Windows 7 -käyttöjärjestelmän tuki päättyi tänään (14.1.2020)

BlackWolf

Suomen Michael Jackson
NOSTO
Liittynyt
18.10.2016
Viestejä
1 795
Sinullakin on semmoinen naiivi käsitys, että sinun pitää itse tehdä jotain, että tietokoneeseesi tulee virus, esim. avata sähköpostin liite tai ajaa joku ohjelma.

Haitakkeita voi saada ihan selailemalla internettiä ja ne voivat mennä palomuurin läpi tai saastuttaa sen reititin-palomuurin ja kun on lähiverkossa, niin hyökkäyksiä voi tehdä ihan uudella skaalalla. Yleensä se tekninen tietämättömyys on yhteydessä siihen, että muutkaan laitteet eivät ole päivitetty "koska ne toimii" ja taas mennään ojasta allikkoon.

Myös MITM-tyyppinen hyökkäys onnistuu, kun vaan on saatu kaapattua se yksi kone sieltä verkosta.
Sinulla taas on varsin naiivi kuva siitä miten uusin uljas Windows 10 on jotenkin mystisesti kaikilta hyökkäyksiltä suojassa vain sen takia, että se on Windows 10 ja sille tulee, jos Mikkisofta joskus jaksaa, jotain paikkauksia pahimpiin tietoturva-aukkoihin. Se, että Windows 10 on tuen piirissä ei tarkoita etteikö sielläkin olisi aukkoja ja etteikö sinne voisi hyökätä. Toistaiseksi Windows 7 on ollut paremmin turvassa kuin Windows 10, koska viimeisin suuri aukko on vain Windows 10 käyttöjärjestelmässä. Katsotaan sitten kun jo vuosia paikaillusta Windows 7 löytyy jokin sellainen aukko mikä pakottaa viimeisetkin käyttäjät siirtymään kymppiin, en pidätä hengitystäni odotellessa. Toki jos ei pyöritä mitään palomuureja ja virustorjuntoja niin win 10 voi olla, ehkä, kenties, turvallisempi ratkaisu vuoden päästä kuin win 7 on juuri tuen lakattua.
 
Liittynyt
22.05.2017
Viestejä
1 768
Sinulla taas on varsin naiivi kuva siitä miten uusin uljas Windows 10 on jotenkin mystisesti kaikilta hyökkäyksiltä suojassa vain sen takia, että se on Windows 10 ja sille tulee, jos Mikkisofta joskus jaksaa, jotain paikkauksia pahimpiin tietoturva-aukkoihin. Se, että Windows 10 on tuen piirissä ei tarkoita etteikö sielläkin olisi aukkoja ja etteikö sinne voisi hyökätä. Toistaiseksi Windows 7 on ollut paremmin turvassa kuin Windows 10, koska viimeisin suuri aukko on vain Windows 10 käyttöjärjestelmässä. Katsotaan sitten kun jo vuosia paikaillusta Windows 7 löytyy jokin sellainen aukko mikä pakottaa viimeisetkin käyttäjät siirtymään kymppiin, en pidätä hengitystäni odotellessa. Toki jos ei pyöritä mitään palomuureja ja virustorjuntoja niin win 10 voi olla, ehkä, kenties, turvallisempi ratkaisu vuoden päästä kuin win 7 on juuri tuen lakattua.
Katsotaan asiaa uudemman kerran vaikka vuoden päästä? :tup:
 

BlackWolf

Suomen Michael Jackson
NOSTO
Liittynyt
18.10.2016
Viestejä
1 795
Katsotaan asiaa uudemman kerran vaikka vuoden päästä? :tup:
Miksi? Asiaahan pitää katsoa tänään ja fakta on, että Windows 7 tuki lakkasi 4 päivää sitten ja sen jälkeen ei ole löytynyt yhtään isoa uutta haavoittuvuutta. Samoihin aikoihin kylläkin löytyi Windows 10 iso haavoittuvuus joka on toki paikattu jos on päivittänyt Windowssin. On jotenkin huvittavaa miten sinä sekuntina kun tuki lakkaa = käyttis on rikki, vaikka ensin pitäisi olla se paikkaamaton haavoittuvuus. Esim. jos verrataan menneeseen niin montako isoa haavoittuvuutta on vaikka XP:stä löytynyt tuen lakkaamisen jälkeen? Remote desktopin muistan BlueKeep? Senkin kai saa jopa XP:lle patchattua.
 
Liittynyt
17.10.2016
Viestejä
21 885
Joo-o, enpä päästäisi käyttäjää @BlackWolf vastamaan tietoturvasta yritystasolla. Niitä haavoittuvuuksia tulee tasaiseen tahtiin:
Microsoft Windows 7 : CVE security vulnerabilities, versions and detailed reports

..mutta niitä ei aktiivisesti enää etsitä ja osa jää löytymättä ja paikkaamatta. Ja paikatkin tulee sille maksetulle supportille ensin ja muille myöhemmin, jos jaksavat. Myöskin tietoturvaohjelmistojen tuki on lakkautettu, niin niitä paikkoja ei tule kolmansilta osapuolilta, niinkuin aikaisemmin.

Tässä vahvasti haisee, että joku leikkii tietoturva-asiantuntijaa sillä tietämyksellä, mitä täältä on lukenut. Nyt ei jaksa väitellä aiheesta, niin enpä enää vastaile kyseiselle käyttäjälle. Päivittäkää kuitenkin Windowsinne.
 
Liittynyt
30.10.2016
Viestejä
5 481
Itse pidin xp kiinni viimeiseen asti mutta kun kone hajosi niin vaihdoin seiskaan mutta yhtään seiskan päivitystä en ole vielä asentanut, miksi ihmeessä pitäisi nyt päivittää koko käyttis...
Aika uskomattomalta tämä kyllä kuulostaa että et ole yhtään päivitystä asentanut siihen seiskaan. En kyllä usko
 

BlackWolf

Suomen Michael Jackson
NOSTO
Liittynyt
18.10.2016
Viestejä
1 795
Joo-o, enpä päästäisi käyttäjää @BlackWolf vastamaan tietoturvasta yritystasolla. Niitä haavoittuvuuksia tulee tasaiseen tahtiin:
Microsoft Windows 7 : CVE security vulnerabilities, versions and detailed reports

..mutta niitä ei aktiivisesti enää etsitä ja osa jää löytymättä ja paikkaamatta. Ja paikatkin tulee sille maksetulle supportille ensin ja muille myöhemmin, jos jaksavat. Myöskin tietoturvaohjelmistojen tuki on lakkautettu, niin niitä paikkoja ei tule kolmansilta osapuolilta, niinkuin aikaisemmin.

Tässä vahvasti haisee, että joku leikkii tietoturva-asiantuntijaa sillä tietämyksellä, mitä täältä on lukenut. Nyt ei jaksa väitellä aiheesta, niin enpä enää vastaile kyseiselle käyttäjälle. Päivittäkää kuitenkin Windowsinne.
Kiitos olen kyllä hyvin tietoinen Microsoftin haavoittuvuusjulkaisuista. Enkä minä haluaisikaan vastaamaan yritystasolle tietoturvasta, kiitos kysymästä. Se sun rakas ihana Windows 10 on ihan yhtä haavoittuvainen kuin mikä tahansa muu järjestelmä. Sokea usko siihen, että Microsoft paikkaa ei poista sitä faktaa, että ensin pitää olla reikä mitä paikata. Sinä nyt yrität väittää, että ensin tulee munien kerääjä ennen kuin muna tai kana. Lisäksi kyllä ne tietoturvaihjelmistot jatkaa toimintaansa vaikka Microsoftin tuki lakkaakin, siis jos et tiennyt.

Ai niin ja se linkki...
Microsoft Windows 10 : List of security vulnerabilities
357 vs 250.... mutta unohtui mainita.
 
Viimeksi muokattu:
Liittynyt
07.04.2017
Viestejä
342
Aika uskomattomalta tämä kyllä kuulostaa että et ole yhtään päivitystä asentanut siihen seiskaan. En kyllä usko
Kyllä niin mennään, kone ei ole netissä ja ne ohjelmat toimii mitkä haluankin, ei siis ole mitään syytä päivitellä
 
Liittynyt
14.01.2017
Viestejä
29
Sinullakin on semmoinen naiivi käsitys, että sinun pitää itse tehdä jotain, että tietokoneeseesi tulee virus, esim. avata sähköpostin liite tai ajaa joku ohjelma.
Tässä kyllä erehdyt. Tiedostan varsin hyvin sen, että haittaohjelmatartuntaan riittää pelkkä saastuneella verkkosivulla vierailu haavoittuvalla selaimella, jos mitään erityisiä toimenpiteitä selaimen (tai sen osoiteavaruuteen ladattujen käyttöjärjestelmäkomponenttien) tietoturva-aukkojen hyödyntämisen vaikeuttamiseksi/estämiseksi ei ole tehty, tai jos selainta ei ole mitenkään eristetty muusta järjestelmästä. Sen sijaan sitä en kyllä allekirjoita, että haitakkeet voisivat tulla koneelle (softa)palomuurin läpi itsestään (siis ilman koneelta ulospäin muodostettua TCP/IP-yhteyttä) vain siksi, että tietoturvapäivitykset eivät ole ajan tasalla.

Kirjoitin pari viikkoa sitten tuolla yleisten ohjelmistokeskustelujen puolella olevaan Windows 7 -ketjuun keinoista, joilla parantaa oman koneen turvallisuutta, kun käyttöjärjestelmän tietoturvapäivitykset ovat päättyneet. Yhteistä näille keinoille on ns. attack surfacen minimointi, ja peruslähtökohtana on se ajatus, että koska sekä itse käyttöjärjestelmä että sen päälle asennetut softat ovat oletusarvoisesti täyttä reikäjuustoa, eikä tietoturva-aukkoja koskaan saada niistä pois millään määrällä patchaamista, niin silloin tietoturva-aukkojen kanssa on vain opittava elämään ja otettava käyttöön vaihtoehtoisia keinoja, joilla näiden aukkojen exploittaamisesta saadaan hankalaa.

