Tietoturvauutiset ja blogipostaukset

[ztec]

Ovat ilmeisesti UpCloudin (suomalainen firma) palvelimia. Kuten tekstissä todetaan, niin ei ole varmuutta että hostin palvelimet ovat hostin kotimaassa.
UpCloudin tapauksessakin iso osa IP:eistä viittaa whois-datan perusteella Suomeen, mutta palvelin voi olla Suomen sijaan Pohjois-Amerikassa, Australiassa, Singaporessa, Espanjassa, Englannissa, Hollannissa, Saksassa tai Puolassa.

Riippuu miten katsoivat, pelkkä AS numero ei sitä kerro, mutta sijaintitiedot on kyllä UpCloudilla hoidettu esimerkillisesti, eli ovat oikein. Jos palvelimen sijanniksi on ilmoitettu HEL1 tai HEL2 niin kyllä se silloin Suomessa on, sekä vastaavasti myös em. data centerin IP-range:t. UpCloudi kun hoitaa asiat poikkeuksellisen hyvin ja järjestelmällisesti, moniin muihin firmoihin nähden.

 

[ztec]

Oikein ja hyvin asennettuna, koneen ei pitäisi jatkuvasti olla kyselemässä tunnusten perään. Silloin kun se kysy, sillä on konkreettinen syy.

Kun se olisikin noin. mm. Windowssin TPM kikkailut aiheutti sitä, että salasanaa kyseltiin about vähintään 20 kertaa päivässä ja sen lisäksi vielä mm. levysalaus-avaimet vaihteli ihan miten sattui. - Mutta jooh, tää on oma tarinansa. Muita vastaavia keissejä on varmaan pilvin ja pimein.

 

[escalibur]

Ubuntun kohdalla korjattu käsittääkseni.

CVE-2021-33909 | Ubuntu

Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.

ubuntu.com

USN-5017-1: Linux kernel vulnerabilities | Ubuntu security notices | Ubuntu

Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.

ubuntu.com

Kuin myös Debianin:

CVE-2021-33909

 

[KoneenKokoaja]

Firefox poistaa tuen ftp tiedonsiirrolle seuraavasta selainversiostaan, johtuen ftp turvattomuudesta ja vanhentumisesta tekniikkana. Ftp siirtää tiedostoja salaamattomana verkon läpi. Tämän takia kuka tahansa välissä (man-in-the-middle hyökkäyksellä) voi lukea tiedoston sisällön, muokata tiedoston sisältöä lennossa tai lisätä tiedostoon lennossa vaikka haittaohjelman ennen kuin se saavuttaa käyttäjän. Kryptatuissa yhteyksissä tälläinen tiedonsiirron manipulointi ei onnistu, koska vain serveri ja vastaanottaja voivat lukea tiedonsiirtopaketit selväkielisinä.

Built-in FTP implementation to be removed in Firefox 90 – Mozilla Add-ons Community Blog

Firefox's built-in FTP implementation will be removed in Firefox 90. To offset this removal, 'ftp' has been added as a supported protocol handler for extensions.

blog.mozilla.org

Myös tuki http yhteyksille www sivujen siirrossa tulee poistumaan tulevaisuudessa firefoxista samoista syistä, koska https suojaa serverin ja käyttäjän välistä viestintää paremmin.

 

[Hyrava]

Firefox poistaa tuen ftp tiedonsiirrolle seuraavasta selainversiostaan, johtuen ftp turvattomuudesta ja vanhentumisesta tekniikkana. Ftp siirtää tiedostoja salaamattomana verkon läpi. Tämän takia kuka tahansa välissä (man-in-the-middle hyökkäyksellä) voi lukea tiedoston sisällön, muokata tiedoston sisältöä lennossa tai lisätä tiedostoon lennossa vaikka haittaohjelman ennen kuin se saavuttaa käyttäjän. Kryptatuissa yhteyksissä tälläinen tiedonsiirron manipulointi ei onnistu, koska vain serveri ja vastaanottaja voivat lukea tiedonsiirtopaketit selväkielisinä.

Built-in FTP implementation to be removed in Firefox 90 – Mozilla Add-ons Community Blog

Firefox's built-in FTP implementation will be removed in Firefox 90. To offset this removal, 'ftp' has been added as a supported protocol handler for extensions.

blog.mozilla.org

Myös tuki http yhteyksille www sivujen siirrossa tulee poistumaan tulevaisuudessa firefoxista samoista syistä, koska https suojaa serverin ja käyttäjän välistä viestintää paremmin.

Tuo http-yhteyksien tuen poisto vähän hirvittää kun on paljon laitteita joihin mennään suoraan kaapelilla kiinni ja selaimella konffaillaan http:n yli. Toivottavasti tuohon tulee sitten joku tapa millä noihin vanhoihin laitteisiin pääsee käsiksi, koska kaikkien ympäri maata olevien laitteiden päivittäminen ei tule kysymykseen. Ymmärrän kyllä hyvin että tavalliselle käyttäjälle tuo on kohtalainen tietoturvaparannus mutta vielä on olemassa paljon laitteita joiden konffauskäyttöliittymä ei vaan tue muuta kuin http:tä.

 

[Humanoid]

Tuo http-yhteyksien tuen poisto vähän hirvittää kun on paljon laitteita joihin mennään suoraan kaapelilla kiinni ja selaimella konffaillaan http:n yli. Toivottavasti tuohon tulee sitten joku tapa millä noihin vanhoihin laitteisiin pääsee käsiksi, koska kaikkien ympäri maata olevien laitteiden päivittäminen ei tule kysymykseen. Ymmärrän kyllä hyvin että tavalliselle käyttäjälle tuo on kohtalainen tietoturvaparannus mutta vielä on olemassa paljon laitteita joiden konffauskäyttöliittymä ei vaan tue muuta kuin http:tä.

Ja eipä tuo väliaikaisen testipalvelimien pyörittämien esim. Pythonilla ole kovinkaan vierasta puuhaa. HTTP:n yli sinnekin otetaan yhteys, jos jotain haluaa testailla. Pakkohan tuohon on tulla jokin keino, että sen saa halutessaan päälle.

 

[Tege]

Microsoft on taas otsikkoissa. Tällä kertaa joku huomasi että Windows 10:n SAM-tietokanta on saatavilla myös non-admin käyttäjille:



Asian voi tarkistaa ajamalla alla olevan komennon ei-admin tilassa

icacls c:\windows\system32\config\SAM

Mäsä julkaissut myös omat ohjeet korjaukseen

Windows 10:stä paljastui haavoittuvuus – ei vielä korjausta, mutta suojautuminen mahdollista

Windows 10 -käyttöjärjestelmästä on löytynyt ikävä tietomurroille altistava haavoittuvuus. Korjausta ei ole, mutta suojautua silti voi, Bleeping Com

mobiili.fi

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

 

[KoneenKokoaja]

Tuo http-yhteyksien tuen poisto vähän hirvittää kun on paljon laitteita joihin mennään suoraan kaapelilla kiinni ja selaimella konffaillaan http:n yli. Toivottavasti tuohon tulee sitten joku tapa millä noihin vanhoihin laitteisiin pääsee käsiksi, koska kaikkien ympäri maata olevien laitteiden päivittäminen ei tule kysymykseen. Ymmärrän kyllä hyvin että tavalliselle käyttäjälle tuo on kohtalainen tietoturvaparannus mutta vielä on olemassa paljon laitteita joiden konffauskäyttöliittymä ei vaan tue muuta kuin http:tä.

Jep tämä on kyllä jonkinlainen ongelma esim. itsellänikin on 3 vuotta vanha nettimodeemi, jonka hallita www-sivulle otetaan yhteysisäverkossa http kautta. Suuria riskejä sisäverkossa ei ole modeemini palomuuri on myös asetettu niin, että ulkopuolelta ei pitäisi päästä sisäverkkoon. Sanon ei pitäisi, koska en tiedä onko noissa mitään tietoturva-aukkoja.

Myös muut isoimmat selainvalmistajat ovat poistamassa tukea ftp:lle ja http:lle samoista syistä. Vaikka sinällään kyllä ymmärrän, että http halutaan eroon, koska suojaamatonta liikennettä voidaan kaapata tai manipuloida välillä paljon helpommin kuin salattua.

 

[=JP=]

Itsellä on vanha Firefox versio Portable muodossa, jolla voin tarvittaessa konffata paria vanhempaa purkkia, jos tarvetta.
Eli eipä tuo ny mikään iso ongelma ole, jos tarvii kerran/pari vuodessa, jos sitäkään...

 

[user9999]

Eilen ilmestyneessä iOS 14.7 Beta 5 on korjattu tuo Wifi SSID merkkijonobugi. Tuo iOS/iPadOS 14.7 voi ilmestyä aika pian.




Edit: Nyt tuosta on Macrumors sivustolla uutinen

Latest iOS 14.7 Beta Patches Bug That Disables iPhone's Ability to Connect to Wi-Fi

The latest beta for iOS and iPadOS 14.7, released to developers this week, patches a bug that disabled an iPhone's ability to connect to Wi-Fi if...

www.macrumors.com

Tuo Applen Wifi bugi on siis korjattu iOS/iPadOS 14.7 versioissa.

About the security content of iOS 14.7 and iPadOS 14.7 - Apple Support

This document describes the security content of iOS 14.7 and iPadOS 14.7.

support.apple.com

Wi-Fi
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Joining a malicious Wi-Fi network may result in a denial of service or arbitrary code execution
Description: This issue was addressed with improved checks.
CVE-2021-30800: vm_call, Nozhdar Abdulkhaleq Shukri

 

[user9999]

Firefox poistaa tuen ftp tiedonsiirrolle seuraavasta selainversiostaan, johtuen ftp turvattomuudesta ja vanhentumisesta tekniikkana. Ftp siirtää tiedostoja salaamattomana verkon läpi. Tämän takia kuka tahansa välissä (man-in-the-middle hyökkäyksellä) voi lukea tiedoston sisällön, muokata tiedoston sisältöä lennossa tai lisätä tiedostoon lennossa vaikka haittaohjelman ennen kuin se saavuttaa käyttäjän. Kryptatuissa yhteyksissä tälläinen tiedonsiirron manipulointi ei onnistu, koska vain serveri ja vastaanottaja voivat lukea tiedonsiirtopaketit selväkielisinä.

Built-in FTP implementation to be removed in Firefox 90 – Mozilla Add-ons Community Blog

Firefox's built-in FTP implementation will be removed in Firefox 90. To offset this removal, 'ftp' has been added as a supported protocol handler for extensions.

blog.mozilla.org

Myös tuki http yhteyksille www sivujen siirrossa tulee poistumaan tulevaisuudessa firefoxista samoista syistä, koska https suojaa serverin ja käyttäjän välistä viestintää paremmin.

Applen Safari ei ole mun muistin mukaan koskaan tukenut tuota ftp:tä. Finder tukee ja jos yrittää mennä Safarilla ftp osoitteeseen niin tulee seuraava ilmoitus.

Tiedä sitten miksi se on noin tehty

 

[teppomies]

Apple julkaissut iOS/iPadOS 14.7.1 ja macOS 11.5.1 versiopäivitykset, jotka korjaavat IOMobileFrameBufferista löytyneen haavoittuvuuden.

An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.

About the security content of macOS Big Sur 11.5.1 - Apple Support

This document describes the security content of macOS Big Sur 11.5.1.

support.apple.com

About the security content of iOS 14.7.1 and iPadOS 14.7.1 - Apple Support

This document describes the security content of iOS 14.7.1 and iPadOS 14.7.1.

support.apple.com

 

[pulatunnus]

Tuo http-yhteyksien tuen poisto vähän hirvittää kun on paljon laitteita joihin mennään suoraan kaapelilla kiinni ja selaimella konffaillaan http:n yli. Toivottavasti tuohon tulee sitten joku tapa millä noihin vanhoihin laitteisiin pääsee käsiksi, koska kaikkien ympäri maata olevien laitteiden päivittäminen ei tule kysymykseen. Ymmärrän kyllä hyvin että tavalliselle käyttäjälle tuo on kohtalainen tietoturvaparannus mutta vielä on olemassa paljon laitteita joiden konffauskäyttöliittymä ei vaan tue muuta kuin http:tä.

Kohta tarve selaimella jossa toimii peruskilkkeet ja jota ylläpidetään jotekin.
Mailma pullollaan palikoita joihin tarvitaa HTTP, FTP, jotain muita kikkuloita
Ja siihen myös se https tuki niin että ei väkisin yritetä estää pääsyä, koska sopiva sertifikaatti puuttuu.
IE palikka yhteensopivuus kaupanpäälle.

 

[escalibur]

Tuon hyökkäyksen takana olevalle ryhmälle mahdollisesti tapahtui jotain:

REvil ransomware gang's web sites mysteriously shut down

The infrastructure and websites for the REvil ransomware operation have mysteriously gone offline as of last night.

www.bleepingcomputer.com

Siellä ilmeisesti laitettiin kuviota uusiksi ja hommat jatkuu uudella nimellä:

BlackMatter Ransomware Emerges As Successor to DarkSide, REvil

BlackMatter is a new ransomware-as-service (RaaS) affiliate program that was founded in July 2021 and is a potential successor to DarkSide.

www.recordedfuture.com

 

[user9999]

Apple julkaissut iOS/iPadOS 14.7.1 ja macOS 11.5.1 versiopäivitykset, jotka korjaavat IOMobileFrameBufferista löytyneen haavoittuvuuden.

About the security content of macOS Big Sur 11.5.1 - Apple Support

This document describes the security content of macOS Big Sur 11.5.1.

support.apple.com

About the security content of iOS 14.7.1 and iPadOS 14.7.1 - Apple Support

This document describes the security content of iOS 14.7.1 and iPadOS 14.7.1.

support.apple.com

WatchOS 7.6.1 on myös julkaistu tänään ja sama korjaus.

Tietoja watchOS 7.6.1:n turvallisuussisällöstä - Apple-tuki (FI)

Tässä asiakirjassa kerrotaan watchOS 7.6.1:n turvallisuussisällöstä.

support.apple.com

 

[KoneenKokoaja]

Kohta tarve selaimella jossa toimii peruskilkkeet ja jota ylläpidetään jotekin.
Mailma pullollaan palikoita joihin tarvitaa HTTP, FTP, jotain muita kikkuloita
Ja siihen myös se https tuki niin että ei väkisin yritetä estää pääsyä, koska sopiva sertifikaatti puuttuu.
IE palikka yhteensopivuus kaupanpäälle.

Olen testaillut eri modeemeja niin uudemmat modeemit tukevat https only kirjautumista jonka saa asetuksista päälle halutessaan, mutta lähes poikkeuksetta selain herjailee sertifikaateista ja selain yrittää estää pääsyä modeemin hallintaan jos käyttää salattua yhteyttä. Vanhemmissa modeemeissa ei aina ole muuta kuin http ylläpitosivu. Noissa herjauksissa on se ongelma, että joku vähemmän tietotekniikkaa ymmärtämätön voi kuvitella olevansa suuressa vaarassa kun selain huutaa ikkuna punaisena suurta vaaraa ja kyselee varmistuksia jos https tulee ainoaksi tavaksi kirjautua.

 

[=JP=]

Eipä se TPM nyt sitten olekaan niin kauhean turvallinen, kuin annetaan ymmärtää, tottakai tämä hyökkäys vaatii todellakin fyysisen pääsyn koneelle, mutta monesti juurikin läppäri pöllitään ja sillä selvä. Tietenkin tämä on isompi vaara tuolla liike-elämä sun muissa ympäristöissä, jossa liikkuu rahaa pikkasen enemmän kuin jonkun yksityisen nörtin koneen sisällön takana. Mutta tämähän siis vaikka mahdollistaa viranomaisten pääsyn koneelle yllättävän helposti, jos epäillään sisältävän jotain laitonta jne...

From Stolen Laptop to Inside the Company Network — Dolos Group

What can you do with a stolen laptop? Can you get access to our internal network? That was the question a client wanted answered recently. Spoiler alert: Yes, yes you can. This post will walk you through how we took a “stolen” corporate laptop and chained several exploits together to get inside the

dolosgroup.io

The laptop was locked down well, with full disk encryption via a Trusted Platform Module (TPM) and Bitlocker being the cherry on top.
The laptop wasn’t configured to require a password or PIN to boot (default for BitLocker). In this configuration, the TPM automatically sends the encryption key to the boot loader during boot. This key is sent over an SPI interface in plaintext. All that is needed is to probe the SPI bus during boot. While the TPM is physically small enough to make this quite difficult, the SPI interface is a bus, meaning that it connects to multiple chips on the board. One of which is a CMOS chip, with much larger pins. The capture was successful, and they soon had access to the filesystem on the encrypted drive.
A pre-equipped attacker can perform this entire attack chain in less than 30 minutes with no soldering, simple and relatively cheap hardware, and publicly available tools.

 

[Sulava]

Eipä se TPM nyt sitten olekaan niin kauhean turvallinen, kuin annetaan ymmärtää, tottakai tämä hyökkäys vaatii todellakin fyysisen pääsyn koneelle, mutta monesti juurikin läppäri pöllitään ja sillä selvä. Tietenkin tämä on isompi vaara tuolla liike-elämä sun muissa ympäristöissä, jossa liikkuu rahaa pikkasen enemmän kuin jonkun yksityisen nörtin koneen sisällön takana. Mutta tämähän siis vaikka mahdollistaa viranomaisten pääsyn koneelle yllättävän helposti, jos epäillään sisältävän jotain laitonta jne...

Suositeltava tapa salauksessakin on käyttää multifactoria. Microsoftin Bitlocker-guidessa selvästi sanotaan, että TPM only voi altistaa hardware-tason haavoittuvuuksille ja best practice olisi käyttää PIN tai jotain muuta lisäauthentikaatiota. PIN olisi estänyt tämänkin hyökkäyksen. Eli kyllä oikein käytettynä TPM on varsin hyödyllinen.

 

[=JP=]

Suositeltava tapa salauksessakin on käyttää multifactoria. Microsoftin Bitlocker-guidessa selvästi sanotaan, että TPM only voi altistaa hardware-tason haavoittuvuuksille ja best practice olisi käyttää PIN tai jotain muuta lisäauthentikaatiota. PIN olisi estänyt tämänkin hyökkäyksen. Eli kyllä oikein käytettynä TPM on varsin hyödyllinen.

Ja siinähän se jutun ydin onkin, ikävä kyllä vaan tuntuu aina ne default asetukset jäävän voimaan suurimmalla osalla, vaikka onkin ohjeistukset/suositukset sitten jossain olemassa...

 

[KoneenKokoaja]

Suositeltava tapa salauksessakin on käyttää multifactoria. Microsoftin Bitlocker-guidessa selvästi sanotaan, että TPM only voi altistaa hardware-tason haavoittuvuuksille ja best practice olisi käyttää PIN tai jotain muuta lisäauthentikaatiota. PIN olisi estänyt tämänkin hyökkäyksen. Eli kyllä oikein käytettynä TPM on varsin hyödyllinen.

Ainakin itse olen nähnyt joissakin firmoissa käytettävän sellaisia USB porttiin kiinnitettäviä härpäkkeitä, jotka syöttävät yksilöllisen salausavaimen koneelle (en tiedä miksi niitä kutsutaan). Siihen päälle tarvitaan vielä käyttäjän näppäilemä PIN tai salausavain ja TPM ladattava salausavain, jotta se lopullinen salausavain, jolla levynsalaus aukeaa voidaan laskea. Jos mikä tahansa näistä puuttuu ei salausta pysty avaamaan. Vaikka hyökkääjä saisi TPM salausavaimen haltuunsa hän tarvitsee vielä sen USB portti härpäkkeen ja käyttäjän PIN, jotta pääsee levylle.

 

[ztec]

USB device on todnäk HSM eli Hardware Security Module, se on ihan se sama, mitä TPM tekee, tai SIM kortti tai muu älykortti kuten sirullinen maksukortti. Itse käytän useita vastaavia ja pidän niistä kovasti. Joskin nekin on hyvin haavoittuvaisia ja sen takia tarvitsevat myös jopa second tai third factorin. Esim. biometrinen tunnistus on todella huono idea valitettavain usein, vaikka sitä niin kovasti hehkutetaan. Samoin HSM modulit on osoitettu useita kertoja haavoittuvaisiksi puutteellisen suojauksen vuoksi.

Aina kun tehdään suojauksia, pitäisi miettiä, millaiset hyökkäysvektorit jää jäljelle. Paljon parempi kun syötetään kunnolliset salausavaimet joita ei ole tallennettu miihinkään vielä TPM:n lisäksi. Titeysti epäkäytännöllistä, mutta jos tiedot on tärkeitä, niin on varmaan sen arvoista.

Sivuviitteenä vaan biometrisestä kun puhuttiin - Amazon will pay you $10 in credit for your palm print biometrics – TechCrunch

Sitten toisenlaisesta tietoturva-aspektista asiaa katsoen, tämä voi kiinnostaa osaa käyttäjistä. Eli verkon anonyymi ja pimeä tulevaisuus: Nym - nymtech.net

 

[Humanoid]

Apple aikoo vastaisuudessa skannata jenkkien puhelimet laittoman kuvasisällön varalta. On vähän epäselvää perustuuko tuo pelkkien kuvien hashiin vai johonkin muuhun. Joka tapauksessa tuo avaa melkoisen aukon tietoturvan kannalta, jonka perään Apple on viime vuosina liputtanut.

EDIT: Toki tämä ei ole mitään uutta. Facebook on tehnyt samaa jo vuodesta 2011, eikä sovi unohtaa Microsoftia ja Googlea (2008 alkaen) ym.

Apple Plans To Scan US iPhones for Child Abuse Imagery - Slashdot

Apple intends to install software on American iPhones to scan for child abuse imagery, Financial Times is reporting citing people briefed on the plans, raising alarm among security researchers who warn that it could open the door to surveillance of millions of people's personal devices. From the...

apple.slashdot.org

 

[pulatunnus]

Ja siinähän se jutun ydin onkin, ikävä kyllä vaan tuntuu aina ne default asetukset jäävän voimaan suurimmalla osalla, vaikka onkin ohjeistukset/suositukset sitten jossain olemassa...

Onko tuosta jotain tilastoa, jos siis puhutaan firmoista jotka nykyisen lainsäädännön takia joutuvat oikeasti pitämään huolen.

Oman pienen mutun perusteella osa ainakin yrittää, osa vetää sitten toista laitaa.

 

[Agent_007]

Edgeen (Canary, Dev ja Beta) tullut uusi Super Duper Secure Mode -toiminto, joka parantaa selaimen tietoturvaa ottamalla Javascriptin JIT-kääntämisen pois käytöstä, jolloin hyökkääjät eivät voi hyödyntää noita JIT-kääntäjästä löytyviä tietoturvaongelmia

Super Duper Secure Mode

Introduction

microsoftedge.github.io

 

[Ormu]

Edgeen (Canary, Dev ja Beta) tullut uusi Super Duper Secure Mode -toiminto, joka parantaa selaimen tietoturvaa ottamalla Javascriptin JIT-kääntämisen pois käytöstä, jolloin hyökkääjät eivät voi hyödyntää noita JIT-kääntäjästä löytyviä tietoturvaongelmia

Super Duper Secure Mode

Introduction

microsoftedge.github.io

Tuohan on ihan virkistävä uudistus, mutta samalla suorituskyky tulee monella nykyaikaisella javascript-hirvityssivustolla laskemaan.

 

[KoneenKokoaja]

Apple aikoo vastaisuudessa skannata jenkkien puhelimet laittoman kuvasisällön varalta. On vähän epäselvää perustuuko tuo pelkkien kuvien hashiin vai johonkin muuhun. Joka tapauksessa tuo avaa melkoisen aukon tietoturvan kannalta, jonka perään Apple on viime vuosina liputtanut.

EDIT: Toki tämä ei ole mitään uutta. Facebook on tehnyt samaa jo vuodesta 2011, eikä sovi unohtaa Microsoftia ja Googlea (2008 alkaen) ym.

