Tietoturvauutiset ja blogipostaukset

veikkaan muutenkin että Power ei lähtis suoraan kusettamaan ihmisiä noin. Power kyllä ehkä myynyt asiakastietoja muualle, joka mahdollistanut ton "hölmöiltä rahat pois" kusetusyrityksen.
Tuossa aloituksessa oli linkki scamdoc.com keskusteluun ja siellä tiedettiin, että Power asiakastiedot olisi hakkeroitu, joten etunimeni ja numeroni on saatu sieltä.
 
Tuossa aloituksessa oli linkki scamdoc.com keskusteluun ja siellä tiedettiin, että Power asiakastiedot olisi hakkeroitu, joten etunimeni ja numeroni on saatu sieltä.

Sori. En kattonu yhtään tota linkkiäs.
Mutta toihan on nyt selvää että asiakastiedot vuodettu powerin tietokannasta.
Salasanat vaihtoon.
 
Mutta toihan on nyt selvää että asiakastiedot vuodettu powerin tietokannasta.
Onko se nyt varmaa? Tuolla aikaisemmassa keskustelussakin joku epäilee tuota. Itse en muista tarkkaan olenko antanut Powerille numeroani, mitään tunnuksia sinne ei ainakaan ole ollut ikinä.
 
Onko se nyt varmaa? Tuolla aikaisemmassa keskustelussakin joku epäilee tuota. Itse en muista tarkkaan olenko antanut Powerille numeroani, mitään tunnuksia sinne ei ainakaan ole ollut ikinä.

Täytyy kyl sanoa että luotan että ne ennemmin vuodettu kun ettei.
Helpompi vaan vaihtaa se passu ja jatkaa elämää.
 
Helpompi vaan vaihtaa se passu ja jatkaa elämää.
Ei ole tunnareita/passua niin ei tarvi tehdä mitään.

Mutta tosissaan, siksi vaan ihmettelen, että jos Power on kämminyt niin se pitää saada GDPR:n kautta vastuuseen (vai oliko se niin ettei suomessa oikeasti sillä ollut mitään väliä kun ketään ei ole kait tuon kautta kärvistelty?).
 
Huijaus tekstiviesti Powerilta:

Hyvä Xxxx, 19.11.2019 nimesi valittiin
marraskuun arvonnan 2. sijan
voittajaksi.
Katso tiedot täältä:
http://update12.com/xxxxxx
Minulle tuli muuten sama, mutta muka Keskolta ja linkkinä oli t5o.top/xxxxxx.

Kokeilin sitten laittaa selaimeen pelkän t5o.top osoitteen ja se edelleenohjautui disney.com sivulle. Testasin sitten ihan randomina jotain t5o.top/Kxd tms ja ruudulle tuli vaan "SHORT SMS LINK" ja "404 This page could not be found." En sitten viitsinyt laittaa sitä varsinaista /XXX rimpsua selaimeen, että saisivat selville et mun puhelinnumero olis toimiva tjsp.
 
Tsekkasin vähän mitä on tullut tilattua Powerilta, niin astianpesukone asennuksineen noin puoli vuotta sitten. Asentajia varten saivat osoitteen ja puhelinnumeron. Tilauksen tein liikkeessä, tunnuksia Powerin järjestelmään ei pitäisi olla.
 
Tsekkasin vähän mitä on tullut tilattua Powerilta, niin astianpesukone asennuksineen noin puoli vuotta sitten. Asentajia varten saivat osoitteen ja puhelinnumeron. Tilauksen tein liikkeessä, tunnuksia Powerin järjestelmään ei pitäisi olla.

