Tietoturvauutiset ja blogipostaukset

Viestiketju alueella 'Internet, tietoliikenne ja tietoturva' , aloittaja oselotti, 17.07.2017.

  1. Jorsetti

    Jorsetti

    Viestejä:
    330
    Rekisteröitynyt:
    07.01.2017
    Näemmä ensimmäisiä ilmoituksia tähän Exim / Cpanel liittyvistä korkkauksista on tullut jo. Onko tullut jo tietoa, että onko aukkoa käytetty muuhun kuin coinien louhintaan?
     
  2. Ragnarokkr

    Ragnarokkr "Ei mikään turha jätkä"

    Viestejä:
    250
    Rekisteröitynyt:
    21.12.2016
    takaovia on ilmeisesti myös asennettu samalla.
     
  3. Jorsetti

    Jorsetti

    Viestejä:
    330
    Rekisteröitynyt:
    07.01.2017
    Mutta onko takaovien tarkoitus ollut siis mahdollistaa kolikoiden louhinta? Vai käyttää myöhempiin käyttötarkoituksiin?
     
  4. Ragnarokkr

    Ragnarokkr "Ei mikään turha jätkä"

    Viestejä:
    250
    Rekisteröitynyt:
    21.12.2016
    Sain sellaisen käsityksen hommasta mallia sekä ja että, mitään konkreettistä en tietenkään voi sanoa
     
  5. oselotti

    oselotti

    Viestejä:
    358
    Rekisteröitynyt:
    02.11.2016
    RAMBleed
     
  6. Jorsetti

    Jorsetti

    Viestejä:
    330
    Rekisteröitynyt:
    07.01.2017
    Onkohan tämä Lahden uusin "kyberhyökkäys" tätä samaa syytä? Liittyen tuohon Exim/Cpanel aukkoon? Lahden piikkiin on taidettu aikasemminkin louhia coineja.
     
  7. Freeze

    Freeze Elitisti Team Ryzen Team NVIDIA

    Viestejä:
    852
    Rekisteröitynyt:
    17.10.2016
    JaySon tykkää tästä.
  8. runboy93

    runboy93

    Viestejä:
    1 593
    Rekisteröitynyt:
    01.08.2017
  9. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 732
    Rekisteröitynyt:
    17.10.2016
  10. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 732
    Rekisteröitynyt:
    17.10.2016
    Ragnarokkr tykkää tästä.
  11. Ormu

    Ormu

    Viestejä:
    1 233
    Rekisteröitynyt:
    17.10.2016
  12. Joonikko

    Joonikko

    Viestejä:
    41
    Rekisteröitynyt:
    17.04.2017
    TCP SACK Panic

    CVE-2019-11477: SACK Panic (Linux >= 2.6.29)
    CVE - CVE-2019-11477
    CVE-2019-11477 - Red Hat Customer Portal

    CVE-2019-11478: SACK Slowness (Linux < 4.15) or Excess Resource Usage (all Linux versions)
    CVE - CVE-2019-11478
    CVE-2019-11478 - Red Hat Customer Portal

    [​IMG]

    Pelkistettynä:
    Jokaisessa TCP segmentissä on SEQ ja ACK numero, joilla pidetään kirjaa mitkä segmentit ovat lähetetty ja vastaanotettu. Normaali SYN, SYN ACK & ACK ei ole optimaali, sillä jos A lähettää paketit 1-20 B:lle ja paketit 3,6 & 9 eivät pääse perille ja loput pääsevät, joutuu A silti uudelleenlähettämään kaiken 3:sta eteenpäin.

    SACK eli selective Acknowledgment on RFC-2018:ssa esitelty tapa, jossa käytetään TCP segmentin "options" kentää ilmoittamaan mitkä paketit pääsivät perille, eli B merkitsee 1-2, 4-5, 7-8 & 10-20 paketit saapuneeksi, jolloin A uudelleenlähettää vain paketit 3,6 & 9.

