Tietoturvauutiset ja blogipostaukset

Kirjoitin seuraavan "pikku-uutis"-topikkiin:

Jutusta se biiffi, boldaukset minun:

CVE-2019-13052

Mengs says that if an attacker can capture the pairing between a Unifying dongle and a Logitech wireless accessory, the attacker can recover the key used to encrypt traffic between the two components.
...
Furthermore, in situations where the attacker has missed the dongle pairing operation, an attacker with physical access to the dongle "could manually initiate a re-pairing of an already paired device to the receiver, in order to obtain the link-encryption key," by simply unplugging and re-plugging the dongle.
...
Logitech told Mengs that they don't plan to issue a firmware patch for this vulnerability.

CVE-2019-13053

According to Mengs, this is a vulnerability through which an attacker can inject keystrokes into the encrypted communications stream between a USB dongle and a Logitech device, even without knowing the encryption key.

The researcher says the attacker needs physical access to a device to perform this attack.
...
Physical access is required only once, so the attacker can collect enough cryptographic data from the radio traffic.
...
Mengs says this vulnerability exists due to an incomplete fix for CVE-2016-10761, one of the infamous MouseJack vulnerabilities, and that Logitech has no plans on patching this new attack variation.

CVE-2019-13054 and CVE-2019-13055

CVE-2019-13054 and CVE-2019-13055 are technically the same vulnerability. The flaws require physical access to a Logitech Unifying dongle to successfully exploit.
...
Logitech told Mengs that a patch for this issue is scheduled for August 2019.

Mengs also warned that many Logitech Unifying dongles are still vulnerable to the old MouseJack vulnerabilities disclosed back in 2016.
 
Eli 2/3 (kaksi samanlaista) vaatii fyysisen pääsyn laitteille, yhdessä on mahdollisuus lähellä ollessa saada kryptoavain kun laitteita paritetaan toisiinsa, tai sitten taas fyysisen pääsyn kautta.
 
Joo :)

Ei tullu luettua tuota kun ei kosketa itseä millään tasolla.

Tulee noita tiedotteita sähköpostiin niin poimin tuon.

SEVERE VULNERABILITIES

Logitech wireless USB dongles vulnerable to new hijacking flaws
Logitech wireless USB dongles vulnerable to new hijacking flaws | ZDNet
Classification: Severe, Solution: Update, Exploit: PoC
n The vulnerabilities allow attackers to sniff on keyboard traffic,
but also inject keystrokes (even into dongles not connected to a
wireless keyboard) and take over the computer to which a dongle has
been connected.
 
FSB hacked, tämä voi olla mielenkiintoista kun ehtivät käymään läpi tuon vuotodatan.

Projects include:
  • Nautilus - a project for collecting data about social media users (such as Facebook, MySpace, and LinkedIn).
  • Nautilus-S - a project for deanonymizing Tor traffic with the help of rogue Tor servers.
  • Reward - a project to covertly penetrate P2P networks, like the one used for torrents.
  • Mentor - a project to monitor and search email communications on the servers of Russian companies.
  • Hope - a project to investigate the topology of the Russian internet and how it connects to other countries' network.
  • Tax-3 - a project for the creation of a closed intranet to store the information of highly-sensitive state figures, judges, and local administration officials, separate from the rest of the state's IT networks.
 
Täytyykin pitää silmällä näitä FSB vuotoja, voi löytyä jotain todella mielenkiintoista. Etenkin kiinnostaisi löytää välistä viittauksia mm. Airiston helmeen
 
FSB hacked, tämä voi olla mielenkiintoista kun ehtivät käymään läpi tuon vuotodatan.

Projects include:
  • Nautilus - a project for collecting data about social media users (such as Facebook, MySpace, and LinkedIn).
  • Nautilus-S - a project for deanonymizing Tor traffic with the help of rogue Tor servers.
  • Reward - a project to covertly penetrate P2P networks, like the one used for torrents.
  • Mentor - a project to monitor and search email communications on the servers of Russian companies.
  • Hope - a project to investigate the topology of the Russian internet and how it connects to other countries' network.
  • Tax-3 - a project for the creation of a closed intranet to store the information of highly-sensitive state figures, judges, and local administration officials, separate from the rest of the state's IT networks.

Jotenkin kuvittelin, että Venäjällä tiedustelupalveluiden asiat hoidettaisiin viimeisen päälle omin voimin eikä lähdettäisi ulkoistamaan, mutta näköjään olin väärässä.

