Tietoturvauutiset ja blogipostaukset

Samoin pankkisovelluksissa on toiminto puhelujen varmentamista varten

Tunnistautumisesta on täällkin pitkä setti, ja juuri noista ongelmista. Siis vaihtoehtoja on vaikka kuinka ja paljon, ja menetelmät on helppoja ja yksinkertaisia, mutta sitten niitä ei haluta käyttää / tukea. Perus.


Tunnistautuminen on pohjimmiltaan kuitenkin erittäin yksinkertainen asia ja ratkaikstu jo vuosikymmeniä sitten.
 
Tuossa yli kyse viidestä tietoja varastavasta python modulista , jotka joku oli laittanut PyPi paketinhallinnan kautta saataville. Kaksi niistä oli nimetty matkimaan tunnettuja python-kirjastoja. En ole nähnyt ilmoituksia että nuo olisi saatu ujutettua mukaan jonkun suositun python kirjaston riippuvuuksiin. Kohteena lienee ollut python-kehittäjät, joiden AWS tunnuksia kalasteltiin. Kuten aina avoimen softan kanssa, kannattaa katsoa mitä kirjastoja asentelee ja käyttää.

Näin harrastelijana jos täytyy joku ihan uusi kirjasto ottaa käyttöön, käyn vähintään PyPissä ja Githubissa katsomassa mitä siitä ja sen tekijöistä löytyy. Onko viimeisin versio julkaistu aivan hiljattain, millaisia viimeiset muutokset ovat ja kuinka paljon on käyttäjiä.
 

SUOMALAISILLE lähetetään parhaillaan huijaussähköposteja, jotka saavuttavat vastaanottajansa erittäin hyvin. Sähköpostit ohittavat muun muassa Gmailin kehittyneet suojaukset ja näyttäytyvät postilaatikossa asiallisten viestien joukossa.

IS Digitoday on saanut runsaasti ilmoituksia ihmisiltä, joka ovat saaneet jopa viisi samankaltaista, mutta hieman eri tavoin muotoiltua viestiä.

Sähköpostissa oleva linkki johtaa verkkosivuille, jotka kalastelevat käyttäjän tietoja ja lopuksi johtavat tämän tilausansaan. Maksukortin tietojen luovuttaminen käynnistää joka toinen viikko tehtävän 44 euron veloituksen.
 
Noita DHL viestejä on tippunut kyllä viime aikoina eräskin, viikon sisään 9 keskeytettyä DHL toimitusta ja mukaan mahtui vielä kasa Express paketteja. Suurin osa jäi gmailin roskapostiansaan, ainostaan pari tuli läpi, eikä nekään kovin uskottavilta näyttäneet otsikoiden perusteella.
 
Itselle tullut nuita DHL-viestejä pelkästään tämän päivän aikana lähemmäs 20kpl. Juuri eilen noudin paketin DHL:n kautta, ihmetytti että hetikö alkoi mainos/huijausalgoritmit pommittamaan kun ei ole palvelua käyttänyt muutamaan vuoteen mutta näköjään laajempi juttu. Puskevat tosiaan filtteristä läpi suoraan saapuneet-kansioon, vain muutama jäänyt roskapostikansioon. Pelkkä vilkaisu lähettäjän osoitteeseen mallia asd26föbijkwe49nw miukumauku totally90notvirus ja muut sen johdannaiset paljastaa jo että huijaus.
 
Aika monta vuotta on Googlen jumaltason roskapostifiltteri toisiaan toiminut itsellä täydellisesti, joten ehkäpä se nyt on sitten kerta se ensimmäinenkin. Jokaisen viestin olen painanut report as spam.

Toki filtterin Google saanut näin toimivaksi olemalla suosituin mailipalvelu ja lukemalla kaikkien viestit. :whistling:
 
Aika monta vuotta on Googlen jumaltason roskapostifiltteri toisiaan toiminut itsellä täydellisesti, joten ehkäpä se nyt on sitten kerta se ensimmäinenkin. Jokaisen viestin olen painanut report as spam.

Toki filtterin Google saanut näin toimivaksi olemalla suosituin mailipalvelu ja lukemalla kaikkien viestit. :whistling:

Eiköhän käytännössä kaikkialla nykyisin "lueta" kaikkien sähköpostit. Tai jos sellaista palvelua käyttää missä ei lueta, niin spammin määrä on kyllä valtava vähänkin vanhemmilla osoitteilla jotka on vuotanu ties kuinka monessa murrossa.

Itte ajelen omaa mailipalvelinta omalla domainilla, kohta jo 20v täynnä ja palvelimellla joka ikinen maili joka pääsee tietyistä header tarkistuksista läpitte, menee sen jälkeen vielä RSPAMD:n läpitte jossa se "luetaan".
 
Eiköhän käytännössä kaikkialla nykyisin "lueta" kaikkien sähköpostit. Tai jos sellaista palvelua käyttää missä ei lueta, niin spammin määrä on kyllä valtava vähänkin vanhemmilla osoitteilla jotka on vuotanu ties kuinka monessa murrossa.

Itte ajelen omaa mailipalvelinta omalla domainilla, kohta jo 20v täynnä ja palvelimellla joka ikinen maili joka pääsee tietyistä header tarkistuksista läpitte, menee sen jälkeen vielä RSPAMD:n läpitte jossa se "luetaan".
Google tosin lukee viesteistä sisällön ja käyttää mainontaan jne. Kun taas esim. yrityspuolen ratkaisut vain tekevät lukemista spämmin jne suodattamiseen. Hieman eroa tuossa on vaikka molemmissa mailit oikeasti luetaan ja analysoidaan roskan osalta.
 
Tuossa yli kyse viidestä tietoja varastavasta python modulista , jotka joku oli laittanut PyPi paketinhallinnan kautta saataville. Kaksi niistä oli nimetty matkimaan tunnettuja python-kirjastoja. En ole nähnyt ilmoituksia että nuo olisi saatu ujutettua mukaan jonkun suositun python kirjaston riippuvuuksiin. Kohteena lienee ollut python-kehittäjät, joiden AWS tunnuksia kalasteltiin. Kuten aina avoimen softan kanssa, kannattaa katsoa mitä kirjastoja asentelee ja käyttää.

Näin harrastelijana jos täytyy joku ihan uusi kirjasto ottaa käyttöön, käyn vähintään PyPissä ja Githubissa katsomassa mitä siitä ja sen tekijöistä löytyy. Onko viimeisin versio julkaistu aivan hiljattain, millaisia viimeiset muutokset ovat ja kuinka paljon on käyttäjiä.

Tätä samaa tapahtuu paljon myös NPM-kirjastojen (JavaScript) kanssa. Kehittäjät kun voivat periaatteessa milloin tahansa muuttaa koodin toimintatapaa, ja päivityksiä ei välttämättä katselmoi kukaan. Siitä ei ole kuin pari kuukautta, kun omaan projektiini tuli pull request jonka build-scriptin yhteyteen joku ulkopuolinen halusi lisätä oman kätevän kirjastonsa pienentämään eri kielten käännösten yhteydessä olevien tiedostojen kokoa. Vaikutti ensin ihan kätevältä ajatukselta, mutta kun tutki kehittäjän taustoja, jäljet johtivat itänaapuriin, kirjastoa ei käyttänyt kukaan muu, ja oli vasta pari päivää sitten laitettu jakoon. Avointa koodiahan se toki oli, mutta se ei vielä takaa mitään. Pull requestin sulkiessa sitten vielä kysyi, no että miksikäs moinen. Tuumasin vain, että ajan näitä skriptoja omalla koneellani.
Melkeinpä esimerkkitapaus siitä mitä olisikaan voinut sattua, jos olisin laittanut tuon kirjaston projektiin mukaan.
 
Tätä samaa tapahtuu paljon myös NPM-kirjastojen (JavaScript) kanssa. Kehittäjät kun voivat periaatteessa milloin tahansa muuttaa koodin toimintatapaa, ja päivityksiä ei välttämättä katselmoi kukaan. Siitä ei ole kuin pari kuukautta, kun omaan projektiini tuli pull request jonka build-scriptin yhteyteen joku ulkopuolinen halusi lisätä oman kätevän kirjastonsa pienentämään eri kielten käännösten yhteydessä olevien tiedostojen kokoa. Vaikutti ensin ihan kätevältä ajatukselta, mutta kun tutki kehittäjän taustoja, jäljet johtivat itänaapuriin, kirjastoa ei käyttänyt kukaan muu, ja oli vasta pari päivää sitten laitettu jakoon. Avointa koodiahan se toki oli, mutta se ei vielä takaa mitään. Pull requestin sulkiessa sitten vielä kysyi, no että miksikäs moinen. Tuumasin vain, että ajan näitä skriptoja omalla koneellani.
Melkeinpä esimerkkitapaus siitä mitä olisikaan voinut sattua, jos olisin laittanut tuon kirjaston projektiin mukaan.

Itse dependencyt lisäämällä/päivittämällä voisi ajatella yarnin zero-install ajatuksen mitigoivan tuota riskiä. (nopeasti pohdittuna)

 
Itse dependencyt lisäämällä/päivittämällä voisi ajatella yarnin zero-install ajatuksen mitigoivan tuota riskiä. (nopeasti pohdittuna)


Ehkä. Päädyin kuitenkin siihen ratkaisuun, että pidän dependencyt minimissä, ja koitan pärjätä mahdollisimman pitkälle NPM:n omilla kirjastoilla. Nuo käyttämäni scriptat eivät kuitenkaan ole mitään rakettitiedettä :)
 
Facebookin mainonnan analytiikka säilöö käyttäjistä nähtävästi arkaluonteisia tietoja vaikka ne pitäisi poistaa. Ongelma saattaa olla siinä, ettei Facebookin suodatus ymmärrä muita kieliä kuin englanti.
 
Apple tuo puhelimiinsa iOS 16:sta myötä Lockdown Moden jonka tarkoitus on estää kohdennettujen malware-hyökkäyksiä puhelimeen. En tosin pitäisi ihmeellisenä, vaikka moni tietoturvastaan huolta pitävä käyttäjä ottaisi tuon toiminnallisuuden käyttöön joka tapauksessa.
Lockdown Mode estää mm. linkkien esikatselun viesteissä, JIT-JavaScriptin kääntämisen webbiselaimessa, palvelupyynnöt (Facetime etc.) mikäli käyttäjä itse ei ole lähettänyt pyyntöä aikaisemmin, yhteyden USB-piuhan kautta puhelimen ollessa lukossa, sekä konfiguraatioprofiilien asentamisen.
 
Vähän pidempään siinä meni kuin ennakoivat aikoinaan EUssa, mutta nyt sitten on mennyt läpi säädökset:

DSAsta kirjoittelin melkein kaksi vuotta sitten ja silloin meinasivat saada läpi saman vuotena:

Sekä hyviä että huonoja puolia tuovat nuo, saa nähdä vaan miten meinaavat isot firmat pakottaa noihin ehtoihin. Esimerkiksi käyttäjän pitäisi pystyä poistamaan ostamastaan puhelimesta kaikki bloatware pois niin halutessaan, mikä kuulostaa loistavalta, mutta toteutusta odotellessa...
 
Vähän pidempään siinä meni kuin ennakoivat aikoinaan EUssa, mutta nyt sitten on mennyt läpi säädökset:

DSAsta kirjoittelin melkein kaksi vuotta sitten ja silloin meinasivat saada läpi saman vuotena:

Sekä hyviä että huonoja puolia tuovat nuo, saa nähdä vaan miten meinaavat isot firmat pakottaa noihin ehtoihin. Esimerkiksi käyttäjän pitäisi pystyä poistamaan ostamastaan puhelimesta kaikki bloatware pois niin halutessaan, mikä kuulostaa loistavalta, mutta toteutusta odotellessa...

Ei pitäis olla mitenkään vaikeaa. Esim. kun Android luurin liittää Microsoftin Intune-hallintaan, niin siinä samalla poistuu, jos ei nyt kaikki, niin kuitenkin suurin osa bloatwaresta. Nyt se sama toiminto pitäisi vaan avata muidenkin kuin yritysten käyttöön.
 
Oletettavasti vakava tietoturvauhka löytynyt uusista Android luureista, mikä mahdollistaa melkoisia asioita hyökkääjälle...

the researcher claims that it can enable arbitrary read and write, privilege escalation, and disable SELinux security protections

None of the precise technical details behind how the exploit works have been released, but a video claiming to show the exploit used on a Pixel 6 Pro was able to achieve root and disable SELinux. With tools like that, a malicious actor could achieve a lot of damage.

all phones using v5.10 of the Linux Kernel are affected
 
EU komissio puuhaa Apple-tyylistä lapsipornografiamateriaalin (eng. CSAM) skannausta kaikkiin viestintäsovelluksiin (sähköposti, WhatsApp jne.). Joko palvelun tarjoaja rikkoisi end-to-end salauksen ja skannaisi kaiken viestiliikenteen tai sitten käyttäjien päätelaitteet automaattisesti skannaisivat viestiliikenteen. Jos jotain epäilyttävää löytyy, löydöksestä lähtisi tieto viranomaisille automaattisesti.

 
Viimeksi muokattu:
EU komissio puuhaa Apple-tyylistä lapsipornografiamateriaalin (eng. CSAM) skannausta kaikkiin viestintäsovelluksiin (sähköposti, WhatsApp jne.). Joko palvelun tarjoaja rikkoisi end-to-end salauksen ja skannaisi kaiken viestiliikenteen tai sitten käyttäjien päätelaitteet automaattisesti skannaisivat viestiliikenteen. Jos jotain epäilyttävää löytyy, materiaali välitettäisiin viranomaisille.

Jotenkin voisi luulla että sähköposti ja WhatsApp tai vastaavat pikaviestimet eivät ole niitä alustoja joilla tuo kama pääasiassa liikkuu. Toki, olisihan tuo kätevä kiusantekoon, tarpeeksi anonyymistä sähköpostia vaan lapoa lähettämään kusipäiden sähköposteihin niin saa viranomaiset ihmetellä sitten niiden iloksi hommaa. Oikeastaan, olisi kätevä jekku jos joku ymppäisi tähän jokun kätevän haittaohjelman joka lähettäisi saastuneen käyttäjän kontakteille kyseistä kamaa ja saastuttaisi puolestaan taas ne jne.
 
Lapohan on aina tekosyy numero yksi kasvattaa valvontayhteiskuntaa lisää kun 99%:lta ihmisistä katoa täysin järkiperäinen ajattelu kun tunnereaktiot ovat niin rajuja. Pienin askelin pitkällä ajanjaksolla ja ihmiset eivät ymmärrä mitä on tapahtumassa. Suomessakin jo kerätään kaikilta sormenjälkiä kovalla tahdilla. Milloin alkaa julkinen tunnustelu ihmisten vastustuskyvyttömyydestä torpata kamerat jokaiseen kotiin? Ennemmin tai myöhemmin se tulee tapetille jos nykymeno jatkuu. Ja näitä asioita tuodaan uudestaan ja uudestaan esille kunnes ne menevät lopulta läpi vastusteluista. Orwell oli optimisti jne. jne. Kauhean näköistä mihin ihmisten touhu on menossa.
 
Tuossa "AI seuloo" ratkaisussa on tosiaan monta ongelmaa mm. se alammeko (yhteiskunta, viranomaiset) luottamaan likaa jonkun kolmannen tahon kehittämään ohjelman jonka toimintatavasta tai logiikasta emme tiedä mitään. Lisäksi näissä uhkana on se että kun järjestelmä on kerran luotu, kynnys sen ottaminen käyttöön muissakin asioissa madaltuu. Ei liene kovin vaikeaa vaihtaa lapon sijaan sinne haetuksi materiaaliksi esimerkiksi ääriajattelu, terrorismi tai valeinformaatio. Kaikkihan toki vastustavat näitä kolmea, mutta se mikä tekee asiasta hankalan on niiden termien määrittely ja rajaus, kuten nyt olemme huomanneet erään euraasialaisen valtion kanssa asiasta neuvotellessa.
 

Vahanen joutunut kyberhyökkäyksen kohteeksi ja ilmeisesti kryptattu tietoja kerta eivät pääse käsiksi. Vaikuttaa ilmeisen vakavalta, ainakin sillä perusteella että vetoavat KSE:hen jos projektit viivästyvät.
 
Scanning 1.7 million Australian domains and finding 1.62 million SPF & DMARC email security issues

Ei kyllä hyvältä näytä :)

58% of Australian domains have some form of security issue with their SPF and DMARC configuration, with 542 domains mistakingly allowing any IP address on the planet to send SPF authenticated emails masquarading as their domain.

Alla olevasta linkistä voi tarkistaa esim. oman domainin tilanteen.
1657540862235.png
 
Viimeksi muokattu:
Scanning 1.7 million Australian domains and finding 1.62 million SPF & DMARC email security issues

Ei kyllä hyvältä näytä :)

58% of Australian domains have some form of security issue with their SPF and DMARC configuration, with 542 domains mistakingly allowing any IP address on the planet to send SPF authenticated emails masquarading as their domain.

Alla olevasta linkistä voi tarkistaa esim. oman domainin tilanteen.
1657540862235.png

Itellä oli ongelmana "sp=none". Oli helppo korjata kun se vaati vaan muutoksen "sp=none > sp=reject". Ei oo näköjään ihan hallussa toi mailin turvaaminen, vaikka silloin kun noi DMARCin, SPF:n ja DKIM:in asettelin toimintaan, niin omasta mielestä asetin ne mahdollisimman turvaaliseksi, niin toi oli sp-tägi oli pielessä... Joten kiitos tuosta linkistä!
 
Noista sähköpostin SPF, DKIM ja DMARC jutuista jos ne ei ole kaikille ihan tuttuja. Googlella on hyvät kuvaukset.

  • SPF: Specifies the servers and domains that are authorized to send email on behalf of your organization.
  • DKIM: Adds a digital signature to every outgoing message, which lets receiving servers verify the message actually came from your organization.
  • DMARC: Lets you tell receiving servers what to do with outgoing messages from your organization that don’t pass SPF or DKIM.
 
Viimeksi muokattu:
SPF on omassa pannussa käytössä, mutta jos nyt sattuisin lisäämään DKIM ja DMARC:n niin onko tuosta jotain haittaa?
 
Jos kaikki laittaisivat omat spf recordit kuntoon hardfaililla ja siitä tulisi ns standardi, niin spämmin ja muun paskan määrä vähenisi huomattavasti. Mutta niin moni juuri ja juuri pääsee ehkä spf softfailiin, kun ei jakseta säätää firman eri tahojen (erityisesti markkinoinnin) kanssa, jotka tykkää lähettää ulkopuolisten toimesta firman nimissä maileja maailmalle.
 
Tutkijat ovat löytäneet keinon saada selville selaimen käyttäjän mahdollisten some-identifikaatioiden perusteella:

When you visit a website, the page can capture your IP address, but this doesn’t necessarily give the site owner enough information to individually identify you. Instead, the hack analyzes subtle features of a potential target’s browser activity to determine whether they are logged into an account for an array of services, from YouTube and Dropbox to Twitter, Facebook, TikTok, and more. Plus the attacks work against every major browser, including the anonymity-focused Tor Browser.

Artikkelissa linkattu PDF sisältää useita eri keinoja saada selville käyttäjän identiteetti. Osa mahdollisista hyökkäyskeinoista voitaisiin estää antamalla selainlaajennuksille lupa muokata HTTP-kutsujen header-tietoja - joka on jo nyt mahdollista, mutta esim. Google on poistamassa sen mahdollisuuden selaimistaan:
Browser vendors should also allow browser extensions to modify request headers. The defense we presented works by carefully processing the header fields of the requests sent out by the browser – inspecting fields in the request headers, comparing two responses to search for privacy leaks, and ultimately changing or removing fields – removing cookie headers from requests and set-cookie headers from responses. All of these stateful processing steps are made possible by an extension API named webRequestBlocking, which allows extensions to intercept, block, or modify requests in-flight. Unfortunately, Google has announced that this API is being phased out. Firefox did not currently announce plans to remove support for webRequestBlocking, and the Safari extension API does not support it at all.
 
Shodan?
Kryptopelleily?
Miten liittyy tietoturvauutisiin?

Ois kiva jos näitä linkkejä hieman selitettäisiin auki.

Tässä varmaan ajateltu, että kyseessä on itsestäänselvyys kun tuo on aika defacto työkalu (hakukone) tietoturvapuolella. Toki pitäisi muistaa ettei tätä ketjua lue aina tietoturva-ammattilaiset, eli olisihan nuo hyvä selittää auki.

Mutta Wikipedista valmis hyvä tiivistelmä: "Shodan is a search engine that lets users search for various types of servers (webcams, routers, servers, etc.) connected to the internet using a variety of filters. Some have also described it as a search engine of service banners, which are metadata that the server sends back to the client.[1] This can be information about the server software, what options the service supports, a welcome message or anything else that the client can find out before interacting with the server. "
 
Tässä varmaan ajateltu, että kyseessä on itsestäänselvyys kun tuo on aika defacto työkalu (hakukone) tietoturvapuolella. Toki pitäisi muistaa ettei tätä ketjua lue aina tietoturva-ammattilaiset, eli olisihan nuo hyvä selittää auki.

Mutta Wikipedista valmis hyvä tiivistelmä: "Shodan is a search engine that lets users search for various types of servers (webcams, routers, servers, etc.) connected to the internet using a variety of filters. Some have also described it as a search engine of service banners, which are metadata that the server sends back to the client.[1] This can be information about the server software, what options the service supports, a welcome message or anything else that the client can find out before interacting with the server. "

Jäsenyyteen sisältyy myös jotain pientä monitorointia, voi antaa vaikka muutaman ip:n ja vastaanottaa sähköpostiin alertteja jos löytää uusia palveluja (vastaavia portteja). Skannaustiheys on luokkaa todella hidas. (YMMV) Yhdestä palvelusta, joka pyörinyt yli vuoden tuli ilmoitus n. kuukauden päästä lisäämisestä.
 
Tuossa Shodan palvelussa on useampi taso ja tuolla 5$ saa membership, joka tosiaan ei anna kaikkien parhainta palvelua, mutta avaa kuitenkin todella paljon ominaisuuksia niistä kiinnostuneille.

Tuolla on noita eroja listattu:
 
Facebook on muuttanut URL:ien muotoaan sen jälkeen, ku mm. Firefox ja Brave alkoivat estää seurantakoodien lisäämisen osoitteiden loppuun:

Tuon kiertämisen estämisen on tehty hankalaksi sillä käyttäjän identifioiva seurantakoodi on sisällytetty urliin itseensä. Joten toistaiseksi ainut keino estää tämä on olla avaamatta Facebookin linkkejä, kunnes reverse-engineeraus on tehnyt tehtävänsä. Luultavasti tuo enkoodaus on sen verran simppeli, että seurantakoodi on mahdollista poistaa sen seasta.

EDIT: Ja mitä tuota itse pyörittelin hetken, niin vaikuttaa siltä, että Facebook enkoodaa/kryptaa tuon URL:in palvelimensa puolella. Joten kun URL:in uusi pääte sisältää myös käyttäjän tunnisteen, tuon enkoodauksen/hashin purkaminen voi olla hieman haastavaa.
 
Viimeksi muokattu:
Google on lisännyt Androidiin DNS-over-HTTP/3 -tuen. Tuki tulee käyttäjille Google Play -päivityksenä. Toimii Android 11 -laitteilla ja uudemmilla (ja nähtävästi myös joillain Android 10 -laitteilla).
 
Skannaustiheys on luokkaa todella hidas. (YMMV) Yhdestä palvelusta, joka pyörinyt yli vuoden tuli ilmoitus n. kuukauden päästä lisäämisestä.
Juuri tästä syystä jos asia vähänkin kiinnostaa, kannattaa pistää oma infra pystyyn, halpaa ja helppoa. Olennaiset scannit kaksi kertaa päivässä + custom protokollat ja exploit monitoroinnit jne. Kaikkea sellaista mitä Shodani ei tarjoa. Ilmoitukset suoraan Pikaviestimeen, tärkeimpien asioiden monitorointi 5 minuutin intervallilla jne.
 
Tulevasta iOS:n Lockdown Modesta on joku julkaissut testiä. WebGL ei ole tuettu, Javascript-suorituskyky notkahtaa selvästi ja selaimessa tietyt kuvaformaatit lakkaavat toimimasta, mutta lisää tietoturvaa haluavat ottavat tuon kyllä varmasti pysyvään käyttöön
 
Uskomatonta, Windows vihdoinkin blokkaa jatkuvat etätyöpöytä verkkohyökäykset automaattisesti:
Eihän tätä olekaan odotettu kuin yli 10 vuotta, että osaisivat tehdä asialle jotain.
 
Viimeksi muokattu:
Uskomatonta, Windows vihdoinkin blokkaa jatkuvat etätyöpöytä verkkohyökäykset automaattisesti:
Eihän tätä olekkaan odotettu kuin yli 10 vuotta, että osaisivat tehdä asialle jotain.

Kieltämättä hyvä uudistus:thumbsup:
Tosin saa olla muutenkin aika rohkea jos uskaltaa laittaa RDP:n auki suoraan nettiin päin. Tuostakin on ymmärtääkseni joitain aukkoja paikkailtu.
 
Tulevasta iOS:n Lockdown Modesta on joku julkaissut testiä. WebGL ei ole tuettu, Javascript-suorituskyky notkahtaa selvästi ja selaimessa tietyt kuvaformaatit lakkaavat toimimasta, mutta lisää tietoturvaa haluavat ottavat tuon kyllä varmasti pysyvään käyttöön
Tuohan ei toimi pelkästään iOS ja iPadOS laitteissa. Tuki on myös macOS Venturassa. Laitoin virtuaaliin testiin.
1658465853290.png

1658465878966.png
 
Tosin saa olla muutenkin aika rohkea jos uskaltaa laittaa RDP:n auki suoraan nettiin päin. Tuostakin on ymmärtääkseni joitain aukkoja paikkailtu.
Nää on näitä hyviä kysymyksiä. Kun asiaa miettii hetken niin sitten tuleekin siihen ikävän tulokseen, että ns. turvalliset protokollat taitaa olla kuitenkin aikalailla vähissä. Nopeasti ei tule mieleen kuin WireGuard (ja sekin voi olla väärää tietoa, koska tuota ei ole vielä koiteltu vuosikymmentä), muita vastaavia varmasti on olemassa, mutta parin minuutin tuumailulla ei tullut yhtään mieleen.

Saas muuten nähdä samalla onko tuossa RDP:ssä korjattu stale connection problem. Eli joskus käy niin, että soketit ja järjestelmän resurssit loppuu, kun auki on yhtäkkiä kymmeniätuhansia remote desktoppeja, eikä Windows osaa hanskata noita mitenkään järkevästi tai tehokkaasti. Todnäk eivät ole osanneet korjata tuota. Toisaalta mm. Tor kärsii ihan juuri vastaavanlaisista ongelmista tällä hetkellä, ei oo helppoa ratkaisua noihin haasteisiin.
 
Viimeksi muokattu:
Nää on näitä hyviä kysymyksiä. Kun asiaa miettii hetken niin sitten tuleekin siihen ikävän tulokseen, että ns. turvalliset protokollat taitaa olla kuitenkin aikalailla vähissä. Nopeasti ei tule mieleen kuin WireGuard (ja sekin voi olla väärää tietoa, koska tuota ei ole vielä koiteltu vuosikymmentä), muita vastaavia varmasti on olemassa, mutta parin minuutin tuumailulla ei tullut yhtään mieleen.

Saas muuten nähdä samalla onko tuossa RDP:ssä korjattu stale connection problem. Eli joskus käy niin, että soketit ja järjestelmän resurssit loppuu, kun auki on yhtäkkiä kymmeniätuhansia remote desktoppeja, eikä Windows osaa hanskata noita mitenkään järkevästi tai tehokkaasti. Todnäk eivät ole osanneet korjata tuota. Toisaalta mm. Tor kärsii ihan juuri vastaavanlaisista ongelmista tällä hetkellä, ei oo helppoa ratkaisua noihin haasteisiin.

No itse nyt lähinnä ajattelin, että ensin VPN:llä yhteys ja sitten sisäverkosta vasta RDP:llä kiinni. Tulee kuitenkin yksi turvakerros lisää. Toki jos haluaa näppärästi päästä ulkoverkosta etähallitsemaan koneita, niin TeamViewer on myös yksi kohtuu turvallinen vaihtoehto.
Mutta eiköhän niitä aukkoja löydy protokollasta kuin protokollasta. Toisista vain helpommin. Tietoturvakin on loppupeleissä sitä, että tehdään vaan hyökkääjälle hommasta niin vaikeaa että ei kannata edes yrittää.

Mutta yksi paha aukkohan (Mahdollisti RCE:n) tuossa RDP:ssä oli BlueKeep.
 
Mutta yksi paha aukkohan (Mahdollisti RCE:n) tuossa RDP:ssä oli BlueKeep.
BlueKeep oli kyllä aika mehevä, mutta NLA suojasi siltäkin, tai siis unauthenticated osuudelta. Pitää myös muistaa, että ongelmat voi olla jo TCP / TLS tasolla, eli salauksessa tai verkkokirjastoissa. Siksi jo ensimmäinen paketti pitäisi olla autentikoitu, että paketteihin joiden autentikointi ei onnistu, ei reagoida.

Btw. Mikko Hyppönen - 2022 - The Best Worst Thing @ YouTube
 
Viimeksi muokattu:
BlueKeep oli kyllä aika mehevä, mutta NLA suojasi siltäkin, tai siis unauthenticated osuudelta. Pitää myös muistaa, että ongelmat voi olla jo TCP / TLS tasolla, eli salauksessa tai verkkokirjastoissa. Siksi jo ensimmäinen paketti pitäisi olla autentikoitu, että paketteihin joiden autentikointi ei onnistu, ei reagoida.

NLA:sta tulikin mieleen tämä. Eli ennen sitä aikaa: The Online Ordering System
Tuo järjestelmä on todellakin odottanut vain korkkaamista.

Taitaa RDP:ssä olla nykyään suurin ongelma huonot salasanat ja tunnukset (RDP oikeuksin) joista ei välttämättä olla aina edes tietoisia.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
259 119
Viestejä
4 502 608
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom