Tietoturvauutiset ja blogipostaukset

[ztec]

Mistä toi testi löytyy?

Am I Unique ?

Check if your browser has a unique fingerprint, how identifiable you are on the Internet

www.amiunique.org

Edit, lisätään vielä toinenkin klassikko:

Cover Your Tracks

See how trackers view your browser

coveryourtracks.eff.org

Yksityisyys oppaasta on julkaistu myös uusi versio pari päivää sitten. Tämä perustietoa, joka jokaisen pitäisi lukea ja ymmärtää, ennen kuin osallistuu tietoturva keskusteluihin.
The Hitchhiker’s Guide to Online Anonymity

 

[kaakau<"'\\/>]

Ja pikaisella testauksella tuli heti hylsyä tuon suhteen. Ei kyllä yllätä, niin tulee Tor-browserillakin. Kumpikaan ei siis oikeasti aja asiaansa.

Tor-Browserille tulee jos pitää JavaScriptin päällä näköjään. Estettynä tulee no:ta. Oletus toki on, että on sallittuna ja sillä on merkitystä.

 

[SamCer]

Tor-Browserille tulee jos pitää JavaScriptin päällä näköjään. Estettynä tulee no:ta. Oletus toki on, että on sallittuna ja sillä on merkitystä.

Muistanko oikein, et Tor-browserin ikkunan kokoa ei saanu säätää, jos halus pitää tuon fingerpritin sellasena, että sitä ei voi yksilöidä?

 

[kaakau<"'\\/>]

Muistanko oikein, et Tor-browserin ikkunan kokoa ei saanu säätää, jos halus pitää tuon fingerpritin sellasena, että sitä ei voi yksilöidä?

Voi olla, ainakin mulla se aukeaa aina näköjään 1000x985-kokoisena.

 

[SamCer]

Voi olla, ainakin mulla se aukeaa aina näköjään 1000x985-kokoisena.

Itellä on joku hämärä kuva, että se antoi joskus aikoinaan jopa varoituksen, jos sitä ikkunan kokoa meni muuttamaan. Siittä on tosin todella pitkä aika kun on ollu tarvetta käyttää sitä.

 

[ojisama]

Itellä on joku hämärä kuva, että se antoi joskus aikoinaan jopa varoituksen, jos sitä ikkunan kokoa meni muuttamaan. Siittä on tosin todella pitkä aika kun on ollu tarvetta käyttää sitä.

Viewportin koko on yksi tunnistusperuste, joskin oletettavasti harvemmin itsenään uniikki.

 

[Humanoid]

Jos haluaa estää tunnistusta tehokkaasti, kannattaa käyttää jotain muuta kuin Chrome/Chromium-pohjaista selainta: GitHub - z0ccc/extension-fingerprints: Check how trackable you are based on your browser extensions.

 

[ztec]

Viewportin koko on yksi tunnistusperuste, joskin oletettavasti harvemmin itsenään uniikki.

Se voi olla hyvinkin uniikki. Esim. fonttikoko, fontti, jne kaikki vaikuttaa siihen. Millaiset tool barit on käytössä tms. Eli joo, ei välttämättä sinänsä uniikki, mutta silti kuitenkin "hyvin harvinainen", eli tyyliin alle 1% todennäköisyys. Itseasiassa, paljon pahempi kuin tuo mun heittämä arvaus 1%.

Noistakin hiteistä mitkä tohon on laskettu, saattaa olla 1-2 mun omia. Eli voi olla täysin uniikki. Ja tuollakin luvulla toi on siis yksi sadastatuhannesta käyttäjästä tms.

Suora poiminta testistä:

Screen width	0.11%	3072
Screen height	0.10%	1728

 

[=JP=]

Ihan mukava lisäys tulossa Android puolelle, eli käyttäjä voi vaatia tietojen poistoa suoraan sovelluksesta taikka jotain muuta kautta vaikka olisi jo poistanut sovelluksen.

Understanding Google Play’s app account deletion requirements - Play Console Help

Google Play’s data deletion badge and Data deletion area within the Data safety section give users a new set of transparency and controls over their user data while providing developers a way to showc

support.google.com

Our policy requires that if your app allows users to create an account from within your app, then it must also allow users to request for their account to be deleted.

Googlelta uusi vaatimus Android-sovelluksille – helpottaa käyttäjän tietojen poistamista

Android-käyttäjät voivat pian poistaa sovellusten itsestään tallentamia tietoja aiempaa helpommin. Google valmistelee sovelluskehittäjiä velvoittavaa

mobiili.fi

 

[escalibur]

USA:n hallinto on ryhtymässä jonkinlaisiin toimenpiteisiin venäläistä Kasperskyä vastaan.