Tor-verkon anonymiteetin selvitys voi olla teknisesti mielenkiintoista luettavaa, mutta noissa muissa kohdissa ei sinänsä ole mitään ihmeellistä.
 
1567114 - MITM on all HTTPS traffic in Kazakhstan

Eli Kazakstanilaisia vaaditaan asentamaan selaimeen fake-sertifikaatti joka verifioi hallituksen man-in-the-middle-välityspalvelimen facebookin palvelimeksi. Tällöin liikenne voidaan kierrättä hallituksen salakuuntelupalvelimen kautta, eikä salattua yhteyttä oteta oikeaan facebookin palvelimeen.

Eikä käyttäjän selain valita mitään vaan käyttäjä luulee olevansa yhteydessä oikeaan facebookin palvelimeen salatulla yhteydellä.

https://i.imgur.com/rFEjXKw.jpg
 
1567114 - MITM on all HTTPS traffic in Kazakhstan

Eli Kazakstanilaisia vaaditaan asentamaan selaimeen fake-sertifikaatti joka verifioi hallituksen man-in-the-middle-välityspalvelimen facebookin palvelimeksi. Tällöin liikenne voidaan kierrättä hallituksen salakuuntelupalvelimen kautta, eikä salattua yhteyttä oteta oikeaan facebookin palvelimeen.

Eikä käyttäjän selain valita mitään vaan käyttäjä luulee olevansa yhteydessä oikeaan facebookin palvelimeen salatulla yhteydellä.

https://i.imgur.com/rFEjXKw.jpg

Keski-Aasian diktaattoreille vapaa ja salattu internet lieneekin melkoinen mörkö, ja toisin kuin esim. Venäjällä, siellä valvonta näköjään tehdään härskeimmällä tavalla turhia harkitsematta.
 
Mites tämä verottajan sekoilu? Kahden tai useamman verotietoja samoissa tiedoissa?

offtopic: Olen muuten sitä mieltä, että tämä nykyinen ilmoitussysteemi ainakin henkilöverotuksessa on vähän hankala. Ennen tuli se kunnon lirpake, josta näki kerralla paljon informaatiota. Nyt vastaavasti A4 -paperis taisi olla 20 sivua. Saattaa jäädä virheitäkin helpommin ellei laske orjallisesti kohta kohdalta itse.
 
Viimeksi muokattu:
Uutena tietoturvauutisena iltapäivälehti kertoo, että Kristiinankaupungissa kaupungin työntekijä ilmeisesti vienyt kirpparille pikkuvikaisia koneita ja joku sitten korjannut ne ja löytänyt ihmisten terveystiedot. Salasanatkin kätevästi dynolla isketty koneen kylkeen. Pitäisiköhän näihin koneisiin laittaa esimerkiksi käyttäjien omat terveystiedot kiinni, ettei tällaista tulisi edes mieleenkään tehdä?
 
Uutena tietoturvauutisena iltapäivälehti kertoo, että Kristiinankaupungissa kaupungin työntekijä ilmeisesti vienyt kirpparille pikkuvikaisia koneita ja joku sitten korjannut ne ja löytänyt ihmisten terveystiedot. Salasanatkin kätevästi dynolla isketty koneen kylkeen. Pitäisiköhän näihin koneisiin laittaa esimerkiksi käyttäjien omat terveystiedot kiinni, ettei tällaista tulisi edes mieleenkään tehdä?

Mitenhän tämä on edes mahdollista. Tietokoneet kun yleensä hävitetään IT-osaston puolesta ja levyt vähintäänkin ylikirjoitetaan, ellei tuhota jonkun kolmannen osapuolen toimesta. Ainakin jos homma tehdään oikein, kuten luulisin useimmista kunnista. Vai onko tässä nyt joku IT-puolen kesätyöntekijä haalinut noita rikkinäisiä koneita himaan ja laittanut kirpparille myyntiin?

Edit:
Uutinen nähtävästi tämä: Karmea moka: Ihmisten tuoreita terveystietoja päätyi tietokoneen mukana kirpputorille - ”Tällä olisi voinut tehdä miljoonavahingot”
 
Viimeksi muokattu:
KnobAttack - Bluetooth on rikki ja pahast, joskaan ei varmaan yllätä. Mutta tässä taas yksi hyökkäysvektori lisää joka käytännössä poistaa salauksen vaikka laitteet olisi jo paritettu aikaisemmin. Käytännön toteutuksessa lienee ajoitushaasteita, mutta teoriassa toimii loistavasti ja käsittääkseni PoC löytyy myös.
 