Tällaisiin "vaihtoehtoisiin" keinoihin (joilla siis pyritään mahdollisimman tehokkaasti ennaltaehkäisemään olemassaolevien softabugien hyväksikäyttöä tietoturvan vaarantavalla tavalla) perustuva proaktiivinen lähestymistapa onkin viimeisten ~15 vuoden aikana saanut koko ajan enemmän jalansijaa tietoturvassa. Tähän ryhmään lukeutuvia jo vakiintuneita keinoja ovat mm. DEP (Data Execution Prevention, jolla estetään koodin suorittaminen muualta kuin vain erikseen sallituiksi merkityiltä muistialueilta), ASLR (Address Space Layout Randomization, jossa koodi- ja data-alueiden sijoittamisella sattumanvaraisiin muistiosoitteisiin pyritään vaikeuttamaan vahingollisten toimintojen suoritusta väärinkäyttämällä jo olemassa olevaa luotettua koodia) sekä erilaiset compiler-tasolla toteutetut puskuriylivuotosuojaukset (esim. Stack Canary Protection, jolla pyritään estämään ohjelman kutsupinoon tallennettujen keskeisten kontrollimuuttujien (kuten käskyosoittimien) ylikirjoittaminen ohjelman suorituspolun muuttamiseksi vihamielisellä tavalla). Lisäksi Inteliltä on ilmeisesti jossain vaiheessa tulossa rautatasolla toteutettu käskyosoittimien integriteetin varmistava Shadow Stack, eli järjestely jossa jokaisesta kutsupinoon call-käskyllä puskettavasta paluuosoitteesta tehdään varmuuskopio erilliseen suojattuun käskyosoitinpinoon, ja aina käskyosoittimen arvoa ret-komennolla palautettaessa varmistetaan, että normaalista kutsupinosta ladattava käskyosoittimen arvo vastaa varmuuskopiopinoon tallennettua.

Syy miksi nyt pidän tällaista esitelmää on se, että itseäni on vähitellen alkanut ärsyttää, kuinka kritiikittömästi niin monet suhtautuvat ajatukseen, että tietoturva-aukkojen jatkuva retroaktiivinen paikkaaminen sitä mukaa kun niitä tulee julki (ja tämän toistaminen ad infinitum) on ainoa mahdollinen tapa suojata itsensä ja laitteensa. Noiden edellisten esimerkkien tarkoituksena on osoittaa, että on olemassa toisenlaisiakin lähestymistapoja: yleinen hyökkäyspinta-alan minimointi erilaisilla rajoitustoimilla, tietoturva-aukkojen ennaltaehkäisemiseen perustuvat menetelmät, sekä olemassa olevien aukkojen hyväksikäyttämisen vaikeuttaminen. Ja omasta mielestäni näihin vaihtoehtoisiin lähestymistapoihin sisältyvillä keinoilla on mahdollista päästä hyvinkin pitkälle, jos vain tietää mitä tekee.

Ihan oma lukunsa on sitten se kysymys, että jos Microsoft tosissaan panostaisi haavoittuvuuksien ennaltaehkäisemiseen valtavilla resursseillaan, niin olisiko jo Windows 7:sta saatu sen verran kestävällä tavalla turvallinen, ettei sen tietoturva välittömästi lahoaisi käsiin (kuten he itse antavat ymmärtää) kun aukkojen paikkaaminen lopetetaan? Voisiko aukkojen hyödyntämisestä tehdä erilaisilla arkkitehtuurillisilla ratkaisuilla ja muilla proaktiivisilla menetelmillä rikollisille niin hankalaa ja kallista, ettei se olisi enää taloudellisesti kannattavaa, vaan hakkereiden ainoaksi varteenotettavaksi keinoksi jäisi social engineeringin tyyppinen toiminta, eli lähinnä tietämättömien huijaaminen saastuttamaan itse koneensa?

Henkilökohtaisesti veikkaan, että Microsoftilla ei ole erityisemmin aitoa mielenkiintoa proaktiivisten ja kestävien tietoturvaratkaisujen edistämiseen, koska heidän ainoa keinonsa saada suuri osa käyttäjistä siirtymään uudempaan käyttöjärjestelmään (ja ostamaan samalla uudet lisenssit) tuntuu nykyään olevan tietoturvapäivitysten loppumisella ja siitä seuraavalla katastrofilla uhkailu, plus sekalainen joukko pienempiä likaisia temppuja.
 
Liittynyt
17.10.2016
Viestejä
21 885
Tässä kyllä erehdyt. Tiedostan varsin hyvin sen, että haittaohjelmatartuntaan riittää pelkkä saastuneella verkkosivulla vierailu haavoittuvalla selaimella, jos mitään erityisiä toimenpiteitä selaimen (tai sen osoiteavaruuteen ladattujen käyttöjärjestelmäkomponenttien) tietoturva-aukkojen hyödyntämisen vaikeuttamiseksi/estämiseksi ei ole tehty, tai jos selainta ei ole mitenkään eristetty muusta järjestelmästä. Sen sijaan sitä en kyllä allekirjoita, että haitakkeet voisivat tulla koneelle (softa)palomuurin läpi itsestään (siis ilman koneelta ulospäin muodostettua TCP/IP-yhteyttä) vain siksi, että tietoturvapäivitykset eivät ole ajan tasalla.

Kirjoitin pari viikkoa sitten tuolla yleisten ohjelmistokeskustelujen puolella olevaan Windows 7 -ketjuun keinoista, joilla parantaa oman koneen turvallisuutta, kun käyttöjärjestelmän tietoturvapäivitykset ovat päättyneet. Yhteistä näille keinoille on ns. attack surfacen minimointi, ja peruslähtökohtana on se ajatus, että koska sekä itse käyttöjärjestelmä että sen päälle asennetut softat ovat oletusarvoisesti täyttä reikäjuustoa, eikä tietoturva-aukkoja koskaan saada niistä pois millään määrällä patchaamista, niin silloin tietoturva-aukkojen kanssa on vain opittava elämään ja otettava käyttöön vaihtoehtoisia keinoja, joilla näiden aukkojen exploittaamisesta saadaan hankalaa.

Tällaisiin "vaihtoehtoisiin" keinoihin (joilla siis pyritään mahdollisimman tehokkaasti ennaltaehkäisemään olemassaolevien softabugien hyväksikäyttöä tietoturvan vaarantavalla tavalla) perustuva proaktiivinen lähestymistapa onkin viimeisten ~15 vuoden aikana saanut koko ajan enemmän jalansijaa tietoturvassa. Tähän ryhmään lukeutuvia jo vakiintuneita keinoja ovat mm. DEP (Data Execution Prevention, jolla estetään koodin suorittaminen muualta kuin vain erikseen sallituiksi merkityiltä muistialueilta), ASLR (Address Space Layout Randomization, jossa koodi- ja data-alueiden sijoittamisella sattumanvaraisiin muistiosoitteisiin pyritään vaikeuttamaan vahingollisten toimintojen suoritusta väärinkäyttämällä jo olemassa olevaa luotettua koodia) sekä erilaiset compiler-tasolla toteutetut puskuriylivuotosuojaukset (esim. Stack Canary Protection, jolla pyritään estämään ohjelman kutsupinoon tallennettujen keskeisten kontrollimuuttujien (kuten käskyosoittimien) ylikirjoittaminen ohjelman suorituspolun muuttamiseksi vihamielisellä tavalla). Lisäksi Inteliltä on ilmeisesti jossain vaiheessa tulossa rautatasolla toteutettu käskyosoittimien integriteetin varmistava Shadow Stack, eli järjestely jossa jokaisesta kutsupinoon call-käskyllä puskettavasta paluuosoitteesta tehdään varmuuskopio erilliseen suojattuun käskyosoitinpinoon, ja aina käskyosoittimen arvoa ret-komennolla palautettaessa varmistetaan, että normaalista kutsupinosta ladattava käskyosoittimen arvo vastaa varmuuskopiopinoon tallennettua.

Syy miksi nyt pidän tällaista esitelmää on se, että itseäni on vähitellen alkanut ärsyttää, kuinka kritiikittömästi niin monet suhtautuvat ajatukseen, että tietoturva-aukkojen jatkuva retroaktiivinen paikkaaminen sitä mukaa kun niitä tulee julki (ja tämän toistaminen ad infinitum) on ainoa mahdollinen tapa suojata itsensä ja laitteensa. Noiden edellisten esimerkkien tarkoituksena on osoittaa, että on olemassa toisenlaisiakin lähestymistapoja: yleinen hyökkäyspinta-alan minimointi erilaisilla rajoitustoimilla, tietoturva-aukkojen ennaltaehkäisemiseen perustuvat menetelmät, sekä olemassa olevien aukkojen hyväksikäyttämisen vaikeuttaminen. Ja omasta mielestäni näihin vaihtoehtoisiin lähestymistapoihin sisältyvillä keinoilla on mahdollista päästä hyvinkin pitkälle, jos vain tietää mitä tekee.

Ihan oma lukunsa on sitten se kysymys, että jos Microsoft tosissaan panostaisi haavoittuvuuksien ennaltaehkäisemiseen valtavilla resursseillaan, niin olisiko jo Windows 7:sta saatu sen verran kestävällä tavalla turvallinen, ettei sen tietoturva välittömästi lahoaisi käsiin (kuten he itse antavat ymmärtää) kun aukkojen paikkaaminen lopetetaan? Voisiko aukkojen hyödyntämisestä tehdä erilaisilla arkkitehtuurillisilla ratkaisuilla ja muilla proaktiivisilla menetelmillä rikollisille niin hankalaa ja kallista, ettei se olisi enää taloudellisesti kannattavaa, vaan hakkereiden ainoaksi varteenotettavaksi keinoksi jäisi social engineeringin tyyppinen toiminta, eli lähinnä tietämättömien huijaaminen saastuttamaan itse koneensa?

Henkilökohtaisesti veikkaan, että Microsoftilla ei ole erityisemmin aitoa mielenkiintoa proaktiivisten ja kestävien tietoturvaratkaisujen edistämiseen, koska heidän ainoa keinonsa saada suuri osa käyttäjistä siirtymään uudempaan käyttöjärjestelmään (ja ostamaan samalla uudet lisenssit) tuntuu nykyään olevan tietoturvapäivitysten loppumisella ja siitä seuraavalla katastrofilla uhkailu, plus sekalainen joukko pienempiä likaisia temppuja.
Jos samasta verkosta saastuu toinen kone, se hyökkäysrajapinta kasvaa. Lisäksi nämä kotikäyttäjät haluavat änkyröidä ja jatkaa myös muiden vanhojen ohjelmien käyttöä, niin sitten vaikka sähköpostiohjelma ajelee iloisesti kaikki viestissä olevat skripit, kun sitä ei ole päivitetty 8 vuoteen.

Henkilökohtaisesti veikkaan, että Microsoft paikkaa tulevat ongelmat vain siihen maksulliseen versioon, ellei jotain katastrofaalista ilmene.

Noita vaihtoehtoisia tapojasi on vain kovin vaikea retroaktiivisesti tunkea jo käännettyihin ohjelmiin.. Eli lähes kaikelle, mitä on jo tehty. Eikä mikään Windows 7:n oma järjestelmä aktiivisesti monitoroi esim. jokaista RET-käskyä. Nuo ovat tapoja, jolla kehittäjät voivat lisätä ohjelmiensa tietoturvaa ja ne ovat asioita, joita tuskin näkee vanhoissa legacy-ohjelmissa, joita Windows 7:n ohjelmat käytännössä ovat.

Eiköhän voidaan suoraan kuitenkin odottaa, että sitä konetta käytetään internetissä.. Ja se kone muodostaa itse yhteyksiä ulos, esim. NTP:tä varten ja semmoinen palvelin jo vähintään kerran kaapattu.
 
Liittynyt
17.10.2016
Viestejä
1 020
Tässä kyllä erehdyt. Tiedostan varsin hyvin sen, että haittaohjelmatartuntaan riittää pelkkä saastuneella verkkosivulla vierailu haavoittuvalla selaimella, jos mitään erityisiä toimenpiteitä selaimen (tai sen osoiteavaruuteen ladattujen käyttöjärjestelmäkomponenttien) tietoturva-aukkojen hyödyntämisen vaikeuttamiseksi/estämiseksi ei ole tehty, tai jos selainta ei ole mitenkään eristetty muusta järjestelmästä. Sen sijaan sitä en kyllä allekirjoita, että haitakkeet voisivat tulla koneelle (softa)palomuurin läpi itsestään (siis ilman koneelta ulospäin muodostettua TCP/IP-yhteyttä) vain siksi, että tietoturvapäivitykset eivät ole ajan tasalla.

Kirjoitin pari viikkoa sitten tuolla yleisten ohjelmistokeskustelujen puolella olevaan Windows 7 -ketjuun keinoista, joilla parantaa oman koneen turvallisuutta, kun käyttöjärjestelmän tietoturvapäivitykset ovat päättyneet. Yhteistä näille keinoille on ns. attack surfacen minimointi, ja peruslähtökohtana on se ajatus, että koska sekä itse käyttöjärjestelmä että sen päälle asennetut softat ovat oletusarvoisesti täyttä reikäjuustoa, eikä tietoturva-aukkoja koskaan saada niistä pois millään määrällä patchaamista, niin silloin tietoturva-aukkojen kanssa on vain opittava elämään ja otettava käyttöön vaihtoehtoisia keinoja, joilla näiden aukkojen exploittaamisesta saadaan hankalaa.

Tällaisiin "vaihtoehtoisiin" keinoihin (joilla siis pyritään mahdollisimman tehokkaasti ennaltaehkäisemään olemassaolevien softabugien hyväksikäyttöä tietoturvan vaarantavalla tavalla) perustuva proaktiivinen lähestymistapa onkin viimeisten ~15 vuoden aikana saanut koko ajan enemmän jalansijaa tietoturvassa. Tähän ryhmään lukeutuvia jo vakiintuneita keinoja ovat mm. DEP (Data Execution Prevention, jolla estetään koodin suorittaminen muualta kuin vain erikseen sallituiksi merkityiltä muistialueilta), ASLR (Address Space Layout Randomization, jossa koodi- ja data-alueiden sijoittamisella sattumanvaraisiin muistiosoitteisiin pyritään vaikeuttamaan vahingollisten toimintojen suoritusta väärinkäyttämällä jo olemassa olevaa luotettua koodia) sekä erilaiset compiler-tasolla toteutetut puskuriylivuotosuojaukset (esim. Stack Canary Protection, jolla pyritään estämään ohjelman kutsupinoon tallennettujen keskeisten kontrollimuuttujien (kuten käskyosoittimien) ylikirjoittaminen ohjelman suorituspolun muuttamiseksi vihamielisellä tavalla). Lisäksi Inteliltä on ilmeisesti jossain vaiheessa tulossa rautatasolla toteutettu käskyosoittimien integriteetin varmistava Shadow Stack, eli järjestely jossa jokaisesta kutsupinoon call-käskyllä puskettavasta paluuosoitteesta tehdään varmuuskopio erilliseen suojattuun käskyosoitinpinoon, ja aina käskyosoittimen arvoa ret-komennolla palautettaessa varmistetaan, että normaalista kutsupinosta ladattava käskyosoittimen arvo vastaa varmuuskopiopinoon tallennettua.

Syy miksi nyt pidän tällaista esitelmää on se, että itseäni on vähitellen alkanut ärsyttää, kuinka kritiikittömästi niin monet suhtautuvat ajatukseen, että tietoturva-aukkojen jatkuva retroaktiivinen paikkaaminen sitä mukaa kun niitä tulee julki (ja tämän toistaminen ad infinitum) on ainoa mahdollinen tapa suojata itsensä ja laitteensa. Noiden edellisten esimerkkien tarkoituksena on osoittaa, että on olemassa toisenlaisiakin lähestymistapoja: yleinen hyökkäyspinta-alan minimointi erilaisilla rajoitustoimilla, tietoturva-aukkojen ennaltaehkäisemiseen perustuvat menetelmät, sekä olemassa olevien aukkojen hyväksikäyttämisen vaikeuttaminen. Ja omasta mielestäni näihin vaihtoehtoisiin lähestymistapoihin sisältyvillä keinoilla on mahdollista päästä hyvinkin pitkälle, jos vain tietää mitä tekee.

Ihan oma lukunsa on sitten se kysymys, että jos Microsoft tosissaan panostaisi haavoittuvuuksien ennaltaehkäisemiseen valtavilla resursseillaan, niin olisiko jo Windows 7:sta saatu sen verran kestävällä tavalla turvallinen, ettei sen tietoturva välittömästi lahoaisi käsiin (kuten he itse antavat ymmärtää) kun aukkojen paikkaaminen lopetetaan? Voisiko aukkojen hyödyntämisestä tehdä erilaisilla arkkitehtuurillisilla ratkaisuilla ja muilla proaktiivisilla menetelmillä rikollisille niin hankalaa ja kallista, ettei se olisi enää taloudellisesti kannattavaa, vaan hakkereiden ainoaksi varteenotettavaksi keinoksi jäisi social engineeringin tyyppinen toiminta, eli lähinnä tietämättömien huijaaminen saastuttamaan itse koneensa?

Henkilökohtaisesti veikkaan, että Microsoftilla ei ole erityisemmin aitoa mielenkiintoa proaktiivisten ja kestävien tietoturvaratkaisujen edistämiseen, koska heidän ainoa keinonsa saada suuri osa käyttäjistä siirtymään uudempaan käyttöjärjestelmään (ja ostamaan samalla uudet lisenssit) tuntuu nykyään olevan tietoturvapäivitysten loppumisella ja siitä seuraavalla katastrofilla uhkailu, plus sekalainen joukko pienempiä likaisia temppuja.
Ongelma on siinä, että nuo kaksi tapaa eivät ole toisensa poissulkevia. Microsoft, kaikesta perinteisestä ”pahuudestaan” huolimatta, on oikeasti aika hyvä noissa molemmissa. (Vaikka tälläkin palstalla moni kritisoi jopa tuota UAC olemassaoloa.)

Mutta siis pelkästään tuon aktiivisen (ts. viestisi menetelmät) tietoturvan parantaminen ei auta lähes tippaakaan jos esim. käyttää järjestelmää jolle on tunnettu tehokas haavoittuvuus. Se aktiivisen tietoturvan suoja ei ole koskaan aukoton, ja tuollainen ajan kanssa optimoitu ”hyötykuorma” saadaan perille mitä pienimmästäkin reiästä tuossa minimoidussa tarttumapinnassasi. (Toki jos kone ei aidosti ole verkossa*, ajaa vaikka jotain mittalaitetta, niin silloin jopa se XP voi siellä jatkaa sitä eloaan ajasta ikuisuuteen.)

* Tai on erittäin tehokkaasti moderoidussa verkossa, joka sallii vain sen yhdentyyppisen datan välittämisen tasan rajatun joukon koneita välillä. Ja, se linkki tuosta aliverkosta ulkomaailmaan on tietoturvaltaan ajantasainen.
 

BlackWolf

Suomen Michael Jackson
NOSTO
Liittynyt
18.10.2016
Viestejä
1 795
Syy miksi nyt pidän tällaista esitelmää on se, että itseäni on vähitellen alkanut ärsyttää, kuinka kritiikittömästi niin monet suhtautuvat ajatukseen, että tietoturva-aukkojen jatkuva retroaktiivinen paikkaaminen sitä mukaa kun niitä tulee julki (ja tämän toistaminen ad infinitum) on ainoa mahdollinen tapa suojata itsensä ja laitteensa. Noiden edellisten esimerkkien tarkoituksena on osoittaa, että on olemassa toisenlaisiakin lähestymistapoja: yleinen hyökkäyspinta-alan minimointi erilaisilla rajoitustoimilla, tietoturva-aukkojen ennaltaehkäisemiseen perustuvat menetelmät, sekä olemassa olevien aukkojen hyväksikäyttämisen vaikeuttaminen. Ja omasta mielestäni näihin vaihtoehtoisiin lähestymistapoihin sisältyvillä keinoilla on mahdollista päästä hyvinkin pitkälle, jos vain tietää mitä tekee.
Niin jokainen itseään tietoturva-asiantuntijaksi tituleeraava tai muille vittuileva varmaan ymmärtää sen todellisuuden, että viimeisenä sen käyttöjärjestelmän tehnyt siitä reijästä kuulee ja siihen asti käyttäjä on täysin sen todellisuuden vallassa, että jossain on reikä ja sitä joku tulee hyödyntämään. Ihan se ja sama onko kyseessä kotikone tai se serveri millä pyöritetään miljoonien(miljardien) bisneksiä niin fakta on, että siellä on aukkoja ja niitä voidaan käyttää. Kyse on siitä, että kuinka vaikeaksi sen kaiken voi sille aukon löytävälle tehdä ja tässä on käyttöjärjestelmän aukkojen tukkimisella minimaalinen osuus kokonaisuudesta. Ne oikeat reijät ja ongelmat on ihan muualla.

Ei tarvitse kuin tietää vähän yritysvakoilusta, niin todellisuus on se, että heikoin rajapinta on edelleen ihminen, sitä vastaan on tuhat kertaa helpompi hyökätä kuin etsimällä etsiä heikkouksia ja toivoa parastaan niiden kanssa. Edes armeija ei perusta toimintaansa aukkojen ympärillä juoksemiseen ja sen pitäisi kertoa aika paljon nykyajan informaatiosodankäynnistä ja niistä oikeista uhkista. Aukkoja toki hyödynnetään, mutta vielä tehokkaampaa on iskeä aivan toisin tavoin.
 
Liittynyt
17.10.2016
Viestejä
1 020
Niin jokainen itseään tietoturva-asiantuntijaksi tituleeraava tai muille vittuileva varmaan ymmärtää sen todellisuuden, että viimeisenä sen käyttöjärjestelmän tehnyt siitä reijästä kuulee ja siihen asti käyttäjä on täysin sen todellisuuden vallassa, että jossain on reikä ja sitä joku tulee hyödyntämään. Ihan se ja sama onko kyseessä kotikone tai se serveri millä pyöritetään miljoonien(miljardien) bisneksiä niin fakta on, että siellä on aukkoja ja niitä voidaan käyttää. Kyse on siitä, että kuinka vaikeaksi sen kaiken voi sille aukon löytävälle tehdä ja tässä on käyttöjärjestelmän aukkojen tukkimisella minimaalinen osuus kokonaisuudesta. Ne oikeat reijät ja ongelmat on ihan muualla.