US weighs action against Russian cybersecurity firm Kaspersky Lab -WSJ

The U.S. Department of Commerce is weighing an enforcement action against Russian cybersecurity company Kaspersky Lab, the Wall Street Journal reported on Friday citing people familiar with the matter.

www.reuters.com

Yritystä on aiemminkin epäilty sidoksista venäläiseen hallintoon, mutta ilmeisesti näytteet asiasta olivat aika rajalliset. Saa nähdä miten nyt käy, vaikka yrityksen tulevaisuus (ja uskottavuus) länsimaissa on enemmän kuin epävarma. Kaspersky on aiemminkin tarjonnut lähdekoodinsa tarkistamista Kaspersky Transparency Center | Kaspersky mutta kyse voi olla pelkästä näytelmästäkin.

Yhtiö on kuitenkin verovelvollinen Venäjään, joten se voi monille olla ylitsepääsemätön asia oli se kuinka ”läpinäkyvä” tahansa.

 

[leripe]

Onhan F-Securen (WithSecuren) tuotteidenkin kehitystä ja koodausta tehty osittain venäjällä. En tiedä tehdäänkö vieläkin.
Ei se silti suoraan tarkoita mitään, mutta toki hieman eri tilanne kuin Kaspersky.

 

[Algron28]

Kaspersky:n kohdalla vaan taitaa olla se että on valtiollisesti kiinnostava yritys ja Venäjällä yritysten on pakko tehdä yhteistyötä valtion kanssa tai..... Varsinkin nykyään.

 

[debuggeri]

Am I Unique ?

Check if your browser has a unique fingerprint, how identifiable you are on the Internet

www.amiunique.org

Edit, lisätään vielä toinenkin klassikko:

Cover Your Tracks

See how trackers view your browser

coveryourtracks.eff.org

Yksityisyys oppaasta on julkaistu myös uusi versio pari päivää sitten. Tämä perustietoa, joka jokaisen pitäisi lukea ja ymmärtää, ennen kuin osallistuu tietoturva keskusteluihin.
The Hitchhiker’s Guide to Online Anonymity

Lueskelin hieman tuota, peli taitaa olla menetetty.
”Wear sunglasses in addition to the facemask and baseball cap to mitigate identification from your eye’s features.”

 

[Obi-Lan]

Liekkö suurin ongelma Kasperskyn kanssa, jos se lataa koneelta palvelimelle epäilyttävän tiedoston lisätarkistusta varten ja se sattuukin olemaan vaikka US salainen asiakirja mikä ladataan venäläiselle palvelimelle "tarkistettavaksi" virusten varalta.

 

[ztec]

Lueskelin hieman tuota, peli taitaa olla menetetty.
”Wear sunglasses in addition to the facemask and baseball cap to mitigate identification from your eye’s features.”

Ei ole valitettavasti vitsi. Jo vuonna 2015 uutisoitiin, että silmän skannaus onnistuu 12 metrin päästä ja tuosta on kohta 10 vuotta, joten voisi olettaa, että nykyjään se onnistuu vielä reilusti kaueampaa paikoissa joissa em. laitteet on asennettu. Mikään ei estä tekemästä tuota suoraan valvontakameroiden yhteydessä.

Retina skanni on tehty ja testattu. Mutta se ei onnistu kaukaa vaan pitää lukea hyvin läheltä ja oikeasta kohdasta. Oli ihan mielenkiintoinen kokemus, kuvat ja fingerpritin sai myös omaan talteen.

 

[=JP=]

Tällä kertaa MSI on joutunut hakkereiden kohteeksi, mutta MSI ei ole kertonut mihin on päästy käsiksi, mutta varoittelee käyttäjiä lataamasta BIOS/firmware tiedostoja muualta kuin virallisilta sivuilta...

Taiwanese PC Company MSI Falls Victim to Ransomware Attack

Taiwanese PC company MSI confirms cyber attack on its systems and urges users to only download firmware/BIOS updates from its official website.

thehackernews.com

- MSI did not disclose any specifics about when the attack took place and if it entailed the exfiltration of any proprietary information, including source code.
- MSI is further urging users to obtain firmware/BIOS updates only from its official website, and refrain from downloading files from other sources.

MSIn oma virallinen tiedote:

MSI Global - The Leading Brand in High-end Gaming & Professional Creation

As a world leading gaming brand, MSI is the most trusted name in gaming and eSports. We stand by our principles of breakthroughs in design, and roll out the amazing gaming gear like motherboards, graphics cards, laptops and desktops.

www.msi.com

 

[Infy]

Nexx älykotilaitteista löydetty jos jonkinmoista aukkoa. Esim. kovakoodattu salasana, millä autotallin oven avaajaan pääsee käsiksi toiselta puolelta planeettaa. Valmistajaan ei ole saatu yhteyttä asian korjaamiseksi.

The Uninvited Guest: IDORs, Garage Doors, and Stolen Secrets

Uncovering Critical Security Flaws in Nexx’s Smart Devices: Garage Doors, Alarms, and Plugs at Risk

medium.com

 

[=JP=]

Applelta tullut korjauksia jotka tulisi asentaa heti, päivitykset on tullut jo viimeviikolla...

