne suorittamaan ohjelmaakoodia tietyssä tilanteessa hyökkääjän lähettämästä MMS-multimediaviestistä. MMS-viestin koodinpätkä sitten voisi ladata hyökkääjän omalta palvelimelta varsinaisen vakoiluohjelman ja asentaa sen puhelimeen. Stagefright (bug) - Wikipedia

Jos haavoittuvuuden kautta pääsee ajamaan koodia root-oikeuksin, ei käyttäjä voi sitä havaita ja hyökkääjällä on täysi pääsy puhelimen tietoihin. Ellei sitten roottaa omaa puhelintaan ja katso mitä kaikkea siellä tapahtuu.

NSO Groupin kaltaisilla toimijoilla on kasapäin työntekijöitä etsimässä Android ja Applen käyttöjärjestelmistä haavoittuvuuksia, joita voi hyväksikäyttää. Tietysti myös valtiolliset tiedustelupalvelut harrastavat samaa toimintaa.

 

[kuukie]

Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.

Dokkaria en ole katsonut mutta ainakin juuri tuota Pegasosta on asennettu iPhoneihin Whatsapp 0-day haavaa hyväksikäyttäen ilman käyttäjän toimia.

 

[user9999]

Applellä on tuo Lockdown mode, mutta käyttääkö sitä henkilöt joihin voi kohdistua hyökkäyksiä.

Apple’s high security mode blocked NSO spyware, researchers say | TechCrunch

Apple has fixed the three exploits used to deploy the Pegasus spyware, which did not require any interaction from the target.

techcrunch.com

Triple Threat: NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains - The Citizen Lab

In 2022, the Citizen Lab gained extensive forensic visibility into new NSO Group exploit activity after finding infections among members of Mexico’s civil society, including two human rights defenders from Centro PRODH, which represents victims of military abuses in Mexico.

citizenlab.ca

 

[kuukie]

Applellä on tuo Lockdown mode, mutta käyttääkö sitä henkilöt joihin voi kohdistua edistyksellisiä hyökkäyksiä.

Apple’s high security mode blocked NSO spyware, researchers say | TechCrunch

Apple has fixed the three exploits used to deploy the Pegasus spyware, which did not require any interaction from the target.

techcrunch.com

Triple Threat: NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains - The Citizen Lab

In 2022, the Citizen Lab gained extensive forensic visibility into new NSO Group exploit activity after finding infections among members of Mexico’s civil society, including two human rights defenders from Centro PRODH, which represents victims of military abuses in Mexico.

citizenlab.ca

Oletusarvoisesti toivottavasti tälläisten henkilöiden laitteiden tietoturvasta vastaavat osaavat tahot eivätkä käyttäjät itse

 

[escalibur]

Oletusarvoisesti toivottavasti tälläisten henkilöiden laitteiden tietoturvasta vastaavat osaavat tahot eivätkä käyttäjät itse

Ehkä, ehkä ei.

Ministeri paljasti MTV:llä hallitusviisikon Whatsapp-ringin – ”Tällaisiin palveluihin liittyy tietoturvahaasteita”

Hallitus käyttää omaa Whatsapp-ryhmää.

www.iltalehti.fi

Ministeri Mika Lintilä kertoo, ettei Whatsapp-tiliä vietykään: ”Kaappaus-sanan käyttö oli ehkä liian vahvaa ylireagointia”

Eduskunnan selvityksessä ei kuitenkaan pystytty sulkemaan pois Lintilän sometilin rinnakkaiskäyttöä.

yle.fi

Mielenkiintoista että WhatsAppin käyttö on ylipäättäen sallittu, etenkin alla olevien tapahtumienkin jälkeen.

Jeff Bezos hack: Amazon boss's phone 'hacked by Saudi crown prince'

Exclusive: investigation suggests Washington Post owner was targeted five months before murder of Jamal Khashoggi

www.theguardian.com

 

[leripe]

Ehkä, ehkä ei.

Ministeri paljasti MTV:llä hallitusviisikon Whatsapp-ringin – ”Tällaisiin palveluihin liittyy tietoturvahaasteita”

Hallitus käyttää omaa Whatsapp-ryhmää.

www.iltalehti.fi

Ministeri Mika Lintilä kertoo, ettei Whatsapp-tiliä vietykään: ”Kaappaus-sanan käyttö oli ehkä liian vahvaa ylireagointia”

Eduskunnan selvityksessä ei kuitenkaan pystytty sulkemaan pois Lintilän sometilin rinnakkaiskäyttöä.

yle.fi

Mielenkiintoista että WhatsAppin käyttö on ylipäättäen sallittu, etenkin alla olevien tapahtumienkin jälkeen.

Jeff Bezos hack: Amazon boss's phone 'hacked by Saudi crown prince'

Exclusive: investigation suggests Washington Post owner was targeted five months before murder of Jamal Khashoggi

www.theguardian.com

Kannattaa muistaa, että poliitikot ja kansanedustajat ovat käytännössä yksityisjenkilöitä tai ainakin kokevat itsensä sellaisiksi.

 

[Seppo77]

Ehkä, ehkä ei.

Ministeri paljasti MTV:llä hallitusviisikon Whatsapp-ringin – ”Tällaisiin palveluihin liittyy tietoturvahaasteita”

Hallitus käyttää omaa Whatsapp-ryhmää.

www.iltalehti.fi

Ministeri Mika Lintilä kertoo, ettei Whatsapp-tiliä vietykään: ”Kaappaus-sanan käyttö oli ehkä liian vahvaa ylireagointia”

Eduskunnan selvityksessä ei kuitenkaan pystytty sulkemaan pois Lintilän sometilin rinnakkaiskäyttöä.

yle.fi

Mielenkiintoista että WhatsAppin käyttö on ylipäättäen sallittu, etenkin alla olevien tapahtumienkin jälkeen.

Jeff Bezos hack: Amazon boss's phone 'hacked by Saudi crown prince'

Exclusive: investigation suggests Washington Post owner was targeted five months before murder of Jamal Khashoggi

www.theguardian.com

Vaimon firmassa Teams ja Skype lisäksi vain Signal on sallittu laitteissa joilla työasioita hoidetaan. Ei ole edes mahdollista esim. Whatsappia heidän työpuhelimiin ladata vaikka yrittäisinkin. Lisäksi esim. sallitut puhelinvalmistajat ovat Apple (iPhone puhelimet) ja Microsoft (Suface Duo puhelimet).