Tietoturvauutiset ja blogipostaukset

Voi GDPRkin estää tuon käytön muihin tarkoituksiin (annoit maksamista varten, niin Google ei saa käyttää tunnistamiseen).

Onneksi nsfwyoutube tms. ohittaa tuon ainakin vielä.
 
No antamalla pankkikortin tiedot toistamiseen riittää, ei tarvitse mitään kopioita passista tms. lähettää.

Tässä on se huvittava piirre, että jos maksukortin tiedot syöttämällä on tarkoitus todistaa käyttäjän olevan 18 täyttänyt, niin eihän se mitään käyttäjän iästä todista. Käyttäjän ikä ei ilmene kortin tiedoista eikä maksutapahtuman yhteydessä. Maksukortin voi Suomessa hankkia pikkulapsellekin useammasta pankista. Esim. OP-Visa Basic toimii verkkomaksuihin ja sen ikäraja on 7 vuotta. Missään pankissa ikäraja ei ole 18 vuotta, vaan kaikissa matalampi.
 
Tässä on se huvittava piirre, että jos maksukortin tiedot syöttämällä on tarkoitus todistaa käyttäjän olevan 18 täyttänyt, niin eihän se mitään käyttäjän iästä todista. Käyttäjän ikä ei ilmene kortin tiedoista eikä maksutapahtuman yhteydessä. Maksukortin voi Suomessa hankkia pikkulapsellekin useammasta pankista. Esim. OP-Visa Basic toimii verkkomaksuihin ja sen ikäraja on 7 vuotta. Missään pankissa ikäraja ei ole 18 vuotta, vaan kaikissa matalampi.
Voi olla että riippuu kortistakin. Luottokortti joka minulla on, ei saa alle 18 vuotias.

(Minun moka siis kirjoittaa alun perin "pankkikortti", en tajunnut ajatella depit kortteja yms.)
 
Voi olla että riippuu kortistakin. Luottokortti joka minulla on, ei saa alle 18 vuotias.

Seuraavissa Reddit-ketjuissa on kommentteja, joiden mukaan alaikäisten debit-kortit ovat toimineet:

Tähän hulluuteen näyttää olevan syynä EU:n Audiovisual Media Services Directive (AVMSD). Euvostoliiton byrokraatit nauttivat kun pääsevät kyykyttämään kansalaisia keksimällä aina uusia turhaakin turhempia säännöksiä.
 
Onneksi ei ollut kummoinen temppu imasta toi Subscription lista Youtubesta ja importata se tohon Freetube. Ny on siellä sitten oman profiilin alla, ollut aiemmin jo tuo käytössä, niin siellä on erinäisten profiilien alla kanavia, joita seurannu harvemmin. Helppo noin kategoroida ja täten helpottaa tietyn aiheen videoiden seuraamista.

Tietenkin näissä kolmannen osapuolen hommissa on se vaara, että Google tekee muutoksia järjestelmiin, niin joutuu odottelemaan päivityksiä, onneksi yleensä erittäin nopeasti nuo korjaavat noihin.
 
Google tiukentaa vähän lisää Androidissa mainonnan seurantaa loppuvuodesta eteenpäin...
As part of Google Play services update in late 2021, the advertising ID will be removed when a user opts out of personalization using advertising ID in Android Settings. Any attempts to access the identifier will receive a string of zeros instead of the identifier. To help developers and ad/analytics service providers with compliance efforts and respect user choice, they will be able to receive notifications for opt-out preferences. Additionally, apps targeting Android 12 will need to declare a Google Play services normal permission in the manifest file.

Eli jos käyttäjä on poistanut käytöstä henkilökohtaisen mainosIDn asetuksista, niin nyt se "nollataan" täysin, eikä enää loppuvuodesta pääse siihen käsiksi. Tähän mennessä se ID on ollut olemassa, ja sovellukset on siihen päässyt käsiksi halutessaan, mutta Google itse ei ole näyttänyt personoituja mainoksia sen perusteella.
 
TikTok jatkaa myös mielenkiintoista tyyliään, nyt se alkaa keräämään käyttäjistään biometristä dataa, mutta onneksi vain USAssa, koska siellä ei ole sopivia lakipykäliä estämään sitä (vielä ainakaan)!
The new terms in the app’s US Privacy Policy enables it to collect biometric identifiers such as “faceprints and voiceprints.”

Mutta mistä sitä tietää jos "vahingossa" keräävät muiltakin tuota dataa sivussa...
 
Saksassa alkaa menee hurjaksi meno myös ja mielenkiintoiset nimet ovat alkaneet "taistelemaan" tuota vastaan...
- One of the curious aspects of Germany's surveillance activities is the routine use of so-called "state trojans"
- lets intelligence agencies get around end-to-end encryption without needing backdoors in the code. Instead, the trojan sits at one end of the conversation, outside the encryption, which lets it eavesdrop without any problem.
- The bill to amend the law on the protection of the [German] constitution is about to be passed by the grand coalition [of the CDU/CSU and SPD parties].
- Federal Police Act will also be passed, which will not only allow the authorities to use state trojans, but will also give them the power to hack people who have not committed a crime or are suspected of having done so.
- The new law would require Internet service providers to cooperate actively in installing trojans on their customers' devices.
 
Jos kotona pyörii se PiHole tai joku muu vastaava palvelin, niin siihen voi laittaa pyörimään oman henkilökohtaisen Whoogle hakusivuston, joka siis "puhdistaa" turhat Googlen hakukoneen käytöstä. Varsinkin, jos löytyy Docker systeemit, niin parissa minuutissa saa pystyyn, mutta löytyy ohjeet monelle eri tavalle asentaa. Myöskin ihan julkisiakin instansseja on olemassa, jos haluaa testata taikka jaksa alkaa asentelee.

Get Google search results, but without any ads, javascript, AMP links, cookies, or IP address tracking. Easily deployable in one click as a Docker app, and customizable with a single config file. Quick and simple to implement as a primary search engine replacement on both desktop and mobile.
 
Aika massiivinen operaatio missä salattu viestintä murrettiin.
Eli supply chain security ja huijaus-sovellukset kalahtivat sitten ovelasti nilkkaan. Sinänsä hatunnosto pyörittäjille, että saivat moisen fake appin noin hienosti syötettyä kohderyhmälle. Hyvä esimerkki siitä, miten helppoa kryptaukset on murtaa ja tietoturva vaarantaa.
Aina kun koodaa jotain em. systeemeitä, päällimmäinen fiilis on se, että se on vain yksi pienen pieni muutos ja turvallinen muuttuu täysin turvattomaksi, mutta sellaisella tavalla, ettei sitä käytännössä kukaan huomaa.

Tarkempaa tietoa löytyy sitten täältä:
 
Viimeksi muokattu:
Astetta isompi salasanavuoto:

100GB kokoinen .txt-tiedosto jossa on yli 8 miljardia salasanaa:

Tuota saatetaan käyttää tulevissa brute force hyökkäyksissä.

Tämähän ei sisällä mitään uusia vuotoja, vaan koostaa seuraavat listat yhteen läjään:
Modet muokatkoon listan pois, jos rikkoo jotain sääntöä.
 
Viimeksi muokattu:
Hyvä esimerkki siitä, miten helppoa kryptaukset on murtaa
En kyllä kutsuisi tätä keissiä kryptauksen murtamiseksi. Kysehän oli siitä, että insiderin kautta päästiin sisään.

US and Australian officials decided to run their own service on top of Anøm (also stylized as AN0M), an encrypted chat platform that the FBI had secretly gained access to through an insider.
 
En kyllä kutsuisi tätä keissiä kryptauksen murtamiseksi. Kysehän oli siitä, että insiderin kautta päästiin sisään.

Jep, BBC:n jutussa kerrottiin seuraavasti, eli jenkki-tyyliin on päästetty joku pienemmällä tuomiolla ja sitä kautta on saatu koko palvelu viranomaisten haltuun:
Officials reportedly took control of a communications firm called ANOM around three years ago, after a convicted criminal promised them access to it in return for a more lenient sentence.

Anømilla oli webisivuillaan aika huvittava (nyt kun tietää että olivat itse viranomaisia) ohjeistus viranomaisten tietopyyntöjä varten. Tarkoituksena selvästi lisätä luottamusta krimisten keskuudessa. Löytyy vielä Googlen cachesta: https://webcache.googleusercontent....rcement-guidelines+&cd=16&hl=fi&ct=clnk&gl=fi

Palvelun mainostetut ominaisuudet ovat listattuna tuolla: https://webcache.googleusercontent....es-does-anom-offer+&cd=13&hl=fi&ct=clnk&gl=fi
 
Saksassa alkaa menee hurjaksi meno myös ja mielenkiintoiset nimet ovat alkaneet "taistelemaan" tuota vastaan...
- One of the curious aspects of Germany's surveillance activities is the routine use of so-called "state trojans"
- lets intelligence agencies get around end-to-end encryption without needing backdoors in the code. Instead, the trojan sits at one end of the conversation, outside the encryption, which lets it eavesdrop without any problem.
- The bill to amend the law on the protection of the [German] constitution is about to be passed by the grand coalition [of the CDU/CSU and SPD parties].
- Federal Police Act will also be passed, which will not only allow the authorities to use state trojans, but will also give them the power to hack people who have not committed a crime or are suspected of having done so.
- The new law would require Internet service providers to cooperate actively in installing trojans on their customers' devices.
Tämä sitten meni läpi Saksassa, eli kannattanee miettiä, mitä palveluja Saksasta hyödyntää. En kylläkään tiedä, miten tuo vaikuttaa ihmisiin, jotka siis ei ole Saksan kansalaisia, mutta käyttää jotain Saksassa pyöriviä palveluita, kuten esim. Tutanota, jonka itsekin otin testiin pari kuukautta sitten, onneksi en kuitenkaan siirtynyt siihen vielä. Voipi olla, että etsin toisen palvelun tämän jälkeen...

Tuolla lakipykällä saattaa olla todella merkittävät vaikutukset yksityisyyden kannalta!
Tuosta ei myöskään uutisoida laisinkaan kansainvälisellä tasolla jonkin syyn takia, en ole löytänyt yhtäkään englanninkielistä artikkelia päätöksestä. Etenkin kiinnostaa, miten tuo vaikuttaa palveluihin/yrityksiin, jotka myy Saksan ulkopuolelle tuotteita ja palveluita! Tässä on nyt paljon kysymysmerkkejä ilmassa, joten ei auta kuin jäädä odottelemaan lisätietoja...

Tuolta Reddit keskustelusta löytyy pikkasen lisätietoja:
with the redraft telecommunication services are now obliged to allow the addition of technical contraptions (State-trojan) that allow the rerouting of communications to the eligible agency. Furthermore are telecommunication services now obliged to allow access to their facilities in order to enable the establishment of devices that help in the execution of the monitoring.
 
Taitanut saksalaisilta jo unohtua itäsaksan aikaiset stasi muistot ihmisten kyttäyksestä kun kerta meni läpi.
Redditin kommenteissa hyvä pätkä:

This is just absolute insanity. How could anyone ever look at this and say "Oh yeah this is a great idea and nothing will go wrong at all"?
Well, that's the thing. People don't get to look at it.
The law will pass tomorrow. I just checked the front pages of a few of the largest German news outlets and ... nothing. No one is reporting on this, when it should be major headlines. And if they are, the articles are buried somewhere on the second or third page beneath all the latest Covid news.
On taas hyvä esimerkki kuinka paljon valtaa ja kuinka tietyt intressipiirit jotka omistavat mediatalot käyttävät sitä (suomessakin valtamedia, myös yle nykyään kun on ollut oikeistolaisvetoinen jo vuosia). Eräs aika tunnettu saksalainen sanoi: "You can’t change the masses. They will always be the same: dumb, gluttonous and forgetful."
 
Nyt kun tutkinut asiaa lisää, niin näyttäisi siltä, että Saksan korkein oikeus pitää vielä hyväksyä tuo, että tulee käyttöön, eli toivoa vielä on.
Tuo median pimennossa pitäminen on myöskin mielenkiintoinen asia...

Kyl tuolla ihmiset on kuitenkin alkanut miettimään, että miten tuo saattaa vaikuttaa kaikenlaisiin Saksassa oleviin palveluihin (Hetzner, Tutanota, Mailbox jne...), joita käytetään kansainvälisesti.
 