Pidän kyllä todennäköisempänä sitä, että lähettäjällä ei ole tietoa, että olisit käynyt Powerilla, mutta sen verran tuttu brändi ja monet sieltä jotain ostaneet, että viesti toimii... (itselle ei ainakaan vielä SMS spämmiä, mutta haun perusteella olen joskus saanut heiltä tilausvahvistuksen tekstiviestinä)
 
  • Tykkää
Reactions: jkm
Ei ole valitettavasti luotettava tieto, netistä löytyi 30 sekunnin googlauksella palvelu, joka väärentää lähettäjän puhelinnumeron tekstiviestiin.

Vieläkin kaipaisin vastausta siihen, miksi suomalaiset operaattorit sallivat väärällä numerolla esiintymisen verkoissaan (jos sallivat).
 
Kuulin, että vuoden 2015 Experianin datavuodossa (joka paljasti T-Mobilen asiakkaiden tietoja) asiakkaat ovat alkaneet saata korvauksia tietojen menettämisestä. Jenkeissä asuvalle tuttavalleni tuli korvauksia yhteensä 8,65 dollaria :beye:.
 
1,2:n miljardin ihmisen datat ovat vuotaneet auki olleen Elasticsearch-palvelimen takia:
1.2 billion people exposed in data leak includes personal info, LinkedIN, Facebook

Vuodon seassa mm.
  • Over 1.5 Billion unique people, including close to 260 million in the US.
  • Over 1 billion personal email addresses. Work email for 70%+ decision makers in the US, UK, and Canada.
  • Over 420 million Linkedin urls
  • Over 1 billion facebook urls and ids.
  • 400 million+ phone numbers. 200 million+ US-based valid cell phone numbers.
 
Vieläkin kaipaisin vastausta siihen, miksi suomalaiset operaattorit sallivat väärällä numerolla esiintymisen verkoissaan (jos sallivat).

Minulla ainakin on viestejä lähettäjiltä Verkkokaup, Telia ja Elisa, ilman numeroa.

En alkanut googlailemaan enempää, mutta ensimmäinen hakuosuma lupaa, että viestit onnistuu 70:een maahan, ja voit valita lähettäjän nimen tai puhelinnumeron.
 
Huijaus tekstiviesti Powerilta:

Hyvä Xxxx, 19.11.2019 nimesi valittiin
marraskuun arvonnan 2. sijan
voittajaksi.
Katso tiedot täältä:
http://update12.com/xxxxxx

Googlasin tuon
Update12.com | Very bad trust index : 1 %
Koin ehkä selain variaation tästä.
Avasin seuraavan linkin https://www.google.com/url?sa=t&rct...eact-router/&usg=AOvVaw3_OOR-Pz8aC8KcnSXdUHKd joka oli google-hakuni ylimmäisenä. Minulle tuli DNA-mainos jossa ilmoitetaan minun voittaneen Samsung Galaxy S10+:n 0:n euron hintaan. Menin vipuun ja vastasin tuohon mielipidekyselyyn. Sitten tulee uusi sivusto jossa kysytäänkin sitten yhteys tietoja ja siellä lukeekin että kumppanitilaustuote 79.99€ kuukaudessa. Onneksi en täyttänyt kenttiä tässä tämän enempää. Tää oli aika uskottavan oloinen.
Selaimen peruutus painike ohjaa Human Verification
 
Minulla ainakin on viestejä lähettäjiltä Verkkokaup, Telia ja Elisa, ilman numeroa.

En alkanut googlailemaan enempää, mutta ensimmäinen hakuosuma lupaa, että viestit onnistuu 70:een maahan, ja voit valita lähettäjän nimen tai puhelinnumeron.

Joo, jotkut firmat lähettävät niin, että numeron sijaan näkyy nimi. En muista, saiko numeronkin näkymään jostain valikosta vai ei. Ehkä ei.

Mutta miksi operaattorit Suomessa tai muualla sallivat väärennetyllä numerolla (tai väärennetyllä nimellä) esiintymisen? Tai miksi matkapuhelinstandardit ylipäätään mahdollistavat sellaisen? Jos siis ylipäätään sallivat - tästä tuntuu olevan liikkeellä enemmän urbaanilegendaa kuin oikeaa tietoa.
 
