Tietoturvauutiset ja blogipostaukset

Varoitus liittyen erillisen virustorjunnan lataamisesta eri paikoista:

Malwarea Bitdefenderin nimissä:

1647025265847.png

Bitdefenderin LinkedIn-postaus


Kannattaa siis tupla-varmistaa mistä ohjelmistoa ladataan. Oma suositukseni on että vendorin omat sivut ovat se ainut paikka johon kannattaa luottaa.

Joidenkin lähteiden mukaan myös teboil[.]fi triggeröi Colbat Strike Backdoor-malwarea.
 
Lähtökohtaisesti kaikki internetistä ladatut tiedostot kannattaa skannata VirusTotalilla VirusTotal

VirusTotal on Googlen ylläpitämä palvelu, mikä skannaa ladatun tiedoston 70:lla eri virus skannerilla.

Tietysti mitään arkaluontoisia, esim henkilötietoja sisältäviä tietoja, tuonne ei pidä ladata. Vaan esimerkiksi kaikki ohjelmat mitä meinaa omalle koneelle asentaa.

Sen sijaan että lataa tiedoston tuonne, voi itse muodostaa tiedostosta SHA2-tiivisteen ja tarkistaa sen tuolta sivun yläosan hakukentästä.
 
Viimeksi muokattu:
Intelin ja ARM prossuissa aukko:

VUSec security research group and Intel on Tuesday disclosed a yet another Spectre-class speculative execution vulnerability called branch history injection (BHI). The new exploit affects all of Intel processors released in the recent years, including the latest Alder Lake CPUs, and select Arm cores. By contrast, AMD's chips are believed to be unaffected.

BHI is a proof-of-concept attack that affects CPUs already vulnerable to Spectre V2 exploits, but with all kinds of mitigations already in place. The new exploit bypasses Intel's eIBRS and Arm's CSV2 mitigations, reports Phoronix. BHI re-enables cross-privilege Spectre-v2 exploits, allows kernel-to-kernel (so-called intra-mode BTI) exploits, and allows perpetrators to inject predictor entries into the global branch prediction history to make kernel leak data, reports VUSec. As a result, arbitrary kernel memory on select CPUs can be leaked and potentially reveal confidential information, including passwords. An example of how such a leak can happen was published here.
 
AMD:n Spectre V2 haavoittuvuuden korjaus on todettu riittämättömäksi. Linuxin kernelin uudessa versiossa 5.17 korjaus vaihtuu, AMD-spesifisestä LFENCE/JMP-toteutuksesta, geneeriseen Retpoline-toteutukseen, jota Intelin prosessoreilla on käytetty jo aikaisemmin. Tällä on pieni suorituskykyvaikutus jossain tilanteissa. Sama muutos tulee Windowsiin jollain aikataululla.

The Performance Impact Of AMD Changing Their Retpoline Method For Spectre V2
 
Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:
 
Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:

Voi kyllä olla, että Venäjällä ja Valkovenäjällä alkavat hieman paremmin tutkimaan mitä koodia projekteissaan käyttävät. Tässä tuo tärkein uutisesta:
"Interestingly, the malicious code, committed as early as March 7th by the dev, would read the system's external IP address and only delete data by overwriting files for users based in Russia and Belarus."
 
Tuosta Asus haavoittuvuudesta tuli NCSC-FI tiedote

NCSC-FI VULNERABILITIES SUMMARY 2022-03-17

Tämä on Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen
päivittäinen haavoittuvuuskooste.

CRITICAL VULNERABILITIES
ASUS Product Security Advisory for Cyclops Blink
Classification: Critical, Solution: Mitigation, Exploit: Wild
ASUS is investigating and working for a remediation for Cyclops Blink
and will continue to post software update.
 
Ei kannattaisi sokeasti luottaa open source koodiin ja ajaa heti aina uutta sisään sekä suoraan tuotantoon.

Node-ipc:
Tivin uutinen aiheesta:

 
Vähän kaksipiippuinen juttu tuo. Toisaalta Venäjällä ja Valko-Venäjällä on semmoisiakin jotka oikeasti ovat sotaa vastaan ja tuo koodi varmasti koskettaa heitäkin. Toisaalta se on ihan oma syy jos varmuuskopiot eivät ole kunnossa.
 
Vaikka mitään varmistusta ei vielä ole, mutta huhuja (ja screenshot joka poistettiin) liikkuu, että Lapsus$ olis korkannu jossain muodossa Microsoftin, eli päässyt käsiksi jonkun kehittäjän Azuren dashboardiin ja siellä näkyy kaikenlaista mielenkiintoista. Pistän kuvan spoilereihin, yllättäen reilusti pakattu, ettei kovin selkeästi näe onko kenties feikki, mutta odotellaan, eiköhän asiasta tule isompi juttu, jos totta...
https://blogger.googleusercontent.com/img/a/AVvXsEhSofekhw6CcKioSDukcCiqgVnfh9HQlQCqIQs_G78QTR09sKG_iIFZbCRUIkBjdyJjxquF62RtAJ1BT42oDp-m7dcDxXCRUhN6TUEGCVFb9MoZPAoR35zFSvPk7xs0fKDeWkOMaqgIhNfG9M9Yf5MnlSvlHhw0U7spULgoN1d0efef0eFIQMgiLFR1=s16000
 
Aiheeseen kovasti liittyy niin täytyy vaihteesta mainostaa paria erinomaista tietoturvaan liittyvää Suomalaista podcastia:



Herrasmieshakkereiden podcast ilmestyy hieman harvemmin, mutta jaksot onkin sitten täyttä rautaa. Yleensä ovat hieman eri aiheista, joissa on mukana haastattelussa asiaa tunteva amattilainen. Uutisia käydään myös jonkun verran läpi.
Turvakäräjiltä taas tulee joka viikko maanantaisin uusi podcasti, jossa käydään mm. viikon isoimmat tietoturvauutiset analysoiden läpi.
 
Viimeksi muokattu:
Vaikka mitään varmistusta ei vielä ole, mutta huhuja (ja screenshot joka poistettiin) liikkuu, että Lapsus$ olis korkannu jossain muodossa Microsoftin, eli päässyt käsiksi jonkun kehittäjän Azuren dashboardiin ja siellä näkyy kaikenlaista mielenkiintoista. Pistän kuvan spoilereihin, yllättäen reilusti pakattu, ettei kovin selkeästi näe onko kenties feikki, mutta odotellaan, eiköhän asiasta tule isompi juttu, jos totta...
Jotain uutisia löytynee.
 
Viimeksi muokattu:
Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Google's Messages and Dialer apps for Android devices have been collecting and sending data to Google without specific notice and consent, and without offering the opportunity to opt-out, potentially in violation of Europe's data protection law.

"The data sent by Google Messages includes a hash of the message text, allowing linking of sender and receiver in a message exchange," the paper says. "The data sent by Google Dialer includes the call time and duration, again allowing linking of the two handsets engaged in a phone call. Phone numbers are also sent to Google."
 
Jotain uutisia löytynee.
Mahdollisesti saaneet paljon dataa.
Monday night, the hacking group posted a torrent for a 9 GB 7zip archive containing the source code of over 250 projects that they say belong to Microsoft.
When posting the torrent, Lapsus$ said it contained 90% of the source code for Bing and approximately 45% of the code for Bing Maps and Cortana.

 
Viimeksi muokattu:
LAPSUS$ on nähtävästi iskenyt myös Oktaan (kuvankaappauksien perusteella luvaton pääsy olisi ollut mahdollista jo ainakin parin kuukauden ajan)
Jotain uutisia löytynee.
Mahdollisesti saaneet paljon dataa.
Monday night, the hacking group posted a torrent for a 9 GB 7zip archive containing the source code of over 250 projects that they say belong to Microsoft.
When posting the torrent, Lapsus$ said it contained 90% of the source code for Bing and approximately 45% of the code for Bing Maps and Cortana.


Twitter @LawrenceAbrams
"Lapsus$ is now claiming to have breached Okta. They state it wasn't for Okta's databases but to get access to its customers.
If true, this is a big mess. Could also explain how they have breached so many large enterprises."

Ilmeisesti oktaan on päästy ja se on mahdollistanut kaikki nämä tietomurrot :comp2:
 
Twitter @LawrenceAbrams
"Lapsus$ is now claiming to have breached Okta. They state it wasn't for Okta's databases but to get access to its customers.
If true, this is a big mess. Could also explain how they have breached so many large enterprises."

Ilmeisesti oktaan on päästy ja se on mahdollistanut kaikki nämä tietomurrot :comp2:
Microsoftin mahdollinen korkkaus on outo koska Microsoft on Oktan kilpailija. Luulisi, että Microsoft käyttää omia ratkaisuja eikä Oktaa.
 
Kuulostaa tosiaan epäilyttävältä, että Microsoft olisi saatu korkattua Oktan kautta. Se ei kyllä myöskään sulje pois sitä, että muihin palveluihin olisi voitu päästä Oktan kautta. Microsoftiin on voitu saada tunnukset insiderilta tai ostettu access brokerilta.
 
Microsoftin mahdollinen korkkaus on outo koska Microsoft on Oktan kilpailija. Luulisi, että Microsoft käyttää omia ratkaisuja eikä Oktaa.
Kuulostaa tosiaan epäilyttävältä, että Microsoft olisi saatu korkattua Oktan kautta. Se ei kyllä myöskään sulje pois sitä, että muihin palveluihin olisi voitu päästä Oktan kautta. Microsoftiin on voitu saada tunnukset insiderilta tai ostettu access brokerilta.

Oktahan tukee myös microsoftia: Why customers choose Okta for Microsoft technologies
 
Totta kai, mutta se ei tarkoita, että Microsoft käyttäisi itse kolmannen osapuolen ratkaisua omansa sijaan.

Oktalta tullut ulostulo: "The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers. " Updated Okta Statement on LAPSUS$
Ilmeisesti siis jonkun kolmannen osapuolen palveluntuottajan työntekijän työkoneelle on päästy käsiksi ja sieltä ladattu tietoja, jotka koostuu lähinnä jira-tiketeistä ja niihin liittyvistä käyttäjätiedoista.
 
Oktalta tullut ulostulo: "The Okta service has not been breached and remains fully operational. There are no corrective actions that need to be taken by our customers. " Updated Okta Statement on LAPSUS$
Ilmeisesti siis jonkun kolmannen osapuolen palveluntuottajan työntekijän työkoneelle on päästy käsiksi ja sieltä ladattu tietoja, jotka koostuu lähinnä jira-tiketeistä ja niihin liittyvistä käyttäjätiedoista.

"The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data - for example, Jira tickets and lists of users - that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords."

Lista käyttäjistä sekä passun ja kaksi vaiheisen tunnistautumisen resetointi. Kai tuolta listalta käyttäjiä löytynyt millä päästy kirjautumaan ja lataamaan firmojen dataa :hmm:
 
"The potential impact to Okta customers is limited to the access that support engineers have. These engineers are unable to create or delete users, or download customer databases. Support engineers do have access to limited data - for example, Jira tickets and lists of users - that were seen in the screenshots. Support engineers are also able to facilitate the resetting of passwords and multi-factor authentication factors for users, but are unable to obtain those passwords."

Lista käyttäjistä sekä passun ja kaksi vaiheisen tunnistautumisen resetointi. Kai tuolta listalta käyttäjiä löytynyt millä päästy kirjautumaan ja lataamaan firmojen dataa :hmm:
Siltä se kuulostaa, että tämän toistaiseksi vielä tuntemattoman palveluntarjoajan työntekijän tunnuksien avulla on voitu päästä resetoimaan tämän palveluntarjoajan asiakasyritysten käyttäjien tunnuksia. Nyt en tunne Oktan toimintaa riittävästi, että voisi sanoa mitään tuohon miten Oktan mfa ja password reset toimii eli onko mahdollisuutta kaapata tiliä. Mikäli nuo Support Engineerit pääsee vaikkapa vaihtamaan puhelinnumeron, niin siinähän on selkeä mahdollisuus.
 
Microsoft on vahvistanut tietomurron.
Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.
 
Microsoft on vahvistanut tietomurron.
Microsoft has confirmed that one of their employees was compromised by the Lapsus$ hacking group, allowing the threat actors to access and steal portions of their source code.
Tässä on vielä virallinen blogipostaus aiheesta: DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog
Multifactor authentication (MFA) is one of the primary lines of defense against DEV-0537.


Jälleen yksi muistutus MFA:n tärkeydestä.
 
Päivän tietoturvauutinen:

HP:n sadat eri tulostimet ovat alttiaite RCE-hyökkäyksille. Ratkaisuna on firmispäivitys (jos laite on firmispäivitysten tuen piirissä):

Certain HP Print products and Digital Sending products may be vulnerable to potential remote code execution and buffer overflow with use of Link-Local Multicast Name Resolution or LLMNR.


Ottaen huomioon millaista aikaa eletään parhaiten, on melko todennäköistä että koputtelijoita tulee riittämään.
 
Nyt Okta myöntää, että kyllä asiakkaiden tietoihin on päästy käsiksi.

Identity management as-a-service platform Okta now admits the Lapsus$ extortion gang have in fact have managed to see its customers' data.

 
Android-laitteet ovat lähettäneet jälleen dataa Googlelle ilman käyttäjien hyväksyntää:

Täällä yksityiskohtaisempaa raporttia tuosta Googlen lähettämästä datasta:

Regarding anonymity, all of the events recorded via the Google Play Services Clearcut logger are tagged with the handset’s Android ID. Via other data collected by Google Play Services this ID is linked to the handset hardware serial number, the SIM IMEI (which uniquely identifies the SIM slot) and the user’s Google account. When a SIM is inserted the Google Messages app also links the Android ID to the SIM serial number/ICCID, which uniquely identifies the SIM card. By making a request using Google for the data associated with the Google user account used in our tests we further confirmed that the data reported under the heading “Android Device Configuration Service” includes the Android ID for each handset used (as well as the handset serial number, SIM IMEI, last IP address used and mobile operator details).

When the caller and receiver in a phone conversation are both using the Google Dialer, then the time when the time the call ended and the call duration are both sent to Google via the above event logging messages. This information can potentially be used to identify pairs of handsets engaged in phone conversations.

The data sent by Google Messages includes a hash of the message text, allowing linking of sender and receiver in a message exchange, and by Google Dialer the call time and duration, again allowing linking of the two handsets engaged in a phone call. Phone numbers are also sent to Google. In addition, the timing and duration of user interactions with the apps are sent to Google. There is no opt out from this data collection. The data is sent via two channels, the Google Play Services Clearcut logger and Google/Firebase Analytics. This study is therefore one of the first to cast light on the actual telemetry data sent by Google Play Services, which to date has largely been opaque.
 
Monestihan nää on junnuja jotka vetää kaasu pohjassa godmode päällä kuvitellen ettei mitään voi tapahtua.
Alaikäisellä taitaa olla tässä tapauksessa se etu, ettei häntä voida luovuttaa Jenkkeihin oikeudenkäyntiä varten. Lisäksi jos tuo uutisjutussa mainittu "special educational school" viittaa autismin kirjoon niin sillä voi Briteissä saada lyhennystä tuomioon.
 
Nyt Okta myöntää, että kyllä asiakkaiden tietoihin on päästy käsiksi.

Identity management as-a-service platform Okta now admits the Lapsus$ extortion gang have in fact have managed to see its customers' data.

Ja nyt Okta on julkaissut tarkempia tietoja, eli yritys oli jo tammikuussa tietoinen mahdollisesta hyökkäyksestä yhteistyökumppani Sitel:in järjestelmään. Asiaa kuitenkin tutkittiin monta viikkoa , eikä asiakkaille tiedotettu mitään tänä aikana. Vasta tuo kuvankaappaus sai Oktaan vähän liikettä
 
Chrome käyttäjät (ja Chrome engine käyttävien selaimien), päivittäkääs selaimet, sen verta paha 0-päivä reikä löytynyt...
Google Chrome users are highly recommended to update to the latest version 99.0.4844.84 for Windows, Mac, and Linux to mitigate any potential threats. Users of Chromium-based browsers such as Microsoft Edge, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.
 
Ja nyt Okta on julkaissut tarkempia tietoja, eli yritys oli jo tammikuussa tietoinen mahdollisesta hyökkäyksestä yhteistyökumppani Sitel:in järjestelmään. Asiaa kuitenkin tutkittiin monta viikkoa , eikä asiakkaille tiedotettu mitään tänä aikana. Vasta tuo kuvankaappaus sai Oktaan vähän liikettä

lapsus.png

Lähde
 
Kaspersky Is Declared A US National Security Threat And Is Banned By The FCC

Tähän liittyen myös Yandexin sovelluksista juttua, että ne keräävät tietoa Venäjälle. Enpä olisi arvannut! :eek:
 
Ilmeisesti Google haluaa että maksavatkin asiakkaat pysyvät heidän tuotteinaan. Päättivät siis pakotetusti jatkaa käyttäjien seurantaa sabotoimalla massaeditointimahdollisuudet. Jatkossa IT-ylläpito ei voi keskitetysti vaikuttaa näihin asetuksiin.

...administrators will no longer have organization-wide control over privacy settings. It will now be up to each user in an organization to hunt down and change the settings themselves. Google will not honor your previous privacy settings when it moves the controls—organizations that previously opted out of tracking will be opted back in to some tracking, and every user will now need to opt out individually.


Ymmärrän datan keräämisen ilmaispalvelujen osalta, koska ilmaista lounasta ei ole, mutta maksavien asiakkaiden kohdalla asiasta voitaisiin olla montaa mieltä.
 
Viimeksi muokattu:
Apple ja Meta (Facebook) jakaneet käyttäjätietoja hakkereille, jotka esiintyneet viranomaisina, jälleen esimerkki, miten ihmiset on heikko lenkki tietoturvassa...
In mid-2021, Apple provided customer data to hackers after they masqueraded themselves as law enforcement officials, shows a new report by Bloomberg. According to people familiar with the matter, the company provided basic subscriber details due to forged “emergency data requests.”
The publication explains that “normally, such requests are only provided with a search warrant or subpoena signed by a judge, according to the people. However, such emergency requests don’t require a court order.”
 
New Spring Java framework zero-day allows remote code execution

A new zero-day vulnerability in the Spring Core Java framework called 'Spring4Shell' has been publicly disclosed, allowing unauthenticated remote code execution on applications.

Spring is a very popular application framework that allows software developers to quickly and easily develop Java applications with enterprise-level features. These applications can then be deployed on servers, such as Apache Tomcat, as stand-alone packages with all the required dependencies


Laitoin myös juttuvinkin tästä toimitukselle.
 
Chromen uusi seurantamoottori on laskeutunut Canary-julkaisuun:

Sen uusi rajapinta laskee käyttäjän koneella kiinnostuksen kohteita ja päivittää tietoja Googlen kanssa. Tietenkään tätä toiminnallisuutta ei voi sammuttaa käyttäjän toimesta.
 
Myös Samsungeissa vakava aukko joka tarvii päivityksen asentamisen:

Haavoittuvuus koskee kaikkia Samsungin puhelimia ja tabletteja, joista löytyy Android 9, Android 10, Android 11 tai Android 12 -käyttöjärjestelmäversio. Käytännössä siis kaikki viimeisen viiden, kuuden vuoden aikana julkaistut Samsungin puhelimet ja tabletit ovat haavoittuvuuden kohteena.
 
Mielenkiinnosta, onko tuota selvitetty tarkemmin, miten tuossa onnistuu? Täytyyhän jotenkin hyökkäys kohdentua hyökättävään laitteeseen? En ole itse lukenut tarkempia tietoja vielä, on tässä aamupäivä hässäkkää. Joten joku referaatti kelpaisi.

On turvakamerana (on sekin sana Android-kännystä, missä on ties mikä softa aukkoineen) vanha S7:n aika ajoin toiminnassa ja verkossa.
 

Statistiikka

Viestiketjuista
259 276
Viestejä
4 507 523
Jäsenet
74 347
Uusin jäsen
Si-Pe

Hinta.fi

Back
Ylös Bottom