Tietoturvauutiset ja blogipostaukset

Tuo vastaamon keissi on vielä liiankin tuoreessa muistissa ja miettiny sitä silloin tällöin, mutta nyt hoksasin että tässä saattaa kyteä vielä suurempi aikapommi. Nimittäin vakuutusyhtiöt. Tarkennetaan vielä vähän, ja otetaan esimerkiksi eläkeyhtiöt. Tuo vastaamokeissi oli vielä aika kevyttä tavaraa verrattuna tuohon kytevään aikapommiin jota kukaan ei taida valvoa. Muutenkin vakuutusyhtiöillä on jo pitkään ollut "vapaat kädet" toimia miten haluaa ja kun mietitään miten laajasti heillä on dokumenttiä kaikista ja kaikesta.

Vastaamon terapeutit ei varmaankaan pitänyt mitenkään tarkkoja potilaskertomuksia kannassaan, ehkä suuntaa antavia en tiedä varmuudella tietenkään sanoa kun ei ole sitä kokemusta vastaamon toiminnasta. Mutta eläkeyhtiöt jotka myöntävät esimerkiksi sairaseläkkeitä, saavat kaikki paperit kaikesta ja kaikista. Siellä on niissä tarkat diagnoosit ja potilaskertomukset, lääkärien lausunnot ihan kaikki mitä voi vaan olla olemassa. Ja kyllä, se on ihan ymmärrettävää että näin on jos ihmiset haluaa hakea sairaseläkettä tai jotain muuta vastaavaa että heille pitää dokumenttia lähettää käsiteltäväksi. Suomessa on sairaseläkkeellä tai sairaseläkkeen hakijoita tai muuta hakijoita aivan käsittämätön määrä joka tekee tuosta vastaamon keissistä kevyen oloisen jos vakuutusyhtiöiltä alkaa tietoja vuotamaan.

Mutta se mietityttää nyt että eläkeyhtiöitä taitaa olla suomessa 2. Ja niissä tuskin on sen paremmin tietoturvaan panostettu kuin vastaamossakaan. Tai ylipäätään missään vakuutusyhtiössä. Ihmisiä ne on siinä missä muutkin tai yrityksiä siinä missä muutkin ja raha ratkaisee aina kaiken varsinkin vakuutusyhtiöillä. Voisin kyllä väittää että tietoturva on jokaisella yhtä levällään kuin vastaamossa ja on vain ajan kysymys kun aikapommi räjähtää käsiin.

Vastaamo oli jo hyvä kenraaliharjoitus jonka jälkeen olisi pitäny tapahtua vauhdilla asioita, mutta mitään konkreettista en ole huomannut asioille tapahtuvan. Olisi kiva tietää mitä asioiden eteen tehdään ja koska. Koska nyt eletään semmoista aikaa että tietoturvaa ei ole yksinkertaisesti varaa vain ohittaa. Enää ei voi ajatella tai tuudittautua ajatukseen että "ei suomessa näin tapahdu koskaan", tai että "tää on jo vähän liian amerikkaa". Nyt muutaman vuoden sisään on niin monta kertaa toteen näytetty että se amerikkakin tapahtuu myös täällä.

Toivon tietysti että asia olisi toisin, mutta samalla pelkään pahaa että näin ei ole. Tietoturva kuitenkin maksaa, ja useimmat yritykset kuten vastaamo herää varmasti vasta siinä vaiheessa kun paska on tipahtanu jo housuun.
Toivon että olen väärässä.

Onko olemassa jokin laki joka pakottaisi yritykset satsaamaan tietoturvaan ja ylläpitämään sitä vaikka 2xvuodessa ja tekemään selontekoa tilanteesta ? Millään muullahan tuo ei tule koskaan muuttumaan kuin pakottamisella. Niin kauan siitä tullaan laistamaan kun ei ole pakko. Tehdään tarvittavat vain ja sen jälkeen se unohdetaan ja sitten käy vastaamot.
 
Tuo vastaamon keissi on vielä liiankin tuoreessa muistissa ja miettiny sitä silloin tällöin, mutta nyt hoksasin että tässä saattaa kyteä vielä suurempi aikapommi. Nimittäin vakuutusyhtiöt. Tarkennetaan vielä vähän, ja otetaan esimerkiksi eläkeyhtiöt. Tuo vastaamokeissi oli vielä aika kevyttä tavaraa verrattuna tuohon kytevään aikapommiin jota kukaan ei taida valvoa. Muutenkin vakuutusyhtiöillä on jo pitkään ollut "vapaat kädet" toimia miten haluaa ja kun mietitään miten laajasti heillä on dokumenttiä kaikista ja kaikesta.

Vastaamon terapeutit ei varmaankaan pitänyt mitenkään tarkkoja potilaskertomuksia kannassaan, ehkä suuntaa antavia en tiedä varmuudella tietenkään sanoa kun ei ole sitä kokemusta vastaamon toiminnasta. Mutta eläkeyhtiöt jotka myöntävät esimerkiksi sairaseläkkeitä, saavat kaikki paperit kaikesta ja kaikista. Siellä on niissä tarkat diagnoosit ja potilaskertomukset, lääkärien lausunnot ihan kaikki mitä voi vaan olla olemassa. Ja kyllä, se on ihan ymmärrettävää että näin on jos ihmiset haluaa hakea sairaseläkettä tai jotain muuta vastaavaa että heille pitää dokumenttia lähettää käsiteltäväksi. Suomessa on sairaseläkkeellä tai sairaseläkkeen hakijoita tai muuta hakijoita aivan käsittämätön määrä joka tekee tuosta vastaamon keissistä kevyen oloisen jos vakuutusyhtiöiltä alkaa tietoja vuotamaan.

Mutta se mietityttää nyt että eläkeyhtiöitä taitaa olla suomessa 2. Ja niissä tuskin on sen paremmin tietoturvaan panostettu kuin vastaamossakaan. Tai ylipäätään missään vakuutusyhtiössä. Ihmisiä ne on siinä missä muutkin tai yrityksiä siinä missä muutkin ja raha ratkaisee aina kaiken varsinkin vakuutusyhtiöillä. Voisin kyllä väittää että tietoturva on jokaisella yhtä levällään kuin vastaamossa ja on vain ajan kysymys kun aikapommi räjähtää käsiin.

Vastaamo oli jo hyvä kenraaliharjoitus jonka jälkeen olisi pitäny tapahtua vauhdilla asioita, mutta mitään konkreettista en ole huomannut asioille tapahtuvan. Olisi kiva tietää mitä asioiden eteen tehdään ja koska. Koska nyt eletään semmoista aikaa että tietoturvaa ei ole yksinkertaisesti varaa vain ohittaa. Enää ei voi ajatella tai tuudittautua ajatukseen että "ei suomessa näin tapahdu koskaan", tai että "tää on jo vähän liian amerikkaa". Nyt muutaman vuoden sisään on niin monta kertaa toteen näytetty että se amerikkakin tapahtuu myös täällä.

Toivon tietysti että asia olisi toisin, mutta samalla pelkään pahaa että näin ei ole. Tietoturva kuitenkin maksaa, ja useimmat yritykset kuten vastaamo herää varmasti vasta siinä vaiheessa kun paska on tipahtanu jo housuun.
Toivon että olen väärässä.

Onko olemassa jokin laki joka pakottaisi yritykset satsaamaan tietoturvaan ja ylläpitämään sitä vaikka 2xvuodessa ja tekemään selontekoa tilanteesta ? Millään muullahan tuo ei tule koskaan muuttumaan kuin pakottamisella. Niin kauan siitä tullaan laistamaan kun ei ole pakko. Tehdään tarvittavat vain ja sen jälkeen se unohdetaan ja sitten käy vastaamot.
Varmaan sulla on esittää jotain todellista näyttöä tuolle sun musta tuntuu väitteelle? Pohjola vakuutus samaa firmaa Op pankin kanssa ja asiointi tapahtuu verkkopankin kautta kaikille asiakkaille jne.. eli varmaan tietoturva tosi retuperällä.
 
Varmaan sulla on esittää jotain todellista näyttöä tuolle sun musta tuntuu väitteelle? Pohjola vakuutus samaa firmaa Op pankin kanssa ja asiointi tapahtuu verkkopankin kautta kaikille asiakkaille jne.. eli varmaan tietoturva tosi retuperällä.
Sekö tarkoittaa että palvelimilta ei voi vuotaa koskaan vuotaa mitään ?

edit: Täytyykö nykyään olla jotain todellista näyttöä ennenkuin voi tuntemuksiaan tai ylipäätään kirjoittaa foorumille ?
En väittäinyt kirjoittamaani todeksi vaan esitin huoleni sekä kyseenalaistin asioita kai...
 
Viimeksi muokattu:
Ehkä olen naiivi, mutta uskoisin että esim. Ilmarisella on panostettu tietoturvaan hieman eri tasolla kuin jollain kaiken maailman vastaamoilla ja virittelyillä.

Toki, kaikkeen päässee käsiksi kun on laittaa resursseja, mutta mitkään script kidsit tuskin onnistuvat.
 
Ehkä olen naiivi, mutta uskoisin että esim. Ilmarisella on panostettu tietoturvaan hieman eri tasolla kuin jollain kaiken maailman vastaamoilla ja virittelyillä.

Toki, kaikkeen päässee käsiksi kun on laittaa resursseja, mutta mitkään script kidsit tuskin onnistuvat.
Minäkin oletin että potilastiedot olisi turvattu suomessa mutta vastaamo pyyhki sen harhaluulon nopeasti pois. Ei vastaamokaan tarvinnut resursseja kovinpaan paljoa kun tiedot vuoti, eli huonolla tuurilla ilmarisen palvelimet on root salasanan takana ja sen löytänyt kiittää ja kumartaa kun vie ilmariselta tiedot "parempaan" talteen. Eihän se varmasti ihan näin yksinkertaista ole mutta ei voi kukaan sanoa että se on mahdotonta enää kuten vastaamo ja eduskunnan tietomurto osoitti. Keinoja on niin monia kuin on koodaajiakin.

Ilmarista ei taida mikään tehdä paremmaksi (tietoturvan osalta) kuin vastaamoa, yritys se on siinä missä muutkin ja virheitä tahallisia tai vahinkoja sattuu siinä missä muillakin. Sori että tartuin nyt ilmariseen, yritän sanoa että tietoturvassa monella kotimaisella yrityksellä on sama tilanne enkä pelkästään väitä että ilmarisella jotenkin näin siis vain olisi.
 
Viimeksi muokattu:
voisin kuvitella että ketään ketä vähänkään seuraa csec maailmaa, kuten sysadminit, ovat tässä välissä tehneet omat johtopäätöksensä ja toimineet sen mukaisesti.
vähintään isot firmat ovat varmasti auditoineet omat järjestelmänsä vastaamon johdosta
 
voisin kuvitella että ketään ketä vähänkään seuraa csec maailmaa, kuten sysadminit, ovat tässä välissä tehneet omat johtopäätöksensä ja toimineet sen mukaisesti.
vähintään isot firmat ovat varmasti auditoineet omat järjestelmänsä vastaamon johdosta
Tai sitten ei koska se maksaa aina rahaa ja sitten luotetaan siihen oman väen it osaamiseen joka saattaa johtaa toiseen vastaamon laiseen tapahtumaan. Luotetaan vain että kyllä meidän it väki on hoitanu kaiken tarpeellisen.
Aika pelottava ajatus jos asiat on tuolla mallilla, toki siellä voi jossain ollakkin niin hyvää it porukkaa että ei tule ongelmia koskaan. Anteeksi ei ole tarkoitus tietenkään väheksyä kenenkään taitoja varsinkin kun omat taidot luokkaa nolla.

Mutta jos firma ei näytä vihreätä valoa vaikka auditoinnille niin sitä rahaa ei silloin siihen laiteta ja homma jää siihen sitten ? Ei se taida se tietoturva mitenkään halpaa lystiä olla.

Edit: Ei taida olla olemassa tarpeeksi suuria pelotteita yrityksille että tietoturvaa pidettäisiin yhtenä tärkeimmistä asioista yrityksissä ? On varmasti poikkeuksia eikä tämä päde kaikkiin tietenkään. Julkisissa sairaaloissa voisin kuvitella asioiden olevan hallussa, mutta lähes kaikki muu epäilyttää...
 
Viimeksi muokattu:
tuo mitä haet takaa ei ole ihan niin mustavalkoista kuin kuvittelet.
homma ei riipu pelkästään siitä että "on hyvä it porukka" tai "rahasta kiinni", vaikka sillä on merkitys myös suuremmassa kontekstissa. tietoturva ei ole niin kallista kuin arvelet sen olevan.
arvioisin että se on enemmän työntekijöiden (rivijantterista toimariin) mentaliteetista kiinni. jos tietoturvaan suhtaudutaan välinpitämättömästi latvasta juureen ei ne pelotteetkaan hirveämmin kiinnosta, mennään aina mistä aita on matalin.
toisaalta jos yrityksessä vallitsee mielentila että tietoturva on olennainen osa päivittäistä työskentelyä, niin luonnollisesti jokainen tekee osansa. ja kaikki sektorilla työskentelevät tietää että heikon lenkki jokaisessa järjestelmässä on se ihminen.

case vastaamo oli myös suhteellisen poikkeuksellinen tapaus huomioiden datan arkaluontoisuuden, rahallisen hyödyn ja aiemman tietomurron vuoksi.
olet oikeassa että asialle pitäisi tehdä toimenpiteitä, mutta miten meinaat valvoa ja ylläpitää niitä uusia lakeja?
 
Edit: Ei taida olla olemassa tarpeeksi suuria pelotteita yrityksille että tietoturvaa pidettäisiin yhtenä tärkeimmistä asioista yrityksissä ? On varmasti poikkeuksia eikä tämä päde kaikkiin tietenkään. Julkisissa sairaaloissa voisin kuvitella asioiden olevan hallussa, mutta lähes kaikki muu epäilyttää...
Tuolta voi käydä katsomassa, mitä mm. tietomurto maksaa: GDPR Enforcement Tracker - list of GDPR fines
 
Nissanin käyttämän Bitbucket git-lähdekoodipalvelimen tunnus ja salasana olivat admin/admin, jota kautta vuodettiin mm. mobiilisovellusten lähdekoodien lisäksi osia Nissanin ASIST-diagnostiikkatyökaluista, Dealer-markkinointijärjestelmän ja portaalin lähdekoodi, Nissan/Infiniti NCAR/ICAR -palvelun lähdekoodi, asiakkaiden hankinta- ja retentiotyökalut, myynti- ja markkinointityökalut lähdekoodeineen ja datoineen, erinäisten markkinointityökalujen lähdekoodit, autojen logistiikkaportaalin lähdekoodi, Nissanin autojen iot:n lähdekoodi, sekä lukuisten muiden sisäiseen käyttöön tarkoitettujen työkalujen lähdekoodeja.

 
Nissanin käyttämän Bitbucket git-lähdekoodipalvelimen tunnus ja salasana olivat admin/admin, jota kautta vuodettiin mm. mobiilisovellusten lähdekoodien lisäksi osia Nissanin ASIST-diagnostiikkatyökaluista, Dealer-markkinointijärjestelmän ja portaalin lähdekoodi, Nissan/Infiniti NCAR/ICAR -palvelun lähdekoodi, asiakkaiden hankinta- ja retentiotyökalut, myynti- ja markkinointityökalut lähdekoodeineen ja datoineen, erinäisten markkinointityökalujen lähdekoodit, autojen logistiikkaportaalin lähdekoodi, Nissanin autojen iot:n lähdekoodi, sekä lukuisten muiden sisäiseen käyttöön tarkoitettujen työkalujen lähdekoodeja.

Tätä tuossa ylempänä juuri tarkoitin, luulis että Nissanilla olisi varjeltu liikesalaisuuksia hieman paremmin mutta ihmiset ovat erehtyväisiä ja vahinkoja sattuu. Se on vain ajankysymys enää milloin Kelasta tai jostain vakuutusyhtiöstä karkaa vähän enemmän haitallista potilastietomateriaalia kuin vastaamosta. Kela ehkä on vielä valvottukin mutta ei sekään mahdotonta ole, kun taas yrityksiä ei taida valvoa kukaan.

@Ragnarokkr
Miten ois laki joka velvoittaa aluehallintavirastot/kyberturvallisuuskeskuksen valvomaan omilla alueillaan yrityksiä ? Luokat 1-5 , luokkaan 1 sairaalat ja vakuutusyhtiöt kela ym(sekä yksityiset terveydenhuollon laitokset), luokkaan 2 vähemmän tietenkin riskimmät yritykset vaikka verkkokaupat ja luokat 3,4 ja 5 jne. Jotkut voi jäädä ulkopuolelle esimerkiksi yhden miehen rakennusfirma nyt on melkolailla riskitön tai 1 ihmisen grillikioski.

Sitten luokat 1-2 tekevät selonteon virastolle 2x vuodessa, sekä luokat 3-4 1x vuodessa, ja luokka 5 tekee 1x3:ssa vuodessa. Ja ulkopuolelle jäävät tekevät mitä lystäävät tietoturvansa kanssa, eli ne 1 miehen rakennusfirmat tms.

Ei se voi olla niin vaikeaa, tuolla tehtäis heittämällä aika monta työpaikkaakin lisää kun valvojiaj pitäisi työllistaa sekä saada jonkunlainen auditoinnit jonkun kotimaisen firman avulla. Tuottaishan se lisää päänvaivaa yrityksen vetäjille mutta se voi olla pieni paha siihen verrattuna mitä voi tapahtua. Yleensä hyökkäyksetkin huomataa usein vasta kuukausien viiveillä tai jopa vuosien.

Niin, onneksi en ole säätämässä lakeja enkä eduskunnassa. Varmasti tuossa hätäisessä suunnitelmassa on 1000aukkoa mutta se nyt oli vain esimerkki kun pyysit. Lisäksi pitäisi saada jo lapsille kouluun pakolliseksi ehkä yläasteelle tietoturvapuolta, alakouluille verkon vaaroista oppitunteja. Pienestä se lähtee nykyään ja nyt tämä alkaa levähtämään käsiin koko ehdotus mutta siitä se lähtee. En vain ole nähnyt mitään tälläistä vaikka olen seurannut tuttujen eri ikäisten lasten ja nuorten koulunkäyntiä.

Edit: vielä en yhtään ihmettele kun seuraan tuon nuorison growtopia pelaamista kun käyttäjä ja salasana on tyyliä "nissan nissan1". Kumma juttu että aikusena salasanat on yhtä vahvoja kuten "admin admin"...
ps. ei se vastaamo case ollu yhtään poikkeuksellinen, se oli vain ajankysymys. Ja tästä mennää vain huonompaan suuntaan jos asiat ei parane jollain.
 
Viimeksi muokattu:
^ Karmiva idea, selonteot on yhtä tyhjän kanssa ilman auditointia. Kuinka monta kymmentä tuhatta se auditointi sitten maksaisi?
Niin se varmasti oli karmiva idea, tarkoitin kyllä että siinä tehtäisiin auditointeja myös. Mutta koska en työskele alalla, en hinnoista voi sanoa mitään olen vain huolestunut kansalainen muiden joukossa jolla ei ole mitään haisua mistään tietoturvajutuista. Mutta selvähän se on että kaikki maksaa.
 
Heti kättelyssä tuossa ideassa nousee ongelmia. KRPn kyberkeskuksella on vähän tärkeämpää tekemistä jahdatessa gangstereita kuin suorittaa ja valvoa auditteja yksityisille firmoille.
Ei siellä ole budjettia eikä henkilöstöä tarpeeksi tuohon hommaan, ja vaikka heidän mandaattiin kuuluu valtakunnallisen tietoturvan ylläpito, ei nykyinen lainsäädäntö taikka budjetti sitä tue.
Mitä tulee tuohon luokitteluhommaan niin valtakunnallisesti kriittiset järjestelmät ovat jo automaagisesti mikroskoopin alla, sairaaloista sähköverkkoihin ja telejärjestelmiin.

Olen samaa mieltä siinä että pitäisi varmaan laittaa lakialoite aiheesta "tietoturvavalvontakomissio" jonka täysimittainen funktio on tehdä näitä auditointeja/toimenpiteitä jonka päämääränä on varmistaa yleinen tietoturvallisuus valtakunnassa, mutta välittömästi nousee ongelma lainsäädännön, budjetin ja muiden aspektien kautta.
Esmes, miksi veronmaksajaa kiinnostaisi kustantaa yksityisten lafkojen tietoturvapoikkeamien havainnointi ja korjaus?
Toki voisi myös samaan syssyyn heittää että mikäli vakavia poikkeamia tai riskejä havaitaan, kuten että jos case vastaamo olisi havaittu ennen häppeninkiä niin lasku olisi tämän kattanut.

Eniten haluaisin henkkoht. että nuo yksityiset firmat ketkä käsittelevät kansalaisten tietoja olisivat syynäyksen alaisena mutta se ei kyllä kuulu myöskään poliisille vasta kuin tutkintavaiheessa.

tämä nyt oli vähän tämmönen oksennus asian tiimoilta, josta pahoittelen.

edit;;
lyhyesti: ei kuulu poliisille, tarvitaan erillinen virasto, mutta kuka haluaa tuota kustantaa?
 
Heti kättelyssä tuossa ideassa nousee ongelmia. KRPn kyberkeskuksella on vähän tärkeämpää tekemistä jahdatessa gangstereita kuin suorittaa ja valvoa auditteja yksityisille firmoille.
Ei siellä ole budjettia eikä henkilöstöä tarpeeksi tuohon hommaan, ja vaikka heidän mandaattiin kuuluu valtakunnallisen tietoturvan ylläpito, ei nykyinen lainsäädäntö taikka budjetti sitä tue.
Mitä tulee tuohon luokitteluhommaan niin valtakunnallisesti kriittiset järjestelmät ovat jo automaagisesti mikroskoopin alla, sairaaloista sähköverkkoihin ja telejärjestelmiin.

Olen samaa mieltä siinä että pitäisi varmaan laittaa lakialoite aiheesta "tietoturvavalvontakomissio" jonka täysimittainen funktio on tehdä näitä auditointeja/toimenpiteitä jonka päämääränä on varmistaa yleinen tietoturvallisuus valtakunnassa, mutta välittömästi nousee ongelma lainsäädännön, budjetin ja muiden aspektien kautta.
Esmes, miksi veronmaksajaa kiinnostaisi kustantaa yksityisten lafkojen tietoturvapoikkeamien havainnointi ja korjaus?
Toki voisi myös samaan syssyyn heittää että mikäli vakavia poikkeamia tai riskejä havaitaan, kuten että jos case vastaamo olisi havaittu ennen häppeninkiä niin lasku olisi tämän kattanut.

Eniten haluaisin henkkoht. että nuo yksityiset firmat ketkä käsittelevät kansalaisten tietoja olisivat syynäyksen alaisena mutta se ei kyllä kuulu myöskään poliisille vasta kuin tutkintavaiheessa.

tämä nyt oli vähän tämmönen oksennus asian tiimoilta, josta pahoittelen.

edit;;
lyhyesti: ei kuulu poliisille, tarvitaan erillinen virasto, mutta kuka haluaa tuota kustantaa?
Ainahan se on ollut niin että budjettia ei tahdo löytyä mutta sitten kun koetaankin se tarpeelliseksi niin alkaa rahaakin ja haluakin löytymään. Kerrankin hallituskin voisi tehdä jotain ajoissa eikä silloin kun valahti jo housuun...Hyvin kirjoitit, en vain näe noita lainsäädäntöjuttujakaan ongelmana jostainhan se pitäisi kuitenkin aloittaa ja lainsäädäntö on se paras aloitus niin loput menee lähes itsestään :) Ei sitä huomiseksi saa, mutta kun edes yritettäisiin niin ehkä lasten ei tarvitsisi miettiä tämmöisiä isompana. Paitsi että silloin on jo aivan uudenlaiset uhkakuvat.

Edit Kyllä tähän kuitenkin jotain paljon suurempaa sääntelyä tarvitaan, se on ihan selvä se.
 
Viimeksi muokattu:
Suomi.fi tunnistautuminen ilmaiseksi, siihen kylkeen joku lista tarkistettavia ja dokumentoitavia asioita (jollakin uhkasakolla, että pitää olla noin hakuvaiheessa) , niin ainakin teoriassa perusteet kunnossa, porkkanalla varustettuna?
 
Foorumimurtoja satelee. Tällä kertaa vuorossa ovat OpenWRT ja IObit:



OpenWRT:n foorumille on ollut mahdollista kirjautua myös GitHubin tunnuksilla. Jos joku on käyttänyt koko foorumia, kannattaa vaihtaa salasanan ja toivoa ettei samaa passua ole muuallakin käytössä. :)
 
Window 10 on löytynyt tietoturvabugi jolla voi korruptoida silmänräpäyksessä windowsin tiedostojärjestelmän käyttökelvottomaksi verkko-osoittteella tai zip paketilla, joka syöttää koneeseen bugin laukaisevan koodin. Koodin laukeiseminen onnistuu ihan normaaleja tiedostorajapintoja käyttämällä eikä vaadi ylläpitäjän oikeuksia, joten mikä tahansa kirjoitusoperaatio voi sen laukaista.


Nyt jos koskaan kannattaisi ottaa image käyttöjärjestelmä levystä ja luoda palautus media valmiiksi niin vahingot jäävät pieniksi jos ilkeämielinen koodi tuhoaa tiedostojärjestelmän. Bugipaikkaus tähän tulee vasta viikkojen päästä. Tällöin palauttaminen onnistuu minuuteissa muussa tapauksessa kaiken uudelleen asentaminen voi olla pitempikin homma.
 
Window 10 on löytynyt tietoturvabugi jolla voi korruptoida silmänräpäyksessä windowsin tiedostojärjestelmän käyttökelvottomaksi verkko-osoittteella tai zip paketilla, joka syöttää koneeseen bugin laukaisevan koodin. Koodin laukeiseminen onnistuu ihan normaaleja tiedostorajapintoja käyttämällä eikä vaadi ylläpitäjän oikeuksia, joten mikä tahansa kirjoitusoperaatio voi sen laukaista.


Nyt jos koskaan kannattaisi ottaa image käyttöjärjestelmä levystä ja luoda palautus media valmiiksi niin vahingot jäävät pieniksi jos ilkeämielinen koodi tuhoaa tiedostojärjestelmän. Bugipaikkaus tähän tulee vasta viikkojen päästä. Tällöin palauttaminen onnistuu minuuteissa muussa tapauksessa kaiken uudelleen asentaminen voi olla pitempikin homma.

Postattu jo perjantaina: Tietoturvauutiset ja blogipostaukset
 
Eikä tuon hyödyntäminen javascriptin kautta ole niin yksinkertaista että jokainen script kiddie sen osaisi tehdä. Ei se riitä että sivun html-koodin laitetaan kyseinen pätkä.
 
Dnsmasq ohjelmistossa haavoittuvuuksia

Esim. Pihole korjannut.

Edit: OpenWRT
 
Viimeksi muokattu:
Dnsmasq ohjelmistossa haavoittuvuuksia

Esim. Pihole korjannut.

Edit: OpenWRT

pfSense-käyttäjien ei tarvitse olla huollissaan, elleivät ole ottaneet sitä jälkikäteen käyttöön. :)

"DNSMasq is not enabled by default in pfSense."



ps. SolarWindsin casessa löydettiin uutta malwarea: Raindrop: New Malware Discovered in SolarWinds Investigation
 
Viimeksi muokattu:
MyFreeCams käyttäjien (huom. premium ja diamond statuksella olevia käyttäjiä vain ilmeisesti + kenellä ollut tuon sivuston omaa valuuttaa käytössä, ainakin jutun mukaan mutta kuka tietää...) tietoja netissä:

 
Viimeksi muokattu:
Netissä pyörii haittaohjelma nimeltään "FreakOut", joka yrittää tehdä Linux-koneista bottiverkon:

Yllättäen otsikko antaa pahemman kuvan tilanteesta, kuin se todellisuudessa on. Eli tuo tarttuu ainoastaan kolmessa tapauksessa, mitkä ei mielestäni edes ole kovin yleisiä peruskäyttäjän kannalta.

The attacks are aimed at Linux devices that run one of the following products, which all have relatively new vulnerabilities that are exploited by the FreakOut malware if the products have not being patched:
  • TerraMaster TOS (TerraMaster Operating System), a well-known vendor of data storage devices
  • Zend Framework, a popular collection of library packages, used for building web applications
  • Liferay Portal, a free, open-source enterprise portal, with features for developing web portals and websites
 
Yllättäen otsikko antaa pahemman kuvan tilanteesta, kuin se todellisuudessa on. Eli tuo tarttuu ainoastaan kolmessa tapauksessa, mitkä ei mielestäni edes ole kovin yleisiä peruskäyttäjän kannalta.

The attacks are aimed at Linux devices that run one of the following products, which all have relatively new vulnerabilities that are exploited by the FreakOut malware if the products have not being patched:
  • TerraMaster TOS (TerraMaster Operating System), a well-known vendor of data storage devices
  • Zend Framework, a popular collection of library packages, used for building web applications
  • Liferay Portal, a free, open-source enterprise portal, with features for developing web portals and websites

Joo ihan totta. Ajattelin kuitenkin jakaa varmuuden varalta kun en tiedä miten laajasti noi on käytössä Suomalaisissa yrityksissä ja niitä yritysten admineja täällä pyörii kuitenkin jonkun verran :).
 
Joo ihan totta. Ajattelin kuitenkin jakaa varmuuden varalta kun en tiedä miten laajasti noi on käytössä Suomalaisissa yrityksissä ja niitä yritysten admineja täällä pyörii kuitenkin jonkun verran :).
Juu, ei siinä mitään että näistä ilmoittelee, mutta kannattaa pikkasen avata jo itse viestissä, että kyse ei ehkä ole niin kauheasta vaarasta, kuin nuo linkkien otsikot antaa kuvan. Ikävä kyllä on mennyt tuo nykyinen klikkien metsästys lähes jokaisella sivustolla pahasit poskelleen, kaippa ne mainosrahojen perässä ovat.

Luulin, että ny on tullut kunnon malware, joka leviää Linux koneeseen helposti, ilman että siellä pitää olla asennettuna joku just tietty softa, joista en ole ikinä kuullutkaan. :)
 
0-päivähaavoittuvuuksia tietyissä SonicWallin tuotteissa.
 
Pahoittelut että on semisti off-topic, mutta on kuitenkin aika on-topic.
Ajattelin että tästä langasta voisi löytyä asiasta kiinnostuneita. Toisaalta, luulen myös, että tämän langan aktiivisille seuraajille, sarjassa ei kyllä ole mitään uutta.
Turvallisuus ja tietoturva on vaikeaa, erittäin vaikeaa, ellei mahdotonta.
 
Psykoterapiakeskus Vastaamon potilastiedot ilmestyivät jälleen keskiviikon vastaisena yönä Tor-verkkoon. Joku julkaisi linkin mahdollisesti lähes 32 000 potilaskertomusta sisältävään tiedostoon kahdella pimeässä verkossa toimivalla keskustelupalstalla.

Ylen tietojen mukaan ainakin osa julkaistuista potilastiedoista on aitoja eli luultavasti peräisin Vastaamon tietomurrosta. Tiedot on julkaissut nimetön käyttäjä anonyymin tiedostonjakopalvelun kautta ilman saatesanoja.
 
sudosta on löytynyt aika vakava haavoittuvuus. Tuo on jo korjattu ja päivitys on saatavilla kaikkiin yleisimpiin linux-distroihin, mutta huolestuttavinta on, että tuo on tainnut olla olemassa aika kauan

 
Tuossa vielä suomeksi tuosta sudo-haavoittuvuudesta:
 
sudosta on löytynyt aika vakava haavoittuvuus. Tuo on jo korjattu ja päivitys on saatavilla kaikkiin yleisimpiin linux-distroihin, mutta huolestuttavinta on, että tuo on tainnut olla olemassa aika kauan


Tuossa on ilmeisesti koodimuutos, joka tämän haavoittuvuuden aiheuttaa:
https://github.com/sudo-project/sudo/commit/8255ed69

En ole oikea henkilö analysoimaan tuota tarkemmin, mutta kommenteista sai vähän sen kuvan, että tällainen ei ole asianmukaista tietoturvan kannalta erittäin kriittisessä ohjelmassa.

e: Ja OpenBSD näköjään korvasi sudon toisella työkalulla (doas) 2016. Ovat varmaan tehneet johtopäätöksensä tietoturvan tasosta.
https://www.infoworld.com/article/3...s-security-by-losing-linux-compatibility.html
 
En ole oikea henkilö analysoimaan tuota tarkemmin, mutta kommenteista sai vähän sen kuvan, että tällainen ei ole asianmukaista tietoturvan kannalta erittäin kriittisessä ohjelmassa.
Mielenkiintoisin kommentti ketjussa on, että oliko tämä tarkoituksella tehty backdoor (vai täysin epäonnistunut ja turha "optimointi")
 
Tuossa on ilmeisesti koodimuutos, joka tämän haavoittuvuuden aiheuttaa:
https://github.com/sudo-project/sudo/commit/8255ed69

En ole oikea henkilö analysoimaan tuota tarkemmin, mutta kommenteista sai vähän sen kuvan, että tällainen ei ole asianmukaista tietoturvan kannalta erittäin kriittisessä ohjelmassa.

e: Ja OpenBSD näköjään korvasi sudon toisella työkalulla (doas) 2016. Ovat varmaan tehneet johtopäätöksensä tietoturvan tasosta.
https://www.infoworld.com/article/3...s-security-by-losing-linux-compatibility.html
OpenBSD:n kehittäjät taitaa tehdä aika usein tällaista, että jos jokin ohjelma on niiden mielestä huonolaatuinen niin sitä ei oteta mukaan järjestelmään. Ja välillä ne myös kirjoittaa jonkin uuden ohjelman jos toteavat, että olemassa olevat vaihtoehdot on paskaa (esim. openssl -> libressl). Vaikka se käyttöjärjestelmänä onkin monella tavalla aika vanhanaikainen niin tuota panostusta laatuun täytyy kyllä arvostaa, kehittäjät on selvästi periaatteen miehiä.
 
No nyt on vähän vakavammasta Linux, BSD, Solaris (saattaa levitä myös AIX ja Windows) malwaresta kyse, joka tällä hetkellä tiete kohdentuu isompiin laitoksiin.

Näyttäisi jopa Suomestakin löytyneen tuota, ainakin kartan mukaan, sen tarkempia tietoja ei ole.
Myöskään miten tuo leviää ei ole kerrottu sen tarkemmin. Mutta koska se myöskin varastaa SSH käyttäjätunnuksia, niin oletettavasti niitä hyödyntäen sitten manuaalisesti tuota "rikolliset" levittää, eli mikään vapaasti itsestään leviävä tuo ei ole, joten ei tarvii pelätä siinä mielessä omien palvelimien suhteen.

malware that has been targeting high performance computing (HPC) clusters, among other high-profile targets.

small, yet complex, malware that is portable to many operating systems including Linux, BSD, Solaris, and possibly AIX and Windows.

generic backdoor in the sense that it contains broad commands that don’t reveal the intent of the attackers. In short, Kobalos grants remote access to the file system, provides the ability to spawn terminal sessions, and allows proxying connections to other Kobalos-infected servers.

Kobalos is embedded in the OpenSSH server executable (sshd) and will trigger the backdoor code if the connection is coming from a specific TCP source port. There are other stand-alone variants that are not embedded in sshd. These variants either connect to a C&C server that will act as a middleman, or wait for an inbound connection on a given TCP port.

unique is the fact that the code for running a C&C server is in Kobalos itself

In most systems compromised by Kobalos, the SSH client is compromised to steal credentials.
The presence of this
credential stealer may partially answer how Kobalos propagates.
 
Google poisti "The Great Suspender" selainlaajennuksen, haittaohjelman vuoksi:


Täytyy kyllä myöntää, että en ole itse ikinä kuullutkaan :D mutta aika vähän käytän näitä laajennuksia chromella (Vivaldi), uBlock Origin ja siinä se onkin.
 
Ollut nyt useitakin tapauksia, joissa jokin suosittu selaimen laajennus on myyty, asiasta ei ilmoiteta käyttäjiä mitenkään ja sitten lisätään "ominaisuuksia", jotka yleensä ei ole tietoturvan/yksityisyyden kannalta hyviä. Yleensä mainos/tracker, mutta on noita pahempiakin tapauksia ollut...

Muutenkin noiden laajennoksien kanssa kannattaa olla tarkkana, eikä vaan summassa asenna!
 
Ollut nyt useitakin tapauksia, joissa jokin suosittu selaimen laajennus on myyty, asiasta ei ilmoiteta käyttäjiä mitenkään ja sitten lisätään "ominaisuuksia", jotka yleensä ei ole tietoturvan/yksityisyyden kannalta hyviä. Yleensä mainos/tracker, mutta on noita pahempiakin tapauksia ollut...

Muutenkin noiden laajennoksien kanssa kannattaa olla tarkkana, eikä vaan summassa asenna!
Niin kuin vanha sanonta menee:

"Selaimesi on yhtä turvallinen kuin sen laajennukset."
 
Apple käyttäjille sitten varoitus, aikas ilkeä bugi Big Sur asennusohjelmassa, saattaa johtaa datan katoamiseen.
macOS Big Sur installer isn’t checking whether the Mac’s internal storage has enough free space. As the system initiates the update process, the Mac becomes unresponsive, and data can be permanently corrupted.

bug affects macOS Big Sur 11.2 installer and even macOS Big Sur 11.3 beta installer. At the same time, this doesn’t affect OTA updates

Apple says upgrading to macOS Big Sur for the first time requires at least 35.5 GB of available storage — and this doesn’t include the 13 GB macOS Big Sur installer. Unfortunately, even if your Mac does not have 35.5 GB of storage available, macOS will try to install the Big Sur update, and that’s when users may lose all their data.
 
Viimeksi muokattu:
Apple käyttäjille sitten varoitus, aikas ilkeä bugi Big Sur asennusohjelmassa, saattaa johtaa datan katoamiseen
Hyvä Apple, hyvä! Jos asennus jostain syystä onnistuu, akku vaurioituu kelvottomaksi. Melkein luulisi, että nyt on malware valloillaan
 
Keskusteluohjelma Clubhousessa tieto käyttäjän liittymisestä keskusteluhuoneeseen päätyy selkokielisenä Kiinaan. Tämä siitä syystä, että keskustelun audiopuolen tiedonsiirrosta vastaa Shanghaissa toimiva Agora-nimien yritys. Kuka tahansa muukin voi tiedon napata matkalla sillä ne menevät tavallisina UDP-paketteina. Clubhouse lupaa korjata ongelmat, ja palkata ulkopuolisen tiimin tarkastamaan tilannetta.
 
Microsoftin analyysin mukaan Solarwind hakkeroinissa käyttettävät sovellukset ovat niin edistyineita ja omaavat niin paljon ominaisuuksia, että softan kehittämiseen vaaditaan vähintään 1000 insinööriä. Tämä käytännössä tekee mahdottomaksi, että hakkeroinnin takana olisi mikään muu kuin joku valtio, koska tuollaisen operaation pyörittäminen maksaa jo maltaita kun henkilökuntaakin pitää olla tuon verran.

 
Apple käyttäjille sitten varoitus, aikas ilkeä bugi Big Sur asennusohjelmassa, saattaa johtaa datan katoamiseen.
macOS Big Sur installer isn’t checking whether the Mac’s internal storage has enough free space. As the system initiates the update process, the Mac becomes unresponsive, and data can be permanently corrupted.

bug affects macOS Big Sur 11.2 installer and even macOS Big Sur 11.3 beta installer. At the same time, this doesn’t affect OTA updates

Apple says upgrading to macOS Big Sur for the first time requires at least 35.5 GB of available storage — and this doesn’t include the 13 GB macOS Big Sur installer. Unfortunately, even if your Mac does not have 35.5 GB of storage available, macOS will try to install the Big Sur update, and that’s when users may lose all their data.
Eilen on julkaistu uusi versio macOS Big Sur 11.2.1 (20D75), jossa korjattu tuo bugi.
 
Brave-selaimen Tor-implementaatio vuotaa Onion-osoitteet selaimen ulkopuolelle DNS-palveluntarjoajalle. Tämä vahvistaa edelleen sitä sääntöä, että Tor-verkon selaus kannattaa tehdä sillä ihan oikealla Tor-selaimella.
 
Ransomwaren kohteena tällä kertaa TietoEVRY Finnish IT Giant Hit with Ransomware Cyberattack

Threatpost sanoi:
Norwegian business journal E24 reported the attack on Espoo, Finland-based TietoEVRY on Tuesday, claiming to have spoken with Geir Remman, a communications director at the company. Remman acknowledged technical problems with several services that TietoEVRY provides to 25 customers, which are “due to a ransom attack,” according to the report.
 

Statistiikka

Viestiketjuista
257 526
Viestejä
4 475 661
Jäsenet
73 945
Uusin jäsen
JsKK

Hinta.fi

Back
Ylös Bottom