ARSsissa hyvä kirjoitus tuosta, bottom line lainattuna:

The upshot of all this is that the there's reason to think that Bluetooth is even more insecure than previously believed but that KNOB isn't the type of attack we're likely to see performed anytime soon at a Starbucks. That's not to say that in-the-wild attacks will never occur. For now, people should apply patches where available and not worry too much about using Bluetooth for casual things, such as streaming audio. At the same time, it might not be a bad idea to start thinking about weening yourself off Bluetooth when transmitting truly sensitive data.

Edit: tuon mukaan ei kovin helposti tuota haavoittuvuutta saa käytettyä, toista tapaa (over air) eivät edes löytäjät pystyneet testaamaan omassa labrassa.
 
KnobAttack - Bluetooth on rikki ja pahast, joskaan ei varmaan yllätä. Mutta tässä taas yksi hyökkäysvektori lisää joka käytännössä poistaa salauksen vaikka laitteet olisi jo paritettu aikaisemmin. Käytännön toteutuksessa lienee ajoitushaasteita, mutta teoriassa toimii loistavasti ja käsittääkseni PoC löytyy myös.
Appleltä tuli sähköpostia 14.8 niin tuo on näköjään korjattu uusimmissa päivityksissä kaikkiin tuettuihin laitteisiin.

Bluetooth
Available for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS
Mojave 10.14.5
Impact: An attacker in a privileged network position may be able to
intercept Bluetooth traffic (Key Negotiation of Bluetooth - KNOB)
Description: An input validation issue existed in Bluetooth. This
issue was addressed with improved input validation.
CVE-2019-9506: Daniele Antonioli of SUTD, Singapore, Dr. Nils Ole
Tippenhauer of CISPA, Germany, and Prof. Kasper Rasmussen of
University of Oxford, England
Entry added August 13, 2019


Bluetooth
Available for: iPhone 5s and later, iPad Air and later, and iPod
touch 6th generation and later
Impact: An attacker in a privileged network position may be able to
intercept Bluetooth traffic (Key Negotiation of Bluetooth - KNOB)
Description: An input validation issue existed in Bluetooth. This
issue was addressed with improved input validation.
CVE-2019-9506: Daniele Antonioli of SUTD, Singapore, Dr. Nils Ole
Tippenhauer of CISPA, Germany, and Prof. Kasper Rasmussen of
University of Oxford, England
Entry added August 13, 2019


Bluetooth
Available for: Apple Watch Series 1 and later
Impact: An attacker in a privileged network position may be able to
intercept Bluetooth traffic (Key Negotiation of Bluetooth - KNOB)
Description: An input validation issue existed in Bluetooth. This
issue was addressed with improved input validation.
CVE-2019-9506: Daniele Antonioli of SUTD, Singapore, Dr. Nils Ole
Tippenhauer of CISPA, Germany, and Prof. Kasper Rasmussen of
University of Oxford, England
Entry added August 13, 2019


Bluetooth
Available for: Apple TV 4K and Apple TV HD
Impact: An attacker in a privileged network position may be able to
intercept Bluetooth traffic (Key Negotiation of Bluetooth - KNOB)
Description: An input validation issue existed in Bluetooth. This
issue was addressed with improved input validation.
CVE-2019-9506: Daniele Antonioli of SUTD, Singapore, Dr. Nils Ole
Tippenhauer of CISPA, Germany, and Prof. Kasper Rasmussen of
University of Oxford, England
Entry added August 13, 2019
 
Tuon mukaan ei kovin helposti tuota haavoittuvuutta saa käytettyä, toista tapaa (over air) eivät edes löytäjät pystyneet testaamaan omassa labrassa.

Juuh, mutta kun mahdollisuus on olemassa, lienee kyse yksityskohdista. Paketeissa on varmaan tarkistusluvut, joten pitäisi olla mahdollista vastaanottaa paketista tarpeeksi dataa jonka jälkeen korruptoida loppu (tarkalla ajoituksella) niin että alkuperäinen paketti katoaa. - Tämä tietysti edelleen spekulaatiota. En tiedä onko paketeissa joku interleave tms käytössä ja minkä kokoisia noi kättelyn paketit täsmälleen on. Mutta ainkin isommissa paketeissa joissa ei ole interleave tuon pitäisi olla aika straight forward. Sen jälkeen lähetetään uudelleen tuo sama paketti korjattuna kun edellinen katosi.