    Hyökkääjän on mahdollista lähettää muotoiltu jono SACK:eja, jotka aiheuttavat puskurin ylivuodon tai pirstaloivat TCP uudelleenlähetysjonon, jolloin sen läpi käyminen kuluttaa paljon resursseja.

    Haavoittuvuudet ovat korjattu Linux kernelin versioissa 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11, mutta kaikki aiemmat versiot kuten 4.15 ovat haavoittuvia (RHEL 8, Ubuntu 16.04 LTS).

    Lähteet:
     
    apoiuyt, oselotti ja TenderBeef tykkäävät tästä.
  13. Agent_007

    Agent_007

    Viestejä:
    319
    Rekisteröitynyt:
    09.11.2016
  14. runboy93

    runboy93

    Viestejä:
    1 593
    Rekisteröitynyt:
    01.08.2017
  15. OD.

    OD.

    Viestejä:
    706
    Rekisteröitynyt:
    14.12.2016
    Jep, esim. nettiauto.fi antoi vaan cloudflaren virhesivun.
     
  16. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 732
    Rekisteröitynyt:
    17.10.2016
  17. Infy

    Infy Team Ryzen

    Viestejä:
    195
    Rekisteröitynyt:
    19.10.2016
  18. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 732
    Rekisteröitynyt:
    17.10.2016
    Muistan useita tapauksia joiden tilit on varastettu ja sähköpostiosoitteet muutettu .ru-formaattiin. En tiedä johtuuko se samasta asiasta, vai ei mutta kuitenkin. Osa yrityksistä ei myönnä noita murtoja vaikka se oikeasti olisikin tapahtunut.

    Lisää uutisia:

    Microsoft Teams Can Be Used to Download and Run Malicious Packages

     
    ztec tykkää tästä.
  19. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 218
    Rekisteröitynyt:
    17.10.2016
    ztec, TenderBeef ja JaySon tykkäävät tästä.
  20. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 732
    Rekisteröitynyt:
    17.10.2016
    Heh! :)
     
  21. TenderBeef

    TenderBeef

    Viestejä:
    1 029
    Rekisteröitynyt:
    17.10.2016
    Kirjoitin seuraavan "pikku-uutis"-topikkiin:

    Jutusta se biiffi, boldaukset minun:

     
  22. TenderBeef

    TenderBeef

    Viestejä:
    1 029
    Rekisteröitynyt:
    17.10.2016
    Eli 2/3 (kaksi samanlaista) vaatii fyysisen pääsyn laitteille, yhdessä on mahdollisuus lähellä ollessa saada kryptoavain kun laitteita paritetaan toisiinsa, tai sitten taas fyysisen pääsyn kautta.
     
  23. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 218
    Rekisteröitynyt:
    17.10.2016
    Joo :)

    Ei tullu luettua tuota kun ei kosketa itseä millään tasolla.

    Tulee noita tiedotteita sähköpostiin niin poimin tuon.

    SEVERE VULNERABILITIES

    Logitech wireless USB dongles vulnerable to new hijacking flaws
    Logitech wireless USB dongles vulnerable to new hijacking flaws | ZDNet
    Classification: Severe, Solution: Update, Exploit: PoC
    n The vulnerabilities allow attackers to sniff on keyboard traffic,
    but also inject keystrokes (even into dongles not connected to a
    wireless keyboard) and take over the computer to which a dongle has
    been connected.
     
    ztec tykkää tästä.
  24. =JP=

    =JP=

    Viestejä:
    908
    Rekisteröitynyt:
    20.10.2016
    ztec tykkää tästä.
  25. ztec

    ztec

    Viestejä:
    49
    Rekisteröitynyt:
    07.07.2019
    FSB hacked, tämä voi olla mielenkiintoista kun ehtivät käymään läpi tuon vuotodatan.

