Tietoturvauutiset ja blogipostaukset

[A Lake Elk]

SolarWinds Orion Platform -hallintatyökalusta löydetty takaovi | Kyberturvallisuuskeskus

IT-infrastruktuurin keskitettyyn valvontaan ja hallintaan käytetystä SolarWinds Orion Platform -hallintatyökalusta on löydetty tunkeutumisen mahdollistava takaovi. Hallintatyökalussa on myös ohjelmointirajapinnan tunnistautumisen ohittamisen mahdollistava haavoittuvuus.

www.kyberturvallisuuskeskus.fi

Tämä vaikuttaa mielenkiintoiselta hyökkäykseltä, Lawrence systems videon katsoin juuri aiheesta ja haittaohjelma on piiloutunut erittäin hyvin.


Oman kotiverkon pilvihallinnan välttely vaikuttaa entistä järkevämmältä.

Jos tuon luokan toimija kiinnostuu sun kotiverkosta, niin veikkaan, että siinä ei hirveenä pilvihallinnan välttely paina...

 

[sra2010]

Jos tuon luokan toimija kiinnostuu sun kotiverkosta, niin veikkaan, että siinä ei hirveenä pilvihallinnan välttely paina...

En sitä tarkoittanutkaan. Tarkoitus oli sanoa, että jos tuon luokan toimija on altis hyökkäykselle, eikä edes huomaa niin mitä toivoa pienemmillä on.

 

[escalibur]

En sitä tarkoittanutkaan. Tarkoitus oli sanoa, että jos tuon luokan toimija on altis hyökkäykselle, eikä edes huomaa niin mitä toivoa pienemmillä on.

Pienimmillä voi olla se etu ettei niitä tavoitella yhtä kovasti. Yrityksen koko ei kuitenkaan ole minkälainen mittari paremmasta, tai heikommasta tietoturvasta. Kaikki voi tehdä virheitä. Tärkeintä on olla vähättelemättä tietoturvan tärkeyttä ja oppia aiemmista virheistä.

SolarWinds Orion Platform -hallintatyökalusta löydetty takaovi | Kyberturvallisuuskeskus

IT-infrastruktuurin keskitettyyn valvontaan ja hallintaan käytetystä SolarWinds Orion Platform -hallintatyökalusta on löydetty tunkeutumisen mahdollistava takaovi. Hallintatyökalussa on myös ohjelmointirajapinnan tunnistautumisen ohittamisen mahdollistava haavoittuvuus.

www.kyberturvallisuuskeskus.fi

Tämä vaikuttaa mielenkiintoiselta hyökkäykseltä, Lawrence systems videon katsoin juuri aiheesta ja haittaohjelma on piiloutunut erittäin hyvin.


Oman kotiverkon pilvihallinnan välttely vaikuttaa entistä järkevämmältä.

Tässäkin harrastettiin geneerisiä "excludataan koko hakemisto pois av:n suojasta"-kehotuksia:

 

[ztec]

Pienemmistä systeemeistä on se etu, että henkilöstömäärä on pienempi, sekä jos suojataan vain pientä määrää erittiän salaista tietoa, se voidaan eristää hyvinkin tehokkaasti. Monet hyökkäykset perustuvat laajaan hyökkäyspintaan ja isoon määrän hekilöstöä. Jos taas hyökkäyksen kohteena on esimerkiksi vain yksi erittäin hyvin suojattu järjestelmä, johon on pääsy vain muutamalla henkilöllä täysin eritstetystä fyysisestä sijainnsta alkaa tilanne tulemaan nopeasti hankalammaksi.

Monissa tapauksissa yksi olennainen tekijä on se, ettei esimerkiksi tunneta henkilöstöä ollenkaan. Pienemmissä piireissä tuosta jää välittömästi kiinni, eikä sitä edes kannata yrittää.

Tämä tietysti olettaa tilanteen, jossa tieto on oikeasti sellaista että se halutaan suojata, ja ollaan myös valmiita näkemään kaikki se vaiva minkä tiedon suojaaminen vaatii monikerroksisilla lähetymisellä, fyyisessä turvalisuudessa, henkilöstönsuhteen, menetelmissä ja prosesseissa, hallinnollisest jne. - Tämä kaikki on kyllä ihan perusjuttua.

Yksi suurimpia tietoturvaongemien aiheuttajia nykymaailmassa on se, että halutaan tehdä monipuolista, nopeasti ja halvalla. -> Sen sitten tietää mitä siitä jää käteen.

Silloin kun tehdään turvallista järjestelmää, tehdään juuri päin vastoin. Yksinkertaista, hitaasti ja erittäin kalliisti. -> Tämä taas sotii normaaleita kilpaillun markkinan arvoja vastaan. Mutta on mahdollista esimerkiksi sotilasjärjestelmien suhteen.

Tietysti kskustelu voi olla kiusallinen kun joku kysyy, miksi tämä feature phone maksaa 20000 euroa / kpl. ... No sen takia, että se on turvallinen. Kannattaa tutustua mm. PlayStationin turvaominaisuuksiin, ovat onnistuneet sen suhteen yllättävän hyvin. Eikä siinä todellakaan puhuttu vielä huippusuojauskesta, vaan markkinaehtoisesta suojauksesta. Ja kuten siinä todetaan, niin ovat huomoineet myös fyyiset hykkäykset, eikä vain ja ainoastaan verkon yli tulevia uhkia.

