- Liittynyt
- 19.10.2016
- Viestejä
- 914
VMware vRealize Log Insight tuotteessa kriittisiä tietoturva-aukkoja, kriittisyys 9.8 / 10 CVSS-asteikolla , mm. unauthenticated remote code execution, https://www.vmware.com/security/advisories/VMSA-2023-0001.html
Follow along with the video below to see how to install our site as a web app on your home screen.
Huomio: This feature may not be available in some browsers.
Satunnaisestihan se toimisi kaikkein todennäköisimmin, kun pankin päässä sekoitetaan samaan aikaan tunnistautuvien ihmisten sessiot. Eikö S-Pankilla ollut samanlainen toteutus ja varmaan samat ammattilaisetkin asiallaItseäni tuossa tapauksessa ihmetytti kun jossain uutisessa kerrottiin että kun yritti uudestaan niin tulikin eri henkilön tiedot näkyviin
Eikös se ollut ihan toisenlainen keissi? Se oli semmoinen, että jos joku toinen yritti kirjautua toisen tunnuksilla ja tämä toinen henkilö meni hyväksymään vahvistuksen ilman, että vahvisti sen 4-merkkisen turvatunnuksen vastaavaan omalla laitteella ja mihin oli kirjautumassa niin se 3:s osapuoli pääsi sen toisen henkilön tilille. Eikös se mennyt noin? Siinä ongelma oli käyttäjäpäässä (vaikka toki myönnän, että tuollaista toteutusta ei pitäisi tehdä), tässä aktian hommassa ongelma oli pankin päässä.Eikö S-Pankilla ollut samanlainen toteutus
Onko tästä ollut jotain tarkempaa tietoa jossain? Tiedän vain nämä lauseet asiasta: "Tilisiirrot ovat onnistuneet pankin tietojärjestelmässä ollutta haavoittuvuutta hyväksi käyttäen." ja "tekoon ei ole vaadittu asianomistajien myötävaikutusta eli heidän erehdyttämistään".Eikös se ollut ihan toisenlainen keissi? Se oli semmoinen, että jos joku toinen yritti kirjautua toisen tunnuksilla ja tämä toinen henkilö meni hyväksymään vahvistuksen ilman, että vahvisti sen 4-merkkisen turvatunnuksen vastaavaan omalla laitteella ja mihin oli kirjautumassa niin se 3:s osapuoli pääsi sen toisen henkilön tilille. Eikös se mennyt noin? Siinä ongelma oli käyttäjäpäässä (vaikka toki myönnän, että tuollaista toteutusta ei pitäisi tehdä), tässä aktian hommassa ongelma oli pankin päässä.
Omassa muistissani oli viimeisin s-pankki-uutisointi-tapaus:Onko tästä ollut jotain tarkempaa tietoa jossain? Tiedän vain nämä lauseet asiasta: "Tilisiirrot ovat onnistuneet pankin tietojärjestelmässä ollutta haavoittuvuutta hyväksi käyttäen." ja "tekoon ei ole vaadittu asianomistajien myötävaikutusta eli heidän erehdyttämistään".
Kyberturvallisuuskeskuksen havaintojen mukaan nykylaitteiden tietoturvaa usein heikentävät oletuksena olevat heikot salasanat ja tietoja suojaavan salauksen puuttuminen. Merkittävä ongelma on myös puute ohjelmistopäivityksistä, joilla korjataan laitteesta valmistamisen jälkeen löydettyjä haavoittuvuuksia. Aina tuotteet eivät edes sisällä päivitysmekanismia, joka mahdollistaisi niiden toimittamisen. Valitettavan usein tarjottavat päivitykset myös loppuvat ennen laitteen käyttöiän päättymistä.
Sinänsä lähdekoodin vuotaminen nettiin, ei pitäisi itsessään tuottaa minkäänlaista turvallisuusriskiä.Yandexin eri palveluiden lähdekoodeja on laitettu jakoon luvatta. Firma syyttää teosta entistä työntekijää
Yandex denies hack, blames source code leak on former employee
A Yandex source code repository allegedly stolen by a former employee of the Russian technology company has been leaked as a Torrent on a popular hacking forum.www.bleepingcomputer.com
Miksi ei? Onhan silloin paljon helpompi etsiä mahdollisia kohtia koodissa, joita voi hyödyntää hämäriin tarkoituksiin.Sinänsä lähdekoodin vuotaminen nettiin, ei pitäisi itsessään tuottaa minkäänlaista turvallisuusriskiä.
Tosta voisi löytyä kaikkea jännää Venäjään liittyen. Millähän kielellä koodikommentit ja muu dokumentaatio on.Yandexin eri palveluiden lähdekoodeja on laitettu jakoon luvatta. Firma syyttää teosta entistä työntekijää
Yandex denies hack, blames source code leak on former employee
A Yandex source code repository allegedly stolen by a former employee of the Russian technology company has been leaked as a Torrent on a popular hacking forum.www.bleepingcomputer.com
Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja. Ei sitä nyt oikein turvalliseksi voi sanoa jos turvalliauus perustuu vain siihen että ei ole julkista tietoa luinka systeemi on koodattu.Miksi ei? Onhan silloin paljon helpompi etsiä mahdollisia kohtia koodissa, joita voi hyödyntää hämäriin tarkoituksiin.
JOKAISESSA (vähänkään isomman) projektin koodissa on vikaa. Eikä se, että (avoin) koodi olisi kaikkien luettavissa tarkoita, että siinä ei olisi vikaa tai aukkoja.Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja.
Tietysti.JOKAISESSA (vähänkään isomman) projektin koodissa on vikaa. Eikä se, että (avoin) koodi olisi kaikkien luettavissa tarkoita, että siinä ei olisi vikaa tai aukkoja.
Eikä avoin koodi itsessään tee siitä turvallista, eli tilanne on siltä osin sama, mutta salaisella koodilla on vähemmän silmäpareja tutkailemassa sitä.se että lähdekoodi on salaista tee siitä turvallista
No lähestytään vähän toisella tavalla.Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja. Ei sitä nyt oikein turvalliseksi voi sanoa jos turvalliauus perustuu vain siihen että ei ole julkista tietoa luinka systeemi on koodattu.
Jos lukitukseen pompataan, niin voi olla eroa onko se lukitus piirustuksineen rosvoilla, vai ei.Siis jos joku murtautuu abloyn tehtaalle ja saa käsiinsä lukon piirustukset ei tee siitä sun kotiovessa olevasta lukosta sen turvattomampaa, koska "lähdekoodi" on turvallinen.
Varma @Sampsa tai @Juha Kokkonen osaisi tuohon uutisvinkki asiaan parhaiten kommentoida.Saa yhdistää Tietoturvauutisiin. Uutena en keksinyt tätä ja oli jo vaikeuksia päättää mihin uutiseni kirjoitan. Tarkoitus kuitenkin hyvä eli varoittaa muita. Kaipaisin ehkä suoraa kanavaa, jossa heittää uutisideoita suoraan io-Techille. Onko sellaista?
Ja tuon (ja muidenkin tiedostonimillä kikkailevien huijausten) toimintaahan vielä edesauttaa se että windows oletuksena piilottaa tiedostopäätteet, joka on ihan älytön idea sekin. Mielestäni olisi muutenkin turvallisempaa kun käyttöjärjestelmä ei päättelisi tiedostopäätteen perusteella mikä tiedosto on suorituskelpoinen ja mikä ei, vaan oletuksena kaikki esimerkiksi sähköpostin liitetiedostot voisivat olla sellaisia että suoritus pitää erikseen sallia, vähän kuin *nix-puolella.Ei ihan uusi ongelma, mutta varmaan ajankohtainen kyllä.
Kannattaa muistaa, että myös oikeilla Word-tiedostoilla (doc, docx) on levitetty haittaohjelmia haavoittuvuuksien kautta, joten niitäkään ei kannata noin vain aukoa, oli niissä "exe" nimessä tai ei. Mitään roskapostin mukana tulevaa ei ylipäätään pidä avata.
Mitenkäs Windowsin tiedostonhallinta tarkalleen näyttää tuollaiset? Mitä näkyy tyyppi-kentässä? (En jaksa katsoa videota, aloittaja voisi vähän enemmän avata.) Siinä voisi olla Microsoftille mietittävää, olisiko tällainen mahdollista saada kuriin järkevämmällä suunnittelulla.
Toisaalta onko ylipäätään tarpeen, että tällaiset kummajaismerkit sallitaan tiedostonimissä? Ehkä jos käyttöjärjestelmän kieliasetuksista on valittu myös arabia tai heprea, tälle voi jotain käyttöä olla. Länsimaisista käyttäjistä kukaan ei tarvitse tällaista ominaisuutta.
Tuo että suoritus pitää erikseen sallia tuskin hirveästi auttaa tavan käyttäjiä jotka on juuri nitä jotka näihin sähköpostin liitetiedosto viruksiin haksahtaa muutenkin. Ja eikös windows yleensä nytkin varoita kun ollaan suorittamassa jotain tuntematonta/epämääräistä sovellusta mutta todennäköisesti tämä edellä mainittu sakki vastaa kyllä lukematta tai ymmärtämättä varoitusta.Ja tuon (ja muidenkin tiedostonimillä kikkailevien huijausten) toimintaahan vielä edesauttaa se että windows oletuksena piilottaa tiedostopäätteet, joka on ihan älytön idea sekin. Mielestäni olisi muutenkin turvallisempaa kun käyttöjärjestelmä ei päättelisi tiedostopäätteen perusteella mikä tiedosto on suorituskelpoinen ja mikä ei, vaan oletuksena kaikki esimerkiksi sähköpostin liitetiedostot voisivat olla sellaisia että suoritus pitää erikseen sallia, vähän kuin *nix-puolella.
ThioJoe esittelee Youtube-videollaan aika ilkeän harhautustempun kuinka .exe päätteinen tiedosto saadaan näkymään .docx ja myös kuvake on Wordin. Jippona siis kesken tiedostonimen annon kirjoitussuunnan vaihdos oikealta vasemmalle.
Asiaa voisi käsitellä io-Techin poppoo vaikkapa viikottaisessa podcastissään ja ihan varoitusmielessä.
These updates removed the edition checks for Windows 10, versions 2004, 20H2, and 21H1 and all versions of Windows 11. You can now deploy and enforce AppLocker policies to all of these Windows versions regardless of their edition or management method.
Näköjään omakin kaapelimodeemi on haavoittuvien listalla. Pistin asiasta viestiä kaapelimodeemiyhteyteni operaattorille eli Elisalle. Itsellä toki laittesta on tunnukset vaihdettu pois oletuksista ja perässä on verkossa palomuuria sun muuta suojausta että ihan suoraan ei sentään joku hakkeri läpi tule mutta varmaan aika paljon on ihmisiä jotka eivät noista niin paljoa ymmärrä.Arris router vulnerability could lead to complete takeover
A security researcher found an authenticated remote code execution vulnerability in very wide-spread Arris router models.www.malwarebytes.com
Suomalaisten operaattorien myymissä kaapelimodeemeissa (Arris TG2482A, TG2492, and SBG10) haavoittuvuus. Valmistajan mukaan laitteet ovat vanhoja eikä tukea ole saatavilla.
Näköjään omakin kaapelimodeemi on haavoittuvien listalla. Pistin asiasta viestiä kaapelimodeemiyhteyteni operaattorille eli Elisalle. Itsellä toki laittesta on tunnukset vaihdettu pois oletuksista ja perässä on verkossa palomuuria sun muuta suojausta että ihan suoraan ei sentään joku hakkeri läpi tule mutta varmaan aika paljon on ihmisiä jotka eivät noista niin paljoa ymmärrä.
Juu, ja tuon takia pistinkin operaattorille viestiä että tiedostavat ongelman eikä koko kaapelimodeemikanta muutu bottifarmiksi. Itselle tuon purkin kaappauksesta tuskin tulisi suurta haittaa, jos se rupeaa liikaa tökkimään niin voin vaihtaa toiseen yhteyteen. Kattoo nyt rupeaako Elisa vaihtelemaan kaapelimodeemeitaan toiseen malliin.Eihän ne scriptipojut pääsääntöisesti läpi edes halua tulla vaan riittää että saavat korkattua kaikessa hiljaisuudessa esim. tuon purkin ja laittaavat sinne sitten jotain omaa sontaa ajoon esim. botnet zombien jolloin sinä korkeintaan saatat ihmetellä kun netti välillä takkuaa kun scriptipoju dosauttelee sillä sun purkilla jonnekin koko putken täydeltä.
- DevOps Secrets – restricted secrets that were used to gain access to our cloud-based
backup storage.
- Cloud-based backup storage – contained configuration data, API secrets, third-party
integration secrets, customer metadata, and backups of all customer vault data. All
sensitive customer vault data, other than URLs, file paths to installed LastPass Windows
or macOS software, and certain use cases involving email addresses, were encrypted using
our Zero knowledge model and can only be decrypted with a unique encryption key
derived from each user’s master password. As a reminder, end user master passwords
are never known to LastPass and are not stored or maintained by LastPass – therefore,
they were not included in the exfiltrated data.
- Backup of LastPass MFA/Federation Database – contained copies of LastPass
Authenticator seeds, telephone numbers used for the MFA backup option (if enabled), as
well as a split knowledge component (the K2 “key”) used for LastPass federation (if
enabled). This database was encrypted, but the separately-stored decryption key was
included in the secrets stolen by the threat actor during the second incident
Eihän ne scriptipojut pääsääntöisesti läpi edes halua tulla vaan riittää että saavat korkattua kaikessa hiljaisuudessa esim. tuon purkin ja laittaavat sinne sitten jotain omaa sontaa ajoon esim. botnet zombien jolloin sinä korkeintaan saatat ihmetellä kun netti välillä takkuaa kun scriptipoju dosauttelee sillä sun purkilla jonnekin koko putken täydeltä.
- It’s capable of running on the latest, fully patched Windows 11 systems with UEFI Secure Boot enabled.
- It exploits a more than one year old vulnerability (CVE-2022-21894) to bypass UEFI Secure Boot and set up persistence for the bootkit. This is the first publicly known, in-the-wild abuse of this vulnerability.
- Although the vulnerability was fixed in Microsoft’s January 2022 update, its exploitation is still possible as the affected, validly signed binaries have still not been added to the UEFI revocation list. BlackLotus takes advantage of this, bringing its own copies of legitimate – but vulnerable – binaries to the system in order to exploit the vulnerability.
- It’s capable of disabling OS security mechanisms such as BitLocker, HVCI, and Windows Defender.
- Once installed, the bootkit’s main goal is to deploy a kernel driver (which, among other things, protects the bootkit from removal), and an HTTP downloader responsible for communication with the C&C and capable of loading additional user-mode or kernel-mode payloads.
- BlackLotus has been advertised and sold on underground forums since at least October 6th, 2022. In this blogpost, we present evidence that the bootkit is real, and the advertisement is not merely a scam.
- Interestingly, some of the BlackLotus installers we have analyzed do not proceed with bootkit installation if the compromised host uses one of the following locales:
- Romanian (Moldova), ro-MD
- Russian (Moldova), ru-MD
- Russian (Russia), ru-RU
- Ukrainian (Ukraine) , uk-UA
- Belarusian (Belarus), be-BY
- Armenian (Armenia), hy-AM
- Kazakh (Kazakhstan), kk-KZ
Surullisinta näissä jutuissa on kenties se, että tuon tapaisia ympäristöjä on varmasti vaikka kuinka paljon. Toivottavasti median kautta eri ympäristöjen ylläpitäjät heräävät todellisuuteen, mutta pahoin pelkään että sama meno tulee jatkumaan niin kauan kun ylläpidon vastuussa ovat henkilöt joita nuo asiat eivät kiinnosta, tai ne eivät pitäisi alunperinkään kuulua heille. Osaamattomuuskaan ei pitäisi olla erityinen peruste, koska jos jokin asia kiinnostaa niin ihminen jättää vaikka unet väliin ja opettelee sen asian.
Juu, vastaavia tai lähes vastaavia ympäristöjä varmaan edelleenkin löytyy paljon. Tästä on jo vuosia aikaa mutta eräässä aiemmassa työpaikassa oli meininki liki tuota tasoa, ei oikein mistään tietoturvasta välitetty, oli post-it -lapuilla näytön laidassa tai näppiksen alla salasanoja jne. Nykyisessä duunissa sentään tilanne on parempi, parannettavaa tietty aina on mutta on sentään suurimmassa osassa asioista 2FA käytössä jne ja omissa hommissa palomuureja sun muita käydään säännöllisesti läpi ja suljetaan kaikki ylimääräiset pois, osassa palveluita on geoblokkausta, automaattisesti tapetaan tietyn aikaa käyttämättömät tunnukset pois järjestelmästä jne. Ja tälläkin hetkellä taas suunnitellaan lisää parannuksia tietoturvaan, kuitenkaan hankaloittamatta kohtuuttomasti käyttäjien elämää. Tuo kun on se ongelma, jos liikaa hankaloittaa käyttäjien elämää niin sitten käyttäjät yrittävät keksiä jotain kiertoteitä noille suojauksille.Surullisinta näissä jutuissa on kenties se, että tuon tapaisia ympäristöjä on varmasti vaikka kuinka paljon. Toivottavasti median kautta eri ympäristöjen ylläpitäjät heräävät todellisuuteen, mutta pahoin pelkään että sama meno tulee jatkumaan niin kauan kun ylläpidon vastuussa ovat henkilöt joita nuo asiat eivät kiinnosta, tai ne eivät pitäisi alunperinkään kuulua heille. Osaamattomuuskaan ei pitäisi olla erityinen peruste, koska jos jokin asia kiinnostaa niin ihminen jättää vaikka unet väliin ja opettelee sen asian.
Tätä se on about jokaisessa firmassa, jopa sellaisissa, jotka hetkuttaa tietoturvaa.Se voi olla kulttuuriongelma, vaikka työntekijät olisivat tietoisia ongelmista ja niistä oikeasti välittäisisivät, pitäisi myös pomojen ymmärtää ongelman merkitys. Jos asialla ei voi laskuttaa asiakkaita ja se vaatisi rahaa, jätetään tekemättä.
Kannattaa antaa mm. Shodanille ja Quad9:lle mahdollisuden. Kumpikaan ei näy loppukäyttäjille suoraan ja pahimmassa tapauksessa saattavat pelastaa katastrofin tapahtumasta. Käyttäjiä voi (ja kannattaakin) kiusata (ellette ole jo ) MDR:lla ja AppLockerilla. Itse olen sitä mieltä että kumpikin noista pitäisi nykypäivänä olla de-facto-suoja työasemalla kuin työasemalla.Ja tälläkin hetkellä taas suunnitellaan lisää parannuksia tietoturvaan, kuitenkaan hankaloittamatta kohtuuttomasti käyttäjien elämää.
Tämähän se, tietoturva nähdä monesti vain ikävänä kuluna kunnes...... siitä tulee oikeasti vitun kallis katastrofi jos huonosti käy. Lisäksi ainakin omien havaintojen perusteella sitä johtavaa ja rahoista päättävää tasoa voi pienissä ja keskisuurissakin yrityksissä olla vaikea saada tajuamaan tietoturvan tärkeyttä varsinkin jos firmalla ei ole erityistä lakiosastoa josta joku sanoo että tämä on vielä halpa vrt. Mahd. Sanktiot.Se voi olla kulttuuriongelma, vaikka työntekijät olisivat tietoisia ongelmista ja niistä oikeasti välittäisisivät, pitäisi myös pomojen ymmärtää ongelman merkitys. Jos asialla ei voi laskuttaa asiakkaita ja se vaatisi rahaa, jätetään tekemättä.
Soppaa sekoittavat myös satunnaiset tietoturvavakuutukset joihin uskotaan pelastavan tilanteen kuin tilanteen, samaan aikaan kun X määrä ehtoja paukkuu niin ettei vakuutuksesta ole välttämättä minkälaista hyötyä.Tämähän se, tietoturva nähdä monesti vain ikävänä kuluna kunnes...... siitä tulee oikeasti vitun kallis katastrofi jos huonosti käy. Lisäksi ainakin omien havaintojen perusteella sitä johtavaa ja rahoista päättävää tasoa voi pienissä ja keskisuurissakin yrityksissä olla vaikea saada tajuamaan tietoturvan tärkeyttä varsinkin jos firmalla ei ole erityistä lakiosastoa josta joku sanoo että tämä on vielä halpa vrt. Mahd. Sanktiot.
Vaikka tämä vastaamon tapaus on vastaamon asiakkaiden osalta todella surullinen tapaus niin itse toivon että vastaamosta saadaan varoittava esimerkki tietoturvan tärkeydestä.