Tietoturvauutiset ja blogipostaukset

[Kautium]

Mielenkiinnosta, onko tuota selvitetty tarkemmin, miten tuossa onnistuu? Täytyyhän jotenkin hyökkäys kohdentua hyökättävään laitteeseen? En ole itse lukenut tarkempia tietoja vielä, on tässä aamupäivä hässäkkää. Joten joku referaatti kelpaisi.

Siis onnistuttu missä? Niissä Samsungeissa tulee mukana joku ohjelma, josta on löytynyt tietoturva-aukko ja sitä hyödyntäen hyökkääjä voi saada laitteeseen täydet oikeudet.

 

[Special Once]

Niin tuo vaatii siis fyysisen pääsyn laitteelle, ei pysty etänä hyödyntämään.

 

[=JP=]

Niin tuo vaatii siis fyysisen pääsyn laitteelle, ei pysty etänä hyödyntämään.

Ongelmaksi vaan muodostuu, että käyttäjä voidaan ns. etänä huijata asentamaan softa (joka lupaa tehdä ihan muuta, mutta taustalla ilkeyksiä), joka sitten hyödyntää tuota, eli ei sen hakkerin tarvii päästä siihen luuriin itse fyysisesti kuitenkaan (pelottavan paljon vaan käyttäjät kyselemättä asentelee). Ja onhan todella vanhoissa käyttöjärjestelmä versioissa ollut reikiä, joita kautta päässyt asentamaan kyselemättäkin muistaakseni etänä, jos sopivalle web sivulle menty esimerkiksi, jos on käytössä tuollainen laite.

Unprotected dynamic receiver in Telecom prior to SMR Feb-2022 Release 1 allows untrusted applications to launch arbitrary activity.

 

[user9999]

Yhdysvallat on tuhonnu tuon Cyclops Blink bottiverkon. Haittaohjelma vaivasi Watchguard Firebox palomuureja ja Asus reitittimiä.

US disrupts Russian Cyclops Blink botnet before being used in attacks

US government officials announced today the disruption of the Cyclops Blink botnet controlled by the Russian-backed Sandworm hacking group before being used in attacks.

www.bleepingcomputer.com

 

[Humanoid]

S-Kaupan sivuilta S-kaupat.fi - S-ryhmän ruoan verkkokauppa URL:n perään tulee melko härämä rimpsu, ja osoitteen lopullinen muoto on

URL + /?IO.popen%28%27cat+%2Fetc%2Fpasswd%27%29.read%0A%23=

Vaikuttaa hieman epäilyttävältä, ja tuo on ollut tuolla ainakin eilisestä asti. Asiakaspalveluun on ko. tapauksesta ilmoitettu, mutta siihen ei ole reagoitu. Onko kenelläkään tarkempaa tietoa mitä kautta tuolla koitetaan kalastella /etc/passwd -tiedostoa, ja millainen käyttäjä olisi mahdollisesti vaarassa? Selkeä XSS-yritys kuitenkin.

EDIT & EDIT: Näkyy siis vain, jos osoitekenttään kirjoittaa s-kaupat.fi

 

[escalibur]

S-Kaupan sivuilta S-kaupat.fi - S-ryhmän ruoan verkkokauppa URL:n perään tulee melko härämä rimpsu, ja osoitteen lopullinen muoto on

Vaikuttaa hieman epäilyttävältä, ja tuo on ollut tuolla ainakin eilisestä asti. Asiakaspalveluun on ko. tapauksesta ilmoitettu, mutta siihen ei ole reagoitu. Onko kenelläkään tarkempaa tietoa mitä kautta tuolla koitetaan kalastella /etc/passwd -tiedostoa, ja millainen käyttäjä olisi mahdollisesti vaarassa?

Ettei vaan kyse olisi jostain selainlisäristä tms?

 

[TenderBeef]

S-Kaupan sivuilta S-kaupat.fi - S-ryhmän ruoan verkkokauppa URL:n perään tulee melko härämä rimpsu, ja osoitteen lopullinen muoto on

Vaikuttaa hieman epäilyttävältä, ja tuo on ollut tuolla ainakin eilisestä asti. Asiakaspalveluun on ko. tapauksesta ilmoitettu, mutta siihen ei ole reagoitu. Onko kenelläkään tarkempaa tietoa mitä kautta tuolla koitetaan kalastella /etc/passwd -tiedostoa, ja millainen käyttäjä olisi mahdollisesti vaarassa?

Tarkennatko, että mistä tuollainen sinne tulee? Itse en näe ollenkaan tuollaista.

 

[Humanoid]

Tarkennatko, että mistä tuollainen sinne tulee? Itse en näe ollenkaan tuollaista.

Kuten juuri editoin alkuperäistä viestiä, tuota loppuosaa ei tule enää URL:in perään. Oli siellä tosin koko eilisen päivän, ja vielä hetki sitten.

EDIT: Avasin juuri sivun Firefoxin Developer Editionilla privamoodissa, ja query näkyy edelleen.

 

[Humanoid]

Ettei vaan kyse olisi jostain selainlisäristä tms?

Tuo query löytyi myös sivun scriptoista, eli tuskin.

 

[Arranger]

Kyllä tuossa todennäköisesti jostain XSS-hyökkäyksestä oli kysymys; ilmeisesti on nyt poistunut palvelimelta, osa näkee vielä todennäköisesti cachen kautta. Mielenkiintoinen yritelmä, mutta välittelin KTK:lle tiedoksi, niin kontaktoivat sopivia tahoja.

 

[TenderBeef]

Kuten juuri editoin alkuperäistä viestiä, tuota loppuosaa ei tule enää URL:in perään. Oli siellä tosin koko eilisen päivän, ja vielä hetki sitten.

Itsellä on ollut eilisestä lähtien asti tuo kauppasivu auki enkä ole mitään tuollaista nähnyt.

 

[Humanoid]

Itsellä on ollut eilisestä lähtien asti tuo kauppasivu auki enkä ole mitään tuollaista nähnyt.

Kokeile kirjoittaa osoitekenttään pelkkä s-kaupat.fi

 

[TenderBeef]

Kokeile kirjoittaa osoitekenttään pelkkä s-kaupat.fi

Confirmed. Sieltä juuridomainista tulee se. www. edessä ja ei tule. Itsellä speed dialissa suora osoite https://www.s-kaupat.fi/kauppa jossa ei ongelmaa.

 

[Hyrava]

hieman joo epäilyttää kun dekoodattuna tulee "?IO.popen('cat+/etc/passwd').read", vähän haiskahtaa joltain tietoturvaongelmalta

 

[TenderBeef]

Hmm, onko tullut mistään mitään uutta tietoa tuosta? Uskaltaakohan tuolta nyt tilata mitään? Tänään piti tilata että saa varmasti alkuviikkoon toimituspäivän.

 

[kaakau<"'\\/>]

hieman joo epäilyttää kun dekoodattuna tulee "?IO.popen('cat+/etc/passwd').read", vähän haiskahtaa joltain tietoturvaongelmalta

Toimiiko toi edes? Ja mitä hyötyä /etc/passwd:stä on kun ne on salattuja? Mulla itelläni apparmor-profiili, joka ei varmaankaan salli tuon tiedoston lukemista. Voiko se olla, ettei hyökkääjä halua oikeasti edes mitään, pelkästään osoittaa, että haavoittuvuus on olemassa?

 

[Special Once]

Voiko se olla, ettei hyökkääjä halua oikeasti edes mitään, pelkästään osoittaa, että haavoittuvuus on olemassa

Tämä on yksi syy. Toinen on se, että luetaan käyttäjänimet tiedostosta jotta voidaan ruveta arvailemaan salasanoja.

 

[JiiPee]

Toimiiko toi edes? Ja mitä hyötyä /etc/passwd:stä on kun ne on salattuja? Mulla itelläni apparmor-profiili, joka ei varmaankaan salli tuon tiedoston lukemista. Voiko se olla, ettei hyökkääjä halua oikeasti edes mitään, pelkästään osoittaa, että haavoittuvuus on olemassa?

Tosta passwd tiedostosta ei saa kuin käyttäjänimet. Salasanat on shadow tiedostossa jonne ei pitäisi minkään distron edes sallia lukua tavan käyttäjänä.

 

[Humanoid]

Toimiiko toi edes? Ja mitä hyötyä /etc/passwd:stä on kun ne on salattuja? Mulla itelläni apparmor-profiili, joka ei varmaankaan salli tuon tiedoston lukemista. Voiko se olla, ettei hyökkääjä halua oikeasti edes mitään, pelkästään osoittaa, että haavoittuvuus on olemassa?

Tuon tiedoston kautta voi saada selville koneella pyöriviä käyttäjiä joihin voi koittaa mahdollisesti kirjautua. Mutta tuota koodipätkän hyödyllisyyttä mietin itsekin, että mikähän tuossa voi olla pointtina. En ihan heti keksinyt muuta kuin, että jokin toinen scripta saa suorittamaan tuon osoitehaun lokaalisti tuolla palvelimella, ja palauttaa sitä kautta tiedoston sisällön hyökkääjälle. Tai jotain sinne päin. Selainkäyttäjälle kai tuosta ei ole mitään harmia.

 

[TenderBeef]

Selainkäyttäjälle kai tuosta ei ole mitään harmia.

Me ei vain tiedetä, että onko siellä taustalla jotain muuta vielä.

 

[Humanoid]

Me ei vain tiedetä, että onko siellä taustalla jotain muuta vielä.

Sepä se. Asiasta ei ole kuulunut miltään taholta mitään, että onko kyseessä jokin tietomurto vai mikä.

 

[Infy]

Google kertoo että tämmösestä olis kyse Sever Side Template Injection(SSTI) Ultimate Cheat Sheet – Noobsploit

Antaa kyllä vaikutelman, että kyseinen web sivusto on korkattu.

 

[mikajh]

Antaa kyllä vaikutelman, että kyseinen web sivusto on korkattu.

Vail käyttäjän DNS-palvelu? Tuskin nyt Amazonin CloudFront kuitenkaan

Spoileri

$ wget -O- --max-redirect=0 s-kaupat.fi
--2022-04-08 22:25:21-- S-kaupat.fi - S-ryhmän ruoan verkkokauppa
Resolving s-kaupat.fi (s-kaupat.fi)... 13.32.41.9, 13.32.41.33, 13.32.41.102, ...
Connecting to s-kaupat.fi (s-kaupat.fi)|13.32.41.9|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: S-kaupat.fi - S-ryhmän ruoan verkkokauppa [following]

$ wget -O- --max-redirect=0 --verbose s-kaupat.fi
--2022-04-08 22:35:08-- S-kaupat.fi - S-ryhmän ruoan verkkokauppa
Resolving s-kaupat.fi (s-kaupat.fi)... 108.156.22.70, 108.156.22.13, 108.156.22.69, ...
Connecting to s-kaupat.fi (s-kaupat.fi)|108.156.22.70|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: S-kaupat.fi - S-ryhmän ruoan verkkokauppa [following]

$ host 108.156.22.70
70.22.156.108.in-addr.arpa domain name pointer server-108-156-22-70.hel51.r.cloudfront.net.

 

[Agent_007]

Vail käyttäjän DNS-palvelu?

DNS-palvelun kautta ei voi laittaa parametreja URL:iin.

 

[mikajh]

DNS-palvelun kautta ei voi laittaa parametreja URL:iin.

Ei, mutta voi päätyä aivan väärälle sivustolle. s-kaupat.fi on pelkkä redirect (tai siis sen oikea versio)

 

[TenderBeef]

Antaa kyllä vaikutelman, että kyseinen web sivusto on korkattu.

Hmm, huomasin, että "omat suosikit" ei toimi tuolla nyt ollenkaan. Antaa "Voi ei, tapahtui virhe Jotain odottamatonta tapahtui, yritä hetken kuluttua uudestaan" virheviestiä. En tiedä liittyykö asiaan vai muuten vaan palvelu on surkea. Aiemmin se toimi (n. kuukausi sitten) ainakin jotenkuten vaikka siinä oli virhe silloin (kun se dynaamisesti latasi uusia suosikkeja käyttäjän skrollattua sen hetkisen listan loppuun, niin se latasi kyllä uusia suosikkeja mutta aloitti aina ensin listan alusta uudestaan). Maksuthan tuolla menee netsin kautta + pankin varmennus joten siitä ei kait tarvi olla huolestunut.

 

[escalibur]

Jos jollain löytyy D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L, tai DIR-836L reitittimiä käytössä, kannattaa harkita laitteen uusimista.

CVE - CVE-2021-45382

A Remote Command Execution (RCE) vulnerability exists in all series H/W revisions D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L, and DIR-836L routers via the DDNS function in ncc2 binary file. Note: DIR-810L, DIR-820L, DIR-830L, DIR-826L, DIR-836L, all hardware revisions, have reached their End of Life ("EOL") /End of Service Life ("EOS") Life-Cycle and as such this issue will not be patched.

CISA advises D-Link users to take vulnerable routers offline

CISA advises users to retire certain D-Link routers since vulnerabilities are know to be actively exploited and the models have reached EOL

blog.malwarebytes.com

 

[pulatunnus]

Jos jollain löytyy D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L, tai DIR-836L reitittimiä käytössä, kannattaa harkita laitteen uusimista.

CVE - CVE-2021-45382

CISA advises D-Link users to take vulnerable routers offline

CISA advises users to retire certain D-Link routers since vulnerabilities are know to be actively exploited and the models have reached EOL

blog.malwarebytes.com

Kone käännös

RCE (Remote Command Execution) haavoittuvuus on kaikissa H/W-versioissa D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L ja DIR-836L reitittimissä ncc2-binaaritiedoston DDNS-toiminnon kautta. . Huomautus: DIR-810L, DIR-820L, DIR-830L, DIR-826L, DIR-836L, kaikki laitteistoversiot, ovat saavuttaneet käyttöikänsä ("EOL") / käyttöiän loppumisen ("EOS") -
Kierrä ja sellaisenaan tätä ongelmaa ei korjata.

Jos oikein ymmärsin niin viimeinen päivitys tullut viimevuoden lopulta, mutta nyt "hyllätty", tukiaika loppunut.
Se jäi vähän epäselväksi onko riski vain silloin jos tuo DDNS palvelu tuki ruksittu käyttöön, vai onko riski siitä huolimatta.

Suositellaan kuitenkin poistaa laitteet käytöstä, ehkä jo senkin takia että käyttikä päättynyt, joten välttämättä poistuu monelta hyvikseltä ns seurantalistalta, ei tule varoituksia.

 

[JiiPee]

Jos jollain löytyy D-link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L, tai DIR-836L reitittimiä käytössä, kannattaa harkita laitteen uusimista.

CVE - CVE-2021-45382

CISA advises D-Link users to take vulnerable routers offline

CISA advises users to retire certain D-Link routers since vulnerabilities are know to be actively exploited and the models have reached EOL

blog.malwarebytes.com

todennäköisesti jokaiseen purkkiin saa openwrt::n joten ei niitä roskiin kannata alkaa viskomaan jos muuten purkki riittää omiin tarpeisiin.

 

[ztec]

Ei näköjään ole vähään aikaan mainittu, niin postaan. Vaikka täähän on sarja, joten ne joita oikeasti kiinnostaa varmaan seuraa RSS:nä.
Eli Kyberturvallisuuskeskuksen / Traficom:n Kybersää julkaistaan kerran kuussa:

Kybersää | Kyberturvallisuuskeskus

Kuukausittain julkaisemamme Kybersää on suunnattu organisaatioiden eri tasoilla tietoturvan parissa työskenteleville. Kybersään tavoitteena on kertoa kybermaailman tapahtumista mahdollisimman ymmärrettävästi ja tiiviissä paketissa. Kybersää täydentää Viikkokatsausta ja muita...

www.kyberturvallisuuskeskus.fi

Lisäksi voisi nostaa esille, että tämän NATO-keskustelun valossa tämä uhka voi myös erityisesti koskea Suomea jatkossa:

Huhtikuun alkuun mennessä Ukrainassa on havaittu 7 eri tuhoamishaittaohjelmaa useilla eri toimialoilla.
Venäjään liitettyjen toimijoiden tekemien kyberhyökkäysten määrä on lisääntynyt länsimaissa.
Bottiverkko koostui Cyclops Blink -haittaohjelmalla saastuteista pienreitittimistä, joita voidaan käyttää esimerkiksi yrityksissä ja kodeissa.

Eli vaikka sinänsä ei suoranaista nation state / APT tason iskua / uhka kohdistuisi omaan organisaatioon, niin erilaiset automatisoidut iskut voi iskeä hyvinkin laajalle alalle. Onhan kaikki laitteet päivitetty ja jos päivityksiä ei ole saatavissa, niin uusittu.

Sekä tietysti se perusopas IT asioista huolehtimiselle:

Kyberturvallisuuden vahvistaminen suomalaisissa organisaatiossa - ohje johdolle ja asiantuntijoille | Kyberturvallisuuskeskus

Kansainvälinen tilanne vaikuttaa väistämättä myös digitaaliseen maailmaan ja kyberuhkilta varautumiseen. On tärkeää, että organisaatioiden johto ja asiantuntijat tarkastelevat kyberturvallisuuden suojauskäytäntöjään sekä ylläpitävät niitä aktiivisesti.

www.kyberturvallisuuskeskus.fi

 

[ztec]

Tuoreen tutkimuksen mukaan kokoussovellukset käyttävät innokkaasti käyttäjien mikrofoneja mykistämisestä huolimatta.

Tämäkin on sellainen juttu, että ei uskoisi. Mutta, kertoo hyvin siitä millaisessa tarkkailuyhteiskunnassa me kaikki elämme, koska eihän tuohon mitään muuta järkevää motivaatiota ole kuin vakoilu.

Kokoussovellus voi tallentaa ääntäsi, vaikka mykistit mikrofonin

Tuoreen tutkimuksen mukaan kokoussovellukset käyttävät innokkaasti käyttäjien mikrofoneja mykistämisestä huolimatta.

www.tekniikkatalous.fi

Ainakin mun mielestä tuon pitäisi olla suoraan laitonta ja rangaistavaa, koska mitään järkevää laillista ja perusteltua syytä tuohon ei varmasti löydy.

 

[pulatunnus]

Tuoreen tutkimuksen mukaan kokoussovellukset käyttävät innokkaasti käyttäjien mikrofoneja mykistämisestä huolimatta.

Tämäkin on sellainen juttu, että ei uskoisi. Mutta, kertoo hyvin siitä millaisessa tarkkailuyhteiskunnassa me kaikki elämme, koska eihän tuohon mitään muuta järkevää motivaatiota ole kuin vakoilu.

Kokoussovellus voi tallentaa ääntäsi, vaikka mykistit mikrofonin

Tuoreen tutkimuksen mukaan kokoussovellukset käyttävät innokkaasti käyttäjien mikrofoneja mykistämisestä huolimatta.

www.tekniikkatalous.fi

Ainakin mun mielestä tuon pitäisi olla suoraan laitonta ja rangaistavaa, koska mitään järkevää laillista ja perusteltua syytä tuohon ei varmasti löydy.

Tässä kai oleellista se että epäilivat palvelun siirtävän mikkiääntä palvelimelle, silloin kun sovelluksessa on mutella.

Ymmärsinkö oikein, olivat seuranneet data liikennettä ja mykistäneet sovelluksella mikin, jossain sovelluksessa dataliikenne ei ollut pienenntynyt, jossain oli, mutta jotain purskeita. Ilmeisesti eivät tieneet mitä data sisälsi.

Lähteen jutussa mainittiin että mykistämällä mikki oikeasti voi tuosta suojautua, se jäi vähän epäselväksi oliko sitä testattu, todennäköisesit.

Ainakin mun mielestä tuon pitäisi olla suoraan laitonta ja rangaistavaa, koska mitään järkevää laillista ja perusteltua syytä tuohon ei varmasti löydy.

Tarvetta sille on palveluiden tuottamisen takia. Mutta se tärkeää että käyttäjän pitää tietää ja ymmärtää milloin dataa lähetetään, mitä sillä tehdään ja pitää olla mahdollisuus estää se, siis vaivaton, helppo esto , ilman että käyttäjä menettäisi mitään ylimääräistä.

Varsinkin tietokoneissa arvostan laitteita joissa on helppokäyttöinen fyysinen kytkin, millä kamerat, mikit luotettavasti sammuu. Jäähän siinäkin kaiutitmet sun muut kohdennettua tekevällä pahikselle.

 

[ojisama]

Tuoreen tutkimuksen mukaan kokoussovellukset käyttävät innokkaasti käyttäjien mikrofoneja mykistämisestä huolimatta.

Tämäkin on sellainen juttu, että ei uskoisi. Mutta, kertoo hyvin siitä millaisessa tarkkailuyhteiskunnassa me kaikki elämme, koska eihän tuohon mitään muuta järkevää motivaatiota ole kuin vakoilu.

Kokoussovellus voi tallentaa ääntäsi, vaikka mykistit mikrofonin

Tuoreen tutkimuksen mukaan kokoussovellukset käyttävät innokkaasti käyttäjien mikrofoneja mykistämisestä huolimatta.

www.tekniikkatalous.fi

Ainakin mun mielestä tuon pitäisi olla suoraan laitonta ja rangaistavaa, koska mitään järkevää laillista ja perusteltua syytä tuohon ei varmasti löydy.

Tuohon on ihan tekniset syyt. Se mikrofoni täytyy pitää 'auki' selaimessa (ja oletettavasti myös softassa), koska

• Muuten tulee viivettä, kun käyttäjä haluaa puhua. Mikin haltuun otto webrtc-yhteyden luonti, oikeustarkistukset...
• Muuten joku muu softa kaappaa välissä sen mikin
• Käyttäjä ei kuitenkaan ole tallentanut 'muista' oikeuksia mikkiin antaessaan, eikä osaa antaa uudestaan oikeuksia tai painaa väärää nappia, eikä ääni kuulu ja softa hylätään huonona ja vaikeasti käytettävänä.

Joten joo, olen eri mieltä sekä vakoiluväitteestä että siitä ettei järkevää syytä ole.

E. Yleisesti ottaen, ja erityisesti yhdessä ei ainakaan vielä yleisesti saatavilla olevassa. En väitä, ettei vakoileviakin softia ole.

 

[pulatunnus]

Tuohon on ihan tekniset syyt. Se mikrofoni täytyy pitää 'auki' selaimessa (ja oletettavasti myös softassa), koska

• Muuten tulee viivettä, kun käyttäjä haluaa puhua. Mikin haltuun otto webrtc-yhteyden luonti, oikeustarkistukset...
• Muuten joku muu softa kaappaa välissä sen mikin
• Käyttäjä ei kuitenkaan ole tallentanut 'muista' oikeuksia mikkiin antaessaan, eikä osaa antaa uudestaan oikeuksia tai painaa väärää nappia, eikä ääni kuulu ja softa hylätään huonona ja vaikeasti käytettävänä.

Joten joo, olen eri mieltä sekä vakoiluväitteestä että siitä ettei järkevää syytä ole.

E. Yleisesti ottaen, ja erityisesti yhdessä ei ainakaan vielä yleisesti saatavilla olevassa. En väitä, ettei vakoileviakin softia ole.

Jaa kyse oli selaimesta, oletin että sovelluksia, no osa sovelluksista on selainmoottorin päällä.

Nämä "löydettiin hirveä aukko", kerrotaan, ei kerrota, kerrotaan myöhemmin, niin liianisolla prosentilla sitä lihaa ei oikein tahdo löytyä.

Tuo selain nostosi oli hyvä, se meni minulta kokonaan ohi.

 

[Agent_007]

Hyökkääjät ovat hakeneet ainakin Herokusta ja Travis CI:stä OAuth tokeneita, joiden avulla on sitten saatu pääsy GitHubissa kyseisiä palveluita käyttäneiden tahojen omiin repoihin.

GitHub: Attacker breached dozens of orgs using stolen OAuth tokens

GitHub revealed today that an attacker is using stolen OAuth user tokens (issued to Heroku and Travis-CI) to download data from private repositories.

www.bleepingcomputer.com

 

[Infy]

Wanha uutinen, mutta liittyy tuohon Alexa Is Listening All The Time: Here's How To Stop It

Nuo kokoussoftat on pikkujuttu verrattuna siihen, jos kotoaa löytyy joku älylaite (Alexa/Siri/Google Now), jossa mikrofoni kuuntelee 24/7. Taitaa olla myös lähes kaikissa puhelimissakin olla mikrofoni päällä 24/7 odottamassa sitä "Hey Google..." herätettä. Samsungin laitteissa Bixby kuuntelee vielä Googlen lisäksi.

 

[Desgorr]

Wanha uutinen, mutta liittyy tuohon Alexa Is Listening All The Time: Here's How To Stop It

Nuo kokoussoftat on pikkujuttu verrattuna siihen, jos kotoaa löytyy joku älylaite (Alexa/Siri/Google Now), jossa mikrofoni kuuntelee 24/7. Taitaa olla myös lähes kaikissa puhelimissakin olla mikrofoni päällä 24/7 odottamassa sitä "Hey Google..." herätettä. Samsungin laitteissa Bixby kuuntelee vielä Googlen lisäksi.

Jep, tämän takia en ota enempää himaan näitä kuuntelulaitteita. Android luuri jo riittää. Toki tuostakin saa tuon Hey Googlen disabloitua, tai ainakin niin ettei tuohon reagoi.

Sitten kun vielä tämmöinenkin mukava vahinko sattunut: 2018 ain't done yet... Amazon sent Alexa recordings of man and girlfriend to stranger
Joku pyytänyt GDPR lain mukaisesti kaikki tiedot itsestään Amazonilta ja saanut samalla mukaan jonkun täysin tuntemattoman henkilön Alexan tallentamia puheita 1700 tallenteen edestä. Vanha juttu tämäkin jo toki.

 

[TenderBeef]

Hackers can infect >100 Lenovo models with unremovable malware. Are you patched?

Exploiting critical UEFI vulnerabilities could allow malware to hide in firmware.

arstechnica.com

Lenovo has released security updates for more than 100 laptop models to fix critical vulnerabilities that make it possible for advanced hackers to surreptitiously install malicious firmware that can be next to impossible to remove or, in some cases, to detect.

Two of the vulnerabilities—tracked as CVE-2021-3971 and CVE-2021-3972—reside in UEFI firmware drivers intended for use only during the manufacturing process of Lenovo consumer notebooks. Lenovo engineers inadvertently included the drivers in the production BIOS images without being properly deactivated. Hackers can exploit these buggy drivers to disable protections, including UEFI secure boot, BIOS control register bits, and protected range register, which are baked into the serial peripheral interface (SPI) and designed to prevent unauthorized changes to the firmware it runs.

After discovering and analyzing the vulnerabilities, researchers from security firm ESET found a third vulnerability, CVE-2021-3970. It allows hackers to run malicious firmware when a machine is put into system management mode, a high-privilege operating mode typically used by hardware manufacturers for low-level system management.

All three of the Lenovo vulnerabilities discovered by ESET require local access, meaning that the attacker must already have control over the vulnerable machine with unfettered privileges.

Lenovon selvitys ja läppärimallit: Lenovo Notebook BIOS Vulnerabilities - Lenovo Support FI

 

[Humanoid]

Androidista pukkaa taas reiänkaltaista:

Critical bug could have let hackers commandeer millions of Android devices

Flaw could be exploited with malicious audio file.

arstechnica.com

ALAC-tiedostokoodekin open source -versiota ei ole päivitetty sitten vuoden 2011, ja tämä mahdollistaa hyökkääjän pääsyn puhelimella oleviin mediatiedostoihin, tai jopa sen kameraan. Haavoittuvuutta voi hyödyntää muokatulla ALAC-tiedostolla joka lähetetään vaikkapa linkkinä.

The two chipset manufacturers submitted patches last year to either Google or to device makers, which in turn delivered the patches to qualifying users in December. Android users who want to know if their device is patched can check the security patch level in the OS settings. If the patch level shows a date of December 2021 or later, the device is no longer vulnerable. But many handsets still don’t receive security patches on a regular basis, if at all, and those with a patch level prior to December 2021 remain susceptible.

 

[=JP=]

Javasta on löydetty vakava haavoittuvuus ja suositellaan päivittämään mahdollisimman nopeasti!

Oraclen Java-ohjelmistokirjastossa kriittinen haavoittuuus | Kyberturvallisuuskeskus

Haavoittuvuus (CVE-2022-21449) ilmenee ECDSA-pohjaisten varmenteiden tarkistuksessa. Rikollisten on esimerkiksi mahdollista väärentää TLS-varmenne ja varmenteen allekirjoituksia. Haavoittuvuuden korjaavat päivitykset tuli asentaa niin pian kuin mahdollista.

www.kyberturvallisuuskeskus.fi

Haavoittuvuus (CVE-2022-21449) ilmenee ECDSA-pohjaisten varmenteiden tarkistuksessa. Rikollisten on esimerkiksi mahdollista väärentää TLS-varmenne ja varmenteen allekirjoituksia. Haavoittuvuuden korjaavat päivitykset tuli asentaa niin pian kuin mahdollista.

Haavoittuvuuden avulla on mahdollista väärentää TLS-varmenne ja allekirjoitukset, kaksivaiheisen tunnistautuminen viestejä sekä avointen standardien laajalti valtuutukseen käyttämiä tunnisteita.

 

[leripe]

Javasta on löydetty vakava haavoittuvuus ja suositellaan päivittämään mahdollisimman nopeasti!

Oraclen Java-ohjelmistokirjastossa kriittinen haavoittuuus | Kyberturvallisuuskeskus

Haavoittuvuus (CVE-2022-21449) ilmenee ECDSA-pohjaisten varmenteiden tarkistuksessa. Rikollisten on esimerkiksi mahdollista väärentää TLS-varmenne ja varmenteen allekirjoituksia. Haavoittuvuuden korjaavat päivitykset tuli asentaa niin pian kuin mahdollista.

www.kyberturvallisuuskeskus.fi

Haavoittuvuus (CVE-2022-21449) ilmenee ECDSA-pohjaisten varmenteiden tarkistuksessa. Rikollisten on esimerkiksi mahdollista väärentää TLS-varmenne ja varmenteen allekirjoituksia. Haavoittuvuuden korjaavat päivitykset tuli asentaa niin pian kuin mahdollista.

Haavoittuvuuden avulla on mahdollista väärentää TLS-varmenne ja allekirjoitukset, kaksivaiheisen tunnistautuminen viestejä sekä avointen standardien laajalti valtuutukseen käyttämiä tunnisteita.

Eipä paljon uudet java haavat haittaa, kun useissa yrityksissä on legacy softaa, jotka toimii vain vanhoilla javoilla.

 

[Desgorr]

Jos ilmiantajiin on uskominen, niin Verisurella ei hirveästi välitetä yksityisyydestä. Eli kameroiden kuvaamaa materiaalia on jaettu työntekijöiden kesken aika vapain käsin.

Ruotsalaismedia: Turvayhtiön työntekijät jakoivat alastonkuvia asiakkaistaan – Yritys toimii myös Suomessa

Alastonkuvien katselu oli yleistä hupia turvayhtiö Verisuren Ruotsin hälytyskeskuksessa, kertoo Aftonbladet. Kuvia myös jaettiin eteenpäin.

www.talouselama.fi

Aftonbladet: Skandaali Verisuressa: työntekijöiden kerrotaan katselleen asiakkaiden alastonkuvia – yhtiö selvittää

Verisure on kohun keskellä Ruotsissa. Maan tietosuojaviranomainen käynnistää selvityksen hälytysjärjestelmäjätistä.

www.is.fi

 

[Kautium]

Jos ilmiantajiin on uskominen, niin Verisurella ei hirveästi välitetä yksityisyydestä. Eli kameroiden kuvaamaa materiaalia on jaettu työntekijöiden kesken aika vapain käsin.

Ruotsalaismedia: Turvayhtiön työntekijät jakoivat alastonkuvia asiakkaistaan – Yritys toimii myös Suomessa

Alastonkuvien katselu oli yleistä hupia turvayhtiö Verisuren Ruotsin hälytyskeskuksessa, kertoo Aftonbladet. Kuvia myös jaettiin eteenpäin.

www.talouselama.fi

Aftonbladet: Skandaali Verisuressa: työntekijöiden kerrotaan katselleen asiakkaiden alastonkuvia – yhtiö selvittää

Verisure on kohun keskellä Ruotsissa. Maan tietosuojaviranomainen käynnistää selvityksen hälytysjärjestelmäjätistä.

www.is.fi

Ei yllätä millään tasolla. Tilaisuus tekee varkaan ja jos ajattelee millaisella koulutuspohjalla turvafirmojen heput istuvat siellä valvomossa, niin tällaisen paljastuminen on ollut vain ajan kysymys. En usko, että tämä olisi myöskään mikään yksittäistapaus.

En voisi mitenkään kuvitella tilannetta, jossa antaisin asentaa kameroita kuvaamaan oman talon sisätiloja sillä tavalla, että niihin on milloin tahansa pääsy jollakin ulkopuolisella.

 

[Hyrava]

En nyt muista mikä vartiointifirma joskus mainitsi että noista rikkarin ilmaisimissa olevista kameroista ei saisi kuvaa valvomoon ellei hälyt ole päällä ja silloinkin vain kun on tullut hälytys. Teoriassahan asia voisi olla noin mutta mikä on todellisuus.

Tosiaan suuri osa noista hälkkäripäivystäjistä taitaa olla jotain opiskelijoita tai vastaavia ja vuorossa saattaa olla vain joku vuoropäällikkö joka on vähän pidempään ollut hommissa. Itse olen käynyt muutaman vartiointifirman hälkkärissä visiitillä ja aika nuorelta se porukka pääsääntöisesti vaikutti.

 

[Tege]

En nyt muista mikä vartiointifirma joskus mainitsi että noista rikkarin ilmaisimissa olevista kameroista ei saisi kuvaa valvomoon ellei hälyt ole päällä ja silloinkin vain kun on tullut hälytys. Teoriassahan asia voisi olla noin mutta mikä on todellisuus.

Tosiaan suuri osa noista hälkkäripäivystäjistä taitaa olla jotain opiskelijoita tai vastaavia ja vuorossa saattaa olla vain joku vuoropäällikkö joka on vähän pidempään ollut hommissa. Itse olen käynyt muutaman vartiointifirman hälkkärissä visiitillä ja aika nuorelta se porukka pääsääntöisesti vaikutti.

Riippuu siitä miten asiat on tehty. Mutta jos luistetaan asioista niin sitten striimit on aina päällä kun hakee.

 

[Agent_007]

Tilaisuus tekee varkaan ja jos ajattelee millaisella koulutuspohjalla turvafirmojen heput istuvat siellä valvomossa

Tuota on käynyt myös NSA:n tasolla

Edward Snowden says NSA workers often pass your nude photos around the office

The Verge is about technology and how it makes us feel. Founded in 2011, we offer our audience everything from breaking news to reviews to award-winning features and investigations, on our site, in video, and in podcasts.

www.theverge.com

 

[jarhu]

En nyt muista mikä vartiointifirma joskus mainitsi että noista rikkarin ilmaisimissa olevista kameroista ei saisi kuvaa valvomoon ellei hälyt ole päällä ja silloinkin vain kun on tullut hälytys. Teoriassahan asia voisi olla noin mutta mikä on todellisuus.

Tosiaan suuri osa noista hälkkäripäivystäjistä taitaa olla jotain opiskelijoita tai vastaavia ja vuorossa saattaa olla vain joku vuoropäällikkö joka on vähän pidempään ollut hommissa. Itse olen käynyt muutaman vartiointifirman hälkkärissä visiitillä ja aika nuorelta se porukka pääsääntöisesti vaikutti.

Tämähän voi olla totta jollain tasolla. En pystyisi kuitenkaan luottamaan siihen, että jonkin yrityksen edustaja sanoo "trust me bro" ja asiat on tehty edes jollain tasolla oikein. Tietoturvan ja yksityisyyden osalta perustaso on, että oleta kaiken olevan pielessä ellet itse voi todentaa jollain tasolla toimintaa. On hyvin suuri todennäköisyys sille, että asiat on tehty best effort -tasolla, jolla taso on siinä mikä järjestelmän toteuttajan ammattillinen kyvykkyys on.

 

[Jorsetti]

No jos rauta on tasoa halvinta mahdollista, koska Googlekin myy kamerasettiä alle satasella, niin onko tuo joku ihme? Sitten niitä valvoo keski-iältään märkäkorvat , joille on pidetty se päivän - pari koulutus asiaan.

 

[escalibur]

Astetta isompi tietovuoto Suomessa:

Kohteina ainakin Kämp- ja F6-hotellit. Vuodon suuruus lienee 16 000 asiakasta ja tapahtuma-aika 10.2. - 14.2..

MTV paljastaa: Lähes 16 000 asiakkaan henkilötiedot vuotaneet Kämpissä ja F6-hotellissa – "Hyökkäys koskenut myös useita muita hotelleja Suomessa"

Ainakin kahdesta Helsingissä sijaitsevasta hotellista on vuotanut yhteensä 15 947 asiakkaan henkilötiedot.

www.mtvuutiset.fi

 

[ztec]

Elisa alkaa keräämään tietoa myös käyttäjien kotiverkoista, mielenkiitoiset vastaukset kyllä. Joko ovat täysin epäpäteviä tai sitten suunnittelevat pahojaan, ota siitä sitten selvää:



"Elisalle on tärkeää parantaa jatkuvasti asiakkaiden tilaamien palveluiden laatua ja toimia tehokkaasti. Alamme keräämään asiakkaidemme sisäverkon toimivuudesta tietoja havaitaksemme verkon ongelmia ja häiriötä aiheuttavia tekijöitä."