Toisaalta tuollahan oli useita virheitä, mm. järjestelmien eristämisessä, joka on ihan perus juttu. Sekä selvästi myös versiohallinnassa oli puutteita. Avainjärjestelmistä ei koskaan saisi olla Internet-yhteyttä, joten C2 yhteydet jäisi myös siinä samalla. - Tietenkin noi on asioita, jotka on käytännössä aina levällään, jos kohdetta ei ole miellettyä tarpeeksi tärkeäksi. - Tässäkin se ensimmäinen perus virhe on se, että vain tarpeellisen pitäisi olla sallittua, ja kaiken muun kiellettyä. PoLP

 

[=JP=]

Tulossa mielenkiintoinen ominaisuus Firefoxiin seuraavassa versiossa, joka julkaistaan näillä näkymin ensi kuussa.

Firefox to ship 'network partitioning' as a new anti-tracking defense | ZDNet

Firefox's "network partitioning" feature to ship in v85, scheduled for January 2021.

www.zdnet.com

The difference is that Network Partitioning will allow Firefox to save resources like the cache, favicons, CSS files, images, and more, on a per-website basis, rather than together, in the same pool.
This makes it harder for websites and third-parties like ad and web analytics companies to track users since they can't probe for the presence of other sites' data in this shared pool.

 

[Special Once]

Tulossa mielenkiintoinen ominaisuus Firefoxiin seuraavassa versiossa, joka julkaistaan näillä näkymin ensi kuussa.

Firefox to ship 'network partitioning' as a new anti-tracking defense | ZDNet

Firefox's "network partitioning" feature to ship in v85, scheduled for January 2021.

www.zdnet.com

The difference is that Network Partitioning will allow Firefox to save resources like the cache, favicons, CSS files, images, and more, on a per-website basis, rather than together, in the same pool.
This makes it harder for websites and third-parties like ad and web analytics companies to track users since they can't probe for the presence of other sites' data in this shared pool.

Tätä on tullut mietittyä jo vuosikausien ajan, että miksei yksikään selain (käsittääkseni?) ole tämmöistä ominaisuutta tarjonnut. Todella kaivattu lisä.

 

[TenderBeef]

miksei yksikään selain (käsittääkseni?) ole tämmöistä ominaisuutta tarjonnut

Ghacks kertoo, että "While Firefox is not the first web browser to support network partitioning, that honor goes to Apple and the company's Safari web browser"

 

[A Lake Elk]

Tää mun postaus toisessa ketjussa saattaa kiinnostaa myös täällä, kun asiaan liittyy: eettinen hakkerointi, ddos, salasanan murtaminen, CCNA opastusta, jne.

Youtuben ja muiden videopalveluiden helmiä

Huhhuh... Mikä postaus lipsahti tänne yön pikkutunteina :D

bbs.io-tech.fi

 

[Humanoid]

Ghacks kertoo, että "While Firefox is not the first web browser to support network partitioning, that honor goes to Apple and the company's Safari web browser"

Olikos se niin, että Safarissa oli mukana vain yhdenlainen partitiointi, mutta Firefox laajentaa tuota muihinkin resursseihin.

 

[Agent_007]

Zyxelin tietyistä verkkolaitteista on löytynyt piilossa oleva käyttäjätili, jonka käyttäjätunnus on zyfwp ja salasana on tiedossa. Kyseisiin laitteisiin voi noilla tiedoilla kirjautua sisään sekä SSH:n että web-käyttöliittymän kautta ja tilillä on admin-oikeudet. Tiliä ei voi poistaa oletuskäyttöliittymän kautta. Päivitys on saatavilla.

Undocumented user account in Zyxel products (CVE-2020-29583) | EYE

Zyxel is a popular brand for firewalls that are marketed towards small and medium businesses. Their Unified Security Gateway (USG) product line is often used as a firewall or VPN gateway. As a lot of us are working from home, VPN-capable devices have been quite selling well lately.

www.eyecontrol.nl

 

[=JP=]

Tässä kun monillakin on aikaa välipäivinä, niin tuossa olisi "pieni" dokumentti (päivitetty juuri, edelleen työn alla myöskin), jossa käsitellään laajasti yksityisyyteen liittyvistä asioista:

The Hitchhiker’s Guide to Online Anonymity

The Hitchhiker’s Guide to Online Anonymity

anonymousplanet.github.io

Ja jos haluaa ihan PDF muodossa: https://github.com/AnonymousPlanet/thgtoa/raw/main/guide.pdf

This updated guide aims to provide introduction to various tracking techniques, id verification techniques and guidance to creating and maintaining reasonably anonymous identities online including social media accounts safely.
Will this guide help you protect yourself from the NSA, the FSB, Mark Zuckerberg or the Mossad if they’re out to find you? Probably not … Mossad will be doing “Mossad things” and will probably find you no matter how hard you try to hide.
You have to consider your threat model before going further.

 

[=JP=]

Noniin, nyt se on alkanut (aikaisemmin kirjoitinkin jo asiasta), eli Youtube saattaa yhtäkkiä vaatia käyttäjää todistamaan ikänsä, joko antamalla luottokortti tiedot taikka henkkarit...

Helvata menee hermot tohon imgur -systeemiin, ku tää Xenforo yrittää, niin olkoon tää teksti linkkinä sitten kuviin.

 

[Humanoid]

Noniin, nyt se on alkanut (aikaisemmin kirjoitinkin jo asiasta), eli Youtube saattaa yhtäkkiä vaatia käyttäjää todistamaan ikänsä, joko antamalla luottokortti tiedot taikka henkkarit...

Juu ei. Tähän ralliin ei tule kyllä lähdettyä mukaan..