Have I Been Pwned sivusto on aloittanut yhteistyön Kyberturvallisuuskeskuksen kanssa.
 
Windows haittaohjelman avulla kerätty tiedostoja, kirjautumistietoja eri palveluihin sekä muuta materiaalia.
 
GPRS salaus oli tarkoituksella heikennetty 40 bittiin. Jää sitten jokaisen mietittäväksi oliko tuo vahingossa vai tarkoituksella.
Samalla voi miettiä, missä määrin tuollaiset jutut koskee nykyisiäkin salausmenetelmiä.

Mitä tuli noihin aikaisempiin Tutanota tms kommentteihin, niin uskon itse vahvasti sellaisin menetelmiin, jossa data on vain dataa ja salattua sellaista. Koska data ei kuulu millekään määritellylle käyttäjälle, ei datan seasta voida poimia jonkun tietyn käyttäjän dataa.

Periaatteessa siis kaikki palvelut jotka vaativat käyttäjän rekisteröitymistä tai tunnistamista edes pseudonyyminä ovat huonoja. Koska silloin on mahdollista kohdistaa toimenpiteitä tiettyyn käyttäjään.
 
GPRS salaus oli tarkoituksella heikennetty 40 bittiin. Jää sitten jokaisen mietittäväksi oliko tuo vahingossa vai tarkoituksella.
Samalla voi miettiä, missä määrin tuollaiset jutut koskee nykyisiäkin salausmenetelmiä.

...

Ihan mielenkiintoinen löytö. Amerikkalaisten vientirajoitukset rajasivat joskus käytettävien salausavaiten pituuden 40 bittiin. Tässä uskoteltiin jotain muuta, mutta vahingossa tai tahallaan salaus jäi melkein yhtä huonoksi kuin jos avain olisi ollut vain 40-bittinen.

Nykykoneilla tosin 64-bittinen avainkaan ei ole turvallinen edes "brute force"-hyökkäystä vastaan. Mahdollisia avaimia on 2^8 = 256 kertaa enemmän kuin 56 bitillä, ja 56-bittinen DES on tunnetusti murrettavissa "nopeasti" myös triviaalilla tavalla eli brute force-hyökkäyksellä. NSA:n kapasiteetilla 64 bittiä tuskin tuottaa ongelmia. 40-bittinen salausavain on hyödytön kotikonettakin vastaan.
 
Have I Been Pwned sivusto on aloittanut yhteistyön Kyberturvallisuuskeskuksen kanssa.

Minun yksi s.postiosoite on pawnattu, mitähän sitten pitäisi tehdä?
 
Minun yksi s.postiosoite on pawnattu, mitähän sitten pitäisi tehdä?
Vaihda salasana ja riippuen palvelusta, jos näyttää liitetyt laitteet, niin potkit kaikki pois (ja jos kyseinen palvelu näyttää, niin tarkistaa mistä kaikkialta tilille on kirjauduttu). Sitten tietenkin on mahdollista, että jos olet kyseistä osoitetta käyttänyt joissakin muissa sivustoissa, niin sen kautta on voitu mahdollisesti nollata sen salasana ja päästy sisään myös. Mahdollisuuksia on monia ja mahdotonta sanoa, mitä kaikkea on tehty ja voi olla mahdollista, että mitään ei ole tehty sinun kohdallasi.

Suosittelen ottamaan käyttöön 2FA kaikkialla, missä se on mahdollista (varmuuskopiot sitten kuntoon tämän osalta!)...
 
Ikäviä uutisia maailmalta puolijohdepula on alkanut iskeä pankki- ja luottokortteihin, sekä sim-korttien valmistajiin. Eikä kaikille halukkaille välttämättä enää riitäkään piirejä, jolloin kortteja ei pystytä uusimaan kun ne vanhenevat. Esim. itselläni on tilanne, jossa kaikki pankki ja luottokorttini ovat vanhenemassa tässä muutaman kuukauden sisällä enkä ole saanut mitään tietoa voidaanko ne uusia normaalissa aikataulussa. Tosin itselläni on mahdollisuus ottaa käyttöön mobiilimaksaminen älypuhelimella NFC lähimaksua tukevissa paikoissa jos kortteja ei saa uusittua ja kylmästi vain lopettaa kaikki asioiminen kaupoissa jotka eivät tue mobiilimaksamista. Se on voi voi jos firma ei tue sellaista maksujärjestelmää joka toimii ei voi muuta kuin viedä eurot muualle.


Mummoilla ja vaareilla, jotka eivät osaa käyttää mobiilimaksamista voi käydä huonommin kun ilman pankkikorttia ei pysty edes nostamaan käteistä. Toki pankin tiskiltä voi henkkareilla käydä hakemassa rahaa, mutta jos tästä tulee isompikin ongelma nuo palvelut ruuhkaantuvat nopeasti niin, että viikkojakaan jonottamalla ei saa käteistä, koska pankkikonttoriverkosto on saneerattu ihan minimaaliseksi eikä mitään valmiutta ole olemassa jos digitaaliset maksamisjärjestelmät eivät toimikaan piiripulan takia. Tässä tulee myös se ongelma, että jos henkkarit ovat vanhenemassa niitäkään ei välttämättä saa uusittua, koska ihan samoja piirejä niissä nykyään käytetään kuin maksukorteissa, joten piiripula iskee henkkareiden uusimiseenkin.

Toki sitä voi nostaa kaikki rahat käteiseksi ennenkuin kortit vanhenevat, mutta tämä aiheuttaa aika suuren turvallisuusriskin jos kotona on iso määrä käteistä siltä varalta, että ei tiedä voiko digimaksamiseen enää luottaa tälläisessä piiripula tilateessa. Itse olen sitä mieltä, että Suomessa pitäisi säätää laki, joka kieltää firmoja lopettamasta käteisen käyttöä maksuvälineenä, jotta koko kansantalous ei romahda jos digitaalinen maksamisjärjestelmään ei syystä tai toisesta voikaan luottaa.
 
Microsoft allekirjoitti malwarea luotettavana softana:



(Uutisvinkki @Kaotik)
 
Microsoft allekirjoitti malwarea luotettavana softana:



(Uutisvinkki @Kaotik)

Näissä jutuissa on mahdollista lahjottu / kiristetty työntekijä toiminut näin. Allekirjoitusavaimet vuotaneet ulkopuolisille. Katkeroitunut työntekijä, joka allekirjoittaa saatuneen ajurin kostoksi työnantajalleen. Myös inhimillinen erehdys tai Microsoftin tarkastusprosessi ei ole riittävän hyvä.
 
Zyxel on taas otsikkoissa. Kannattaa tarkistaa että omat laitteet ovat ajan tasalla.

 
Näissä jutuissa on mahdollista lahjottu / kiristetty työntekijä toiminut näin. Allekirjoitusavaimet vuotaneet ulkopuolisille. Katkeroitunut työntekijä, joka allekirjoittaa saatuneen ajurin kostoksi työnantajalleen. Myös inhimillinen erehdys tai Microsoftin tarkastusprosessi ei ole riittävän hyvä.

Näiden takia myös toimitusketju tiukkenee jatkuvasti, mm. Google tiukentaa sovelluskehittäjien vaatimuksia, esim. pakottaa 2FA:n ja tarkistaa sähköpostin ja puhelinnumeron.
 
Nyt on astetta järeämpi haavoittuvuus Windows-palvelimissa:

Active Directoryn kaappaus Print Spooler-servicen kautta. :)

 
Ruotsalainen päivittäistavarakauppaketju Coop on sulkenut lähes kaikki 800 myymäläänsä kyberhyökkäyksen jälkeen. Ketjun mukaan sen kassajärjestelmä lakkasi toimimasta palveluntarjoajaan kohdistuneen hyökkäyksen vuoksi.

Myös Ican omistamalla Apotek Hjärtat -apteekkiketjulla ja joillakin St1-myymälöillä on kerrottu olevan vastaavia ongelmia kassajärjestelmässään.
 
Yritysten (ja heidän alihankkijoiden) on kyllä pakko alkaa ottamaan tietoturvavakavasti. Luulisi siihen olevan yrityksillä halukkuutta jos miettii kuinka paljon rahaa menetettiin tuossakin jos 800 liikettä on jouduttu sulkemaan vaikka vain päiväksi.
 
Ruotsalainen päivittäistavarakauppaketju Coop on sulkenut lähes kaikki 800 myymäläänsä kyberhyökkäyksen jälkeen. Ketjun mukaan sen kassajärjestelmä lakkasi toimimasta palveluntarjoajaan kohdistuneen hyökkäyksen vuoksi.

Myös Ican omistamalla Apotek Hjärtat -apteekkiketjulla ja joillakin St1-myymälöillä on kerrottu olevan vastaavia ongelmia kassajärjestelmässään.
Taitaa liittyä tähän samaan hyökkäysaaltoon.


 
Toi Ylen artikkeli oli aika kevyt, kuten arvata saattaa. Tuo Coop:n osuus oli nyt vaan pikkujuttu tässä koko hässäkässä, joka on paljon isompi ja vakavampi:

Tuo 800 liikettä sulkeminen päiväksi on todennäköisesti hyvin pieni kulu kokonaiskustannuksiin nähden. Välilliset haitat voi olla paljon paljon suuremmat, joka usein tahtoo unohtua näissä tietoturva-ongelmissa.

Valitettavasti tämä johtaa juuri niihin asioihin mistä kyllä on tiedetty pitkään, eli jakeluketjun turvallisuus kysymyksiin. Aina kun joku kysyy onko X turvallinen, niin vastaus on, että aikalailla takuuvarmasti ei ole. Järjestelmien ja alustojen monimutkaisuus johtaa siihen, että on käytännössä mahdotonta tehdä mitään turvallista. Jos halutaan jotain turvallista, pitäisi lähteä aivan eri lähtökohdista, eli siitä turvallisuudesta liikenteeseen. Yleensä kun vaan halutaan, halvalla, nopeasti ja ketterää. Tietoturvaa sitten voidaan yrittää saada mukaan heittämällä plattari vaikka tietoturva muovipussiin.

Asia olisi ehkä selkeämpi jos todetaan, että käytännössä yksikään nykyinen puhelin tai tietokone (esim. television, wifi laitteet, jne) eivät ole lähelläkään turvallista kokonaisuutena. Eikä kyllä näillä näkymin koskaan tule olemaankaan. Tuon kun tiedostaa oikeasti, niin on helpompi elää, ei ole liikaa lutotamusta järjestelmiin.
 
Jos jollain on Netgearin laitteita käytössä, kannattaa tarkistaa onko laitteelle tarjolla uutta firmistä:

 
Laitetaan nyt tännekin, josko laajemmin lukijoita, eli iOS laitteilla on ilkeä bugi liittyen WLAN SSID nimeen, jos siitä löytyy esim. %s, %p taikka %n.
Oletettavasti pistää koko laitteen WLAN puolen jumiin ja ainoa ratkaisu on vetää puhelin sileäksi, jotta korjaantuu, eli siinä mielessä aikas paha!

Eli kannattaa varoa, voipi olla liikkeellä nyt vitsikkäitä herroja, jotka luo tuollaisia verkkoja tahallaan...

Kyllähän siinä hymy hyytyy, ku tuollainen löytyy ja vetää luurin jumiin ;)
%pFREEWIFI%sHERE%n
 
Laitetaan nyt tännekin, josko laajemmin lukijoita, eli iOS laitteilla on ilkeä bugi liittyen WLAN SSID nimeen, jos siitä löytyy esim. %s, %p taikka %n.
Oletettavasti pistää koko laitteen WLAN puolen jumiin ja ainoa ratkaisu on vetää puhelin sileäksi, jotta korjaantuu, eli siinä mielessä aikas paha!

Eli kannattaa varoa, voipi olla liikkeellä nyt vitsikkäitä herroja, jotka luo tuollaisia verkkoja tahallaan...

Kyllähän siinä hymy hyytyy, ku tuollainen löytyy ja vetää luurin jumiin ;)
%pFREEWIFI%sHERE%n
Helpotus, että ilmeisesti vain WLAN menee jumiin.

Jos oikein ymmärsin niin hyökkäys ei vaadi käyttäjältä toimia, eli hyökkäys tehoaa jos laite on tuollain nimetyn itseään kailottavan WLAN alueella .

Juttu ei kertonut miten tuota vastaan voi suojautua, riittääkö WLANin poiskytkeminen, vai pitää jotain muitakin asetuksia säätää, vai onnistuuko lainkaan.

Kuvaus oli vähän sekeva, kerrotaan että puhelimessa jumiin mennyt prosessi lopetetaan, mutta meneekö se prosessi johonkin kileto/mustalle listalle, koska WLAN toimintaa palauttamiseksi ohje oli koko puhelimen tyhjentäminen.

Varmuuskopiot kannattaa pitää sillä tasolla että ne saa viimeisteltyä 4Gllä.
 
Helpotus, että ilmeisesti vain WLAN menee jumiin.

Jos oikein ymmärsin niin hyökkäys ei vaadi käyttäjältä toimia, eli hyökkäys tehoaa jos laite on tuollain nimetyn itseään kailottavan WLAN alueella .

Juttu ei kertonut miten tuota vastaan voi suojautua, riittääkö WLANin poiskytkeminen, vai pitää jotain muitakin asetuksia säätää, vai onnistuuko lainkaan.

Kuvaus oli vähän sekeva, kerrotaan että puhelimessa jumiin mennyt prosessi lopetetaan, mutta meneekö se prosessi johonkin kileto/mustalle listalle, koska WLAN toimintaa palauttamiseksi ohje oli koko puhelimen tyhjentäminen.

Varmuuskopiot kannattaa pitää sillä tasolla että ne saa viimeisteltyä 4Gllä.
Vaihtoehtoisesti voi jättää epämääräisten Wifi-verkkojen käyttämisen (liittymisen) väliin. Langattomiin verkkoihin on muutenkin syytä suhtautua varauksella, tekikö niiden SSID-nimet jäyniä tai ei.
 
Vaihtoehtoisesti voi jättää epämääräisten Wifi-verkkojen käyttämisen (liittymisen) väliin. Langattomiin verkkoihin on muutenkin syytä suhtautua varauksella, tekikö niiden SSID-nimet jäyniä tai ei.
Tässä ei kai ollut liittymisestä kiinni, sillä linkissä jopa erikseen mainittiin että tietyn nimisen verkon löytyminen (kuuluvuusalueella) riittää laitteen wlan puolen kaatumiseen.

Se jäi epäselväksi miten tuota vastaan voi suojatua, jos meinaa luuria mukanaan kanniskella. (riittääköö WLANin pois kytkeminen)
 
Tässä ei kai ollut liittymisestä kiinni, sillä linkissä jopa erikseen mainittiin että tietyn nimisen verkon löytyminen (kuuluvuusalueella) riittää laitteen wlan puolen kaatumiseen.

Se jäi epäselväksi miten tuota vastaan voi suojatua, jos meinaa luuria mukanaan kanniskella. (riittääköö WLANin pois kytkeminen)
Kaatuuko laite vaikka Wifi on sammutettuna silloin kun sitä ei tarvitse?
 
Ainakin liittyminen aiheuttaa ongelmia, jonkinverran on juttua että pelkkä verkon näkyminen listalla aiheuttaisi ongelmia, mutta sitä ei käsittääkseni ole vahvistettu. Eiköhän tuosta tule lisää informaatiota, jos asia pahenee/laajenee.
Ja tuohon voi vaikuttaa monikin asia, käytettävä merkistö, region jne...
 
Nyt on astetta järeämpi haavoittuvuus Windows-palvelimissa:

Active Directoryn kaappaus Print Spooler-servicen kautta. :)

Viime yönä Microsoft julkaisi tähän paikkauksen, joka lopulta osoittautui osittaiseksi korjaukseksi. Paikallinen haavoittuvuus on siis yhä olemassa ts. varokaa scriptejä yms.

 

Uusimmat viestit

Statistiikka

Viestiketjuista
262 489
Viestejä
4 553 980
Jäsenet
74 993
Uusin jäsen
hollow

Hinta.fi

Back
Ylös Bottom