Joo, jotkut firmat lähettävät niin, että numeron sijaan näkyy nimi. En muista, saiko numeronkin näkymään jostain valikosta vai ei. Ehkä ei.

Mutta miksi operaattorit Suomessa tai muualla sallivat väärennetyllä numerolla (tai väärennetyllä nimellä) esiintymisen? Tai miksi matkapuhelinstandardit ylipäätään mahdollistavat sellaisen? Jos siis ylipäätään sallivat - tästä tuntuu olevan liikkeellä enemmän urbaanilegendaa kuin oikeaa tietoa.

Mutua: Ehkä numeroa kannattaisi ajatella postiosoitteen tapaisena tietona. Kun saa kirjeen, ei voi tietää mistä se on lähetetty. Samoin kuin postiosoitetta, puhelinnumeroa voi vaihtaa. Mikä tarkoittaa että tiedossakin oleva numeron omistaja voi vaihtua toiseksi milloin tahansa. Firmoille on hyötyä lähettää tekstiviestejä yhden lähettäjätiedon takaa, vähän kuten postilokero tai muu postiosoite. Viestin tai puhelun numerotietoa ei voi varmistaa kuin lähettäjäoperaattori, ja kaikkien maailman operaattorien saaminen tottelemaan olisi mahdoton tehtävä.
 
Tietoturvamerkki otettiin käyttöön – helpottaa älylaitteiden turvallisuuden varmistamista

Summasummarum: Traficom julkaisi Tietoturvamerkin tiistaina. Merkki takaa kuluttajalle, että laitteen tietoturvan perusominaisuudet ovat kunnossa. Tietoturvamerkki voidaan myöntää sertifiointiprosessin läpäisseille verkottuneille älylaitteille.

Vähän epäilyttää tyon merkitys kun radiossa puhuttiin että valmistaja sitoutuu pitämään tietoturvan ja päivitykset ajantasalla laitteen eliniän ajan. Mikä sitten on esim jonkun äly tv:n elinikä? 2v? Entä wifiin liitettävän pesukoneen?
 
Tietoturvamerkki otettiin käyttöön – helpottaa älylaitteiden turvallisuuden varmistamista

Summasummarum: Traficom julkaisi Tietoturvamerkin tiistaina. Merkki takaa kuluttajalle, että laitteen tietoturvan perusominaisuudet ovat kunnossa. Tietoturvamerkki voidaan myöntää sertifiointiprosessin läpäisseille verkottuneille älylaitteille.

Vähän epäilyttää tyon merkitys kun radiossa puhuttiin että valmistaja sitoutuu pitämään tietoturvan ja päivitykset ajantasalla laitteen eliniän ajan. Mikä sitten on esim jonkun äly tv:n elinikä? 2v? Entä wifiin liitettävän pesukoneen?

Se standardi mihin Tietoturvamerkki perustuu vaatii, että valmistajan tulee ilmoittaa minimipäivämäärä mihin asti laite saa tietoturvapäivityksiä, mutta jonkinlainen aikavaatimus tai luokitusjärjestelmä olisi ehkä selkeämpi.
Provision 4.3-4 When software components are updateable, an end-of-life policy shall be published for devices that explicitly states the minimum length of time for which a device will receive software updates and the reasons for the length of the support period. This policy shall be published in an accessible way that is clear and transparent to the consumer.
 
Se standardi mihin Tietoturvamerkki perustuu vaatii, että valmistajan tulee ilmoittaa minimipäivämäärä mihin asti laite saa tietoturvapäivityksiä, mutta jonkinlainen aikavaatimus tai luokitusjärjestelmä olisi ehkä selkeämpi.

Juu Tietoturvamerkki on todennäköisesti isokarhunpalvelus osaamattomille kuluttajille kun se tuudittaa heidät väärään luottamukseen ostamansa tuotteen näennäisestä turvallisuudesta.
 
