Tietoturvauutiset ja blogipostaukset

Edelleen ei ihan nyt näinkään. Jokainen patchaamaton Windowssia, Linuxia, Androidia tai iOS:ia käyttävä laite on haavoittuva vaikkei Bluetoothia mitenkään aktiivisesti käytä, mutta se on päällä. Sen sijaan lukemattomat muut laitteet mitkä käyttävät Bluetoothia eivät ole haavoittuvaisia.

Onko patch käyttöjärjestelmän vai laitevalmistajien vastuulla?
 
Onko patch käyttöjärjestelmän vai laitevalmistajien vastuulla?
Windows on jo patchatty, Linuxiin löytyy myös korjaus, Androidissa se on syyskuun security updateissa. IOS:sta en osaa sanoa.
Eli Androidin tapauksessa riippuu valmistajista mikäli tarjoavat security päivityksiä. Toisin sanoen luultavasti erittäin iso osa laitteista ei saa korjausta koskaan.
 
Windows on jo patchatty, Linuxiin löytyy myös korjaus, Androidissa se on syyskuun security updateissa. IOS:sta en osaa sanoa.
Eli Androidin tapauksessa riippuu valmistajista mikäli tarjoavat security päivityksiä. Toisin sanoen luultavasti erittäin iso osa laitteista ei saa korjausta koskaan.
IOS on kunnossa jos 10 tai uudempi. Tuo iOS 10 on ilmestynyt vuosi sitten 13.9.2016.
 
Tarkista tietokoneesi: Tietoturvaohjelman mukana levisi vaarallisia haittaohjelmia miljooniin Windows-koneisiin

Kuinkas vakava juttu tämä on - lähinnä ajantasaiselle ja tietoturvaohjelmistolla varustetulle koneelle (NIS)? Pitäisikö alkaa vaihtelemaan salasanoja eri palveluihin, kun käyttikset koneella?

Tuolla bleepingcomputerin artikkelissa sanotaan että tutkijoiden mukaan tuo malware vaatii toimiakseen 32-bittisen käyttöjärjestelmän ja järjestelmänvalvoja -käyttäjätilin, joten jos on käytössä 64-bittinen windows ja/tai käyttää rajoitettua normitiliä niin tuo ei ilmeisesti ole pystynyt tekemään mitään. Tuolla myös sanotaan ettei tuon ole havaittu muutenkaan ehtineen tehdä yhtään mitään ainakaan toistaiseksi, eli voi olla että välitön ohjelman poisto tai päivitys riittää.
 
Tuolla bleepingcomputerin artikkelissa sanotaan että tutkijoiden mukaan tuo malware vaatii toimiakseen 32-bittisen käyttöjärjestelmän ja järjestelmänvalvoja -käyttäjätilin, joten jos on käytössä 64-bittinen windows ja/tai käyttää rajoitettua normitiliä niin tuo ei ilmeisesti ole pystynyt tekemään mitään. Tuolla myös sanotaan ettei tuon ole havaittu muutenkaan ehtineen tehdä yhtään mitään ainakaan toistaiseksi, eli voi olla että välitön ohjelman poisto tai päivitys riittää.

Ccleanerin asennus tehdään luultavasti järjestelmänvalvojan oikeuksilla, ja ainakin osa ohjelman toiminnoista vaatii myös niitä.

Jos 32-bittinen käyttöjärjestelmä on tosiaan vaatimus, niin se vähän helpottaa.


Tällaisten tapausten riskiä voi hieman pienentää niin, että tarkistaa ladatut asennustiedostot esimerkiksi Virustotalissa. Itse tarkistan nykyään suunnilleen kaikki, kun ei "luotettaviinkaan" sivustoihin voi aina luottaa.
www.virustotal.com/


Itse CCleanerin tarpeellisuus on vähän kyseenalaista muutenkin, mutta samanlainen tapaus voisi sattua muunkin ohjelman kohdalla.
 
