Tietoturvauutiset ja blogipostaukset

Kiinalaisten väitetään piilottaneen rautamalwarea Supermicron emolevyihin:
Bloomberg sanoi:
The attack by Chinese spies reached almost 30 U.S. companies, including Amazon and Apple, by compromising America’s technology supply chain, according to extensive interviews with government and corporate sources.

...they were capable of doing two very important things: telling the device to communicate with one of several anonymous computers elsewhere on the internet that were loaded with more complex code; and preparing the device’s operating system to accept this new code. The illicit chips could do all this because they were connected to the baseboard management controller.

The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies - Bloomberg

Amazonin, Applen, Supermicron ja Kiinan vastaukset väitteille (spoiler: kaikki kieltävät väitteet):

The Big Hack: Amazon, Apple, Supermicro, and Beijing Respond - Bloomberg
 
Viimeksi muokattu:
Kiinalaisten väitetään piilottaneen rautamalwarea Supermicron emolevyihin:

The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies - Bloomberg

Amazonin, Applen, Supermicron ja Kiinan vastaukset väitteille (spoiler: kaikki kieltävät väitteet):

The Big Hack: Amazon, Apple, Supermicro, and Beijing Respond - Bloomberg

Officials familiar with the investigation say the primary role of implants such as these is to open doors that other attackers can go through. “Hardware attacks are about access,” as one former senior official puts it. In simplified terms, the implants on Supermicro hardware manipulated the core operating instructions that tell the server what to do as data move across a motherboard, two people familiar with the chips’ operation say. This happened at a crucial moment, as small bits of the operating system were being stored in the board’s temporary memory en route to the server’s central processor, the CPU. The implant was placed on the board in a way that allowed it to effectively edit this information queue, injecting its own code or altering the order of the instructions the CPU was meant to follow. Deviously small changes could create disastrous effects.

Since the implants were small, the amount of code they contained was small as well. But they were capable of doing two very important things: telling the device to communicate with one of several anonymous computers elsewhere on the internet that were loaded with more complex code; and preparing the device’s operating system to accept this new code. The illicit chips could do all this because they were connected to the baseboard management controller, a kind of superchip that administrators use to remotely log in to problematic servers, giving them access to the most sensitive code even on machines that have crashed or are turned off.

Tässä haiskahtaa häränkakka, tuossa paikassa sirulta vaadittaisiin uskomatonta suorituskykyä ja ohjelmointiakrobatiaa. Prosessorin välimuisti on prosessorin sisällä.
 
Tuon piirin pitäisi olla käytännössä 100% virheettömästä toimiva ettei koneesta alettaisi etsiä syitä virhetoiminnoille ja sellaista tietoteknistä vekotinta ei vielä tähänpäivään mennessä ole tehty joka olisi niin täydellinen.

Sensijaan se että jokutaho yrittäisi ujuttaa Supermicro:n serveriemoille ei toivottuja ylimääräisiä toimintoja on ihan uskottava ajatus kun niitä emoja päätyy hyvin moniin taloudelisesti ja poliitisesti kriitisiin käyttökohteisiin (esim. NSA on todistettavasti toiminut näin USA:sta lähtöisin olevan reititinraudan kanssa).

Eli tuo uutinen voi hyvinkin pitää paikkansa sen osalta mitä on tehty / mihin on pyritty mutta se miten on se on tehty on hyvintodennäköisesti hyvin suureltaosin sepitettä, ts uutinen voi olla totta mutta se miten homma on tehty on täysin salattu kertomalla sfici tarina sepite sen osalta.
 
Viimeksi muokattu:
Sain tänään mailin, missä lähettäjä ja vastaanottaja oli oma sähköpostiosoitteeni. Lisäksi yhtenä vastaanottajana oli myös parissa palvelussa käyttämäni passu ja tekstissä mainittuna mailiosoitteeni sekä se parissa palvelussa käyttämäni passu.

Maili oli siis tämän uutisen mukainen.

Hello!
I’m a member of an international hacker group.
As you could probably have guessed, your account [email address redacted] was hacked, because I sent message you from it.

...
Vastaava tuli minullekkin aikaisemmin.


Tuo lähettäjä/vastaanottaja väärennys on tehty poikkeuksellisen perusteellisesti

Normaalisti vain se näkösällä oleva lähettäjä/vastaanottaja on väärennetty.

Mutta tuossa viestissä myös ne oikeat reititystiedot oli jotenkin onnistuttu väärentämään niin että homma näytti osittain siltä niin kuin minä olisin tosiaankin lähettänyt sen viestin itseleni.

Mutta kun hommaa kaivaa tarpeeksi syvälle törmää lähetäjään joka on ihan epäkuranti ts se ei voi olla ensinkään todellinen sähköposti lähde.


Eli tuo oli omallakohdallani ensimmäin ihan kunnolla väärennet sähköposti.


Tosin se failasi yhdellä hyvin ilmeisellä tavalla, se väitti että lähettäjällä oli Pegasusmail kun mulla on Thunderbird kaikissa koneissa joissa on kyseistä lähettäjä osoitetta käyttävä kone ja sähköpostipalvelimen Webmailkaan ei identifio itseään Pegasusmailiksi, eli hakkeri ei ollut ainakaan niin hyvä että olisi kyennyt käytämään koneeseen jo asennettua softaa joka RAT:illa pitäisi onnistua.


Siis tuo mulle tullut posti väitti että ne olisi murtautuneet omalle koneelleni ja asentaneet siihen RAT:in, miksihän ne ei samantien väittäneet ottaneensa hallintaan mun koko Teamviewer asiaksverkon kerta väittivät käyttävänsä etähallinta softaa (juu minulla oli suht merkittävä motiivi tarkistaa kunnolla tuo väite siitä että joku olisi hakkeroinut etähallinnan mun koneessa).
 
Viimeksi muokattu:
Ensimmäinen UEFI-rootkit (LoJax) -->

LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group

Kuten aiemminkin, firmikset ajan tasalle ja secure boot päälle, niin ei tarvitse tällaisten kanssa kärvistellä.

Artikkeliin on tullut päivitys. Secure Boot ei olisi auttanut juuri tässä tapauksessa.

While Secure Boot is the first mechanism that comes to mind when we think about preventing UEFI firmware attacks, it wouldn’t have protected against the attack we describe in this research. Despite this, we strongly suggest you enable Secure Boot on your systems, through the UEFI setup utility.

Secure Boot is designed to protect against malicious components coming from outside of the SPI flash memory. To protect against tampering with the SPI flash memory, the system’s root of trust must be moved to hardware. Such technologies exist and Intel Boot Guard is a good example of this. It has been available starting with the Haswell family of Intel processors introduced in 2013. Had this technology been available and properly configured on the victim’s system, the machine would have refused to boot after the compromise.


Montakohan ajatusta (U)EFI-standardin kehittäjät aikanaan uhrasivat tällaisille ongelmille? Tietoturvaa tunteville on varmaan ollut melko selvää, että mitä monimutkaisemmaksi firmware-puoli käy ja mitä helpompaa sen muokkaaminen ja päivittäminen on, sitä todennäköisemmin sitä tullaan myös käyttämään väärin.

Intel Boot Guard olisi vissiin tämän tapauksen estänyt, mutta koska se ohitetaan? Eikö valmistajille tule vieläkään mieleen, että mekaanisella kytkimellä tehtyä muistipiirin kirjoitussuojausta ei ohita yksikään haittaohjelma?
 
Artikkeliin on tullut päivitys. Secure Boot ei olisi auttanut juuri tässä tapauksessa.




Montakohan ajatusta (U)EFI-standardin kehittäjät aikanaan uhrasivat tällaisille ongelmille? Tietoturvaa tunteville on varmaan ollut melko selvää, että mitä monimutkaisemmaksi firmware-puoli käy ja mitä helpompaa sen muokkaaminen ja päivittäminen on, sitä todennäköisemmin sitä tullaan myös käyttämään väärin.

Intel Boot Guard olisi vissiin tämän tapauksen estänyt, mutta koska se ohitetaan? Eikö valmistajille tule vieläkään mieleen, että mekaanisella kytkimellä tehtyä muistipiirin kirjoitussuojausta ei ohita yksikään haittaohjelma?
Nehän maksavat joitakin senttejä per kpl, niin ei sellaista voida tehdä. :btooth:
 
Omallakin koneella on libssh-paketteja asennettuna, mutta kovinkaan moni paketti ei ollut siitä riippuvainen, monikaan niistä ei tainnut olla palvelinohjelmisto. Libssh:n sivuillakin mainitaan vain KDE, GitHub ja joku kolmas, että mahtaako olla kovinkaan yleisesti käytössä, varsinkaan sillä toteutettuja palvelimia.
Koodi:
$ apt-cache rdepends libssh-4 libssh-dev
libssh-4
Reverse Depends:
  libpam-x2go
  cockpit-bridge
  yafc
  x2goclient
  tmate
  remmina-plugin-nx
  openvas-nasl
  cockpit-dashboard
  libopenvas9
  kio-extras
  hydra
  gnugk
  remmina
  libssh-dev
libssh-dev
Reverse Depends:
  libssh-gcrypt-dev
  libopenvas-dev
Lähtee koko kubuntu-desktop kyllä jos koittaa sudo apt purge libssh-4 libssh-dev. Taitaa liittyä libssh-gcrypt-4-paketti noihin kanssa.
 
Nyt tuli päivitykset seuraaviin paketteihin: libssh-4 libssh-dev libssh-gcrypt-4 python-paramiko.
 
Pitäisikö se Symantecin ssl -bänni siis olla jo voimassa uusimmissa Chromessa ja Firefoxissa? Lisäksi pitääkö paikkansa, että Firefox ei hyväksy jatkossa myöskään DigiCertin varmenteita?
 
Pitäisikö se Symantecin ssl -bänni siis olla jo voimassa uusimmissa Chromessa ja Firefoxissa? Lisäksi pitääkö paikkansa, että Firefox ei hyväksy jatkossa myöskään DigiCertin varmenteita?

Symantecin sertifikaatit saivat lisäaikaa kun se on vielä monessa sivussa käytössä. Digicertin varmenteet ovat luotettavia ja Symantecin varmenteet saa vaihtaa Digicertin varmenteiksi maksutta. Mikäli edelleen käytössä niin heti vaihtaa sertifikaatit Digicertin sertifikaateiksi.

Replace Your Symantec SSL/TLS Certificates

Delaying Further Symantec TLS Certificate Distrust
 
Laitetaas tännekin, ei näytä vielä olevan: Radboud University researchers discover security flaws in widely used data storage devices ,eli itsensä kryptaavien massamuistien toteutuksessa on pieniä, ja vähän isompiakin tietoturva-aukkoja.

EDIT: Typo(t) pois.

Tässä vielä taulukko löydetyistä haavoittuvuuksista, joka löytyy tuon julkaisun lopusta (https://www.ru.nl/publish/pages/909282/draft-paper.pdf):

securitytable.PNG
 
Laitetaas tännekin, ei näytä vielä olevan: Radboud University researchers discover security flaws in widely used data storage devices ,eli itsensä kryptaavien massamuistien toteutuksessa on pieniä, ja vähän isompiakin tietoturva-aukkoja.

EDIT: Typo(t) pois.
Tällaisen takia, ja koska koodi on suljettua, ostaessani SSD:tä en pannut ollenkaan merkitystä sille onko siinä salaus. Vaikken salannut sitä softallakaan, mutta voisin sen vielä tehdä.
 
Viestintäviraston tiedotteesta:

Levyn salauksessa käytettyä salausavainta ei ole johdettu syötetystä salasanasta, vaan sitä säilytetään levyllä ja se otetaan käyttöön kun käyttäjä syöttää oikean salasanan. Sen pystyy siis selvittämään myös levyltä useilla eri tavoilla.

Mikä lienee perimmäinen syy näin onnettomalle tunaroinnille? Täydellinen tietotaidon puute? Välinpitämättömyys? Tavoitteena suojautua vain tusinarikollisilta? Tiedustelupalvelun X esittämä vaatimus?


Hyvä muistutus siitä, että tuntemattoman salausjärjestelmän käyttäminen on riskialtista.
 
Tällaisen takia, ja koska koodi on suljettua, ostaessani SSD:tä en pannut ollenkaan merkitystä sille onko siinä salaus. Vaikken salannut sitä softallakaan, mutta voisin sen vielä tehdä.

Hyvä muistutus siitä, että tuntemattoman salausjärjestelmän käyttäminen on riskialtista.

Avoimuus on tietenkin tärkeää, kun puhutaan tietoturvasta, mutta mitä tulee toteutuksiin, jotka perustuvat avoimiin standardeihin, niin en maalaisi suurta eroa suljetun ja avoimen välille.

Avoimen toteutuksen etu on se, että sitä voi teoriassa kuka tahansa "auditoida", mutta käytännössä totuus taitaa kuitenkin olla se, että äärimmäisen harva näin oikeasti tekee, ja ne jotka tekevät, niin harvoin sen vaatimalla tarkkuudella ja pätevyydellä, koska tällöin puhuttaisiin jo oikeasta auditoinnista, joka on hidasta ja kallista, ja täten se on suuri kynnys ylittää avoimille ja yleensä heikosti rahoitetuille projekteille (esim. TrueCrypt ja OpenSSL).

Suljetun toteutuksen etu on vastaavasti se, että sen takana on yleensä hyvin rahoitettu taho (esim. Microsoft ja Samsung), jolla on myös rahallisesti paljon menetettävää, jos lupaukset tietoturvan suhteen paljastuvatkin virheellisiksi, ja täten kynnys auditointiin on myös selvästi matalampi.

Itse käytin aiemmin TrueCryptiä, jolla salasin kaikki massamuistiasemat, ja sen kariuduttua käytän edelleen VeraCryptiä ulkoisten asemien salaamiseen. Sisäisen aseman suhteen päätin kuitenkin luottaa Samsungiin, kun ostin Samsung 850 EVO:n joitain vuosia sitten, jonka TCG Opal -tuki tekee käyttöjärjestelmäosion salaamisesta helpompaa, kun ei tarvitse jokaisen uudelleenasentamisen yhteydessä uudelleen salata sitä, ja samalla pääsee myös eroon suorituskykyä heikentävistä tekijöistä.

Tuo asema oli onneksi parhaiten menestynyt tuossa tutkimuksessa, eikä siitä löytynyt mitään tähän vaikuttavia haavoittuvuuksia, mutta muuten tuo tutkimus oli hyvä ravistelu valmistajille.
 
Jos esim. Ubuntun asentaa sillä kryptaus optiolla asennusvaiheessa (ei siis sitä pelkkää homen kryptausta), niin käyttääkö se mahdollisesti levyn laitteistosalausta jos sellainen on tarjolla? Esim. tuon haavoittuvuusjutussa mainitun Crucial MX300:sen kanssa?
 
Viimeksi muokattu:
NSAn ehdottama Speck kryptaus algoritmi poistetaan Linux kernelistä
kernel/git/stable/linux.git - Linux kernel stable tree

Tästähän siis nousi melkonen keskustelu ku se tuotiin Kerneliin mukaan, salaliitto syyttelyä suuntaan jos toiseen. Koskaan se ei ollut defaultina käytössä, ellei jakelussa sitten oltu otettu käyttöön jonkin syyn takia. Google taisi olla isoimpia nimiä joka halusi sitä tuoda, ku algoritmi on aikas kevyt prossalle, ja sopiva halppis luureihin, mutta muuttikin mielensä ja kehitti jotain muuta.
 

Nyt en ihan käsitä, miksi jonkun kuulokesoftan pitäisi ylipäätään asentaa järjestelmään mitään sertifikaatteja? Onkohan firmalla ihan puhtaat jauhot pussissa?

En pidä siitäkään ajatuksesta, että joidenkin kuulokkeiden käyttäminen vaatisi oman softansa. Eikö näille ole standardinmukaisia rajapintoja? Bluetooth tms, jos kyse on langattomista?


Itse en langattomia tai USB-kuulokkeita käytä muutenkaan, mutta seuraavat kuulokkeeni taitavat joka tapauksessa olla jotain muuta merkkiä.


edit: Luin tuota tutkimusartikkelia vähän. Tuossa on asiaa selitetty, mutta onkohan tällainen viritys siltikään tarpeen?

The Sennheiser HeadSetup SDK supports the use of a locally connected headset by web-based softphones in a browser, loaded from a server web site via HTTPS.

According to [Senn2018], the way HeadSetup supports this application scenario is by opening a local secure web socket (WSS) through which the headset can be accessed from within the browser.

According to Sennheiser, the browser must be able to access this local web socket through a trusted HTTPS connection in order to bypass cross origin resource sharing (CORS) restrictions implemented by relevant browsers. Hence, the HeadSetup SDK needs a locally trusted TLS server certificate issued to the localhost IP address (127.0.0.1) and the associated private key.{/quote]
 
Viimeksi muokattu:
No ylipäättäen että kuulokkeiden toiminta vaatii erillisen ohjelmiston sertteineen jne on melkoista räpellystä.
 
Jaa, minkähän tason ongelma tämä nyt sitten on? Kokeilin vanilla Chromessa ja tuli vain tällaista virheilmoa selaimeen:

Aw, Snap!

Something went wrong while displaying this webpage.
tai
Not enough memory to open this page

Try closing other tabs or programs to free up memory.
Eikös tuon pitänyt kaataa selaimet? Ei ainakaan täällä Chrome kaatunut mihinkään vaikka latasin tuota testisivua monta kertaa.
 
Vähän liian hyvin toimi täällä Firefox developer editionilla ilman lisäosia. Piti bootata kone, kun en viitsinyt kokeilla virtuaalikoneessa tai jotenkin muuten rajoittaa selainta. Pitäisiköhän asentaa joku aikainen oom-killeri, kun muistin loppumiseen tämä varmaan kyykkäsi.
 
^Muistelen että jo vuosia on puhuttu kuinka reikäinen tuo UPnP on kokonaisuudessaan ja täten sitä on suositeltu disabloitavaksi reitittemestä. Taisi WPS olla samanmoinen riski myöskin?

Oletuksena kumpikin on toki aina päällä, mutta toistaiseksi on ne saanut kytkettyä poiskin käytöstä.
 
Näin olen ymmärtänyt kuinka tuo Chrome toimii mutta kuitenkaan mikään ei kaatunut mihinkään, ei tabit, ei selain.. tuli vain randomisti noita kahta virheilmoitusta (1 ilmo per sivulataus) siihen tabiin jossa yritti sitä testiä avata.
 
Cloudflare...

U.S. Tech Giant Cloudflare Provides Cybersecurity For At Least 7 Terror Groups | HuffPost

Tästä varmasti tulee lisää tietoja, kun aletaan selvittämään.

Cloudflaren touhu on mielenkiintoista. Firmahan on jo pitkään tarjonnut palveluaan kaikenlaisille ei-poliittisille verkkorikollisille ja kieltäytynyt lopettamasta sitä sananvapauteen vedoten.

Daily Stormer (uusnatsien sivusto) sai lähteä ilmeisesti sen jälkeen, kun he käyttivät Cloudflaren nimeä omassa propagandassaan.

En tiedä, kuinka monimutkaisia Yhdysvaltain lain sananvapaus- ja vastaavat pykälät ovat. Voisi kuvitella, että USA:n viranomaiset saisivat ainakin terroristijärjestöjen kohdalla pysäytettyä Cloudflaren palvelujen tarjoamisen. Mikä sitten lienee motiivina sille, että ei pysäytetä... Halutaanko ennemmin pitää sivustot pystyssä ja tunnetun palvelun takana, jotta saadaan tiedustelutietoa. Vai onko laki niin tiukka, että se olisi vaikeaa.
 
Viimeksi muokattu:
Varovasti!

Varo Postin nimissä tulevaa tekstiviestiä – älä missään nimessä klikkaa linkkiä

Ja tuo huijaus näyttää olevan melko uusi ja samalla todella usealla, taisi ensimmäistä kertaa eilen illalla tulla iso satsi viestejä ympäri suomen?

Viesteistä tekee erityisen petollisia se, että tekstiviestit on väärennetty tulemaan samasta puhelinnumerosta kuin mitä Posti käyttää aidoissa saapumisilmoituksissa. Niinpä ne päätyvät puhelimessa samaan ketjuun Postin aitojen viestien kanssa.

Tuo on kyllä aika petollista :/

Edit: Posti ollut tietoinen tästä jo 30 joulukuuta, heidän facebook sivuston mukaan.
 
Varovasti!

Varo Postin nimissä tulevaa tekstiviestiä – älä missään nimessä klikkaa linkkiä

Ja tuo huijaus näyttää olevan melko uusi ja samalla todella usealla, taisi ensimmäistä kertaa eilen illalla tulla iso satsi viestejä ympäri suomen?

Viesteistä tekee erityisen petollisia se, että tekstiviestit on väärennetty tulemaan samasta puhelinnumerosta kuin mitä Posti käyttää aidoissa saapumisilmoituksissa. Niinpä ne päätyvät puhelimessa samaan ketjuun Postin aitojen viestien kanssa.
Tuo on kyllä aika petollista :/

Edit: Posti ollut tietoinen tästä jo 30 joulukuuta, heidän facebook sivuston mukaan.

Miksi tuollainen numeron väärentäminen on edes mahdollista Suomen kännykkäverkoissa? Eivätkö suomalaiset operaattorit estä moista touhua mitenkään?
 
Viimeksi muokattu:
Ja jos ei ole karannut, niin tarkistamisen jälkeen varmaan on.
? Kyllä HIBP ihan luotettava sivusto on. Sen ylläpitäjä on avoimesti omana itsenään esillä, ja tietoturvan ammattilaiset ovat ks. sivustoa suositelleet useissa eri medioissa.

E: Vai ymmärsinkö nyt jotain olennaista väärin?
 

Statistiikka

Viestiketjuista
262 548
Viestejä
4 556 754
Jäsenet
74 998
Uusin jäsen
hcko

Hinta.fi

Back
Ylös Bottom