Kriittisiä haavoittuvuuksia Applen tuotteissa - päivitä heti | Kyberturvallisuuskeskus

Uusia ja kriittisiä päivityksiä Applen iOS, macOS Ventura, macOS Monterey, macOS Big sur ja iPadOS-laitteissa, sekä Safari verkkoselaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.

www.kyberturvallisuuskeskus.fi

Uusia ja kriittisiä päivityksiä Applen iOS, macOS Ventura, macOS Monterey, macOS Big sur ja iPadOS-laitteissa, sekä Safari verkkoselaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.

 

[runboy93]

Kodi Informs Forum Users of Data Breach Impacting Credentials

Kodi has informed its forum users that hackers using the account of an inactive administrator have exfiltrated user data from its servers.

restoreprivacy.com

Media streaming software vendor Kodi has informed its forum users that hackers using the account of an inactive administrator have exfiltrated user data from its servers.

The stolen data includes posts that users published on the forums, direct messages they exchanged on the platform, email addresses, and passwords in non-cleartext form.

Based on stats shared by Kodi recently, its forums had 401,000 registered members and roughly three million posts. Unfortunately, all that data is already advertised for sale on hacker forums, and Kodi’s admins confirmed that the shared data samples are authentic.

Tunnareiden salisten vaihto vasta kun uus serveri tulilla, eivät kiirettä näemmä pidä.

 

[escalibur]

Edit: Eipä mitään sittenkään...

 

[Agent_007]

Montanan osavaltio on hyväksymässä täyden Tiktok-kiellon, jonka on tarkoitus alkaa ensi vuoden alussa. Enää Kuvernööri Greg Gianfortenin allekirjoitus uupuu

https://www.npr.org/2023/04/14/1170204627/montana-becomes-1st-state-to-approve-a-full-ban-of-tiktok

Yhdysvallat | Montana kielsi Tiktokin ensimmäisenä osavaltiona Yhdysvalloissa

Yhdysvalloissa vaaditaan jopa koko maanlaajuista kieltoa Tiktokille, jonka käyttäjätietojen pelätään valuvan Kiinan valtiolle.

www.hs.fi

 

[=JP=]

Chromesta löytynyt tietoturva reikä, joka vaatii päivitystä, myös sen engineen perustuvat selaimet (esim. Opera, Vivaldi, Edge) vaatii päivitystä...

Google Releases Urgent Chrome Update to Fix Actively Exploited Zero-Day Vulnerability

Google addresses actively exploited Chrome zero-day flaw (CVE-2023-2033) in an out-of-band update

thehackernews.com

- Tracked as CVE-2023-2033, the high-severity vulnerability has been described as a type confusion issue in the V8 JavaScript engine.
- The tech giant acknowledged that "an exploit for CVE-2023-2033 exists in the wild,"
- Users are recommended to upgrade to version 112.0.5615.121 for Windows, macOS, and Linux to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.

 

[runboy93]

Tullut juuri tänään Vivaldi androidiin ainakin päivitys, ja myös ilmeisesti työpöytäversioon (työpöydäl itse käytän LibreWolf)

Minor update(4) for Vivaldi Android Browser 5.7 | Vivaldi Browser

This update includes a security fix for CVE-2023-2033 from the Chromium project.

vivaldi.com

Minor update (4) for Vivaldi Desktop Browser 5.7 | Vivaldi Browser

This update includes a security fix for CVE-2023-2033 from the Chromium project.

vivaldi.com

 

[user9999]

Microsoft Edge selaimeen löytyy päivitys.

Release notes for Microsoft Edge Security Updates

Release notes for Microsoft Edge Security Updates

learn.microsoft.com

April 14, 2023
Microsoft has released the latest Microsoft Edge Stable Channel (Version 112.0.1722.48). This update contains a fix for CVE-2023-2033, which has been reported by the Chromium team as having an exploit in the wild. For more information, see the Security Update Guide.

 

[Infy]

Tässä esillä olleet Apple-laitteiden ja Chromium-selainten tietoturva-aukot ovatkin juuri sellaisia, mitä kaupallisesti saatavilla olevat vakoiluohjelmat käyttävät hyväkseen. Tuommoiset ohjelmat ottavat haltuun käyttäjän puhelimen antaen pääsyyn kaikkeen siinä oleviin tietoihin ja mahdollistavat reaaliaikaisen vakoilun kameran ja mikrofonin kautta. Kaappaus voi tapahtua esim. tekstiviestillä, jossa on linkki sivulle joka hyödyntää selaimessa olevaa tietoturva-aukkoa. On myös mahdollista, että kaappaus voidaan tehdä täysin käyttäjän sitä havaitsematta, esim. viime kuussa esiin tullut Samsung Exynos modeemien haavoittuvuus oli tällainen.

Ylellä aiheesta dokkari Vakoilija puhelimessa

Dokkarin mukaan NSO Groupin Pegasus vakoiluohjelma myytiin viiteentoista EU-maahan. Ainakin Espanja, Puola ja Unkari mainittu. Espanja ilmeisesti vakoili sillä Katalonian itsenäisyyttä kannattavia poliitikkoja. EU-parlamentissa muutamat mepit nostivat asian esille, mutta kiinnostus asiaan oli laimeaa, ja heille tultiin heristelemään sormea, että tekevät asiasta liian suuren numeron.

Vaikka tuosta NSO-jutusta on pari vuotta, ei tilanne ole parantunut. Vaikka NSO Group on ilmeisesti lopettanut toimintansa, on uusia toimijoita tullut tilalle: DEV-0196: QuaDream’s “KingsPawn” malware used to target civil society in Europe, North America, the Middle East, and Southeast Asia - Microsoft Security Blog

Hiljattain esim. Kreikan valtiota syytettiin vakoilusta kansalaisiaan vastaan Greek government faces confidence vote over spying row jossa käytettiin kaupallista Israelilaista Predator -vakoiluohjelmaa.

 

[runboy93]

Chromesta löytynyt tietoturva reikä, joka vaatii päivitystä, myös sen engineen perustuvat selaimet (esim. Opera, Vivaldi, Edge) vaatii päivitystä...

Google Releases Urgent Chrome Update to Fix Actively Exploited Zero-Day Vulnerability

Google addresses actively exploited Chrome zero-day flaw (CVE-2023-2033) in an out-of-band update

thehackernews.com

- Tracked as CVE-2023-2033, the high-severity vulnerability has been described as a type confusion issue in the V8 JavaScript engine.
- The tech giant acknowledged that "an exploit for CVE-2023-2033 exists in the wild,"
- Users are recommended to upgrade to version 112.0.5615.121 for Windows, macOS, and Linux to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.

Lisää hätäkorjauksia chromelle:

https://www.ghacks.net/2023/04/19/google-releases-another-emergency-security-update-for-chrome/

Once updated, the following versions should be listed on the About Google Chrome page:

• Google Chrome for Windows: 112.0.5615.137 or 112.0.5615.138
• Google Chrome for Mac or Linux: 112.0.5615.137
• Google Chrome for Android: 112.0.5615.135 or 112.0.5615.136

Security issue CVE-2023-2136 is exploited in the wild, according to Google. Public information is limited at this point, but Skia refers to a component of Chrome that is responsible for "nearly all graphics operations, including text rendering" according to the Chromium design documents.

 

[Ormu]

Mielenkiintoinen aukko löydetty WiFi standardista, etenkin yrityksille paha, teollisuusvakoilu jne...

WiFi protocol flaw allows attackers to hijack network traffic

Cybersecurity researchers have discovered a fundamental security flaw in the design of the IEEE 802.11 WiFi protocol standard, allowing attackers to trick access points into leaking network frames in plaintext form.

www.bleepingcomputer.com

Cybersecurity researchers have discovered a fundamental security flaw in the design of the IEEE 802.11 WiFi protocol standard, allowing attackers to trick access points into leaking network frames in plaintext form.

The researchers report that network device models from Lancom, Aruba, Cisco, Asus, and D-Link are known to be affected by these attacks

The researchers warn that these attacks could be used to inject malicious content, such as JavaScript, into TCP packets.

While this attack could also be used to snoop on traffic, as most web traffic is encrypted using TLS, there would be a limited impact.

Koko wifi-standardi tuntuu olevan melkoista kuraa, kun näitä haavoittuvuuksia on ollut aika paljon.

 

[ztec]

Olin ihan varma, että joku olis jo postannut tän tänne, mutta ei näköjään. Meinasin jo eilen postata etukäteen. Katsaus Suomen kyberturvallisuuteen. Tosin eipä tuossa mitään uutta niille ole jotka on asioita seurannut aktiivisesti vuosikymmenen tai useammankin.

> Traficomin Kyberturvallisuuskeskuksen ja Suojelupoliisin mediatilaisuus. Traficomin pääjohtaja Kirsi Karlamaa ja Suojelupoliisin päällikkö Antti Pelttari kertovat ajankohtaisista kyberturvallisuuden asioista Suomessa ja lähialueilla. Paikalla on myös kyberturvallisuuden asiantuntijoita Traficomin Kyberturvallisuuskeskuksesta.

Mikä on Suomen kyberturvallisuuden taso? | Yle Uutiset suora

Traficomin Kyberturvallisuuskeskuksen ja Suojelupoliisin mediatilaisuus. Traficomin pääjohtaja Kirsi Karlamaa ja Suojelupoliisin päällikkö Antti Pelttari kertovat ajankohtaisista kyberturvallisuuden asioista Suomessa ja lähialueilla. Paikalla on myös kyberturvallisuuden asiantuntijoita...

areena.yle.fi

 

[=JP=]

Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...

The Most Dangerous Codec in the World: Finding and Exploiting Vulnerabilities in H.264 Decoders | USENIX

www.usenix.org

Modern video encoding standards such as H.264 are a marvel of hidden complexity. But with hidden complexity comes hidden security risk. Decoding video in practice means interacting with dedicated hardware accelerators and the proprietary, privileged software components used to drive them. The video decoder ecosystem is obscure, opaque, diverse, highly privileged, largely untested, and highly exposed—a dangerous combination.

We introduce and evaluate H26FORGE, domain-specific infrastructure for analyzing, generating, and manipulating syntactically correct but semantically spec-non-compliant video files. Using H26FORGE, we uncover insecurity in depth across the video decoder ecosystem, including kernel memory corruption bugs in iOS, memory corruption bugs in Firefox and VLC for Windows, and video accelerator and application processor kernel memory bugs in multiple Android devices.

Suurin osa jo löydetyistä ongelmista on korjattu päivityksillä kyseisiin ohjelmiin/laitteisiin, mutta tottakai riski löytää uusia on jatkuva.

Aikas pelottava ajatus on, että vain katsomalla jokin video, voidaan saada aikaan jotain ilkeää...

 

[=JP=]

Garmin älylaitteiden tietoturvatasossa on korjattavaa...

Compromising Garmin's Sport Watches: A Deep Dive into GarminOS and its MonkeyC Virtual Machine - Anvil Secure

I reversed the firmware of my Garmin Forerunner 245 Music back in 2022 and found a dozen or so vulnerabilities in their support for Connect IQ applications. They can be exploited…

www.anvilsecure.com

TL;DR: I reversed the firmware of my Garmin Forerunner 245 Music back in 2022 and found a dozen or so vulnerabilities in their support for Connect IQ applications. They can be exploited to bypass permissions and compromise the watch. I have published various scripts and proof-of-concept apps to a GitHub repository. Coordinating disclosure with Garmin, some of the vulnerabilities have been around since 2015 and affect over a hundred models, including fitness watches, outdoor handhelds, and GPS for bikes.

 

[Ormu]

Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...

The Most Dangerous Codec in the World: Finding and Exploiting Vulnerabilities in H.264 Decoders | USENIX

www.usenix.org

Modern video encoding standards such as H.264 are a marvel of hidden complexity. But with hidden complexity comes hidden security risk. Decoding video in practice means interacting with dedicated hardware accelerators and the proprietary, privileged software components used to drive them. The video decoder ecosystem is obscure, opaque, diverse, highly privileged, largely untested, and highly exposed—a dangerous combination.

We introduce and evaluate H26FORGE, domain-specific infrastructure for analyzing, generating, and manipulating syntactically correct but semantically spec-non-compliant video files. Using H26FORGE, we uncover insecurity in depth across the video decoder ecosystem, including kernel memory corruption bugs in iOS, memory corruption bugs in Firefox and VLC for Windows, and video accelerator and application processor kernel memory bugs in multiple Android devices.

Suurin osa jo löydetyistä ongelmista on korjattu päivityksillä kyseisiin ohjelmiin/laitteisiin, mutta tottakai riski löytää uusia on jatkuva.

Aikas pelottava ajatus on, että vain katsomalla jokin video, voidaan saada aikaan jotain ilkeää...

Jotkut, jotka asioista luulevat ymmärtävänsä, väittävät usein, ettei video- tai äänitiedoston avulla voi toimittaa haittaohjelmaa, mutta tässä taas esimerkki siitä, että kyllä se on mahdollista, kun sopiva haavoittuvuus löytyy.

 

[kaakau<"'\\/>]

Jotkut, jotka asioista luulevat ymmärtävänsä, väittävät usein, ettei video- tai äänitiedoston avulla voi toimittaa haittaohjelmaa, mutta tässä taas esimerkki siitä, että kyllä se on mahdollista, kun sopiva haavoittuvuus löytyy.

Itsellänikin on tiukat Apparmor-profiilit käyttämilleni kuva- ja video-ohjelmille, PDF-lukijoille yms.

 

[Ormu]

Ylellä aiheesta dokkari Vakoilija puhelimessa

Dokkarin mukaan NSO Groupin Pegasus vakoiluohjelma myytiin viiteentoista EU-maahan. Ainakin Espanja, Puola ja Unkari mainittu. Espanja ilmeisesti vakoili sillä Katalonian itsenäisyyttä kannattavia poliitikkoja. EU-parlamentissa muutamat mepit nostivat asian esille, mutta kiinnostus asiaan oli laimeaa, ja heille tultiin heristelemään sormea, että tekevät asiasta liian suuren numeron.

Vaikka tuosta NSO-jutusta on pari vuotta, ei tilanne ole parantunut. Vaikka NSO Group on ilmeisesti lopettanut toimintansa, on uusia toimijoita tullut tilalle: DEV-0196: QuaDream’s “KingsPawn” malware used to target civil society in Europe, North America, the Middle East, and Southeast Asia - Microsoft Security Blog

Hiljattain esim. Kreikan valtiota syytettiin vakoilusta kansalaisiaan vastaan Greek government faces confidence vote over spying row jossa käytettiin kaupallista Israelilaista Predator -vakoiluohjelmaa.

Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.

 

[Humanoid]

Microsoft Edge vuotaa kaikki URL:it oletuksena Microsoftille uuden toiminnallisuuden kautta joka on automaattisesti päällä. Jokainen URL jossa et ole ennen käynyt kierrätetään bingapis.com -saitin kautta.

Microsoft Edge is leaking the sites you visit to Bing

Microsoft says it’s investigating reports of an Edge privacy issue.

www.theverge.com

Until Microsoft completes its investigation and presumably patches this problem, we’d highly recommend turning off the “follow creators” feature in Microsoft Edge. Chances are you never knew it existed and will never use it, so it’s not a function you’re likely to miss. To do so, navigate to Settings, choose the Privacy, Search and Services tab, and scroll down to Services. Toggle off the switch beside Show suggestions to follow creators in Microsoft Edge, and you should be fine.

 

[Infy]

Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.

Yksi esimerkki puhelimen kaappaamisesta ilman käyttäjän toimia on StageFright haavoittuvuus vuodelta 2015. Siinä Android puhelimien mediakirjastossa oleva haavoittuvuus altisti ne suorittamaan ohjelmaakoodia tietyssä tilanteessa hyökkääjän lähettämästä MMS-multimediaviestistä. MMS-viestin koodinpätkä sitten voisi ladata hyökkääjän omalta palvelimelta varsinaisen vakoiluohjelman ja asentaa sen puhelimeen. Stagefright (bug) - Wikipedia

Jos haavoittuvuuden kautta pääsee ajamaan koodia root-oikeuksin, ei käyttäjä voi sitä havaita ja hyökkääjällä on täysi pääsy puhelimen tietoihin. Ellei sitten roottaa omaa puhelintaan ja katso mitä kaikkea siellä tapahtuu.

NSO Groupin kaltaisilla toimijoilla on kasapäin työntekijöitä etsimässä Android ja Applen käyttöjärjestelmistä haavoittuvuuksia, joita voi hyväksikäyttää. Tietysti myös valtiolliset tiedustelupalvelut harrastavat samaa toimintaa.

 

[kuukie]

Tuo oli ihan hyvä dokumentti. Enemmän olisin kaivannut asiaa siitä, miten vakoiluohjelma ujutetaan puhelimiin. Kyllä sitä vähän käsiteltiinkin, mutta yleisempi keskustelu siitä, kuinka surkealla tasolla tietoturva yleisesti on, kun tuosta vain voidaan koko puhelin kaapata, olisi ollut ihan tervetullutta.

Dokkaria en ole katsonut mutta ainakin juuri tuota Pegasosta on asennettu iPhoneihin Whatsapp 0-day haavaa hyväksikäyttäen ilman käyttäjän toimia.

 

[user9999]

Applellä on tuo Lockdown mode, mutta käyttääkö sitä henkilöt joihin voi kohdistua hyökkäyksiä.

Apple’s high security mode blocked NSO spyware, researchers say | TechCrunch

Apple has fixed the three exploits used to deploy the Pegasus spyware, which did not require any interaction from the target.

techcrunch.com

Triple Threat: NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains - The Citizen Lab

In 2022, the Citizen Lab gained extensive forensic visibility into new NSO Group exploit activity after finding infections among members of Mexico’s civil society, including two human rights defenders from Centro PRODH, which represents victims of military abuses in Mexico.

citizenlab.ca

 

[kuukie]

Applellä on tuo Lockdown mode, mutta käyttääkö sitä henkilöt joihin voi kohdistua edistyksellisiä hyökkäyksiä.

Apple’s high security mode blocked NSO spyware, researchers say | TechCrunch

Apple has fixed the three exploits used to deploy the Pegasus spyware, which did not require any interaction from the target.

techcrunch.com

Triple Threat: NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains - The Citizen Lab

In 2022, the Citizen Lab gained extensive forensic visibility into new NSO Group exploit activity after finding infections among members of Mexico’s civil society, including two human rights defenders from Centro PRODH, which represents victims of military abuses in Mexico.

citizenlab.ca

Oletusarvoisesti toivottavasti tälläisten henkilöiden laitteiden tietoturvasta vastaavat osaavat tahot eivätkä käyttäjät itse

 

[escalibur]

Oletusarvoisesti toivottavasti tälläisten henkilöiden laitteiden tietoturvasta vastaavat osaavat tahot eivätkä käyttäjät itse

Ehkä, ehkä ei.

Ministeri paljasti MTV:llä hallitusviisikon Whatsapp-ringin – ”Tällaisiin palveluihin liittyy tietoturvahaasteita”

Hallitus käyttää omaa Whatsapp-ryhmää.

www.iltalehti.fi

Ministeri Mika Lintilä kertoo, ettei Whatsapp-tiliä vietykään: ”Kaappaus-sanan käyttö oli ehkä liian vahvaa ylireagointia”

Eduskunnan selvityksessä ei kuitenkaan pystytty sulkemaan pois Lintilän sometilin rinnakkaiskäyttöä.

yle.fi

Mielenkiintoista että WhatsAppin käyttö on ylipäättäen sallittu, etenkin alla olevien tapahtumienkin jälkeen.

Jeff Bezos hack: Amazon boss's phone 'hacked by Saudi crown prince'

Exclusive: investigation suggests Washington Post owner was targeted five months before murder of Jamal Khashoggi

www.theguardian.com

 

[leripe]

Ehkä, ehkä ei.

Ministeri paljasti MTV:llä hallitusviisikon Whatsapp-ringin – ”Tällaisiin palveluihin liittyy tietoturvahaasteita”

Hallitus käyttää omaa Whatsapp-ryhmää.

www.iltalehti.fi

Ministeri Mika Lintilä kertoo, ettei Whatsapp-tiliä vietykään: ”Kaappaus-sanan käyttö oli ehkä liian vahvaa ylireagointia”

Eduskunnan selvityksessä ei kuitenkaan pystytty sulkemaan pois Lintilän sometilin rinnakkaiskäyttöä.

yle.fi

Mielenkiintoista että WhatsAppin käyttö on ylipäättäen sallittu, etenkin alla olevien tapahtumienkin jälkeen.

Jeff Bezos hack: Amazon boss's phone 'hacked by Saudi crown prince'

Exclusive: investigation suggests Washington Post owner was targeted five months before murder of Jamal Khashoggi

www.theguardian.com

Kannattaa muistaa, että poliitikot ja kansanedustajat ovat käytännössä yksityisjenkilöitä tai ainakin kokevat itsensä sellaisiksi.

 

[Seppo77]

Ehkä, ehkä ei.

Ministeri paljasti MTV:llä hallitusviisikon Whatsapp-ringin – ”Tällaisiin palveluihin liittyy tietoturvahaasteita”

Hallitus käyttää omaa Whatsapp-ryhmää.

www.iltalehti.fi

Ministeri Mika Lintilä kertoo, ettei Whatsapp-tiliä vietykään: ”Kaappaus-sanan käyttö oli ehkä liian vahvaa ylireagointia”

Eduskunnan selvityksessä ei kuitenkaan pystytty sulkemaan pois Lintilän sometilin rinnakkaiskäyttöä.

yle.fi

Mielenkiintoista että WhatsAppin käyttö on ylipäättäen sallittu, etenkin alla olevien tapahtumienkin jälkeen.

Jeff Bezos hack: Amazon boss's phone 'hacked by Saudi crown prince'

Exclusive: investigation suggests Washington Post owner was targeted five months before murder of Jamal Khashoggi

www.theguardian.com

Vaimon firmassa Teams ja Skype lisäksi vain Signal on sallittu laitteissa joilla työasioita hoidetaan. Ei ole edes mahdollista esim. Whatsappia heidän työpuhelimiin ladata vaikka yrittäisinkin. Lisäksi esim. sallitut puhelinvalmistajat ovat Apple (iPhone puhelimet) ja Microsoft (Suface Duo puhelimet).

 

[Humanoid]

Dropboxin työpöytäsovelluksen telemetriikkaa ei voi ottaa pois päältä, ja kerätyn datan määrä on melkoinen:

Why So Much Telemetry ?

Hi All, My Pi Hole is blocking an INCREDIBLE amount of DropBox telemetry, even more than Windows telemetry, and by a large margin. So I have a few questions. 1. What is this telemetry for ? 2. What information is in there ? 3. Who gets to see it (ie, is it shared in any way with, let's say...

www.dropboxforum.com

Dropboxin käytölle suositukset avoimen koodin sovellukselle: Maestral

 

[Humanoid]

Ei-niin-yllättävä tieto, että Googlen uudesta 2FA-palvelun synkkauksesta puuttui salaus. No, se on tulossa pian

Google will add End-to-End encryption to Google Authenticator

Google is bringing end-to-end encryption to Google Authenticator cloud backups after researchers warned users against synchronizing 2FA codes with their Google accounts.

www.bleepingcomputer.com

 

[Agent_007]

Tarkennuksena, että siitä käyttäjän Drivelle laitettavasta tiedostosta puuttuu salaus käyttäjätasolla. Liikenne Googlen ja puhelimen välillä on salattu, ja kaikki Drivelle menevät tiedostot ovat salattuja.

 

[ztec]

Mielenkiintoinen tutkimus, miten H.264 codec on monimutkainen standardi tietoturva mielessä, sekä työkalu sen tutkimiseen ja mahdollisten tietoturva reikien löytämiseen...

Ei mitään uutta. Monta tukkapölly keskustelua on käyty siitä, että jos halutaan jotain turvallista, niin huuhaa ominaisuudet kuten videot pitäisi jättää pois koska ne heikentävät tieoturvaa. Mutta tämä on käsitelty muistaakseni moneen kertaan. Hyvä ajoitus, koska just tässä mietin pari päivää sitten. Että jos laitaisi vaikka botin kanssa kaikki videot mitä craweri netistä löytyää, niin montakon niistä sisältäisi jotain haitallista?

Tuskin kovin moni? Mutta onko tulos silti nolla? En tiedä. Mutta taas kerran opsec ja prosessit kuntoon. Ihan perusteitahan nämä on.

 

[escalibur]

Paras Microsoft-uutinen moneen kuukauteen:

KB5024351—Removal of Windows edition checks for AppLocker - Microsoft Support

support.microsoft.com

Pitää väsäillä aiheesta videon näin pelikone + AppLocker-näkökulmasta.

Tein tästä videon, jos joku harkitsee tämän käyttöönottoa.

Windows 11 on saamassa automatisoidun ”ota käyttöön”-periaatteella olevan (Smart App Control) ratkaisun, mutta sen ilmestymiseen voi mennä vielä vuosia.

Smart App Controlissa softatekijät lähettävät softansa Microsoftille tarkistettavaksi henkilöllisyystodistuksensa kera (esim. passi). Homma ei taatusti tule olemaan täydellinen, mutta huomattavasti hankalampi kuin mitä se on nyt.

 

[JiiPee]

Tein tästä videon, jos joku harkitsee tämän käyttöönottoa.

Windows 11 on saamassa automatisoidun ”ota käyttöön”-periaatteella olevan (Smart App Control) ratkaisun, mutta sen ilmestymiseen voi mennä vielä vuosia.

Smart App Controlissa softatekijät lähettävät softansa Microsoftille tarkistettavaksi henkilöllisyystodistuksensa kera (esim. passi). Homma ei taatusti tule olemaan täydellinen, mutta huomattavasti hankalampi kuin mitä se on nyt.

Kuulostaa kyllä niin hankalalta viritelmältä että ei varmaan monen koneessa tule olemaan päällä. Niin paljon käytetään hyödyllisiä pikku työkaluja joiden tekijöillä ei ole resursseja alkaa noin järeisiin tarkistuksiin. Jo nyt taitaa osalle tuottaa tuskaa nää signaukset.
Varmaan ihan pätevä yritystasolla jossa ei ajella mitään tuollaisia pikkusia työkaluja.

 

[=JP=]

TPM turvapiirit tuli pakolliseksi Windows 11 myötä ja pitäisi olla helppo tapa turvata kone. Nyt on AMD versiota tutkittu syvemmin ja löytynyt reikiä...

[2304.14717] faulTPM: Exposing AMD fTPMs' Deepest Secrets

arxiv.org

In this paper, we show that AMD’s fTPMs are vulnerable to physical attacks against their execution environment: the AMD-SP. Our attack utilizes the AMD-SP’s vulnerability to voltage fault injection attacks [14] to extract a chip-unique secret from the targeted CPU. This secret is subsequently used to derive the storage and integrity keys protecting the fTPM’s non-volatile (NV) data stored on the Basic Input/Output System (BIOS) flash chip.

exposes the complete internal TPM state of the fTPM. This allows us to extract any cryptographic material stored or sealed by the fTPM regardless of the authentication mechanisms, such as the measured system state or passphrases with anti-hammering protection. Additionally, once we have extracted the chip-unique secret through voltage fault injection, we only need to re-read the BIOS flash to defeat any TPM-based security measures.

We find that Microsoft BitLocker’s FDE implementation is reduced to the security of a (TPM-less) PIN-only strategy. In contrast, a naive implementation leaves the disk completely unprotected once the TPM is defeated.

AMD faulTPM Exploit Targets Zen 2 and Zen 3 Processors

Researchers at the Technical University of Berlin have published a paper called "faulTPM: Exposing AMD fTPMs' Deepest Secrets," highlighting AMD's firmware-based Trusted Platform Module (TPM) is susceptible to the new exploit targeting Zen 2 and Zen 3 processors. The faulTPM attack against AMD...

www.techpowerup.com

 

[escalibur]

Google on nyt mahdollistanut Passkeysin käytön kaikille käyttäjille.

The beginning of the end of the password

We’ve begun rolling out support for passkeys across Google Accounts on all major platforms as an additional option that people can use to sign in.

blog.google

 

[user9999]

Jos on käytössä Applen AirPods tai Beats sarjan kuulokkeita niin kannattaa tarkistaa päivitykset. Bluetooth haavoittuvuus.

APPLE-SA-2023-05-03-1 AirPods Firmware Update 5E133 and Beats Firmware Update 5B66 (Apple Product Security)

About the security content of AirPods and Beats firmware updates – Apple Support (UK)

This document describes the security content of AirPods and Beats firmware updates.

support.apple.com

AirPodseihin on jo julkaistu uudempi 5E135 firmware.

About firmware updates for AirPods - Apple Support

Learn about changes and features included in the firmware updates for your AirPods.

support.apple.com