Just ajelen Nortonin täydellistä järjestelmän tarkistusta ja samalla tuon filun käynnistämää tarkistusta:
AVG | Win32/Floxif Removal tool template - Basic

Ennen kuin ajoin tuon, niin tarkistin Virus Totalin online file scannerilla ja muilla saatavilla ollein tavoin, että tuon uskalsi käynnistää.

Itsellä oli koneella juurikin tuo 5.33 versio tuosta CCleanerista. Ohjelma antoi käynnistettäessä ilmoituksen tärkeästä versiopäivityksestä, jonka tietysti tein - versioon 5.34.
 
Ihmettelen kyllä tuota, että miksi edes Avastin ohjelma ei sitä vielä tunnista, vaikka se on tuota ohjelmaa tutkinut. Ehkäpä Virustotalissa on vanhat tietokantojen versiot.
..tai sitten yrittävät lakasta asian maton alle. Esim uusimmassa CCleanerin release notesissa ei ole minkälaista mainintaa koko asiasta.
v5.34.6207 (12 Sep 2017)
Browser Cleaning
- Firefox: Internet History cleaning rule no longer removes Favicon content

General
- Minor GUI improvements
- Minor bug fixes

CCleaner - Version History

:rolleyes:
 
..tai sitten yrittävät lakasta asian maton alle. Esim uusimmassa CCleanerin release notesissa ei ole minkälaista mainintaa koko asiasta.


CCleaner - Version History

:rolleyes:

Mielestäni tämä yksityiskohta on jäätävin tässä tapauksessa. Kunnon köntsä osunut siihen propelliin ja ei kehdata mainita asiasta. Yleensä noita ei juuri tule luettua, mutta tässä tapauksessa luki ja totta ei siellä ollut mitään asiasta.
 
Ccleanerin asennus tehdään luultavasti järjestelmänvalvojan oikeuksilla, ja ainakin osa ohjelman toiminnoista vaatii myös niitä.

Jos 32-bittinen käyttöjärjestelmä on tosiaan vaatimus, niin se vähän helpottaa.


Tällaisten tapausten riskiä voi hieman pienentää niin, että tarkistaa ladatut asennustiedostot esimerkiksi Virustotalissa. Itse tarkistan nykyään suunnilleen kaikki, kun ei "luotettaviinkaan" sivustoihin voi aina luottaa.
www.virustotal.com/


Itse CCleanerin tarpeellisuus on vähän kyseenalaista muutenkin, mutta samanlainen tapaus voisi sattua muunkin ohjelman kohdalla.

On sattunutkin, ei siitä ole kauaa kun jonkin linux-distron viralliset latausserverit saastuivat, sekä jokin niistä Win10 aloitusvalikon kustomointiohjelmista, kyseessä myöskin virallisen sivuston serverit.

Mielestäni tämä yksityiskohta on jäätävin tässä tapauksessa. Kunnon köntsä osunut siihen propelliin ja ei kehdata mainita asiasta. Yleensä noita ei juuri tule luettua, mutta tässä tapauksessa luki ja totta ei siellä ollut mitään asiasta.

Tuo vaitonaisuus on haitallista, kun sitten seuraamuksena ei koskaan tiedä mitkä huhuista pitävät paikkansa. Esim. Malwarebytesin ja Mozillan foorumeilla ollaan monesti heitelty ilmaan syytöksiä asennuspakettien saastumisesta, mutta salailuilmapiirin takia ei koskaan tiedä onko kyse vain käyttäjän tumpeloinnista tai kilpailevan tahon mustamaalausyrityksestä, vai ihan oikeasta saastumisesta. Käyttäjiä ohjeistetaan tietenkin lähettämään epäilyttävä tiedosto tutkittavaksi, mutta yleensä ne katoavat siinä vaiheessa kuin pieru saharaan tai koko keissi ei enää muuten vaan etene mihinkään suuntaan.
 
On sattunutkin, ei siitä ole kauaa kun jonkin linux-distron viralliset latausserverit saastuivat, sekä jokin niistä Win10 aloitusvalikon kustomointiohjelmista, kyseessä myöskin virallisen sivuston serverit.
Itse muistan: Linux Mint (levy-image) ja Transmission torrent-clientin Mac-binäärit (jotka taisi olla 3. osapuolen rakentamia ja hostaamia, mutta kuitenkin samasta oli kyse eli ulkopuolisesta serverin hakkeroinnista).

Tosin sillä erolla ettei kumpaakaan tapausta peitelty.
 
Tällaisten tapausten riskiä voi hieman pienentää niin, että tarkistaa ladatut asennustiedostot esimerkiksi Virustotalissa. Itse tarkistan nykyään suunnilleen kaikki, kun ei "luotettaviinkaan" sivustoihin voi aina luottaa.
www.virustotal.com/
Kehittäjien pitäisi ottaa käyttöön jokin allekirjoitusmenetelmä, esim. PGP. Muistaakseni kumpainenkaan yllä olevista Linux Mint ja Transmission ei silloin allekirjoittanut binääreitä. Toki PGP:kin käytettäessä vihulainen voisi allekirjoittaa binäärit omalla avaimellaan ja esittää sivustolla, että avain vaihtui, mutta herättää se epäilyksiä jos uutta avainta ei ole allekirjoitettu avaimilla, joilla aikaisempi avain oli allekirjoitettu tms..
 
Kehittäjien pitäisi ottaa käyttöön jokin allekirjoitusmenetelmä, esim. PGP. Muistaakseni kumpainenkaan yllä olevista Linux Mint ja Transmission ei silloin allekirjoittanut binääreitä. Toki PGP:kin käytettäessä vihulainen voisi allekirjoittaa binäärit omalla avaimellaan ja esittää sivustolla, että avain vaihtui, mutta herättää se epäilyksiä jos uutta avainta ei ole allekirjoitettu avaimilla, joilla aikaisempi avain oli allekirjoitettu tms..
Kynnys käyttäjällä tehdä tuo tarkistus on vaan aika iso kun jää usein se md5-tarkistuskin tekemättä (sehän ei riitä tässä tapauksessa, mutta tiedoston ehjyys). Useimmilla distron lataussivuilla ei myöskään ole selviä ohjeita tähän, eikä aina edes siihen md5/shaX tarkistukseen.
 
Haavoittuvuus 030/2017: Haittakoodia CCleaner asennuspaketissa

Haittakoodia CCleaner asennuspaketissa

19.09.2017 klo 10:27

Suositun CCleaner-ohjelmiston asennuspaketin versio 5.33 asentaa tietokoneelle CCleanerin lisäksi haittaohjelman. Paketti on ollut jakelussa ainakin 15.8.-11.9. välisenä aikana.

CCleaner on suosittu ilmainen väliaikaistiedostojen ja rekisterien siivoukseen käytettävä sovellus. Sen asennuspakettia on muokattu niin, että sen mukana tietokoneelle asentuu haittaohjelma. Tarkempia tietoja murron tekijästä ei ole vielä tiedosta.

Haavoittuvuus koskee sinua vain jos olet asentanut CCleaner-ohjelmistosta 32-bittisen version 5.33. Muut versiot sekä 64-bittinen versio on turvallinen.

Myös ohjelman pilviversio (1.07.3191) on haavoittuva ja se on valmistajan mukaan päivitetty uudempaan automaattisesti.
-------------------------


Muistaakseni törmäsin täälä jossain aiheessa tähän ccleaneriin niin laitetaan tää linkki vaikka tänne sepustuksineen.

Edit: Oho, anteeksi. Tuossahan oli juttua jo aiemmin.
 
Viimeksi muokannut ylläpidon jäsen:
Näin ollen en ihmettele yhtään sitä, ettei ihmisillä ole kiinnostusta tai osaamista allekirjoituksen varmistamiseen. No onneksi kaikki järkevät paketinhallintaohjelmat tarkistavat allekirjoitukset automaattisesti ja myös Windows tarkistaa ohjelman allekirjoituksen kun se ajetaan. Tosin vielä on paketinhallintaohjelmia jotka eivät tarkista mitään (esim. npm).
Jos allekirjoitus on saatavilla, niin kyllä sen joku varmaan silloin tarkistaa ja näin haitallinen versio pääsee tekemään vähemmän tuhojaan.
 
Täällä on tutkittu tuota CCleaner asiaa tarkemmin ja löydetty kaikkea mahdollista:
Cisco's Talos Intelligence Group Blog: CCleaner Command and Control Causes Concern

These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system.
 
Kannattaa tarkistaa löytyykö omasta koneesta seuraavan rekisterihakemistossa jonkinlaisia merkintöjä:


Registry Keys:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

Hakemistoa ei tarvitse poistaa jos se on tyhjä tai se sisältää pelkän (Default):n.

ccleaner-2nd-payload.png


CCleaner Malware second payload discovered - gHacks Tech News
 
Viimeksi muokattu:


Eiköhän tästä kuulla vielä jatkossakin.
 
Viimeksi muokattu:
OxygenOS kerää käyttäjistään paljon arkaluonteista tietoa, eikä anonymisoi sitä mitenkään (mm. IMEI, verkkojen nimet, puhelinnumerot, milloin mitäkin sovellusta on käytetty, milloin puhelinta on käytetty ja vaikka mitä muuta). Mukana lähetetään myös laitteen sarjanumero, jolloin tiedot voidaan yhdistää suoraan käyttäjän yhteystietoihin ainakin silloin, kun laite on ostettu suoraan valmistajalta.[1]

Tämän voi estää ilman roottausta Android Debug Bridgellä.[2]
Koodi:
adb shell pm uninstall -k --user 0 net.oneplus.odm

Support-tiimi kieltäytyi aluksi kertomasta lisätietoja, mutta nyt kun kiinnijääminen on kerännyt enemmän median huomiota, lupasivat lisätä ominaisuuden, joka kysyy jatkossa luvan käyttäjän vakoiluun.[3]

  1. OnePlus OxygenOS built-in analytics
  2. Let's Talk About OxygenOS Analytics

OP3/3T Open Beta 25/16 versioissa oli asennusvaiheessa jo näkyvissä tuo "join experience" vaihtoehto, ja äsken tuli OxygenOS 4.5.1 mikä varmaan lisäsi stable versioon myös saman?

OP5 taisi saada saman jo viime perjantaina?
 
OP3/3T Open Beta 25/16 versioissa oli asennusvaiheessa jo näkyvissä tuo "join experience" vaihtoehto, ja äsken tuli OxygenOS 4.5.1 mikä varmaan lisäsi stable versioon myös saman?

OP5 taisi saada saman jo viime perjantaina?
Kysyyköhän se uusiksi sitä vai kuinka toimii? Kysyy vain factory resetin jälkeen?
 
Kysyyköhän se uusiksi sitä vai kuinka toimii? Kysyy vain factory resetin jälkeen?
"in the setup wizard", eli melko varmasti resetissä. En ainakaan usko että heittää mitään popuppei. Itse asensin tuossa launtaina uudestaan Beta 16 oli niin kuraa suoraan asennus Nougat -> Oreo, nyt ainakin pelittää suht hyvin pienien bugien kanssa. Huomasin asennuksen loppuvaiheessa tuon "join user experience" valinnan.
 
Mielenkiinnolla odotan kyllä tuota raporttia!

Jos tuohon tulee helpot työkalut, niin siinä onkin melkonen soppa luvassa. Suurin osa tän päivän laitteista kun ei varmasti tule saamaan päivityksiä tuohon!

Jaahas, pikkasen ku tutki niin:


Eli eipä tuo kummosia vaadi, kunhan julkaisevat työkalut...
 
Viimeksi muokattu:
Isoin kysymys jää tuolta FAQ kohdasta, että riittääkö kenties vain client laitteiden päivitys tällä erää.

What if there are no security updates for my router?
Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.

Ja tuleeko tulevaisuudessa exploit, jolla voidaan hyödyntää vain reitittimen reikää ja päästä dataan käsiksi.
 
Tämä ei vissiin vielä ollut täällä.
Millions of high-security crypto keys crippled by newly discovered flaw

The flaw resides in the Infineon-developed RSA Library version v1.02.013, specifically within an algorithm it implements for RSA primes generation. The library allows people to generate keys with smartcards rather than with general-purpose computers, which are easier to infect with malware and hence aren't suitable for high-security uses. The library runs on hardware Infineon sells to a wide range of manufacturers using Infineon smartcard chips and TPMs. The manufacturers, in turn, sell the wares to other device makers or end users. The flaw affects only RSA encryption keys, and then only when they were generated on a smartcard or other embedded device that uses the Infineon library.

To boost performance, the Infineon library constructs the keys' underlying prime numbers in a way that makes them prone to a process known as factorization, which exposes the secret numbers underpinning their security. When generated properly, an RSA key with 2048 bits should require several quadrillion years—or hundreds of thousands of times the age of the universe—to be factorized with a general-purpose computer. Factorizing a 2048-bit RSA key generated with the faulty Infineon library, by contrast, takes a maximum of 100 years, and on average only half that. Keys with 1024 bits take a maximum of only three months.

Vissiin meidän henkilökortit ei ole tälle haavoittuvaisia?
Kokeilin tuota uutisessa linkattua ROCA Vulnerability testiä eikä se ainakaan ruvennut huutamaan niillä avaimilla mitä kokeilin..

Next, the researchers examined a sampling of 41 different laptop models that used trusted platform modules. They found vulnerable TPMs from Infineon in 10 of them. The vulnerability is especially acute for TPM version 1.2, because the keys it uses to control Microsoft's BitLocker hard-disk encryption are factorizable. That means anyone who steals or finds an affected computer could bypass the encryption protecting the hard drive and boot sequence. TPM version 2.0 doesn't use factorizable keys for BitLocker, although RSA keys generated for other purposes remain affected. Infineon has issued a firmware update that patches the library vulnerability, and downstream affected TPM manufacturers are in the process of releasing one as well.

The researchers also scanned the Internet for fingerprinted keys and quickly found hits in a variety of surprising places. They found 447 fingerprinted keys—237 of them factorizable—used to sign GitHub submissions, some for very popular software packages. GitHub has since been notified of the fingerprinted keys and is in the process of getting users to change them.

The researchers also found 2,892 PGP keys used for encrypted e-mail, 956 of which were factorizable. The researchers speculated that the majority of the PGP keys were generated using the Yubikey 4, which allows owners to use the faulty library to create on-chip RSA keys. Other functions of the USB device, including U2F authentication, remain unaffected.

:facepalm:
 
Toinen lukemisen arvoinen linkki: WPA2: Broken with KRACK. What now? – Alex Hudson


ps. Netti- ja vendorihysteriaa odotellessa.

Pääseekö tällä uudella WPA2 haavoittuvuudella murtautumaan ja kirjautumaan wifi-verkkoon vai rajoittuuko se vain liikenteen salakuunteluun?

Mikäli verkkoon pääsee kirjatumaan sisään, niin sehän olisi todellinen graalin malja hakkereille kun pääsisivät wifin kautta sisään hyvin monen firman ja viraston sisäverkkoon ja sen jälkeen sisäverkossa kulkevaan kaikkeen liikenteeseen ja resursseihin mitä sieltä löytyy.
 
Pääseekö tällä uudella WPA2 haavoittuvuudella murtautumaan ja kirjautumaan wifi-verkkoon vai rajoittuuko se vain liikenteen salakuunteluun?

Mikäli verkkoon pääsee kirjatumaan sisään, niin sehän olisi todellinen graalin malja hakkereille kun pääsisivät wifin kautta sisään hyvin monen firman ja viraston sisäverkkoon ja sen jälkeen sisäverkossa kulkevaan kaikkeen liikenteeseen ja resursseihin mitä sieltä löytyy.
Ei.
https://www.krackattacks.com/#faq sanoi:
Note that our attacks do not recover the password of the Wi-Fi network.

Esim. Androidin kohdalla tämä tarkoittanee, että WLAN-laitteiden firmwaret pitäisi päivittää, eli Google ei pysty toimittamaan päivityksiä muiden valmistajien laitteisiin?

Oma puhelimeni on liian vanha ollakseen haavoittuvainen. Siinä on vaan sitten muita vanhoja korjaamattomia reikiä. Toivottavasti TeleWelliinkin tulee päivitys, vaikkei nyt vielä koskisikaan reitittimiä.
 
Ei.


Esim. Androidin kohdalla tämä tarkoittanee, että WLAN-laitteiden firmwaret pitäisi päivittää, eli Google ei pysty toimittamaan päivityksiä muiden valmistajien laitteisiin?

Oma puhelimeni on liian vanha ollakseen haavoittuvainen. Siinä on vaan sitten muita vanhoja korjaamattomia reikiä. Toivottavasti TeleWelliinkin tulee päivitys, vaikkei nyt vielä koskisikaan reitittimiä.

Aika vaaraton tuon reikä sitten jos vain liikennettä pääsee kyttäämään, mutta wifin salasanat jäävät saamatta eikä reikä mahdollista kirjatumista wifiin ilman salasanaa.

Sehän internetin kaikki liikenne kulkee muutenkin sellaisenaan netissä kenen tahansa matkalle osuvan tahon kytättävänä.

Oma arvaus on että 99,99 prosenttia älypuhelimista ja wlan-tukiasemista jää ilman korjaavaa päivitystä tuohon haavoittuvuuteen. Tietokoneiden kanssa paikkausten määrä voi nousta korkeammaksi jos vika on softalla korjattavissa eikä vaadi uutta rautaa tietokoneeseen eikä wlan-tukiasemiin.

Jos urkinta ahdistaa eikä foliohattu riitä, niin virittelee sitten vaikka Raspberry Pi 3:sta OpenVPN serverin lähiverkkoonsa ja tunneloi kaiken puhelinten ja tietokoneiden wifi-liikenteen VPN:n kautta. Siinäpä sitten urkkikoon wifiä kun liikenne on VPN:n kautta tunneloitu.
 
As a result, even though WPA2 is used, the adversary can now perform one of the most common attacks against open Wi-Fi networks: injecting malicious data into unencrypted HTTP connections. For example, an attacker can abuse this to inject ransomware or malware into websites that the victim is visiting.

Tuon avulla pystyy myös syöttämään väärää tietoa laitteille.

Oma puhelimeni on liian vanha ollakseen haavoittuvainen.

Eikö siinä ole WPA suojattua langatonta verkkoa?
 
Eikö siinä ole WPA suojattua langatonta verkkoa?
On siinä, luinkin väärin tuolta sivuilta, enkä ajatellut. Hyökkäys on erityisen tehokas Android 6.0 ja wpa_supplicant 2.4:sta lähtien, mutta tietenkin toimii sitä aikaisempiakin versioita vastaan, kun on protokollan haavoittuvuus, eikä toteutuksen.
 

Statistiikka

Viestiketjuista
262 702
Viestejä
4 563 058
Jäsenet
75 010
Uusin jäsen
MrBrutalMachine

Hinta.fi

Back
Ylös Bottom