Ei tarvitse kuin tietää vähän yritysvakoilusta, niin todellisuus on se, että heikoin rajapinta on edelleen ihminen, sitä vastaan on tuhat kertaa helpompi hyökätä kuin etsimällä etsiä heikkouksia ja toivoa parastaan niiden kanssa. Edes armeija ei perusta toimintaansa aukkojen ympärillä juoksemiseen ja sen pitäisi kertoa aika paljon nykyajan informaatiosodankäynnistä ja niistä oikeista uhkista. Aukkoja toki hyödynnetään, mutta vielä tehokkaampaa on iskeä aivan toisin tavoin.
Hah-hah-hah... eipä perusta nuo tiedustelupalvelut (tai tässä armeija) haavoittuvuuksiin ja niiden ostamiseen. Hyvänä esimerkkinä vaikka Stuxnet – Stuxnet - Wikipedia – joka käytti neljää (vaihtoehtoista) kyseisellä hetkellä paikkaamatonta (siis nollapäivä-) haavoittuvuutta käyttöjärjestelmässä?

Samoin taitaa edelleen sen yhden tietyn israelilaisfirman tuote olla myydä noita nollapäivähaavoittuvuuksia (valikoiduille) valtiollisille toimijoille. Suomikin taisi olla asiakaskunnassa. Lähteet jätetään harjoitustehtäväksi, ei pitäisi olla turhan vaikeaa.

Ai, niin, pakollinen /s

Ihminen on tosiaan yksi heikoimmista lenkeistä, mutta tuo on siis vain ihmiselle jota käytetään tartutusrajapintana. Ja, tuolloin tarvitaan se sopiva (paikallinen) nollapäivähaavoittuvuus. Korjaamattomille vanhentuneille järjestelmille noita tuollaisia heikomia nollapäivähaavoittuvuuksia saa ostettua (vähintään) kertaluokkaa halvemmalla, joten se kynnys katoaa noista. (Pakollinen lihavointi, molemmat tarvitaan, tartuntapinta ja vika.) Ne ei-paikalliset viat varmaan saavat tälläkin kertaa vielä virallisen tuen jälkeen paikkauksia... koska ne taas vaarantavat Microsoftin näkökulmasta isompia asioita kuin yksittäisiä firmoja, esim. Microsoftin oman maineen.

Jos haluaa käyttää ihmistä pahantahtoisena toimijana, eikä vaan tuollaisena ”hyödyllisenä idioottina” asentelemassa niitä USB-tikkuja ja työkalurivejä, niin se ei taida olla ihan helppoa. Ja, sitä vastaan kamppailu tarvitsee ihan erilaisia menetelmiä.
 

BlackWolf

Suomen Michael Jackson
NOSTO
Liittynyt
18.10.2016
Viestejä
1 795
Hah-hah-hah... eipä perusta nuo tiedustelupalvelut (tai tässä armeija) haavoittuvuuksiin ja niiden ostamiseen. Hyvänä esimerkkinä vaikka Stuxnet – Stuxnet - Wikipedia – joka käytti neljää (vaihtoehtoista) kyseisellä hetkellä paikkaamatonta (siis nollapäivä-) haavoittuvuutta käyttöjärjestelmässä?

Samoin taitaa edelleen sen yhden tietyn israelilaisfirman tuote olla myydä noita nollapäivähaavoittuvuuksia (valikoiduille) valtiollisille toimijoille. Suomikin taisi olla asiakaskunnassa. Lähteet jätetään harjoitustehtäväksi, ei pitäisi olla turhan vaikeaa.

Ai, niin, pakollinen /s

Ihminen on tosiaan yksi heikoimmista lenkeistä, mutta tuo on siis vain ihmiselle jota käytetään tartutusrajapintana. Ja, tuolloin tarvitaan se sopiva (paikallinen) nollapäivähaavoittuvuus. Korjaamattomille vanhentuneille järjestelmille noita tuollaisia heikomia nollapäivähaavoittuvuuksia saa ostettua (vähintään) kertaluokkaa halvemmalla, joten se kynnys katoaa noista. (Pakollinen lihavointi, molemmat tarvitaan, tartuntapinta ja vika.) Ne ei-paikalliset viat varmaan saavat tälläkin kertaa vielä virallisen tuen jälkeen paikkauksia... koska ne taas vaarantavat Microsoftin näkökulmasta isompia asioita kuin yksittäisiä firmoja, esim. Microsoftin oman maineen.

Jos haluaa käyttää ihmistä pahantahtoisena toimijana, eikä vaan tuollaisena ”hyödyllisenä idioottina” asentelemassa niitä USB-tikkuja ja työkalurivejä, niin se ei taida olla ihan helppoa. Ja, sitä vastaan kamppailu tarvitsee ihan erilaisia menetelmiä.
Tetokoneita on ollut käytössä eri paikoissa viimeiset mitä 50 vuotta ja yksi Stuxnet on osoitus siitä miten haavoittuvuuksia käytetään hyväksi. Ei kai tässä voi muuta kuin hattua nostaa. Olisit nyt antanut esimerkiksi vaikka hakkerien aikanaan puhelimeen viheltelyt, että saivat ilmaisia puheluita, olisi ollut edes oikeasti kohtuu esimerkki asiasta. Mutta olikin siis USA:n miljardeilla pyörittämät asevoimat joihin kuuluu myös se kybertouhu. Ei liene ihan hirveän suuri riski haavoittuvuuksien kanssa jos uhkana on USAn koko armeija, että saadaan haavoittuvuudet käyttöön.

Lisäksi koko Stuxnetissä ei kerrota siitä kuinka monta sataa tai tuhatta konetta niillä perus suojauksilla saatiin estämään Stuxnet. Riitti että oli riittävän monta ihmistä ja joku idiootti EI tehnyt mitä piti ja siksi pääsivät läpi. Sama pätee moneen muuhunkin hyökkäykseen, kun se ihminen on edelleen se heikoin rajapinta.
Exclusive: U.S. tried Stuxnet-style campaign against North Korea but failed - sources
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
1 020
Tetokoneita on ollut käytössä eri paikoissa viimeiset mitä 50 vuotta ja yksi Stuxnet on osoitus siitä miten haavoittuvuuksia käytetään hyväksi. Ei kai tässä voi muuta kuin hattua nostaa. Olisit nyt antanut esimerkiksi vaikka hakkerien aikanaan puhelimeen viheltelyt, että saivat ilmaisia puheluita, olisi ollut edes oikeasti kohtuu esimerkki asiasta. Mutta olikin siis USA:n miljardeilla pyörittämät asevoimat joihin kuuluu myös se kybertouhu. Ei liene ihan hirveän suuri riski haavoittuvuuksien kanssa jos uhkana on USAn koko armeija, että saadaan haavoittuvuudet käyttöön.

Lisäksi koko Stuxnetissä ei kerrota siitä kuinka monta sataa tai tuhatta konetta niillä perus suojauksilla saatiin estämään Stuxnet. Riitti että oli riittävän monta ihmistä ja joku idiootti EI tehnyt mitä piti ja siksi pääsivät läpi. Sama pätee moneen muuhunkin hyökkäykseen, kun se ihminen on edelleen se heikoin rajapinta.
Exclusive: U.S. tried Stuxnet-style campaign against North Korea but failed - sources
Luetun tekstin ymmärtämisesi oli aika 6/5, samoin tuo linkkisi (jossa ne ihmiset olivat tosiaan sen tietoturvan vahvin rajapinta, tai, no, se ainoa joka piti) sen tueksi.

Se ihmishaavoittuvuus ei auta, jos ei ole myös sitä paikkaamatonta haavoittuvuutta. Samoin se pelkkä haavoittuvuus ei auta jos ei ole sitä tarttumispintaa (tai -vektoria).

Se, että altistaa itsensä tieten tahtoen toiselle noista ei ole älykästä optimoitua tietoturvaa, vaan ihan silkkaa tyhmyyttä – jossa se ihminen, eli päivittämättä jätetyn koneen ylläpitäjä – on se suurin heikkous.
 

BlackWolf

Suomen Michael Jackson
NOSTO
Liittynyt
18.10.2016
Viestejä
1 795
Luetun tekstin ymmärtämisesi oli aika 6/5, samoin tuo linkkisi (jossa ne ihmiset olivat tosiaan sen tietoturvan vahvin rajapinta, tai, no, se ainoa joka piti) sen tueksi.

Se ihmishaavoittuvuus ei auta, jos ei ole myös sitä paikkaamatonta haavoittuvuutta. Samoin se pelkkä haavoittuvuus ei auta jos ei ole sitä tarttumispintaa (tai -vektoria).

Se, että altistaa itsensä tieten tahtoen toiselle noista ei ole älykästä optimoitua tietoturvaa, vaan ihan silkkaa tyhmyyttä – jossa se ihminen, eli päivittämättä jätetyn koneen ylläpitäjä – on se suurin heikkous.
Tämähän se olikin oikein hyvin luettua ja ymmärretyä. Eli se, että ihminen on se heikoin/vahvin rajapinta ei päde, koska pitää olla joku haavoittuvuus, tai siis ei välttämättä pidä jos on vain tyhmä ihminen. Tietentahtoen se Irankin oman ydinohjelman tuhosi, koska USA parempi ja koska aukot. Vai siis, että ihminen olikin se heikoin lenkki ja P-Koreassa samaa heikkoa lenkkiä ei ollut? Ihan sama mikä käyttöjärjestelmä oli kyseessä. Koska tietoturva on 99,99% riippumaton käyttöjärjestelmästä. Irankin tieten tahtoen altisti itsensä hyökkäykselle. Vai siis oliko tämä asia riippumaton käyttöjärjestelmän tietoturvasta ja riippuvainen ihmisestä?!
 

Foxy

• Artisti •
Liittynyt
11.01.2019
Viestejä
323
Varmasti yksi syy miksi MS puskee pakkopäivityksiä nykyään pihalle on se, että suuri määrä windows 7 ja XP käyttäjiä eivät pitäneet päivityksiä/järjestelmää ajantasalla tai eivät koskaan päivittäneet niitä, bottiverkot ei ole kenellekkään hyvä asia.
 
Liittynyt
16.10.2016
Viestejä
12 045
Varmasti yksi syy miksi MS puskee pakkopäivityksiä nykyään pihalle on se, että suuri määrä windows 7 ja XP käyttäjiä eivät pitäneet päivityksiä/järjestelmää ajantasalla tai eivät koskaan päivittäneet niitä, bottiverkot ei ole kenellekkään hyvä asia.
Tosin kun pakkopäivityksiin palaa käämi, niin on sangen mahdollista, että pistää ne silti pois (se kun on aina kuitenkin mahdollista, tavalla ja toisella) ja unohtaa koko asian, kun ei ole yksinkertaista keinoa pistää niitä päälle manuaalisesti.

Ja kyllä noihin käyttöjärjestelmiin on saanut bottiverkot asennettua, olipa päivitykset ajantasalla tai ei, jos käyttäjä on ollut kusetettavissa. Sanoisin, että 95% tai enemmän haitakkeista on perustunut jonkinlaiseen käyttäjän kusettamiseen, eli jonkun ohjelman mukana on tuupattu myös haitake tai ilmoitettu, että käyttäjä tarvitsee asian X tai tietoturva / ajurit eivät ole ajan tasalla, päivitä tästä.
 