Tämänkaltaisiin hyökkäyksiin tietysti sopisi todella tiukka aikaikkuna, jona vastaus pitää toimittaa joka vähentäisi tämän kaltaisia ongelmia. Mutta mutta, todnäk kun laitteet halutaan pitää mahdollisimman halpana -> surkeaa rautaa, niin tuollaisia vaatimuksia ei todennäköisesti haluta laittaa. Samalla katoiaisi myös erilaiset relay attack mahdollisuudet, kun latenssi kertoisi että tässä on nyt jotain mätää.
 
Kannattaa lukea tuo ARSin juttu, siinä on jotain yksityiskohtaista tietoa hyödyntämisestä. Itselleni tuo aukko ei nyt mitenkään hirveän dramaattiselta vaikuta, toki aukko ja pitää pätsätä, ja miettiä jatkossa kannattaako käyttää Bluetoothia salaisten tietojen välitykseen. Mutta kuten tiedämme, lähes kaikki on kehitetty aivan muu kuin turvallisuus ensimmäisenä mielessä, kyse on vain siitä milloin löytyy reikä mistäkin.. pitäisi melkein lopettaa kaiken käytön. ;)
 
Onnea vain näille turvajärjestelmille, jotka käyttävät tiedonsiirtoon Bluetoothia. Vai onko se patch taas rahastettava ominaisuus asiakkailta?
 
KnobAttack - Bluetooth on rikki ja pahast, joskaan ei varmaan yllätä. Mutta tässä taas yksi hyökkäysvektori lisää joka käytännössä poistaa salauksen vaikka laitteet olisi jo paritettu aikaisemmin. Käytännön toteutuksessa lienee ajoitushaasteita, mutta teoriassa toimii loistavasti ja käsittääkseni PoC löytyy myös.
Tuo hyökkäys vaatii aktiivista hyökkäämistä, jossa paketteja pitää muokata ilmassa parituksen aikana joten se ei ole kovinkaan helposti totautettavissa. Alkuperäiset haavoittuvuuden löytäjät eivät ole pysytyneet toteuttamaan hyökkäystä, enkä muutenkaan ole tietoinen moisesta. Tuon voi korjata aika helposti sovelluksen tasolla tarkistamalla käytetty avaimenpituus, sen jälkeen kun salaus on otettu käyttöön.
Lisäksi tuo haavoittuvuus koskee ainoastaan Bluetooth Classicia eikä LE:tä. En menetä yöuniani tuon vuoksi.
Bluetooth Classicia käytetään nykyisin etupäässä audio yhteyksissä, muuten suurin osa laitteista käyttää LE:tä

Edit. Korjattu väärä kuvaus.
 
Viimeksi muokattu:
Tämä juttu on nyt jo jonkin aikaa pyörinyt mediassa ja siitä on syntynyt pienimuotoinen kohu. Kaspersky injektoi jokaiselle käyttäjän vierailemalle webbisivuille oman asennuskohtaisesti nimetystä URL-osoitteesta ladattavan JavaScript-skriptinsä. Tämän tiedon avulla kolmas osapuoli pystyy seuraamaan käyttäjää.


Kaspersky "korjasi" ongelman:


Kaspersky ei ole ainoa antivirus-ohjelmisto, joka hyödyntää mies välissä -hyökkäystä käyttäjiinsä. Tämä ei ole uusi juttu ja tälläkin foorumilla on jauhettu AV:n ongelmista iät ja ajat.

Eikös CIA:kin todennut jotenkin niin, että virustorjunta-/tietoturvaohjelma on järjestelmän tietoturvan heikko lenkki. :smoke:
 
Eikös CIA:kin todennut jotenkin niin, että virustorjunta-/tietoturvaohjelma on järjestelmän tietoturvan heikko lenkki. :smoke:
En nyt heikoimmasta välttämättä tiedä, mutta kyllä me ainakin käytetään noita aktiivisesti keksimään uusia keinoja tutkia asioita siten että virusturvaa hyödynnetään tai ohitetaan suoraviivaisesti. Eli sinänsä heikkolenkki, koska usein se johon luotetaan liikaa.
 
En nyt heikoimmasta välttämättä tiedä, mutta kyllä me ainakin käytetään noita aktiivisesti keksimään uusia keinoja tutkia asioita siten että virusturvaa hyödynnetään tai ohitetaan suoraviivaisesti. Eli sinänsä heikkolenkki, koska usein se johon luotetaan liikaa.
Muistaakseni Huntress Labs joskus twiittasi, että suurin osa AV-tutkista hyppää esim. 70MB kokoisten tiedostojen yli, koska skannattavat tiedostot ovat oletuksena rajoitettu reilusti pienempään kokorajaan. :kahvi:
 
Guildma malware is now accessing Facebook and YouTube to keep up-to-date
- SANS Internet Storm Center

A new variant of the information stealer Guildma (aka Astaroth) we analyzed last week is accessing Facebook and YouTube to get a fresh list of its C2 servers. The C2 list is encrypted and hosted in two Facebook and three YouTube profiles maintained and constantly updated by the cybercriminals.

This innovative strategy is probably helping the current infections to resist to expected C2 takedowns as access to Facebook and YouTube are usually allowed and not associated with malicious code activities.
 
@runboy93 voisi panostaa noihin postauksiin noiden geneeristen klikkiotsikkolinkkien spämmäyksen sijasta. Samalla kannattaa mielummin linkata sen alkuperäisen lähteen, eikä noita tivi/copypastespämmimedia-linkkejä.
 


Onkos kellään täällä asiasta enemmän tietoa?
 
Googlen Project Zeron tiimi löysi mahdollisesti vuosia toimineen operaation kerätä dataa iOS-käyttäjistä. Puolen vuoden tutkimusten jälkeen analyysi: Project Zero: A very deep dive into iOS Exploit chains found in the wild

Häkätyllä nettisivustolla vierailu on riittänyt asentamaan iPhoneen palikan joka kykenee nappaamaan laitteesta aivan kaiken. Tallennetut salasanat, viestit, kuvat, lokaation minuutin välein ym. Yhteensä 14 haavoittuvuutta viidessä eri ketjussa ja tuki lähes kaikille iOS versioille välillä 10 - 12. Data lähetetty hyökkääjien palvelimelle salaamattomana.

Ikävä kyllä eivät kerro mistä nettisivustoista oli kyse. Etenkin kun epäilevät, että toiminta jatkuu. "Let’s also keep in mind that this was a failure case for the attacker: for this one campaign that we’ve seen, there are almost certainly others that are yet to be seen.".

Lyhyempi kooste: Google Says Malicious Websites Have Been Quietly Hacking iPhones for Years
 
Saas nährä josko tälle saadaan varmistus ja media hokaa:

Facebook scans system libraries from their Android app user’s phone in the background and uploads them to their server. This is called "Global Library Collector" at Facebook, known as "GLC" in app’s code.

 
Yllättäen Hesarista löytyy järkevä uutinen, vaikka onkin klikkiotsikko:
Lyhyesti: Suomi on DNSSEC:in käyttöönoton suhteen kehitysmaita huonommalla tasolla, kun taas kaikissa muissa pohjoismaissa suurin osa DNS-liikenteestä on varmennettua.

Kartta: DNSSEC World Map

DNSSEC Launch Day on ensi viikon torstaina 5.9.
Lisätietoa: DNSSEC (Launch Day) avulla edistetään nimipalvelun tietoturvaa | Traficom

Ei DNSSECin puuttuminen ole turvallisuuspuute sinällään kun DNSSEC ei tarjoa täydellistä suojaa. Edelleen siinä on puute kun tarkistus tapahtuu resolverissa ja suurinosa resolveriin yhteydet ovat edelleen salaamattomia joten ei tarjoa oikeaa tietoturvaa. Mikäli esim resolveriin tunkeudutaan tai yhteytesi resolverin väliin tapahtuu välimieshyökkäys ja väärennetään kyselyt / vastaukset niin eipä tuolla DNSSECillä paljon virkaa ole.

Enemmänkin pitäisi käyttää DoH ja DoT pohjaisia suojattuja yhteyksiä luotettuun resolveriin. CloudFlaren 1.1.1.1 esim tarjoaa tälläisen niin sitten on suojattu DNS resolveriin. Tietysti tässäkin tapauksessa luottamus perustuu resolveriin.
 
