Tietoturvauutiset ja blogipostaukset

Jos salaus halutaan murtaa täysin niin se pitää tehdä rauta-tasolla niin, että prossessori tallettaa jonnekin kätköönsä kaikki salausavaimet ja lähettää ne jonnekin isoveljen pilveen talteen siltä varalta, että jos niitä joskus tarvitaan. Jos rautatasolla poistetaan kaikki rajapinnat millä ohjelmistolla voi ohittaa tämän salausavaimien talteenoton ei sitä pysty mitenkään kiertämään. Tässä tosin tulee se, että samalla tulee ihan hitonmoiset tietoturvariskit jos ne salausavaimet joita on varmuuden vuoksi kerätty vuotavatkin ulospäin.
Se onkin hyvä kysymys, mistä prosessori tietää mikä on salausavain. Jos ei käytä esimerkiksi kiihdytettyjä salauskutsuja. Tietysti tämä tarkoittaa sitä, että hypätään pois mainstream kelkasta. Käytetään vaikka salaukseen jotain sellaista prosessoria / alustaa jota ei ole siihen koskaan suunniteltu. The Hacker Way.

Täähän se itselläni esim. avoimen lähdekoodin PGP käyttö esim. sähköpostien sisältöjen salaamiseen kaatuu aina siihen, että kukaan muu kontakteissani ei viitsi generoida itselleen public avaimia ja jakaa niitä minulle saati, että viitsisi opetella käyttämään salausovellusta sähköpostin käytössä, jolla pystyy salaamaan viestin sisällön, mutta myös varmentamaan viestin lähettäjän, sekä sen, että viestiä ei ole muutettu matkalla vahvalla digitaalisella allekirjoituksella. Jos ihmiset edes PGP allekirjoittasivat sähköpostinsa suurin osa sähköposti huijauksista estyisi, koska viestin vastaanottajat pystyisivät allekirjoituksesta PGP sovelluksella varmentamaan onko viestin lähettäjä se taho kuka väittää olevansa. Nykyäänhän kuka tahansa voi väärentää sähköpostin ja sähköposti osoitteen esiintyä kenenä tahansa, koska viestejä ei allekirjoiteta vahvalla salauksella.

Tämä. Joku juuri ulisi tänään isoon ääneen, että eikö ole keksitty mitään tapaa estää spammia? Miten niin ei ole? Mulla on mun domainissa osoite openpgp@ ja important-openpgp@ ...
1) Openpgp osoite tarkistaa, viesti on salattu niin, että sen pystyy purkamaan mun salausavaimella.
2) Important osoite tarkistaa, että viesti on allekirjoitettu avaimella jonka olen merkinnyt luotetuksi.

Ei muuten ole tullut koskaan yhtään spammia läpi, kumpaankaan osoitteista, vaikka olen yli 10v odotellut sitä ihmettä. (Edit: 15 vuotta)

Kukaan ei siis selvästi geneerisesti lataa kaikkia pgp avaimia jotka on julkisesti esillä netissä ja lähetä niihin spammia. Toisaalta, voisin ihan itse tehdä sen, mutta jollain sellaisella viestillä joka vaan herättää hilpeyttä ja keskustelua. ;) Voisi olla kivaa, ihan verkottumisen nimissä. Kun laittas vaan morot, löysin sun avaimen, mitä kuuluu viestin bulkkina kaikille.
 
Viimeksi muokattu:
Se onkin hyvä kysymys, mistä prosessori tietää mikä on salausavain. Jos ei käytä esimerkiksi kiihdytettyjä salauskutsuja. Tietysti tämä tarkoittaa sitä, että hypätään pois mainstream kelkasta. Käytetään vaikka salaukseen jotain sellaista prosessoria / alustaa jota ei ole siihen koskaan suunniteltu. The Hacker Way.

Tämä on kyllä totta. En tullut ajatelluksi, että salausovelluksen ei ole pakko käyttää salaukseen tehtyjä käskykantoja vaan se salausavain voidaan generoida vaikka satunnaisesta valokuvasta, tietokoneen nimestä, sarjanumerosta, äänitiedoston patkästä ja vaikka mistä. Ei se CPU mistään tiedä, että noita tietoja käytetään salaukseen jos koodissa käytetään vain normaaleja luku ja kirjoitusoperaatioita eikä mitään salauskäskykantoja. Joten periaatteessa tällä tavalla voi aina tehdä ohjelmiston jolla kiertää johonkin normaaleihin käskykantoihin sisällytetyt toiminnot, jotka ovattavat niillä tehdyt salausavaimet talteen.
 
Eniten tuossa ihmetyttää, että jos lähetetty kuva on end to end kryptattu vain ja ainoastaan oikean vastaanottajan salausavaimella ei väärän vastaanottajan pitäisi kyetä lukemaan kuvaa muuta kuin satunnaisena sekasotkuna. End to end salauksessa kenenkään muun kuin oikean vastaanottajan ei pitäisi kyetä purkamaan viestin salausta. Jostain syystä Signal end to end salaa lähetetyn kuvan myös muilla salausavaimilla kuin oikean vastaanottajan.
Itse kyllä käsitin asian ihan eri tavalla. Ongelma tapahtui käyttäjän puhelimessa, eli puhelimessa (vain Android) signalin käyttämä tietokanta uudelleenkäytti pääavaimen id:itä ja siitä johtuen johonkin lähetettyihin viesteihin signal puhelimessa lisäsi kuvia joita lähettäjä ei ollut liittänyt viestiin. Eli mitään kryptauksia ei ole murrettu, jne.

