Tietoturvauutiset ja blogipostaukset

[Infy]

VMware vRealize Log Insight tuotteessa kriittisiä tietoturva-aukkoja, kriittisyys 9.8 / 10 CVSS-asteikolla , mm. unauthenticated remote code execution, https://www.vmware.com/security/advisories/VMSA-2023-0001.html

 

[mikajh]

Itseäni tuossa tapauksessa ihmetytti kun jossain uutisessa kerrottiin että kun yritti uudestaan niin tulikin eri henkilön tiedot näkyviin

Satunnaisestihan se toimisi kaikkein todennäköisimmin, kun pankin päässä sekoitetaan samaan aikaan tunnistautuvien ihmisten sessiot. Eikö S-Pankilla ollut samanlainen toteutus ja varmaan samat ammattilaisetkin asialla

 

[TenderBeef]

Eikö S-Pankilla ollut samanlainen toteutus

Eikös se ollut ihan toisenlainen keissi? Se oli semmoinen, että jos joku toinen yritti kirjautua toisen tunnuksilla ja tämä toinen henkilö meni hyväksymään vahvistuksen ilman, että vahvisti sen 4-merkkisen turvatunnuksen vastaavaan omalla laitteella ja mihin oli kirjautumassa niin se 3:s osapuoli pääsi sen toisen henkilön tilille. Eikös se mennyt noin? Siinä ongelma oli käyttäjäpäässä (vaikka toki myönnän, että tuollaista toteutusta ei pitäisi tehdä), tässä aktian hommassa ongelma oli pankin päässä.

 

[8540]

Eikös se ollut ihan toisenlainen keissi? Se oli semmoinen, että jos joku toinen yritti kirjautua toisen tunnuksilla ja tämä toinen henkilö meni hyväksymään vahvistuksen ilman, että vahvisti sen 4-merkkisen turvatunnuksen vastaavaan omalla laitteella ja mihin oli kirjautumassa niin se 3:s osapuoli pääsi sen toisen henkilön tilille. Eikös se mennyt noin? Siinä ongelma oli käyttäjäpäässä (vaikka toki myönnän, että tuollaista toteutusta ei pitäisi tehdä), tässä aktian hommassa ongelma oli pankin päässä.

Onko tästä ollut jotain tarkempaa tietoa jossain? Tiedän vain nämä lauseet asiasta: "Tilisiirrot ovat onnistuneet pankin tietojärjestelmässä ollutta haavoittuvuutta hyväksi käyttäen." ja "tekoon ei ole vaadittu asianomistajien myötävaikutusta eli heidän erehdyttämistään".

 

[TenderBeef]

Onko tästä ollut jotain tarkempaa tietoa jossain? Tiedän vain nämä lauseet asiasta: "Tilisiirrot ovat onnistuneet pankin tietojärjestelmässä ollutta haavoittuvuutta hyväksi käyttäen." ja "tekoon ei ole vaadittu asianomistajien myötävaikutusta eli heidän erehdyttämistään".

Omassa muistissani oli viimeisin s-pankki-uutisointi-tapaus:

Tuntemattoman miehen tilitiedot lävähtivät Janin näytölle S-Pankissa – "Äärimmäisen epätodennäköinen sattuma"

S-pankin verkkopalvelussa on viikonloppuna tapahtunut outo sattumus. Keskisuomalaine miehen yritys avata verkkopankkinsa johtikin tuiki tuntemattoman miehen tilitietojen paljastumiseen.

www.mtvuutiset.fi

 

[Infy]

S-Pankista oli joku löytänyt jonkun keinon, jolla pystyi asioimaan toisen henkilön tilillä. Tätä oli sitten suomalainen porukka ruvennut käyttämään hyväksi ja siirtelemään rahaa omille tileilleen.

Tämä S-Pankin tilanteesta tiedetään nyt: 150 tietomurtoa, 53 petosta, miljoonasaalis, asialla kaveriporukka

Poliisi on vanginnut kaksi epäiltyä, joiden lisäksi muutamia muita on ollut kiinniotettuna ja pidätettynä.

Tämä S-Pankin tilanteesta tiedetään nyt: 150 tietomurtoa, 53 petosta, miljoonasaalis, asialla kaveriporukka

Poliisi on vanginnut kaksi epäiltyä, joiden lisäksi muutamia muita on ollut kiinniotettuna ja pidätettynä.

www.is.fi

 

[Agent_007]

Yandexin eri palveluiden lähdekoodeja on laitettu jakoon luvatta. Firma syyttää teosta entistä työntekijää

Yandex denies hack, blames source code leak on former employee

A Yandex source code repository allegedly stolen by a former employee of the Russian technology company has been leaked as a Torrent on a popular hacking forum.

www.bleepingcomputer.com

 

[runboy93]