 

[Algron28]

Noniin, nyt se on alkanut (aikaisemmin kirjoitinkin jo asiasta), eli Youtube saattaa yhtäkkiä vaatia käyttäjää todistamaan ikänsä, joko antamalla luottokortti tiedot taikka henkkarit...

Helvata menee hermot tohon imgur -systeemiin, ku tää Xenforo yrittää, niin olkoon tää teksti linkkinä sitten kuviin.

Ilmeisesti liittyy johonkin byrokratiakiimaiseen EU-pykälään

YouTube will launch a new age-verification requirement for some European users

In a blog post announcing the upcoming change, YouTube said the age-verification policy is in compliance with the European Union’s Audiovisual Media Services Directive. That means some users in the region must submit proof of age when they try to watch videos with age limitations in cases where YouTube is unable to confirm that they're of the right age.

Youtubessa tosin on viime aikoina pistetty rahantekovaihde päälle sillä ilman mainosten estoa tai maksullista tiliä palvelu on käyttökelvotonta paskaa nykyisin.

 

[KoneenKokoaja]

KRP pitää mahdollisena, että eduskunnan kyberhyökkäyksen taustalla on valtiollinen toimija

KRP kertoo, että eduskunnan tietojärjestelmiin kohdistuneen tietomurron esitutkinta aloitettiin loppusyksystä. Poliisi selvittää tietomurron tekotapaa ja sitä, kuka tai ketkä murron ovat tehneet. Asiaa tutkitaan epäiltynä törkeänä tietomurtona ja vakoiluna. – Teko ei ole sattumanvarainen tai...

demokraatti.fi

Olisi mielenkiintoista tietää miten syvälle järjestelmiin on menty onko esim. puolustusvaliokunnan salaiset maanpuolustusta koskevat salaiset dokumentit vuotaneet tai muut turvallisuuteen liittyvät salaiset dokumentit.

 

[dot1q]

Epäilen hyvin vahvasti, että on sen verran monta kerrosta verkossa, jottei PV matskuun pääse tuolla jutun kuvauksen mukaisella tekotavalla käsiksi.

 

[=JP=]

Tässä vähän parempi artikkeli asiasta:

KRP tutkii äärimmäisen harvinaista rikosta: Eduskuntaan kohdistunut tietomurto voi olla vakoilua ja kansanedustajien sähköposteja vaarantunut

Vääriin käsiin on päätynyt esimerkiksi kansanedustajien sähköposteja.

yle.fi

Liekkö tässä yhteyttä tuohon laajaan SolarWinds asiaan, mitä on käsitelty etenkin USA yhteydessä laajoissa hakkerointi operaatioissa. Myöskin Microsoft on ollut kohteena tässä asiassa ja sitten voikin lukea tälläisen uutisen menneisyydestä:

Kansanedustajat siirtyivät Outlookiin

Kansanedustajat ovat tämän viikon ajan harjoitelleet Microsoftin Exchange –sähköpostijärjestelmän ja Outlook-ohjelman käyttöä.

www.is.fi

Onneksi kuitenkin: Eduskunta on ulkoistanut sähköpostijärjestelmän ylläpidon Tiedolle. Palvelimet ovat eduskunnan omassa hallinnassa. Eduskunnalla on myös oma konesali.
Mutta, miten itse hallinta on toteutettu, niin voidaan vaan arvailla...

Ja täällä on juttua, miten esimerkiksi Exchangen MFA (Multi-Factor Authentication) on ohitettu ja päästy käsiksi sähköpostiin:

Dark Halo Leverages SolarWinds Compromise to Breach Organizations | Volexity

www.volexity.com

exploiting a vulnerability in the organization’s Microsoft Exchange Control Panel. Near the end of this incident, Volexity observed the threat actor using a novel technique to bypass Duo multi-factor authentication (MFA) to access the mailbox of a user via the organization’s Outlook Web App (OWA) service.

Syvemmälle en jaksanut alkaa foliopipoa vetämään päähän

Ja pelottaa ajatella, josko siellä on eduskunnassakin joku WhatsApp käytössä kommunikointiin, sen helppokäyttöisyyden takia jne... Johan sitä Zoomiakin käytetäään monen maan hallituksessa ja saanut lukea ku ministerit twiitanneet salasanat noihin "vahingossa", että kuka vaan päässyt kuuntelemaan salaisia tapaamisia.

Vedän foliopipoa vähän syvemmälle siis

 

[debuggeri]

Tässähän tuo oleellisin on: "Eduskunta on ulkoistanut sähköpostijärjestelmän ylläpidon Tiedolle."

 

[ztec]

Tätä on tullut mietittyä jo vuosikausien ajan, että miksei yksikään selain (käsittääkseni?) ole tämmöistä ominaisuutta tarjonnut. Todella kaivattu lisä.

Toinen ominaisuus on tab-isolation, sitä mäkin olen kysellyt vuosikausia. Mutta sekin järjesyy Firefoxissa temp containerien avulla. Esimerkiksi tämä tabi on nyt sessiossa numero #13. Eli jokainen tabi avaa oman session, ja sitten niitä voi yhdistellä tai eritellä.

 

[Desgorr]

Hyvin on yksityisyys ainakin hoidettu Zoomissa:

Jaahas: Zoomin työntekijä lähetti käyttäjätiedot suoraan Kiinan tiedustelupalvelulle

Videoneuvottelupalvelua tarjoavan Zoomin työntekijä jäi kiinni käyttäjien sensuroimisesta. Kiinaa kritisoivia käyttäjiä syytettiin monista eri rikkeistä.

www.mikrobitti.fi

 

[Ormu]

Youtubessa tosin on viime aikoina pistetty rahantekovaihde päälle sillä ilman mainosten estoa tai maksullista tiliä palvelu on käyttökelvotonta paskaa nykyisin.

