Tietoturvauutiset ja blogipostaukset

Apple on nyt julkaissut Androidille tuon Tracker Detect -sovelluksen, jolla voi paikantaa AirTagejä ja muita Find My network -tuotteita. Eli Android-laitteiden omistajat voivat nyt etsiä esim. autostaan sinne kuulumattomia AirTagejä
 
Apple on nyt julkaissut Androidille tuon Tracker Detect -sovelluksen, jolla voi paikantaa AirTagejä ja muita Find My network -tuotteita. Eli Android-laitteiden omistajat voivat nyt etsiä esim. autostaan sinne kuulumattomia AirTagejä

Tätä ei jostain syystä Playn haulla löydy, mutta linkistä asennettuna pelaa.
 
Tässä on hyvä artikkeli, joka selittää miksi selaimiin mukaan rakennettujen salasana sovellusten käyttäminen ei ole tietoturvallista esim. chromessa haittaohjelma voi lähettää chromen omaan salasanasovellukseen tallennetut salasanat selväkielisinä hakkereille eteenpäin käyttäen chromen omia rajapintoja hyväksi vaikka itse tietokanta onkin salattu. Tämä sama ei ole mahdollista ulkopuolisilla salasanasovelluksilla, jotka salaavat salasanat erillisella mastersalasanalla, jotka eivät tarjoa samanlaista rajapintaa hakea salasanat haittaohjelmalle käyttöön.
 
Tässä on hyvä artikkeli, joka selittää miksi selaimiin mukaan rakennettujen salasana sovellusten käyttäminen ei ole tietoturvallista esim. chromessa haittaohjelma voi lähettää chromen omaan salasanasovellukseen tallennetut salasanat selväkielisinä hakkereille eteenpäin käyttäen chromen omia rajapintoja hyväksi vaikka itse tietokanta onkin salattu. Tämä sama ei ole mahdollista ulkopuolisilla salasanasovelluksilla, jotka salaavat salasanat erillisella mastersalasanalla, jotka eivät tarjoa samanlaista rajapintaa hakea salasanat haittaohjelmalle käyttöön.

Minun mielestä tässä puhutaan kyllä siitä automaattisesta tunnusten täytöstä, eikä itse salasana sovelluksesta.

Lisäksi olisi ollut melkein mielenkiintoisempaa kuulla, miten tätä haitaketta levitetään ja kuinka helposti se koneelle asentuu. Yksi esimerkki oli lopussa, mutta aika paljon jäi avoimia kysymyksiä sen suhteen.
 
Viimeksi muokattu:
Minun mielestä tässä puhutaan kyllä siitä automaattisesta tunnusten täytöstä, eikä itse salasana sovelluksesta.

Lisäksi olisi ollut melkein mielenkiintoisempaa kuulla, miten tätä haitaketta levitetään ja kuinka helposti se koneelle asentuu. Yksi esimerkki oli lopussa, mutta aika paljon jäi avoimia kysymyksiä sen suhteen.

Googlaamalla Redline löytää kyllä lisätietoa. Käyttäjätunnusten ja salasanojen lisäksi RedLine yrittää varastaa koneella olevat kryptovaluuttalompakot ja siirtää välittömästi kryptovaluutat toiselle tilille. Redline osaa varastaa salasanat vain selaimiin integroiduista selainten omista salasana hallintasovelluksista ei siis jos käyttää jotain kolmannen osapuolen sovellusta.
 
RedLine on tosiaan haittaohjelma, joka pitää ensin saada asentumaan koneelle. Yleisin tapa näyttäisi olevan Excelin XLL -tiedoston lataus ja avaaminen, joka asentaa sitten itse haittaohjelman.
Ja haittaohjelma tosiaan avaa ja purkaa Chromen Login Data -tiedoston (Eli sisältää Chromeen tallennetut tunnukset), josta saa nuo tunnukset ja salasanat haltuun. Purkaminen onnistuu ihan nykyisen sisäänkirjautuneen Windows-käyttäjän credentiaaleilla.
Nuo ulkopuoliset salasanasovellukset on tällä hetkellä ainakin turvassa, kun niihin tarvitaan avaukseen ihan oma salausavaimensa.
 
Jostain syystä Chrome kirjoittaa myös selainlaajennusten localStorage-dataa koneelle plain-textinä ilman, että sille on mitään järkevää syytä. Osaava tekijä saa sieltäkin kaikenlaista infoa selville.
 
