Tietoturvauutiset ja blogipostaukset

[pulatunnus]

Zalandon mukaan syynä on käyttäjien huonot salasanat, eikä itse palvelua olisi korkattu.

Iltalehti kirjoitti tarkemmin

Zalandon näkemyksen mukaan mainitut tapaukset liittynevät hyökkäyksiin, joissa huijarit yrittävät kirjautua tileille aiemmin vuotaneilla salasana-käyttäjätunnus-yhdistelmillä.

Jos tosiaan tuosta kyse, niin kaupan on toki vaikeampia puuttua jos pahis tietää tunnuksen ja salasanan. Jutun mukaan jäi olo että liki järjestäin tarina meni niin että kauppa oli sulkenut tilin. Eli noihinkin pystyivät tarttumaan.

Rivien välistä jäi käsitys että kaupasta voi ostaa tuotteita tallennetuilla maksutiedoilla, ilman maksun vahvistusta vahvalla tunnistautumisella. Jos noin, niin toki näppärää, mutta silloin kyllä myyjällä vahva vastuu väärin käytöksistä.

 

[pulatunnus]

Digiturvaviikko menossa, joten nyt ne salakalat kuntoon, jos jollakulla on vielä jotain onnetonta käytössä.
https://www.lyyti.fi/p/digiturvaviikko2022

Tämä (.lyyti.fi/) kai se kansalaisilla ja työntekijöille suunnattu juttu.

Sieltä se Digiturvallinen elämä -mobiilipeli (latauslinkin lainauksessa)

Digiturvallinen elämä -pelin avulla opit digiturvataitoja helpolla ja hauskalla tavalla.

Pelin ensimmäisessä osassa keskitytään työelämässä tarvittaviin digiturvataitoihin. Toimit arkipäiväisissä tilanteissa kuvitteellisen Tyrskylän kunnan työntekijöiden matkassa. Selviätkö sinä työviikosta, joka on täynnä digiturvahaasteita? Ensimmäisen osan läpäiseminen vie aikaa 30–60 minuuttia.

Pelin toisessa osassa jatketaan työelämän digiturvataitojen harjoittelemista. Tällä viikolla Tyrskylässä työskennellään etänä. Joko sinulla on etätyön digiturva hallussa? Toisen osan läpäiseminen vie aikaa 30–60 minuuttia.

Jos digiturva-asiat ovat sinulle uusia, suosittelemme käymään ensin alla olevat, organisaatioiden henkilöstölle suunnatut koulutukset.

Lataa peli sovelluskaupasta
Lataa maksuton mobiilipeli laitteellesi sovelluskaupasta:

Apple App StoreLinkki toiselle sivustolle, Avautuu uudessa välilehdessä

Google Play StoreLinkki toiselle sivustolle, Avautuu uudessa välilehdessä

Digiturvallinen elämä -peli on julkaistu suomeksi, ruotsiksi ja englanniksi. Kielen voi vaihtaa valikosta pelin oikeasta yläkulmasta. Jos olet ladannut pelin ennen eri kieliversioiden julkaisua, saat kielivalinnan näkyviin, kun lataat peliin päivityksen sovelluskaupasta.

Pelin tietosuoja
Digiturvallinen elämä -peli on tietoturva-auditoitu. Peli ei muodosta internet-yhteyksiä eikä vaadi laitteelta oikeuksia. Peli ei kerää henkilötietoja.

Tuosta erikseen poiminta, minkä toivoisi olevan perus juttu monessa muussakkin sovelluksessa

Pelin tietosuoja
Digiturvallinen elämä -peli on tietoturva-auditoitu. Peli ei muodosta internet-yhteyksiä eikä vaadi laitteelta oikeuksia. Peli ei kerää henkilötietoja.

nyt ne salakalat kuntoon

?

 

[escalibur]

Ilmeisesti NordVPN:n Threat Protection-suoja konffaa oman SSL-sertin alkuperäisten tilalle.

 

[leripe]

Ilmeisesti NordVPN:n Threat Protection-suoja konffaa oman SSL-sertin alkuperäisten tilalle.

Vaikeahan sitä on salatun liikenteen kautta liikkuvia uhkia suojata, jos et näe liikenteen sisälle. Tai ainakin ekana tuosta tulee mieleen ssl purku.

 

[=JP=]

Vaikeahan sitä on salatun liikenteen kautta liikkuvia uhkia suojata, jos et näe liikenteen sisälle. Tai ainakin ekana tuosta tulee mieleen ssl purku.

En kyllä ymmärrä miksi pankki sun muita maksuliikennettä saa joku hiton NordVPN siinä välissä purkaa ja skannata läpi. Tuntuu yleistyneen koko ajan, että halutaan jatkuvasti pitää VPN yhteyttä päällä, ku kaikkialla sitä mainostetaan ja pelotellaan (etenkin sossu mediassa)...

Itsehän siis en ikinä suosittele käyttämään mitään VPN palveluita, kun hoitaa raha-asioita taikka käyttää muita henkilökohtaisia palveluita (ellei ole pakottavaa syytä)!

 

[Humanoid]

Mielenkiintoinen asia noussut isompaan tietoisuuteen, eli oletettavasti Applen vehkeissä VPN yhteydet vuotanut ku seula jo parin vuoden ajan ja mikä parasta, Apple tiennyt tän asian jo vuodesta 2020. Tästä saattaa nousta kunnon kohu vielä, jos faktat pitää paikkansa...

iOS VPNs have leaked traffic for years, researcher claims [Updated]

VPNs on Apple mobile devices reportedly keep connections open and expose data.

arstechnica.com

Täällä on pitkät selostukset asiasta, jos kiinnostaa tarkemmin.

VPNs on iOS are a scam

VPNs on iOS are a scam

www.michaelhorowitz.com

VPNs on iOS are broken. At first, they appear to work fine. The iOS device gets a new public IP address and new DNS servers. Data is sent to the VPN server. But, over time, a detailed inspection of data leaving the iOS device shows that the VPN tunnel leaks. Data leaves the iOS device outside of the VPN tunnel. This is not a classic/legacy DNS leak, it is a data leak. I confirmed this using multiple types of VPN and software from multiple VPN providers. The latest version of iOS that I tested with is 15.6. This data leak was first publicized by ProtonVPN in March 2020 and iOS v13.

Vastaus vanhempaan uutiseen, mutta ilmeisesti myös Android vuotaa tietoja VPN:n ohitse:

Android leaks connectivity check traffic

An ongoing security audit of our app identified that Android leaks certain traffic, which VPN services cannot prevent. The audit report will go public soon. This post aims to dive into the finding, called MUL22-03.

mullvad.net

 

[TenderBeef]

En kyllä ymmärrä miksi pankki sun muita maksuliikennettä saa joku hiton NordVPN siinä välissä purkaa ja skannata läpi.

Samalla laillahan (ainakin jossain) virustorjuntatuotteissa on tuollainen MITM. Vaikea tehdä tuote/palvelu joka ei oikeasti tekisi mitään. Käsittääkseni nordvpn tekee sen lokaalisti kuten AV:t. Itse en tuollaisia MITM-kikkuroita ole ikinä suostunut käyttämään, aikoinaan lähti koko AV vaihtoon, tai pelkkä se komponentti siitä joka teki tuollaisen MITM:in (silloin kun vielä käytin virustorjuntasoftia).

 

[leripe]

Samalla laillahan (ainakin jossain) virustorjuntatuotteissa on tuollainen MITM. Vaikea tehdä tuote/palvelu joka ei oikeasti tekisi mitään. Käsittääkseni nordvpn tekee sen lokaalisti kuten AV:t. Itse en tuollaisia MITM-kikkuroita ole ikinä suostunut käyttämään, aikoinaan lähti koko AV vaihtoon, tai pelkkä se komponentti siitä joka teki tuollaisen MITM:in (silloin kun vielä käytin virustorjuntasoftia).

Jep ja tämä on ihan perus huttua työelämässä.
Yrityksen muurilla puretaan vastaavalla tavalla liikenne ja vastaavanlainen sertihomma ilmenee kuin tuossa nordvpn, jonka takia ssl purku tuli ensimmäisenä mieleen.
Himassa ehkä kannattaa tomia erilaisesti saati haluaako antaa minkään vpn tarjoajan tehdä tuollaista.

 

[runboy93]

Vastaus vanhempaan uutiseen, mutta ilmeisesti myös Android vuotaa tietoja VPN:n ohitse:

Android leaks connectivity check traffic

An ongoing security audit of our app identified that Android leaks certain traffic, which VPN services cannot prevent. The audit report will go public soon. This post aims to dive into the finding, called MUL22-03.

mullvad.net

Wifiin yhdistäessä*

 

[escalibur]

Vaikeahan sitä on salatun liikenteen kautta liikkuvia uhkia suojata, jos et näe liikenteen sisälle. Tai ainakin ekana tuosta tulee mieleen ssl purku.

Niinhän se onkin. Ironista että yksityisyyttä hehkuttava "hämäräpalvelu" vaihtaa oman sertin tilalle kaikessa hiljaisuudessaan.

Bitdefender teki juuri tuota ja mielestäni se oli/on yhä täysin käyttökelvoton. Moni serttiriippuvainen palvelu ei toiminut kunnolla ja räpeltäminen ulkopuolisella sertillä on loputonta säätöä ja riesaa.

 

[leripe]

Niinhän se onkin. Ironista että yksityisyyttä hehkuttava "hämäräpalvelu" vaihtaa oman sertin tilalle kaikessa hiljaisuudessaan.

Bitdefender teki juuri tuota ja mielestäni se oli/on yhä täysin käyttökelvoton. Moni serttiriippuvainen palvelu ei toiminut kunnolla ja räpeltäminen ulkopuolisella sertillä on loputonta säätöä ja riesaa.

No eihän tuo tee mistään hämäräpalvelua, vaan tuo lienee ainut keino tehdä tuota asiaa eli suojata ja tutkia salatun liikenteen kautta meneviä asioita.
Oudointa lienee vain, että tuollaista lisäpalvelua tarjoaa vpn tarjooja, mutta tietoturvayhtiöiltä tuo on ihan normaali suojamekanismi tiettyyn käyttötapaukseen.

 

[escalibur]

Vaikeahan sitä on salatun liikenteen kautta liikkuvia uhkia suojata, jos et näe liikenteen sisälle. Tai ainakin ekana tuosta tulee mieleen ssl purku.

Niinhän se onkin. Ironista että yksityisyyttä hehkuttava "hämäräpalvelu" vaihtaa oman sertin tilalle kaikessa hiljaisuudessaan.

Bitdefender teki juuri tuota ja mielestäni se oli/on yhä täysin käyttökelvoton. Moni serttiriippuvainen palvelu ei toiminut kunnolla ja räpeltäminen ulkopuolisella sertillä on loputonta säätöä ja riesaa.

No eihän tuo tee mistään hämäräpalvelua, vaan tuo lienee ainut keino tehdä tuota asiaa eli suojata ja tutkia salatun liikenteen kautta meneviä asioita.
Oudointa lienee vain, että tuollaista lisäpalvelua tarjoaa vpn tarjooja, mutta tietoturvayhtiöiltä tuo on ihan normaali suojamekanismi tiettyyn käyttötapaukseen.

Hämäräpalvelulla tarkoitin NordVPN:ää.

 

[juhaa]

AdGuard tekee myös.

What is HTTPS filtering | AdGuard Knowledge Base

What is HTTPS?

kb.adguard.com

 

[TenderBeef]

Thermal Cameras and AI Can Be Used to Crack Passwords, New Study Warns

Passwords can be cracked up to a minute after typing them.

petapixel.com

A password may not be enough to protect a device from hackers. A new study has revealed how criminals can use thermal cameras to retrace the password an individual has typed into a smartphone, computer keyboard, or even an ATM.

“Backlit keyboards also produce more heat, making accurate thermal readings more challenging, so a backlit keyboard with PBT plastics could be inherently more secure,”

 

[Agent_007]

Kohdennetussa hyökkäyksessä on lennätetty droneilla yrityksen katolle mm. Wi-Fi Pineapple ja Raspberry Pi, joiden avulla on sitten päästy yrityksen WLAN-verkkoon sisälle ja koetettu sitten murtautua Confluenceen.

Wi-Fi spy drones used to snoop on financial firm

Check your rooftops: Flying gear caught carrying network-intrusion kit

www.theregister.com

 

[ztec]

Oli juttua eri autentikointijärjestelmien lapsuksista ja puutteista, niin tänään Mobile ID:tä käyttävä softa, ei kerinnyt näyttämään event id:tä, ennen kuin PIN prompti peitti sen. Ihan klassista kuraa. Pitää siis sokkona vahvistaa login. Aika epätodennäköistä, että menis väärälle käyttäjälle, mutta jos on täydellinen ajoitus, niin hyvin voi mennä.

 

[Infy]

Suomi.fi tunnistautumisessa on tietoturva ongelma, jos se on toteutettu NodeJS/NPM kirjastoa käyttämällä.

Kun Suomi.fi tunnistautumista käyttäviä tahoja on yli 700, niin varmasti riittää myös haavoittuvia järjestelmiä. Tämä siis vaatii toimenpiteitä niiltä, jotka ovat omaan järjestelmäänsä toteuttaneet Suomi.fi tunnistautumisen.

Digi- ja väestötietoviraston ylläpitämässä suomifi-passport-saml -kirjastossa on havaittu vakava tietoturvahaavoittuvuus, joka voi vaarantaa asiointipalvelun tietoturvallisen käytön. Haavoittuvuuden korjaaminen edellyttää organisaatioilta välittömiä korjaustoimenpiteitä.

Suomi.fi-palveluhallinta

palveluhallinta.suomi.fi

 

[ojisama]

Suomi.fi tunnistautumisessa on tietoturva ongelma, jos se on toteutettu NodeJS/NPM kirjastoa käyttämällä.

Kun Suomi.fi tunnistautumista käyttäviä tahoja on yli 700, niin varmasti riittää myös haavoittuvia järjestelmiä. Tämä siis vaatii toimenpiteitä niiltä, jotka ovat omaan järjestelmäänsä toteuttaneet Suomi.fi tunnistautumisen.

Digi- ja väestötietoviraston ylläpitämässä suomifi-passport-saml -kirjastossa on havaittu vakava tietoturvahaavoittuvuus, joka voi vaarantaa asiointipalvelun tietoturvallisen käytön. Haavoittuvuuden korjaaminen edellyttää organisaatioilta välittömiä korjaustoimenpiteitä.

Suomi.fi-palveluhallinta

palveluhallinta.suomi.fi

On related note, noihan aikoo luopua tuosta omasta forkista.

We are trying to get away from this fork and move to use upstream 'passport-saml' because it currently has almost all features which this fork has offered.

Toivon mukaan aikovat ylläpitää jotain ohjeita (ja tietoturvapuoltakin) Suomi.fin käytön helpottamiseksi (jatkossakin).

 

[Hyrava]

S-pankissa "äärimmäisen epätodennäköinen mutta mahdollinen sattuma" – Janin näytölle lävähti tuntemattoman miehen tilitiedot

Tuntemattoman miehen tilitiedot lävähtivät Janin näytölle S-Pankissa – "Äärimmäisen epätodennäköinen sattuma"

S-pankin verkkopalvelussa on viikonloppuna tapahtunut outo sattumus. Keskisuomalaine miehen yritys avata verkkopankkinsa johtikin tuiki tuntemattoman miehen tilitietojen paljastumiseen.

www.mtvuutiset.fi

Jotenkin tuossa uutisen selityksessä haiskahtaa joku. Ettei olisi taas joku reikä S-Pankin järjestelmissä.

 

[TenderBeef]

Jotenkin tuossa uutisen selityksessä haiskahtaa joku. Ettei olisi taas joku reikä S-Pankin järjestelmissä.

Pankin selitys:

– Yrittäessään kirjautua verkkopankkiin asiakkaamme oli näppäillyt käyttäjätunnuksensa väärin, kuten voi käydä kenelle tahansa. Tuo näppäilty numerosarja sattui valitettavasti olemaan toisen asiakkaan käyttäjätunnus. Toinen asiakas oli puolestaan saanut S-mobiili-sovellukseensa vahvistuspyynnön verkkopankkiin kirjautumisesta, jonka tämä oli epähuomiossa hyväksynyt, Holmberg kertoo sähköpostitse.

Ihan mahdollinen harvinainen tilanne. Se toinen asiakas oli toiminut harkitsemattomasti kun oli hyväksynyt väärän vahvistuspyynnön (molemmissa näkyy sellainen lyhyt merkkijono jotka pitää katsoa että ne mätsää ennen vahvistusta).

 

[Agent_007]

Tuo sama on käynyt Nordean kanssa myös.

Pankkipalvelut | Nordean asiakas pääsi vahingossa toisen asiakkaan mobiilipankkiin – Syyksi paljastui lopulta inhimillinen virhe, jota ei saisi tapahtua

Pankilla oli perjantaina häiriö tunnuslukusovelluksessa, ja asiakkaalla oli ensin vaikeuksia päästä pankkiin lainkaan. ”Tällaista ei tietenkään saisi tapahtua”, pankista sanotaan.

www.hs.fi

 

[=JP=]

Pankin selitys:
Ihan mahdollinen harvinainen tilanne. Se toinen asiakas oli toiminut harkitsemattomasti kun oli hyväksynyt väärän vahvistuspyynnön (molemmissa näkyy sellainen lyhyt merkkijono jotka pitää katsoa että ne mätsää ennen vahvistusta).

Siis kirjaudutaanko S-pankkiin muka vain käyttäjätunnuksella, jonka jälkeen tulee sitten vahvistuspyyntö kirjautumisesta luuriin?
Ainakin Danske Bankissa pitää olla sekä käyttäjätunnus, että lisäksi salasana, jonka jälkeen vasta aletaan pyytelee vahvistuksia (riippuen valinnasta, joko mobiili appiin pelkkä vahvistus, taikka sitten erillisellä 2FA laitteella kolmas koodi vielä), eli tuollainen ei ole lähes mitenkään mahdollista silloin... Luulin että kaikki toimisi tällei järkevästi.

 

[TenderBeef]

Siis kirjaudutaanko S-pankkiin muka vain käyttäjätunnuksella, jonka jälkeen tulee sitten vahvistuspyyntö kirjautumisesta luuriin?
Ainakin Danske Bankissa pitää olla sekä käyttäjätunnus, että lisäksi salasana, jonka jälkeen vasta aletaan pyytelee vahvistuksia (riippuen valinnasta, joko mobiili appiin pelkkä vahvistus, taikka sitten erillisellä 2FA laitteella kolmas koodi vielä), eli tuollainen ei ole lähes mitenkään mahdollista silloin... Luulin että kaikki toimisi tällei järkevästi.

Täältä voi käydä katsomassa. Vaihtoehtoina: S-mobiili tunnistus (QR-koodi TAI käyttäjätunnus (tässä ei salasanaa kysytä)), tai tunnuslukutaulukolla (käyttis+salasana+tunnuslukutaulukon tunnus+mahdollinen txtviestivahvistus).

 

[Hyrava]

Pankin selitys:
Ihan mahdollinen harvinainen tilanne. Se toinen asiakas oli toiminut harkitsemattomasti kun oli hyväksynyt väärän vahvistuspyynnön (molemmissa näkyy sellainen lyhyt merkkijono jotka pitää katsoa että ne mätsää ennen vahvistusta).

Siis kirjaudutaanko S-pankkiin muka vain käyttäjätunnuksella, jonka jälkeen tulee sitten vahvistuspyyntö kirjautumisesta luuriin?
Ainakin Danske Bankissa pitää olla sekä käyttäjätunnus, että lisäksi salasana, jonka jälkeen vasta aletaan pyytelee vahvistuksia (riippuen valinnasta, joko mobiili appiin pelkkä vahvistus, taikka sitten erillisellä 2FA laitteella kolmas koodi vielä), eli tuollainen ei ole lähes mitenkään mahdollista silloin... Luulin että kaikki toimisi tällei järkevästi.

Samaa itsekin ihmettelin kun mielestäni Osuuspankillakin oli mobiilisovelluksen käyttöönotossa oli muistaakseni käyttäjätunnus+salasana ja olikohan avainlukulista ja/tai tekstarivarmennus tms. Ihan pelkällä väärällä käyttäjätunnuksella kuitenkaan tuollainen ei onnistuisi.

 

[pulatunnus]

Pankin selitys:
Ihan mahdollinen harvinainen tilanne. Se toinen asiakas oli toiminut harkitsemattomasti kun oli hyväksynyt väärän vahvistuspyynnön (molemmissa näkyy sellainen lyhyt merkkijono jotka pitää katsoa että ne mätsää ennen vahvistusta).

Siis kirjaudutaanko S-pankkiin muka vain käyttäjätunnuksella, jonka jälkeen tulee sitten vahvistuspyyntö kirjautumisesta luuriin?
Ainakin Danske Bankissa pitää olla sekä käyttäjätunnus, että lisäksi salasana, jonka jälkeen vasta aletaan pyytelee vahvistuksia (riippuen valinnasta, joko mobiili appiin pelkkä vahvistus, taikka sitten erillisellä 2FA laitteella kolmas koodi vielä), eli tuollainen ei ole lähes mitenkään mahdollista silloin... Luulin että kaikki toimisi tällei järkevästi.

Jotkin pankit pitää käyttäjätunnusta jonain semi salaisena. Noin yleisesti käyttäjätunnus mieletään asiana joka ei ole salainen.

Mobiilivarmenteessa ainakin joskus oli puhelinnumero, joka olisi ihan luottelotieta, siihen sai halutessaan "spämmi" suodatuksen, valitsemalla jonkin lisän.

 

[Pakana]

Aikaisemmin OP:n pankkiin pääsi sisään pelkälllä käyttäjätunnuksella ja salasanalla, sitä varmistusta kysyttiin vasta kun siellä koitti "tehdä" jotain. Absoluuttisesti yksityisyyden kannalta tuo ei tietysti ollut niin hyvä, mutta käytännössä se oli kätevä kun koodia ei tarvinnut kaivaa esim saldon takistukseen tms.

 

[escalibur]

Microsoftilla kävi pieni "oops"-tilanne:

"This misconfiguration resulted in the potential for unauthenticated access to some business transaction data corresponding to interactions between Microsoft and prospective customers, such as the planning or potential implementation and provisioning of Microsoft services,"

In total, SOCRadar claims it was able to link this sensitive information to more than 65,000 entities from 111 countries stored in files dated from 2017 to August 2022.

Microsoft data breach exposes customers’ contact info, emails

Microsoft said today that some of its customers' sensitive information was exposed by a misconfigured Microsoft server accessible over the Internet.

www.bleepingcomputer.com

/blog/2022/10/investigation-regarding-misconfigured-microsoft-storage-location-2/

msrc-blog.microsoft.com

 

[leripe]

Microsoftin sähköpostin salaus ei toimi turvallisesti ja vuotaa tietoja salatuista sähköposteista.
Microsoft ilmoittanut, ettei aijo korjata ongelmaa.
Suositus on olla käyttämättä Microsoftin tarjoamaa sähköpostisalaus ominaisuutta.

Microsoft Office 365 Message Encryption Insecure Mode of Operation

Microsoft Office 365 Message Encryption (OME) utilitises Electronic Codebook (ECB) mode of operation. This mode is insecure and leaks information about the structure of the messages sent and can lead to partial or full message disclosure.

labs.withsecure.com

 

[ojisama]

Microsoftin sähköpostin salaus ei toimi turvallisesti ja vuotaa tietoja salatuista sähköposteista.
Microsoft ilmoittanut, ettei aijo korjata ongelmaa.
Suositus on olla käyttämättä Microsoftin tarjoamaa sähköpostisalaus ominaisuutta.

Microsoft Office 365 Message Encryption Insecure Mode of Operation

Microsoft Office 365 Message Encryption (OME) utilitises Electronic Codebook (ECB) mode of operation. This mode is insecure and leaks information about the structure of the messages sent and can lead to partial or full message disclosure.

labs.withsecure.com

Joskin toi struktuurin teoreettinen paljastuminen tarpeeksi suurella määrällä haltuun saatuja viestejä tuskin on ongelma, jos ei lähetä raw muotoon renderöityjä jättikokoisia tekstejä, mitä tuossa aika provokatiivisesti esimerkkeinä.

 

[=JP=]

Saapas nähdä, onko tällä positiivista vaikutusta tulevaisuutta ajatellen, vai ilmestyykö kohta markkinoille ties mitä "tietoturva" kouluttajia viemään rahoja...

Tietoturvaseteli tulee: Tämä siitä kannattaa tietää

Valtioneuvosto on antanut asetuksen tietoturvan kehittämisen tuesta eli niin kutsutusta tietoturvasetelistä.

www.yrittajat.fi

Määräaikaisella tuella yritykset voivat parantaa järjestelmiensä tietoturvaa ja kehittää tietoturvaosaamistaan.
Tietoturvaseteli on suunnattu yhteiskunnan toiminnan kannalta kriittisten alojen yrityksille.
Uusi asetus tulee voimaan 1. joulukuuta, jolloin tietoturvan kehittämisen tukea voi hakea Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta.

 

[Algron28]

Saapas nähdä, onko tällä positiivista vaikutusta tulevaisuutta ajatellen, vai ilmestyykö kohta markkinoille ties mitä "tietoturva" kouluttajia viemään rahoja...

Tietoturvaseteli tulee: Tämä siitä kannattaa tietää

Valtioneuvosto on antanut asetuksen tietoturvan kehittämisen tuesta eli niin kutsutusta tietoturvasetelistä.

www.yrittajat.fi

Määräaikaisella tuella yritykset voivat parantaa järjestelmiensä tietoturvaa ja kehittää tietoturvaosaamistaan.
Tietoturvaseteli on suunnattu yhteiskunnan toiminnan kannalta kriittisten alojen yrityksille.
Uusi asetus tulee voimaan 1. joulukuuta, jolloin tietoturvan kehittämisen tukea voi hakea Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta.

Iänkaikenhan niitä erinäisiä helppoheikkejä on konsulttipuolella ollut, ettei sinäänsä ihmetyttäisi.

Itse olen omassa työssä joutunut tekemään myös erilaisten isojen asiakkaiden pakollisia tietoturvakoulutuksia ja vuosien mittaan nuo ovat kehittyneet sisällön puolesta melko vähän. Erilaiset tekniset ratkaisut taustalla ovat kyllä vuosien mittaan parantunut mutta ilmeisesti edelleen tietoturvan pahin vihollinen on käyttäjä itse.

 

[simu2020]

Mulla kävi tällainen tapaus. Poistin maksullisen virustorjuntaohjelman ja se kertoi vielä, että meillä tulee sinua ikävä. Laitoin defenderin tilalle, niin eikö mitä virustorjunta firmalta tuli vuoden kuluttua ilmoitus, että olemme laskuttaneet luottokortilta vuoden maksun. Pankki neuvoi vaihtamaan pankkikortin uuteen, niin sitten laskutus loppuu. Tein niin ja eikö mitä, vuoden kuluttua tuli taas ilmoitus, että olemme laskuttaneet luottokorttianne. Soitin taas pankkiin, jossa sanoivat, että uusitaan kortti nyt niin, että varmasti laskutus loppuu. Kysyin, että miten ne ovat voineet löytää minun uusitun kortin tiedot. Pankin virkailija sanoin, että vanhasta kortista menee joitain tietoja uudelle kortille ja sen avulla ovat ehkä saaneet tiedon uudesta kortista. En kysynyt tarkemmin, kun pankin virkailija oli niin vaivautunut. Sanoi sitten, että nyt uusitaan kortti niin, että mitään tietoja ei siirry uuteen korttiin. Osaako täällä kukaan sanoi, miten tuon uusitun kortin virustorjunta firma on voinut selvittää? Siinä kai menee uuteen korttiin joitakin tietoja. Jotenkin kai sen avulla ovat löytäneet uuden kortin tiedot. Nyt odottelen ensi syksyä, että tuleeko taas lasku. Tuo on ulkomainen firma eikä siihen saa millään yhteyttä, vaikka linkkejä tarjoavat, mutta ne eivät johda minnekään.

 

[Algron28]

Mulla kävi tällainen tapaus. Poistin maksullisen virustorjuntaohjelman ja se kertoi vielä, että meillä tulee sinua ikävä. Laitoin defenderin tilalle, niin eikö mitä virustorjunta firmalta tuli vuoden kuluttua ilmoitus, että olemme laskuttaneet luottokortilta vuoden maksun. Pankki neuvoi vaihtamaan pankkikortin uuteen, niin sitten laskutus loppuu. Tein niin ja eikö mitä, vuoden kuluttua tuli taas ilmoitus, että olemme laskuttaneet luottokorttianne. Soitin taas pankkiin, jossa sanoivat, että uusitaan kortti nyt niin, että varmasti laskutus loppuu. Kysyin, että miten ne ovat voineet löytää minun uusitun kortin tiedot. Pankin virkailija sanoin, että vanhasta kortista menee joitain tietoja uudelle kortille ja sen avulla ovat ehkä saaneet tiedon uudesta kortista. En kysynyt tarkemmin, kun pankin virkailija oli niin vaivautunut. Sanoi sitten, että nyt uusitaan kortti niin, että mitään tietoja ei siirry uuteen korttiin. Osaako täällä kukaan sanoi, miten tuon uusitun kortin virustorjunta firma on voinut selvittää? Siinä kai menee uuteen korttiin joitakin tietoja. Jotenkin kai sen avulla ovat löytäneet uuden kortin tiedot. Nyt odottelen ensi syksyä, että tuleeko taas lasku. Tuo on ulkomainen firma eikä siihen saa millään yhteyttä, vaikka linkkejä tarjoavat, mutta ne eivät johda minnekään.

Sulta vaan unohtui kertoa että mikä ohjelma kyseessä oli. Näin niinkuin ihan vaan hyödyllisyyden kannalta.

 

[Pertti_Pasanen_Spede]

Mulla kävi tällainen tapaus. Poistin maksullisen virustorjuntaohjelman ja se kertoi vielä, että meillä tulee sinua ikävä. Laitoin defenderin tilalle, niin eikö mitä virustorjunta firmalta tuli vuoden kuluttua ilmoitus, että olemme laskuttaneet luottokortilta vuoden maksun. Pankki neuvoi vaihtamaan pankkikortin uuteen, niin sitten laskutus loppuu. Tein niin ja eikö mitä, vuoden kuluttua tuli taas ilmoitus, että olemme laskuttaneet luottokorttianne. Soitin taas pankkiin, jossa sanoivat, että uusitaan kortti nyt niin, että varmasti laskutus loppuu. Kysyin, että miten ne ovat voineet löytää minun uusitun kortin tiedot. Pankin virkailija sanoin, että vanhasta kortista menee joitain tietoja uudelle kortille ja sen avulla ovat ehkä saaneet tiedon uudesta kortista. En kysynyt tarkemmin, kun pankin virkailija oli niin vaivautunut. Sanoi sitten, että nyt uusitaan kortti niin, että mitään tietoja ei siirry uuteen korttiin. Osaako täällä kukaan sanoi, miten tuon uusitun kortin virustorjunta firma on voinut selvittää? Siinä kai menee uuteen korttiin joitakin tietoja. Jotenkin kai sen avulla ovat löytäneet uuden kortin tiedot. Nyt odottelen ensi syksyä, että tuleeko taas lasku. Tuo on ulkomainen firma eikä siihen saa millään yhteyttä, vaikka linkkejä tarjoavat, mutta ne eivät johda minnekään.

Visa ja MasterCard tarjoavat tuommoista palvelua yrityksille. Tarkoitus on se jos vaikka Netflix käyttää eikä muista päivittää korttia niin ne tiedot päivittyvät sinne automaattisesti. Identify Merchants Receiving Automatic Card Updates

 

[Leo_Greta]

Mulla kävi tällainen tapaus. Poistin maksullisen virustorjuntaohjelman ja se kertoi vielä, että meillä tulee sinua ikävä. Laitoin defenderin tilalle, niin eikö mitä virustorjunta firmalta tuli vuoden kuluttua ilmoitus, että olemme laskuttaneet luottokortilta vuoden maksun. Pankki neuvoi vaihtamaan pankkikortin uuteen, niin sitten laskutus loppuu. Tein niin ja eikö mitä, vuoden kuluttua tuli taas ilmoitus, että olemme laskuttaneet luottokorttianne. Soitin taas pankkiin, jossa sanoivat, että uusitaan kortti nyt niin, että varmasti laskutus loppuu. Kysyin, että miten ne ovat voineet löytää minun uusitun kortin tiedot. Pankin virkailija sanoin, että vanhasta kortista menee joitain tietoja uudelle kortille ja sen avulla ovat ehkä saaneet tiedon uudesta kortista. En kysynyt tarkemmin, kun pankin virkailija oli niin vaivautunut. Sanoi sitten, että nyt uusitaan kortti niin, että mitään tietoja ei siirry uuteen korttiin. Osaako täällä kukaan sanoi, miten tuon uusitun kortin virustorjunta firma on voinut selvittää? Siinä kai menee uuteen korttiin joitakin tietoja. Jotenkin kai sen avulla ovat löytäneet uuden kortin tiedot. Nyt odottelen ensi syksyä, että tuleeko taas lasku. Tuo on ulkomainen firma eikä siihen saa millään yhteyttä, vaikka linkkejä tarjoavat, mutta ne eivät johda minnekään.

Toi kuulostaa omaan korvaan siltä, että pankki mokas ja on sitä kautta korvaus velvollinen asiassa. Edellyttää tietenkin, että sulla on näyttää toteen, että tilaus on katkaistu. Ei ole pankin asiakkaan ongelma, jos pankki vuotaa tietoja firmalle ja jatkaa laskutusta sitä kautta, vaikka asiakas on katkaissut tilauksen firman tuotteesta X.

Vaaditko muuten firmalta, tai pankilta rahojen palautusta?

 

[pulatunnus]

Suositus on olla käyttämättä Microsoftin tarjoamaa sähköpostisalaus ominaisuutta.

https://labs.withsecure.com/advisor...message-encryption-insecure-mode-of-operation

Jos oikein ymmärsin niin salaus ei suoranaisesti vuoda, vaan sitä että salataan palasina, joka voi helpottaa osittaista murtamista. Ominaisuuden käyttämättä jättäminen taasen tarkoittaa että viestit on selkokielisiä.

Jos vastuussa organisaation tietoturvasta, niin kannattaa toki selivitellä riskit, ennen kuin postaa käyttäjille käyttökiellosta.
Siinä sitten onkin selviteltävää onko kukaan käyttänyt niin että GDPR alaista vuotia tullut.

 

[simu2020]

Tuo tapaus oli vain sellainen, että kun olin lopettamassa tuota virusturvaa, niin yritin löytää miten poistan sen, että ei jatku tilaus. Ajattelin sitten, että kyllä ohjelman poisto riittää. Tuo kun sitten lähettivät jatko veloituksen, niin siinä oli ruksattuna jatkuva tilaus. Sen poistamisen firma oli hoitanut niin, että kun sitä yrittää ruksia pois, niin tulee ponnahdusikkuna jossa voi ruksin poistaa. Monet selaimet taas estävät ponnahdusikkunat, joten sitä ei aina näe. Tuo käytäntöhän kertoo, että firma ei haluakaan, että asiakas pääsee sen poistamaan ja vaikka poistais sen, niin mikään ei takaa, etteikö firman ohjelma laita sitä takaisin. Tämän takia pankki ei lähtenyt viemään asiaa eteenpäin, ymmärsin, että tuota oli joskus yritetty, mutta kun firma esittää, että on jatkuva tilaus, niin ei kai siinä voi silloin mitään. Kaikkiaaan ihan rikollista toimintaa. Lisäksi sieltä ei koskaan tullut mitään vastinetta tai mitään tietoa mistään. Virusohjelma oli valmiina uudessa koneessa ja kun tarjosivat eka vuotena edullisesti, niin otin sen. Harva tavan tallaaja heti aluksi poistaa koneesta virusturvan, vaan monet ottavat sen mikä koneessa tulee mukana. Virusfirma oli McAfee, enkä enää koskaan oli missään tekemisessä ko. firmaan. Netissä on paljon kysymyksiä, että miten voi lopettaa McAfeen tilauksen eli ongelma on hyvin tiedossa.

 

[ojisama]

Tuo tapaus oli vain sellainen, että kun olin lopettamassa tuota virusturvaa, niin yritin löytää miten poistan sen, että ei jatku tilaus. Ajattelin sitten, että kyllä ohjelman poisto riittää. Tuo kun sitten lähettivät jatko veloituksen, niin siinä oli ruksattuna jatkuva tilaus. Sen poistamisen firma oli hoitanut niin, että kun sitä yrittää ruksia pois, niin tulee ponnahdusikkuna jossa voi ruksin poistaa. Monet selaimet taas estävät ponnahdusikkunat, joten sitä ei aina näe. Tuo käytäntöhän kertoo, että firma ei haluakaan, että asiakas pääsee sen poistamaan ja vaikka poistais sen, niin mikään ei takaa, etteikö firman ohjelma laita sitä takaisin. Tämän takia pankki ei lähtenyt viemään asiaa eteenpäin, ymmärsin, että tuota oli joskus yritetty, mutta kun firma esittää, että on jatkuva tilaus, niin ei kai siinä voi silloin mitään. Kaikkiaaan ihan rikollista toimintaa. Lisäksi sieltä ei koskaan tullut mitään vastinetta tai mitään tietoa mistään. Virusohjelma oli valmiina uudessa koneessa ja kun tarjosivat eka vuotena edullisesti, niin otin sen. Harva tavan tallaaja heti aluksi poistaa koneesta virusturvan, vaan monet ottavat sen mikä koneessa tulee mukana. Virusfirma oli McAfee, enkä enää koskaan oli missään tekemisessä ko. firmaan. Netissä on paljon kysymyksiä, että miten voi lopettaa McAfeen tilauksen eli ongelma on hyvin tiedossa.

Ohjelman poistohan ei poista tilausta yleensäkään. Mutta mitä itse koittaisin, on ottaa yhteyttä noiden tukeen, kun nähtävästi kertovat, että sitä kautta voi hakea refundia. Siellä näytti olevan vaihtoehto "unexpected renewal" tjsp.

https://www.mcafee.com/support/?articleId=TS102797&page=shell&shell=article-view

(Ei videon perusteella muuten ole ponnahdusikkuna vaan overlay elementti, jonka selaimet kyllä näyttää)

 

[Algron28]

Tuo ohjelman poistaminen ja sen perusteella olettaminen että myös jatkuva tilaus peruuntuu on vähän sama kuin että poistaisi netflixin sovelluksen puhelimesta ja olettaisi että tilaus päättyy samalla.

 

[simu2020]

Mää en usko mihinkään, mitä McAfee kirjoittaa. Yritin todella eri vaihtoehdoilla yhteyttä, mutta mikään linkki ei johtanut mihinkään. Jos tämä toimisi, niin ei kai maailmalla olis niin paljon kysymyksiä tuon tilauksen päättämisestä. Eihän tuossa suurista summista oli kyse, mutta harmittaa, kun tulee huijatuksi. Netissä on myös ohjeita siitä, kuinka helppoa tilauksen päättäminen on, siis varmaan McAfeen kirjoittamana, mutta käytäntö on sitten toista. Nythän luottokorttien voimassaolo päättyy joskus kaikilla ja tilataan uusi ja harvoin kukaan muistaa ilmoittaa uuden kortin tietoja eli McAfee jotenkin hoitaa homman niin, että selvittävät uuden kortin tiedot ja laskutus jatkuu. Tuo olis mukava tietää, miten tuon homman tekevät, nehän tietävät tietotekniikasta kuitenkin kaiken.

 

[=JP=]

Nythän luottokorttien voimassaolo päättyy joskus kaikilla ja tilataan uusi ja harvoin kukaan muistaa ilmoittaa uuden kortin tietoja eli McAfee jotenkin hoitaa homman niin, että selvittävät uuden kortin tiedot ja laskutus jatkuu. Tuo olis mukava tietää, miten tuon homman tekevät, nehän tietävät tietotekniikasta kuitenkin kaiken.

Sinulle jo kertaalleen kerrottiin miten tuo luultavasti tapahtui, koska luottokorttiyhtiöt mahdollistavat nykyään tuollaisen palvelun...

 

[=JP=]

Sitten tälläinen uutinen, kertoo taasen miten pihalla monet päättäjätkin ovat tietoturva asioissa...

Kansanedustaja käyttää metron avointa wifiä – ”Tämän on oltava vitsi”

Vasemmistoliiton kansanedustaja Anna Kontulan Twitter-avaus on aiheuttanut kummastusta. Tietoturva-asiantuntija pitää toimintaa hälyttävänä.

www.iltalehti.fi

Mitähän päivityksiä siellä muka on ollut, jotka ei mobiilidatan yli ole onnistunut (vieläkö iPhone estää käyttöjärjestelmä päivitykset Suomessa mobiilidatan kautta?).

Mutta kyllä nyt pitäisi olla sen verta järkeä päässä, että työpuhelimella ei p*rseillä, etenkin jos kyse jostain maan hallituksen tietoturvasta. Mutta onhan näitä tapauksia nähty jatkuvasti ympäri maailmaa tapahtuvan...
Älypuhelin on kirous mielestäni, kun kyse on erittäin tärkeistä/salaisista asioista monessakin tapauksessa.

 

[pulatunnus]

Sitten tälläinen uutinen, kertoo taasen miten pihalla monet päättäjätkin ovat tietoturva asioissa...
https://www.iltalehti.fi/digiuutiset/a/4a2b8852-2674-4051-9a82-e5f99df5eb59

Mitähän päivityksiä siellä muka on ollut, jotka ei mobiilidatan yli ole onnistunut (vieläkö iPhone estää käyttöjärjestelmä päivitykset Suomessa mobiilidatan kautta?).

Mutta kyllä nyt pitäisi olla sen verta järkeä päässä, että työpuhelimella ei p*rseillä, etenkin jos kyse jostain maan hallituksen tietoturvasta. Mutta onhan näitä tapauksia nähty jatkuvasti ympäri maailmaa tapahtuvan...
Älypuhelin on kirous mielestäni, kun kyse on erittäin tärkeistä/salaisista asioista monessakin tapauksessa.

Tuossa osoittaisin ko laitoksen tieturvaosastoa, ne jotka ylläpitää laitteita. Jos firman laitteella sallittu avoimien wifi verkkojen käyttö, niin se on harkittu päätös, tai ainakin pitäisi olla harkittu, johon ehkä kuuluu jotain muitakin tekijöitä.

Tosin en ihan varma mitä tuossa avoimella tarkoitetaan, No jos käyttäjä voi liittyä vapaasti ns suljettuihin WLAN verkkoihin, niin se on riski, onko isoa riski eroa johonkin metroverkkoon. (en nyt osaa sano miten se metron avoin on toteutettu)

 

[Infy]

Avoimet langattomat verkot, siis salaamattomat, missä muut saman verkon käyttäjät näkevät verkkoliikenteesi, ei ole enää niin iso ongelma kuin joskus muinoin. Tänä päivänä käytönnässä kaikki verkkoliikenne on HTTPS-salattua.

 

[pulatunnus]

Avoimet langattomat verkot, siis salaamattomat, missä muut saman verkon käyttäjät näkevät verkkoliikenteesi, ei ole enää niin iso ongelma kuin joskus muinoin. Tänä päivänä käytönnässä kaikki verkkoliikenne on HTTPS-salattua.

Se salaa sisältöä, mutta paljon selkokielistä.

Tosin siihen aikaan kun liikenne sisältöineen kulki salaamatta, mm sähköpostit, niin siihen verrattuna toki eri. Ei mene läpi jos väittää twitterin tilin kaapatun tuon takia....

Noissa käyttäjä voi vapaasti liittyä verkkoihin saattaa tarkoittaa myös sitä että vihollinen voi tehtä feikki tukiasemia, esim kohteen kodin tuntumaan ja kohde liittyykin kotiverkon sijaan vihamieliseen verkkoon, jolloin paljon enemmän välineitä vs kuunelle jotain liikennettä.

Tosin lähtökohta noissa työntekijöiden kotiin kannettavissa laitteissa että ne ovat yhteydessä verkkoon jossa oletetaan olevan vihamielinen tahoa. (jos siis laitteella voi ja saa liittyä julkiseen nettiin)

 

[Agent_007]

Se salaa sisältöä, mutta paljon selkokielistä.

DNS taitaa olla suurin jäljellä oleva (DoH:ia ja DoT:ia on ainakin itselle tullut vastaan toistaiseksi aika vähän). Ja jos on työpaikan puolesta VPN aina päällä niin ongelma on aika olematon. Valtiolliset toimijat voivat kuitenkin hyökätä ihan WPA2-verkkojakin vastaan, ja WPA3:sta näkyy harmillisen vähän missään.

 

[Euphemos]

Qatar vaikuttaa olevan tiukasti Kiinan viitoittamalla tiellä:

Everyone going to the World Cup must have this app - experts are now sounding the alarm

Security experts believe Qatar's required mobile app will be like giving the World Cup country's authorities the key to your house.

www.nrk.no

 

[Agent_007]

Ensi viikolla on luvassa päivitys OpenSSL:n 3-versiolle. Päivityksessä korjataan kriittinen tietoturva-aukko, jonka tarkemmat tiedot selviävät vasta päivityksen julkaisun yhteydessä.

OpenSSL warns of critical security vulnerability with upcoming patch

We don't have the details yet, but we can safely say that come Nov. 1, everyone -- and I mean everyone -- will need to patch OpenSSL 3.x.

www.zdnet.com

 

[user9999]

Ensi viikolla on luvassa päivitys OpenSSL:n 3-versiolle. Päivityksessä korjataan kriittinen tietoturva-aukko, jonka tarkemmat tiedot selviävät vasta päivityksen julkaisun yhteydessä.

OpenSSL warns of critical security vulnerability with upcoming patch

We don't have the details yet, but we can safely say that come Nov. 1, everyone -- and I mean everyone -- will need to patch OpenSSL 3.x.

www.zdnet.com

Muutamia linkkejä (DAILY NCSC-FI NEWS FOLLOWUP 2022-10-28):

Upcoming ‘critical’ OpenSSL update prompts feverish speculation

Is it the new Heartbleed or just a bleeding distraction?

portswigger.net

InfoSec Handlers Diary Blog - SANS Internet Storm Center

Upcoming Critical OpenSSL Vulnerability: What will be Affected?, Author: Johannes Ullrich

isc.sans.edu

 

[Algron28]

Jahas




Yli 200 000 suomalaisen Linkedin-käyttäjän tietoja jaettu hakkerifoorumilla

Yli 200 000 suomalaisen Linkedin-käyttäjän tietoja on jaettu hakkerifoorumilla, kertoo F-Secure.

F-Securen mukaan tietoihin kuuluu muun muassa nimiä, puhelinnumeroita ja sähköpostiosoitteita.

F-Securen mukaan tietoja voidaan käyttää hyväksi esimerkiksi tietojenkalasteluun, jolla pyritään saamaan tilitietoja tai muita arkaluonteisia tietoja.