Ublock Origin hoitelee onneksi niin mainokset, sisäänkirjautumiskehotukset kuin GDPR-käyttöehtojen kyselytkin.

Ikätarkistuksiin se tuskin tulee tehoamaan, mutta katsotaan.

 

[Sulava]

Solarwinds haavaan liittyen päivitystä Microsoftilta: Microsoft Internal Solorigate Investigation Update – Microsoft Security Response Center
Päästy lukemaan Microsoftin tuotteiden lähdekoodia, mutta tunnuksilla ei onneksi ollut oikeutta tehdä muutoksia.

We detected unusual activity with a small number of internal accounts and upon review, we discovered one account had been used to view source code in a number of source code repositories. The account did not have permissions to modify any code or engineering systems and our investigation further confirmed no changes were made. These accounts were investigated and remediated.

[..]we do not rely on the secrecy of source code for the security of products, and our threat models assume that attackers have knowledge of source code. So viewing source code isn’t tied to elevation of risk.

Microsoft tosiaan jakaa ainakin osaa lähdekoodista NDA:n alaisille partnereille, joten ei tässä mitään kovin suurta vahinkoa tapahtunut, vaikka varmasti lähdekoodin perusteella on helpompaa löytää haavoittuvuuksia. Mutta onhan tässä ollut ainekset Solarwindsiä paljon pahempaan backdooriin, kun ei tule montaa paikkaa mieleen missä ei olisi Microsoftin tuotteita käytössä. Backdoor jossain Windowsin komponentissa olisi ollut aika mielenkiintoinen tilanne.

 

[KoneenKokoaja]

Solarwinds haavaan liittyen päivitystä Microsoftilta: Microsoft Internal Solorigate Investigation Update – Microsoft Security Response Center
Päästy lukemaan Microsoftin tuotteiden lähdekoodia, mutta tunnuksilla ei onneksi ollut oikeutta tehdä muutoksia.



Microsoft tosiaan jakaa ainakin osaa lähdekoodista NDA:n alaisille partnereille, joten ei tässä mitään kovin suurta vahinkoa tapahtunut, vaikka varmasti lähdekoodin perusteella on helpompaa löytää haavoittuvuuksia. Mutta onhan tässä ollut ainekset Solarwindsiä paljon pahempaan backdooriin, kun ei tule montaa paikkaa mieleen missä ei olisi Microsoftin tuotteita käytössä. Backdoor jossain Windowsin komponentissa olisi ollut aika mielenkiintoinen tilanne.

Jos hakkerit on saaneet johonkin mikrosoftin viralliseen komponenttiin ujutettua oman etähallintasoftansa koodin sitä ei huomaa mikään virustorjuntakaan, koska viralliset komponentit, jotka on allekirjoitettu virallisilla microsoftin salausavaimilla on white listattu kaikissa tietoturvaohjelmissa ja käyttöjärjestelmä tasolla 100% turvallisena koodina jota saa ajaa ja joka saa ottaa verkkoyhteyksiä niin paljon kuin haluaa.

Vielä pahempi juttu jos koodiin on saatu ujutettua joku kernel tason rootkit sitä on lähes mahdoton havaita mitenkään varsinkin jos se koodi toimii vielä siten, että se ei edes aktivoidu kuin tarkkaan valituissa koneissa joita halutaan vakoilla eikä massana kaikkialla.

EDIT: Yksi mikä myös voi olla aika vittumainen tilanne on jos hakkerit ovat saaneet kaapattua Microsoftin allekirjoitusavaimet silloin hakkerit voivat tehdä omia päivityksiään, jotka asentavat etähallintasoftan koneeseen, mutta käyttöjärjestelmä luulee niitä virallisiksi Microsoftan päivityksiksi, koska ne on allekirjoitettu virallisilla salausavaimilla.

 

[KoneenKokoaja]

Pankeista on imuroitu miljoonia ehkä jopa kymmeniä miljoonia euroja euroopassa ja amerikassa käyttämällä hyväksi android puhelin emulaattoreita joilla on voitu ohittaa kaksivaiheinen tunnistautuminen. Hakkerit ovat rakentaneet automatisoituja botti farmeja, jotka siirtävät asiakkaan tunnistautumistiedot emulaattoriin esim. huijaamalla pankkia, että emulaattorin päällä pyörivä softa on asiakkaan uusi puhelin. Sitä miten hakkerit ovat saaneet käsiinsä asiakkaiden puhelinumerot ja muut simkoritin tiedot voidakseen kloonata emulaattorin päälle asiakkaan puhelimen ei tiedetä tällä hetkellä. Onko kyse tietojen kalastelusta vai esim muusta hakkeroinnista.

“Evil mobile emulator farms” used to steal millions from US and EU banks

Scale of operation is unlike anything researchers had seen before.

arstechnica.com

Eniten tässä naurattaa se, että varoittelin paljon siitä, että puhelimia ei pitäisi käyttää pankki tunnistautumisessa kun avainlukulistoista siirryttiin noihin mobiili tunnistautumiseen, mutta pankin geelitukka vakuutteli miten turvallisia ovat. No nyt se nähdään miten turvallisia muutamassa sekunnissa saadaan emulaattorilla luotua täysin automatisoidusti emulaattorin päälle asiakkaan puhelin ja automatisoidusti tyhjennettyä tili. Nykyään vielä sim-korteissakin on alettu siirtyä e-sim kortteihin, jossa sim kortin tiedot saadaan kloonattua täysin elektronisesti ilman tarvetta fyysiselle sim kortille.

 

[Special Once]

huijaamalla pankkia, että emulaattorin päällä pyörivä softa on asiakkaan uusi puhelin

Suomessa et voi huijata pankkia ja väittää että sulla on uusi puhelin. Tarvitset mobiilitunnistautumiseen ensimmäisellä kerralla aina avainlukulistan.

Eniten tässä naurattaa se, että varoittelin paljon siitä, että puhelimia ei pitäisi käyttää pankki tunnistautumisessa kun avainlukulistoista siirryttiin noihin mobiili tunnistautumiseen

Mobiilitunnistautuminen on jopa turvallisempi kuin avainlukulista, ainakin Suomessa.

 

[=JP=]

Pankeista on imuroitu miljoonia ehkä jopa kymmeniä miljoonia euroja euroopassa ja amerikassa käyttämällä hyväksi android puhelin emulaattoreita joilla on voitu ohittaa kaksivaiheinen tunnistautuminen. Hakkerit ovat rakentaneet automatisoituja botti farmeja, jotka siirtävät asiakkaan tunnistautumistiedot emulaattoriin esim. huijaamalla pankkia, että emulaattorin päällä pyörivä softa on asiakkaan uusi puhelin. Sitä miten hakkerit ovat saaneet käsiinsä asiakkaiden puhelinumerot ja muut simkoritin tiedot voidakseen kloonata emulaattorin päälle asiakkaan puhelimen ei tiedetä tällä hetkellä. Onko kyse tietojen kalastelusta vai esim muusta hakkeroinnista.

“Evil mobile emulator farms” used to steal millions from US and EU banks

Scale of operation is unlike anything researchers had seen before.

arstechnica.com

Eniten tässä naurattaa se, että varoittelin paljon siitä, että puhelimia ei pitäisi käyttää pankki tunnistautumisessa kun avainlukulistoista siirryttiin noihin mobiili tunnistautumiseen, mutta pankin geelitukka vakuutteli miten turvallisia ovat. No nyt se nähdään miten turvallisia muutamassa sekunnissa saadaan emulaattorilla luotua täysin automatisoidusti emulaattorin päälle asiakkaan puhelin ja automatisoidusti tyhjennettyä tili. Nykyään vielä sim-korteissakin on alettu siirtyä e-sim kortteihin, jossa sim kortin tiedot saadaan kloonattua täysin elektronisesti ilman tarvetta fyysiselle sim kortille.

Kannattaa lukea se uutinen ensin, eli noissa on ollut ns. SMS "multifactor" varmistus, jota ei pitäisi missään nimessä käyttää nykyään. En tiedä, onko Suomessa yhtäkään pankkia, joka käyttää tuota, vaan juurikin se oma Authentikaatio softa/avainlukulista, johon tämä hyökkäys ei toimisi.

 

[mikajh]

Nykyään vielä sim-korteissakin on alettu siirtyä e-sim kortteihin, jossa sim kortin tiedot saadaan kloonattua täysin elektronisesti ilman tarvetta fyysiselle sim kortille.

Huomattavasti eSim:iä turvattomampi on fyysinen kortti, varsinkin jos sen pin on disabloitu, 0000 tai 1234 ja on altis "tilaa uusi kortti väärään osoitteeseen" -huijaukseen.

 

[kuukie]

Liekkö niin että joidenkin pankkien käyttämät autentikaatiosovellukset on mahdollista siirtää lennosta uuteen laitteeseen? Ehkä käyttäjien puhelinten cloud backupit varastettu kierrätettyjen salasanojen takia ja palautettu emulaattoriin? Esimerkki huonosti toteutetusta autentikaattorista on Blizzardin softa joka siirtyy ongelmitta puhelimesta toiseen iOS-alustalla

 

[root]

Liekkö niin että joidenkin pankkien käyttämät autentikaatiosovellukset on mahdollista siirtää lennosta uuteen laitteeseen? Ehkä käyttäjien puhelinten cloud backupit varastettu kierrätettyjen salasanojen takia ja palautettu emulaattoriin? Esimerkki huonosti toteutetusta autentikaattorista on Blizzardin softa joka siirtyy ongelmitta puhelimesta toiseen iOS-alustalla

Minulle jäi uutisesta käsitys että noiden pankkien käytössä oli pelkkä SMS toisena vaiheena tunnistautumisessa. Jos tuo olisi parasta mitä suomalaiset pankit tarjoavat, harkitsisin vakavasti ylimääräisten rahojen säilyttämistä kotona.

 

[=JP=]

Zyxelin purkeissa on kiva "reikä", nyt julkaistu päivitys, eli jos sattuu olee käytössä, niin kannattanee päivitellä...

Secret Backdoor Account Found in Several Zyxel Firewall, VPN Products

A Secret Hard-Coded Backdoor Account Found in Several Zyxel Firewall, VPN Products

thehackernews.com

Zyxel has released a patch to address a critical vulnerability in its firmware concerning a hardcoded, undocumented secret account that could be abused by an attacker to login with administrative privileges and compromise its networking devices.

Täällä on lista laitteista, mutta tietenkin korjaus on tarjoalla vain laitteisiin, joissa on aktiivinen tuki jäljellä, eli vanhojen laitteiden käyttäjät jätetään kylmästi huomiotta (eikä edes listattu).

Zyxel security advisory for hardcoded credential vulnerability | Zyxel

Zyxel has released a patch for the hardcoded credential vulnerability of firewalls and AP controllers recently reported by researchers from Eye Control Netherlands. Users are advised to install the applicable firmware updates for optimal protection.

www.zyxel.com

we’ve identified the vulnerable products that are within their warranty and support period and are releasing firmware patches to address the issue

Tämä lausahdus kyllä ei kauhean hyvää kuvaa anna jostain firmasta, joka tekee laitteita, joissa pitäisi olla tietoturvakin kohdillaan!
Zyxel said the hardcoded credentials were put in place to deliver automatic firmware updates to connected access points through FTP.

 

[Agent_007]

Minulle jäi uutisesta käsitys että noiden pankkien käytössä oli pelkkä SMS toisena vaiheena tunnistautumisessa. Jos tuo olisi parasta mitä suomalaiset pankit tarjoavat, harkitsisin vakavasti ylimääräisten rahojen säilyttämistä kotona.

Joo toi on kyllä jännä miten esim. Yhdysvalloissa edelleen käytetään tekstiviestejä, vaikka kukaan ei sitä suosittele. esim. Applen tunnistautuminen developer-portaaliin luottaa edelleen tekstiviesteihin...

 

[Ormu]

Tämä lausahdus kyllä ei kauhean hyvää kuvaa anna jostain firmasta, joka tekee laitteita, joissa pitäisi olla tietoturvakin kohdillaan!
Zyxel said the hardcoded credentials were put in place to deliver automatic firmware updates to connected access points through FTP.

Selitys on täyttä roskaa, ja sen verran järjenvastainen, että tämä haiskahtaa jo ihan tahalliselta ja tietoiselta teolta. Automaattipäivitykset eivät vaadi takaporttitunnuksia todellakaan. Mikä on motiivi tai kuka on painostanut, sitä voidaan sitten spekuloida. Joka tapauksessa viimeistään nyt suosittelen jättämään Zyxelin laitteet kaupan hyllylle.

 

[KoneenKokoaja]

Minulle jäi uutisesta käsitys että noiden pankkien käytössä oli pelkkä SMS toisena vaiheena tunnistautumisessa. Jos tuo olisi parasta mitä suomalaiset pankit tarjoavat, harkitsisin vakavasti ylimääräisten rahojen säilyttämistä kotona.

Muutama suomalainen pankki käyttää SMS tunnistusta, mutta se toimii siten, että SMS viesti pyytää kirjoittamaan avainlukulistalta numeron. Joten pelkkä puhelimen hakkerointi tai numeron luvaton siirto toiselle sim kortille ei riitä suojauksen ohittamiseen vaan hakkerilla pitää olla myös avainlukulista hallussaan, koska muuten hän ei voi kirjoittaa pyydettyä numeroa.

 

[KoneenKokoaja]

Huomattavasti eSim:iä turvattomampi on fyysinen kortti, varsinkin jos sen pin on disabloitu, 0000 tai 1234 ja on altis "tilaa uusi kortti väärään osoitteeseen" -huijaukseen.

Ei onnistu ainakaan Elisalla, koska SIM kortti pitää aktivoida omaelisa palvelussa ennenkuin sillä voi tehdä mitään. Myöskään toisen nimissä olevan simkortin tilaaminen ei onnistu ilman kyseisen henkilön verkkopankkitunnuksia. Muista operaattoreista en tiedä kuulemma DNA tietoturva on ihan retuperällä näin olen ainakin kuullut siellä ehkä voi onnistua tuo.

Pin koodi on Elisalla vasta viimeinen suojaus ja senkin voi vaihtaa heti aktivoinin jälkeen haluamakseen.

 

[Infy]

Joulun aikaan OP:n ja S-Pankin puhelinsovellusten aktivointi tuli tehtyä. OP vaati verkkopankin käyttäjätunnuksen ja salasanan, sitten avainluku listalta ja vielä puhelimeen tullut varmistuskoodi päälle. S-Panki sovelluksen käyttäminen vaati samat asiat mutta sovelluksen pankkiosio vaati lisäksi vielä Suomi.fi tunnistautumisen.

 

[Humanoid]

Telegramissa on mahdollista saada selville käyttäjän sijainti selville yksinkertaisella kolmiopaikannuksella:

Telegram publishes users' locations online.

A few years ago, while using the Line app, I noticed a feature called "People nearby." The feature lets you connect with other Line users wi...

blog.ahmed.nyc

 

[=JP=]

Telegramissa on mahdollista saada selville käyttäjän sijainti selville yksinkertaisella kolmiopaikannuksella:

Telegram publishes users' locations online.

A few years ago, while using the Line app, I noticed a feature called "People nearby." The feature lets you connect with other Line users wi...

blog.ahmed.nyc

Kuitenkin huomiona, että kyseinen ominaisuus ei ole defaultina päällä, vaan vaatii käyttäjän sen aktivoimista kuitenkin!

If you enable the feature of making yourself visible on the map, you're publishing your home address online.

Tottakai tuosta pitäisi tulla selkeä varoitus asian suhteen, jos sen menee pistämään päälle, jota tieten ei tule. Eiköhän siellä kuitenkin Terms of Service dokumentissa jossain ole sopiva pykälä, jolla kehittäjä voi sitten puolustaa tuota väitettään, että ongelmaa ei ole, koska kyseessä "ominaisuus".

Kaikki location based palvelut, joissa etenkin on tuollainen muiden käyttäjien skannaus lähistöllä ominaisuus, mahdollistaa samantyylisen "hyökkäyksen". Koska oman sijainnin voi huijata hyvinkin helposti ja täten toteuttaa ns. kolmiopaikannuksen.

 

[Humanoid]

Kuitenkin huomiona, että kyseinen ominaisuus ei ole defaultina päällä, vaan vaatii käyttäjän sen aktivoimista kuitenkin!

If you enable the feature of making yourself visible on the map, you're publishing your home address online.

Tottakai tuosta pitäisi tulla selkeä varoitus asian suhteen, jos sen menee pistämään päälle, jota tieten ei tule. Eiköhän siellä kuitenkin Terms of Service dokumentissa jossain ole sopiva pykälä, jolla kehittäjä voi sitten puolustaa tuota väitettään, että ongelmaa ei ole, koska kyseessä "ominaisuus".

Kaikki location based palvelut, joissa etenkin on tuollainen muiden käyttäjien skannaus lähistöllä ominaisuus, mahdollistaa samantyylisen "hyökkäyksen". Koska oman sijainnin voi huijata hyvinkin helposti ja täten toteuttaa ns. kolmiopaikannuksen.

Huomiosi on oikea. Käyttäjiä täytyisi kyllä varoittaa tuollaisesta, mutta on myös Telegramin vastuulla, että tuo sijainti ilmoitettaisiin vaikkapa < 1 km, < 3 km tmv. skaalalla joka ei antaisi aivan niin tarkkoja tuloksia.

 

[ojisama]

Huomiosi on oikea. Käyttäjiä täytyisi kyllä varoittaa tuollaisesta, mutta on myös Telegramin vastuulla, että tuo sijainti ilmoitettaisiin vaikkapa < 1 km, < 3 km tmv. skaalalla joka ei antaisi aivan niin tarkkoja tuloksia.

Ja tuokin pitäisi fuzzata tai tuo tekee asiasta vain vähän hankalampaa... (Oikeastaan sekään tuskin riittää, jos resursseja löytyy..?)

 

[samim]

Eilakaislaan tehty tietomurto.

Työnvälitysyhtiö Eilakaisla joutunut kyberhyökkäyksen kohteeksi – kymmenientuhansien henkilötietoja saattanut joutua vääriin käsiin

Yritys sai lyhyen englanninkielisen uhkauksen hyökkayksen yhteydessä perjantaina.

yle.fi

 

[TenderBeef]

Nyt jysähti emävuoto: hakkerit väittävät ladanneensa ”Trump-fanien twitterin” kaikki käyttäjätiedot

Parler-viestipalvelun käyttäjätietojen väitetään vuotaneen hakkereiden käsiin.

www.tivi.fi

Moni Parlerin käyttäjä on luottanut palvelun tietoturvaan. He ovat tunnistautuneet palvelun prosessin mukaisesti ja lähettäneet ajokorttinsa kuvan verkkopalvelulle. Näistä tiedoista voi olla viranomaisille paljon hyötyä Washingtonin tapahtumien tutkinnassa.

 

[=JP=]

Hakkerit ottaneet kirjaimellisesti "munista kiinni" tässä hyökkäyksessä, kertoo jälleen, miten surkeita näiden IoT laitteiden suojataso on. Tuolla oleva kartta paljastaa, että Suomessakin on ollut käyttäjiä kyseisellä tuotteella (kyseinen kartta sisältää siis ihan pienen osan käyttäjistä, kun testattu miten helposti data on ollut saatavilla ja tuossa sample tulos).

Hacker used ransomware to lock victims in their IoT chastity belt

The source code for the ChastityLock ransomware that targeted male users of a specific adult toy is now publicly available for research purposes.

www.bleepingcomputer.com

Qiui Cellmante is a connected sex toy with a companion app to control its locking/unlocking via Bluetooth that is typically managed by someone else than the person wearing the device.
They found that making a request to any API endpoint did not require authentication and that using a six-digit "friend code" would return "a huge amount of information about that user," such as location, phone number, plain text password.
Luckily, some emergency escape possibilities were available. One of them was to contact remote support and ask them to unlock and reset the Cellmate. Another involved only a screwdriver to unlock the device manually, and Qiui posted a video showing how to do it. The latter came with voiding the warranty of the product.

 

[topiv]

Sain Ubiquitin sähköpostin, jossa se kertoo, että asiakastietoja on mahdollisesti vuotanut.

Uutinen on julkaistu monessa mediassa, esim:

Ubiquiti says customer data may have been accessed in data breach – TechCrunch

The networking gear maker said it "cannot be certain" that hackers didn't take user data.

techcrunch.com

But the company confirmed that it “cannot be certain” that customer data had not been exposed.

“This data may include your name, email address, and the one-way encrypted password to your account,” said the email to customers. “The data may also include your address and phone number if you have provided that to us.”

 

[80286]

Tässähän tuo oleellisin on: "Eduskunta on ulkoistanut sähköpostijärjestelmän ylläpidon Tiedolle."

2010 tuo oli vielä Fuijtsulla, silloinhan Fujitsun tytäryhtiön vuokratyöntekijä (vaikka uutisissa puhuttiin 'Fuijtsu Services Oyn' työntekijästä) kopioi Matti Vanhasen koneelta muistitikulle jonkin 'intiimikuvan" Vanhasesta ja Merikukka Forsiuksesta Vanhasen ja Merikukan intiimikuva varastettiin! | Lehti: Matti Vanhasen ja Merikukka Forsiuksen yksityiskuva varastettiin ja koetti kaupitella sitä iltapäivälehdille. Eri firma mutta merkilliset tietoturvakäytännöt eduskunnalla silloinkin jos pääministerin koneelta lataillaan tavaraa muistitikulle miten sattuu. Ei Tiedolla mene siiis sen paremmin ainakaan.

 

[user9999]

Adobe will no longer support Flash Player after December 31 2020, and Adobe will block Flash content from running in Flash Player beginning January 12 2021
Adobe strongly recommends all users immediately uninstall Flash Player to help protect their systems.

Release Notes Flash Player 32 AIR 32

Release Notes for Flash Player 32 and AIR 32

helpx.adobe.com

 

[Special Once]

Adobe will no longer support Flash Player after December 31 2020, and Adobe will block Flash content from running in Flash Player beginning January 12 2021
Adobe strongly recommends all users immediately uninstall Flash Player to help protect their systems.

Release Notes Flash Player 32 AIR 32

Release Notes for Flash Player 32 and AIR 32

helpx.adobe.com

Onneksi vanhemmalla Flashin versiolla ja vanhemmalla Firefoxin versiolla yhä toimii. Siis jos on välttämätön tarve ennen kun joku tekee täysin toimivan open source -version.

 

[user9999]

Microsoft Defender -tietoturvaohjelmistossa haavoittuvuus | Kyberturvallisuuskeskus

Päivitystiistaina julkaistujen haavoittuvuuksien joukosta nousee esiin erityisesti Microsoft Defenderin haavoittuvuus CVE-2021-1647. Microsoft Defender päivittää yleisesti itsensä automaattisesti, mutta on syytä tarkastaa päivityksen tapahtuneen.

www.kyberturvallisuuskeskus.fi

Microsoft Defenderin haavoittuvuus CVE-2021-1647 mahdollistaa etänä suoritettavat komennot kohteena oleviin laitteisiin. Haavoittuvuuden hyväksikäyttö on mahdollista hyökkääjän luoman haitallisen tiedoston avulla. Suosittelemme tarkistamaan päivityksen asentuneen välittömästi, koska Microsoft on kertonut havainneensa jo haavoittuvuuden hyväksikäyttöä maailmalla.

 

[user9999]

Alkaa olemaan Applen laitteidenkin osalta tilanne se, että yksityisyydestä on turha puhua.

Jeffrey Paul: Your Computer Isn't Yours

Lyhyesti:

Lisäksi:

Apple apps on macOS Big Sur bypass firewall and VPN connections • Apple Terminal

Since the original publication of this article, macOS Big Sur has exited beta and been released to the public. Despite this, there is no indication that Apple

appleterm.com

Jännä nähdä onko kyseessä bugi vai ihan ominaisuus.

Tähän tullut näköjään muutos eilen julkaistussa macOS Big Sur 11.2 Beta 2 versiossa.

macOS Big Sur 11.2 beta 2 removes filter that lets Apple apps bypass third-party firewalls

Back in November, some developers raised concerns due to a change in macOS Big Sur, which allowed Apple apps to bypass firewall filters in any situation. Since this could lead to security and privacy breaches, Apple has removed this list of exceptions from macOS Big Sur 11.2. After some macOS...

9to5mac.com

An internal file has been added on macOS Big Sur with something called “ContentFilterExclusionList,” which is a list of several Apple apps and services that can bypass any firewall installed on the Mac. This includes the App Store, FaceTime, the software update service, and even the Music app.

Since these apps and services were bypassing the firewalls, users could no longer block them or even monitor them to see how much data Apple apps were transferring or what IP addresses they were communicating with. Worse than that, it was revealed that hackers could create malware that abuses these “excluded items” to bypass the firewall.

Luckily, security researcher Patrick Wardle revealed today that Apple has removed these exceptions for its apps with macOS Big Sur 11.2 beta 2 — which was released today for developers and users registered in the Public Beta program.

 

[=JP=]

Windowsista (ehkä kaikista versioista) löydetty NTFS-tiedostojärjestelmästä haavoittuvuus, joka pahimmassa tapauksessa korruptoi koko levyn datan. Tästä on vähän ristiriitaisia raportteja, oletettavasti riippuu monestakin eri asiasta, miten vakava ongelma tuosta syntyy loppujen lopuksi. Joissakin tapauksissa selviää säikähdyksellä, kun CHKDSK ajo korjaa ongelman hetkessä uudelleenkäynnistyksen jälkeen.

Windows 10 bug corrupts your hard drive on seeing this file's icon

An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.

www.bleepingcomputer.com

In multiple tests by BleepingComputer, this one-liner can be delivered hidden inside a Windows shortcut file, a ZIP archive, batch files, or various other vectors to trigger hard drive errors that corrupt the filesystem index instantly.

Eli aikas ilkeä juttu ja nyt kannattaa olla tarkkana, ettei esimerkiksi lataile ihan mitä tahansa ZIP -tiedostoja, joissa ilkeä yllätys sisällä. Ikävä kyllä Internet on täynnä näitä "hauskoja ihmisiä", jotka saattaa huvikseen noita levitellä esimerkiksi.
Lisäksi kovasti testaillaan, että voisiko tuon bugin triggeröidä jopa selaimen sisältä pahimmassa tapauksessa!

Katsellaan tilannetta, varmuuskopiot kuntoon varulta...

 

[Special Once]

voisiko tuon bugin triggeröidä jopa selaimen sisältä pahimmassa tapauksessa

Voi vallan hyvin. Testasin virtuaalikoneella, jokseenkin välittömästi green screen. Bootin jälkeen kyllä toimi taas, eli ainakaan uusimmassa Windowsin Insider-versiossa mitään ei tapahdu.

Ja tosiaan tuo ei vaadi edes adminin oikeuksia. Toimii ihan normikäyttäjällä.