Tämä on jo ikivanha juttu, mutta noussut pinnalle taas. Ongelma on SSH-protokollan tasolla.

Pari vuotta sitten joku oli raaputtanut GitHubista kaikki julkiset avaimet ja rakentanut palvelun, joka kertoi GitHubin käyttäjätunnuksen kun sille palvelimelle yritti kirjautua SSH:n kautta.

Siis eihän mikään todellakaan pakota käyttämään kaikkiin palveluihin samaa avainparia. Joka palveluun voi käyttää eri avainta. Se on ihan käyttäjästä kiinni mikä on henkilökohtainen preferenssi. Mulla on ainakin tapana segementoida ja tierata asiat niin, että asian X murtuminen ei johda tekijän Y murtumiseen. GitHub on palvelu, johon kannattaa käyttää GitHub avainta. Muihin palveluihin muita ja tietysti mm. omaan infrastruktuuriin tietenkin omia avaimiaan. Eli luulisi olevan rakettitiedettä kenellekään.

En näe tässä protokolla tasolla mitään ongelmaa.
 
OpenSSH nyt vain oletuksena toimii niin. Sen voi myös kytkeä pois päältä niin halutessaan.

IdentitiesOnly yes

Sen jälkeen voi -i identiteetti_file määritellä identiteetit tai tietty sen voi pistää host sektioon myös IdentityFile alle. Mutta siis protokollan kanssa tuolla ei ole mitään tekemistä, se on käyttäjän valinta. Lisäksi tietysti useimmilla noob-käyttäjillä ei muutenkan ole kuin se yksi avain, joten so what. Harvemmat luo palvelukohtaisia avaimia, ja ne jotka luo, niin osaa valita millaisia avaimia ne luo ja mihin ne niistä tiedottaa.

Tuo linkkaamassasi ohjeessa oleva PubkeyAuthentication ei sinänsä ole välttämätöntä, sen sijaan voi määritellä IdentityFileen jo tuossa Host * kohdassa, eli se geneerinen identiteetti, jos ei käytetä palvelukohtaista identiteettiä. Tietysti, jos on kaikkiin palveluihin luotu oma avain, niin silloin koko julkisenavaimen kättelyn voi defaulttina disabloida.
 
Mainittakoon vielä niille, jotka ei ole config-fileiden ystäviä, että toki noi voi antaa myös komentorivillä:
ssh -o PubkeyAuthentication=no serveri
tai
ssh -o IdentitiesOnly=yes -i identiteetti_filu serveri

Edit jatkot, kun nukuttu yön yli. Niin, eikä OpenSSH todellakaan ole ainoa SSH implementaatio. Paljon on tullut käytettyä erilaisia sertifioituja SSH implementointeja, sekä sitten paramikoa ja puttyä. Sekä joissain tapauksissa freeSSHd:tä. Joskin tuo kaikkein jälkimmäinen ei herätä minkään luokan luottamusta, mutta silti se toimii hyvin ja on yksinkertainen. Parempi pitää kuitenkin palvelut on vähintään rajattuna pieneen IP whitelistiin.
 
Viimeksi muokattu:
Android käyttöjärjestelmästä on löydetty haavoittuvuus, joka koskee kaikkia yleisimpiä Android-versioita. Haavoittuvuuden avulla haitallinen Android-sovellus voi tekeytyä toiseksi sovellukseksi ja pyytää uusia käyttöoikeuksia sovellukselle tai esittää käyttäjälle väärennetyn kirjautumisruudun. Haavoittuvuutta on hyödynnetty ainakin BankBot-haittaohjelmakampanjassa Tšekissä. Haavoittuvuuden löytänyt Promon security on antanut sille nimen StrandHogg.

