Tietoturvauutiset ja blogipostaukset

Botti verkot skannaa tiettyjä softia, jotka pyörittää keskustelu sun muita sivustoja (Xenforo täällä) ja spämmää sinne sit jotain, yleensä mainoksia. Ihan normaalia ja pitkälti automatisoitua, joten eipä taida tekijätkään tietää itse minne osuu ja spämmää noilla...
 
Asuksen Live Update -päivitysohjelmiston kautta on levitetty takaporttia n. puoleen miljoonaan tietokoneeseen viime vuonna, ainakin viiden kuukauden aikajaksolla: Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers

Takaportti oli allekirjoitettu käyttäen Asuksen omaa sertifikaattia. Hyökkäyksen toisena vaiheena toiminut malware on ilmeisesti lähetetty vain tiettyyn, rajattuun joukkoon ennakkoon määriteltyjä MAC-osoitteita, mutta varmuutta asiasta ei ole. Asuksen toiminta tilanteessa on ollut täysin luokatonta:

Kamluk said Kaspersky notified ASUS of the problem on January 31, and a Kaspersky employee met with ASUS in person on February 14. But he said the company has been largely unresponsive since then and has not notified ASUS customers about the issue.

The attackers used two different ASUS digital certificates to sign their malware. The first expired in mid-2018, so the attackers then switched to a second legitimate ASUS certificate to sign their malware after this.

Kamluk said ASUS continued to use one of the compromised certificates to sign its own files for at least a month after Kaspersky notified the company of the problem, though it has since stopped. But Kamluk said ASUS has still not invalidated the two compromised certificates, which means the attackers or anyone else with access to the un-expired certificate could still sign malicious files with it, and machines would view those files as legitimate ASUS files.
 
Viimeksi muokattu:
Tää Asuksen keissi on kyllä todella syvältä. Julkaistaan paljon detaileja, mutta ei voida julkaista tuota MAC address listaa, joiden perässä olivat, koska keissi virallisesti esitellään jossain tulevassa konferenssissä.

Ja ASUS pysyy vaan hiljaa. VMP, onneks en koskaan asenna mitään tollasia automaagi update softia, mutta olisi silti kiva todeta itse ettei ollut "valittujen" joukossa. Lisäksi herää kysymys entäs jos vähän muitakin setup.exe tiedostoja edelleen sisältääkin (vähän erilaisen) malwaren...

Lisäksi tuossa jää hemmetin paljon hämärän peittoon mitä se stage 2 malware olisi sitten tehnyt, kun sitä eivät vielä(?) ole löytäneet.
 
Ja ASUS pysyy vaan hiljaa. VMP, onneks en koskaan asenna mitään tollasia automaagi update softia, mutta olisi silti kiva todeta itse ettei ollut "valittujen" joukossa. Lisäksi herää kysymys entäs jos vähän muitakin setup.exe tiedostoja edelleen sisältääkin (vähän erilaisen) malwaren...

Minulla tuo Live Update on joskus ollut asennettuna (muistaakseni samalla kertaa Asuksen AI Suiten kanssa), mutta onneksi ei enää parin viime vuoden aikana, kun ei ole Asuksen lankkua ollut enää koneessa.

Automaattisten päivitysten välttäminenkään ei mitenkään automaattisesti pelasta näiltä supply chain -hyökkäyksiltä. CCleanerin kanssa liippasi pari vuotta sitten itselläni todella läheltä. Artikkelin lopussa oli muuten mielenkiintoista spekulaatiota CCleaneriin liittyen:

“ASUS was one of the primary targets of the CCleaner attack,” Raiu said. “One of the possibilities we are taking into account is that’s how they intially got into the ASUS network and then later through persistence they managed to leverage the access … to launch the ASUS attack.”

Todella kärsivällistä ja pitkäjänteistä toimintaa, jos tuo pitää paikkansa.
 
Joo, näinhän se on. Lähtökohta on tällä hetkellä olettaa että kaikki asuksen saitilta ladattavat softat voi sisältää paskaa. Tämä siihen asti kunnes asia myönnetään ja kerrotaan mitä on käynyt. Jos/kun sitä ei tiedetä tarkasti, niin kerrotaan ainakin worst-case. :( (Joo ne kertoo)

Ei vaan itselleni mene jakeluun että kuka tekee tuollaisen hyökkäyksen, jakaa backdoorin miljooniin koneisiin, mutta aikoo käyttää sitä vaan satoihin tai tuhansiin kohteisiin. Mistä ihmeestä tämä taho on sen macci osoitelistansa kerännyt?

Eikö olisi paljon helpompaa suunnata kohdennettu hyökkäus suoraan kohteisiin vaikka pdf tiedostoilla tai muilla vastaavilla exploiteilla, jos tiedossa on ne fyysiset henkilöt ketä jahdataan? Tässä on jotain todella erikoista meneillään - ja tuo case ccleaner kytkös tukee myös sitä.

EDIT: pari ajatusta kumpusi vielä.

1. Ccleaner kannattaa ehdottomasti heittää mäkeen, tilalle joko ihan perus "Disk Cleanup" mikä tulee windowsin mukana, sitä pystyy tuunaamaan komentoriviltä paljon defaulttia tehokkaamaksi. Google kertoo lisää.

2. Bleachbit on opensource vaihtoehto sekä linuxille että windowsille (tätä suosittelen ja itse käytän). erittäin tehokas, joten malttia tämän kanssa.

3. Mitenköhän Asuksen windows updaten kautta jakamat ajurit? Olisiko tässä vaiheessa syytä suositella käyttämään vain tätä päivityskanavaa, vai onko niitäkin peukaloitu???
 
Viimeksi muokattu:
Joo, näinhän se on. Lähtökohta on tällä hetkellä olettaa että kaikki asuksen saitilta ladattavat softat voi sisältää paskaa. Tämä siihen asti kunnes asia myönnetään ja kerrotaan mitä on käynyt. Jos/kun sitä ei tiedetä tarkasti, niin kerrotaan ainakin worst-case. :( (Joo ne kertoo)

Ei vaan itselleni mene jakeluun että kuka tekee tuollaisen hyökkäyksen, jakaa backdoorin miljooniin koneisiin, mutta aikoo käyttää sitä vaan satoihin tai tuhansiin kohteisiin. Mistä ihmeestä tämä taho on sen macci osoitelistansa kerännyt?

Eikö olisi paljon helpompaa suunnata kohdennettu hyökkäus suoraan kohteisiin vaikka pdf tiedostoilla tai muilla vastaavilla exploiteilla, jos tiedossa on ne fyysiset henkilöt ketä jahdataan? Tässä on jotain todella erikoista meneillään - ja tuo case ccleaner kytkös tukee myös sitä.

EDIT: pari ajatusta kumpusi vielä.

1. Ccleaner kannattaa ehdottomasti heittää mäkeen, tilalle joko ihan perus "Disk Cleanup" mikä tulee windowsin mukana, sitä pystyy tuunaamaan komentoriviltä paljon defaulttia tehokkaamaksi. Google kertoo lisää.

2. Bleachbit on opensource vaihtoehto sekä linuxille että windowsille (tätä suosittelen ja itse käytän). erittäin tehokas, joten malttia tämän kanssa.

3. Mitenköhän Asuksen windows updaten kautta jakamat ajurit? Olisiko tässä vaiheessa syytä suositella käyttämään vain tätä päivityskanavaa, vai onko niitäkin peukaloitu???

Toisaalta jos kohde ymmärtää jättää sähköpostiin lähetetyt PDF-tiedostot ja urkintaviestit avaamatta, tällä tavalla voidaan päästä kohteeseen käsiksi huomaamatta. Paljastuminen on tietysti riskinä siinä vaiheessa, kun haittaohjelmaa levitetään massoille.


Muistutetaan taas, että kaikki ladatut asennustiedostot voi tarkistaa esim. Virustotalissa, jolloin saa ainakin vähän lisää varmuutta niiden turvallisuudesta. Tuloksia kannattaa tulkita kriittisesti, mutta jos suuri määrä tunnettuja ohjelmia hälyttää, kannattaa ohjelma jättää asentamatta.

VirusTotal
 
Ei vaan itselleni mene jakeluun että kuka tekee tuollaisen hyökkäyksen, jakaa backdoorin miljooniin koneisiin, mutta aikoo käyttää sitä vaan satoihin tai tuhansiin kohteisiin. Mistä ihmeestä tämä taho on sen macci osoitelistansa kerännyt?

Eikö olisi paljon helpompaa suunnata kohdennettu hyökkäus suoraan kohteisiin vaikka pdf tiedostoilla tai muilla vastaavilla exploiteilla, jos tiedossa on ne fyysiset henkilöt ketä jahdataan? Tässä on jotain todella erikoista meneillään - ja tuo case ccleaner kytkös tukee myös sitä.

Tätä mietin itsekin, eikä mieleen tule kuin enemmän tai vähemmän hulluja/hölmöjä ideoita. Esim. vaikka näin: tavoitteena on rakentaa soluttautumiskanavia jonkin normaalia paremmin suojatun organisaation (tai useiden organisaatioiden) sisälle tavalla, joka on äärimmäisen "plausibly deniable". Eli soluttautuja (joka on ehkä kohdeorganisaation sisällä töissä) lähettää jotakin kautta pomoilleen vain tiedon siitä, mitä Asus-läppäreille kuuluvia MAC-osoitteita kohdeorganisaatiossa on käytössä, ja loppu hoituu täysin automaattisesti. Kun koneisiin ei tarvitse missään vaiheessa fyysisesti koskea mitenkään, soluttautujan on helppo välttää epäilykset. Ehkäpä hyökkääjillä ei ole kykyä kontrolloida Asuksen update-palvelinta siinä määrin, että he voisivat kohdentaa hyökkäyksen tarkemmin oikeaan ip-avaruuteen, joten sadat tuhannet Live Update -käyttäjät saavat malwarea koneilleen ja hyökkäyksen paljastumisen riski kasvaa. Toisaalta siinä vaiheessa, kun hyökkäys kuukausia myöhemmin paljastuu, niin myyräntyö kohdeorganisaatio(i)ssa on jo tehty.

Tässä ideassa on varmaan miljoona reikää, älkää naurako liikaa. :lol:
 
Eipä tuohon tarvii ku vaikka RPi, jonka lyö kiinni laitoksen verkkopistokkeeseen ja se skannaa välittömästi verkon koneet (ja monesti on näitä propellipäitä noissa firmoissa, jotka sen oman WLAN tukiaseman tökkää sinne työpaikalle omaksi iloksi ja siitä sisään), MAC osoitteet ja vendor tiedot yhdistämällä näin saadaan vaikka ne Asus koneet löydettyä sieltä. Onhan näitä skenaarioita vaikka mitä mahdollista keksiä, ja keinoja jos jonkinlaisia tänä päivänä.

Ja jos ei itse jaksa koodata ja asennella, niin valmiita paketteja löytyy helposti:
Network Implants

Se on jokapäiväistä nykyään, että tietoturva asioiden kanssa joudutaan koko ajan tekemisiin, olipa kyse lähes mistä tahansa. Maailma kun pyörii digitaalisen informaation varassa nykyään täysin, tottakai siellä myös niitä hämäriä tyyppejä liikuskelee mukana.
 
Tätä mietin itsekin, eikä mieleen tule kuin enemmän tai vähemmän hulluja/hölmöjä ideoita. Esim. vaikka näin: tavoitteena on rakentaa soluttautumiskanavia jonkin normaalia paremmin suojatun organisaation (tai useiden organisaatioiden) sisälle tavalla, joka on äärimmäisen "plausibly deniable". Eli soluttautuja (joka on ehkä kohdeorganisaation sisällä töissä) lähettää jotakin kautta pomoilleen vain tiedon siitä, mitä Asus-läppäreille kuuluvia MAC-osoitteita kohdeorganisaatiossa on käytössä, ja loppu hoituu täysin automaattisesti. Kun koneisiin ei tarvitse missään vaiheessa fyysisesti koskea mitenkään, soluttautujan on helppo välttää epäilykset. Ehkäpä hyökkääjillä ei ole kykyä kontrolloida Asuksen update-palvelinta siinä määrin, että he voisivat kohdentaa hyökkäyksen tarkemmin oikeaan ip-avaruuteen, joten sadat tuhannet Live Update -käyttäjät saavat malwarea koneilleen ja hyökkäyksen paljastumisen riski kasvaa. Toisaalta siinä vaiheessa, kun hyökkäys kuukausia myöhemmin paljastuu, niin myyräntyö kohdeorganisaatio(i)ssa on jo tehty.

Tässä ideassa on varmaan miljoona reikää, älkää naurako liikaa. :lol:
Kaspersky: NSA Worker's Computer Was Already Infected With Malware
 
Minua kiinostaa koskeeko tuo LiveUpdate juttu vain ASUS -merkkisiä läppäreitä vai myös ASUS emolevyjen, näytönohjaiten ym. mukana tulevia softia joissa myös on aina joku taustalla pyörivä update softa ?
 
Minua kiinostaa koskeeko tuo LiveUpdate juttu vain ASUS -merkkisiä läppäreitä vai myös ASUS emolevyjen, näytönohjaiten ym. mukana tulevia softia joissa myös on aina joku taustalla pyörivä update softa ?
Tuo on erikseen ladattavissa ja mielestäni tulee kyllä siinä levyllä mukana. Käyttäjän pitää itse se tosin asentaa.
 
Brittitutkimus: Huawein koodissa satoja haavoittuvuuksia
"Raportin mukaan Huawein ohjelmointikäytännöissä on merkittäviä puutteita. Sen takia yhtiön tuottama koodi on laadultaan heikkoa ja koodiin jää paljon haavoittuvuuksia. Raportissa näitä sanotaan olevan satoja. Tämä tietysti nostaa Huawein laitteiden operaattoreille aiheuttamaa tietoturvariskiä."
 
Registerin jutun lopusta:

Commenting on the NCSC's vital conclusion that none of these cockups were the fault of the Chinese state’s intelligence-gathering organs, Rob Pritchard of the Cyber Security Expert told The Register: "I think this presents the UK government with an interesting dilemma - the HCSEC was set up essentially because of concerns about threats from the Chinese state to UK CNI (critical national infrastructure). Finding general issues is a good thing, but other vendors are not subject to this level of scrutiny. We have no real (at least not this in depth) assurance that products from rival vendors are more secure."
Itsellä kävi ihan sama mielessä.
 
Ciscon tapa korjata tietoturvahaavoittuvuuden.:



Ei ole edes ensimmäinen oksennus Ciscolta, joten kyseinen merkki jää minun toimestani tästä eteenpäinkin kaupan hyllylle.

Toisaalta jos verkkolaitteiden huippu(?)nimiin kuuluva firma tekee tällaista kuraa, kuinka surkeaa on halpismerkkien softapuoli?
 
Toisaalta jos verkkolaitteiden huippu(?)nimiin kuuluva firma tekee tällaista kuraa, kuinka surkeaa on halpismerkkien softapuoli?
Todennäköisesti piileviä ongelmia on todella paljon, koska esim. aika harvassa Linux-laitteessa on viimeisimpiä kernelin päivityksiä tai ajantasalla olevia ohjelmia. Mutta koska ongelmia tuodaan aika vähän esiin niin suurin osa ongelmista jäänee vain ilman huomiota. esim. Zyxel-hakusanalla löytyy viime vuodelta 9 CVE:tä
CVE - Search Results

Ja nuo parempien merkkien laitteet maksavat sen verta paljon, että ne jäävät monilta ostamatta hintansa puolesta, joten tuo halvempien merkkien yliedustus ekosysteemissä aiheuttaa vain lisää ongelmia internetin kannalta.
 
S-mobiilin pankkiosiossa häiriöitä
8.4.2019
S-mobiilin pankkiosion toiminnassa esiintyy häiriöitä, jonka takia sovelluksessa esiintyy virheellisiä tietoja. Tietojärjestelmien toimintaan liittynyt häiriö on aiheuttanut sen, että rajattu joukko S-mobiilin käyttäjiä on nähnyt sovelluksessaan tilapäisesti toisen pankkiasiakkaan tietoja. Häiriö rajautuu pankkitietojen näkymiseen. S-mobiili on toistaiseksi pois käytöstä.
Että sellaista. Mitähän tarkkaan ottaen tarkoittaakaan...
 
S-mobiilin pankkiosiossa häiriöitä
8.4.2019

Että sellaista. Mitähän tarkkaan ottaen tarkoittaakaan...
En tiedä mutta uusin päivitys meni pahasti metsään mistä ainakin android käyttäjät ovat valittaneet urakalla. Itse myös joudun käyttämään nyt tästä syystä pahvitunnuslappua. Jännä päivitys kun edellinen hyvin toiminut käyttöliittymä uusittiin täysin. Oisko tekijät vaihtuneet?
 
Olihan tuo kieltämättä melkoinen lipsahdus, tuolta näki toisen asiakkaan henkilö-, tili- ja maksutietoja. Tarkemmin en ruennut tutkimaan, koska nuo tiedot eivät meikäläiselle kuulu.

Ehtivät jo välissä tiedottaa että asia on korjattu, mutta minulla ainakin tuolla näkyi edelleen vääriä tietoja (ja kyseessä oli kuitenkin jo ihan uusi istunto).

Ilmoitin asiasta välittömästi, ja ottivat näköjään palvelun uudelleen alas.
 
Mulla ei näkynyt kaikkia omia tilitapahtumia. Ne vissiinkin näkyi sitten jollekkin muulle. Laitoin palautetta asiasta ja valitin samalla sovelluksen sekavasta ulkoasusta.
 
En tiedä mutta uusin päivitys meni pahasti metsään mistä ainakin android käyttäjät ovat valittaneet urakalla. Itse myös joudun käyttämään nyt tästä syystä pahvitunnuslappua. Jännä päivitys kun edellinen hyvin toiminut käyttöliittymä uusittiin täysin. Oisko tekijät vaihtuneet?
Jep, ei itselläkään toimi atm. Oliko siellä näkyvät muiden tiedot anonyymeja vai oliko ihan näkösällä kenen tilitiedoissa tässä nyt ollaan?
 
Jep, ei itselläkään toimi atm. Oliko siellä näkyvät muiden tiedot anonyymeja vai oliko ihan näkösällä kenen tilitiedoissa tässä nyt ollaan?
En sitä appia käytä kuin tunnistukseen, en siis ole katsonut tilitietoja enkä varmaan käytä ollenkaan kunnes korjataan. tunnistuskin ollut vaikeaa monella, itse koen nykyisen tunnistuksen vaikeammaksi kuin pahvilapun käytön ja siksi siirryin takaisin siihen. Vanha versio oli nopeampi kuin lapusta.
 
Jep, ei itselläkään toimi atm. Oliko siellä näkyvät muiden tiedot anonyymeja vai oliko ihan näkösällä kenen tilitiedoissa tässä nyt ollaan?
Oli nähtävillä, käyttäjäprofiilin alla oli omat tiedot mutta tilitietojen alta löytyi sitten jonkun toisen tiedot.
 
Pahinta minusta näissä on se, että vastaava taho pääsee aina, kuin koira veräjästä. Ehkä pieni imago kolaus, mutta sekin painuu pian unholaan. Ja taas mennään, kunnes kolahtaa.

Yksityisyys on vitsi, nykyaikana.
 
Pahinta minusta näissä on se, että vastaava taho pääsee aina, kuin koira veräjästä. Ehkä pieni imago kolaus, mutta sekin painuu pian unholaan. Ja taas mennään, kunnes kolahtaa.

Yksityisyys on vitsi, nykyaikana.
Suomessa ei viranomaisia tunnu kiinnostavan vaikka seuraamukset voivat olla kovat yritykselle. Pari kk sitten laitoin eräälle isolle firmalle (ja myöhemmin viestintävirastolle) viestiä liian julkisesta apista --> tilanne yhä sama eikä mitään vastausta
 
Suomessa ei viranomaisia tunnu kiinnostavan vaikka seuraamukset voivat olla kovat yritykselle. Pari kk sitten laitoin eräälle isolle firmalle (ja myöhemmin viestintävirastolle) viestiä liian julkisesta apista --> tilanne yhä sama eikä mitään vastausta
Jos koskee isompaa joukkoa ihmisiä tai heidän tietojaan niin kannattaa tehdä juttuvinkki jollekkin lehdelle ja pyytää heitä kysymään kommenttia asiasta firmalta ennen artikkelin julkaisua. Jos vaikka saisivat jotakin aikaiseksi ennenkuin suurempaa vahinkoa ehtii tapahtumaan. Typerää joutua tyytymään noinkin alhaisiin keinoihin.
 
Google mahdollistaa jatkossa uudempien Android-puhelinten (7-versio tai uudempi) käytön 2SV-tunnistukseen, kun käytössä on Chrome-selain ja Bluetooth-tuella varustettu tietokone. Tuosta ollaan rakentamassa avointa standardia, joten tulevaisuudessa varmaan lähes kaikki semi-ohjelmoitavat Bluetooth-laitteet käyvät tunnistautumisen avuksi.
The ultimate account security is now in your pocket
This does not use Web Bluetooth, but rather an implementation directly in the br... | Hacker News
 
Paypalin 2FA nyt käytössä täälläkin. Olisivat voineet Paypalilta laittaa asiasta käyttäjille sähköpostina ilmoituksen. Monelta jää varmaan huomaamatta, että 2FA-sovellusta voi nyt käyttää.
 
Paljonkohan eroaa turvallisuuden kannalta jos käyttää paypalissa vaan tuota puhelinnumero vahvistusta tuon Authyn sijaan?
 
Paljonkohan eroaa turvallisuuden kannalta jos käyttää paypalissa vaan tuota puhelinnumero vahvistusta tuon Authyn sijaan?

Aiheeseen osittain liittyen, joskus Paypalin tekstiviestivahvistuksen saapumisessa on kestänyt 20-40 minuuttia, jolloin Paypalia ei ole voinut tietenkään käyttää maksamiseen. Kannattaa pelkästään tästä syystä pistää 2FA päälle.
 
Ei saanut 2FA:n aktivoimisen yhteydessä tunnuslistoja, joita tavallisesti saa jos tulee jokin ongelma sen kanssa. Onko ainut tapa selvittää tämä, käyttää niitä henkilökohtaisia kysymyksiä?
 
Ei saanut 2FA:n aktivoimisen yhteydessä tunnuslistoja, joita tavallisesti saa jos tulee jokin ongelma sen kanssa. Onko ainut tapa selvittää tämä, käyttää niitä henkilökohtaisia kysymyksiä?

Lisää sinne 2FA:han myös puhelinnumero sen apin lisäksi ja laita appi primaryksi, sillä se kysyy kirjautuessa sitä appikoodia mutta voi tarvittaessa painaa sitä try another way nappia ja laittaa sitä kautta koodi tulemaan tekstiviestillä.
 
Varo Azuresta tulevia kalasteluita!

Kalastelusivustojen tunnistaminen on erityisen vaikeaa, koska selaimessa näkyvä kirjautumisosoite päättyy aina joko "blob.core.windows.net" tai sitten "web.core.windows.net", ja sivustolla oleva sertifikaatti kuuluu Microsoftille. Ainoa keino käyttäjän kannalta on havaita osoitteen olevan väärä suhteessa aitoon sivuston osoitteeseen, mutta tämä vaatii syvällistä tietämystä pilvipalveluiden toiminnasta.
 

Statistiikka

Viestiketjuista
259 604
Viestejä
4 512 608
Jäsenet
74 420
Uusin jäsen
artumarienpeerg

Hinta.fi

Back
Ylös Bottom