Liittynyt
14.12.2016
Viestejä
165
Oli ja on 7 edelleen hyvä käyttis vaikka aikoinaan hyppäsin jo tuoreeseen 8.1 mikä oli puutteinensa ja bugiensa kanssa mielestäni jopa parempi, noh. Kehitys kehittyy jne. Ehdottomasti voisin asentaa kakkoskoneeseen seiskan.
 

Foxy

• Artisti •
Liittynyt
11.01.2019
Viestejä
323
Tosin kun pakkopäivityksiin palaa käämi, niin on sangen mahdollista, että pistää ne silti pois (se kun on aina kuitenkin mahdollista, tavalla ja toisella) ja unohtaa koko asian, kun ei ole yksinkertaista keinoa pistää niitä päälle manuaalisesti.

Ja kyllä noihin käyttöjärjestelmiin on saanut bottiverkot asennettua, olipa päivitykset ajantasalla tai ei, jos käyttäjä on ollut kusetettavissa. Sanoisin, että 95% tai enemmän haitakkeista on perustunut jonkinlaiseen käyttäjän kusettamiseen, eli jonkun ohjelman mukana on tuupattu myös haitake tai ilmoitettu, että käyttäjä tarvitsee asian X tai tietoturva / ajurit eivät ole ajan tasalla, päivitä tästä.
Toki, mutta ne pystyi vaan ignooramaan seiskassa/xpssä vaikka ei olisi tiennyt juuri mitään koneista, Windows 10 se oikeasti jo vaatii tietämystä että ne saa kokonaan pois päältä, kyllä se että kaikkien koneet on viimisimmässä päivityksessä hidastaa tuholaisten leviämisen ja varsinkin kun se 90% on niitä koti/peruskäyttäjiä joiden osaaminen ja tietämys rajoittuu netin selaukseen ja niiden koneet pitää saada mahdollisimman "idioottivarmaksi".
 
Viimeksi muokattu:

Alensia

Custom-titteli
Liittynyt
17.10.2016
Viestejä
3 811
Asentelin tänään ihan kokeeksi Seiskan yhteen vanhempaan Athlon II X4 -kokoonpanoon ja kyllähän se yllättävän livakalta tuntui vanhemmassa koneessa. Kuitenkin esim. Windows Updaten käyttö suoraan asennuksen jälkeen (SP1 valmiina) ei onnistu, vaan kaatuu virheeseen - tämä pitää googlata ja sekalaisilta sivuilta löytyvien viestiketjujen perusteella yhyttää jokin manuaalisesti mikkisoftalta ladattava KB-päivitys ennen kuin Windows Updatea pystyy käyttämään.. Lisäksi tuo heittää itsestään päälle "Asenna päivitykset automaattisesti" vähän joka välissä, vaikka kääntäisi mihin asentoon, että se niistä "ei-pakotetuista päivityksistä". Ainoa hyvä juttu tuossa on että antiikkisella raudalla (HD 3200) käyttö onnistuu, Win 10:ssä ei tainnut uuemmissa versioissa noiden antiikki-ratukoiden ajurit suostua edes asentumaan vaan piti mennä geneerisellä jos halusi.
 
Liittynyt
13.12.2016
Viestejä
2 949
Asentelin tänään ihan kokeeksi Seiskan yhteen vanhempaan Athlon II X4 -kokoonpanoon ja kyllähän se yllättävän livakalta tuntui vanhemmassa koneessa. Kuitenkin esim. Windows Updaten käyttö suoraan asennuksen jälkeen (SP1 valmiina) ei onnistu, vaan kaatuu virheeseen - tämä pitää googlata ja sekalaisilta sivuilta löytyvien viestiketjujen perusteella yhyttää jokin manuaalisesti mikkisoftalta ladattava KB-päivitys ennen kuin Windows Updatea pystyy käyttämään.. Lisäksi tuo heittää itsestään päälle "Asenna päivitykset automaattisesti" vähän joka välissä, vaikka kääntäisi mihin asentoon, että se niistä "ei-pakotetuista päivityksistä". Ainoa hyvä juttu tuossa on että antiikkisella raudalla (HD 3200) käyttö onnistuu, Win 10:ssä ei tainnut uuemmissa versioissa noiden antiikki-ratukoiden ajurit suostua edes asentumaan vaan piti mennä geneerisellä jos halusi.
Itselle tein Windows 7:lle USB tikun jolle slipstreamattu läjä päivityksiä että toimii suoraan Windows Update. Tosin käytän pääsääntöisesti Win10, mutta pariin vanhaan koneeseen, joissa vanhempaa rautaa (ei Win10 ajureita saatavilla), tuolla tullut laitettua. Harmi ettei MS tehnyt missään vaiheessa SPP2 versiota tuosta, olisi virallinen asennus image jolta nuo toimii.

Aikansa kutakin, eipä tuota Win7 enää voi suositella asennattavaksi mihinkään, jos ei välttämättä tarvitse raudan/ohjelmiston takia.
 
Liittynyt
16.10.2016
Viestejä
12 045
Toki, mutta ne pystyi vaan ignooramaan seiskassa/xpssä vaikka ei olisi tiennyt juuri mitään koneista, Windows 10 se oikeasti jo vaatii tietämystä että ne saa kokonaan pois päältä, kyllä se että kaikkien koneet on viimisimmässä päivityksessä hidastaa tuholaisten leviämisen ja varsinkin kun se 90% on niitä koti/peruskäyttäjiä joiden osaaminen ja tietämys rajoittuu netin selaukseen ja niiden koneet pitää saada mahdollisimman "idioottivarmaksi".
No, luulisin, ettei vaadi kovinpaljon asiantuntemusta googlata vittuunnuksissaan esimerkiksi:
Windows 10 update blocker.

Varmasti löytyy sitten myös haitakkeita, mutta myös ihan toimivia ratkaisuja..
-------------------
Kyllähän siihen seiskan imageen voi slipstreamata esim päivityksiä, jolloin win updatea tarvitsee vain vähän. Samoin voi pistää muutamat usb 3 ajurit ym, jolloin asentuu myös ainankin melkoisen uusille intel emoille.

Yhteen aikaan tuli myös iso paketti päivityksiä könttänä, joka oli vähänkuin SP2:n korvike..
 
Liittynyt
14.01.2017
Viestejä
29
... Lisäksi nämä kotikäyttäjät haluavat änkyröidä ja jatkaa myös muiden vanhojen ohjelmien käyttöä, niin sitten vaikka sähköpostiohjelma ajelee iloisesti kaikki viestissä olevat skripit, kun sitä ei ole päivitetty 8 vuoteen.
Rakennat nyt argumenttisi vahvasti sellaisen käyttötapauksen varaan, joka ei välttämättä ole kovin relevantti tämän foorumin käyttäjäkunnan näkökulmasta. Jollekin "änkyröivälle peruskäyttäjälle", jolla ei ole erityisempää ymmärrystä tietoturvasta tai muutenkaan tekniikasta, ja jolle tuottaa netissäkin vaikeuksia erottaa luotettavat sisällöt epäluotettavista, voi tosiaan olla että automaattiset päivitykset ja viimeisimpien ohjelmistoversioiden käyttäminen ovat ainoa realistinen keino pysyä suojassa tietoturvauhilta. Tämän foorumin tyypillinen käyttäjä on kuitenkin huomattavasti valistuneempi, ja pystyy tarvittaessa korvaamaan päivitysten tarjoamaa suojaa muilla tavoin, kuten konfiguroimaan järjestelmänsä siten että potentiaalisten hyökkäysvektoreiden määrä vähenee oleellisesti, ja käyttämään selaimessaan tietoturvaa parantavia lisäosia, jotka rajoittavat mm. skriptien suoritusta. Siksi onkin vähän hassua, että tällaisella edistyneiden harrastajien foorumilla aina mätkitään tämäntyyppisissä keskusteluissa näitä "vanhassa roikkujia" sillä iänikuisella tietoturva-argumentilla hyvinkin holhoavaa asennetta henkivällä tavalla, aivan kuin nämä päivittämisestä kieltäytyvät olisivat poikkeuksetta jotain puoli-imbesillejä ummikoita, jotka eivät lainkaan kykene ymmärtämään valinnastaan seuraavia potentiaalisia riskejä, ja jotka ovat täysin kykenemättömiä suojaamaan itseään millään tietoturvapäivityksistä riippumattomilla tavoilla.

Noita vaihtoehtoisia tapojasi on vain kovin vaikea retroaktiivisesti tunkea jo käännettyihin ohjelmiin.. Eli lähes kaikelle, mitä on jo tehty.
Ei ollut tarkoituskaan väittää, että nuo olisivat niitä keinoja joita loppukäyttäjä voi hyödyntää täysin itsenäisesti. Kuten jo edellisessä viestissäni totesin, niin noiden esimerkkien tarkoitus oli lähinnä osoittaa, että tietoturvaan on muunkinlaisia lähestymistapoja kuin jatkuva paikkaa paikan päälle -ruljanssi, jota monet tuntuvat pitävän ainoana kuviteltavissa olevana ratkaisuna. Erikseen on sitten vielä toki ne keinot joilla kotikäyttäjä voi oma-aloitteisesti parantaa tietoturvaansa (niistä tarkemmin siellä Windows 7 -ketjussa).

Nuo ovat tapoja, jolla kehittäjät voivat lisätä ohjelmiensa tietoturvaa ja ne ovat asioita, joita tuskin näkee vanhoissa legacy-ohjelmissa, joita Windows 7:n ohjelmat käytännössä ovat.
Tässä olet muuten väärässä. DEP ja ASLR ovat oletuksena käytössä kaikille 64-bittisille ohjelmille, koska 64-bittisten Windowsien binäärirajapinta (tai DEP:n osalta oikeastaan jo x86-64-arkkitehtuuri) vaatii ohjelmilta yhteensopivuutta niiden kanssa. 32-bittisille ohjelmille DEP on valinnainen (kytkettävissä päälle järjestelmän asetuksista), ja ASLR:ää sovelletaan kaikkiin koodimoduuleihin joihin on käännös-/linkkausvaiheessa lisätty mukaan relokaatiotaulu (käytännössä kaikki dll-kirjastot, exe-tiedostoista vain ne jotka on erikseen käännetty yhteensopiviksi ASLR:n kanssa). Stack canary -tyyppisten puskuriylivuotosuojausten yleisyydestä en tiedä, mutta Microsoft olisi toki halutessaan voinut määrittää Visual Studion modernit versiot lisäämään ne oletusasetuksilla kaikkiin käännettäviin ohjelmiin.

Eiköhän voidaan suoraan kuitenkin odottaa, että sitä konetta käytetään internetissä.. Ja se kone muodostaa itse yhteyksiä ulos, esim. NTP:tä varten ja semmoinen palvelin jo vähintään kerran kaapattu.
No ei toki ole periaatteessa mahdotonta, että joku serveri, jonne kone muodostaa yhteyksiä tietyn tehtävän hoitamista varten, olisikin kaapattu ja vastaisi tiettyihin requesteihin huolellisesti muotoillulla korruptoidulla datalla, jonka tarkoituksena on triggeröidä jokin haavoittuvuus pyynnön lähettäneessä koneessa, mikä edelleen johtaisi tämän koneen saastumiseen. Käytännön tasolla tosin tuollainen skenaario ei kuulosta minusta järin todennäköiseltä, enkä myöskään ole tämän kaltaisesta hyökkäyksestä koskaan kuullut. Riskiä tietty voi vähentää rajoittamalla palomuurilla sitä, mitkä sovellukset saavat muodostaa koneelta yhteyksiä ulospäin. Mielenkiintoinen ajatus silti, ja kuulisin mielelläni jos jollain on tämäntyyppisestä hyökkäyksestä tosielämän esimerkkejä.

Mutta siis pelkästään tuon aktiivisen (ts. viestisi menetelmät) tietoturvan parantaminen ei auta lähes tippaakaan jos esim. käyttää järjestelmää jolle on tunnettu tehokas haavoittuvuus. Se aktiivisen tietoturvan suoja ei ole koskaan aukoton, ja tuollainen ajan kanssa optimoitu ”hyötykuorma” saadaan perille mitä pienimmästäkin reiästä tuossa minimoidussa tarttumapinnassasi.
Nähdäkseni tämä pätee lähinnä silloin, jos koneella on aktiivisesti verkkoa kuuntelevia palvelinprosesseja, jotka hyväksyvät yhteydenmuodostuspyyntöjä ulkopuolelta. Jos kuitenkin kone on palomuurin takana (joka hylkää kaiken sellaisen tietoliikenteen joka ei ole osa jotain jo olemassa olevaa ulospäin muodostettua TCP/IP-yhteyttä) ja selainta (plus muita nettiin yhteydessä olevia, potentiaalisesti vihamieliselle datalle altistuvia sovelluksia) ajetaan sandboxattuna ja/tai muita tehokkaita rajoitustoimia (esim. skriptien esto) käyttäen, niin uskaltaisin väittää että käytännön riski on silloin hyvin pieni. Kohdennetut hyökkäykset ovat tietysti asia erikseen, mutta sitten pitäisi jo jotain kohtuu arvokasta dataakin löytyä, että päätyy määrätietoisten murtautumisyritysten kohteeksi. Kotikäyttäjän kannalta relevantteja uhkia ovat lähinnä saastutettujen nettisivujen, mainosverkostojen sekä sähköpostin välityksellä kohdentamattomasti ja automatisoidusti levitettävät haittaohjelmat, joilta suojautumiseen riittävät kyllä sandboxauksen ja skriptien estämisen kaltaiset keinot.
 
Liittynyt
17.10.2016
Viestejä
21 885
Rakennat nyt argumenttisi vahvasti sellaisen käyttötapauksen varaan, joka ei välttämättä ole kovin relevantti tämän foorumin käyttäjäkunnan näkökulmasta. Jollekin "änkyröivälle peruskäyttäjälle", jolla ei ole erityisempää ymmärrystä tietoturvasta tai muutenkaan tekniikasta, ja jolle tuottaa netissäkin vaikeuksia erottaa luotettavat sisällöt epäluotettavista, voi tosiaan olla että automaattiset päivitykset ja viimeisimpien ohjelmistoversioiden käyttäminen ovat ainoa realistinen keino pysyä suojassa tietoturvauhilta. Tämän foorumin tyypillinen käyttäjä on kuitenkin huomattavasti valistuneempi, ja pystyy tarvittaessa korvaamaan päivitysten tarjoamaa suojaa muilla tavoin, kuten konfiguroimaan järjestelmänsä siten että potentiaalisten hyökkäysvektoreiden määrä vähenee oleellisesti, ja käyttämään selaimessaan tietoturvaa parantavia lisäosia, jotka rajoittavat mm. skriptien suoritusta. Siksi onkin vähän hassua, että tällaisella edistyneiden harrastajien foorumilla aina mätkitään tämäntyyppisissä keskusteluissa näitä "vanhassa roikkujia" sillä iänikuisella tietoturva-argumentilla hyvinkin holhoavaa asennetta henkivällä tavalla, aivan kuin nämä päivittämisestä kieltäytyvät olisivat poikkeuksetta jotain puoli-imbesillejä ummikoita, jotka eivät lainkaan kykene ymmärtämään valinnastaan seuraavia potentiaalisia riskejä, ja jotka ovat täysin kykenemättömiä suojaamaan itseään millään tietoturvapäivityksistä riippumattomilla tavoilla.



Ei ollut tarkoituskaan väittää, että nuo olisivat niitä keinoja joita loppukäyttäjä voi hyödyntää täysin itsenäisesti. Kuten jo edellisessä viestissäni totesin, niin noiden esimerkkien tarkoitus oli lähinnä osoittaa, että tietoturvaan on muunkinlaisia lähestymistapoja kuin jatkuva paikkaa paikan päälle -ruljanssi, jota monet tuntuvat pitävän ainoana kuviteltavissa olevana ratkaisuna. Erikseen on sitten vielä toki ne keinot joilla kotikäyttäjä voi oma-aloitteisesti parantaa tietoturvaansa (niistä tarkemmin siellä Windows 7 -ketjussa).



Tässä olet muuten väärässä. DEP ja ASLR ovat oletuksena käytössä kaikille 64-bittisille ohjelmille, koska 64-bittisten Windowsien binäärirajapinta (tai DEP:n osalta oikeastaan jo x86-64-arkkitehtuuri) vaatii ohjelmilta yhteensopivuutta niiden kanssa. 32-bittisille ohjelmille DEP on valinnainen (kytkettävissä päälle järjestelmän asetuksista), ja ASLR:ää sovelletaan kaikkiin koodimoduuleihin joihin on käännös-/linkkausvaiheessa lisätty mukaan relokaatiotaulu (käytännössä kaikki dll-kirjastot, exe-tiedostoista vain ne jotka on erikseen käännetty yhteensopiviksi ASLR:n kanssa). Stack canary -tyyppisten puskuriylivuotosuojausten yleisyydestä en tiedä, mutta Microsoft olisi toki halutessaan voinut määrittää Visual Studion modernit versiot lisäämään ne oletusasetuksilla kaikkiin käännettäviin ohjelmiin.



No ei toki ole periaatteessa mahdotonta, että joku serveri, jonne kone muodostaa yhteyksiä tietyn tehtävän hoitamista varten, olisikin kaapattu ja vastaisi tiettyihin requesteihin huolellisesti muotoillulla korruptoidulla datalla, jonka tarkoituksena on triggeröidä jokin haavoittuvuus pyynnön lähettäneessä koneessa, mikä edelleen johtaisi tämän koneen saastumiseen. Käytännön tasolla tosin tuollainen skenaario ei kuulosta minusta järin todennäköiseltä, enkä myöskään ole tämän kaltaisesta hyökkäyksestä koskaan kuullut. Riskiä tietty voi vähentää rajoittamalla palomuurilla sitä, mitkä sovellukset saavat muodostaa koneelta yhteyksiä ulospäin. Mielenkiintoinen ajatus silti, ja kuulisin mielelläni jos jollain on tämäntyyppisestä hyökkäyksestä tosielämän esimerkkejä.



Nähdäkseni tämä pätee lähinnä silloin, jos koneella on aktiivisesti verkkoa kuuntelevia palvelinprosesseja, jotka hyväksyvät yhteydenmuodostuspyyntöjä ulkopuolelta. Jos kuitenkin kone on palomuurin takana (joka hylkää kaiken sellaisen tietoliikenteen joka ei ole osa jotain jo olemassa olevaa ulospäin muodostettua TCP/IP-yhteyttä) ja selainta (plus muita nettiin yhteydessä olevia, potentiaalisesti vihamieliselle datalle altistuvia sovelluksia) ajetaan sandboxattuna ja/tai muita tehokkaita rajoitustoimia (esim. skriptien esto) käyttäen, niin uskaltaisin väittää että käytännön riski on silloin hyvin pieni. Kohdennetut hyökkäykset ovat tietysti asia erikseen, mutta sitten pitäisi jo jotain kohtuu arvokasta dataakin löytyä, että päätyy määrätietoisten murtautumisyritysten kohteeksi. Kotikäyttäjän kannalta relevantteja uhkia ovat lähinnä saastutettujen nettisivujen, mainosverkostojen sekä sähköpostin välityksellä kohdentamattomasti ja automatisoidusti levitettävät haittaohjelmat, joilta suojautumiseen riittävät kyllä sandboxauksen ja skriptien estämisen kaltaiset keinot.
Nyt osa niistä "tietoturvaa parantavista" featureista unohtui, kun ne ei olleetkaan enää käteviä, ASRL:ssä on ollut ja tulee olemaan haavoittuvuuksia ja en näillä näytöillä jaksa DEP:istä lukea, enkä käydä siellä ketjussa, missä kotikonstein ja hienoin sanankääntein taas myyt tätä käärmeöljypropagandaa.

Palomuurin konffauksessa käsin kaikille sovelluksille ei taas ole työmäärällisesti mitään järkeä.

Ja sovelluskohtaisesta palomuurista kun siirrytään tuohon tilalliseen palomuuriin, niin ne ei ole mitään halpoja laitteita ja ei niitä ole kotikäyttäjämustasusilla. Ja koeta nyt herrajumala ymmärtää, että on muitakin protokollia kuin TCP/IP. Tai edes eriyttää nuo kaksi ja lukea seuraavana wikipediahienosana-artikkelinasi vaikka OSI-kerrokset.

Kah, kun et ajele sitten kaikkia sovelluksia virtuaalikoneessa vaikka XP modessa, kun niitä pitää niin kovasti "sandboxata".

edit: kävin sittenkin lukemassa toisessa ketjussa. Kuvittelet olevasi turvassa. Kuvittelet olevasi kaikki muita fiksumpi. Todellisuudessa mikään järjestelmä ei ole aukoton, ja suurin suojasi tällä hetkellä on se, että ketään ei oikeasti kiinnosta sinun koneesi ja sen data.
Jos joku oikeasti välittäisi, ensin kaatuisi se XP-koneesi (oikeasti, mitä helvettiä) ja sitten oltaisiin sisäverkossa, jossa palomuuriasetuksesi eivät enää päde.
Jossain vaiheessa myös muut ohjelmat lakkaavat päivittymästä, ja sitten käytät jotain ikivanhaa versiota selaimesta ja internetiin yhteydessä olevista ohjelmista, niin on kyllä hyökkäysrajapinta kasvanut reilusti , vaikka tekisit mitä.

--

Enpä tiedä, minusta on haitallisempaa tällaisen valheellisen turvallisuudentunteen levittäminen, kuin päivittämiseen pakottaminen.
Aikaa päivittämiseen on ollut vaikka kuinka kauan ja nyt sekin on loppunut, niin kikkakolmosten ja asetusnäpräilyn sijasta voisit sinäkin vain päivittää koneesi.
Ei se, että konettasi ei ole vielä murrettu todista sitä, että sitä ei voi murtaa. Et vaan ole sattunut tulilinjalle ja kikkailusi vähentää ne helpot yritykset pois. Se ei tarkoita, ettei jollain kehittyneemmällä ja/tai tuoreemmalla hyökkäyksellä saataisi sinunkin settiäsi alas. Ja sitten se eskaloituu, kun lähiverkossasi on vammaisia XP-koneita ja todennäköisesti muita laitteita, joita pidät vaan palomuurin takana ja uskosi siihen palomuuriin on lähes fanaattisen sokea.
 
Viimeksi muokattu:
Liittynyt
16.10.2016
Viestejä
12 045
Nyt osa niistä "tietoturvaa parantavista" featureista unohtui, kun ne ei olleetkaan enää käteviä, ASRL:ssä on ollut ja tulee olemaan haavoittuvuuksia ja en näillä näytöillä jaksa DEP:istä lukea, enkä käydä siellä ketjussa, missä kotikonstein ja hienoin sanankääntein taas myyt tätä käärmeöljypropagandaa.

Palomuurin konffauksessa käsin kaikille sovelluksille ei taas ole työmäärällisesti mitään järkeä.

Ja sovelluskohtaisesta palomuurista kun siirrytään tuohon tilalliseen palomuuriin, niin ne ei ole mitään halpoja laitteita ja ei niitä ole kotikäyttäjämustasusilla. Ja koeta nyt herrajumala ymmärtää, että on muitakin protokollia kuin TCP/IP. Tai edes eriyttää nuo kaksi ja lukea seuraavana wikipediahienosana-artikkelinasi vaikka OSI-kerrokset.

Kah, kun et ajele sitten kaikkia sovelluksia virtuaalikoneessa vaikka XP modessa, kun niitä pitää niin kovasti "sandboxata".

edit: kävin sittenkin lukemassa toisessa ketjussa. Kuvittelet olevasi turvassa. Kuvittelet olevasi kaikki muita fiksumpi. Todellisuudessa mikään järjestelmä ei ole aukoton, ja suurin suojasi tällä hetkellä on se, että ketään ei oikeasti kiinnosta sinun koneesi ja sen data.
Jos joku oikeasti välittäisi, ensin kaatuisi se XP-koneesi (oikeasti, mitä helvettiä) ja sitten oltaisiin sisäverkossa, jossa palomuuriasetuksesi eivät enää päde.
Jossain vaiheessa myös muut ohjelmat lakkaavat päivittymästä, ja sitten käytät jotain ikivanhaa versiota selaimesta ja internetiin yhteydessä olevista ohjelmista, niin on kyllä hyökkäysrajapinta kasvanut reilusti , vaikka tekisit mitä.

--

Enpä tiedä, minusta on haitallisempaa tällaisen valheellisen turvallisuudentunteen levittäminen, kuin päivittämiseen pakottaminen.
Aikaa päivittämiseen on ollut vaikka kuinka kauan ja nyt sekin on loppunut, niin kikkakolmosten ja asetusnäpräilyn sijasta voisit sinäkin vain päivittää koneesi.
Ei se, että konettasi ei ole vielä murrettu todista sitä, että sitä ei voi murtaa. Et vaan ole sattunut tulilinjalle ja kikkailusi vähentää ne helpot yritykset pois. Se ei tarkoita, ettei jollain kehittyneemmällä ja/tai tuoreemmalla hyökkäyksellä saataisi sinunkin settiäsi alas. Ja sitten se eskaloituu, kun lähiverkossasi on vammaisia XP-koneita ja todennäköisesti muita laitteita, joita pidät vaan palomuurin takana ja uskosi siihen palomuuriin on lähes fanaattisen sokea.
Yksityisillä on jokatapauksessa talo täynnä IOT laitteita ym, joiden tietoturva ei ole ajantasalla, kun niihin ei enää ole päivityksiä saatavissa, joten ne kannattaa jokatapauksessa piilottaa sen palomuurin taakse, jos viitsii jotain nattia parempaa viritellä.
 
Liittynyt
16.10.2016
Viestejä
294
..mutta niitä ei aktiivisesti enää etsitä ja osa jää löytymättä ja paikkaamatta. Ja paikatkin tulee sille maksetulle supportille ensin ja muille myöhemmin, jos jaksavat. Myöskin tietoturvaohjelmistojen tuki on lakkautettu, niin niitä paikkoja ei tule kolmansilta osapuolilta, niinkuin aikaisemmin.
Nyt täytyy korjata. MS päivittää edelleen Security Essentials:ia, katso kuva jos et usko:

win7-horror.png


Lisäksi todennäköisesti kaikki 3rd party AV vendorit jatkaa tukea ainakin tuohon ESU tuen loppuun saakka, eli vielä kolme vuotta, koska osa niiden asiakkaista ostaa tuon maksullisen ESU tuen.

Kolmannekseen löytyy vielä 0patch, jonka näytöt on vielä antamatta, mutta teoriatasolla tuo malli toiminee ainakin osaan haavoittuvuuksista mitä tullaan löytämään. En sitten sen enempää ota kantaa mihin skenaarioihin tätä kannattaa käyttää mutta ihan tiedoksi: Welcome to the era of vulnerability micropatching - 0patch
 

Kaotik

Banhammer
Ylläpidon jäsen
Liittynyt
14.10.2016
Viestejä
21 452
MS ihan erikseen sanoi että MSE tulee saamaan jatkossakin allekirjoituspäivityksiä, mutta alustaa ei tulla enää päivittämään.
 
Liittynyt
16.10.2016
Viestejä
294
MS ihan erikseen sanoi että MSE tulee saamaan jatkossakin allekirjoituspäivityksiä, mutta alustaa ei tulla enää päivittämään.
Kyllä, mutta selvennettäköön hieman miten tärkeää on signature päivitykset vs. engine päivitykset. Suoraan wikipediasta.

TLDR; Ne signature päivitykset merkkaa.

---

"The latest version of 4.10 was released on November 29, 2016. It was version 4.10.209.0 for Windows Vista and Windows 7. This update fixes a bug that was introduced earlier in version 4.10.205.0 which removed the “Scan with Microsoft Security Essentials" entry from the right-click context menu on files and folders."

"Microsoft has drastically improved MSE's detection over time and in the very latest tests done by AV-TEST during February 2018 MSE has achieved 100% detection of all malware samples in both the "Protection against 0-day malware attacks, inclusive of web and e-mail threats (Real-World Testing)" and "Detection of widespread and prevalent malware discovered in the last 4 weeks (the AV-TEST reference set)" categories, earning it AV-TESTS's "Top Product" award."

Microsoft Security Essentials - Wikipedia
 
Liittynyt
14.01.2017
Viestejä
29
Nyt osa niistä "tietoturvaa parantavista" featureista unohtui, kun ne ei olleetkaan enää käteviä,
Niin mikä unohtui? Noista aiemmin mainitsemistani tekniikoista Shadow Stack on mielestäni ainoa, johon en tuossa siteeraamassasi viestissä enää viitannut. Kyseinen tekniikkahan olisi periaatteessa mahdollista toteuttaa puhtaasti raudalla siten, että se on softalle täysin näkymätön eikä vaadi olemassaolevilta ohjelmilta mitään tukea.

ASRL:ssä on ollut ja tulee olemaan haavoittuvuuksia
ASLR ja sen haavoittuvuudet olisivatkin sinänsä varsin mielenkiintoinen keskustelun aihe, jos vain porukalla riittäisi asiantuntemusta ja malttia pohtia sitä faktapohjalta ja ilman pakonomaista tarvetta todistaa omat näkemyksensä oikeiksi. On harmi että näissä nettiväittelyissä liian suurta osaa keskustelijoista tuntuu motivoivan lähinnä pätemisen tarve ja keskustelukumppanin kuvitteellinen "päihittäminen", sen sijaan että tavoitteena olisi oman ymmärryksen syventäminen ja totuuteen pyrkiminen.

Jos mietitään ASLR:n toimintaa nettiselaimen kontekstissa, jossa brute force -hyökkäysten mahdollisuus on suljettu pois (=hyökkäystä voidaan yrittää max pari kertaa, koska virheellisten muistiosoitteiden käyttäminen hyökkäyksessä johtaa selaimen kaatumiseen, ja käyttäjä alkaa ihmetellä), niin käsittääkseni ASLR:n haavoittuvuudet voidaan jakaa kahteen luokkaan: joko jonkin tärkeän koodimoduulin sijaintia ei ole randomoitu ollenkaan (tai se on sijoitettu ennalta-arvattavasti), tai sitten hyökkäyksessä olennaisten koodi- ja data-alueiden sijainnit on mahdollista päätellä sopivan ns. information leakage -haavoittuvuuden avulla. Jälkimmäisessä tapauksessa hyökkäysdata on generoitava dynaamisesti leakage-haavoittuvuuden paljastamien tietojen perusteella, jotta sen sisältämät muistiviittaukset osoittaisivat oikeisiin paikkoihin. Tämän vuoksi exploitit kunnolla toteutettua ASLR:ää vastaan (joka on siis haavoittuvainen vain jälkimmäisellä mekanismilla) vaativat käytännössä mahdollisuutta ajaa skriptejä kohdeprosessin kontekstissa, koska vuotavan muistiosoiteinformaation perusteella dynaamisesti mukautuvaa hyökkäysdataa on aika vaikea toteuttaa muulla tavoin (ellei sitten ko. prosessia saada jotenkin lähettämään sitä vuotavaa informaatiota verkon yli).

Yllä selostetun perusteella arvelen, että NoScript-tyyppisillä selainlisäkkeillä saavutetaan melko hyvä suoja ASLR:n haavoittuvuuksia vastaan. Toki mielelläni korjaan näkemystäni, jos joku pystyy osoittamaan järkeilyni virheelliseksi, tai tietää jonkin sellaisen ASLR-haavoittuvuustyypin, jonka exploittaaminen onnistuu ilman skriptejä siinäkin tapauksessa, että kaikkien koodi- ja data-alueiden sijainnit on randomoitu asianmukaisesti.

-- kotikonstein ja hienoin sanankääntein taas myyt tätä käärmeöljypropagandaa.
Aika outo tapa ilmaista asiat. Minähän nimenomaan en myy mitään, enkä edes yritä käännyttää ketään. Tuon vain parhaaseen tietooni perustuvat käsitykseni julki, ja yritän vieläpä olla mahdollisimman avoin niistä perusteista, joiden varaan käsitykseni pohjaan. Mutta koska käsitykseni ovat täällä vallitsevan konsensuksen vastaisia, ne ilmeisesti ovat automaattisesti propagandaa.

Palomuurin konffauksessa käsin kaikille sovelluksille ei taas ole työmäärällisesti mitään järkeä.

Ja sovelluskohtaisesta palomuurista kun siirrytään tuohon tilalliseen palomuuriin, niin ne ei ole mitään halpoja laitteita ja ei niitä ole kotikäyttäjämustasusilla.
Jaa, itsellä oli lähinnä ajatuksena ihan tavallinen softapalomuuri (joko Windowsin oma tai sitten joku freeware) siellä käyttäjän kotikoneella. Ja eikai se nyt niin valtavan työlästä voi olla säätää palomuuri siten, että niille muutamalle välttämättä nettiyhteyden tarvitsevalle ohjelmalle ulospäin lähtevät yhteydenmuodostuspyynnöt ovat sallittuja, mutta kaikki muu sitten kiellettyä. Tämä käsittääkseni onnistuu parhaissa freeware-palomuureissa jopa puoliksi automaattisesti: kaikki tietoliikenne on aluksi estettyä, ja sitä mukaa kun erilaiset sovellukset yrittävät ottaa yhteyttä ulospäin, palomuuri kysyy käyttäjältä tyyliin "Sovellus X yrittää muodostaa yhteyttä kohteeseen Y, sallitaanko väliaikaisesti, pysyvästi, vai blokataanko kokonaan?" ja käyttäjän vastauksen perusteella palomuuri luo automaattisesti uuden säännön.

Ja koeta nyt herrajumala ymmärtää, että on muitakin protokollia kuin TCP/IP. Tai edes eriyttää nuo kaksi ja lukea seuraavana wikipediahienosana-artikkelinasi vaikka OSI-kerrokset.
Itselläni on kyllä tiedossa TCP:n suhde IP-protokollaan sekä muut yleisimmät IP-pohjaiset protokollat, että kiitos vaan ehdotuksesta. Itse asiassa minun oli alunperin tarkoituskin mainita tuossa viittaamassasi kohdassa myöa muita protokollia, mutta jätin ne sitten pois kun lauserakenne olisi mutkistunut ylettömästi, ja noita sulkujen sisään lisättyjä välihuomautuksia tulee muutenkin liikaa. Onhan se toki totta, että kaikkiin IP-pohjaisiin protokolliin liittyy oma riskinsä, ja TCP:n mainitsin lähinnä esimerkinomaisesti, koska ylivoimaisesti suurin osa kaikesta tietoliikenteestä on TCP:n päällä kulkevaa. Ehkä olisi tosiaan pitänyt miettiä tuon kohdan muotoilua vähän tarkemmin.

Voisin tietenkin kirjoittaa tähän joitakin ajatuksia yleisimpien ei-TCP-pohjaisten protokollien (kuten UDP:n ja ICMP:n) tietoturvaimplikaatioista, mutta voi olla että tämä viesti paisuisi silloin ihan liian pitkäksi. Ehkä joku muu tekee asian puolestani.

Kah, kun et ajele sitten kaikkia sovelluksia virtuaalikoneessa vaikka XP modessa, kun niitä pitää niin kovasti "sandboxata".
Tämä oli varmaan olevinaan jonkinlaista ironiaa, mutta kaiken sandboxaaminen oletuksena on itse asiassa ihan järkevä lähtökohta. Esim. maksimaaliseen tietoturvaan pyrkivässä Qubes OS:ssä kaikki ohjelmat ajetaan kertakäyttöisissä virtuaalikoneissa.

Kuvittelet olevasi kaikki muita fiksumpi.
En kuvittele olevani erityisen fiksu, mutta jos totta puhutaan niin joskus kyllä vähän turhauttaa, kun syntyy sellainen vaikutelma, että omat tiedot joissakin tietotekniikkaan liittyvissä asioissa ovat paljon syvemmällä tasolla kuin valtaosalla tämäntyyppisten foorumien aktiivikeskustelijoista. Silloin faktapohjainen keskustelu, jossa itselläkin olisi mahdollisuus oppia jotain, on aika hankalaa.

Todellisuudessa mikään järjestelmä ei ole aukoton, ja suurin suojasi tällä hetkellä on se, että ketään ei oikeasti kiinnosta sinun koneesi ja sen data. -- Ei se, että konettasi ei ole vielä murrettu todista sitä, että sitä ei voi murtaa. Et vaan ole sattunut tulilinjalle ja kikkailusi vähentää ne helpot yritykset pois.
No tässä olet kyllä pitkälti oikeassa. Kuten edellisessä viestissäni totesin, ei kukaan rupea manuaalisesti yrittämään murtautumista jonkun satunnaisen kotikäyttäjän koneelle, ellei ole tiedossa, että siellä on jotain poikkeuksellisen arvokasta dataa. Tavallisen netinkäyttäjän uhkana ovat lähinnä automatisoidut exploit kitit ja muut kohdentamattomat hyökkäykset, joiden toimivuutta on helppo vähentää radikaalisti niillä keinoilla mitä kutsut "kikkailuksi".

Sitten jos uhka-arvioon otetaan mukaan kohdennetut hyökkäykset, niin ruvetaan liikkumaan jo ihan toisenlaisissa sfääreissä, ja siinä vaiheessa on väliä jo paljon muullakin kuin käyttöjärjestelmän (ja muiden softien) päivitysten ajantasaisuudella. Esimerkkinä huomioon otettavista asioista mieleen tulee mm. proof of concept -tasolla toteutettu hyökkäys, jossa tietoturvatutkijat ovat verkkokortin firmware-bugeja hyödyntämällä saaneet ujutettua haittakoodia ensin sinne verkkokorttiin, ja sieltä edelleen DMA-siirtojen avulla käyttöjärjestelmään. Siinä ei paljoa auta se että käytössä on uusin Windows viimeisimmillä tietoturvapäivityksillä.

Enpä tiedä, minusta on haitallisempaa tällaisen valheellisen turvallisuudentunteen levittäminen, kuin päivittämiseen pakottaminen.
No jokainen toki itse päättää mihin netistä lukemaansa uskoo, ja käytännön ratkaisut tekee kukin omalla vastuullaan. Kannattaa kuitenkin huomata, että tietoturva on iso bisnes, ja monella taholla on täydet intressit liioitella tietoturvauhkia. Monet firmat myyvät tietoturvaratkaisuja (ihan virustorjuntaohjelmista alkaen) ainakin jonkin verran ostajan tietämättömyydestä hyötyen, Microsoft pelottelee vanhojen käyttöjärjestelmiensä turvattomuudella jo vuosia ennen kuin niistä on tuki loppunut, ja verkkolehdet kalastelevat klikkauksia repimällä toinen toistaan dramaattisempia otsikoita lähes jokaisesta uudesta tietoturva-aukosta, koska pelko myy. Tätä taustaa vasten on mielestäni vain reilua ja tasapuolista, että joku tarjoaa vaihtoehtoisiakin näkökulmia.

-- kikkakolmosten ja asetusnäpräilyn sijasta voisit sinäkin vain päivittää koneesi.
Ongelma on siinä, että monet eivät ole tyytyväisiä Microsoftin nykyiseen filosofiaan eivätkä Windowsin viime vuosien aikaiseen kehityssuuntaan, joten he eivät halua päivittää siihen uusimpaan Windowsiin. Vaihtoehtoja on kuitenkin varsin rajallisesti, ja siirtyminen johonkin Linux-distroon (tai ehkä jopa Applen tuotteisiin), tai ylipäätään erilaisten vaihtoehtojen kypsymisen odottelu, ottaa aikansa. Tässä mielessä noiden "kikkakolmosten" ja "asetusnäpräilyn" antama lisäaika on nähdäkseni monelle pelkästään tervetullutta.

-- uskosi siihen palomuuriin on lähes fanaattisen sokea.
Ei ole. Tiedostan hyvin että palomuuri soveltuu kunnolla vain ulkoa sisään päin suuntautuvan liikenteen suodattamiseen, eikä päinvastaiseen tapaukseen jossa jokin haitake on jo sisällä ja sen viestintä ulospäin pitäisi saada estettyä. Tuossa ensin mainitussa tehtävässä palomuurin rooli on kuitenkin varsin yksinkertainen, ja sen vuoksi sen voidaan odottaa toimivan siinä luotettavasti vaikkei se edes olisi mitenkään erityisen ajantasainen; palomuurin tarvitsee vain tutkia jokaisesta tietoliikennepaketista muutama otsikkokenttä (TCP/IP:n tapauksessa lähinnä lähde- ja kohdeosoite, lähde- ja kohdeportti sekä flägit), joiden perusteella se päättää, välitetäänkö se eteenpäin vai ei. Ei se ole tämän kummempaa. Legitiimin tietoliikenteen kuten nettisurffailun mukana tulevaan mahdollisesti haitalliseen dataan palomuuri ei tietenkään ota mitään kantaa eikä voi sellaiselta suojata, mutta tämän vuoksi on käytössä sitten ne muut keinot.
 
Liittynyt
25.12.2019
Viestejä
28
Ei näköjään loppunukkaan päivitykset. Eilen ainakin tupsahti seiskaan joku tietoturvapäivitys.
 

Alensia

Custom-titteli
Liittynyt
17.10.2016
Viestejä
3 811
Ihan piruuttaan testasin wanhaa Elisa Miniläppäriä (jossa siis Win 7) ja eilen löytyi 2020-02 haittaohjelmien poistotyökalu -päivitys .
 

Kaotik

Banhammer
Ylläpidon jäsen
Liittynyt
14.10.2016
Viestejä
21 452
Ihan piruuttaan testasin wanhaa Elisa Miniläppäriä (jossa siis Win 7) ja eilen löytyi 2020-02 haittaohjelmien poistotyökalu -päivitys .
Tuo taidetaan laskea osaksi Microsoft Security Essentialsia, jolle julkaistaan edelleen päivityksiä vaikka Win7:n tuki loppuikin.
 
Liittynyt
25.12.2019
Viestejä
28
Tänään tuli päivitys taas.

Windowsin haittaohjelmien poistotyökalu (x64), maaliskuu 2020 (KB890830)
 
Liittynyt
17.10.2016
Viestejä
2 305
Haittaohjelmien poistotyökalu tulee vaikka Security Essentialsia ei olisi edes asennettu.
 
Liittynyt
17.10.2016
Viestejä
598
... mutta ei se haittaohjelmien poistotyökalu korjaa mitään puutteita siitä käyttiksestä... korkeintaan se voi siivota koneelta örkkejä, mitkä ovat päässeet sinne esim. W7:n tuen loppumisen takia. Todella huono syy olla päivittämättä uudempaan Windowsiin siis.

Haittaohjelmien poistotyökalu on identtinen ohjelmanpätkä riippumatta siitä, onko käytössä W7 / W8.1 / W10. Varmaan osittain siksi MS jatkaa noiden syöttämistä seiskoille, kun se ei vaadi oikeastaan minkäänlaista extravaivaa.
 
Toggle Sidebar

Uusimmat viestit

Statistiikka

Viestiketjut
237 511
Viestejä
4 164 731
Jäsenet
70 418
Uusin jäsen
NKoo

Hinta.fi

Ylös Bottom