Älylaitteiden heikko tietoturva sääntelyllä kuriin | Traficom

Kaupan hyllystä mukaan voi tarttua laite, jonka tietoturva on heikko. Tilanne muuttuu 1.8.2024, kun tietoturvavaatimusten vastaiset laitteet voidaan poistaa myynnistä. Tulevaa sääntelyä silmällä pitäen valmistajien, maahantuojien ja myyjien pitää varmistaa tuotteiden tietoturvataso heti.

www.kyberturvallisuuskeskus.fi

Kyberturvallisuuskeskuksen havaintojen mukaan nykylaitteiden tietoturvaa usein heikentävät oletuksena olevat heikot salasanat ja tietoja suojaavan salauksen puuttuminen. Merkittävä ongelma on myös puute ohjelmistopäivityksistä, joilla korjataan laitteesta valmistamisen jälkeen löydettyjä haavoittuvuuksia. Aina tuotteet eivät edes sisällä päivitysmekanismia, joka mahdollistaisi niiden toimittamisen. Valitettavan usein tarjottavat päivitykset myös loppuvat ennen laitteen käyttöiän päättymistä.

Ihan hyviä pointteja, esimerkiksi monissa älypuhelinmalleissa ei välttämättä tule koko olemassaoloajan yhtäkään päivitystä puhelimelle. Saati sitten puhumatta laitteista, joissa ei ole päivitysmahdollisuutta tai ainakaan helpoksi tehty peruskäyttäjälle.

Valmistajien, maahantuojien ja myyjien pitää varmistaa tuotteiden tietoturvataso heti.

Siirtymävaihe on jo menossa, 1.8.2024 lähtien pitää olla käytössä.

 

[Pakana]

Yandexin eri palveluiden lähdekoodeja on laitettu jakoon luvatta. Firma syyttää teosta entistä työntekijää

Yandex denies hack, blames source code leak on former employee

A Yandex source code repository allegedly stolen by a former employee of the Russian technology company has been leaked as a Torrent on a popular hacking forum.

www.bleepingcomputer.com

Sinänsä lähdekoodin vuotaminen nettiin, ei pitäisi itsessään tuottaa minkäänlaista turvallisuusriskiä.

 

[Rollerix]

Sinänsä lähdekoodin vuotaminen nettiin, ei pitäisi itsessään tuottaa minkäänlaista turvallisuusriskiä.

Miksi ei? Onhan silloin paljon helpompi etsiä mahdollisia kohtia koodissa, joita voi hyödyntää hämäriin tarkoituksiin.

 

[kaakau<"'\\/>]

Yandexin eri palveluiden lähdekoodeja on laitettu jakoon luvatta. Firma syyttää teosta entistä työntekijää

Yandex denies hack, blames source code leak on former employee

A Yandex source code repository allegedly stolen by a former employee of the Russian technology company has been leaked as a Torrent on a popular hacking forum.

www.bleepingcomputer.com

Tosta voisi löytyä kaikkea jännää Venäjään liittyen. Millähän kielellä koodikommentit ja muu dokumentaatio on.

 

[Pakana]

Miksi ei? Onhan silloin paljon helpompi etsiä mahdollisia kohtia koodissa, joita voi hyödyntää hämäriin tarkoituksiin.

Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja. Ei sitä nyt oikein turvalliseksi voi sanoa jos turvalliauus perustuu vain siihen että ei ole julkista tietoa luinka systeemi on koodattu.

 

[TenderBeef]

Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja.

JOKAISESSA (vähänkään isomman) projektin koodissa on vikaa. Eikä se, että (avoin) koodi olisi kaikkien luettavissa tarkoita, että siinä ei olisi vikaa tai aukkoja.

 

[Pakana]

JOKAISESSA (vähänkään isomman) projektin koodissa on vikaa. Eikä se, että (avoin) koodi olisi kaikkien luettavissa tarkoita, että siinä ei olisi vikaa tai aukkoja.

Tietysti.

Mutta se turva-aukko on kuitenkin itse siinä koodissa, eikä se että lähdekoodi on salaista tee siitä turvallista.

Siis jos joku murtautuu abloyn tehtaalle ja saa käsiinsä lukon piirustukset ei tee siitä sun kotiovessa olevasta lukosta sen turvattomampaa, koska "lähdekoodi" on turvallinen.

 

[TenderBeef]

se että lähdekoodi on salaista tee siitä turvallista

Eikä avoin koodi itsessään tee siitä turvallista, eli tilanne on siltä osin sama, mutta salaisella koodilla on vähemmän silmäpareja tutkailemassa sitä.

 

[ztec]

Poliisi näköjään jatkaa salttujen palvelujen korkkaamista, tuo on tietysti aika mielenkiintoinen kysymys. Kun on puhuttu siitä kuuluisasta tietoturvasta:

Poliisi mursi salatun viestipalvelun – käyttäjinä myös rikollisia | Verkkouutiset

Poliisi mursi salatun viestipalvelun – käyttäjinä myös rikollisia | Verkkouutiset

www.verkkouutiset.fi

Jos osa käyttäjistä oli rikollisia, oikeuttaako se murtamaan myös muiden salauksen ja liikenteen?

 

[ztec]

OpenSSL taas pikkasen rikki, ilmeisesti hieman paikkausta tulossa:

https://www.openssl.org/news/secadv/20230207.txt

X.400 address type confusion in X.509 GeneralName (CVE-2023-0286)
=================================================================

Severity: High

 

[runboy93]

Reddit-yhteisöpalvelu joutui tietomurron kohteeksi

Hakkerit ovat iskeneet Redditiin ja tunkeutuneet yhteisöpalvelun palvelimille. Kalasteluyritys tuotti tulosta. Yhteisöpalvelu Reddit on joutunut tietom

mobiili.fi

Siinä vielä tiedote:

Reddit - Dive into anything

www.reddit.com

Varmuuden vuoksi vaihdoin salasanan.

 

[ztec]

TerraMaster NAS purkeissa hieno backdoori joka antaa adminin salasanan.
CVE-2022-24990 - GitHub Advisory Database

 

[Obi-Lan]

Onko tämä vielä ollut täällä? Bitlockerin voi mahdollisesti ohittaa paikallisesti. Korjauksena WinRE ympäristö pitää päivittää käsin, ei päivity automaattisesti.

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

 

[user9999]

Apple julkaissut kriittisen päivityksen.

Apple julkaisi korjaavan päivityksen kriittiseen haavoittuvuuteen tuotteissaan | Kyberturvallisuuskeskus

Applen korjaamat haavoittuvuudet koskevat useita Applen laitteita sekä Safari-selainta. Applen julkaisemat päivitykset on syytä asentaa laitteille heti.

www.kyberturvallisuuskeskus.fi

 

[pulatunnus]

Siinä koodissa itsessään on vikaa jos sitä tarkastelemalla löytää aukkoja. Ei sitä nyt oikein turvalliseksi voi sanoa jos turvalliauus perustuu vain siihen että ei ole julkista tietoa luinka systeemi on koodattu.

No lähestytään vähän toisella tavalla.
Jos ne lähdekoodit sisältää ei julkista, tai jopa salaista tietoa, sellaista mitä voi hyödyntää, vihamielisesti.

Tosin jos puhe Yandexista niin tässä nyt varmaan unelmoidaan että sieltä joku löytäisi jotain suunniteltuja, tarkoituksellisia rakenteita tehtynä putinin tarpeisiin.
Sotaan liittyen taasen Ukrainalais mielisia kräkkerietä kiinnostaa jos siellä olisi jotain vinkkejä heidän tarpeisiin.

Siis jos joku murtautuu abloyn tehtaalle ja saa käsiinsä lukon piirustukset ei tee siitä sun kotiovessa olevasta lukosta sen turvattomampaa, koska "lähdekoodi" on turvallinen.

Jos lukitukseen pompataan, niin voi olla eroa onko se lukitus piirustuksineen rosvoilla, vai ei.

Yritän sanoa sitä että jos se lukitus on turvalinen, mutta se on turvallisempi jos rosvo ei tunne sen toteutuksen yksitykohtia, elokuva vertaus jos siinä on kymmenen johto, ja kaksi punaista, niin jos tietää kumpi on se oikea punainen.

 

[EmDzei]

ThioJoe esittelee Youtube-videollaan aika ilkeän harhautustempun kuinka .exe päätteinen tiedosto saadaan näkymään .docx ja myös kuvake on Wordin. Jippona siis kesken tiedostonimen annon kirjoitussuunnan vaihdos oikealta vasemmalle.

Asiaa voisi käsitellä io-Techin poppoo vaikkapa viikottaisessa podcastissään ja ihan varoitusmielessä.

 

[EmDzei]

Saa yhdistää Tietoturvauutisiin. Uutena en keksinyt tätä ja oli jo vaikeuksia päättää mihin uutiseni kirjoitan. Tarkoitus kuitenkin hyvä eli varoittaa muita. Kaipaisin ehkä suoraa kanavaa, jossa heittää uutisideoita suoraan io-Techille. Onko sellaista?

 

[Algron28]

Saa yhdistää Tietoturvauutisiin. Uutena en keksinyt tätä ja oli jo vaikeuksia päättää mihin uutiseni kirjoitan. Tarkoitus kuitenkin hyvä eli varoittaa muita. Kaipaisin ehkä suoraa kanavaa, jossa heittää uutisideoita suoraan io-Techille. Onko sellaista?

Varma @Sampsa tai @Juha Kokkonen osaisi tuohon uutisvinkki asiaan parhaiten kommentoida.

 

[Ormu]

Ei ihan uusi ongelma, mutta varmaan ajankohtainen kyllä.

Kannattaa muistaa, että myös oikeilla Word-tiedostoilla (doc, docx) on levitetty haittaohjelmia haavoittuvuuksien kautta, joten niitäkään ei kannata noin vain aukoa, oli niissä "exe" nimessä tai ei. Mitään roskapostin mukana tulevaa ei ylipäätään pidä avata.

Mitenkäs Windowsin tiedostonhallinta tarkalleen näyttää tuollaiset? Mitä näkyy tyyppi-kentässä? (En jaksa katsoa videota, aloittaja voisi vähän enemmän avata.) Siinä voisi olla Microsoftille mietittävää, olisiko tällainen mahdollista saada kuriin järkevämmällä suunnittelulla.

Toisaalta onko ylipäätään tarpeen, että tällaiset kummajaismerkit sallitaan tiedostonimissä? Ehkä jos käyttöjärjestelmän kieliasetuksista on valittu myös arabia tai heprea, tälle voi jotain käyttöä olla. Länsimaisista käyttäjistä kukaan ei tarvitse tällaista ominaisuutta.

 

[Hyrava]

Ei ihan uusi ongelma, mutta varmaan ajankohtainen kyllä.

Kannattaa muistaa, että myös oikeilla Word-tiedostoilla (doc, docx) on levitetty haittaohjelmia haavoittuvuuksien kautta, joten niitäkään ei kannata noin vain aukoa, oli niissä "exe" nimessä tai ei. Mitään roskapostin mukana tulevaa ei ylipäätään pidä avata.

Mitenkäs Windowsin tiedostonhallinta tarkalleen näyttää tuollaiset? Mitä näkyy tyyppi-kentässä? (En jaksa katsoa videota, aloittaja voisi vähän enemmän avata.) Siinä voisi olla Microsoftille mietittävää, olisiko tällainen mahdollista saada kuriin järkevämmällä suunnittelulla.

Toisaalta onko ylipäätään tarpeen, että tällaiset kummajaismerkit sallitaan tiedostonimissä? Ehkä jos käyttöjärjestelmän kieliasetuksista on valittu myös arabia tai heprea, tälle voi jotain käyttöä olla. Länsimaisista käyttäjistä kukaan ei tarvitse tällaista ominaisuutta.

Ja tuon (ja muidenkin tiedostonimillä kikkailevien huijausten) toimintaahan vielä edesauttaa se että windows oletuksena piilottaa tiedostopäätteet, joka on ihan älytön idea sekin. Mielestäni olisi muutenkin turvallisempaa kun käyttöjärjestelmä ei päättelisi tiedostopäätteen perusteella mikä tiedosto on suorituskelpoinen ja mikä ei, vaan oletuksena kaikki esimerkiksi sähköpostin liitetiedostot voisivat olla sellaisia että suoritus pitää erikseen sallia, vähän kuin *nix-puolella.

 

[Algron28]

Ja tuon (ja muidenkin tiedostonimillä kikkailevien huijausten) toimintaahan vielä edesauttaa se että windows oletuksena piilottaa tiedostopäätteet, joka on ihan älytön idea sekin. Mielestäni olisi muutenkin turvallisempaa kun käyttöjärjestelmä ei päättelisi tiedostopäätteen perusteella mikä tiedosto on suorituskelpoinen ja mikä ei, vaan oletuksena kaikki esimerkiksi sähköpostin liitetiedostot voisivat olla sellaisia että suoritus pitää erikseen sallia, vähän kuin *nix-puolella.

Tuo että suoritus pitää erikseen sallia tuskin hirveästi auttaa tavan käyttäjiä jotka on juuri nitä jotka näihin sähköpostin liitetiedosto viruksiin haksahtaa muutenkin. Ja eikös windows yleensä nytkin varoita kun ollaan suorittamassa jotain tuntematonta/epämääräistä sovellusta mutta todennäköisesti tämä edellä mainittu sakki vastaa kyllä lukematta tai ymmärtämättä varoitusta.

 

[EmDzei]

Tyyppinä (Rerussienhallinta) näkyy sovellus (.exe).

 

[escalibur]

Yksi keino hankaloittaa etukäteen koodattuja scripteja ja macroja, on avata liitetiedostot suoraan selaimella, eikä erillisellä Office-ohjelmalla.

ThioJoe esittelee Youtube-videollaan aika ilkeän harhautustempun kuinka .exe päätteinen tiedosto saadaan näkymään .docx ja myös kuvake on Wordin. Jippona siis kesken tiedostonimen annon kirjoitussuunnan vaihdos oikealta vasemmalle.

Asiaa voisi käsitellä io-Techin poppoo vaikkapa viikottaisessa podcastissään ja ihan varoitusmielessä.

Kyse ei sinänsä ole mistään uutisesta, tai ennennäkemättömästä asiasta. Windowsissa on paljon muitakin hassuja toimintoja, kuten minkä tahansa tiedoston lataaminen internetistä käyttäen Windowsin omaa certutil.exeä. Downloading Files with Certutil - Red Team Notes

Certutil.exe on tarkoitettu sertifikaattien hallintaan.

Esim. Aiemmin Microsoft Teamsin Update.exe ajoi kaikki tiedostot jotka löytyivät ”current” kansiossa. Kikka on tehokas, koska tiedostojen suorittajana on Teamsin oma update.exe-prosessi.




Juuri näiden kikkailujen vuoksi, Windowsia on syytä käyttää rajoitetulla käyttäjätilillä. Se ei pelasta ihan kaikkia tilanteita, mutta se voi silti olla hyödyllinen monessakin tilanteessa.

 

[escalibur]

Paras Microsoft-uutinen moneen kuukauteen:

These updates removed the edition checks for Windows 10, versions 2004, 20H2, and 21H1 and all versions of Windows 11. You can now deploy and enforce AppLocker policies to all of these Windows versions regardless of their edition or management method.

KB5024351—Removal of Windows edition checks for AppLocker - Microsoft Support

support.microsoft.com

Pitää väsäillä aiheesta videon näin pelikone + AppLocker-näkökulmasta.

 

[Agent_007]

EU-komissio bannasi TikTokin laitteissaan

European Commission bans TikTok from corporate devices

The EU executive’s IT service has asked all Commission employees to uninstall TikTok from their corporate devices, as well as the personal devices using corporate apps, citing data protection concerns.

www.euractiv.com

 

[samim]

Arris router vulnerability could lead to complete takeover

A security researcher found an authenticated remote code execution vulnerability in very wide-spread Arris router models.

www.malwarebytes.com

Suomalaisten operaattorien myymissä kaapelimodeemeissa (Arris TG2482A, TG2492, and SBG10) haavoittuvuus. Valmistajan mukaan laitteet ovat vanhoja eikä tukea ole saatavilla.

 

[Hyrava]

Arris router vulnerability could lead to complete takeover

A security researcher found an authenticated remote code execution vulnerability in very wide-spread Arris router models.

www.malwarebytes.com

Suomalaisten operaattorien myymissä kaapelimodeemeissa (Arris TG2482A, TG2492, and SBG10) haavoittuvuus. Valmistajan mukaan laitteet ovat vanhoja eikä tukea ole saatavilla.

Näköjään omakin kaapelimodeemi on haavoittuvien listalla. Pistin asiasta viestiä kaapelimodeemiyhteyteni operaattorille eli Elisalle. Itsellä toki laittesta on tunnukset vaihdettu pois oletuksista ja perässä on verkossa palomuuria sun muuta suojausta että ihan suoraan ei sentään joku hakkeri läpi tule mutta varmaan aika paljon on ihmisiä jotka eivät noista niin paljoa ymmärrä.

 

[JiiPee]

Näköjään omakin kaapelimodeemi on haavoittuvien listalla. Pistin asiasta viestiä kaapelimodeemiyhteyteni operaattorille eli Elisalle. Itsellä toki laittesta on tunnukset vaihdettu pois oletuksista ja perässä on verkossa palomuuria sun muuta suojausta että ihan suoraan ei sentään joku hakkeri läpi tule mutta varmaan aika paljon on ihmisiä jotka eivät noista niin paljoa ymmärrä.

Eihän ne scriptipojut pääsääntöisesti läpi edes halua tulla vaan riittää että saavat korkattua kaikessa hiljaisuudessa esim. tuon purkin ja laittaavat sinne sitten jotain omaa sontaa ajoon esim. botnet zombien jolloin sinä korkeintaan saatat ihmetellä kun netti välillä takkuaa kun scriptipoju dosauttelee sillä sun purkilla jonnekin koko putken täydeltä.

 

[Hyrava]

Eihän ne scriptipojut pääsääntöisesti läpi edes halua tulla vaan riittää että saavat korkattua kaikessa hiljaisuudessa esim. tuon purkin ja laittaavat sinne sitten jotain omaa sontaa ajoon esim. botnet zombien jolloin sinä korkeintaan saatat ihmetellä kun netti välillä takkuaa kun scriptipoju dosauttelee sillä sun purkilla jonnekin koko putken täydeltä.

Juu, ja tuon takia pistinkin operaattorille viestiä että tiedostavat ongelman eikä koko kaapelimodeemikanta muutu bottifarmiksi. Itselle tuon purkin kaappauksesta tuskin tulisi suurta haittaa, jos se rupeaa liikaa tökkimään niin voin vaihtaa toiseen yhteyteen. Kattoo nyt rupeaako Elisa vaihtelemaan kaapelimodeemeitaan toiseen malliin.

 

[Humanoid]

LastPass says employee’s home computer was hacked and corporate vault taken

Already smarting from a breach that stole customer vaults, LastPass has more bad news.

arstechnica.com

LastPassin vuoto tapahtui siten, että DevOps-työntekijän koneelle saatiin ujutettua keyloggeri. LastPass päivitti blogiaan ja kertoi tarkemmin mitä vuodosta vietiin:

- DevOps Secrets – restricted secrets that were used to gain access to our cloud-based
backup storage.
- Cloud-based backup storage – contained configuration data, API secrets, third-party
integration secrets, customer metadata, and backups of all customer vault data. All
sensitive customer vault data, other than URLs, file paths to installed LastPass Windows
or macOS software, and certain use cases involving email addresses, were encrypted using
our Zero knowledge model and can only be decrypted with a unique encryption key
derived from each user’s master password. As a reminder, end user master passwords
are never known to LastPass and are not stored or maintained by LastPass – therefore,
they were not included in the exfiltrated data.
- Backup of LastPass MFA/Federation Database – contained copies of LastPass
Authenticator seeds, telephone numbers used for the MFA backup option (if enabled), as
well as a split knowledge component (the K2 “key”) used for LastPass federation (if
enabled). This database was encrypted, but the separately-stored decryption key was
included in the secrets stolen by the threat actor during the second incident

Toisella sivullaan vuodetusta datasta mainitaan myös "MFA seeds assigned to the user when they first registered their multifactor authenticator of choice to authenticate to the LastPass vault.". Tämä selittää varmaan myös sen miten murtautujat pääsivät DevOps-miehen 2FA:n ohi. Keississä on silti hieman hämäryyksiä, esim. Plexin osalta.

EDIT: Jos kotikoneelta on ollut etäyhteys työkoneeseen eikä sitä ole turvattu tarpeeksi hyvin, Plexin kautta ujutettu loggeri on päässyt kätevästi myös 2FA:n ohi, sillä se ei ole ilmeisesti ollut käytössä jokaisessa kirjautumisessa.

 

[Infy]

Eihän ne scriptipojut pääsääntöisesti läpi edes halua tulla vaan riittää että saavat korkattua kaikessa hiljaisuudessa esim. tuon purkin ja laittaavat sinne sitten jotain omaa sontaa ajoon esim. botnet zombien jolloin sinä korkeintaan saatat ihmetellä kun netti välillä takkuaa kun scriptipoju dosauttelee sillä sun purkilla jonnekin koko putken täydeltä.

Toinen suosittu temppu on puukottaa purkin DNS-palvelinta ja ohjata käyttäjät suosittujen web-palvelujen valesivustoille.

 

[EmDzei]

ThioJoe jatkaa varoittamistaan tällä kertaa OneNotesta. Niksinä on siis laittaa houkuteltava painonappi, jonka alla, piilossa, onkin varsinaiset toimivat linkit. OneNote mahdollistaa siis painaa tuon houkuteltavan painonapin läpi.

 

[TenderBeef]

BlackLotus UEFI bootkit: Myth confirmed

ESET researchers are the first to publish an analysis of BlackLotus, the first in-the-wild UEFI bootkit capable of bypassing UEFI Secure Boot.

www.welivesecurity.com

• It’s capable of running on the latest, fully patched Windows 11 systems with UEFI Secure Boot enabled.
• It exploits a more than one year old vulnerability (CVE-2022-21894) to bypass UEFI Secure Boot and set up persistence for the bootkit. This is the first publicly known, in-the-wild abuse of this vulnerability.
• Although the vulnerability was fixed in Microsoft’s January 2022 update, its exploitation is still possible as the affected, validly signed binaries have still not been added to the UEFI revocation list. BlackLotus takes advantage of this, bringing its own copies of legitimate – but vulnerable – binaries to the system in order to exploit the vulnerability.
• It’s capable of disabling OS security mechanisms such as BitLocker, HVCI, and Windows Defender.
• Once installed, the bootkit’s main goal is to deploy a kernel driver (which, among other things, protects the bootkit from removal), and an HTTP downloader responsible for communication with the C&C and capable of loading additional user-mode or kernel-mode payloads.
• BlackLotus has been advertised and sold on underground forums since at least October 6th, 2022. In this blogpost, we present evidence that the bootkit is real, and the advertisement is not merely a scam.
• Interestingly, some of the BlackLotus installers we have analyzed do not proceed with bootkit installation if the compromised host uses one of the following locales:
  • Romanian (Moldova), ro-MD
  • Russian (Moldova), ru-MD
  • Russian (Russia), ru-RU
  • Ukrainian (Ukraine) , uk-UA
  • Belarusian (Belarus), be-BY
  • Armenian (Armenia), hy-AM
  • Kazakh (Kazakhstan), kk-KZ

Ghacksin juttu aiheesta: https://www.ghacks.net/2023/03/02/w...-blacklotus-uefi-bootkit-defeats-secure-boot/

 

[kurkimies]

Vastaamon Malmin toimipisteessä luotiin vuonna 2012 työasemille salasana ”malmi70” – sitten sitä käytettiin kaikkialla vuosien ajan

 

[escalibur]

Vastaamon Malmin toimipisteessä luotiin vuonna 2012 työasemille salasana ”malmi70” – sitten sitä käytettiin kaikkialla vuosien ajan

Surullisinta näissä jutuissa on kenties se, että tuon tapaisia ympäristöjä on varmasti vaikka kuinka paljon. Toivottavasti median kautta eri ympäristöjen ylläpitäjät heräävät todellisuuteen, mutta pahoin pelkään että sama meno tulee jatkumaan niin kauan kun ylläpidon vastuussa ovat henkilöt joita nuo asiat eivät kiinnosta, tai ne eivät pitäisi alunperinkään kuulua heille. Osaamattomuuskaan ei pitäisi olla erityinen peruste, koska jos jokin asia kiinnostaa niin ihminen jättää vaikka unet väliin ja opettelee sen asian.

 

[Hyrava]

Surullisinta näissä jutuissa on kenties se, että tuon tapaisia ympäristöjä on varmasti vaikka kuinka paljon. Toivottavasti median kautta eri ympäristöjen ylläpitäjät heräävät todellisuuteen, mutta pahoin pelkään että sama meno tulee jatkumaan niin kauan kun ylläpidon vastuussa ovat henkilöt joita nuo asiat eivät kiinnosta, tai ne eivät pitäisi alunperinkään kuulua heille. Osaamattomuuskaan ei pitäisi olla erityinen peruste, koska jos jokin asia kiinnostaa niin ihminen jättää vaikka unet väliin ja opettelee sen asian.

Juu, vastaavia tai lähes vastaavia ympäristöjä varmaan edelleenkin löytyy paljon. Tästä on jo vuosia aikaa mutta eräässä aiemmassa työpaikassa oli meininki liki tuota tasoa, ei oikein mistään tietoturvasta välitetty, oli post-it -lapuilla näytön laidassa tai näppiksen alla salasanoja jne. Nykyisessä duunissa sentään tilanne on parempi, parannettavaa tietty aina on mutta on sentään suurimmassa osassa asioista 2FA käytössä jne ja omissa hommissa palomuureja sun muita käydään säännöllisesti läpi ja suljetaan kaikki ylimääräiset pois, osassa palveluita on geoblokkausta, automaattisesti tapetaan tietyn aikaa käyttämättömät tunnukset pois järjestelmästä jne. Ja tälläkin hetkellä taas suunnitellaan lisää parannuksia tietoturvaan, kuitenkaan hankaloittamatta kohtuuttomasti käyttäjien elämää. Tuo kun on se ongelma, jos liikaa hankaloittaa käyttäjien elämää niin sitten käyttäjät yrittävät keksiä jotain kiertoteitä noille suojauksille.

Täytyy kyllä sanoa että oikein hirvitti kun lueskeli tuota Vastaamo-uutisointia, sen verran suuria kämmejä siinä oli tehty eikä ne olleet yksittäisiä vaan oikeastaan oli pikemminkin sääntö kuin poikkeus että tehtiin asioita turvattomimmalla mahdollisella tavalla eikä edes yritetty.

 

[Infy]

Se voi olla kulttuuriongelma, vaikka työntekijät olisivat tietoisia ongelmista ja niistä oikeasti välittäisisivät, pitäisi myös pomojen ymmärtää ongelman merkitys. Jos asialla ei voi laskuttaa asiakkaita ja se vaatisi rahaa, jätetään tekemättä.

 

[leripe]

Se voi olla kulttuuriongelma, vaikka työntekijät olisivat tietoisia ongelmista ja niistä oikeasti välittäisisivät, pitäisi myös pomojen ymmärtää ongelman merkitys. Jos asialla ei voi laskuttaa asiakkaita ja se vaatisi rahaa, jätetään tekemättä.

Tätä se on about jokaisessa firmassa, jopa sellaisissa, jotka hetkuttaa tietoturvaa.

 

[escalibur]

Ja tälläkin hetkellä taas suunnitellaan lisää parannuksia tietoturvaan, kuitenkaan hankaloittamatta kohtuuttomasti käyttäjien elämää.

Kannattaa antaa mm. Shodanille ja Quad9:lle mahdollisuden. Kumpikaan ei näy loppukäyttäjille suoraan ja pahimmassa tapauksessa saattavat pelastaa katastrofin tapahtumasta. Käyttäjiä voi (ja kannattaakin) kiusata (ellette ole jo ) MDR:lla ja AppLockerilla. Itse olen sitä mieltä että kumpikin noista pitäisi nykypäivänä olla de-facto-suoja työasemalla kuin työasemalla.

Tähänastiset kokemukset ja asiat joita on matkan varrella tullut nähtyä, ovat yksi isoimmista syistä miksi päätin perustaa YouTube-kanavani. Jospa se helpottaisi asioiden ymmärttämistä PowerPointien ja myyntipuheiden ohella. Tietoa löytyy joka nurkasta, mutta sen kuluttaminen vaatii liikaa energiaa ja aikaa asiasta kiinostumattomilta, joten sitä ei sitten myöskään kulututeta.

 

[Algron28]

Se voi olla kulttuuriongelma, vaikka työntekijät olisivat tietoisia ongelmista ja niistä oikeasti välittäisisivät, pitäisi myös pomojen ymmärtää ongelman merkitys. Jos asialla ei voi laskuttaa asiakkaita ja se vaatisi rahaa, jätetään tekemättä.

Tämähän se, tietoturva nähdä monesti vain ikävänä kuluna kunnes...... siitä tulee oikeasti vitun kallis katastrofi jos huonosti käy. Lisäksi ainakin omien havaintojen perusteella sitä johtavaa ja rahoista päättävää tasoa voi pienissä ja keskisuurissakin yrityksissä olla vaikea saada tajuamaan tietoturvan tärkeyttä varsinkin jos firmalla ei ole erityistä lakiosastoa josta joku sanoo että tämä on vielä halpa vrt. Mahd. Sanktiot.

Vaikka tämä vastaamon tapaus on vastaamon asiakkaiden osalta todella surullinen tapaus niin itse toivon että vastaamosta saadaan varoittava esimerkki tietoturvan tärkeydestä.

 

[escalibur]

Tämähän se, tietoturva nähdä monesti vain ikävänä kuluna kunnes...... siitä tulee oikeasti vitun kallis katastrofi jos huonosti käy. Lisäksi ainakin omien havaintojen perusteella sitä johtavaa ja rahoista päättävää tasoa voi pienissä ja keskisuurissakin yrityksissä olla vaikea saada tajuamaan tietoturvan tärkeyttä varsinkin jos firmalla ei ole erityistä lakiosastoa josta joku sanoo että tämä on vielä halpa vrt. Mahd. Sanktiot.

Vaikka tämä vastaamon tapaus on vastaamon asiakkaiden osalta todella surullinen tapaus niin itse toivon että vastaamosta saadaan varoittava esimerkki tietoturvan tärkeydestä.

Soppaa sekoittavat myös satunnaiset tietoturvavakuutukset joihin uskotaan pelastavan tilanteen kuin tilanteen, samaan aikaan kun X määrä ehtoja paukkuu niin ettei vakuutuksesta ole välttämättä minkälaista hyötyä.

 

[Pah0lain3]

Kyllä asiaa kerrotte. Tykkään, vaikken itse tälläistä työtä teekkään missään mutta ymmärrän jotenkuten tuon monien huolenaiheen. Harmittavaa että kaikessa pitää aina mennä kantapään kautta. Luulen että syynä melkein aina on raha. Sitten maksellaankin myöhemmin huomattavasti kalliimpia opppirahoja.

Vastaamosta tuli erinomainen esimerkki ja onneksi se saa nyt runsaasti näkyvyy vaikkakin samalla se on äärimmäisen surullista monelle. 400e luki jossain uutisessa että oli satsattu IT-asioihin joidenkin vuosien aikana ja se kuulostaa aika mitättömältä. Jossain yhden naisen/miehen nakkikioskissa voisin tuon vielä jotenkin summan suuruuden ymmärtää mutta Vastaamon kaltaisessa en ihan.

 

[Hyrava]

Juu, tuo Vastaamon keissi oli kyllä ihan katastrofi, oikeastaan kaikki mikä voi olla pielessä oli pielessä.

Kyllä meilläkin nousi hirveä valitus kun otettiin eräässä palvelussa 2FA käyttöön "kun on niin hirveän hankalaa" (2FA-kirjautuminen on 2vk voimassa, sinä aikana pelkkä salasana riittää) mutta kun valittajille asiallisesti selitti että olisiko se kivaa että teidän luottamuksellista dataa voisi vaikka kilpailija katsella arvaamalla salasanan niin kummasti tuli kiitosta että ei pääse ulkopuoliset niin helposti dataan käsiksi. Toki meillä vähän liioiteltiin noita riskejä tiedotteessa jne mutta se tuntuu toimivan paremin ja ihmiset hyväksyvät esim 2FA:n kun oikeasti korostaa (välillä olemattomiakin) riskejä.

Ja näin ihan yleisesti, katsokaa että (vähintäänkin security-) päivitykset on ajettu, palomuurit on ajantasalla ja firmasta poistuneiden työntekijöiden tunnarit tapetaan nopeasti, noillakin jo parantaa tietoturvaa huomattavasti tuosta "Vastaamo" -tasosta.