Apple Plans To Scan US iPhones for Child Abuse Imagery - Slashdot

Apple intends to install software on American iPhones to scan for child abuse imagery, Financial Times is reporting citing people briefed on the plans, raising alarm among security researchers who warn that it could open the door to surveillance of millions of people's personal devices. From the...

apple.slashdot.org

Todennäköisesti se toimii niin, että kaikista laitteella olevista kuvista tehdään hash, jotka ladataan Applen pilveen, jossa laskettuja hash koodeja verrataan tiedossa olevien laittomien kuvien hash koodeihin. Tälläisessa ratkaisussa tietoturva on parempi kun käyttäjien kuvia ei siirretä minnekään lisäksi kaikkein raskain laskenta tehdään käyttäjien laitteissa eikä Applen pilvessä, jolloin kulut ovat Applelle pienemmät jos pilvessä tehdään vain hash koodien vertailua, joka on todella kevyttä laskentaa nykyaikaisille prosessoreille.

 

[user9999]

Applen "Expanded Protections for Children" linkki

Child Safety

Expanded Protections for Children

www.apple.com

Linkin lopussa PDF -tiedostoja, joissa tarkemmin miten toimii.

 

[leripe]

Applen "Expanded Protections for Children" linkki

Child Safety

Expanded Protections for Children

www.apple.com

Linkin lopussa PDF -tiedostoja, joissa tarkemmin miten toimii.

Suomessakin on tomijoita, joilla samanlaisia velvoitteita ja toimintoja ainakin työntekijöitään kohtaan.

 

[Agent_007]

Apple Privacy Letter: An Open Letter Against Apple's Privacy-Invasive Content Scanning Technology tuolla pyydetään jo Applea lopettamaan tuo skannaus ja voi myös itse allekirjoittaa tuon

 

[Humanoid]

Apple Privacy Letter: An Open Letter Against Apple's Privacy-Invasive Content Scanning Technology tuolla pyydetään jo Applea lopettamaan tuo skannaus ja voi myös itse allekirjoittaa tuon

Laitetaanko samanlainen vetoomus menemään Googlelle ja Microsoftille?

 

[Agent_007]

Laitetaanko samanlainen vetoomus menemään Googlelle ja Microsoftille?

Erona tässä on se, että Google ja Microsoft taitavat tehdä tuota "vain" pilvessä, jos sinne siirtää tiedostojaan, kun nyt tämä Applen toiminto on suoraan käyttäjän luurissa.

 

[Infy]

Milloinkohan Windows ja macOS ryhtyvät skannailemaan käyttäjien kovalevyillä majailevia kuvia vastaavien laittomuuksien varalta...?

 

[Infy]

Nopeasti vilkuilin Applen dokumentaation aiheesta läpi niin kolme asiaa tapahtuu:

1. Jos laitteessa on käytössä Applen perhe ominaisuus, Applen Messages sovellus skannaa koneoppimisella siinä käytetyt kuvat
2. iCloud etsii tunnettuja haitallisia kuvia vastaavia muodostamalla kuvasta tiivisteen, eli jos vaikka kuva on skaalattu tai rajattu, se pystytään silti liittämään alkuperäiseen
3. Siri ja Finder haut suodattavat haitalliset haut automaattiesti

Koneoppimisen, eli tekoälyn käyttö, on ongelmallista kuvien luokitteluun, koska se vertaa kuvaa sen oppimismateriaalin perusteella ja luokittelu ei ole 100% luotettavaa.

 

[Humanoid]

Erona tässä on se, että Google ja Microsoft taitavat tehdä tuota "vain" pilvessä, jos sinne siirtää tiedostojaan, kun nyt tämä Applen toiminto on suoraan käyttäjän luurissa.

Eli vain hash-laskenta tehdään puhelimen päässä? Tuota skannausta ei tehdä, jos iCloud ei ole käytössä, joten "vain" pilvessä tuokin tehdään lopulta.

EDIT: Kyseessä on muutakin kuin hash-laskenta, eli ilmeisesti AI tulkitsee kuvien sisältöä. Taitaa lapsiperheiden lomakuvat olla kovassa syynissä..

Ja samaan aikaan Whatsapp huutelee etteivät he skannaa kuvia samalla tavalla, vaikka vasta uutisoitiin, että he aikovat tutkia viestien sisältöä salauksen ohi kohdennettua mainontaa varten

 

[KoneenKokoaja]

Täällä on selitetty tarkemmin miten Applen uusi kuvien skannaus toimii. Kaikista Applen laitteisiin tallennetuista kuvista luodaan hash tiiviiste ja sen jälkeen tiivistettä verrataan suojattuun tietokantaan, joka tapahtuu tapahtuu käyttäjän laitteessa ja vasta kun tietty match ylittyy menee ilmoitus eteenpäin.

Apple julkisti lapsiin liittyviä suojaominaisuuksia – kuvien tarkistaminen lapsipornon varalta herättää myös huolia

Apple tiedottaa verkkosivuillaan uusista suojaominaisuuksista, joiden on tarkoitus tehdä esimerkiksi viestittelystä turvallisempaa lapsille. Yhteensä uud

mobiili.fi

Itseäni tässä huolestuttaa lähinnä se, että jos tämä skannailu tekniikka yleistyy muuhunkin käyttöön esim. skannaillaan muutakin sisältöä käyttäjien laitteilla ja verrataan johonkin tietokantaan ja kun tietty kynnys ylittyy aletaan käyttämään tietoa vaikka mainontaan esimerkiksi yksityisviesteissä mainittuja avainsanoja ja samalla väitetään, että kenenkään yksityisyys ei vaarannu kun siinä verrataan vain hash tiivisteitä ja kaikki tapahtuu vain käyttäjän laitteessa. Myös mainokset voidaan ladata valmiiksi käyttäjän laitteeseen etukäteen ja käyttäjän oma laite skannailujen perusteella päättää mitä mainoksia näytetään, jolloin periaatteessa mitään ei missään vaiheessa mene käyttäjän laitteen ulkopuolelle, jolloin voidaan väittää, että yksityisyys ei vaarannu ja kaikki viestit ovat edelleen end-to-end encrypted.

 

[Humanoid]

Täällä on selitetty tarkemmin miten Applen uusi kuvien skannaus toimii. Kaikista Applen laitteisiin tallennetuista kuvista luodaan hash tiiviiste ja sen jälkeen tiivistettä verrataan suojattuun tietokantaan, joka tapahtuu tapahtuu käyttäjän laitteessa ja vasta kun tietty match ylittyy menee ilmoitus eteenpäin.

Apple julkisti lapsiin liittyviä suojaominaisuuksia – kuvien tarkistaminen lapsipornon varalta herättää myös huolia

Apple tiedottaa verkkosivuillaan uusista suojaominaisuuksista, joiden on tarkoitus tehdä esimerkiksi viestittelystä turvallisempaa lapsille. Yhteensä uud

mobiili.fi

Itseäni tässä huolestuttaa lähinnä se, että jos tämä skannailu tekniikka yleistyy muuhunkin käyttöön esim. skannaillaan muutakin sisältöä käyttäjien laitteilla ja verrataan johonkin tietokantaan ja kun tietty kynnys ylittyy aletaan käyttämään tietoa vaikka mainontaan esimerkiksi yksityisviesteissä mainittuja avainsanoja ja samalla väitetään, että kenenkään yksityisyys ei vaarannu kun siinä verrataan vain hash tiivisteitä ja kaikki tapahtuu vain käyttäjän laitteessa. Myös mainokset voidaan ladata valmiiksi käyttäjän laitteeseen etukäteen ja käyttäjän oma laite skannailujen perusteella päättää mitä mainoksia näytetään, jolloin periaatteessa mitään ei missään vaiheessa mene käyttäjän laitteen ulkopuolelle, jolloin voidaan väittää, että yksityisyys ei vaarannu ja kaikki viestit ovat edelleen end-to-end encrypted.

Kuten muuallakin maailmassa on jo huhuiltu, suurimmat epäselvyydet liittyvät tässä esim. siihen kuinka eri valtiot voivat ottaa saman toiminnallisuuden käyttöön omassa seurannassaan. Esimerkiksi homoseksuaalisuutta vastustavat valtiot voisivat skannata siihen liittyvää materiaalia, Kiinan vaihtoehdoista nyt puhumattamaan. Sehän tuossa juuri on vaarana, että mistä käyttäjä voi tietää mitä sisältöä puhelin oikeasti skannaa ja mitä ei?

Aiemminhan käytössä on ollut suht laajalti PhotoDNA:

It is used on Microsoft's own services including Bing and OneDrive, as well as by Google's Gmail, Twitter, Facebook, Adobe Systems, Reddit, Discord and the NCMEC, to whom Microsoft donated the technology.

 

[TenderBeef]

kaikki viestit ovat edelleen end-to-end encrypted

Eikös tämäkin tule kohta loppumaan? Olikos se jo esim. EU:ssä päätetty näin, vai oliko vielä esitysasteella? Ei kyllä kohta ole enää mitään yksityisyyttä jäljellä. Kohta on valtion valvontakameratkin varmaan jokaisen kodissa..

 

[=JP=]

Eikös tämäkin tule kohta loppumaan? Olikos se jo esim. EU:ssä päätetty näin, vai oliko vielä esitysasteella? Ei kyllä kohta ole enää mitään yksityisyyttä jäljellä. Kohta on valtion valvontakameratkin varmaan jokaisen kodissa..

Eipä se taida olla edennyt mihinkään, kyllä varmasti näkyisi jossain, jos tuo olisi ajettu jo läpi...
Vaikea on löytää uudempaa tietoa kuin mitä maaliskuussa tuli esiin ja täälläkin mainittiin.

 

[ztec]

Eikös tämäkin tule kohta loppumaan? Olikos se jo esim. EU:ssä päätetty näin, vai oliko vielä esitysasteella? Ei kyllä kohta ole enää mitään yksityisyyttä jäljellä. Kohta on valtion valvontakameratkin varmaan jokaisen kodissa..

Eipä tuota voi oikein mitenkään voi estää, kun teknologia on olemassa. Salausteknologia on käytettävissä, eikä sitä voi estää. Ellei sitten tehdä kokonaan laittomaksi ja riittävän kovat sanktiot, joka sekään ei auta oikeasti. Mutta tietysti saa 99% ihmistä välttelemään rikollisia asioita. Toisaalta, rikollisia se ei hetkauta pätkän vertaa. - Mutta toi tulee kestämään varmasti pitkään ja onhan tuo kädenvääntö jatkunut jo vuosikymmeniä ja tulee varmasti jatkossakin jatkumaan suuntaan jos toiseen on paineita.

 

[TenderBeef]

rikollisia se ei hetkauta pätkän vertaa

Sen verran kyyniseksi tullut, että en uskokaan, että se on tavoite vaan ei-rikollisten massavalvonta. Joku Signal-tyyppisen ohjelman käyttö loppuu kokonaan JOS haluaa pitää kiinni yksityisyydestään. Mitä suurin osa ihmisistä tekee? Lopettaa kaiken sellaisen toiminnan jota valvotaan? Ja siirtyy käyttämään jotain ei helposti saatavilla/käytettävissä olevia keinoja? Nope. Varsinkin jos nämä asiat hivutetaan hitaasti ihmisten arkeen jollain tekosyillä kuten lapo:lla joka saa ihmiset reagoimaan tunnemyrskyllä eikä järjellä.

 

[KoneenKokoaja]

Eipä tuota voi oikein mitenkään voi estää, kun teknologia on olemassa. Salausteknologia on käytettävissä, eikä sitä voi estää. Ellei sitten tehdä kokonaan laittomaksi ja riittävän kovat sanktiot, joka sekään ei auta oikeasti. Mutta tietysti saa 99% ihmistä välttelemään rikollisia asioita. Toisaalta, rikollisia se ei hetkauta pätkän vertaa. - Mutta toi tulee kestämään varmasti pitkään ja onhan tuo kädenvääntö jatkunut jo vuosikymmeniä ja tulee varmasti jatkossakin jatkumaan suuntaan jos toiseen on paineita.

Jos salaus halutaan murtaa täysin niin se pitää tehdä rauta-tasolla niin, että prossessori tallettaa jonnekin kätköönsä kaikki salausavaimet ja lähettää ne jonnekin isoveljen pilveen talteen siltä varalta, että jos niitä joskus tarvitaan. Jos rautatasolla poistetaan kaikki rajapinnat millä ohjelmistolla voi ohittaa tämän salausavaimien talteenoton ei sitä pysty mitenkään kiertämään. Tässä tosin tulee se, että samalla tulee ihan hitonmoiset tietoturvariskit jos ne salausavaimet joita on varmuuden vuoksi kerätty vuotavatkin ulospäin.

 

[Humanoid]

Käytännössä tuo EU:n vaatimus on mahdotonta toteuttaa käytännössä, vaikk se voimaan tulisikin. Kuka tahansa voisi perustaa vaikka oman Matrix-palvelimen ja luottaa muihinkin täysin avoimen koodin ratkaisuihin. Softia kun ei voi millään bannata täysin miltään alustalta. Kehittäjät myöskään tuskin myöntyvät vaatimuksiin.

 

[TenderBeef]

Käytännössä tuo EU:n vaatimus on mahdotonta toteuttaa käytännössä, vaikk se voimaan tulisikin. Kuka tahansa voisi perustaa vaikka oman Matrix-palvelimen ja luottaa muihinkin täysin avoimen koodin ratkaisuihin. Softia kun ei voi millään bannata täysin miltään alustalta. Kehittäjät myöskään tuskin myöntyvät vaatimuksiin.

Luuletko tosiaan, että tuollaisia asioita ajetaan ilman, että niitä valvottaisiin, että ne toteutuvat käytännössäkin? Esim. kännykät joilla viestitellään valtavasti, eihän se vaadi kuin bannaamista vähänkään isoimmilta kauppapaikoilta ja rahahanojen katkaisemista jos eivät pääse lakiteknisesti kiinni sellaisiin jotka operoivat sellaisissa valtioissa jotka eivät tee yhteistyötä muun maailman kanssa. Se riittää, että valtaosa on sen massavalvonnan alaisena, ei he kaikkia yritäkään saada kiinni, se ei ole mahdollista. Enkä näe mitään sellaista miksi edes vähänkään merkittävä määrä ihmisistä siirtyisivät jonkun laittoman ja vaikeasti käyttöönotettavan ratkaisun käyttäjiksi, varsinkin kun se tarkoittaisi sitä, että iso osa omista kontakteista jäisi ulkopuolelle. Ihmiset yleisesti ovat hyvin alttiita luopumaan yksityisyydestään jos se perustellaan heille oikeilla argumenteilla ja epäkäytännöllisyyden vaaralla. Omassa elämässäkin olen nähnyt hyvinkin muuten viisaita ihmisiä jotka toistavat "ei minulla ole mitään salattavaa, ei tämä haittaa ollenkaan" mantraa kuin laumaeläimet kun heidän yksityisyyttään yritetään rajoittaa tajuamatta edes, että kyse on kahdesta eri asiasta. Oman kokemukseni mukaan ihmiset eivät ole kovin hyviä hahmottamaan pidemmän aikajakson aikana tapahtuvaa hidasta kehitystä.. jotkut eivät edes hahmota koko asiaa vaikka sitä kuinka vääntäisi rautalangasta.

 

[KoneenKokoaja]

Luuletko tosiaan, että tuollaisia asioita ajetaan ilman, että niitä valvottaisiin, että ne toteutuvat käytännössäkin? Esim. kännykät joilla viestitellään valtavasti, eihän se vaadi kuin bannaamista vähänkään isoimmilta kauppapaikoilta ja rahahanojen katkaisemista jos eivät pääse lakiteknisesti kiinni sellaisiin jotka operoivat sellaisissa valtioissa jotka eivät tee yhteistyötä muun maailman kanssa. Se riittää, että valtaosa on sen massavalvonnan alaisena, ei he kaikkia yritäkään saada kiinni, se ei ole mahdollista. Enkä näe mitään sellaista miksi edes vähänkään merkittävä määrä ihmisistä siirtyisivät jonkun laittoman ja vaikeasti käyttöönotettavan ratkaisun käyttäjiksi, varsinkin kun se tarkoittaisi sitä, että iso osa omista kontakteista jäisi ulkopuolelle. Ihmiset yleisesti ovat hyvin alttiita luopumaan yksityisyydestään jos se perustellaan heille oikeilla argumenteilla ja epäkäytännöllisyyden vaaralla. Omassa elämässäkin olen nähnyt hyvinkin muuten viisaita ihmisiä jotka toistavat "ei minulla ole mitään salattavaa, ei tämä haittaa ollenkaan" mantraa kuin laumaeläimet kun heidän yksityisyyttään yritetään rajoittaa tajuamatta edes, että kyse on kahdesta eri asiasta. Oman kokemukseni mukaan ihmiset eivät ole kovin hyviä hahmottamaan pidemmän aikajakson aikana tapahtuvaa hidasta kehitystä.. jotkut eivät edes hahmota koko asiaa vaikka sitä kuinka vääntäisi rautalangasta.

Täähän se itselläni esim. avoimen lähdekoodin PGP käyttö esim. sähköpostien sisältöjen salaamiseen kaatuu aina siihen, että kukaan muu kontakteissani ei viitsi generoida itselleen public avaimia ja jakaa niitä minulle saati, että viitsisi opetella käyttämään salausovellusta sähköpostin käytössä, jolla pystyy salaamaan viestin sisällön, mutta myös varmentamaan viestin lähettäjän, sekä sen, että viestiä ei ole muutettu matkalla vahvalla digitaalisella allekirjoituksella. Jos ihmiset edes PGP allekirjoittasivat sähköpostinsa suurin osa sähköposti huijauksista estyisi, koska viestin vastaanottajat pystyisivät allekirjoituksesta PGP sovelluksella varmentamaan onko viestin lähettäjä se taho kuka väittää olevansa. Nykyäänhän kuka tahansa voi väärentää sähköpostin ja sähköposti osoitteen esiintyä kenenä tahansa, koska viestejä ei allekirjoiteta vahvalla salauksella.

 

[TenderBeef]

Takaisin vähän topikin tarkoitukseen; tätä uutista ei käsittääkseni vielä ole täällä nähty, vähän tulee myöhässä mutta ehkä on postaamisen arvoinen.

Signal fixes bug that sent random images to wrong contacts

Signal has fixed a serious bug in its Android app that, in some cases, sent random unintended pictures to contacts without an obvious explanation. Although the issue was reported in December 2020, given the difficulty of reproducing the bug, it isn't until this month that a fix was pushed out.

www.bleepingcomputer.com

"The TL;DR is that if someone had conversation trimming on, it could create a rare situation where a database ID was re-used in a way that could result in this behavior."

On pätsätty siis mutta se kesti todella kauan. Olihan tämä aika paha bugi ja iso lommo Signalille.

 

[Humanoid]

Luuletko tosiaan, että tuollaisia asioita ajetaan ilman, että niitä valvottaisiin, että ne toteutuvat käytännössäkin? Esim. kännykät joilla viestitellään valtavasti, eihän se vaadi kuin bannaamista vähänkään isoimmilta kauppapaikoilta ja rahahanojen katkaisemista jos eivät pääse lakiteknisesti kiinni sellaisiin jotka operoivat sellaisissa valtioissa jotka eivät tee yhteistyötä muun maailman kanssa. Se riittää, että valtaosa on sen massavalvonnan alaisena, ei he kaikkia yritäkään saada kiinni, se ei ole mahdollista. Enkä näe mitään sellaista miksi edes vähänkään merkittävä määrä ihmisistä siirtyisivät jonkun laittoman ja vaikeasti käyttöönotettavan ratkaisun käyttäjiksi, varsinkin kun se tarkoittaisi sitä, että iso osa omista kontakteista jäisi ulkopuolelle. Ihmiset yleisesti ovat hyvin alttiita luopumaan yksityisyydestään jos se perustellaan heille oikeilla argumenteilla ja epäkäytännöllisyyden vaaralla. Omassa elämässäkin olen nähnyt hyvinkin muuten viisaita ihmisiä jotka toistavat "ei minulla ole mitään salattavaa, ei tämä haittaa ollenkaan" mantraa kuin laumaeläimet kun heidän yksityisyyttään yritetään rajoittaa tajuamatta edes, että kyse on kahdesta eri asiasta. Oman kokemukseni mukaan ihmiset eivät ole kovin hyviä hahmottamaan pidemmän aikajakson aikana tapahtuvaa hidasta kehitystä.. jotkut eivät edes hahmota koko asiaa vaikka sitä kuinka vääntäisi rautalangasta.

Hyvin toimi PirateBayn ja muiden torrenttisaittien bannaaminenkin. Sovellusten estäminen vain ohjaisi samat palvelut omiin palvelimiin tai yksityisiin nettisaitteihin. Tuota valvontaa ei voida mitenkään toteuttaa niin etteikö "laumaeläimetkin" hoksaisi, että tässä on kyllä nyt jotain mätää.

 

[Humanoid]

Tästä EU:n muutoksesta ihan hyvää tiivistelmää:

Messaging and Chat Control

The End of the Privacy of Digital Correspondence The EU decided to let providers search all private chats, messages, and emails automatically for suspicious content - generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance by means of fu

www.patrick-breyer.de

 

[TenderBeef]

Eli ensimmäinen vaihe massavalvonnasta on jo hyväksytty, kakkosvaihe (pakollinen viestien massaskannaus) piti jo tulla mutta lykättiin parilla kuukaudella nyt syksyyn.

So far very few media have covered the messaging and chat control plans of the EU.

Eipä ole yllätys, suomessakin valtamedia pimittää aina silloin tällöin tärkeitä asioita. Kyllä tämä on todella surullista tämä kehitys mihin ollaan menossa..

 

[KoneenKokoaja]

Takaisin vähän topikin tarkoitukseen; tätä uutista ei käsittääkseni vielä ole täällä nähty, vähän tulee myöhässä mutta ehkä on postaamisen arvoinen.

Signal fixes bug that sent random images to wrong contacts

Signal has fixed a serious bug in its Android app that, in some cases, sent random unintended pictures to contacts without an obvious explanation. Although the issue was reported in December 2020, given the difficulty of reproducing the bug, it isn't until this month that a fix was pushed out.

www.bleepingcomputer.com

On pätsätty siis mutta se kesti todella kauan. Olihan tämä aika paha bugi ja iso lommo Signalille.

Eniten tuossa ihmetyttää, että jos lähetetty kuva on end to end kryptattu vain ja ainoastaan oikean vastaanottajan salausavaimella ei väärän vastaanottajan pitäisi kyetä lukemaan kuvaa muuta kuin satunnaisena sekasotkuna. End to end salauksessa kenenkään muun kuin oikean vastaanottajan ei pitäisi kyetä purkamaan viestin salausta. Jostain syystä Signal end to end salaa lähetetyn kuvan myös muilla salausavaimilla kuin oikean vastaanottajan.

 

[KoneenKokoaja]

Tästä EU:n muutoksesta ihan hyvää tiivistelmää:

Messaging and Chat Control

The End of the Privacy of Digital Correspondence The EU decided to let providers search all private chats, messages, and emails automatically for suspicious content - generally and indiscriminately. The stated aim: To prosecute child pornography. The result: Mass surveillance by means of fu

www.patrick-breyer.de

Itse voisin hyväksyä tämän viestien skannailun jos se koskisi pelkästään alaikäisten puhelimiin tulevia viestejä esim. etsittäisiin merkkejä mahdollisista pedofiilien lapsille lähettämistä viesteistä. Voisin myös hyväksyä ryhmä chattien joissa on kymmeniä osallistuja skannailun, koska en ovat jo aika julkisia keskusteluja. En kuitenkaan pysty missään tilanteessa hyväksymään kahden aikuisen välillä tapahtuvien yksityisviestien skannailua varmuuden vuoksi tai muustakaan syystä. Kai tämä menee vähän siihen suuntaan, että mikään minkä digilaitteisiin laittaa ei ole oikeasti yksityistä. Aina siellä on linjoilla joku ulkopuolinen tarkastamassa niitä "varmuuden" vuoksi.