Tietoturvauutiset ja blogipostaukset

? Kyllä HIBP ihan luotettava sivusto on. Sen ylläpitäjä on avoimesti omana itsenään esillä, ja tietoturvan ammattilaiset ovat ks. sivustoa suositelleet useissa eri medioissa.

E: Vai ymmärsinkö nyt jotain olennaista väärin?
Ei tuota juuri tarkoitin, tietenkin jos luottoa on niin sitten.
 
Hmm, testasin nyt vain yhden monista sähköpostiosoitteistani, ja uusimman sivusto kertoo sähköpostiosoitteen vuotaneen tässä uusimmassa tapauksessa. Vielä kun tietäisi, minkähän palvelun käyttäjätunnus+salasana-yhdistelmä on vuotanut, kun en todellakaan muista kaikkia sivustoja, joille olen rekisteröitynyt vuosien saatossa eri sähköpostiosoitteilla. (uusimman vuodon lisäksi väittää käyttäjätunnus+salasana-yhdistelmän vuotaneen jo joskus aikaisemmin R2games.com-sivuston vuoden 2015 tietovuodossa, tosin en muista koskaan rekisteröityneeni kyseiselle sivustolla - varsinkaan pääasiallisella sähköpostiosoitteellani (jota olen käyttänyt vain tärkeisiin paikkoihin rekisteröitymiseen - R2games.com tuskin kuuluu niihin)
 
Hmm, testasin nyt vain yhden monista sähköpostiosoitteistani, ja uusimman sivusto kertoo sähköpostiosoitteen vuotaneen tässä uusimmassa tapauksessa. Vielä kun tietäisi, minkähän palvelun käyttäjätunnus+salasana-yhdistelmä on vuotanut, kun en todellakaan muista kaikkia sivustoja, joille olen rekisteröitynyt vuosien saatossa eri sähköpostiosoitteilla. (uusimman vuodon lisäksi väittää käyttäjätunnus+salasana-yhdistelmän vuotaneen jo joskus aikaisemmin R2games.com-sivuston vuoden 2015 tietovuodossa, tosin en muista koskaan rekisteröityneeni kyseiselle sivustolla - varsinkaan pääasiallisella sähköpostiosoitteellani (jota olen käyttänyt vain tärkeisiin paikkoihin rekisteröitymiseen - R2games.com tuskin kuuluu niihin)
Lähes mahdotonta sanoa, tai no tietenkin jos muistat kaikki paikat jossa olet käyttänyt vuotanutta sähköpostiasi.

"Email addresses, Passwords" on vuotaneet tuossa "Collection #1" vuodossa, ei mitään käyttäjätunnuksista? Tietysti se käyttäjätunnus voi myös olla se sähköposti.

Edit: Näyttää olevan vain sähköpostiosoitteeni, salasanat ainakin vielä turvassa (kaikki mahdolliset muodot käytin mitä vain muistin, niitäkin oli joku 50 kpl :D)

Kotimaisista:

avaintieto.fi
cows.fi
 
Viimeksi muokattu:
Tais naamakirjakin olla, kunnes ei enään ollut. Rahalla voi tuokin muuttua epäluotettavaksi.
Tarkennetaan nyt vielä, eli ensisijaisesti ajatus on että syötät tuonne pelkän sähköpostiosoitteen, jotta näet olisiko syytä alkaa salasanojen vaihtorumbaan. Mikäli spostiasi ei tuolta löydy, niin se ei muodosta minkään tason tietoturvauhkaa. Jos taas löytyy, ei tilanne ainakaan entisestään huonone.

Jos haet samalla istunnolla sekä spostiosoitteita ja salasanoja, niin tilanne on tietysti toinen. Sivuston ylläpitäjä on tosin todennut, että salasanoilla hakua suositellaan lähinnä ihmisille joilla on sama salasana joka paikkaan (jos se vaikka herättelisi ihmisiä kunnolisiin salasanakäytäntöihin).

En vertaisi tätä Facebookkiin millään tasolla, tuo on kuitenkin palvelu jonka ainut käyttötarkoitus on antaa käyttäjälle lisäaikaa salasanojen vaihtoon ennen kuin tunnukset päätyvät vääriin käsiin.
 
Eikä noista vuodoista voi tietää liittyykö esim vanhoihin vuotoihin, ja kerätty vain mahdollisimman iso satsi että rikottaisiin ennätyksiä jne.

Siis jos joku on aiemmasta vuodosta kenties löytänyt sinun sähköpostisi niin rekisteröitynyt sen avulla eri sivustoille joissa ei ole ns vahvistuspostia sähköpostiin, tullut vain joku random tervetuloa jne, onneksi heitän kaiken oudon aina roskakoriin.
 
Tarkennetaan nyt vielä, eli ensisijaisesti ajatus on että syötät tuonne pelkän sähköpostiosoitteen, jotta näet olisiko syytä alkaa salasanojen vaihtorumbaan. Mikäli spostiasi ei tuolta löydy, niin se ei muodosta minkään tason tietoturvauhkaa. Jos taas löytyy, ei tilanne ainakaan entisestään huonone.

Jos haet samalla istunnolla sekä spostiosoitteita ja salasanoja, niin tilanne on tietysti toinen. Sivuston ylläpitäjä on tosin todennut, että salasanoilla hakua suositellaan lähinnä ihmisille joilla on sama salasana joka paikkaan (jos se vaikka herättelisi ihmisiä kunnolisiin salasanakäytäntöihin).

En vertaisi tätä Facebookkiin millään tasolla, tuo on kuitenkin palvelu jonka ainut käyttötarkoitus on antaa käyttäjälle lisäaikaa salasanojen vaihtoon ennen kuin tunnukset päätyvät vääriin käsiin.
Mutta mikä estää ko. tyyppiä/sivustoa pitämästä listaa haetuista osoitteista, ja sitten vuotamaan/myymään sen tarpeeksi isoa korvausta vastaan?
 
Mutta mikä estää ko. tyyppiä/sivustoa pitämästä listaa haetuista osoitteista, ja sitten vuotamaan/myymään sen tarpeeksi isoa korvausta vastaan?
A) On helpompiakin tapoja kerätä sähköpostiosoitteita.
B) Nämä on jo jokatapauksessa saatavilla verkosta. Siksi ne tuolta löytyvät.
C) Todennäköisesti tekee parempaa ja varmempaa tulosta aivan laillisella liiketoiminnalla, Troy Hunt on varsin näkyvä naama alalla; Troy Hunt - Wikipedia
Sähköpostiosoitteista ei kovin suuria rahoja saa.

Jos haet palvelusta samalla istunnolla myös käyttämiäsi salasanoja, riski on kyllä olemassa. Itse kuitenkin pidän suurempana riskinä tietämättömyyttä mahdollisista tietovuodoista.

Esimerkiksi;
Minulla oli tunnukset erääseen ulkomaiseen webhotelliin. Murron yhteydessä sieltä oli vuotanut sekä sähköpostiosoitteeni että salasanani, mutta HIBP varoitti tästä ja vaihdoin salasanat + siirsin sivuston muualle ennenkuin vahinkoa ehti tapahtua. Ainoa tieto mitä minun täytyi palveluun antaa, oli yrityksen sähköpostiosoite joka on jokatapauksessa kerättävissä yrityksen verkkosivuilta ohjelmallisesti.

Olen sen verran foliopipo, etten itsekään testaa salasanoja tuolla, mutta liian tiukalla foliolakilla tekee helposti itselleen enemmän haittaa kuin hyötyä.
 
A) On helpompiakin tapoja kerätä sähköpostiosoitteita.
B) Nämä on jo jokatapauksessa saatavilla verkosta. Siksi ne tuolta löytyvät.
C) Todennäköisesti tekee parempaa ja varmempaa tulosta aivan laillisella liiketoiminnalla, Troy Hunt on varsin näkyvä naama alalla; Troy Hunt - Wikipedia
Sähköpostiosoitteista ei kovin suuria rahoja saa.

Jos haet palvelusta samalla istunnolla myös käyttämiäsi salasanoja, riski on kyllä olemassa. Itse kuitenkin pidän suurempana riskinä tietämättömyyttä mahdollisista tietovuodoista.

Esimerkiksi;
Minulla oli tunnukset erääseen ulkomaiseen webhotelliin. Murron yhteydessä sieltä oli vuotanut sekä sähköpostiosoitteeni että salasanani, mutta HIBP varoitti tästä ja vaihdoin salasanat + siirsin sivuston muualle ennenkuin vahinkoa ehti tapahtua. Ainoa tieto mitä minun täytyi palveluun antaa, oli yrityksen sähköpostiosoite joka on jokatapauksessa kerättävissä yrityksen verkkosivuilta ohjelmallisesti.

Olen sen verran foliopipo, etten itsekään testaa salasanoja tuolla, mutta liian tiukalla foliolakilla tekee helposti itselleen enemmän haittaa kuin hyötyä.
Mutta tämä olisi aika nerokas keino kerätä lisää. Ja ehkä sellaisiakin tapauksia löytyy joiden kannattaa tuolta osoitteita tarkistaa, mutta suurimmalle osalle en kyllä ehdottaisi sitä.

Salasanaa ei kannata mielestäni tarkistaa, ja siksi ei osoitteen löytymisestä oikein ole mitään hyötyä, koska jos et saa roskapostia, ei sitä todennäköisesti siellä ole, ja jos saat niin on. Ja tästä päästään siihen että salasanat kannattaa kuitenkin vaihtaa, tarkistit tai et. Vai onko ne sielä kannassa yhdistettynä, eli haet pelkän osoitteen niin kertoo myös salasanasta?

Järkevin keino mielestäni on ladata se tiedosto ja tarkistaa itse, jos se on mahdollista.
 
Viimeksi muokattu:
Huntin ylläpitämästä verkkopalvelusta Have I been pwned? (siirryt toiseen palveluun) voi tarkistaa, onko oma sähköposti vuodettujen joukossa.

F-Securen tutkija Andrew Patel pitää sivustoa luotettavana ja kehottaa kokeilemaan palvelusta, onko oma sähköposti saatu napattua.
YLE: Satoja miljoonia salasanoja leviää netissä – Nyt viimeistään kannattaa tarkistaa oma tietoturva

Mitä käyttäjän on syytä tehdä?

Ensimmäisenä kannattaa vaihtaa kaikkien omien sähköpostiosoitteiden salasanat ja ottaa käyttöön kaksivaiheinen tunnistautuminen. Ne toimivat esimerkiksi siten, että salasanan lisäksi palvelu lähettää matkapuhelimeen tekstiviestillä ylimääräisen koodin, jota ilman kirjautuminen ei onnistu.

Kannattaa myös harkita salasanojen hallintaohjelman käyttöönottoa. Hallintaohjelma on tietokoneohjelma, jonne voi tallentaa salasanoja ja jonka avulla voi esimerkiksi luoda täysin sattumanvaraisia salasanoja.

Seuraavaksi kannattaa tarkistaa Huntin palvelusta, löytyykö omia sähköpostiosoitteita murrettujen salasanojen listoilta.

Toimintajärjestys on tärkeä, sillä on vain ajan kysymys, milloin oma osoite palvelusta kuitenkin löytyy.
HS: Maailman suurin tietovuoto: Yli 770 miljoonaa osoitetta ja salasanaa löytyi hakkeripalstalta
 
tälläsen tuloksen sain ku testasin tuolla have i been pwned sivustolla
Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)

mitä tuo nyt meinaa luin tuota mutta en älynny pitääkö tässä nyt jotain tehdä kiitos vastauksesta jo etukäteen.
 
mitä tuo nyt meinaa luin tuota mutta en älynny pitääkö tässä nyt jotain tehdä kiitos vastauksesta jo etukäteen.
Katso siitä Breaches you were pwned in -kohdasta minkä sivuston tiedot ovat mahdollisesti vuotaneet. Jos kyseessä on tuo Collection #1 niin sitten pitää muita reittejä pitkin selvitellä, että minkä palvelun käyttäjätunnustiedot ovat mahdollisesti vuotaneet. Tietenkin voi aina varmuuden vuoksi vaihtaa salasanat kaikkiin palveluihin, mutta se on aika työläs operaatio, jos tykkää aina rekisteröityä kaikkialle.

Jatkon kannalta on aina helpointa käyttää noita +sähköpostiosoitteita rekisteröityessä (esim. matti.meikalainen+ponifoorumi@jotai.com), jolloin on helpompi etsiä se palvelu, josta tiedot ovat vuotaneet, jos kyseessä on tuollainen massakerätty lista.
 
Joo tuolta on kyllä vaikea sanoa mistä se tieto on tullut kun ei ole originaalia listaa. Sieltä näkisi suoraan mistä vuotanut.

Todennäköisesti joku vanha saitti mitä ei ole käyttänyt enää vuosiin.
 
Iltellä näyttää Last.fm -vuoto kummittelevan edelleen... Siitäkin on jo about miljoona vuotta aikaa ja salasanat on vaihdettu.

[edit] Siis mistä toi uus vuoto/"vuoto" oli tapahtunu?

Sitä en oo vieläkään tajunnut. Se mitä on tullu vastaan on et jossain pastebiniä vastaavasssa palvelussa oli avoinna kaikille jokin koottu tiedosto, jonka koko oli yli 80Gt/Gb ja jossa noi tiedot oli. Ja ne kaikki tiedot oli VAIN koottu yhteen vanhoista vuodoista, eli MITÄÄÄN UUTTA VUOTOA ei ole tapahtunut.
 
Viimeksi muokattu:
Iltellä näyttää Last.fm -vuoto kummittelevan edelleen... Siitäkin on jo about miljoona vuotta aikaa ja salasanat on vaihdettu.

[edit] Siis mistä toi uus vuoto/"vuoto" oli tapahtunu?

Sitä en oo vieläkään tajunnut. Se mitä on tullu vastaan on et jossain pastebiniä vastaavasssa palvelussa oli avoinna kaikille jokin koottu tiedosto, jonka koko oli yli 80Gt/Gb ja jossa noi tiedot oli. Ja ne kaikki tiedot oli VAIN koottu yhteen vanhoista vuodoista, eli MITÄÄÄN UUTTA VUOTOA ei ole tapahtunut.

”In other words, there's somewhere in the order of 140M email addresses in this breach that HIBP has never seen before.”
 
Näemmä uutta listaa pukkaa "NextList Combolist Share"
 
Osoite, jota käytän yksinomaan GitHubiin löytyi haulla. En mielestäni käytä sitä mihinkään muuhun, kun etsin sitä salasanamanagerista. GitHub:ssa käytössä oli kolme OAuth-sovellusta, Hacktoberfest, GitLab ja Travis CI. Travis CI oli lisännyt webhookeja ja muuttanut eventejä kolme päivää sitten GitHubin security-välilehden mukaan, en ole itse niihin repoihin kajonnut pitkiin aikoihin, joissa käytän Travis CI:tä. Heidän status-sivuiltaan (Travis CI Status) 16.1. näyttää olleen jotain ongelmaa, voi liittyä siihen. Näkyykö muilla samat ilmoitukset GitHub:ssa?

Taidan vaihtaa salasanan GitHubiin ja Gmailiin. Kaksivaiheista tunnistusta en ollut laittanut, koska sitten pushaamiseen piti luoda joku tunniste ja sen vaikutti niin epäkäytännölliseltä. Vai käyttääkö joku ja miten toimii? Pitänee tutustua uudestaan dokumentaatioon. Otan yhteyttä Travis CI:kin.

Edit: Jos käyttää SSH:ta tunnistautumiseen komentorivillä, niin 2FA:n aktivoinnin jälkeenkään ei pitäisi tarvita luoda vielä erillisiä access tokeneita.

Ei ollut merkki mistään haitallisesta nuo ilmoitukset.
 
Viimeksi muokattu:
No, on tuo silti varmasti vielä parempi kuin ZIP-tiedostojen salaus, mikä on niin heikko että se murtuu taskulaskimella sekunneissa.
 
Ciscon purkit vuotaa:

Over 9,000 Cisco RV320/RV325 routers are vulnerable to CVE-2019-1653

country_list.png
 
Jotenkin surkeaa, että jopa kuvatiedostoja käsittelevään kirjastoon päätyy tällaisia.

Tulee mieleen se jokusen vuoden takainen joukko StageFright-haavoittuvuuksia, joissa oli myös mediatiedostojen dekoodaukseen käytetyn kirjaston bugeista kyse. Vieläkin näen ihmisillä jokapäiväisessä käytössä puhelimia (Samsungin XCover 2 viimeisin havainto), jotka eivät koskaan saaneet Stagefright-korjauspätsejä. Ainut juttu, joka suojaa Pertti & Paula Peruskäyttäjiä hyökkäyksiltä taitaa olla se, että he eivät kiinnosta ketään, yhdessä eräänlaisen "käänteisen laumasuojan" kanssa: täysin suojattomia, potentiaalisia uhreja on kymmeniä, ellei jopa satoja miljoonia.
 
Melkoista touhua...

google-fake-mfa.png


Tämän lisäksi portaaliin oli myös luotu Gmailin MFA-autentikaatiota varten turvakysymyksiä, varasähköpostiosoitteita sekä puhelinnumeroita varten omat kalastelunäkymänsä. Näkymät poikkeavat todellisista siinä, että Google sumentaa osan merkeistä ja jättää muutaman näkyviin; eli esim. puhelinnumerosta näkyisi kaksi viimeistä numeroa suuntanumeron lisäksi.

Katsaus sähköpostitunnusten kalastelusivustoihin | Traficom
 
Ja taas uutta reikää liittyen speculative executioniin: SPOILER alert, literally: Intel CPUs afflicted with simple data-spewing spec-exec vulnerability

The Register sanoi:
This security shortcoming can be potentially exploited by malicious JavaScript within a web browser tab, or malware running on a system, or rogue logged-in users, to extract passwords, keys, and other data from memory. An attacker therefore requires some kind of foothold in your machine in order to pull this off. The vulnerability, it appears, cannot be easily fixed or mitigated without significant redesign work at the silicon level.

Research paperista löytyy tarkempaa tietoa.
 
Viimeksi muokattu:
Rowhammerilla siis saadaan aikaan satunnainen muistikorruptio. Ja jos kone on ollut rasituksessa, jolloin muisti on fragmentoitunut, tyhjien alueiden löytäminen sopivan matkan päätä toisistaan muuttuu hankalaksi.. Jolloin rowhammer ei onnistu tehokkaasti..

Tuolla siis saa lähinnä mahdollisesti kaataneeksi koneen tai toimimaan satunnaisella tavalla väärin, kun jauhaa tuota vähintään tuntisotalla..
 
PDF-tiedostojen allekirjoitusten tarkistus on kuralla niin standardin määritelmien kuin toteutustenkin osalta. Käytännössä allekirjoitettua tiedostoa pystyy väärentämään niin, että useimmat lukuohjelmat näyttävät allekirjoituksen olevan edelleen kunnossa.


1 Trillion USD Refund! (PDF Enclosed)
 
Kiinnostais tietää kuka tämmösen turhuuden takana on tai maksanut siitä? :tdown:
 

Statistiikka

Viestiketjuista
262 491
Viestejä
4 554 025
Jäsenet
74 993
Uusin jäsen
hollow

Hinta.fi

Back
Ylös Bottom