Joo ei olekaan, mutta muistaakseni tietyn ajan päästä myös ilmaiset artikkelit menevät maksumuurin taakse. Eli jos joskus myöhemmin joku lukee tätä ketjua ja uutinen on mennyt maksumuurin taakse, niin archive.is:n kautta voi lukea sen jutun.
Kiitos, hyvä tietää. En tiennyt tuota. Kiitos. Kannatti taas kysyä. :)
 
Don't Play in Google's Privacy Sandbox

Google taas yrittää kaikenlaista, jotain hyvää mutta myöskin pahaa tarjolla...

- CAPTCHAlle token (trust-API), niin ei tarvitse aina tehdä uudestaan joka paikkaan
- Browser fingerprint budget, eli rajotettaisiin sitä data määrää mitä sivustot voisi selaimelta kysellä
- Conversion measurement API, ehdotus kuinka seurata, toimiiko mainokset, eli selain tallentaa metadatan (global ad table) kun mainos näkyy ja siitä sitten annetaan kuittaus mikäli kävästään sitten kyseisen kaupan sivulla. Tällä pyritään korvaamaan kolmannen osapuolen cookiet, joilla homma nyt tehdään ja joiden estämiseen on hyviä työkaluja (tässä on se juju). Ongelma on vain, että tähän halutaan liittää uniikki ID (64 bittinen), jonka avulla jokainen ihminen saisi oman IDn jota voidaan seurata.
- Federated Learning of Cohorts (“FLoC”), tässä mennäänkin sitten jo syvemmälle tulevaisuuteen, käytettäisiin koneoppimista seuraamaan käyttäjää ja keräämään dataa kuka olet, mistä tykkäät, minne menet, mitä ostat, keiden kanssa kommunikoit jne... Tästä sitten luodaan profiili ja sinut liitetään ns. porukkaan (floc), jonka avulla sinut voidaan tunnistaa, kyseinen tieto sitten jaettaisiin ihan HTTP headerissa sivustoille. Tätä voisi jopa kutsua ns. sosiaaliseksi credit scoreksi pahimmassa tapauksessa.
- PIGIN, sinut käyttäjänä yhdistetään porukkaan (1000 henkilöä) joilla samat kiinnostuksen aiheet, sinut voidaan liittää 5 porukkaan (max alussa) ja tämä tieto sitten annetaan mainostajalle pyydettäessä.


Loppujen lopuksi kyse on lisätä käyttäjien seuraamista uusilla tekniikoilla, kun vanhat (esim. third party cookies) eivät enää toimi kunnolla, koska monet käyttäjät oppinut niitä estämään (jopa ihan selainten kehittäjien avustuksella).
 
Viimeksi muokattu:
Ei DNSSECin puuttuminen ole turvallisuuspuute sinällään kun DNSSEC ei tarjoa täydellistä suojaa.

Mikään ei tarjoa täydellistä suojaa.

Edelleen siinä on puute kun tarkistus tapahtuu resolverissa ja suurinosa resolveriin yhteydet ovat edelleen salaamattomia joten ei tarjoa oikeaa tietoturvaa. Mikäli esim resolveriin tunkeudutaan tai yhteytesi resolverin väliin tapahtuu välimieshyökkäys ja väärennetään kyselyt / vastaukset niin eipä tuolla DNSSECillä paljon virkaa ole.

Ei mikään estä tarkistamasta paikallisesti DNSSEC recordeja. Mulla on ainakin ollut tuo päällä useita vuosia. DNSSEC parametri resolverissa. "If true all DNS lookups are DNSSEC-validated locally (excluding LLMNR and Multicast DNS). If the response to a lookup request is detected to be invalid a lookup failure is returned to applications. Note that this mode requires a DNS server that supports DNSSEC." - Eli toimii esimerkiksi Cloudflaren kanssa hienosti, vaikka käyttäkin rekursiivista resolveria.

Eli resolverin anamat vastaukset varmistetaan vielä paikallisesti.

Enemmänkin pitäisi käyttää DoH ja DoT pohjaisia suojattuja yhteyksiä luotettuun resolveriin. CloudFlaren 1.1.1.1 esim tarjoaa tälläisen niin sitten on suojattu DNS resolveriin. Tietysti tässäkin tapauksessa luottamus perustuu resolveriin.

Mikä olisi luotettavampi resolveri kuin 127.0.0.53 ?

