Juu iso siirtymä on - meillä tehty proxyillä sitten että saadaan TLS1.2/1.3 frontend puolelle. Backendissä saa jatkossa 1.0/1.1 olla. Tämä tehtävä kun selaimet pudottaa tuen sitten pois oletuksena ja tietoturvan takia parempi näin tehdä.Kaikkeahan olisi kiva tehdä, mutta kun ajossa joudutaan käyttämään x ja y syystä legacy ohjelmia tai ylipäätänsä jotain erikoista mikä ei tue edes tls 1.0 korkeampaa tasoa.
Tälläisenkin järjestelmän vaihdossa saatetaan puhua miljoonalla alkavasta kuluerästä.
Eipä keylogger / vakoiluvirityksissä mitään uutta ole. Tässä yksi keissi historiasta, niille jotka eivät tätä ennestään tunne.
Tuo kaapeli on paljon enemmän kuin keylogger, eli kyllä siinä mielessä kehitystä on tapahtunut melkoisesti...
Kun yksi liitäntäväylä käy kaikkiin tarkoituksiin, tällainen on mahdollista tai ainakin helpompaa. Helppokäyttöisyyden varjopuoli.
USB:n kautta ei tainnut pystyä suoraan kopioimaan koneen muistia, mutta parempien väylien kuten Firewiren kautta sekin käy... Eli vaikka kone olisi kuinka kryptattu, niin avaimet saa vietyä suoraan muistista.
Testi skripti on julkaistu. Katselin että ainakin omassa EPC3928AD:ssa tuo spectrum analyzer rullaa 8080 portin takana.
Skypen tietoturvattomuudesta on esitetty niin epäilyitä kuin todisteitakin ties kuinka pitkään, ja tässä tuli taas yksi muistutus siitä, että Skypeä ei kannattaisi käyttää ollenkaan.
Technicolor CGA2121 kaatui, mikä on ainakin Telian kaapeliverkossa käytössä.Testi skripti on julkaistu. Katselin että ainakin omassa EPC3928AD:ssa tuo spectrum analyzer rullaa 8080 portin takana.
Virittelen tässä parhaillaan linux lootaa pystyyn, ajattelin kokeilla tuota testi skriptiä.
Edit: Testi skripti ei käynnistänyt modeemiani uudestaan.
Vaikuttaakohan tuo kaapelimodeemeihin jotka on sillatussa tilassa. Se siltahan on vähän purkkaviritys noissa yleensä eikä oikea puhdas silta.
NSA otti julkisesti kunnian haavoittuvuuden löytämisestä. Helposti syntyy kuva että aukko ei ole niin vakava kuin annetaan ymmärtää.
On tietysti ollut jo pitkään tiedossa että iCloudiin menevä data on täysin vapaata riistaa eikä sillä ole mitään kunnollisia suojauksia.
Millaisiin lähteisiin tämä väite perustuu?
Samaa pikkusen ihmettelen? Nopealla lukemisella salaaminen tarvitsee tuon kaksivaiheisen hässäkän mutta jos sitä ei käytä niin ihan oma syy...
Ihan siihen ettei se data ole end2end kryptattua eli Applella on niihin avain. Edes backupit ei ole kryptattuja iCloudissa (toisin kuin Googlella omassa pilvessään).
Data ei ole kryptattya end2end, mutta sitä siirrellään salatun yhteyden yli joka miltei poikeuksetta vaatii 2FA autentikoinnin. Ideaalitilanne on toki että se olisi oikeasti kryptattu mutta uskalttaisin väittää että sellaiset palvelut ovat aika harvassa.
Pointti lähinnä siinä että Google kryptaa backupit end2end:nä, toisin kuin Apple. Joten ne datat saadaan sieltä iCloud:sta ulos selkokielisnä valmistajan avustuksella. "ZeroTrust ja sitä rataa"Data ei ole kryptattya end2end, mutta sitä siirrellään salatun yhteyden yli joka miltei poikeuksetta vaatii 2FA autentikoinnin. Ideaalitilanne on toki että se olisi oikeasti kryptattu mutta uskalttaisin väittää että sellaiset palvelut ovat aika harvassa.
Mitä Googleen, OneDriveen ja muihin (pCloudia ja Sync.com:ia lukuunottamatta) datan kryptaamiseen tulee, niin siihen ei oikein voi muuta sanoa kuin "heh". ZeroTrust ja sitä rataa.
iCloud pyörii Google Driven päällä, joten kyseisellä logiikalla sekin on kryptattu.
Niin kauan kun kyse ei ole täysin avoimesta koodista ja site2site kryptauksesta tähän asti murtumattomalla salausavaimella, kyse on lähinnä toivekkaasta ajattelusta.
Kuten sanoin niin kauan kun kyseessä ei ole täysin avoin ja auditoittavissa oleva lähdekoodi, salaus ei takaa sitä etteikö pilven pyörittäjä saisi salattua dataa auki. Ainut tapa varmistaa asian on itse salata kolmannen osapuolen työkaluilla ja sellaisilla salausmenetelmillä, joilla ei ihan tuosta noin saada dataa purettua auki.Pointti lähinnä siinä että Google kryptaa backupit end2end:nä, toisin kuin Apple. Joten ne datat saadaan sieltä iCloud:sta ulos selkokielisnä valmistajan avustuksella. "ZeroTrust ja sitä rataa"
Google to Encrypt Android Cloud Backups With Your Lock Screen Password
https://www.nccgroup.trust/us/our-research/android-cloud-backuprestore/?research=Public+Reports
Ja kyse tosiaan niistä pilveen menevistä backupeista niin iCloudin kuin Googlen osalta.
Tämä ja koskee muuten myös useimpia muitakin palveluita.
pCloud ainakin täyttää juuri nuo merkit jotka aikaisemmin mainitsin. Eli palveluntarjoaja väittää, että niillä ei ole pääsyä avaimiin. Mutta avaimia hallinnoi niiden ohjelmisto. Aaaahem. En sanoisi tuota turvalliseksi ratkaisuksi. Turvallisuus on tietysti suhteellista, mutta ainakin perinteisessä mielessä tuota ei lasketa turvalliseksi ratkaisuksi. Salaus perusuu vain siihen olettamukseen, että normaalitilanteessa pCloud ei halua sinun avaimiasi, ja toteuttaa salauksen kunnolla. - Mutta heillä on mahdollisuus milloin tahansa muuttaa tätä käytäntöä, heikentää salausta, lisätä ylimäärisiä salausavaimia, tai vaan ottaa nykyiset avaimet heidän käyttöön.
Googlen salauskäytännöt oli ihan uskomattoman monimutkaiset. Niistä varmana löytyy myös ns. turvallisia vaihtoehtoja, mutta en oleta että ne olisi kyllä ainakaan oletuksena käytössä.
Aika näyttä nappasiko joku tämän, vai ei.
Mutta paljonko tuossa nyt oli niitä tunnistetietoja? Tuotahan oli anonymisoitu, mutta ei täysin kattavasti. Tuossahan, muistaakseni, oli anonymisoitu esimerkiksi simo.simakuutio@jotain.com, mutta ilmeisesti ei simo. Simakuutio. @ jotain com tms.
Kyllähän se nykyään on törkeää tää datan kerääminen eri sivustoilla. Näitä varten on itsellä ollut vuosia käytössä uMatrix, hyvin näkee miten valtavasti eri sivut hakee/ajaa skriptejä ties mistä domaineista välillä. Tuo defaultina blokkaa kaiken tuollaisen, ja joskus sivut ei sitten toimi ellei salli ja sitten pitää miettiä onko sen arvoista...
Tuosta kelan sivujen toiminnastahan viikonloppuna olikin uutisoitu. Uutinen (taitaa olla maksumuurin takana).