Joku juuri ulisi tänään isoon ääneen, että eikö ole keksitty mitään tapaa estää spammia?
Eikös pelkkä autentikoinnin pakollisuus postipalvelimien käytössä käytännössä vähentäisi spammia radikaalisti?
 
Eikös pelkkä autentikoinnin pakollisuus postipalvelimien käytössä käytännössä vähentäisi spammia radikaalisti?

Autentikointi mitä vasten? Ainahan spammeri voi pystyttää oman palvelimen. Joskus tuli ylläpidettyä sähköpostipalvelinta ja todettua, että aika paljon spammia läheteltiin murretuilta sähköpostipalvelimilta. Jos tuohon spammin estoon olis helppoja keinoja, olis ne jo otettu käyttöön. Spoilerin sisällä spammiinkin liittyvä video, jossa scammeri sai sähköpostin näyttämään googlen lähettämältä.

 
Autentikointi mitä vasten? Ainahan spammeri voi pystyttää oman palvelimen. Joskus tuli ylläpidettyä sähköpostipalvelinta ja todettua, että aika paljon spammia läheteltiin murretuilta sähköpostipalvelimilta. Jos tuohon spammin estoon olis helppoja keinoja, olis ne jo otettu käyttöön. Spoilerin sisällä spammiinkin liittyvä video, jossa scammeri sai sähköpostin näyttämään googlen lähettämältä.


Kaikille pakolliseksi SPF softfail=delete email, niin loppuu spämmi maailmasta.
 
Kasvojentunnistusalgoritmeja voi huijata generoiduilla naamoilla. Erityisesti yli 60-vuotiaiden valkoisten miesten naamat ovat liian samankaltaisia, joten niiden tietoturva on huonompi

Tästä syystä esim. puhelimet,joissa voi käyttää lukituksen avaamiseen kasvojen tunnistusta yleensä vaativat pin koodia tai sormenjälkeä laitteen avaamiseen jos laitteen sensorit havaitsevat, että laite on laitettu pöydälle tai laite ei ole kenenkään ihmisen hallussa. Jos taas sensorit havaitsevat, että laite on ollut kokoajan taskussa pelkkä kasvojen tunnistusriittää avaamiseen jos laite on kerran avattu sormenjäljellä ja sen jälkeen ollut käyttäjän hallussa kokoajan. Ilman, että kasvojentunnistusta rajoitetaan sensoreilla, jotka havaitsevat onko laite ollut käyttäjänsä hallussa kokoajan ei se ole kovinkaan turvallinen tapa avata lukituksia.
 
Applen kritisoidusta kuvien CSAM-tunnistuksesta on jo nyt löytynyt esimerkki jossa kaksi täysin erilaista kuvaa saa aikaiseksi identtisen hashin:
 
Lisäksi nyt on ohjelma, jola niitä identtisiä hasheja voi tuottaa ihan sujuvasti lisää:
Perus trollaus, jatkossa jokainen kuva jonka postaa, voi olla niin että se tuottaa törmäyksen. Voisin kuvitella että jossain 4chanilla tai Twitterissä toi olisi viihdettä rölläys mielessä. Kuka ikinä tallentaakaan kuvan laitteeseen, triggaa hälyn.
 
Hauska ominaisuus Razer laitteiden ajureiden asennuksessa, mahdollistaa Admin oikeuksien saannin, kunhan vaan isket Razer laitteen koneeseen, eli vaatii fyysisen pääsyn koneelle. Windows siis alkaa automaattisesti hakea "ajureita" (Razer Synapse software ohjelmiston, jolla hallitaan laitteita) kun kytket laitteen koneeseen ja käynnistää kyseisen prosessin SYSTEM tasolla. Ongelma syntyy siinä, että se kysyy minne asennetaan ja siinä kohtaa käyttäjän on mahdollista avata Powershell admin oikeuksilla...


When the Razer Synapse software is installed, the setup wizard allows you to specify the folder where you wish to install it. The ability to select your installation folder is where everything goes wrong.
When you change the location of your folder, a 'Choose a Folder' dialog will appear. If you press Shift and right-click on the dialog, you will be prompted to open 'Open PowerShell window here,' which will open a PowerShell prompt in the folder shown in the dialog.


Teoriassa sama voi onnistua muillakin uuden laitteen asennuksissa, mikäli Windows asentaa automaattisesti jonkun ohjelmiston, joka kyselee käyttäjältä esimerkiksi polkua asennuksen aikana...
 
Viimeksi muokattu:
Lisää tietovuotoja.