Sekä vielä tietenkin se, että SSL sertteihin tai DNS recordeihin ei pitäisi luottaa kuitenkaan. Tämän lisäksi data ja tietoliikenne pitäisi salata erikseen käyttäjän hallitsemilla avaimilla. Erilaiset salaukset ja allekirjoitukset siirtävät ongelman vain avainhallintaan.

Sen verran monta päivää on tässä tullut taas istuttua erilaisissa tietoturva-palavereissa, että aina kun joku sanoo että järjestelmä on turvallinen / luotettava, on sanoo ääni mielessä: "valehtelija".
 
Viimeksi muokattu:
Mikään ei tarjoa täydellistä suojaa.



Ei mikään ei estä tarkistamasta paikallisesti DNSSEC recordeja. Mulla on ainakin ollut tuo päällä useita vuosia. DNSSEC parametri resolverissa. "If true all DNS lookups are DNSSEC-validated locally (excluding LLMNR and Multicast DNS). If the response to a lookup request is detected to be invalid a lookup failure is returned to applications. Note that this mode requires a DNS server that supports DNSSEC." - Eli toimii esimerkiksi Cloudflaren kanssa hienosti, vaikka käyttäkin rekursiivista resolveria.

Eli resolverin anamat vastaukset varmistetaan vielä paikallisesti.

Mikä olisi luotettavampi resolveri kuin 127.0.0.53 ?

Sekä vielä tietenkin se, että SSL sertteihin tai DNS recordeihin ei pitäisi luottaa kuitenkaan. Tämän lisäksi data ja tietoliikenne pitäisi salata erikseen käyttäjän hallitsemilla avaimilla. Erilaiset salaukset ja allekirjoitukset siirtävät ongelman vain avainhallintaan.

Sen verran monta päivää on tässä tullut taas istuttua erilaisissa tietoturva-palavereissa, että aina kun joku sanoo että järjestelmä on turvallinen / luotettava, on sanoo ääni mielessä: "valehtelija".[/QUOTE]

Juu toki voithan validoida itse omalla resolverilla - toki jos luottaa käyttämään kolmannenosapuolen resolveriin niin DoH ja DoT ovat loistavia mitä CloudFlare tukee. Noh onneksi selaimiin tulee tämä oletuksena käyttöön.
 
Juu toki voithan validoida itse omalla resolverilla - toki jos luottaa käyttämään kolmannenosapuolen resolveriin niin DoH ja DoT ovat loistavia mitä CloudFlare tukee. Noh onneksi selaimiin tulee tämä oletuksena käyttöön.

Oletuksena käyttöön ja sitten käytössä on mikä resolveri? Cloudflare tai Google tms isot tarjoajat tyypillisesti. Taas jos foliohattua kiristää, niin tuohan on mitä helpoin tapa kerätä talteen kaikkien vierailemat domainit. Nämä on näitä kaksiteräisiä miekkoja. PItäisi aina tehdä uhkamallinnus. Kun päätetään että ei luoteta tahoon X valitaan joku toinen taho. Onko se parempi tai huonompi vaihtoehto, on monimutkainen kysymys. Samoin joskus tietojen keskittäminen voi olla hyvä asia, mutta joskus se taas on nimenomaisesti koko ongelman ydin. Tosin kun nuo yleistyvät, tulee myös varmasti vaihtoehtoja.

Monet sanoo että ISP:n DNS:n ei voi luottaa ja ne myy tiedot. En kyllä muista että koskaan olisi ollut tuollaista tapausta Suomessa tapetilla, joskaan en ole asiaa seurannut kovin aktiivisesti. Onko edes joku Suomalainen ISP jäänyt siitä kiinni, että olisi myynyt DNS resolverin tiedot eteenpäin?

eSNI on taas jotain sellaista, jonka täysin varauksettomasti toivotan oikein tervetulleeksi. Tietysti siinäkin voi olla implementaatiossa aluksi haavoittuvuuksia ja bugeja jne. Mutta geneerisellä tasolla se kuulostaa hyvältä.

Paranoidi alitajunta vaan naureskelee ajatukselle: Sepä se olisi vasta hilpeää kun joskus 20 vuoden päästä kävisi ilmi, että Cloudflare on jonkun tiedustelupalvelun operaatio.
 
Oletuksena käyttöön ja sitten käytössä on mikä resolveri? Cloudflare tai Google tms isot tarjoajat tyypillisesti. Taas jos foliohattua kiristää, niin tuohan on mitä helpoin tapa kerätä talteen kaikkien vierailemat domainit. Nämä on näitä kaksiteräisiä miekkoja. PItäisi aina tehdä uhkamallinnus. Kun päätetään että ei luoteta tahoon X valitaan joku toinen taho. Onko se parempi tai huonompi vaihtoehto, on monimutkainen kysymys. Samoin joskus tietojen keskittäminen voi olla hyvä asia, mutta joskus se taas on nimenomaisesti koko ongelman ydin. Tosin kun nuo yleistyvät, tulee myös varmasti vaihtoehtoja.

Monet sanoo että ISP:n DNS:n ei voi luottaa ja ne myy tiedot. En kyllä muista että koskaan olisi ollut tuollaista tapausta Suomessa tapetilla, joskaan en ole asiaa seurannut kovin aktiivisesti. Onko edes joku Suomalainen ISP jäänyt siitä kiinni, että olisi myynyt DNS resolverin tiedot eteenpäin?

eSNI on taas jotain sellaista, jonka täysin varauksettomasti toivotan oikein tervetulleeksi. Tietysti siinäkin voi olla implementaatiossa aluksi haavoittuvuuksia ja bugeja jne. Mutta geneerisellä tasolla se kuulostaa hyvältä.

Paranoidi alitajunta vaan naureskelee ajatukselle: Sepä se olisi vasta hilpeää kun joskus 20 vuoden päästä kävisi ilmi, että Cloudflare on jonkun tiedustelupalvelun operaatio.

CloudFlare on yksi vaihtoehto mutta johonkin kain luotettava - ilman luottamusta ei ole tietoturvaa. Toki itse saa päättää mitä käyttää sitten. eSNI perustuu DNS:sään niin hyvä olla suoraan salattu resolveriin yhteys ja lisäksi pitää olla palvelu missä paljon verkkosivuja kuten CloudFlare. Eihän muuten piiloudu oikein.
 
CloudFlare on yksi vaihtoehto mutta johonkin kain luotettava - ilman luottamusta ei ole tietoturvaa.

Tässä kohtaa onkin oikein sopivaa todeta Trust but Verify. ;)

Luottamus ja se onko kaikki tehty luotettavasti on iso ongelma, jos mennään foliohattu tasolle. Oikeastaan mihinkään, mitä ei ole osoitettu luotettavaksi, ei pitäisi luottaa. Erilaisia uhkamallinnuksia kun on käyty tuossa läpi, niin pakko todeta että ahdistaa.

Olennaisin kysymys on se, mitä vastaan ollaan suojautumassa. Jos sitä ei ole tiedossa, on käytännössä mahdotonta sanoa millaisista toimenpiteistä on hyötyä ja mistä on haittaa. Esimerkiksi joissain tapauksissa se, että organisaation sisäiset DNS kyselyt alkavatkin virtaamaan ulkopuoliselle taholle voidaan tulkita isoksi ongelmaksi, riskiksi ja hyökkäysvektoriksi. Samoin se voi rikkoa järjestelmiä, joissa tarkoituksella DNS tietueita ei ole yleisessä DNS järjestlemässä vaan ne tulevat vain paikallisesta resolverista. Vaikeita asioita nämä on. Siitä ei pääse mihinkään. Mutta joo, mä postasinkin tuonne DNS lankaan, joka on oikeampi tälle keskustelulle.
 
Ei kannata alkaa foliota pistää luurin ympärille, ei koske Suomen operaattoreita käsittääkseni ketään.

Ainakin Elisa on jo virallisesti asiasta ilmoittanutkin: Tiedote

Muutenkin taas on niin klikki otsikoita netti täynnä asiasta, koska ongelma ei todellakaan ole niin laaja kuin annetaan ymmärtää...
 
Ne jotka käyttää LastPassia, päivitelkääs softat, ollut reikä joka vuotaa tietoja...
Tästä ongelmasta on oltu jonkin syyn takia hyvin hiljaa.


Issue 1930 - project-zero - Project Zero - Monorail

via some clickjacking, you can leak the credentials for the previous site logged in for the current tab.
LastPass Bug Reported & Resolved - The LastPass Blog
Additionally, while any potential exposure due to the bug was limited to specific browsers (Chrome and Opera), as a precaution, we’ve deployed the update to all browsers.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
257 519
Viestejä
4 475 398
Jäsenet
73 946
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom