Tietoturvauutiset ja blogipostaukset

[TenderBeef]

Traficom ja suomalaiset teleoperaattorit yhteistyössä numeron väärentämistä vastaan asiakkaiden eduksi | Traficom

Liikenne- ja viestintävirasto Traficomin 16.5.2022 uudistama määräys 28 antoi operaattoreille uudet velvoitteet estää soittajan numeron väärentäminen ja huijaussoittojen välittäminen puhelun vastaanottajille. Uudistetun määräyksen tavoitteena on estää suomalaisten numeroiden käyttö...

www.kyberturvallisuuskeskus.fi

Uudistettu määräys on valmisteltu hyvässä yhteistyössä operaattoreiden kanssa. Operaattoreiden kanssa on käyty läpi erilaisia teknisiä ratkaisuja esillä olevan ongelman ratkaisemiseen ja nyt niistä on valittu parhaat käyttöön. Kiinteän verkon puhelinnumeroiden osalta velvoitteet tulevat voimaan 1.7.2022 ja suomalaisten matkapuhelinnumeroiden osalta 2.10.2023.

 

[=JP=]

Toivottavasti kukaan ei ole asentanut Linux jakelua nimeltään Linuxfx, jota "markkinoidaan" ns. Windows kloonina (sivulla on melkoiset lupaukset, mitä kaikkea tuo tekee). Ja todellinen klooni onkin, koska siinä on ollut telemetriat/aktivointi mukana ja sen palvelimet on "korkattu" lapsellisen helposti. Sieltä on sitten saatu tietokanta dump helposti ulos, jossa on ties mitä tietoja ollut saatavilla.

Täältä löytyy takemmin:

Dumping Linuxfx customers - A Windows-like distro including the spyware and activation

So what’s in the data?

• The fxkeys table contains the metadata for all registered Pro licenses for Linuxfx, consisting of the license key, email address and some other stuff (expiration, quantity of machines licensed, etc.).
• The machines table contains the metadata for all Linuxfx installations that has phoned home for the first time. It contains the IP address of the machine, some other metadata ripped off a IP geo-location service (set by the client), and the license key (if activated). There’s only over 20000 entries in this file, a far cry from the 1M number claimed by the company.

 

[Desgorr]

Toivottavasti kukaan ei ole asentanut Linux jakelua nimeltään Linuxfx, jota "markkinoidaan" ns. Windows kloonina (sivulla on melkoiset lupaukset, mitä kaikkea tuo tekee). Ja todellinen klooni onkin, koska siinä on ollut telemetriat/aktivointi mukana ja sen palvelimet on "korkattu" lapsellisen helposti. Sieltä on sitten saatu tietokanta dump helposti ulos, jossa on ties mitä tietoja ollut saatavilla.

Täältä löytyy takemmin:

Dumping Linuxfx customers - A Windows-like distro including the spyware and activation

So what’s in the data?

• The fxkeys table contains the metadata for all registered Pro licenses for Linuxfx, consisting of the license key, email address and some other stuff (expiration, quantity of machines licensed, etc.).
• The machines table contains the metadata for all Linuxfx installations that has phoned home for the first time. It contains the IP address of the machine, some other metadata ripped off a IP geo-location service (set by the client), and the license key (if activated). There’s only over 20000 entries in this file, a far cry from the 1M number claimed by the company.

Eli tuo aktivointikilke on ottanut suoraan yhteyden heidän mysql-palvelimeen hard koodatulla tunnuksella/salasanalla, jolla on nähtävästi ainakin lukuoikeudet tuohon kaikkien käyttäjien aktivointitiedot sisältävään kantaan.

 

[=JP=]

Eli tuo aktivointikilke on ottanut suoraan yhteyden heidän mysql-palvelimeen hard koodatulla tunnuksella/salasanalla, jolla on nähtävästi ainakin lukuoikeudet tuohon kaikkien käyttäjien aktivointitiedot sisältävään kantaan.

Ovat sentään korjanneet tuon reiän, mutta mitään ei web sivuilla mainita, että olisi tapahtunut jotain ikävää, foorumit on pelkkä vitsi ("ulkoistettu" Sourceforgeen) jne...
Ja mitä pikkasen enempi tutki, niin melkonen tekele taitaa olla, Mint pohjautuva, johon lätkästy päälle sopiva GUI ja muita ominaisuuksia, joiden toiminta on sitä sun tätä ja myyvät hintaan 35$ Pro versiota jota ilmainen versio popupien avustuksella mainostaa kauheena.

 

[Hyrava]

Erittäin hyvä juttu että tuli tuo linuxfx minun tietooni, juuri yksi kaveri suunnittelee linuxiin vaihtamista ja haluaisi mahdollisimman Windowsmaisen käyttöliittymän näin aluksi, joten en ihmettelisi jos olisi tuotakin googlaillut. Lupasi kuitenkin konsultoida minua ennen asennusta joten tietää ainakin tuosta varoittaa.

 

[runboy93]

DuckDuckGo browser allows Microsoft trackers due to search agreement

The privacy-focused DuckDuckGo browser purposely allows Microsoft trackers on third-party sites due to an agreement in their syndicated search content contract between the two companies.

www.bleepingcomputer.com

DuckDuckGo Browser Allows Microsoft to Track Users Thanks to Confidential Agreement

DuckDuckGo seems to be in hot water with its users, this time over a clear and intentional violation of privacy. The blowback has been swift with many in the privacy community condemning DuckDuckGo’s apparent hypocrisy by claiming to be private while exposing its users to Microsoft trackers...

restoreprivacy.com

Ei kuulemma koske DDG hakukonetta (vain selainta, Android ja iOS alustoilla), mutta niin mistä sitä voi tietää minkälaista diiliä siellä taustalla on myös hakukoneeseen tehty, mikä ei ole vain selvinnyt vielä julkisuuteen asti?

 

[Algron28]

DuckDuckGo browser allows Microsoft trackers due to search agreement

The privacy-focused DuckDuckGo browser purposely allows Microsoft trackers on third-party sites due to an agreement in their syndicated search content contract between the two companies.

www.bleepingcomputer.com

DuckDuckGo Browser Allows Microsoft to Track Users Thanks to Confidential Agreement

DuckDuckGo seems to be in hot water with its users, this time over a clear and intentional violation of privacy. The blowback has been swift with many in the privacy community condemning DuckDuckGo’s apparent hypocrisy by claiming to be private while exposing its users to Microsoft trackers...

restoreprivacy.com

Ei kuulemma koske DDG hakukonetta (vain selainta, Android ja iOS alustoilla), mutta niin mistä sitä voi tietää minkälaista diiliä siellä taustalla on myös hakukoneeseen tehty, mikä ei ole vain selvinnyt vielä julkisuuteen asti?

DDG:n selitystä asialle:

The issue at hand is, while most of our protections like 3rd-party cookie blocking apply to Microsoft scripts on 3rd-party sites (again, this is off of DuckDuckGo,com, i.e., not related to search), we are currently contractually restricted by Microsoft from completely stopping them from loading (the one above-and-beyond protection explained in the last paragraph) on 3rd party sites. We still restrict them though (e.g., no 3rd party cookies allowed). The original example was Workplace.com loading a LinkedIn.com script. Nevertheless, we have been and are working with Microsoft as we speak to reduce or remove this limited restriction.

I understand this is all rather confusing because it is a search syndication contract that is preventing us from doing a non-search thing. That's because our product is a bundle of multiple privacy protections, and this is a distribution requirement imposed on us as part of the search syndication agreement that helps us privately use some Bing results to provide you with better private search results overall. While a lot of what you see on our results page privately incorporates content from other sources, including our own indexes (e.g., Wikipedia, Local listings, Sports, etc.), we source most of our traditional links and images privately from Bing (though because of other search technology our link and image results still may look different). Really only two companies (Google and Microsoft) have a high-quality global web link index (because I believe it costs upwards of a billion dollars a year to do), and so literally every other global search engine needs to bootstrap with one or both of them to provide a mainstream search product. The same is true for maps btw -- only the biggest companies can similarly afford to put satellites up and send ground cars to take streetview pictures of every neighborhood.

Löytyy tuolta kommenteista r/duckduckgo - My two cents on DDG and Microsoft news...

Näin yleisesti on kyllä aika tietyssä mielessä huolettavaa tämä alla mainittu

Really only two companies (Google and Microsoft) have a high-quality global web link index (because I believe it costs upwards of a billion dollars a year to do), and so literally every other global search engine needs to bootstrap with one or both of them to provide a mainstream search product. The same is true for maps btw

Käytännössä siis sanovat että internetin "tiekartat" on kahden jättiläisen hallussa.

 

[TenderBeef]

Käytännössä siis sanovat että internetin "tiekartat" on kahden jättiläisen hallussa.

Ja toinen niistä on selvästi heikompi (bing).

 

[Desgorr]

Sambialaiseen pankkiin oli iskenyt kryptolockeri, mutta ei ollut nähtävästi kryptannut mitään kriittistä dataa, joten pankin vastaus hakkerille oli aika mulkkumainen.

Hakkeri kiristi rahaa, pankki lähetti kuvan peniksestä

Pankilla oli pelivaraa, sillä se oli saanut suojeltua tärkeimmät toimintonsa.

www.mikrobitti.fi

 

[Infy]

Oli tässä säikeessä joku aika sitten keskustelua teleoperaattorien harrastamasta puhelinliittymien paikannustietojen tallennuksesta.

Lähes 30 vuotta vanha mysteeri on selvinnyt – 68-vuotiaalle elinkautinen Ilpo Härmäläisen murhasta: "Rikos osoittaa poikkeuksellista kylmyyttä"

Varsinais-Suomen käräjäoikeus on tuominnut Lasse Lehdon vuonna 1994 tapahtuneesta lakimiehen murhasta elinkautiseen. Koskaan aikaisemmin ketään ei ole itsenäisessä Suomessa tuomittu henkirikoksesta yhtä pitkän ajan jälkeen.

yle.fi

"Lisäksi oikeus mainitsee, että mikäli Lehto olisi kulkenut Turusta Raisioon ja takaisin, hänen liittymänsä paikantuminen kello 13.44 Naantalin viljavaraston tukiasemaan ei ole Telian lausunto huomioiden ollut todennäköistä, koska liittymä paikantuu aina vahvimpaan tukiasemaan. Käräjäoikeus lisää, että Lehto olisi väittämiään reittejä kulkiessaan paikantunut ensisijaisesti Raision keskustan tai Pansion tukiasemiin. "

Vaikuttaa aika uskomattomalta, että noin vanhoja tietokantoja löytyy, missä on tiedot missä puhelin on liikkunut vuonna 1994. Kyllä operaattorit tietää missä ja milloin kukin kansalainen on elämänsä aikana liikkunut!

 

[pulatunnus]

Vaikuttaa aika uskomattomalta, että noin vanhoja tietokantoja löytyy, missä on tiedot missä puhelin on liikkunut vuonna 1994. Kyllä operaattorit tietää missä ja milloin kukin kansalainen on elämänsä aikana liikkunut!

Linkki ei kertonut kuka/mikä oli noita tietoja säilyttänyt nämä vuosikymennet ja miksi.

Siis tässä tuli mieleen että katoamista(?) on aikanaan tutkittu henkirikoksena ja todisteita säilytetty.

 

[jarhu]

Linkki ei kertonut kuka/mikä oli noita tietoja säilyttänyt nämä vuosikymennet ja miksi.

Siis tässä tuli mieleen että katoamista(?) on aikanaan tutkittu henkirikoksena ja todisteita säilytetty.

Tuomittuhan oli ollut epäiltynä jo alussa, jolloin lienee myös teletiedot pyydetty operaattorilta. Ne on kohtuullisen varmasti säilyneet todiste-materiaalina tähän asti arkistoissa kuten sanoit. Kun ruumis löytyi, niin poliisi sai riittävät todisteet tutkinnan uudelleen avaamista varten.

 

[=JP=]

Toivottavasti kukaan ei ole asentanut Linux jakelua nimeltään Linuxfx, jota "markkinoidaan" ns. Windows kloonina (sivulla on melkoiset lupaukset, mitä kaikkea tuo tekee). Ja todellinen klooni onkin, koska siinä on ollut telemetriat/aktivointi mukana ja sen palvelimet on "korkattu" lapsellisen helposti. Sieltä on sitten saatu tietokanta dump helposti ulos, jossa on ties mitä tietoja ollut saatavilla.

Täältä löytyy takemmin:

Dumping Linuxfx customers - A Windows-like distro including the spyware and activation

So what’s in the data?

• The fxkeys table contains the metadata for all registered Pro licenses for Linuxfx, consisting of the license key, email address and some other stuff (expiration, quantity of machines licensed, etc.).
• The machines table contains the metadata for all Linuxfx installations that has phoned home for the first time. It contains the IP address of the machine, some other metadata ripped off a IP geo-location service (set by the client), and the license key (if activated). There’s only over 20000 entries in this file, a far cry from the 1M number claimed by the company.

Tässä jatkoa tälle fiaskolle

Linuxfx: Revenge of the Skids

Tää ansaitsee toisen

 

[Agent_007]

Ainakin noiden URL:ien sisältö on nyt vaihdettu

mysql
38695
204.2.195.229
kernalisdumb
kernalislamme

 

[=JP=]

Vakava tietoturvareikä VMWaren tuotteissa, suositellaan päivittämään välittömästi.

Exploit released for critical VMware auth bypass bug, patch now

Proof-of-concept exploit code is now available online for a critical authentication bypass vulnerability in multiple VMware products that allows attackers to gain admin privileges.

www.bleepingcomputer.com

Proof-of-concept exploit code is now available online for a critical authentication bypass vulnerability in multiple VMware products that allows attackers to gain admin privileges.

While Shodan only shows a limited number of VMware appliances exposed to attacks that would target this bug, there are several healthcare, education industry, and state government organizations with an increased risk of being targeted.

 

[user9999]

Useita haavoittuvuuksia Zyxelin palomuureissa, tukiasemissa ja niiden kontrollereissa.

Zyxel warns of flaws impacting firewalls, APs, and controllers

Zyxel has published a security advisory to warn admins about multiple vulnerabilities affecting a wide range of firewall, AP, and AP controller products.

www.bleepingcomputer.com

Zyxel security advisory for multiple vulnerabilities of firewalls, AP controllers, and APs

CVE: CVE-2022-0734, CVE-2022-26531, CVE-2022-26532, CVE-2022-0910 Summary

community.zyxel.com

 

[Desgorr]

Useita haavoittuvuuksia Zyxelin palomuureissa, tukiasemissa ja niiden kontrollereissa.

Zyxel warns of flaws impacting firewalls, APs, and controllers

Zyxel has published a security advisory to warn admins about multiple vulnerabilities affecting a wide range of firewall, AP, and AP controller products.

www.bleepingcomputer.com

Zyxel security advisory for multiple vulnerabilities of firewalls, AP controllers, and APs

CVE: CVE-2022-0734, CVE-2022-26531, CVE-2022-26532, CVE-2022-0910 Summary

community.zyxel.com

Tuossa on muuten hyvä muistutus, että MFA ei ole mikään pomminvarma jos toteutus on ryssitty:
"CVE-2022-0910: Medium severity (CVSS v3.1 – 6.5) authentication bypass vulnerability in the CGI component, allowing an attacker to downgrade from two-factor authentication to one-factor authentication via an IPsec VPN client."

 

[user9999]

Aika myöhään Zyxeliltä tulee yleensä tuo tiedoite. Omat haavoittuvat laitteet on päivitetty aikaa sitten. 8.4.2022

Support Download Page Redirect

Support Download Page Redirect

Ehkä kaikkiin laitteisiin ei löydy kuin vasta nyt päivityksiä.

 

[=JP=]

Ilkeä MS Office zero day löytynyt, olkaas varovaisia, eikä availla outoja dokumentteja...

New Microsoft Office zero-day used in attacks to execute PowerShell

Security researchers have discovered a new Microsoft Office zero-day vulnerability that is being used in attacks to execute malicious PowerShell commands via Microsoft Diagnostic Tool (MSDT) simply by opening a Word document.

www.bleepingcomputer.com

This new Follina zero-day opens the door to a new critical attack vector leveraging Microsoft Office programs as it works without elevated privileges, bypasses Windows Defender detection, and does not need macro code to be enabled to execute binaries or scripts.

 

[escalibur]

Ilkeä MS Office zero day löytynyt, olkaas varovaisia, eikä availla outoja dokumentteja...

New Microsoft Office zero-day used in attacks to execute PowerShell

Security researchers have discovered a new Microsoft Office zero-day vulnerability that is being used in attacks to execute malicious PowerShell commands via Microsoft Diagnostic Tool (MSDT) simply by opening a Word document.

www.bleepingcomputer.com

This new Follina zero-day opens the door to a new critical attack vector leveraging Microsoft Office programs as it works without elevated privileges, bypasses Windows Defender detection, and does not need macro code to be enabled to execute binaries or scripts.

Erinomainen esimerkki miksi on syytä panostaa Officen online-sovelluksiin asennusversioiden sijaan. Tämä ei tietenkään tarkoita kaikkia mahdollisia tilanteita, mutta kannattaa pyrkiä käyttämään online-versiota aina jos ja kun on vain mahdollista. Tietoturvauhkien tarttumispinta pienenee merkittävästi.

 

[runboy93]

KRP: Tekstiviestihuijausten takana ollut Flubot-vakoiluohjelma ajettiin alas – ”Oli suoranainen vitsaus”

Flubot levisi Suomessa muun muassa Postin nimissä lähetetyissä huijausviesteissä.

www.is.fi

MAAILMANLAAJUINEN Android-puhelimiin vaikuttanut Flubot-vakoiluhaittaohjelma on ajettu alas, keskusrikospoliisi (KRP) kertoo. KRP:n mukaan Suomi oli mukana Europolin johtamassa alasajo-operaatiossa, johon osallistui yhteensä 11 maata. Varsinaisen vakoiluohjelman alasajon teki Alankomaiden poliisi toukokuussa, KRP kertoo tiedotteessaan.

KRP:n mukaan rikolliset saivat ohjelman avulla haltuunsa salasanoja, pankkitunnuksia ja muita arkaluontoisia tietoja. Ohjelma ehti levitä aggressiivisesti ympäri maailman joulukuusta 2020 saakka.

–  Flubot on globaalisti tarkastellen kaikkein nopeimmin levinnyt haittaohjelma tähän mennessä. Se oli suoranainen vitsaus, KRP:n rikoskomisario Marko Leponen sanoo tiedotteessa.

Euroopan poliisivirasto Europolin johtamaan operaation osallistuivat Suomen lisäksi Australia, Belgia, Unkari, Irlanti, Romania, Ruotsi, Sveitsi, Espanja, Alankomaat ja Yhdysvallat.

Flubot aiheutti erityisen paljon ongelmia Suomessa ja Espanjassa, KRP sanoo.

Tällä erää ohi tämä.

 

[Stunned]

 

[=JP=]

Ilkeä MS Office zero day löytynyt, olkaas varovaisia, eikä availla outoja dokumentteja...

New Microsoft Office zero-day used in attacks to execute PowerShell

Security researchers have discovered a new Microsoft Office zero-day vulnerability that is being used in attacks to execute malicious PowerShell commands via Microsoft Diagnostic Tool (MSDT) simply by opening a Word document.

www.bleepingcomputer.com

This new Follina zero-day opens the door to a new critical attack vector leveraging Microsoft Office programs as it works without elevated privileges, bypasses Windows Defender detection, and does not need macro code to be enabled to execute binaries or scripts.

Tähän liittyen, niin MS on tiennyt tästä aukosta jo lähes kahden kuukauden ajan, eikä ole korjannut sitä vieläkään tähän mennessä edes, vaikka sitä on alettu käyttämään laajemmin hyväksi!

Tämä on pelottava demo, että vain lataamalla .html tiedoston wget (joka vakiona Windowsissa nykyään) softalla käynnistää kyseisen exploitin kyselemättä!



Tässä nyt on MS ohjeistus, miten omalta koneelta tuon voi estää poistamalla käytöstä kyseisen protokollan rekisteristä, mutta se saattaa vaikuttaa sitten ongelmatilanteisiin, koska estetään tuon toiminta osittain, eli se diagnostiikka apuri ei voi toimia kunnolla.

/blog/2022/05/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

To disable the MSDT URL Protocol

1. Run Command Prompt as Administrator.
2. To back up the registry key, execute the command “reg export HKEY_CLASSES_ROOT\ms-msdt filename“
3. Execute the command “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

How to undo the workaround

1. Run Command Prompt as Administrator.
2. To restore the registry key, execute the command “reg import filename”

Naurettavaa, että kolmas osapuoli on tehnyt päivityksen jo, mutta itse en ainakaan alkaisi asentelemaan...

Windows MSDT zero-day vulnerability gets free unofficial patch

A free unofficial patch is now available to block ongoing attacks against Windows systems that target a critical zero-day vulnerability known as 'Follina.'

www.bleepingcomputer.com

Instead of disabling the MSDT URL protocol handler (as advised by Microsoft), 0patch has added sanitization of the user-provided path (currently missing in the Windows script) to avoid rendering the Windows diagnostic wizardry inoperable across the OS for all applications.

 

[ztec]

Tämä on pelottava demo, että vain lataamalla .html tiedoston wget (joka vakiona Windowsissa nykyään) softalla käynnistää kyseisen exploitin kyselemättä!

Kun tää nyt on kuitenkin nörttifoorumi, niin kai sitä saa sanoa että powerhellin wget-komennolla ei ole muuten yhtikäsmitään tekemistä sen perinteisen wget softan kanssa. Vaikka wget onkin yksi aliaksista powershellissä. Anyways, sen oikean wget:n saa myös tietenkin Windows binäärinä jos on tarvista. Vähän kuin Windowssin curl on kans, aika "meh", eikä tod ole mitään tekemistä cURL softan kanssa. Molemmat kun on vaan Invoke-WebRequest:n aliaksia.

 

[=JP=]

Kun tää nyt on kuitenkin nörttifoorumi, niin kai sitä saa sanoa että powerhellin wget-komennolla ei ole muuten yhtikäsmitään tekemistä sen perinteisen wget softan kanssa. Vaikka wget onkin yksi aliaksista powershellissä. Anyways, sen oikean wget:n saa myös tietenkin Windows binäärinä jos on tarvista. Vähän kuin Windowssin curl on kans, aika "meh", eikä tod ole mitään tekemistä cURL softan kanssa. Molemmat kun on vaan Invoke-WebRequest:n aliaksia.

Katos joo, mulla on wget.exe binääri Windows koneella, jota käyttelen ahkeraan komentoriviltä, niin menee sekaisin välillä testatessa...
Aina tulee asenneltua noita useita näppäriä komentorivi softia Windows koneillekin, kun tottunut käyttämään

Eli sen takia tuo siis sitten suoraan avaa tuon exploitin Windowsin tekeleellä.

 

[Desgorr]

Mikähän homma ytj:llä on menossa: https://www.ytj.fi/
Serti ainakin vituillaan: This server could not prove that it is www.ytj.fi; its security certificate is from *.abako.fi.
Ja kyselee tunnuksia jos tuon ohittaa.

Huoltokatko? Vai jotain vakavampaa?

 

[nikop]

Abako

www.abako.fi

Näyttäisi olevan joku palveluntarjoaja.

Varmaan palvelin konffaus sössitty, menee väärään domainiin.

(offtopic: Hienosti sivujen menu ei toimi pystyasennossa, vaan sulkeutuu kun yrittää valita, ellei muuta selain ikkunaa vaakatasoon)

 

[5rWs3WA2tv]

Mikähän homma ytj:llä on menossa: Etusivu
Serti ainakin vituillaan: This server could not prove that it is www.ytj.fi; its security certificate is from *.abako.fi.
Ja kyselee tunnuksia jos tuon ohittaa.

Huoltokatko? Vai jotain vakavampaa?

Loadbalancerin certtiuusinta epäonnistunut, ei muuta vakavaa

 

[=JP=]

Applen M1 piiristä on löydetty haavoittuvuus ja sitä ei myöskään voi korjata softalla. Mielenkiintoista nähdä, onko tämä sama haavoittuvuus myöskin tulevassa M2 piirissä!

Researchers discover a new hardware vulnerability in the Apple M1 chip

MIT scientists found a new hardware vulnerability in the Apple M1 chip. They created a novel PACMAN attack methodology to show that Pointer Authentication Code - the last line of defense against typical software vulnerabilities - can be defeated without leaving a trace.

news.mit.edu

The M1 chip uses a feature called pointer authentication, which acts as a last line of defense against typical software vulnerabilities. With pointer authentication enabled, bugs that could normally compromise a system or leak private information are stopped dead in their tracks.

hardware attack, called PACMAN, shows that pointer authentication can be defeated without even leaving a trace. Moreover, PACMAN utilizes a hardware mechanism, so no software patch can ever fix it.

PACMAN can only take an existing bug that pointer authentication protects against, and unleash that bug's true potential for use in an attack by finding the correct PAC. There’s no cause for immediate alarm, the scientists say, as PACMAN cannot compromise a system without an existing software bug.

The team showed that the PACMAN attack even works against the kernel, which has “massive implications for future security work on all ARM systems with pointer authentication enabled

Täältä löytyy koko tutkimus, jos kiinnostaa syvällisemmin:

https://pacmanattack.com/paper.pdf

 

[Humanoid]

Applen M1 piiristä on löydetty haavoittuvuus ja sitä ei myöskään voi korjata softalla. Mielenkiintoista nähdä, onko tämä sama haavoittuvuus myöskin tulevassa M2 piirissä!

Researchers discover a new hardware vulnerability in the Apple M1 chip

MIT scientists found a new hardware vulnerability in the Apple M1 chip. They created a novel PACMAN attack methodology to show that Pointer Authentication Code - the last line of defense against typical software vulnerabilities - can be defeated without leaving a trace.

news.mit.edu

The M1 chip uses a feature called pointer authentication, which acts as a last line of defense against typical software vulnerabilities. With pointer authentication enabled, bugs that could normally compromise a system or leak private information are stopped dead in their tracks.

hardware attack, called PACMAN, shows that pointer authentication can be defeated without even leaving a trace. Moreover, PACMAN utilizes a hardware mechanism, so no software patch can ever fix it.

PACMAN can only take an existing bug that pointer authentication protects against, and unleash that bug's true potential for use in an attack by finding the correct PAC. There’s no cause for immediate alarm, the scientists say, as PACMAN cannot compromise a system without an existing software bug.

The team showed that the PACMAN attack even works against the kernel, which has “massive implications for future security work on all ARM systems with pointer authentication enabled

Täältä löytyy koko tutkimus, jos kiinnostaa syvällisemmin:

https://pacmanattack.com/paper.pdf

Käsittääkseni tuo ei ole kovin helposti hyödynnettävissä, sillä haavoittuvuus aukeaa vain, jos koneelle saa asennettua mukautetun kernel-laajennuksen. Joten vaatii fyysistä pääsyä koneelle, tai tahallista haavoittuvuuden asentamista. Puhumattakaan sitten erikseen koodista joka hyödyntäisi ko. haavoittuvuutta.

 

[user9999]

Ihmettelin, että miten ne ovat tuon kernel extensionin aktivoineet kun se on vanhennettu.

Deprecated Kernel Extensions and System Extension Alternatives - Support - Apple Developer

developer.apple.com

Sen saakin näköjään käyttöön Recovery tilassa.

How to Enable and Activate Kernel Extensions on Apple Silicon Macs

Apple silicon chips use different security protocols, which you need to adjust if you want to install third-party kernel extensions.

www.makeuseof.com

 

[user9999]

Microsoft will finally end support for Internet Explorer on multiple Windows versions on Wednesday, June 15, almost 27 years after its launch on August 24, 1995.

Internet Explorer (almost) breathes its final byte on Wednesday

Microsoft will finally end support for Internet Explorer on multiple Windows versions on Wednesday, June 15, almost 27 years after its launch on August 24, 1995.

www.bleepingcomputer.com

 

[Agent_007]

Hertzbleed on uusi sivukanavahyökkäys, jossa hyödynnetään suorittimen kellotaajuuden vaihtelua tiedon keräämisessä. Rautatasolla varmin tapa estää tuo on ottaa "turbo" -tilat pois käytöstä.

Hertzbleed Attack

www.hertzbleed.com

 

[user9999]

Väärä ketju.

 

[mikajh]

Suomalaisen henkilötunnuksen väärinkäyttöä tunnistukseen yritetään suitsia ensi vuoden alusta. Ehkä. Lausuntopalvelu.fi

 

[leripe]

Suomalaisen henkilötunnuksen väärinkäyttöä tunnistukseen yritetään suitsia ensi vuoden alusta. Ehkä. Lausuntopalvelu.fi

Olisi ihan hyvä lyhyesti kertoa, että miten eikä vain linkkiä.
Oliko tuolla siis, että jatkossa hetun kanssa ei voi tilata laskulle mitään ja jatkossa kaikki palvelut vaativat vahvan tunnustamisen, esim. Klarna?

 

[=JP=]

Olisi ihan hyvä lyhyesti kertoa, että miten eikä vain linkkiä.
Oliko tuolla siis, että jatkossa hetun kanssa ei voi tilata laskulle mitään ja jatkossa kaikki palvelut vaativat vahvan tunnustamisen, esim. Klarna?

Sitähän tuossa yritetään, eli ei mahdollistettaisi enää pelkästään hetun käyttämistä tunnistautumiseen, suora lainaus:

Esityksen tavoitteena on täsmentää henkilötunnuksen käsittelyä koskevia säännöksiä henkilöllisyyttä todennettaessa siten, että yksinomaan henkilötunnusta tai henkilötunnuksen ja luonnollisen henkilön nimen yhdistelmää ei saisi käyttää henkilöllisyyden todentamiseen.

Tuolta saa kyllä sitten lukea "laki jargonia":

https://www.lausuntopalvelu.fi/FI/Proposal/DownloadProposalAttachment?attachmentId=17974

Pikaisen lukemisen jälkeen, ei ainakaan minulle selviä, että mikä sitten olisi se oikea tapa tunnistaa ihminen tulevaisuudessa, eli vähän puolitiehen nyt jää tuo lakiuudistus kyllä. Teknisiä rajoitteita on sen verta paljon oletettavasti, että eivät ole sitten jaksaneet miettiä sen pidemmälle. Ja esimerkiksi, mitenkäs puhelimessa voitaisiin suorittaa vahva tunnistautuminen, siten että se olisi kuitenkin jokaisen käytettävissä helposti...

 

[mikajh]

esimerkiksi, mitenkäs puhelimessa voitaisiin suorittaa vahva tunnistautuminen, siten että se olisi kuitenkin jokaisen käytettävissä helposti...

Peruspalikathan tuohon ovat jo olemassa, kuten mobiilivarmenne. Aspa A tietää Perus B:n puhelinnumeron, mot. Sitten mobiilivarmennus käyntiin ja A kertoo B:lle tapahtumatunnuksen. Jos se mätsää, B kuittaa ja A saa vahvistuksen että oikea B on langan päässä. Ja tuohan toimii millä perusluurilla tahansa

Samoin pankkisovelluksissa on toiminto puhelujen varmentamista varten

 

[=JP=]

Peruspalikathan tuohon ovat jo olemassa, kuten mobiilivarmenne. Aspa A tietää Perus B:n puhelinnumeron, mot. Sitten mobiilivarmennus käyntiin ja A kertoo B:lle tapahtumatunnuksen. Jos se mätsää, B kuittaa ja A saa vahvistuksen että oikea B on langan päässä. Ja tuohan toimii millä perusluurilla tahansa

Samoin pankkisovelluksissa on toiminto puhelujen varmentamista varten

Yritäpä selittää tuo mobiilivarmenne sille vanhemmalle henkilölle, joka hädintuskin osaa sen puhelinnumeron laittaa siihen luuriin kun soittaa jonnekin, jossa pitää tunnistautua (ja ennen kelvannut kun kertoo hetun, jonka osannut ulkoa ikänsä). Tottakai sukupolvi koko ajan vaihtuu ja taidot paranee, mutta edelleen on paljon ihmisiä joilla digitaidot on lähes 0%.
Sama pätee pankkisovelluksienkin kohdalla.
Myöskin tuo mobiilivarmenteen maksullisuus on yksi este joillakin operaattoreilla, että ottaisin yleiseen käyttöön.

Itsekin haluan tottakai parantaa tietoturvaa ja mielestäni tuo hetulla tunnistautuminen on todella surkea ja epävarma tapa, mutta helppo, miksi sitä on käytetty/käytetään.

Pitääpä tuo pankkisovellus asia tsekata, niin harvoin käytän itsekään, koska minulla on pankilta saatu fyysinen 2FA palikka, jota käytän 99% ajasta pankki ja tunnistautumis asioissa. En siis käytä puhelinta oikeastaan laisinkaan noihin asioihin, mielestäni tietokoneella on paljon helpompi hoitaa asiat, eikä tarvii tihrustaa pieneltä ruudulta.

Meitä kun on monenlaisia käyttäjiä...

 

[mikajh]

Yritäpä selittää tuo mobiilivarmenne sille vanhemmalle henkilölle

Tuossa on tietysti omat tenkkapoonsa, mutta lainmuutos ei välttämättä senioreita kosketa, jotka eivät etänä mitään osta muutenkaan. Mutta jos edellisessä esimerkissä B:ksi tekeytynyt Kiero C ei pystykään saamaan pikavippiä B:n nimiin, niin sehän on se pääasia

 

[=JP=]

Tuossa on tietysti omat tenkkapoonsa, mutta lainmuutos ei välttämättä senioreita kosketa, jotka eivät etänä mitään osta muutenkaan. Mutta jos edellisessä esimerkissä B:ksi tekeytynyt Kiero C ei pystykään saamaan pikavippiä B:n nimiin, niin sehän on se pääasia

Mielenkiinnolla kyllä jään odottamaan, miten sitten aikovat tuon toteuttaa, kun kerta jo ensivuoden alusta pitäisi tulla voimaan. Voipi tulla yllätyksenä monelle seniorille, että asioiden hoitaminen mutkistuu, eikä niiden labratuloksien kysely olekaan enää niin helppoa. Näissä on myös paljon alueellisia eroja, miten kunnat hoitaa asioita, joten soppa voipi olla melkoinen, että kehitetään yhtenäinen systeemi tuohon. Nytkin niin monta muutakin järjestelmää pitäisi yhdistää, siirtää digiaikaan ja on aivan kesken prosessit.

Nämä asiat on pirun vaikeita selvittää ja kehittää varmoja järjestelmiä (mitkä myöskin jossain määrin kommunikoivat keskenään), jotka kuitenkin olisi kohtuu helposti jokaisen saatavilla!

 

[Desgorr]

S-Pankin nimissä smishing huijausta liikkeellä. Itsellekin tuo tekstari kolahti ja vielä SPankki nimisellä lyhytnymerolla johon tulee myös oikeat S-Pankin viestit.

Suomalaisiin kohdistuu petollinen pankkihuijaus: ”Tilit ja luotot tyhjennetty välittömästi”

Aidoissa viestiketjuissa näkyvillä huijausviesteillä on jo tiettävästi onnistuttu varastamaan rahaa.

www.is.fi

Tekstiviestihuijauksia liikkeellä S-Pankin nimissä | S-Pankki

S-Pankin nimissä lähetetään tällä hetkellä huijausviestejä tekstiviestitse. Ethän syötä pankkitunnuksiasi tai korttitietojasi huijaussivustolle.

www.s-pankki.fi

 

[leripe]

Mielenkiinnolla kyllä jään odottamaan, miten sitten aikovat tuon toteuttaa, kun kerta jo ensivuoden alusta pitäisi tulla voimaan. Voipi tulla yllätyksenä monelle seniorille, että asioiden hoitaminen mutkistuu, eikä niiden labratuloksien kysely olekaan enää niin helppoa. Näissä on myös paljon alueellisia eroja, miten kunnat hoitaa asioita, joten soppa voipi olla melkoinen, että kehitetään yhtenäinen systeemi tuohon. Nytkin niin monta muutakin järjestelmää pitäisi yhdistää, siirtää digiaikaan ja on aivan kesken prosessit.

Nämä asiat on pirun vaikeita selvittää ja kehittää varmoja järjestelmiä (mitkä myöskin jossain määrin kommunikoivat keskenään), jotka kuitenkin olisi kohtuu helposti jokaisen saatavilla!

Toisaalta jos kaikki edistys tehtäisiin aina vastaanvänkääjien ja eläkeläisten sekä vähemmistöjen ehdoilla, niin mikään ei kehittyisi paremmaksi.
Pakotus toimii monesti hyvin, kun asiassa on oikeasti hyvä tahto taustalla, kuten tässäkin.

"miksei ketään ajattele lapsia" -slogan

 

[Hyrava]

Toisaalta jos kaikki edistys tehtäisiin aina vastaanvänkääjien ja eläkeläisten sekä vähemmistöjen ehdoilla, niin mikään ei kehittyisi paremmaksi.
Pakotus toimii monesti hyvin, kun asiassa on oikeasti hyvä tahto taustalla, kuten tässäkin.

"miksei ketään ajattele lapsia" -slogan

Itse ainakin ymmärrän että asioita pitää kehittää mutta samalla kun asioita muutetaan niin monesti saman tien ajetaan vastaavia kivijalkapalveluita sun muita alas nopeammin kuin eläkeläiset kerkiävät uusia juttuja oppia. Omalla faijalla ei ole koskaan ollut älypuhelinta tai tietokonetta eikä edes ole käyttänyt moisia elämänsä aikana koskaan ja hän kiroilee kyllä kovin kun esim pankkipalvelut olivat ensin noni 3km päässä, lopettivat konttorin ja siirtyivät 10km päähän ja sekin konttori lopetettiin ja nyt lähin pankin konttori on yli 20km päässä. Sama asia on monen muunkin palvelun kanssa. Tosin, ajatelin pikkuhiljaa lärkätä itselleni ainakin jotain valtuutuksia noiden asioiden hoitoon itselleni että faijan ei tarvitse aina lähteä ajelemaan kaupungista toiseen etsimään missä voi kivijalassa hoitaa asioitaan.

Toisaalta tuo että faijalla ei ole tietokonetta eli ei myöskään nettipankkia eikä oikein mitään muutakaan tietoteknistä palvelua on ollut hyväkin, eipähän ole huijarit päässeet vahingossakaan viemään vanhuksen rahoja kun ei ole millä viedä

Olen ehdottomasti tuon henkkariuudistuksen ja monen muunkin vastaavan kannalla mutta aina noissa on vähän pelko perseessä että noista tulee vaan aivan liian monimutkaisia tai muuten hankalia, nytkin tulee käytettyä useampaakin raakileeksi jäänyttä asiaa jotka on joko jääneet vähän kesken tai sitten vaan ei ole ajateltu loppuun asti.

 

[leripe]

Itse ainakin ymmärrän että asioita pitää kehittää mutta samalla kun asioita muutetaan niin monesti saman tien ajetaan vastaavia kivijalkapalveluita sun muita alas nopeammin kuin eläkeläiset kerkiävät uusia juttuja oppia. Omalla faijalla ei ole koskaan ollut älypuhelinta tai tietokonetta eikä edes ole käyttänyt moisia elämänsä aikana koskaan ja hän kiroilee kyllä kovin kun esim pankkipalvelut olivat ensin noni 3km päässä, lopettivat konttorin ja siirtyivät 10km päähän ja sekin konttori lopetettiin ja nyt lähin pankin konttori on yli 20km päässä. Sama asia on monen muunkin palvelun kanssa. Tosin, ajatelin pikkuhiljaa lärkätä itselleni ainakin jotain valtuutuksia noiden asioiden hoitoon itselleni että faijan ei tarvitse aina lähteä ajelemaan kaupungista toiseen etsimään missä voi kivijalassa hoitaa asioitaan.

Toisaalta tuo että faijalla ei ole tietokonetta eli ei myöskään nettipankkia eikä oikein mitään muutakaan tietoteknistä palvelua on ollut hyväkin, eipähän ole huijarit päässeet vahingossakaan viemään vanhuksen rahoja kun ei ole millä viedä

Olen ehdottomasti tuon henkkariuudistuksen ja monen muunkin vastaavan kannalla mutta aina noissa on vähän pelko perseessä että noista tulee vaan aivan liian monimutkaisia tai muuten hankalia, nytkin tulee käytettyä useampaakin raakileeksi jäänyttä asiaa jotka on joko jääneet vähän kesken tai sitten vaan ei ole ajateltu loppuun asti.

Tässäkin käyttäjä on tehnyt vuosien varrella sen valinnan ettei millään ilveellä halua oppia uutta, joten näe taaskaan ongelmaa ettei tälläisiä vastaanvänkääjiä oteta kehityksen esteeksi.

 

[escalibur]

Tässäkin käyttäjä on tehnyt vuosien varrella sen valinnan ettei millään ilveellä halua oppia uutta, joten näe taaskaan ongelmaa ettei tälläisiä vastaanvänkääjiä oteta kehityksen esteeksi.

Monesti unohdetaan että vaihtoehtoisen palvelun pyörittäminen ei ole ilmaista. Silloin kun käyttäjiä on "kourallinen", ei ole vaikeaa päätellä mitkä asiat ajetaan alas. Olkoot uudet järjestelmät kuinka helppoja tai parempia, aina löytyy joku joka paheksuu asiaa.

Olihan herra Edisonkin sitä mieltä että vaihtovirta on pahasta, koska sillä voi tappaa eläimiä.

 

[Hyrava]

Tässäkin käyttäjä on tehnyt vuosien varrella sen valinnan ettei millään ilveellä halua oppia uutta, joten näe taaskaan ongelmaa ettei tälläisiä vastaanvänkääjiä oteta kehityksen esteeksi.

Tai sitten vaikka jos kyseinen ihminen ei ole koko ikänsä aikana esim töissä tarvinnut mitään älylaitteita ja tietokoneita eikä ole halunnut vähäisiä varojaan moisiin laittaa vapaa-ajallaan.

Aika monelta vanhemmalta ihmiseltä olen kyllä kuullut että vähän turhan nopealla syklillä ajetaan alas "perinteiset" tavat hoitaa asioita ja sitten eläkkeellä pitäisi htäkkiä ruveta opettelemaan tietotekniikkaa ja älylaitteita.

Ymmärrän kyllä varsin hyvin että monien tuollaisten palveluiden pyörittäminen maksaa rahaa ja toimijat haluavat kustannussäästöjä mutta monesti tuon siirtymän olisi voinut hoitaa vähän joustavammin. Ja itse mieluummin hoitaisinkin mahdollsimman monet asiat mieluummin esim netissä mukavasti kotisohvalta ja suuri osa jo onnistuukin mutta täytyy sanoa että osa digipalveluista on vielä aika lastenkengissä ja ovat varmaan tavalliselle tallaajalle aika hankalia käyttää kun itsekin manailen monesti että miksi asioista on pitänyt tehdä netissä turhan monimutkaisia. Hyvänä esimerkkinä esimerkiksi se että tuntuu koko ajan sähköpostivaihtoehto kiireettömälle asioinnille katoavan firmoilta, tilalle tulee kaiken maailman somekanavia joihin pitää liittyä että saa yhteyden asiakaspalveluun tai sitten joku tuhottoman hidas chat-palvelija kun asian voisi kirjoittaa sähköpostiin ja vastatkoon aspa kun kerkiää.

 

[Desgorr]

Aika monelta vanhemmalta ihmiseltä olen kyllä kuullut että vähän turhan nopealla syklillä ajetaan alas "perinteiset" tavat hoitaa asioita ja sitten eläkkeellä pitäisi htäkkiä ruveta opettelemaan tietotekniikkaa ja älylaitteita.

En nyt ihan itse kyllä tätä allekirjoita. Esim. pankkipalveluja on voinut käyttää Internetin kautta jo aikalailla isoimmista pankeista 2000-luvun vaihteesta lähtien (OP avasi omansa jo 1996). Eli tässä on ollut sellanen parikymmentä vuotta aikaa totutella verkkopankin käyttöön.
Samoin Kelankin palvelut ollut netissä jo varmasti päälle 15 vuotta, muista palveluista puhumattakaan. En nyt sanoisi, että palveluita ajetaan liian nopeasti alas. Opetteluaikaa on kyllä ollut.

Luulisi, että eläkkeellä nyt varsinkin on aikaa näitä hommia opetella. Taitaa syy vaan olla ettei kiinnosta kun aina on asiat tehty sillä tietyllä tavalla joka on tuttu. Maailma nyt vain valitettavasti on sellainen, että välillä joutuu uuttakin opettelemaan. Jos änkyrät olisi saaneet päättää niin mentäisiin varmaan vielä MS-DOS / Win 3.11 ajassa kun kaikki uusi on pelottavaa ja uuden opettelu ei vaan kiinnosta.

 

[JiiPee]

Luulisi, että eläkkeellä nyt varsinkin on aikaa näitä hommia opetella. Taitaa syy vaan olla ettei kiinnosta kun aina on asiat tehty sillä tietyllä tavalla joka on tuttu. Maailma nyt vain valitettavasti on sellainen, että välillä joutuu uuttakin opettelemaan. Jos änkyrät olisi saaneet päättää niin mentäisiin varmaan vielä MS-DOS / Win 3.11 ajassa kun kaikki uusi on pelottavaa ja uuden opettelu ei vaan kiinnosta.

Kyllä se näissä ATK hommissa on nimenomaan se että onko asiaan mielenkiintoa vaiko ei. Tässä on itte 40v kokemusta ATK:sta ja ihmisistä miten ne suhtautuu ja oppii asioita. On myös tullut hiukan opetettua ATK:n alkeita esim. kunnassa kun työntekijöiden piti oppia edes ne alkeet jotta voivat jatkaa työssään.
Ne joilla on kiinnostusta, oppivat perusasiat kohtalaisesti. Ne joilla ei ole, eivät kyllä meinaa oppia mitään. Jopa hiiren käyttö voi olla todella tuskaa joillekkin.

On myös tullu huvittuneena seurattua serkun kohellusta joka on 3v nuorempi. Pankkiasiat ja juutuubi videoitten kattelu juuri sujuu, mutta jotain tuosta hiukan eksoottisempaa niin ei tuu mitään. Ei edes omaa sähköposti osoitettaan muista kun johonkin lomakkeeseen se pitää täyttää.

 

[Humanoid]

TikTok on aina ollut yksityisyyden kannalta hieman ongelmallinen tapaus, ja uusimmat tiedot vahvistavat sen, että Kiinan valtio näkee käytännössä kaiken mitä sovelluksen kautta tapahtuu:

Leaked Audio From 80 Internal TikTok Meetings Shows That US User Data Has Been Repeatedly Accessed From China

“I feel like with these tools, there’s some backdoor to access user data in almost all of them,” said an external auditor hired to help TikTok close off Chinese access to sensitive information, like Americans’ birthdays and phone numbers.

www.buzzfeednews.com

“Everything is seen in China,” said a member of TikTok’s Trust and Safety department in a September 2021 meeting. In another September meeting, a director referred to one Beijing-based engineer as a “Master Admin” who “has access to everything.”