Jostain syystä Chrome kirjoittaa myös selainlaajennusten localStorage-dataa koneelle plain-textinä ilman, että sille on mitään järkevää syytä. Osaava tekijä saa sieltäkin kaikenlaista infoa selville.

En varsinaisesti ole mikään expertti sen verran tiedän, että kaikissa netti selaimissa on localstorageita, koska html 5 tuki edellyttää selaimelta tukea niille. Mihin web sivuilla toimivat ohjelmat voivat tilapäisesti tallentaa pieniä määriä dataa tai selain laajennokset. Olisi kiva tietää pystyykö muut selain sovellukset lukemaan dataa muiden sovellusten localstorageista. Jos pystyy niin aikamoinen tietoturvariski. Jos esim. gmailin localstoragesta joku muu sovellus kuin gmail pystyy lukemaan sähköposteja tms.
 
Tuo Chromen juttu että salasanat on tallennettu selväkielisinä on Googlen mukaan ominaisuus. Siitä tehtiin aikoinaan bugi Chromeen ja Google sulki sen statuksella "wont fix". Firefoxissa sentäs voi laittaa salasanat kryptattuna master passwordin taakse.
 
Tuo Chromen juttu että salasanat on tallennettu selväkielisinä on Googlen mukaan ominaisuus. Siitä tehtiin aikoinaan bugi Chromeen ja Google sulki sen statuksella "wont fix". Firefoxissa sentäs voi laittaa salasanat kryptattuna master passwordin taakse.

Jep. Käsittääkseni Chromen salasanat on kryptattu Windowsin omalla rajapinnalla joka estää decryptauksen muiden käyttäjien toimesta. Eli kirjautuneena mikä tahansa ko. käyttäjän sovellus pääsee niihin periaatteessa käsiksi.
 
Virustorjuntayhtiöt kuten Avira ja Norton alkavat työntämän krypto-minereitä koneelle, joskin Opt-In periaatteella. Jokainen voi tehdä asiasta omat johtopäätöksensä:
Onhan tuo paskaa, mutta Nortonin tuotteet ovat olleet sitä muutenkin ties kuinka pitkään. Windowsin oma suojaus on nykyään kokonaisuutena sen verran ok, että nämä perinteiset virustorjuntapuljut ovat menettäneet asiakkaita ja kehitelleet uusia ansaintamenetelmiä. Mainosten jälkeen seuraava askel on ilmeisesti muuttua itse haittaohjelmaksi.
 
Osuuspankki ollut tänään hyökkäyksen kohteena:

Osuuspankin verkkopalveluissa oli tänään häiriö. Pankki vahvistaa MTV Uutisille, että häiriön syynä oli kyberhyökkäys.

Hyökkäys ei ole enää käynnissä.

– Asikkaiden pankkitunnukset ja rahat eivät ole vaarantuneet, sanoo viestintäjohtaja Lotta Ala-Kulju.

– Kyseessä oli verkkopankin kirjautumissivulle kohdistunut kyberhyökkäys, joka esti kirjautumissivun käytön, sanoo yhtiön turvallisuusjohtaja Teemu Ylhäisi MTV Uutiset Liven haastattelussa.

Ylhäisin mukaan pankki otti itse verkkopalvelunsa pois käytöstä hyökkäyksen johdosta ja ryhtyi korjaamaan ongelmaa.

– Ne on nyt saatu tehtyä ja palvelu on nostettu takaisin käyttöön.

Iltalehden tietojen mukaan OP:n verkkosivuille ilmestyi häiriön aikana englanninkielinen teksti: "I can break rules, too. Goodbye".

Ylhäisin mukaan tämä ei kuitenkaan ollut hyökkääjän jättämä viesti, vaan OP:n järjestelmän oma häiriöviesti, joka näkyi muutamille asiakkaille.

– Siinä oli kieltämättä erikoinen kirjoitusasu.

Hyökkäyksen tekijästä ei ole vielä tietoa.

– Sitä tullaan selvittämään poliisin kanssa.

Myös Ylhäisi korostaa, ettei asiakkaiden tarvitse olla huolissaan rahojensa tai tietojensa vaarantumisesta.

– Hyökkäys kohdistui pelkästään verkkopankin kirjautumissivuun.