Tällä kertaa kyseessä on Microsoftin Power Apps ja sen oletuskonffit:


 
Päivitykset kuntoon, useita vakavia reikiä joista Google oikein varoittaa käyttäjiä ja pyytää varmistamaan että päivitykset on kunnossa.

these severe vulnerabilities:
  • High — CVE-2021-30598: Reported by Manfred Paul. Type Confusion in V8.
  • High — CVE-2021-30599: Reported by Manfred Paul. Type Confusion in V8.
  • High — CVE-2021-30600: Reported by 360 Alpha Lab. Use after free in Printing.
  • High — CVE-2021-30601: Reported by 360 Alpha Lab. Use after free in Extensions API.
  • High — CVE-2021-30602: Reported by Cisco Talos. Use after free in WebRTC.
  • High — CVE-2021-30603: Reported by Google Project Zero. Race in WebAudio.
  • High — CVE-2021-30604: Reported by SecunologyLab. Use after free in ANGLE.
Eli tarkistakaa että Chromium , Chrome sun muut variaatit on päivitettynä noilta osin!
Ainakin Chromium kohdalla versio 92.0.4515.159 on korjattu nuo...
Edge näkyy laahaavan aikas pahasti perässä, mikäli sen versiointi on sama kuin Chromium...
 
Viimeksi muokattu:
Ilmeisesti Azuressa olevat kannat saattoivat olla ”kaikkuen nähtävillä”

Microsoft (MSFT.O) on Thursday warned thousands of its cloud computing customers, including some of the world's largest companies, that intruders could have the ability to read, change or even delete their main databases, according to a copy of the email and a cyber security researcher.

 
Hakkerit ovat keksineet uuden keinon haittaohjelmien piilottamiseen virusscannereiden ulottumattomiin.
Haitakkeet talletetaan näytönohjaimen muistiin.
Haitakkeet hyödyntävät Windowsin OpenCL 2.0 APIa, eivätkä siis tässä vaiheessa ainakaan ole vaaraksi muita käyttöjärjestelmiä käyttäville tietokoneille.
Mutta eivätköhän virusscannerti ala kohta skannaamaan näytönohjaimen muistinkin.
 
Hakkerit ovat keksineet uuden keinon haittaohjelmien piilottamiseen virusscannereiden ulottumattomiin.
Haitakkeet talletetaan näytönohjaimen muistiin.
Haitakkeet hyödyntävät Windowsin OpenCL 2.0 APIa, eivätkä siis tässä vaiheessa ainakaan ole vaaraksi muita käyttöjärjestelmiä käyttäville tietokoneille.
Mutta eivätköhän virusscannerti ala kohta skannaamaan näytönohjaimen muistinkin.

Joo tämä on aika vittumainen keino kun nykyiset virustorjunta ohjelmat, jotka valvovat reaaliaikaisesti koneessa pyöriviä prosesseja eivät osaa skannata eivätkä havaita tuolla tavalla piilotettua haittaohjelmakoodia. GPU muistia ei ole oikein suojattu, koska on ajateltu, että sieltä kautta ei pysty ajamaan koodia.
 
Joo tämä on aika vittumainen keino kun nykyiset virustorjunta ohjelmat, jotka valvovat reaaliaikaisesti koneessa pyöriviä prosesseja eivät osaa skannata eivätkä havaita tuolla tavalla piilotettua haittaohjelmakoodia. GPU muistia ei ole oikein suojattu, koska on ajateltu, että sieltä kautta ei pysty ajamaan koodia.
Voin kuvitella kuinka raskaaksi virustorjunnat menevät jos ne rupeavat skannaamaan tuota OpenCL APIa erikseen. Saattaa olla että tuohon tulee jotain rauta- tai firmispohjaista ratkaisua tulevissa näytönohjainsukupolvissa.

Tuossahan on varmaankin melkoinen vaikutus louhintakoneisiin, niissähän taidetaan käyttää aika pitkälti näytönohjainta laskentaan eli suoritetaan siellä koodia. Ensin joku tuollainen lutikka menee sinne riehumaan ja jos antivirukset tuota APIa rupeavat skannaamaan niin soppa on valmis. Tosin, en tiedä käytetäänkö noissa louhintarigeissä windowsia taikka virustorjuntoja.
 
Voin kuvitella kuinka raskaaksi virustorjunnat menevät jos ne rupeavat skannaamaan tuota OpenCL APIa erikseen. Saattaa olla että tuohon tulee jotain rauta- tai firmispohjaista ratkaisua tulevissa näytönohjainsukupolvissa.

Tuossahan on varmaankin melkoinen vaikutus louhintakoneisiin, niissähän taidetaan käyttää aika pitkälti näytönohjainta laskentaan eli suoritetaan siellä koodia. Ensin joku tuollainen lutikka menee sinne riehumaan ja jos antivirukset tuota APIa rupeavat skannaamaan niin soppa on valmis. Tosin, en tiedä käytetäänkö noissa louhintarigeissä windowsia taikka virustorjuntoja.
Taitaa moni harrastelija louhija, jotka pelaamisen sun muun ohella välillä louhii, niin ajella Winkkarilla noita. Ja taitaa nykyään joutua laittamaan AV softan "whitelist" nuo louhintasoftat, koska ne lasketaan haittaohjelmiksi, eli jos sinne jokin malware/virus pääsee, saa se siellä rauhassa oleskella ja tehdä pahojaan...
 
Voin kuvitella kuinka raskaaksi virustorjunnat menevät jos ne rupeavat skannaamaan tuota OpenCL APIa erikseen. Saattaa olla että tuohon tulee jotain rauta- tai firmispohjaista ratkaisua tulevissa näytönohjainsukupolvissa.

Tuossahan on varmaankin melkoinen vaikutus louhintakoneisiin, niissähän taidetaan käyttää aika pitkälti näytönohjainta laskentaan eli suoritetaan siellä koodia. Ensin joku tuollainen lutikka menee sinne riehumaan ja jos antivirukset tuota APIa rupeavat skannaamaan niin soppa on valmis. Tosin, en tiedä käytetäänkö noissa louhintarigeissä windowsia taikka virustorjuntoja.

Ei taida edes pystyä virustorjunta skannailemaan tätä haavoittuvuutta, koska käsitykseni mukaan se pyörii suojatulla ajuritasolla, jonka muistialueisiin mikään konessa pyörivä sovellus ei pääse käsiksi suojausten takia. Eli tähän pitäisi löytää joku bios / firmware tason esto. Yksi keino ehkä voisi olla se, että OlenCL APIn tulee joku keino estää muita kuin hyväksyttyjä sovelluksia käyttämästä koko APIa tai sovelluksille pitää erikseen antaa lupa käyttää sitä käyttöjärjestelmä tasolla. Tosin tässäkin on se ongelma, että tavikset klikkailevat kyllä kaikkiin kysely ikkunoihin sen tarkemmin miettimättä mikä sovellus pyytää lupaa käyttää sitä.
 
Ei taida edes pystyä virustorjunta skannailemaan tätä haavoittuvuutta, koska käsitykseni mukaan se pyörii suojatulla ajuritasolla, jonka muistialueisiin mikään konessa pyörivä sovellus ei pääse käsiksi suojausten takia. Eli tähän pitäisi löytää joku bios / firmware tason esto. Yksi keino ehkä voisi olla se, että OlenCL APIn tulee joku keino estää muita kuin hyväksyttyjä sovelluksia käyttämästä koko APIa tai sovelluksille pitää erikseen antaa lupa käyttää sitä käyttöjärjestelmä tasolla. Tosin tässäkin on se ongelma, että tavikset klikkailevat kyllä kaikkiin kysely ikkunoihin sen tarkemmin miettimättä mikä sovellus pyytää lupaa käyttää sitä.
Jaa, itse kun en winkkaria ole käyttänyt varmaan 15 vuoteen kuin pakon edessä niin en enää tunne miten sillä puolella hommat toimii mutta olisin kuvitellut että joku virustorjunta olisi voinut tehdä jonkun hookin että kun OpenCL-rajapintaa käytetään niin päästäisiin kurkkaamaan mitä siellä siirretään GPUn muistiin. Mutta tosin tuossakin on tuo winkkarikäyttäjiin iskostettu ongelma että kaikkiin painetaan lukematta OK tai Hyväksy kun noita kyselyitä tulee ovista ja ikkunoista.

Itselle tulee jonkun verran duunissa puheluita "Tää ei toimi, tuli joku ikkuna ja nyt ei toimi mikään" ja sitten kun kysyy että mitähän siinä ikkunassa luki niin 99.99% tapauksista tosiaan vastauksena on "Emmätiiä, mä painoin OK ja sitten ei enää mikään toimi". :facepalm: Ja 99% näistä ongelmista on windows-käyttäjillä, meillä on linuxia käyttäviä ihmisiäkin mutta niiltä ei juurikaan tule kysymyksiä tai sitten ne ovat ihan oikeasti aiheellisia.
 
Ei taida edes pystyä virustorjunta skannailemaan tätä haavoittuvuutta, koska käsitykseni mukaan se pyörii suojatulla ajuritasolla, jonka muistialueisiin mikään konessa pyörivä sovellus ei pääse käsiksi suojausten takia. Eli tähän pitäisi löytää joku bios / firmware tason esto. Yksi keino ehkä voisi olla se, että OlenCL APIn tulee joku keino estää muita kuin hyväksyttyjä sovelluksia käyttämästä koko APIa tai sovelluksille pitää erikseen antaa lupa käyttää sitä käyttöjärjestelmä tasolla. Tosin tässäkin on se ongelma, että tavikset klikkailevat kyllä kaikkiin kysely ikkunoihin sen tarkemmin miettimättä mikä sovellus pyytää lupaa käyttää sitä.
Jos sinne näytönohjaimen muistiin saa viruksen pyörimään, niin samalla logiikalla sinne saa myös virusskannerin pyörimään...
 
Miten tuolla tunnistaa spämmin ?

Lisäksi menee kasa haluttuja viestejä roskiin.
Kyllähän yleensä spämmiä yms pasketta lähettävät tahot hyväksikäyttävät juurikin tollaisia asetuksia. Webprool jne mitä näitä on ja muutenkin harvemmin spämmääjillä on kaikki asetukset kunnossa recordien osalta.

Ei mene roskiin, jos jokainen on velvoitettu pitämään omat spf recordit paikkaansa pitävinä eikä vain sinne päin kuten on tapana.
 
Ei mene roskiin, jos jokainen on velvoitettu pitämään omat spf recordit paikkaansa pitävinä eikä sinne vain sinne päin kuten on tapana.
Monella on posti palveluntarjoajalta jonka spf tietueita ei voi itse muokata.
Joten joutuisivat vetämään ne laveiksi.

Kyllähän yleensä spämmiä yms pasketta lähettävät tahot hyväksikäyttävät juurikin tollaisia asetuksia.
Spämmiä voi lähettää ihan asiallisesti säädetyillä SPF tietuilla, en siinä näe estettä.

Jos taasen jokin iso sähköpostipalvelvelu alkaa hylkimään viestejä SPF tietueiden virheiden takia, siis jopa positamaan sellaisia veistejä, niin siinä sitten menee haluttuja viestejä roskiin. Oletuksena poistaminen on aina rankka juttu, joten se ei vaihtoehto.
 
Mielenkiintoista, eli Protonmail on antanut aktivistin IP osoitteet viranomaisille pyynnöstä ja sen myötä vangittu...
The Switzerland-based company said it received a "legally binding order from the Swiss Federal Department of Justice" related to a collective called Youth for Climate, which it was "obligated to comply with," compelling it to handover the IP address and information related to the type of device used by the group to access the ProtonMail account.

Täällä on Protonmail omat selostukset, tulevia muutoksia ja suosituksia miten rajoittaa oman IP osoitteen näkyminen kun käyttää heidän palvelua:
 
Viimeksi muokattu:
Buetooth taas otsikoissa, löydetty 16 erinäistä heikkoutta (13 eri piirissä), joita hyödyntäen voi tehdä kaikennäköistä, jopa ajaa luvatonta koodia...
A set of new security vulnerabilities has been disclosed in commercial Bluetooth stacks that could enable an adversary to execute arbitrary code and, worse, crash the devices via denial-of-service (DoS) attacks.
 
Bluetooth on sellainen seula, että sen haavoittuvuudet eivät yllätä yhtään.

Entäs ActiveX sitten, missä sitä nykyään käytetään? Tulee mieleen 2000-luvun alku ja Internet Explorer. Office mainittiin, miksi siihen on pitänyt sotkea tällaista vielä vuonna 2021?
 
Buetooth taas otsikoissa, löydetty 16 erinäistä heikkoutta (13 eri piirissä), joita hyödyntäen voi tehdä kaikennäköistä, jopa ajaa luvatonta koodia...
A set of new security vulnerabilities has been disclosed in commercial Bluetooth stacks that could enable an adversary to execute arbitrary code and, worse, crash the devices via denial-of-service (DoS) attacks.
Saiskoha joku väsättyä semmosen crash bluetooth äpin jolla vois noi kulkevat mölytoosat hiljennettyä? Unelmoinu semmosesta jo pitkään :)
 
Saiskoha joku väsättyä semmosen crash bluetooth äpin jolla vois noi kulkevat mölytoosat hiljennettyä? Unelmoinu semmosesta jo pitkään :)
Kyllähän noita skriptejä on, mutta riippuu onko siellä sopiva piiri, jossa on todettu reikä, jota hyödyntää. Teoriassa on mahdollista esim. lähettää mieletön määrä "pairing request" -pyyntöjä ja se yksinkertaisesti aiheuttaa "buffer overflow" laitteessa ja lopettaa toiminnan. Mutta saattaa korjaantua, kunhan käynnistää uudestaan, tietenkin voit jättää tuon päälle, että samantein menee nurin uudestaan.
Kannattaa tietenkin huomioida, että kyseessä on laiton teko ja voit joutua pulaan...

Tuollainen löytyy laatikosta, saa antennin helposti kiinni, niin toimii laajemmallekin alueelle :)
 
Jos joku on tekemisisissä Fortinetin VPN:n kanssa, kannattaa harkita laitteiden päivittämistä ja salasanan vaihtoa:


 
En tiedä onko oikea alue mutta nyt tuli todella aidolta vaikuttava tietojenkalasteluhuijaus. Ainoa mikä laittoi epäilyttää oli lähettäjän sposti osoite reply@txn-email.playstation.com eikä sonyentertainment tms. Ja menin sitten normaaliin playstation suomi sivulle ja ei ollut ongelmaa tietty tilin kanssa.



1631259352773.png
 
En tiedä onko oikea alue mutta nyt tuli todella aidolta vaikuttava tietojenkalasteluhuijaus. Ainoa mikä laittoi epäilyttää oli lähettäjän sposti osoite reply@txn-email.playstation.com eikä sonyentertainment tms. Ja menin sitten normaaliin playstation suomi sivulle ja ei ollut ongelmaa tietty tilin kanssa.



1631259352773.png

Ei se lähettäjän osoite kerro mitään siitä että onko posti validi vaiko ei kun edelleenkään ei spf tietoja kaikkialla käytetä. Headeria tutkimalla saa enemmän infoa ja itse viestin linkkejä että onko mitä silmälle näyttää vai ohjaavatko jonnekin aivan muualle.

playstation.com on kuitenkin ihan sonyn domain ja toi txn-email.playstation.com resolvaa kanssa joten en kyllä tuolla perusteella lähtisi tuomitsemaan kalasteluksi vaan vaatisi tosiaankin headerin ja linkkien syvällisempää tutkintaa.

Onkos toi boneskinner sun ihan oikea tunnus? Jos toi olis kalastelu, niin sitten sonylle on sattunu vuoto.
 
Jos toi olis kalastelu, niin sitten sonylle on sattunu vuoto.
Täytyyhän tuon kalastelu olla, koska
1) käyttäjä ei ole vaihtanut salasanaa
2) vanha salasana toimii

Aktivoi lisäksi 2FA Sony/Playstation-tilille, niin ei tarvitse olla niin varpaillaan salasanojen ja murtojen kanssa
 
Helpoin se on todeta, kun katsoo mihin nuo linkit meilissä johtavat. Varsinkin tuo nappi.
 
Täytyyhän tuon kalastelu olla, koska
1) käyttäjä ei ole vaihtanut salasanaa
2) vanha salasana toimii

Aktivoi lisäksi 2FA Sony/Playstation-tilille, niin ei tarvitse olla niin varpaillaan salasanojen ja murtojen kanssa

No ei sen nyt vaan täydy olla.

Viestissä puhutaan tileistä. Mitä jos käyttäjä onkin jonkun linkitetyn tilin salasanan vaihtanut ja se on jostain syystä triggeröinyt tuon ilmoituksen.

Tai sitten ihan vaan joku bugi kyseessä. Kuten sanottu jo niin noilla tiedoilla mitä tuosta nyt on, ei voida kyllä tuomita kalasteluksi.

Koodi:
dig TXT txn-email.playstation.com

; <<>> DiG 9.16.20-RH <<>> TXT txn-email.playstation.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49466
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;txn-email.playstation.com.     IN      TXT

;; ANSWER SECTION:
txn-email.playstation.com. 3600 IN      TXT     "v=spf1 include:cust-spf.exacttarget.com -all"
txn-email.playstation.com. 3600 IN      TXT     "spf2.0/pra include:cust-senderid.exacttarget.com -all"

;; Query time: 322 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Sep 10 23:02:33 EEST 2021
;; MSG SIZE  rcvd: 177

dig TXT cust-spf.exacttarget.com

; <<>> DiG 9.16.20-RH <<>> TXT cust-spf.exacttarget.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39243
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;cust-spf.exacttarget.com.      IN      TXT

;; ANSWER SECTION:
cust-spf.exacttarget.com. 300   IN      TXT     "v=spf1 ip4:64.132.92.0/24 ip4:64.132.88.0/23 ip4:66.231.80.0/20 ip4:68.232.192.0/20 ip4:199.122.120.0/21 ip4:207.67.38.0/24 " "ip4:128.17.0.0/20 ip4:128.17.64.0/20 ip4:128.17.128.0/20 ip4:128.17.192.0/20 ip4:128.245.0.0/20 ip4:128.245.64.0/20 " "ip4:207.67.98.192/27 ip4:207.250.68.0/24 ip4:209.43.22.0/28 ip4:198.245.80.0/20 ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:13.111.0.0/16 ip4:161.71.32.0/19 ip4:161.71.64.0/20 ip4:13.110.208.0/21 ip4:13.110.216.0/22 -all"

;; Query time: 185 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Sep 10 23:04:32 EEST 2021
;; MSG SIZE  rcvd: 530

Tuolla domainilla on spf käytössä, eli tota mailia ei ole voitu ihan mistä tahansa osoitteesta edes lähettää, joka taas sulkee pois sitä että olis kalastelu.
 
Kaverille tuli tänään pari tuntia sitten hyvin samanlainen viesti. Kaverilla tietokone ja pleikkari on kotona ja kaveri on ollut itse viimeisen viikon mökillä valmistelemassa mökkiä talvikuntoon ja viettämässä lomaa "middle of nowhere" eikä ole mihinkään pleikkariin tai peleihin liittyvään koskenutkaan viikkoon joten haiskahtaa aika vahvasti kusetukselle.
 
Untitled.png


Tää on sitten varmaan kalastelua kanssa kun itte vaihoin salasanan.

Ensin tuli englanniksi ja täysin eri email osoitteesta se varmistus.

Sitten vaihoin kielen suomeksi ja kas kummaa. Tismalleen samanlainen vahvistusviesti. Linkit on kaikki legittejä tuossa. Ei mitään kummallista.

Kielenä kun oli englanti, niin vahvistus salasanan vaihdosta näytti tältä:

1631307572477.png
 
Toisaalta, kaikki sähköpostipalvelimet eivät noista spf:istä välitä tai ainakin päästävät valitettavasti viestit läpi.

Ja vielä suurempi rike nykyajan sähköposteissa on se, että ne eivät oletuksena edes näytä lähettäjän sähköpostiosoitetta vaan sen mitä lähettäjä on määritellyt lähettäjän nimeksi, jolla saadaan hauskasti maskattua lähettäjä vaikkapa laittamalla vastaanottajan nimeen se legit-osoite vaikka oikea lähettäjän osoite olisi aivan joku muu. ennen sentään näkyi "Joulupukki <joulupukki@korvatunturi.fi>" mutta nykyään voi lähettäjän osoite olla mitä vaan ja kunhan laittaa lähettäjän nimi-kenttään tuon koko rimpsun "Joulupukki <joulupukki@korvatunturi.fi>" niin sähköpostiohjelma näyttää yleensä vain tuon vaikka viesti olisi todellisuudessa lähetety vaikka osoiteesta huijari@huijaa.com. Tunnustettakoon tässä että itsekin olen aikanaan yli 10v sitten lähettänyt kavereille jouluterveisiä niin että lähettäjänä on näkynyt "joulupukki@korvatunturi.fi".
 
Toisaalta, kaikki sähköpostipalvelimet eivät noista spf:istä välitä tai ainakin päästävät valitettavasti viestit läpi.

Ja vielä suurempi rike nykyajan sähköposteissa on se, että ne eivät oletuksena edes näytä lähettäjän sähköpostiosoitetta vaan sen mitä lähettäjä on määritellyt lähettäjän nimeksi, jolla saadaan hauskasti maskattua lähettäjä vaikkapa laittamalla vastaanottajan nimeen se legit-osoite vaikka oikea lähettäjän osoite olisi aivan joku muu. ennen sentään näkyi "Joulupukki <joulupukki@korvatunturi.fi>" mutta nykyään voi lähettäjän osoite olla mitä vaan ja kunhan laittaa lähettäjän nimi-kenttään tuon koko rimpsun "Joulupukki <joulupukki@korvatunturi.fi>" niin sähköpostiohjelma näyttää yleensä vain tuon vaikka viesti olisi todellisuudessa lähetety vaikka osoiteesta huijari@huijaa.com. Tunnustettakoon tässä että itsekin olen aikanaan yli 10v sitten lähettänyt kavereille jouluterveisiä niin että lähettäjänä on näkynyt "joulupukki@korvatunturi.fi".

Sen takia juuri se headerin tonkiminen onkin aiheellista heti ensimmäisenä kun epäilee viestin aitoutta.

Koodi:
ARC-Authentication-Results: i=1;
    box.mun-maili-serveri.fi;
    dkim=pass header.d=txn-email.playstation.com header.s=200608 header.b=vO+vGmVi;
    spf=pass (box.mun-maili-serveri.fi: domain of bounce-19_HTML-419170498-415900-6416383-778328@bounce.txn-email.playstation.com designates 136.147.184.218 as permitted sender) smtp.mailfrom=bounce-19_HTML-419170498-415900-6416383-778328@bounce.txn-email.playstation.com
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=mun-maili-serveri.fi;
    s=dkim; t=1631306943; h=from:from:reply-to:reply-to:subject:subject:date:date:
     message-id:message-id:to:to:cc:mime-version:mime-version:
     content-type:content-type:list-id:list-help:dkim-signature;
    bh=HudFVviYbIPZ65B+7Gbz7wM4cJxDZuELROkoXtZdbF0=;
    b=Q3qOqhiHJtwtGAiHGsWwJSNH/7EuZ59eyns3rajpOxRtUG9uGRQYMGrBQ/4Mgdb0h6Rlna
    GrQ3iNtTqMeasHjCofellPahtioolCE4CbeJvt2wAhlDmJPrVZ6p4/n9qf6lpwVP141E6I
    0DYzA0xwrZKVPh18wg0MugDIpa+i8L22kyTlYoyRgIbyhbYsWfWWIxWBVs8xhURRTUP7WO
    TtRJhe9LuyQPUt+XlPqdBOAMPyIWbbh9Gz4TCxKICwMG5pJgD7iBMW8pi+A4aH5xdO7ZSx
    Wd30i0+eW6ipyUXwwZ8QSNs0YsmgfpuUOGG8NAj42A7k2P1jOLqPRF4X/wf2UQ==
ARC-Seal: i=1; s=dkim; d=mun-maili-serveri.fi; t=1631306943; a=rsa-sha256; cv=none;
    b=AOW/y4HU1nqLxfYApV3GZRbegC7f12O/JMqKgxi6GZWsWYOW/alisQ0I8LlTgu9/K3ZeUW
    syHCuYa+C+i4iAvzMig7AAoUGK8h9tKAtRmxmn6aey+DvjigZxhQ7iqWXZDqpt/Hacdbi7
    4s5uevFVLLfopaEofHxiFqPeNEvfrWKb6Hes/kPiBf7dpwSYyl8/3qRfht9DCeIFXbTgq3
    pc6+NHnIoR+CEMLq48fQMF9Fs0bTabAnwM4BSeCWIQmFW08p60hIqRCoV3ulLYfOo+xB4i
    Tpt7h2EiS+6xD1d0URw8LLLhhW7I8dHpsFLKp9eXG6VTwIj10wMocmyJB43deA==
X-Last-TLS-Session-Version: TLSv1.2
Authentication-Results: box.mun-maili-serveri.fi;
    dkim=pass header.d=txn-email.playstation.com header.s=200608 header.b=vO+vGmVi;
    dmarc=pass (policy=reject) header.from=playstation.com;
    spf=pass (box.mun-maili-serveri.fi: domain of bounce-19_HTML-419170498-415900-6416383-778328@bounce.txn-email.playstation.com designates 136.147.184.218 as permitted sender) smtp.mailfrom=bounce-19_HTML-419170498-415900-6416383-778328@bounce.txn-email.playstation.com

Esim toi kertoo jo paljon. On siis läpäissy dkim, dmarc ja spf checkit.

Tommonen maili vois tulla kusettajalta, riippuen noista dkim, dmarc ja spf säädöistä läpitte niin että ne kaikki näyttäs fail.
Mutta noi voidaan myös säätää niin että jos feilaa niin se maili menee dev/null eikä vastaanottaja näe sitä koskaan. Monesti noita kuitenkin ajetaan ns. softfail tilassa, eli vaikka ne feilaa niin maili välitetään vastaanottajalle ja on sitten vastaanottajan vastuulla päätelllä onko maili legitti vaiko ei.
 
Mutta noi voidaan myös säätää niin että jos feilaa niin se maili menee dev/null eikä vastaanottaja näe sitä koskaan. Monesti noita kuitenkin ajetaan ns. softfail tilassa, eli vaikka ne feilaa niin maili välitetään vastaanottajalle ja on sitten vastaanottajan vastuulla päätelllä onko maili legitti vaiko ei.

Hmm, drmac:n kautta voidaan ohjeistaa toista päästä käsittelemään tiukasti. Joskaan sitäkään ei välttämättä tosissaan se vastanaottaja kunnioita. Kuten mun tapauksessa.

Käytän itse email osoitteita, jotka on aina uniikkeja / kontakti / keissi. Tämän takia taas en käytä mitään filtteröintiä sisääntulevien mailien osalta, koska monesti spam filtteröinti itsessään on iso ongelma ja viestit jäävät tulematta perille.

mm. Outlookilla on tapana just devnullata viestejä, ei edes bouncettaa, joka on muuten super ärsyttävää. Ei mene spam folderiin tai yhtään mihinkään. Ilmoittaa että maili vastaanotettu ok, ja sinne katosi. - Vika vai ominaisuus?

Edit: DMARC strict / relaxed referensi lisätty, ei viitti pistää tästä omaa postausta: DMARC - Strict vs Relaxed alignment kun on kuitenkin semisti off-topic tässä langassa.
 
Viimeksi muokattu:
Hmm, drmac:n kautta voidaan ohjeistaa toista päästä käsittelemään tiukasti. Joskaan sitäkään ei välttämättä tosissaan se vastanaottaja kunnioita. Kuten mun tapauksessa.
En ihan varma mitä tarkoitat, mutta noin yleisesti jos lähtevässä päässä tietueet on säädetty niin että mailit menee dev/nulliin, niin todennäköisesti ne jollain vastaanottajalla menee.

mm. Outlookilla on tapana just devnullata viestejä, ei edes bouncettaa, joka on muuten super ärsyttävää. Ei mene spam folderiin tai yhtään mihinkään. Ilmoittaa että maili vastaanotettu ok, ja sinne katosi. - Vika vai ominaisuus?
outlook.com palvelussa ? tuolla ja monella muulla tuollainen käytös on ongelma, ja ei helpota ythään jos siellä lähtevässä päässä niin myös pyydetään tekemään.
 
Elementtiin (ja Matrix SDK:n) on nyt julkaistu tietoturva-paikka.
Varoituksen sanana sitten, että päivityspalvelimet on tuhannen tukossa.

Tässä tarkemmat tiedot tuosta Matrix implementaatioiden haavoittuvuudesta:

Ja samaan viestiin:
En ihan varma mitä tarkoitat, mutta noin yleisesti jos lähtevässä päässä tietueet on säädetty niin että mailit menee dev/nulliin, niin todennäköisesti ne jollain vastaanottajalla menee.
Tuossahan sitä saa ohjeistaa miten halutaan menetellä asian suhteen: DMARC - Strict vs Relaxed alignment
 
Viimeksi muokattu:
Apple korjasi kriittisiä haavoittuvuuksia. Koskee myös macOS ja watchOS käyttöjärjestelmiä.

Liittynee NSO Groupin Pegasus-järjestelmään.
 
Tässä syy miksi itse en halua esim. älykelloa, joka jakaa tiedot jonnekin pilveen, josta ne sitten saattaa "vahingossa" levitä yleiseen tietoon...
(Saisi markkinoille tulla ns. standalone laitteita, joista saisi datan helposti ulos jollain standardilla, jota paikallisesti sitten voi tarkemmin tutkia vaikka ihan softalla tietokoneella, ainahan sitä voi unelmoida.)
- Total Size: 16.71 GB / Total Records: 61,053,956
- Internal records exposed the following: deviceapi_profile, type, id, score, source, source_id, weight, e_id, fetched_time, height, birthday, gethealthID, first_name, last_name, display_name, url, gender, org_id, time_zone.
- GetHealth can sync data from the following: 23andMe, Daily Mile, FatSecret, Fitbit, GoogleFit, Jawbone UP, Life Fitness, MapMyFitness, MapMyWalk, Microsoft, Misfit, Moves App, PredictBGL, Runkeeper, Sony Lifelog, Strava, VitaDock, Withings, Apple HealthKit, Android Sensor, S Health.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
262 534
Viestejä
4 556 167
Jäsenet
74 997
Uusin jäsen
jimbauzzi

Hinta.fi

Back
Ylös Bottom