Suojelupoliisi: Suomalaisten reitittimiä on käytetty kybervakoiluun ulkovaltojen toimesta

[Kaotik]

Kaotik kirjoitti uutisen/artikkelin:
Suojelupoliisi on tänään ilmoittanut selvittäneensä, että lukuisten suomalaisten yritysten ja yksityiskäyttäjien reitittimiä on käytetty ulkomaalaisten tahojen toimesta vakoiluun. Supo kehottaakin kaikkia tarkastamaan reitittimen asetukset turvallisiksi. Yleisenä ohjeena reitittimeen ei tule esimerkiksi sallia ulkoverkosta tulevia yhteyksiä ilman erillistä hyvää syytä ja sen salasana on syytä vaihtaa välittömästi käyttöönoton yhteydessä.

Suojelupoliisi ei ole tarkentanut, mikä tai mitkä maat olisivat vakoilun takana. Supon viestintäasiantuntija Anni Lehtonen kuitenkin kommentoi Helsingin Sanomissa, että kybervakoilu yleisesti kuuluu epädemokraattisten valtioiden työkaluihin. Kybervakoilun kerrotaan yleistyneen koronapandemian aikana ja sitä kohdistuvan myös suoraan suomalaisiin yrityksiin.

HS:n mukaan Supo on ollut yhteyksissä jo osaan yrityksistä, joiden laitteita on hyödynnetty vakoilussa. Vakoilijoiden kerrotaan käyttävän reitittimiä vain välipisteenä lopulliseen kiinnostuksen kohteeseensa, eikä niiden takaa löytyvän tiedon urkkimiseen. Supon mukaan yleisimpiä murtokohteita ovat perinteiset kotireitittimet ja NAS-verkkotallennusjärjestelmät, joita ei ole konfiguroitu oikein.

Lähde: Suojelupoliisi

Linkki alkuperäiseen juttuun

 

[Hiikeri]

Spy vs Spy.

Mutta missä on vastustaja eli valkoinen vakooja?

 

[?..]

Lisää vaan Huaweita tänne. Kommareita ei tietenkään kiinnosta.

 

[antero]

En usko että supo on mitään löytäny, muistissa vielä miten ne oli ihmeissään kun eduskuntaa oli vakoiltu.

Pääkirjoitus: Kansanedustajien kannattaa miettiä sähköpostejaan – eduskunta sai vakavan vakoiluvaroituksen

Kansanedustajat saivat vakavan vakoiluvaroituksen, kun eduskunnassa paljastui mahdollisesti jonkin ulkovallan tekemä tietomurto. Vaikkei valtiosalaisuuksia ehkä ole paljastunutkaan, edustajat saattavat joutua varomattomien sähköpostien jälkeen esimerkiksi kiristyksen kohteeksi.

www.is.fi

 

[Kaotik]

Spy vs Spy.

Mutta missä on vastustaja eli valkoinen vakooja?

Odottaa sitä että joku todistaa Suomen harrastavan samaa, tietenkin

 

[user9999]

Lisää vaan Huaweita tänne. Kommareita ei tietenkään kiinnosta.

Eiköhän aika usein liity Kiinaan. Kuten seuraavakin tapaus, joka ajankohtainen.

Exchange-sähköpostipalvelimen kriittinen haavoittuvuus aktiivisen hyväksikäytön kohteena | Kyberturvallisuuskeskus

Kyberturvallisuuskeskus kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta. Tuotamme tietoturvallisuuden tilannekuvaa.

www.kyberturvallisuuskeskus.fi

HAFNIUM targeting Exchange Servers with 0-day exploits | Microsoft Security Blog

Microsoft has detected multiple 0-day exploits being used to attack on-premises versions of Microsoft Exchange Server in limited and targeted attacks. In the attacks observed, threat actors used this vulnerability to access on-premises Exchange servers, which enabled access to email accounts...

www.microsoft.com

Edit:

Microsoft korjasi kriittisiä haavoittuvuuksia Exchange Serverissä | Kyberturvallisuuskeskus

Microsoft tiedotti Exchange-sähköpostipalvelimen kriittisistä haavoittuvuuksista ja julkaisi samalla korjaavat päivitykset. Microsoft kertoo, että nollapäivähaavoittuvuuksia on jo käytetty kohdistettuihin hyökkäyksiin maailmalla. Julkitulon vuoksi haavoittuvuuksien hyväksikäyttö tulee...

www.kyberturvallisuuskeskus.fi

Sivuillaan Microsoft kertoo haavoittuvuutta hyväksikäyttäneen tahon olevan heidän kutsumanimeltään Hafnium. Microsoftin mukaan Hafnium on erittäin taitava Kiinalainen toimija, jonka hyökkäysten tavoitteena ovat olleet eri kohteet Yhdysvalloissa. Microsoftin mukaan nämä kyseiset Hafniumin hyväksikäyttämät haavoittuvuudet eivät koske heidän muita tuotteitaan. Julkaisussaan he myös korostavat, ettei SolarWinds-haavoittuvuuksilla ole tekemistä näiden Exchange-haavojen kanssa.

 

[love_doctor]

Lisää vaan Huaweita tänne. Kommareita ei tietenkään kiinnosta.

Huaweistä en tiedä, mutta esim. kiinalainen TP-Link on tehnyt ihan hyviä purkkeja, joista voi firmwaren vaihtaa länsimaiseen, auditoituun ja/tai open sourceen. Ei sieltä pelkkää roskaa tule. Operaattorien boksit sitten taas.. aika huolestuttavia ratkaisuja tullut vastaan. Esim. sisäverkon verkkolaite sisälsi kovakoodatun tukiosoitteen internetistä, jotta ISP tai valmistaja voi tarvittaessa säätää sitä. Ja tietenkään mitään päivityksiä ei pääsääntöisesti tarjota.

 

[ThinG]

Suomi mainittu. Torilla tavataan ellei ulkonaliikkumiskielto estä

 

[Snowman]

Huaweistä en tiedä, mutta esim. kiinalainen TP-Link on tehnyt ihan hyviä purkkeja, joista voi firmwaren vaihtaa länsimaiseen, auditoituun ja/tai open sourceen. Ei sieltä pelkkää roskaa tule. Operaattorien boksit sitten taas.. aika huolestuttavia ratkaisuja tullut vastaan. Esim. sisäverkon verkkolaite sisälsi kovakoodatun tukiosoitteen internetistä, jotta ISP tai valmistaja voi tarvittaessa säätää sitä. Ja tietenkään mitään päivityksiä ei pääsääntöisesti tarjota.

Mitenkä näitä kotikäyttäjän purkkeja voisi kotikonstein tarkastaa, että kaikki on kunnossa?

 

[Infy]

Auttavan testin voi tehdä että omasta verkkolaitteesta ei ole avoimia julkisia portteja testillä GRC | ShieldsUP! — Internet Vulnerability Profiling ja sieltä ajaa Common ports ja All service ports skannaukset. Kaikkien porttien tulisi olla kiinni (Stealth).

Tällä voi siis testata vain reititintä ja istuu tietokoneesi ja internetin välissä, jos sellainen käytössä on.

 

[terve]

"Supon viestintäasiantuntija Anni Lehtonen kuitenkin kommentoi Helsingin Sanomissa, että kybervakoilu yleisesti kuuluu epädemokraattisten valtioiden työkaluihin."

Lehtosen mielestä USA on siis epädemokraattinen valtio.

 

[VmH]

"Supon viestintäasiantuntija Anni Lehtonen kuitenkin kommentoi Helsingin Sanomissa, että kybervakoilu yleisesti kuuluu epädemokraattisten valtioiden työkaluihin."

Lehtosen mielestä USA on siis epädemokraattinen valtio.

Epädemokraattisia valtioita on esimerkiksi itänaapuri jonka ihmisoikeus toiminnasta on uutisoitu hyvin paljon viimeaikoina uutisissa. Kiinassa, kuubassa ja pohjois-koreassa on myös jotakuinkin kommunistinen järjestelmä käytössä.

Suomessa pitäisi jo tämän esimerkin kautta ymmärtää miksi Elisa ja muut verkkoyhtiöt eivät voi rakentaa uutta 5g -verkkoa tällaisten valtioiden omistamien yhtiöiden päätelaitteiden varaan, kuten SUPO on jo monta kertaa varoitellutkin. Ruotsin hallitus onkin jo tämän asian ymmärtänyt.

 

[Clarenz]

Auttavan testin voi tehdä että omasta verkkolaitteesta ei ole avoimia julkisia portteja testillä GRC | ShieldsUP! — Internet Vulnerability Profiling ja sieltä ajaa Common ports ja All service ports skannaukset. Kaikkien porttien tulisi olla kiinni (Stealth).

Tällä voi siis testata vain reititintä ja istuu tietokoneesi ja internetin välissä, jos sellainen käytössä on.

Pitääpä tsekata omat reitittimet kun on sekä operaattorin määrittelemä, että itse hankittu.

 

[cular]

"Supon viestintäasiantuntija Anni Lehtonen kuitenkin kommentoi Helsingin Sanomissa, että kybervakoilu yleisesti kuuluu epädemokraattisten valtioiden työkaluihin."

Lehtosen mielestä USA on siis epädemokraattinen valtio.

Se on tasavalta, joskin oligarkinen semmoinen, eikä demokratia. Toki jos vaihtoehdot venäjä ja kiina niin pienempi paha mutta miksi tässä pitäisi valita ruton ja koleran väliltä ensinkään. Ei ruotsikaan kuulu suomalaisiin tietoverkkoihin nuuskimaan ja se sentään on yksi vähiten vihamielisiä valtioita suomelle

 

[love_doctor]

Pitääpä tsekata omat reitittimet kun on sekä operaattorin määrittelemä, että itse hankittu.

Purkeissa on myös ollut koputuksella aukeavia takaportteja. Esim. ssh/telnet ulospäin, kun osaa oikealla tavalla ottaa yhteyden.

 

[KVahlman]

Olen työhommissa pitänyt http porttia auki avoimessa verkossa ja sinne jatkuvana virtana tulevia kyselyjä on mielenkiintoista plärätä. TP-Linkin ja muiden valmistajien kämmejä yritetään kalastella ja kirjautua adminina ulospäin avoimien hallintasivujen kautta kaikennäköisten enkoodausvirheiden hyväksikäytön lisäksi.

Että pitäkää softat ajan tasalla ja laitteet ulkoverkkoon päin mykkänä, ottajia on jos antaa mahdollisuuden.

 

[love_doctor]

Olen työhommissa pitänyt http porttia auki avoimessa verkossa ja sinne jatkuvana virtana tulevia kyselyjä on mielenkiintoista plärätä. TP-Linkin ja muiden valmistajien kämmejä yritetään kalastella ja kirjautua adminina ulospäin avoimien hallintasivujen kautta kaikennäköisten enkoodausvirheiden hyväksikäytön lisäksi.

Että pitäkää softat ajan tasalla ja laitteet ulkoverkkoon päin mykkänä, ottajia on jos antaa mahdollisuuden.

Sama myös telnetissä ja ssh:ssa. Kyselyjä tulee ja voi tulla myös muihin kuin standardiportteihin.

 

[escalibur]

Purkeissa on myös ollut koputuksella aukeavia takaportteja. Esim. ssh/telnet ulospäin, kun osaa oikealla tavalla ottaa yhteyden.

Hyvin monessa halpispurkissa on myös UPnP oletuksena päällä. Tuohon kun kytketään jonkinlaisen Aliexpressistä tilatun IP-kameran yms niin ollaan jännien äärellä.

 

[love_doctor]

Hyvin monessa halpispurkissa on myös UPnP oletuksena päällä. Tuohon kun kytketään jonkinlaisen Aliexpressistä tilatun IP-kameran yms niin ollaan jännien äärellä.

Noista halvoista kannattaakin ehdottomasti valita sellainen, jossa on vähintään 16-32 megaa levytilaa ja löytyy esim. pfsensen/openwrt:n tukilistoilta. Ei tietenkään vastaa laadultaan mitään teollisuuskäyttöön tarkoitettua ammattilaislaitetta, mutta saa järkevät ohjelmistot sisälle. Esim. kirpparilla on kympillä tullut vastaan gigabitin porteilla ja 802.11ac-wifillä olevia tp-linkin bokseja. Näihin saa 4.14-kernelin tai uudemman flashattyä, krack-suojaukset yms. tarpeellista. Kaupassa myydään uutena helposti 3x kalliimpia, joihin ei saa näin hienoja asioita.

 

[LaDeX]

Se on tasavalta, joskin oligarkinen semmoinen, eikä demokratia. Toki jos vaihtoehdot venäjä ja kiina niin pienempi paha mutta miksi tässä pitäisi valita ruton ja koleran väliltä ensinkään. Ei ruotsikaan kuulu suomalaisiin tietoverkkoihin nuuskimaan ja se sentään on yksi vähiten vihamielisiä valtioita suomelle

Aihetta sivuten: demokratia on enemmänkin käsite kuin valtion virallisessa nimessä käytettävä sana. Suomikin on nimeltään Suomen Tasavalta ja on demokratia. Yhdysvallat on myös demokratia.

 

[cular]

Aihetta sivuten: demokratia on enemmänkin käsite kuin valtion virallisessa nimessä käytettävä sana. Suomikin on nimeltään Suomen Tasavalta ja on demokratia. Yhdysvallat on myös demokratia.

Spoileri: OT

demokratioita on montaa raitaa, suorasta demokratiasta lähin toimiva esimerkki taitaa olla sveitsi johon tuolla yleensä viitataan kun muistutetaan ettei jenkit ole demokratia vaan tasavalta, jossa on välillä vaaleja

 

[Cacceli]

Omissa lokeissa näkyy estettyjä IP osotteita tiheimmillään noin 15 sekunnin välein. Ne yrittää lähinnä löytää reikää sisäverkkoon. Statseista bongattu yksi IP Moskovasta yrittänyt yli 4500 kertaa yhdistää muutaman päivän aikana eri portteihin.

Käytössä on Asuksen modeemi Merlinin softalla, jonka kylkeen asennettu Skynet lisäosa.

 

[escalibur]

Omissa lokeissa näkyy estettyjä IP osotteita tiheimmillään noin 15 sekunnin välein. Ne yrittää lähinnä löytää reikää sisäverkkoon. Statseista bongattu yksi IP Moskovasta yrittänyt yli 4500 kertaa yhdistää muutaman päivän aikana eri portteihin.

Käytössä on Asuksen modeemi Merlinin softalla, jonka kylkeen asennettu Skynet lisäosa.

Noita koputuksia voi tulla vaikka mistä. Netissä on myös julkisia "koputuspalveluita" jotka skannaavat kaikki julki-IP:t ja indeksoivat mitä ovat löytäneet. Toki seassa on myös rikollisten virittämiä skannereita ja automatiikka.

Tässä yksi tuore esimerkki jo pelkästään UPnP:n hyväksikäytöstä:

In response to Plex's concerns, Hardik Modi, assistant VP of engineering for Netscout, said that the initial report was updated over the weekend with the latest information on the patch. At this point, around 37,000 abuseable Plex servers are now observable on the internet, according to Netscout. Further, Modi said that Netscout found 5,500 separate DDoS attacks involving this exploit, leveraging around 15,500 separate Plex servers.

Plex patches media server bug potentially exploited by DDoS attackers | TechRepublic

All users of Plex Media Server are urged to apply the hotfix, which directs their servers to respond to UDP requests only from the local network and not the public internet.

www.techrepublic.com

 

[JoneK]

Eipä niitä voi paikata koska on yhtiöitä jotka tekee reikiä sinne mille normi käyttäjä ei mahda mitään. Ja siihen päälle vielä ISP:iden omat ketku käyttäjätunnukset.

 

[Niko]

Hyvä muistutus itselle. Joskus tuli päivitettyä ahkerasti modeemin firmis ja se sitten unohtui, kun uusia päivityksiä ei tullut pitkään aikaan. Näköjään itsellä oli käytössä versio 1.04 huhtikuulta 2018. Uusin v1.12 oli viime kuulta. No nyt modeemi on taas ajan tasalla.

 

[Armatt]

Oman buffalon viimesin päivitys tullut 2016~. Pitäisi harkita uuden purkin hankintaa .

 

[demu]

Ubiquitin laitteet ovat hyvin suojattuja.

 

[=JP=]

Oman buffalon viimesin päivitys tullut 2016~. Pitäisi harkita uuden purkin hankintaa .

Täällä on Buffalon reitittimessä DD-wrt päiväys "05/27/11" (ostettu joskus 2005) ja samanlainen tulos kuin yllä ku testasin. Kaikki on aikoinaan konfattu kunnolla kohilleen, kaikki turhat servicet disabloitu ja hyvin toimii, uptime on 203 päivää tällä hetkellä. Ubiquitin Edgerouter X tuli hankittua kyllä, joka pitäisi ottaa käyttöön tuon tilalle...

 

[pulatunnus]

Ubiquitin laitteet ovat hyvin suojattuja.

Niilläkin pitää ylläpitäjän hanskata hommat, tai voisi sanoa että nuo suosittuja monentasoisesten harrastajien keskuudessa, joten kaikki ei välttämättä ole ihan ajantasalla.

Mitä kuvallasi yritit kertoa, UPnP monessa vehkeessä käyttäjän ruksittavissa pois kokonaan, vaikka muuten ei olisi tikissä.

 

[=JP=]

Niilläkin pitää ylläpitäjän hanskata hommat, tai voisi sanoa että nuo suosittuja monentasoisesten harrastajien keskuudessa, joten kaikki ei välttämättä ole ihan ajantasalla.

Mitä kuvallasi yritit kertoa, UPnP monessa vehkeessä käyttäjän ruksittavissa pois kokonaan, vaikka muuten ei olisi tikissä.

Siinä on itseasiassa kaksi eri testiä laitettu samaan kuvaan, ylempi juurikin UPnP ja alempi sitten jokin portti skannaus, että kaikki portit ns. "stealth" tilassa, kuten pitääkin olla...

 

[pulatunnus]

Siinä on itseasiassa kaksi eri testiä laitettu samaan kuvaan, ylempi juurikin UPnP ja alempi sitten jokin portti skannaus, että kaikki portit ns. "stealth" tilassa, kuten pitääkin olla...

Ok, ilmeisesti testattu ulkoapäin skannaamalla.
On toki hyvä että turhia portteja ei ole auki ja vastailemassa, mutta ajatus että se kertoisi laitteen olevan hyvin suojattu on aika rohkea yleistys.

Tai että jos laite vastaa johonkin, olisi yhtäkuin huonosti suojattu.

Tässä nyt johdattelen siihen että laite merkki on suosittu harrastajien keskuudessa, ja monipuolinen väline käyttään pahuuksiin. Ko laitteita hallitaan tyypillisesti ihan verkonyli.

Reittimiin ja muihin verkon laitteisiin hyökätään myös sisäverkon kautta.

 

[sra2010]

Ok, ilmeisesti testattu ulkoapäin skannaamalla.
On toki hyvä että turhia portteja ei ole auki ja vastailemassa, mutta ajatus että se kertoisi laitteen olevan hyvin suojattu on aika rohkea yleistys.

Tai että jos laite vastaa johonkin, olisi yhtäkuin huonosti suojattu.

Tässä nyt johdattelen siihen että laite merkki on suosittu harrastajien keskuudessa, ja monipuolinen väline käyttään pahuuksiin. Ko laitteita hallitaan tyypillisesti ihan verkonyli.

Reittimiin ja muihin verkon laitteisiin hyökätään myös sisäverkon kautta.

Onko lähdettä tuolle ubiquiti laitteiden käytöstä pahuuksiin?

Sinne sisäverkkoon pitää päästä ennen kuin sieltä voi hyökätä.

 

[dot1q]

Mikrotik laitteet huuteli admin logineja Suomi-IP prefeillä. Kaapaattuja purkkeja joissa default setit sisällä... Jo vuosia sitten. Oli vaan liian helppoa tunnistaa, kun käyttää omaa porttiaan tähän hommaan. Sääli sinänsä, ettei purkit käyttöön jakanut/ottanut ole osannut konffia edes sen vertaa ettei näin pääse käymään.

 

[pulatunnus]

Onko lähdettä tuolle ubiquiti laitteiden käytöstä pahuuksiin?

Kommentoin väitettä että joku UPnP ja parin portin skannasu ei kerro turvallisuudesta riittäväsi. ja tuon merkkiset laitteet ovat monipuolisia ja osa suht tehokkaitakin. Ulkotehty portti skannaus kertoo sen vastasiko laite tehtyyn skannaukseen.

Ei ole tähän hätään linkkejä tarinoihin miten ko valmistajan laitteita on käytetty pahuuksiin.

Sinne sisäverkkoon pitää päästä ennen kuin sieltä voi hyökätä.

Toki.

Tai jos tuolla tarkoitit että pitää fyysisesti päästä sisäverkkoon, niin siinä unohdetaan se riski että sisäverkon kautta hyökätään myös etänä.

Eli tässä nyt sitä että ylläpitäjän vastuulla pitää huoli ettei laite tietoisesti möllötä suojaamattomana sisäverkkoon ja että turhat palvelut pois päältä ja tiedostaa riskit.

(pointti että jos jonkin yksittäisen tietoturvatestin läpäisee, niin sen ajattelee kertovan laitteen olevan turvallinen, niin kuullostaa vaaralliselta)

 

[Sire]

Puolentoista vuoden hiljaiselon jälkeen Zyxel LTE4506-M606 4G-purkkiin löytyikin yllättäen firmispäivitys. Changelogissa mainittuna "Common gateway interface (CGI) vulnerability, lack of an authentication on command request". Koskee myös paria muuta Zyxelin laitetta Zyxel security advisory for CGI vulnerability of LTE | Zyxel

Sitä en tiedä, mitä koiruuksia tuon kautta olisi päässyt tekemään.