Iltalehden tietojen mukaan OP:n verkkopankki oli poissa käytöstä useamman tunnin ajan.

– Teemme parhaillaan huoltotöitä palvelussa. Katkon aikana voit asioida mobiilipalveluissamme, kertoi Osuuspankki aiemmin sivuillaan.

OP ryhmä kertoo nyt myös Twitter-tilillään, ettei asiakkaiden tietoja ole vaarantunut.

Tuo virheilmoitus ("I can break rules, too. Goodbye") on varmaan säikäyttänyt monet luulemaan, että sivusto on oikeasti haxoroitu, mutta tuo on vaan typerästi muotoiltu SMTP-virheilmoitus statuksella 221 2.7.0, jonka mm. Postfix-postipalvelin palauttaa tietyssä tilanteessa. Se on sitten eri asia miksi op.fi verkkosivu näyttää smtp-virhekoodeja ja mitä siellä on todellisuudessa tapahtunut, mutta tuo teksti itsessään ei kuitenkaan ole mikään hyökkääjän jättämä viesti.

Toivotaan ettei ole mitään Log4Shell-haavoittuvuuteen liittyvää toimintaa, vaan pelkästään joku ddos-hyökkäys.
 
Viimeksi muokattu:
Kyllähän nuo ovat alkaneet levitellä lonkerojaan erinäisille markkinoille, esim. Avastin selainta mainostetaan kovasti tietoturvalliseksi.

Ja Suomen mediassa hehkutetaan esim. pankkitilaa, joka turvaa verkkopankissa käynnin ja yllättäen vaatii myöskin sen Avastin muut tietoturva paskeet sinne taustalle että toimii...
 
Juu, ensimmäisenä itseäkin ihmetytti tuo miksi Postfixin virheilmoitus on putkahtanut kirjautumissivulle. Olisiko joku reikä löydetty joka käyttää postfixiä mutta yritys on epäonnistunut tms.
 
Kyllähän nuo ovat alkaneet levitellä lonkerojaan erinäisille markkinoille, esim. Avastin selainta mainostetaan kovasti tietoturvalliseksi.
Hieno ilmoitus tulee Safarilla :)

We’re sorry, your browser appears to be outdated.
To see the content of this webpage correctly, please update to the latest version or install a new browser for free, such as Avast Secure Browser or Google Chrome.
 
Kyllähän nuo ovat alkaneet levitellä lonkerojaan erinäisille markkinoille, esim. Avastin selainta mainostetaan kovasti tietoturvalliseksi.

Ja Suomen mediassa hehkutetaan esim. pankkitilaa, joka turvaa verkkopankissa käynnin ja yllättäen vaatii myöskin sen Avastin muut tietoturva paskeet sinne taustalle että toimii...
Koomista, kun avastin selainta mainostetaan tietoturvallisena. Yhtiö joka itse myi käyttäjätietoja ja samaan aikaan mainosti yksityisyyttä suojelevaa selain laajennusta joka keräsi ne myytävät tiedot.
 
Kyllähän nuo ovat alkaneet levitellä lonkerojaan erinäisille markkinoille, esim. Avastin selainta mainostetaan kovasti tietoturvalliseksi.
Ketkä / mitkä ?

Oletan ettei liitty tuohon OP juttuun, vai meinaatko että joku Avastin mainos hyökkäys ?

Krypto louhintaakaan tuskin liittyy ?


Ja Suomen mediassa hehkutetaan esim. pankkitilaa, joka turvaa verkkopankissa käynnin ja yllättäen vaatii myöskin sen Avastin muut tietoturva paskeet sinne taustalle että toimii...

Tuo "uutinen" vaikuttu kyllä mainokselta, ja jos mainostetut ominaisuudet vaatii maksullisia palveluita, niin kaiken lisäksi harhaanjohtava mainos.

Tosin tietoisesti varmaan, koska sanat valittu tarkkaan
Avast Secure Browserin erikoisuus on Windows-versiossa oleva Avast Antivirusta hyödyntävä virtuaalinen pankkitila.
ja
Avast Secure Browserin saa ladattua ilmaiseksi


Edit:
Pistetään se tarkempi kuvaus
Avast Secure Browserin erikoisuus on Windows-versiossa oleva Avast Antivirusta hyödyntävä virtuaalinen pankkitila. Pankkitilan aktivointi käynnistää eristetyn session, missä kaikki toiminta on piilotettu ja suojattu muilta ohjelmilta, myös haittaohjelmilta. Pankkitilaa voi käyttää myös, kun tekee verkko-ostoksia tai käsittelee arkaluontoista tietoa web-sovelluksissa.
Jos tuon nyt oikein tajusi, niin ihan hyvältä ominaisuudelta kuullostaa.
 
Hulluksi maailma menee, kun Antivirustomittaja asentaa Cruotominerin tietoisesti koneelle.

Avaa vähän tarkemmin, siis asentaa tietoisesti ? siis tarkoitatko että käyttäjä voi tietoisesti sen asentaa, vai että joku Antivirustoimittaja asentaa sen käyttältä kysymättä ?

Linkistäsi sain käsityksen että Norton on tämä toimittaja ja käyttäjä sen asentaa jos asennuksen hyväksyy. Ongelma siinä että käyttäjät niitä asentelee, ja pois kytkeminen/poisasentaminen työläämpää.


Kenelle ne kryptolouhinnan tulokset menee ? Ymmärsin että louhijalla, mutta kuluja jos niitä vaihtelee. (edit Norton ottaa 15% provikan, jostain)

Jossain ketjussa oli muistaakseni postatt jotain saman tapaista , taisi olla eri firmoja, eroaako tämä niistä ?

Edit:, eli Avira Antivirus ohjelmiston mukana tarjotaan myös louhinta ominaisuutta.

Siis se asennetaan käyttäjän koneelle paketin mukana, mutta sen aktivointi vaatii käyttäjän toiminnan. Mutta minun mielestäni tuon pitäisi olla vaihtoehto jo asennettaessa, että voi jättää tuollaiset turhuudet pois! Odotan sitä päivää, ku joku malware hyväksikäyttää jotain tietoturva softan mukana tullutta kryptomineria...
Ja jos tuota haluaa käyttää, niin Norton nappaa välistä 15% provikat.

Ja ei se Norton ole ainoa, mutta omistaa kylläkin nykyään tuonkin softan.
 
Viimeksi muokattu:
Avaa vähän tarkemmin, siis asentaa tietoisesti ? siis tarkoitatko että käyttäjä voi tietoisesti sen asentaa, vai että joku Antivirustoimittaja asentaa sen käyttältä kysymättä ?

Linkistäsi sain käsityksen että Norton on tämä toimittaja ja käyttäjä sen asentaa jos asennuksen hyväksyy. Ongelma siinä että käyttäjät niitä asentelee, ja pois kytkeminen/poisasentaminen työläämpää.


Kenelle ne kryptolouhinnan tulokset menee ? Ymmärsin että louhijalla, mutta kuluja jos niitä vaihtelee.

Jossain ketjussa oli muistaakseni postatt jotain saman tapaista , taisi olla eri firmoja, eroaako tämä niistä ?
Siis se asennetaan käyttäjän koneelle paketin mukana, mutta sen aktivointi vaatii käyttäjän toiminnan. Mutta minun mielestäni tuon pitäisi olla vaihtoehto jo asennettaessa, että voi jättää tuollaiset turhuudet pois! Odotan sitä päivää, ku joku malware hyväksikäyttää jotain tietoturva softan mukana tullutta kryptomineria...
Ja jos tuota haluaa käyttää, niin Norton nappaa välistä 15% provikat.

Ja ei se Norton ole ainoa, mutta omistaa kylläkin nykyään tuonkin softan.
 
Siis se asennetaan käyttäjän koneelle paketin mukana, mutta sen aktivointi vaatii käyttäjän toiminnan.
Juu.
ncrypto.exe löytyy nortonin asennushakemistosta. Katsotaan, tuleeko se sinne uudestaan, kun erinäistä väkivaltaa käyttäen kävin poistamassa ko fileen.
 
Virustorjuntayhtiöt kuten Avira ja Norton alkavat työntämän krypto-minereitä koneelle, joskin Opt-In periaatteella. Jokainen voi tehdä asiasta omat johtopäätöksensä:

Mahtaako olla talousvaikeuksia kun on noin alhaiseen temppuun päädytty... Minun puolestani saisi mennä konkurssiin jokainen firma, joka tuollaiseen ryhtyy.

edit: Jaa, opt-in kuitenkin. Mutta koskahan sattuu ensimmäinen "lipsahdus"...
 
Mahtaako olla talousvaikeuksia kun on noin alhaiseen temppuun päädytty... Minun puolestani saisi mennä konkurssiin jokainen firma, joka tuollaiseen ryhtyy.

edit: Jaa, opt-in kuitenkin. Mutta koskahan sattuu ensimmäinen "lipsahdus"...
Tuossa on vähän harkintakyky tosiaan pettänyt, mutta ajatus on varmaan kuitenkin ollut tarjota uutta palvelua asiakkaille, kun eihän noilla sentään louhita kolikoita ulkopuolisille, vaan sen käyttäjän henkilökohtaiselle tilille, jolla sovellusta käytetään. Tuota ominaisuutta tuskin monikaan tarvitsee ja jos se olisi oletuksena käytössä tai lipsahtaa käyttäjältä vahingossa päälle, niin kone huutaa hoosiannaa ja sähkölaskussa voi laittaa nollan perään.
 
Osaan kyllä kuvitella useammankin "nerokkaan" käyttöliittymäratkaisun missä tavallinen käyttäjä ihan vahingossa tai epähuomiossa laittaa louhijan päälle. Ja kun vielä louhinnasta osa menee softan tekijälle niin en yhtään ihmettelisi että käyttöliittymä tehtäisiin jopa tarkoituksella sellaiseksi että herkästi vahingossa klikkaisi tuon päälle.
 
Eipä toi Nortonin krypto louhinta aktivoidu muuta kuin käyttäjän pitää itse käydä laittamassa se päälle. Sinällään jos tuo louhijan koodi on norttonin kirjoittamaa on se tietoturvallista koodia. Suurin epäeettinen juttu tuossa louhijassa on se, että käyttäjät, jotka louhivat sillä kryptokolikoita menettävät rahaa, koska nykyisillä sähkönhinnoilla louhinta ei ole kannattavaa kotikoneella. Norton itse taas automaattisesti voittaa oman provikansa verran, koska käyttäjä maksaa sähkölaskun millä kolikot louhitaan.

Eli tuon louhinta softan käyttö jää pääasiassa siihen, että esim. perheen teini louhii vanhempiensa maksamalla sähköllä itselleen kolikoita ja tienaa vähän extraa. Toinen vaihtoehto on, että joku louhii kolikoita työnantajan sähköillä tai jonkun muun osapuolen maksamilla sähköillä jos itse maksaa sähkölaskun ei se ole kannattavaa.
 
Avoimen lähdekoodin kehittäjä korruptoi tahallaan itse kirjoittamansa avoimen lähdekoodin kirjastot ilmeisesti protestina sille, että tuhannet firmat tienaa rahaa hänen kirjoittamallaan lähdekoodilla. Huvittavaa tässä tapauksessa on se, että kehittäjä bannataan git hubista jota kautta hänen koodejaan levitetään ja hän menettää pääsyn sataan omaan projektiinsa, jonka tekijän oikeudet hän itse omistaa. Hän ei siis voi edes poistaa omia projektejaan git hubista. Sinällään vähän mielenkiintoinen tilanne jos alkuperäinen kehittäjä ei pääse käsiksi enään omiin projekteihinsa.


Koodaajan tapa toimia ei ehkä ole järkevin, koska yleensä noita avoimen lähdekoodin projekteina voi käyttää esimerkkinä omasta osaamisesta esim. CV:ssä kun hakee palkallista työtä, mutta jos julkisesti sabotoi koodia kun suuttuu jostain ei kukaan firma uskalla enää palkata sellaista koodaajaa mihinkään hommaan, joka tahallaan saboi koodia. Joten siinä mielessä vähän typerä tapa toimia. Lisäksi jos koodit on jo julkaistu avoimen lähdekoodin lisenssillä ei sitä enää voi julkaisun jälkeen peruuttaa varsinkaan jos lisenssi ehdot eivät salli peruutuksia.

Tämä on kuitenkin hyvä esimerkki siihen mitä riskejä avoimeen lähdekoodiin voi liittyä jos sen kehittäjät päättävät toimia näin.
 
Avoimen lähdekoodin kehittäjä korruptoi tahallaan itse kirjoittamansa avoimen lähdekoodin kirjastot ilmeisesti protestina sille, että tuhannet firmat tienaa rahaa hänen kirjoittamallaan lähdekoodilla. Huvittavaa tässä tapauksessa on se, että kehittäjä bannataan git hubista jota kautta hänen koodejaan levitetään ja hän menettää pääsyn sataan omaan projektiinsa, jonka tekijän oikeudet hän itse omistaa. Hän ei siis voi edes poistaa omia projektejaan git hubista. Sinällään vähän mielenkiintoinen tilanne jos alkuperäinen kehittäjä ei pääse käsiksi enään omiin projekteihinsa.
On sillä ne varmaan vielä omalla koneellaan ja löytyy NPM:stä. GitHub on yksityinen yritys ja voi tehdä melkein mitä huvittaa.


Koodaajan tapa toimia ei ehkä ole järkevin, koska yleensä noita avoimen lähdekoodin projekteina voi käyttää esimerkkinä omasta osaamisesta esim. CV:ssä kun hakee palkallista työtä, mutta jos julkisesti sabotoi koodia kun suuttuu jostain ei kukaan firma uskalla enää palkata sellaista koodaajaa mihinkään hommaan, joka tahallaan saboi koodia. Joten siinä mielessä vähän typerä tapa toimia. Lisäksi jos koodit on jo julkaistu avoimen lähdekoodin lisenssillä ei sitä enää voi julkaisun jälkeen peruuttaa varsinkaan jos lisenssi ehdot eivät salli peruutuksia.
Voi kehittäjä julkaista uudet versiot haluamallaan lisenssillä, vanhoja versioita ei voi enää muuttaa. Ainakin jos on siis ainut kehittäjä, muuten pitää kysyä lupaa muilta kehittäjiltä.

Tämä on kuitenkin hyvä esimerkki siihen mitä riskejä avoimeen lähdekoodiin voi liittyä jos sen kehittäjät päättävät toimia näin.
Suljettuun koodiin voi laittaa mitä vaan ja sitä on vaikeampi huomata jos kehittäjä tekee jotain pahaa.

Tuntuu kyllä, että kehittäjä ei nyt ihan ymmärtänyt mitä avoin lähdekoodi ja lisenssi tarkoittaa. Ehkä hän valitsi väärän lisenssin, toinen noista kirjastoista oli ainakin MIT-lisenssillä, niin sen käyttäjillä ei ole velvoitetta julkaista omia parannuksiaan tai ohjelmiaan.
 
Ja vinkiksi siis että jos teet kirjaston niin ei sulle siitä mitään makseta. Se on projekti jonka näyttää CV:ssä ja mahdollisesti saa työpåaikan ja palkkaa rahan muodossa.
Ongelma tulee tuosta siinä vaiheessa, kun kirjastosta tulee niin suosittu, että pelkästään GitHubin pyörittäminen sen tiimoilta vie kaiken vapaa-ajan, ja kukaan muu ei halua ottaa asiasta vetovastuusta. Ja samalla suuryritykset myyvät asiakkailleen kehittämääsi toimintoa hintaan 5 dollaria per tunti, mutta eivät viitsi sijoittaa saamistaan voitoista senttiäkään alkuperäisen projektin tukemiseen. esim. OpenSSL:n Heartbleed osoitti hyvin sen, että kokonainen ekosysteemi on erittäinen haavottuvainen, jos sen ympärillä pyörivät toimijat eivät halua panostaa yhteiseen kehitykseen.
 
Ongelma tulee tuosta siinä vaiheessa, kun kirjastosta tulee niin suosittu, että pelkästään GitHubin pyörittäminen sen tiimoilta vie kaiken vapaa-ajan, ja kukaan muu ei halua ottaa asiasta vetovastuusta. Ja samalla suuryritykset myyvät asiakkailleen kehittämääsi toimintoa hintaan 5 dollaria per tunti, mutta eivät viitsi sijoittaa saamistaan voitoista senttiäkään alkuperäisen projektin tukemiseen. esim. OpenSSL:n Heartbleed osoitti hyvin sen, että kokonainen ekosysteemi on erittäinen haavottuvainen, jos sen ympärillä pyörivät toimijat eivät halua panostaa yhteiseen kehitykseen.
Ei kukaan kuitenkaan pakota kuluttamaan kaikkea vapaa-aikaa. Vaikka vastuuntunto voi siihen ajaa. Siinä vaiheessa voi vaan sanoa, että maksakaa, niin hoidan ajoissa.
 
Olisin kyllä halunnut olla paikalla kärpäsenä, kun joku on keksinyt tuon kryptominer -idean siellä Aviran konttorilla. Pidän aikamoisena out of the box ajatteluna.
 
Ja vinkiksi siis että jos teet kirjaston niin ei sulle siitä mitään makseta. Se on projekti jonka näyttää CV:ssä ja mahdollisesti saa työpåaikan ja palkkaa rahan muodossa.
Vähän yleistit, toki jos julkaiset avointakoodia hyvin vapaalla lisenssillä, niin koodista rahaa on vaikea kerjätä sen jälkeen kun sen on lahjoittanut kaikille ilman. Sitten ansaintalokiikka pitää hakea muualta.

Se ei tarkoita etteikö voisi tehdä tai etteikö olisi tehty kirjastoja rahaa vastaan.

Voi tehdä jopa ympäristöihin joista tartuu joku enemmän tai vähemmän avoin lisenssi.

Jos tekee komponentteja kokonaisuuteen missä se avoin lisenssi tarttuu omaan työhön, niin yleensä kyse homman ideasta, saanut muiden rahoittaman työn käyttöön ja on siihen osallistunut pienellä murusella.

Tämä on kuitenkin hyvä esimerkki siihen mitä riskejä avoimeen lähdekoodiin voi liittyä jos sen kehittäjät päättävät toimia näin.
Totta,
Pienen budjetin toimijalla todella iso riski. (isoillakkin konserneilla voi olla sitä pienten resurssien toimintaa)

Perinteisesti riskinä pidetty ,heiko laatu, tuen (kehityksen) loppuminen, ulkopuolisen vihamielisen koodin tuleminen, mutta riski myös että päätekijä muuttuu vihamieliseksi.
 
Kuluttajien keskuudessa suositut retitinvalmistajat ovat jälleen otsikkoissa:



The router vendors that use vulnerable NetUSB modules are Netgear, TP-Link, Tenda, EDiMAX, Dlink, and Western Digital.
 
Kuluttajien keskuudessa suositut retitinvalmistajat ovat jälleen otsikkoissa:
Ymmärsinkö oikein.
USB over IP komponentissa on haavoittuvuus, kuuntelee portti 2005 , mahdollista hyökätä netin puolelta, jos laite on julkisessa netissä eikä ole palomuurilla suljettu.


Se meni ohi että mitä sen kautta voidaan tehdä. Onko käyttäjän helppo sulkea, vai onko ns aina päällä?

Potenttiaalisen riskilaitteen ilmeisesti tunnistaa että siinä on USB isäntä portti (laitteeseen voi kytkeä USB laitteita), vai onko modulia myös laitteissa joissa ei ole ulkoista USB liitintä ? (edit ilmeisesti ei takaa)

(sori maalikko mutuilu, kiinnosti kuluttaja itse ongelma, eikä vain se että joku valmistaja tieturva otsikoissa)
 
Viimeksi muokattu:
Onpahan harvinaisen paska haavoittuvuus jos suoraan Internetistä päinkin tuota on mahdollista helposti hyväksikäyttää.
While going through various paths through various binaries, I came across a kernel module called NetUSB. As it turned out, this module was listening on TCP port 20005 on the IP 0.0.0.0.
Provided there were no firewall rules in place to block it, that would mean it was listening on the WAN as well as the LAN. Who wouldn’t love a remote kernel bug?

Netgear ainakin julkaissut joitain paikkauksia, eli jos jollain moinen purkki on niin heti päivitykseen.

According to the security advisory published on December 20, 2021, the affected Netgear products are the following:
  • D7800 fixed in firmware version 1.0.1.68
  • R6400v2 fixed in firmware version 1.0.4.122
  • R6700v3 fixed in firmware version 1.0.4.122

TP-Link julkaissut myös pätsit: Security Advisory for KCodes NetUSB Vulnerabilities | TP-Link Finland

1641905240103.png
 
Viimeksi muokattu:
Ei kukaan kuitenkaan pakota kuluttamaan kaikkea vapaa-aikaa. Vaikka vastuuntunto voi siihen ajaa. Siinä vaiheessa voi vaan sanoa, että maksakaa, niin hoidan ajoissa.

Jos alkuperäinen kehittäjä ei ehdi tai halua korjata bugeja niin avoimessa lähdekoodissa jonka koodit ovat kaikkien saatavilla esim. git hubissa kuka tahansa kenellä on riittävä osaaminen voi luoda koodista oman kopion kutsutaan git hubissa "fork" ja tehdä korjaukset siihen omaan kopioon jos sitä alkuperäistä kehityspuuta ei pysty muuttamaan. Jos se uusi kopio on parempi kuin alkuperäinen siirtyvät käyttäjät käyttämään sitä. Tästä syystähän esim. Linuxistakin on miljoona eri versiota kun eri tahot ovat luoneet koodista omia versioitaan.
 
Jos alkuperäinen kehittäjä ei ehdi tai halua korjata bugeja niin avoimessa lähdekoodissa jonka koodit ovat kaikkien saatavilla esim. git hubissa kuka tahansa kenellä on riittävä osaaminen voi luoda koodista oman kopion kutsutaan git hubissa "fork" ja tehdä korjaukset siihen omaan kopioon jos sitä alkuperäistä kehityspuuta ei pysty muuttamaan. Jos se uusi kopio on parempi kuin alkuperäinen siirtyvät käyttäjät käyttämään sitä. Tästä syystähän esim. Linuxistakin on miljoona eri versiota kun eri tahot ovat luoneet koodista omia versioitaan.
Jos nuo kovin haaroittuu niin tulee vaan helposti sekavaa paskaa kun alkaa olla kymmeniä epämääräisiä versioita, kasa kuolleita joita ei hoida kukaan ja joukko keskenään kilpailevia. Vähän niinkuin Linuxissa.
 
Jos alkuperäinen kehittäjä ei ehdi tai halua korjata bugeja niin avoimessa lähdekoodissa jonka koodit ovat kaikkien saatavilla esim. git hubissa kuka tahansa kenellä on riittävä osaaminen voi luoda koodista oman kopion kutsutaan git hubissa "fork" ja tehdä korjaukset siihen omaan kopioon jos sitä alkuperäistä kehityspuuta ei pysty muuttamaan. Jos se uusi kopio on parempi kuin alkuperäinen siirtyvät käyttäjät käyttämään sitä. Tästä syystähän esim. Linuxistakin on miljoona eri versiota kun eri tahot ovat luoneet koodista omia versioitaan.

Itte olen forkin mieltänyt enempi sellaiseksi jossa voit siis helposti tehdä muutoksia siihen orkkikseen ilman että se sotkee orkkis puuta mitenkään. Sitten kun olet sen oman säätösi saanut hyvälle mallille niin tehdään pull request siihen orkkikseen ja jos kaikki menee hyvin niin se hyväksytään orkkikseen.
Esim. linux kernelin kehityshän tapahtuu näin. Forkkeja on ihan älyttömästi sen takia, se ei tarkoita että niitä forkkeja oikeasti käyttäisi kukaan muu kuin itse forkin tekijä ja ehkä jokunen testaaja.

Sitten toki on erikseen forkit joissa alkuperäinen kehittäjä on pitkälti hylänny projektin ja joku muu on jatkanut.
 
Windowssisa kasa kriittisiä reikiä, eli normi paikka-tiistai taas kerran, kaikki hajalla, korjausta kehiin:
Osa on myös automaattisesti exploitattavissa, eli voi tulla viruksia ja matoja vanhaan kunnon tyyliin.
 
Windowssisa kasa kriittisiä reikiä, eli normi paikka-tiistai taas kerran, kaikki hajalla, korjausta kehiin:
Osa on myös automaattisesti exploitattavissa, eli voi tulla viruksia ja matoja vanhaan kunnon tyyliin.
Vähän outo, ettei kuitenkaan täällä sitten ole listattu mitään noista? Eli tämänpäiväinen kumulatiivinen päivitys Windows 11, joka siis ainoa päivitys tarjolla.

Vai tällä lausahduksellako ne kuittaa nuo muka:
Updates security for your Windows operating system.

Edit: Tosiaan, itse pitää kaivella tarkemmat tiedot, mutta siltikään ei taida mistään selkeästi nähdä, että onko nuo koneelle asentuneet:
 
Viimeksi muokattu:

Uusimmat viestit

Statistiikka

Viestiketjuista
262 551
Viestejä
4 556 839
Jäsenet
74 998
Uusin jäsen
hcko

Hinta.fi

Back
Ylös Bottom