Haavoittuvuuden hyväksikäytön havaitseminen on hankalaa sillä haitallinen sovellus voi tekeytyä esimerkiksi karttasovellukseksi ja pyytää oikeutta sijaintitietoihin. Haavoittuvuuden hyödyntäminen ei vaadi järjestelmätason oikeuksia (root).

Android-laitteita koskevaa StrandHogg-haavoittuvuutta hyödynnetään haittaohjelmissa | Kyberturvallisuuskeskus
 
Viranomaisilla käynnissä poikkeuksellisen laaja rikostutkinta Silkkitiestä – yli 6 000 epäiltyä tunnistettu

Jälleen kerran esimerkki, jossa tietoturva on pettänyt pahasti ja siitä on seurannut mittavia ongelmia monille. - Mitä ilmeisimmin tässäkin tapauksessa tiedon segmentointi vain tarpeellisille tahoille ja tarpeetomien tietojen hävittäminen heti kun tiedot eivät ole tarpeen on epäonnistunut.

Jos noita periaatteita olisi noudatettu, olisi kaksi asiaa jäänyt piiloon. Myyjän ja ostajan identiteetit (vain pseudonyymi olisi paljastunut), sekä sen lisäksi vain kaupat jotka ovat mahdollisesti escrowssa pendingissä olisi paljastunut (eikä niistäkään siis oikeita identiteettejä). Kaikki jotka on valmiita tilassa, pitäisi tuhota lopullisesti. Selvästi siis plattarissa oli merkittäviä puutteita. Onneksi nuo aivan selvät epäkohdat on korjattu uudemmissa p2p plattareissa.
 
Viimeksi muokattu:
Kiina on ottanut jälleen ison Internet-tykin käyttöön:
The “Great Cannon” has been deployed again
Sinänsähän tuossa ei ole mitään ihmeellistä. Ainoastaan se on mainitsemisen arvoista, että kehtaavat tehdä noin. Sekä se, että sivustot eivät chekkaa käyttämiensä scriptien hasheja. Scriptin kanssa voi käyttää integrity tagia, jota selvästi ei ole nyt tehty. Vaikka siis transportti olisikin HTTP:n yli.

Jälleen tiukkaa keskustelua sisällön ennakkosensuroinnista:
France proposes upload filter law, “forgets” user rights
Tätähän on pitkään odotettu, mielenkiinnolla (ja kauhulla?) seurataan mitä tästä seuraa.

Sekä viimeisenä vielä pieni konfigurointi ongelma Linuxeissa, joka rikkoo VPN:t.
VPN-palvelut
VPN keskusteluun laitettu, että follow-upit tulee oikeaan paikkaan.
 
Pitäneen korvata luurissakin avasti, pöytäkoneella olen luopunut siitä ja windowsin omalla pärjäillyt.
 
Mitäpäs ihmeellistä tuossa nyt on? Ei ole ilmaisia lounaita. Ehkä siitä virustorjunnasta kannattaa maksaa ja ottaa joku hieman parempikin kuin joku avast.
 
En nyt puolustele Avastia mutta kuka oikeasti haluaa käyttää AV:n selainlisukkeita jotka tekevät MITM-"hyökkäyksen" sun selaindatalle?! Ja eiköhän about kaikki kerää ja jakele "anonymisoitua" käyttäjätietoa nykyaikana (ei se tee siitä yhtään sen hyväksyttävämpää tosin)..
 
Mitäpäs ihmeellistä tuossa nyt on? Ei ole ilmaisia lounaita. Ehkä siitä virustorjunnasta kannattaa maksaa ja ottaa joku hieman parempikin kuin joku avast.
Näinhän se on. Kuten joku viisas totesi, niin "Jos se ei maksa sinulle mitään, niin sinä olet se tuote jota myydään"
 
INTEL-SA-00317

Jälleen uusi haavoittuvuus Intelin prosessoreissa. "Improper conditions check in multiple Intel® Processors may allow an authenticated user to potentially enable partial escalation of privilege, denial of service and/or information disclosure via local access."

Julkistuksen yhteydessä Intel toi ulos korjaavan mikrokoodin.
 
Tässä taitaa olla enimmäkseen kyse Avastin selainlisäkkeistä. Jos niitä ei käytä, välttyy ainakin tältä tiedonkeräykseltä.

Just pari päivää sitten katselin web-serverin logeja ihan raakana pitkästä aikaa ja naureskelin kaverille Avastin MITM malwarea (joka ei ollut silloin vielä uutisissa), että se muuttaa ihan User-agent stringiä, niin että siinäkin lukee Avastin tiedot. Henkilökohtaisesti olen aina syvästi inhonnut sovelluksia jotka vuotaa epäolennaisia tietoja, koska jossain tapauksessa noi tiedot voi olla olennaisia. - Esim. erilaisten backdoorien hyödyntämisessä. Tietysti silloin tuon vasikoinnin ja tietojenvuotamisen voisi tehdä myös hienovaraisemmin.
 
Google luovuttaa massana sijaintietoja viranomaisille:
Google Hands Feds 1,500 Phone Locations In Unprecedented ‘Geofence’ Search
Tuskin tulee kenellekään yllätyksenä, jos dataa on olemassa sitä käytetään. Paras tapa varmistua siitä, että tiedot on turvassa on se, ettei tietoja ole olemassa lainkaan. Toisaalta, mielenkiintoista että nyt tuossa halutaan nostaa Google esille, eiköhän telcot ole tehnyt tätä iät ja ajat. No se on vain yksi kanava tähän ikuiseen seurantaan ja valvontaan lisää. Teoriassa tuolla voitaisiin saada sellaisia sijantitietoja joita ei saa telcolta suoraan.
 
Viimeksi muokattu:
TCP/IP-toteutuksista löydetty haavoittuvuus mahdollistaa saamaan tietoa VPN-yhteyksien tilasta ja liittämään dataa VPN-tunneloituun liikenteeseen | Kyberturvallisuuskeskus

"Hyökkäys toimii ainakin IPsec-, OpenVPN- ja Wireguard-protokollia käyttäviä VPN-tunneleita vastaan."

"Haavoittuvuuksia hyväksikäyttävää hyökkäystä vastaan ei ole korjauksia, mutta erilaisia keinoja hyökkäyksen rajoittamiseksi on olemassa."
Tarkennuksena siis vain UNIX -pohjaisissa käyttöjärjestelmissä.

Muutenkaan perus Jorman ei tarvii alkaa vetää foliota laitteen ympärille ja alkaa menee paniikkiin ku luulee joutuvansa kohteeksi, koska vaatii todellakin että se hyökkääjä on samassa verkossa ja kiinnostunut juuri sinusta, eli kohdistettu hyökkäys. Ja eikä ole ihan se helpoin toteuttaakaan tuo hyökkäys...
 
Viimeksi muokattu:
Mutua: Ehkä numeroa kannattaisi ajatella postiosoitteen tapaisena tietona. Kun saa kirjeen, ei voi tietää mistä se on lähetetty. Samoin kuin postiosoitetta, puhelinnumeroa voi vaihtaa. Mikä tarkoittaa että tiedossakin oleva numeron omistaja voi vaihtua toiseksi milloin tahansa. Firmoille on hyötyä lähettää tekstiviestejä yhden lähettäjätiedon takaa, vähän kuten postilokero tai muu postiosoite. Viestin tai puhelun numerotietoa ei voi varmistaa kuin lähettäjäoperaattori, ja kaikkien maailman operaattorien saaminen tottelemaan olisi mahdoton tehtävä.

No Suomen sisällä luulisi onnistuvan sellaisen järjestelyn, että ulkomailta tulevaa puhelua ei saisi väärennettyä niin, että se näyttää tulevan suomalaisesta numerosta. Samoin suomalaisten operaattorien luulisi pystyvän varmistamaan keskenään, että puhelu, joka näyttää tulevan suomalaisesta numerosta, todella tulee sieltä mistä näyttääkin tulevan.

Ja jos jo soittajan operaattori varmistaisi, että puhelun alkuperätietoa ei ole peukaloitu, tällainen huijaaminen vaikeutuisi huomattavasti.

Vai ovatko matkapuhelinstandardit niin rikki, että mikään tällainen ei onnistu?
 
No Suomen sisällä luulisi onnistuvan sellaisen järjestelyn, että ulkomailta tulevaa puhelua ei saisi väärennettyä niin, että se näyttää tulevan suomalaisesta numerosta. Samoin suomalaisten operaattorien luulisi pystyvän varmistamaan keskenään, että puhelu, joka näyttää tulevan suomalaisesta numerosta, todella tulee sieltä mistä näyttääkin tulevan.

Ja jos jo soittajan operaattori varmistaisi, että puhelun alkuperätietoa ei ole peukaloitu, tällainen huijaaminen vaikeutuisi huomattavasti.

Vai ovatko matkapuhelinstandardit niin rikki, että mikään tällainen ei onnistu?

Tuossa on aika monta muuttujaa matkalla eikä niillä ole mitään tekemistä matkapuhelimien kanssa. Operaattorien on lähes pakko luottaa siihen että soittajan numero on "oikea". Puheluliikenne menee useilla eri standardeilla, joita eri valmistajat soveltaa omalla tavallaan puhumattakaan operaattorien omista virityksistä. Ne ei ole millään tavallaan keskenään yhteensopivia, joten miten puhelu reititetään on täysin kiinni puhelinjärjestelmän ylläpitäjästä. Voidaan myös olettaa että jossain tapauksessa Suomesta lähtenyt puhelu menee ulkomaille ja siirretään sieltä puhelunsiirrolla Suomeen. Näin yli 5 vuotta puhelinjärjestelmien kanssa töitä tehneenä näen lukemattomia syitä, miksi valvontaa ei voida toteuttaa nykyisin.

Ongelma näissä on toki epäilyttävät toimijat, jotka saa sovittua jonkun periferian operaattorin kanssa että saa lähettää puhelun millä tahansa lähtevällä numerolla. Yleensä suurin osa operaattoreista ei salli esittää numeroita ohi annetun numeroavaruuden ja voi olla aika kovan työn takana että saa mahdollisuuden tuohon. Näin ainakin omasta kokemuksesta, mutta operaattorit ovat olleetkin rehellisiä toimijoita eri maissa. (Edit. toki siis myös suuret operaattorit tekee poikkeuksia ja ihan hyvistä syistä).

Teknisestihän tuo numeron tarkistus voisi olla mahdollista, mutta toisi aika suuren määrän omia ongelmiansa niiden lisäksi mitä jo nykyään on puheluliikenteessä.
 
Viimeksi muokattu:
En nyt viittinyt uutta ketjua aiheesta aloitella, mutta liittyykö tämä johonkin jo tiedossa olevaan tapaukseen? Ihan uniikki salasana käytössä tuonnekin.

upload_2019-12-21_16-42-22.png
 
En nyt viittinyt uutta ketjua aiheesta aloitella, mutta liittyykö tämä johonkin jo tiedossa olevaan tapaukseen? Ihan uniikki salasana käytössä tuonnekin.

upload_2019-12-21_16-42-22.png
Jaa-a, meikäläisellä ei tule vastaavaa ilmoitusta verkkiksen sivuilla. Syystä tai toisesta Chrome on päättänyt, että sun salasana sille saitille olisi vuotanut. Sulla ei varmaankaan ole suhteita Intiaankaan, että olis toi bugi päässyt vaikuttamaan:

Google warns Indian users of data leak after Chrome 79 bug
 
Muistaakseni tuo Chromen ilmoitus perustuu siihen, että jossain ilmitulleessa tietovuodossa on ollut mukana salasana, jota käytät tuolla sivustolla.
 
Muutenkaan perus Jorman ei tarvii alkaa vetää foliota laitteen ympärille ja alkaa menee paniikkiin ku luulee joutuvansa kohteeksi, koska vaatii todellakin että se hyökkääjä on samassa verkossa ja kiinnostunut juuri sinusta, eli kohdistettu hyökkäys. Ja eikä ole ihan se helpoin toteuttaakaan tuo hyökkäys...

Jep, sama pätee myös TLS1.0:n haavoittuvuuksiin. Nauroin tuossa kipparassa, kun yhdessä keississä totesivat, että TLS1.0 on niin vaarallinen, että sen käyttö pitää lopettaa välittömästi. Samanaikaisesti nillä kuitenkin on:
1) Clienttejä jotka eivät tarkista SSL certtejä lainkaan.
2) Clienttejä jotka eivät tue muuta kuin TLS1.0:aa, ja tämän takia TLS/SSL vaihdetaan plain textiin.

Olikohan tää homma nyt mietitty ihan loppuun asti. Mutta ei ole suinkaan tavatonta, että tämänkaltaisi asioita unohtuu. Esimerkkejä on lukemattomia. - No ainakin nyt on ryhdytty tämän riskin osalta öh, toimenpiteisiin.
 
ToTok chat App on vakoilusofta (?).
It Seemed Like a Popular Chat App. It’s Secretly a Spy Tool.
ToTok is removed from App Store and Google Play for spying

Vaikeahan näistä on sanoa mikä on täsmälleen totta, mutta perinteisesti on hymyilyttänyt se, että Yhdysvallat on aina hirvittävän huolissaan, jos joku tekee sitä samaa, mitä en on itse tehneet vuosikymmeniä. - Ehkä ne vaan tietää miten tehokasta se vakoilu on ja sen takia on huolissaan. Mutta ironiaa ei voi mitenkään välttää.
 
Jep, sama pätee myös TLS1.0:n haavoittuvuuksiin. Nauroin tuossa kipparassa, kun yhdessä keississä totesivat, että TLS1.0 on niin vaarallinen, että sen käyttö pitää lopettaa välittömästi. Samanaikaisesti nillä kuitenkin on:
1) Clienttejä jotka eivät tarkista SSL certtejä lainkaan.
2) Clienttejä jotka eivät tue muuta kuin TLS1.0:aa, ja tämän takia TLS/SSL vaihdetaan plain textiin.

Olikohan tää homma nyt mietitty ihan loppuun asti. Mutta ei ole suinkaan tavatonta, että tämänkaltaisi asioita unohtuu. Esimerkkejä on lukemattomia. - No ainakin nyt on ryhdytty tämän riskin osalta öh, toimenpiteisiin.

Palvelin päästä on hyvä poistaa pikkuhiljaa TLS1.0 ja 1.1 tuki mutta selainpäässä en näe kiireellisenä poistaa. Toisaalta kukapa palvelinpäässä viitsii poistaa vanhoja protokolla kun toimii...
 
Palvelin päästä on hyvä poistaa pikkuhiljaa TLS1.0 ja 1.1 tuki mutta selainpäässä en näe kiireellisenä poistaa. Toisaalta kukapa palvelinpäässä viitsii poistaa vanhoja protokolla kun toimii...
Kaikkeahan olisi kiva tehdä, mutta kun ajossa joudutaan käyttämään x ja y syystä legacy ohjelmia tai ylipäätänsä jotain erikoista mikä ei tue edes tls 1.0 korkeampaa tasoa. :beye:
Tälläisenkin järjestelmän vaihdossa saatetaan puhua miljoonalla alkavasta kuluerästä. :darra:
 

Statistiikka

Viestiketjuista
257 517
Viestejä
4 475 359
Jäsenet
73 945
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom