Hakkerit ovat päässeet käsiksi Linus Tech Tipsin YouTube-kanavaan

[Raivo]

Niin tuossahan oli käsittääkseni ajettu joku .exe joka sitten kaappasi nuo keksit ja lähetti niitä eteenpäin, eli tuolla ohjelmalla oli pääsy internettiin koska palomuuri ei blokannut sitä. Ilman sitä se ei kaiketi olisi pystynyt mitään tekemään.

Lähtevää liikennettä ei läheskään aina naulata kiinni samalla tavalla kun sisäänpäin tulevaa vaikka muuri olisikin käytössä.

 

[Walla]

Tuon takia selainkeksit on syytä tyhjennellä säänöllisesti ja käyttää esim lisäreita jotka poistavat ne ajastetusti.

Auttaakos tuo oikeasti mitään, eihän se pöllittyä sessiota lopeta, jos sen tiedot omalta koneelta poistaa.

Eriasia tietysti jos palvelu sallii vain yhden session per käyttäjä, mutta näin harvemmin taitaa olla.

Se olisi kiva jos sessiot saisi rajoitettua tietyn operaattorin tai operaattoreiden avaruuteen (tai geoblokattua), ei toki estä kaappausta mutta vaikeuttaa kuitenkin huomattavasti ainakin perusjampan tilin kaappausta jos pitää saada saman operaattorin ip-kaappausta varten.

 

[escalibur]

Lähtevää liikennettä ei läheskään aina naulata kiinni samalla tavalla kun sisäänpäin tulevaa vaikka muuri olisikin käytössä.

Juurikin näin. Kyseessä on loputon suo, joka ei taatusti tule toimimaan ilman aktiivistä valvontaa (jota LTT-tiimi tuskin tekee). Microsoftin AppLocker (teen tästä videon) ja vastaavat olisivat ehkä estäneet tämän, mutta nekään eivät ole 100% luotettavia tämäntyyppisessä kikkailussa.

Tässä on esimerkki epäonnistuneesta hyökkäyksestä kun rikollinen valitsikin kohteeksi yhden YouTuben miltei kovimmista tietoturvaosaajista:

Johnin sisältöä kun katsoo, suorastaan hävettää sanoa että olen IT-alalla töissä.

 

[AvatarX]

Lähtevää liikennettä ei läheskään aina naulata kiinni samalla tavalla kun sisäänpäin tulevaa vaikka muuri olisikin käytössä.

Oletuksena näin, mutta Windows palomuurin saa myös säädettyä niin, että se oletuksena blokkaa kaiken ulospäin menevän liikenteen. Siksi sanoinkin, että järkevillä asetuksilla tuokin .exe ei olisi mitään pystynyt tekemään. Tuossa on toki aika paljon enemmän hommaa laittaa asetukset kuntoon kun tosiaan joka ikinen ohjelma täytyy erikseen lisätä palomuuriin, mutta on turvallisuus sitten myös ihan eri tasolla.

 

[escalibur]

Auttaakos tuo oikeasti mitään, eihän se pöllittyä sessiota lopeta, jos sen tiedot omalta koneelta poistaa.

Eriasia tietysti jos palvelu sallii vain yhden session per käyttäjä, mutta näin harvemmin taitaa olla.

Se olisi kiva jos sessiot saisi rajoitettua tietyn operaattorin tai operaattoreiden avaruuteen (tai geoblokattua), ei toki estä kaappausta mutta vaikeuttaa kuitenkin huomattavasti ainakin perusjampan tilin kaappausta jos pitää saada saman operaattorin ip-kaappausta varten.

Tuskin auttaa jokaisen palvelun ja session kohdalla, mutta ei niitä kuitenkaan kannata roikuttaa levyllä jos siihen ei oikeasti ole jotain muuta syytä, kuin ettei jaksa muistella sitä unohtunutta salasanaa. Osa järjestelmistä mahdollistaa seissoajan säätämisen, mutta sekin lienee yleensä lähinnä osaajien tiedossa tai vastuulla.

Google/Alphabet saisi herätä tilanteeseen vaikeuttamalla näiden hyväksikäyttöä millä tavalla ikinä keksivätkään. Nyt on aivan liian moneen otteeseen osoitettu, ettei nykyinen malli ole turvallinen ja riesa tulee jatkumaan niin kauan kun palvelut mahdollistavat sen. En kuitenkaan syyttäisi käyttäjiä, koska kaikki eivät ole kiinnostuneita tietotekniikasta, saatika halukkaita viritelemään ties mitä systeemejä perus tason tietoturvan saamiseksi. Itsekin voisin langeta johonkin melko pitkälle viettyyn huijaukseen.

Oletuksena näin, mutta Windows palomuurin saa myös säädettyä niin, että se oletuksena blokkaa kaiken ulospäin menevän liikenteen. Siksi sanoinkin, että järkevillä asetuksilla tuokin .exe ei olisi mitään pystynyt tekemään. Tuossa on toki aika paljon enemmän hommaa laittaa asetukset kuntoon kun tosiaan joka ikinen ohjelma täytyy erikseen lisätä palomuuriin, mutta on turvallisuus sitten myös ihan eri tasolla.

Tuo tapa ei vaan toimi todellisuudessa. LTT on luultavasti sellainen ympäristö jossa monet tekijät käyttävät eri koneita ja ajavat ties mitä tiedostoja missäkin tilanteessa. Windowsin palomuurin vahtiminen tiedostojen tasolla on menetetty peli ennen kuin se edes alkoi. AppLocker olisi mahdollisesti parempi työkalu, vaikka sekään ei ole "ota käyttöön ja unohda"-ratkaisu.

 

[Walla]

Tuskin auttaa jokaisen palvelun ja session kohdalla, mutta ei niitä kuitenkaan kannata roikuttaa levyllä jos siihen ei oikeasti ole jotain muuta syytä, kuin ettei jaksa muistella sitä unohtunutta salasanaa. Osa järjestelmistä mahdollistaa seissoajan säätämisen, mutta sekin lienee yleensä lähinnä osaajien tiedossa tai vastuulla.

Aika vähäisenä pitäisin session varastamisen osalta hyötyä siitä keksien tuhoilusta, jos haluaa varmistella ja ei haittaa tehdä uusia 2FA:ta toistuvasti niin parempihan se olisi vaan logata ulos. Toki jos ihan jatkuvasti tuhoaa, niin on vähemmän varastettavaa, mutta joutuu sitten jatkuvasti loggaamana sisään, hyväksymään 2FA:n ja kliksuttelemaan cookie-consentin joka ikiselle sivulle jossa käyt.

Parempi kai on jos sivustot uusivat noita sessioita/tokeneita joka käynnillä (en tiedä kuinka yleistä tuo on) ja vanha ei enää käy, ja jos näin on niin eikö silloin tuo keksien tuhoaminen nimenomaan altistaisi pahemmin sille varkaudelle, kun vanhaa ei uusita vaan se jää avoimeksi (eli pöllitty tavara on pidempään validia).

 

[Mukava]

Oletuksena näin, mutta Windows palomuurin saa myös säädettyä niin, että se oletuksena blokkaa kaiken ulospäin menevän liikenteen. Siksi sanoinkin, että järkevillä asetuksilla tuokin .exe ei olisi mitään pystynyt tekemään. Tuossa on toki aika paljon enemmän hommaa laittaa asetukset kuntoon kun tosiaan joka ikinen ohjelma täytyy erikseen lisätä palomuuriin, mutta on turvallisuus sitten myös ihan eri tasolla.

no ei ne nyt hemmetti mitään Windowsin palomuuria siellä aja

Tuossakin videolla kertoo, että siellä on ihan ulkopuolinen torjunta, jonka osalta uusi työntekijä (ilmeisesti siis mokaaja on ollut joku suht uusi talossa) ei ole tajunnut, eikä myöskään monitorointipuolella ole reagoitu tarpeeksi nopeasti.

 

[jive]

no ei ne nyt hemmetti mitään Windowsin palomuuria siellä aja

Ei kannata väheksyä Windows alustan tietoturvaratkaisuja kun puhutaan yritystason suojauksesta. E5 on kuitenkin liki parasta mitä rahalla saa.

 

[Kizmo]

Mitä se .exe voi tehdä niin avata pikaisesti selaimeen uuden välilehden ja toimittaa session keyn URL:n muodossa hyökkääjän palvelimelle, näin kuulema on tehtykin. Yksi väläys ruudulla ja session key on hyökkääjän palvelimen logeissa ilman että mikään tuntematon ohjelma yrittäisi internettiin.

 

[leffo]

Aika hurja. Mä olisin kuvitellut että jos noi keksit siirtää toiselle IP:lle niin siinä voisi tulla joku prompti kirjautua uudestaan. Keksithän on konekohtaisia, tai tarkemmin selainkohtaisia mikäli oli kyse selainkekseistä.

Oliko tuossa videoilla tarkemmin miten tuo exe oli päässyt, siis oliko kyseessä PDF haavoittuvuus vai oliko siinä jotain kikkailtu että se näyttää PDF:ltä mutta olikin exe. Mä vaan näin tuossa silmaillen että PDF, mutta en huomanut sen tarkemmin miten PDF aiheuttaa exen suorituksen.

Noita kryptoaiheisia livestreameja on jatkuvasti. Vaikka ne käyttää kanavia joilla on hieman tilaajia yms historiaa, en ole koskaan nähnyt niiden päässeen käsiksi mihinkään suosittuun kanavaan. Monesti ne mitä olen nähnyt ovat vaikuttaneet lopettaneilta pikkukanavilta joilla muutama tuhan tilaajaa ja jokunen video jostain sekalaisista aiheista.

Itse olen katsonut noita LTT:n videota. He tekevät niin paljon videoita, niin laajalti eri aiheista, niin aina välillä siellä on jotain jota viitsii katsoa. Verrattuna esim. Gamersnexus, niitä videoita kyllä katson jos olisin juuri jotain tiettyä vertailua/uutuutta katsomassa.

 

[Walla]

Aika hurja. Mä olisin kuvitellut että jos noi keksit siirtää toiselle IP:lle niin siinä voisi tulla joku prompti kirjautua uudestaan. Keksithän on konekohtaisia, tai tarkemmin selainkohtaisia mikäli oli kyse selainkekseistä.

Ip:seen sitominen ei ole ihan ongelmatonta, IP voi vaihtua hyvinkin tiheään samalla laitteella, varsinkin kun moni haluaa piilottaa sen todellisen IP:n tietosuojan takia, mutta muutenkin.

Eli sillä pitäisi olla mahdollisuus sallia IP-avaruusksia tai palveluntarjoajia. Mutta monimutkaiseksi sekin menisi.

Kai tuohon joku krypto/turvapiiri ratkaisu olisi kehitettävissä, jolla itse fyysinen laite tai sen turvapiiri voisi varmentaa olevansa sama laite, ilman että anonymiteetti vaarantuu, ja ilman että tuota pystyy laitteelta toiselle kopioimaan.

 

[bladE_666]

Juuri viikko tai pari sitten WAN show:ssa Linus kerto kuinka heillä on kaksikin offsite-backupia.

Virheistä tuleekin oppia, muuten ne ovat täysin turhia. Ei siinä, päteviä kavereita.

 

[Kautium]

Juurikin näin. Kyseessä on loputon suo, joka ei taatusti tule toimimaan ilman aktiivistä valvontaa (jota LTT-tiimi tuskin tekee). Microsoftin AppLocker (teen tästä videon) ja vastaavat olisivat ehkä estäneet tämän, mutta nekään eivät ole 100% luotettavia tämäntyyppisessä kikkailussa.

Tässä on esimerkki epäonnistuneesta hyökkäyksestä kun rikollinen valitsikin kohteeksi yhden YouTuben miltei kovimmista tietoturvaosaajista:

Johnin sisältöä kun katsoo, suorastaan hävettää sanoa että olen IT-alalla töissä.

Hyvä video. Vaikka kaikenlaisia tietoturvaselvityksiä/kovennuksia tuleekin tehtyä työkseen muiden päivittäisten IT-projektien ohella, niin tosiaan noissa Johnin forensics-videoissa on välistä sellaisia hetkiä, että on pakko todeta että olisi saattanut jäädä itseltä homma kesken. Ei niinkään osaamisen puolesta, vaan pikemminkin mielenkiinto olisi saattanut loppua ennen kuin on varsinaisen lihan kimpussa, varsinkin jos ei ole mitään todellista tapahtumaa selvitettävänä jonkin satunnaisen spammin lisäksi, kuten tuossa videossa.

Mutta näiden vuoksihan niitä tietoturvaselvityksiä ja oikeuksien ja autentikointimallien rajauksia juuri tehdään. Ja samasta syystä MS-ympäristössä mm. juuri WDAC/AppLocker on kova juttu muiden vastaavien palveluiden ohella.

Juuri viikko tai pari sitten WAN show:ssa Linus kerto kuinka heillä on kaksikin offsite-backupia.

Pilvimallit ovat päivän trendi, mutta mikään ei silti korvaa fyysisesti erillään olevaa varmistusta. Nykyään monissa organisaatioissa on tosin käytössä useiden eri toimittajien järjestelmiä eri menetelmin integroituna, eikä niiiden datoista välttämättä ole mahdollista saada itselle mitään backuppia. Silloin pitää vaan luottaa että sillä palveluntarjoajalla on paletti kasassa sopimusten mukaisesti (jos ne sopimukset ovat varmasti kunnossa).

 

[_j03_]

Esim. varmuuskopiot on olleet retuperällä pidemmän aikaa. Kasaavat kyllä jäätäviä määriä teratavuja sisältäviä NASseja mutta varmuuskopiot niiltä jätetty tekemättä.

Jostain vuodesta nakki sanoneet että nimenomaan on off-site backupit muualla kuin Vancouverissa. Voihan sitä vihata viihdekanavaa mutta voisi sentään ottaa asioista selvää.

 

[Obi-Lan]

Jännä ettei mikään AV/EDR/Whatever napannut tuohon PDF/EXE kiinni ja irroittanut laitetta verkosta.

Ip:seen sitominen ei ole ihan ongelmatonta, IP voi vaihtua hyvinkin tiheään samalla laitteella, varsinkin kun moni haluaa piilottaa sen todellisen IP:n tietosuojan takia, mutta muutenkin.

Tai vaikka lähtee ulos, IP vaihtuu mobiilissa jne. Jos Google heittäis aina tollasen takia pihalle niin moni varmaa lopettaisi koko palvelun käytön tai pysyisi pitkiä aikoja kirjautumattomassa tilassa (jolloin Googlen seuranta hankaloituisi). Oman kokemuksen mukaan ihmiset yleensä vihaa kirjautumista, salasanoja yms ja jos on vaihtoehto jättää se tekemättä niin sitä käytetään.

 

[Griffin]

USB tikku, johon palvelu syöttää avaimen, jolla ratkaistaan aina välillä haaste. Kohtuu tiukka aikavaatimus haasteen ratkaisuun ja tikkuun nappi, jolla se lähettä kaikille palveluille, jotka siihen on koodattu, uloskirjautumispyynnön.

 

[BNo1]

Hassuttelulla on varmasti puolensa, mutta esim tuon tokan videon lopussa tökätään PoE-virralla varustetun kaapelin läppärin verkkoliitäntään ja lopputulos ei ollut Linusin mielestä ”ollenkaan hauska”.

Mitäs väärää tuossa on lähtökohtaisesti? Ellei sitten puhuta passiivi PoE:sta, mutta Unifin kaikki moderni rauta taitaa olla käyttää aktiivista PoE ja ainostaan jotkut vanhemmat laitteet käyttää passiivia. Selostaja kyllä väittää että Unifi käyttäisi passiivi PoE:ta mutta ei se enää ole totta, ainoastaan UISP puolella taitaa olla vielä jotain passiivilaitteita jäljellä. Toisaalta video on jo 3+ vuotta vanha joten maailma on mennyt eteenpäin.

 

[antero]

Pitää olla ensin kirjautunut sisään Floatplaneen enen kuin aukeaa mitään "osta subscription" -ikkunoita videoita klikkaamalla.
P.S. 5 dollaria/kk yhdestä kanavasta ja 10 dollaria/kk jos haluaa katsoa 4k:na. Huhhuh. Miettikää jos Youtubessakin pitäis maksaa 5-10 euroa kuussa joka kanavan tilauksesta. No, onhan tuo tietysti tapa rahoittaa tuota LMG:en lapsellista sähellystä ja piilomainosvideoidn tuotantoa ja merchin tuputusta joka välissä jos sellasesta "sisällöstä" jostain syystä tykkää. LMG varmaan turhin toimija tekniikkavideoiden saralla, ei haittais yhtään jos niiden kanavat katoais lopullisesti youtubesta.

Itsellä ollu samantyylinen vaiva. Videoissa olisi asiaa, mutta harvoin jaksaa katsoa johtuen mainosten määrästä ja ADHD meiningistä johtuen.