    Projects include:
    • Nautilus - a project for collecting data about social media users (such as Facebook, MySpace, and LinkedIn).
    • Nautilus-S - a project for deanonymizing Tor traffic with the help of rogue Tor servers.
    • Reward - a project to covertly penetrate P2P networks, like the one used for torrents.
    • Mentor - a project to monitor and search email communications on the servers of Russian companies.
    • Hope - a project to investigate the topology of the Russian internet and how it connects to other countries' network.
    • Tax-3 - a project for the creation of a closed intranet to store the information of highly-sensitive state figures, judges, and local administration officials, separate from the rest of the state's IT networks.
     
  26. Ragnarokkr

    Ragnarokkr "Ei mikään turha jätkä"

    Viestejä:
    250
    Rekisteröitynyt:
    21.12.2016
    Täytyykin pitää silmällä näitä FSB vuotoja, voi löytyä jotain todella mielenkiintoista. Etenkin kiinnostaisi löytää välistä viittauksia mm. Airiston helmeen
     
  27. Ormu

    Ormu

    Viestejä:
    1 233
    Rekisteröitynyt:
    17.10.2016
    Jotenkin kuvittelin, että Venäjällä tiedustelupalveluiden asiat hoidettaisiin viimeisen päälle omin voimin eikä lähdettäisi ulkoistamaan, mutta näköjään olin väärässä.

    Tor-verkon anonymiteetin selvitys voi olla teknisesti mielenkiintoista luettavaa, mutta noissa muissa kohdissa ei sinänsä ole mitään ihmeellistä.
     
  28. hkultala

    hkultala

    Viestejä:
    4 961
    Rekisteröitynyt:
    22.10.2016
    1567114 - MITM on all HTTPS traffic in Kazakhstan

    Eli Kazakstanilaisia vaaditaan asentamaan selaimeen fake-sertifikaatti joka verifioi hallituksen man-in-the-middle-välityspalvelimen facebookin palvelimeksi. Tällöin liikenne voidaan kierrättä hallituksen salakuuntelupalvelimen kautta, eikä salattua yhteyttä oteta oikeaan facebookin palvelimeen.

    Eikä käyttäjän selain valita mitään vaan käyttäjä luulee olevansa yhteydessä oikeaan facebookin palvelimeen salatulla yhteydellä.

    https://i.imgur.com/rFEjXKw.jpg
     
    Ormu, lxmo ja oselotti tykkäävät tästä.
  29. aLaverto

    aLaverto

    Viestejä:
    599
    Rekisteröitynyt:
    09.07.2017
    Eipä yllätä yhtään, missäs olen aiemmin kuullut, ai niin...
     
  30. oselotti

    oselotti

    Viestejä:
    358
    Rekisteröitynyt:
    02.11.2016
    Malicious code in the purescript npm installer - Harry Garrood

     
  31. oselotti

    oselotti

    Viestejä:
    358
    Rekisteröitynyt:
    02.11.2016
  32. Ormu

    Ormu

    Viestejä:
    1 233
    Rekisteröitynyt:
    17.10.2016
    Keski-Aasian diktaattoreille vapaa ja salattu internet lieneekin melkoinen mörkö, ja toisin kuin esim. Venäjällä, siellä valvonta näköjään tehdään härskeimmällä tavalla turhia harkitsematta.
     
  33. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 732
    Rekisteröitynyt:
    17.10.2016
  34. Ormu

    Ormu

    Viestejä:
    1 233
    Rekisteröitynyt:
    17.10.2016
  35. Jorsetti

    Jorsetti

    Viestejä:
    330
    Rekisteröitynyt:
    07.01.2017
    Mites tämä verottajan sekoilu? Kahden tai useamman verotietoja samoissa tiedoissa?

    offtopic: Olen muuten sitä mieltä, että tämä nykyinen ilmoitussysteemi ainakin henkilöverotuksessa on vähän hankala. Ennen tuli se kunnon lirpake, josta näki kerralla paljon informaatiota. Nyt vastaavasti A4 -paperis taisi olla 20 sivua. Saattaa jäädä virheitäkin helpommin ellei laske orjallisesti kohta kohdalta itse.
     
    Viimeksi muokattu: 08.08.2019
    ztec tykkää tästä.
  36. leripe

    leripe Ehdotuksia otetaan vastaan Köyhä

    Viestejä:
    681
    Rekisteröitynyt:
    19.10.2016
  37. escalibur

    escalibur ATK-harjoittelija Ylläpidon jäsen

    Viestejä:
    3 732
    Rekisteröitynyt:
    17.10.2016
  38. Jorsetti

    Jorsetti

    Viestejä:
    330
    Rekisteröitynyt:
    07.01.2017
    Uutena tietoturvauutisena iltapäivälehti kertoo, että Kristiinankaupungissa kaupungin työntekijä ilmeisesti vienyt kirpparille pikkuvikaisia koneita ja joku sitten korjannut ne ja löytänyt ihmisten terveystiedot. Salasanatkin kätevästi dynolla isketty koneen kylkeen. Pitäisiköhän näihin koneisiin laittaa esimerkiksi käyttäjien omat terveystiedot kiinni, ettei tällaista tulisi edes mieleenkään tehdä?
     
  39. Desgorr

    Desgorr

    Viestejä:
    1 064
    Rekisteröitynyt:
    19.10.2016
    Mitenhän tämä on edes mahdollista. Tietokoneet kun yleensä hävitetään IT-osaston puolesta ja levyt vähintäänkin ylikirjoitetaan, ellei tuhota jonkun kolmannen osapuolen toimesta. Ainakin jos homma tehdään oikein, kuten luulisin useimmista kunnista. Vai onko tässä nyt joku IT-puolen kesätyöntekijä haalinut noita rikkinäisiä koneita himaan ja laittanut kirpparille myyntiin?

    Edit:
    Uutinen nähtävästi tämä: Karmea moka: Ihmisten tuoreita terveystietoja päätyi tietokoneen mukana kirpputorille - ”Tällä olisi voinut tehdä miljoonavahingot”
     
    Viimeksi muokattu: 17.08.2019
  40. ztec

    ztec

    Viestejä:
    49
    Rekisteröitynyt:
    07.07.2019
    KnobAttack - Bluetooth on rikki ja pahast, joskaan ei varmaan yllätä. Mutta tässä taas yksi hyökkäysvektori lisää joka käytännössä poistaa salauksen vaikka laitteet olisi jo paritettu aikaisemmin. Käytännön toteutuksessa lienee ajoitushaasteita, mutta teoriassa toimii loistavasti ja käsittääkseni PoC löytyy myös.
     
    user9999 tykkää tästä.
  41. TenderBeef

    TenderBeef

    Viestejä:
    1 029
    Rekisteröitynyt:
    17.10.2016
    ARSsissa hyvä kirjoitus tuosta, bottom line lainattuna:

    Edit: tuon mukaan ei kovin helposti tuota haavoittuvuutta saa käytettyä, toista tapaa (over air) eivät edes löytäjät pystyneet testaamaan omassa labrassa.
     
  42. user9999

    user9999 Platinum-jäsen

    Viestejä:
    1 218
    Rekisteröitynyt:
    17.10.2016
    Appleltä tuli sähköpostia 14.8 niin tuo on näköjään korjattu uusimmissa päivityksissä kaikkiin tuettuihin laitteisiin.

    [ Vain rekisteröityneet käyttäjät näkevät Spoiler-tagin sisällön. Rekisteröidy foorumille... ]
     
  43. ztec

    ztec

    Viestejä:
    49
    Rekisteröitynyt:
    07.07.2019
    Juuh, mutta kun mahdollisuus on olemassa, lienee kyse yksityskohdista. Paketeissa on varmaan tarkistusluvut, joten pitäisi olla mahdollista vastaanottaa paketista tarpeeksi dataa jonka jälkeen korruptoida loppu (tarkalla ajoituksella) niin että alkuperäinen paketti katoaa. - Tämä tietysti edelleen spekulaatiota. En tiedä onko paketeissa joku interleave tms käytössä ja minkä kokoisia noi kättelyn paketit täsmälleen on. Mutta ainkin isommissa paketeissa joissa ei ole interleave tuon pitäisi olla aika straight forward. Sen jälkeen lähetetään uudelleen tuo sama paketti korjattuna kun edellinen katosi.

    Tämänkaltaisiin hyökkäyksiin tietysti sopisi todella tiukka aikaikkuna, jona vastaus pitää toimittaa joka vähentäisi tämän kaltaisia ongelmia. Mutta mutta, todnäk kun laitteet halutaan pitää mahdollisimman halpana -> surkeaa rautaa, niin tuollaisia vaatimuksia ei todennäköisesti haluta laittaa. Samalla katoiaisi myös erilaiset relay attack mahdollisuudet, kun latenssi kertoisi että tässä on nyt jotain mätää.
     
  44. TenderBeef

    TenderBeef

    Viestejä:
    1 029
    Rekisteröitynyt:
    17.10.2016
    Kannattaa lukea tuo ARSin juttu, siinä on jotain yksityiskohtaista tietoa hyödyntämisestä. Itselleni tuo aukko ei nyt mitenkään hirveän dramaattiselta vaikuta, toki aukko ja pitää pätsätä, ja miettiä jatkossa kannattaako käyttää Bluetoothia salaisten tietojen välitykseen. Mutta kuten tiedämme, lähes kaikki on kehitetty aivan muu kuin turvallisuus ensimmäisenä mielessä, kyse on vain siitä milloin löytyy reikä mistäkin.. pitäisi melkein lopettaa kaiken käytön. ;)
     
  45. Jorsetti

    Jorsetti

    Viestejä:
    330
    Rekisteröitynyt:
    07.01.2017
    Onnea vain näille turvajärjestelmille, jotka käyttävät tiedonsiirtoon Bluetoothia. Vai onko se patch taas rahastettava ominaisuus asiakkailta?
     
  46. oselotti

    oselotti

    Viestejä:
    358
    Rekisteröitynyt:
    02.11.2016
    Tämä juttu on nyt jo jonkin aikaa pyörinyt mediassa ja siitä on syntynyt pienimuotoinen kohu. Kaspersky injektoi jokaiselle käyttäjän vierailemalle webbisivuille oman asennuskohtaisesti nimetystä URL-osoitteesta ladattavan JavaScript-skriptinsä. Tämän tiedon avulla kolmas osapuoli pystyy seuraamaan käyttäjää.
    Kaspersky "korjasi" ongelman:
    Kaspersky ei ole ainoa antivirus-ohjelmisto, joka hyödyntää mies välissä -hyökkäystä käyttäjiinsä. Tämä ei ole uusi juttu ja tälläkin foorumilla on jauhettu AV:n ongelmista iät ja ajat.
     
    lxmo tykkää tästä.
  47. miloytyn

    miloytyn

    Viestejä:
    348
    Rekisteröitynyt:
    19.10.2016
    Tuo hyökkäys vaatii aktiivista hyökkäämistä, jossa paketteja pitää muokata ilmassa parituksen aikana joten se ei ole kovinkaan helposti totautettavissa. Alkuperäiset haavoittuvuuden löytäjät eivät ole pysytyneet toteuttamaan hyökkäystä, enkä muutenkaan ole tietoinen moisesta. Tuon voi korjata aika helposti sovelluksen tasolla tarkistamalla käytetty avaimenpituus, sen jälkeen kun salaus on otettu käyttöön.
    Lisäksi tuo haavoittuvuus koskee ainoastaan Bluetooth Classicia eikä LE:tä. En menetä yöuniani tuon vuoksi.
    Bluetooth Classicia käytetään nykyisin etupäässä audio yhteyksissä, muuten suurin osa laitteista käyttää LE:tä

    Edit. Korjattu väärä kuvaus.
     
    Viimeksi muokattu: 19.08.2019
  48. Ormu

    Ormu

    Viestejä:
    1 233
    Rekisteröitynyt:
    17.10.2016
    Eikös CIA:kin todennut jotenkin niin, että virustorjunta-/tietoturvaohjelma on järjestelmän tietoturvan heikko lenkki. :smoke: